なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:これはひどい

ラインのアイコン

1.LINEがプライバシーポリシーを改正
LINE社が3月31日付でLINEのプライバシーポリシーを改正するようです。その内容は、①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用、②統計情報の作成・提供、③越境移転に関する情報の追加、の3点となっています。

このなかで①②はどちらも他社データをLINEの保有する個人データに突合・名寄せをして該当するユーザーに広告やメッセージ等を表示する等となっておりますが、これは委託の「混ぜるな危険の問題」に該当し、本年4月施行の個人情報保護委員会(PPC)の個人情報保護法ガイドラインQA7-41、42、43から違法の可能性があると思われます。また、この改正がLINEのプライバシーポリシー本体に記載されていないこと、昨年3月に炎上した「外国にある第三者」の外国の個人情報保護の制度等の情報の部分が「準備中」となっていることも個人情報保護法上問題であると思われます。

・プライバシーポリシー改定のお知らせ|LINE
・LINEプライバシーポリシー|LINE

2.①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用
LINE社の「LINEプライバシーポリシー変更のご案内」によると、「①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用」は、「ユーザーの皆さまへ提携事業者が「公式アカウントメッセージ送信」や「広告配信」などを行う際、当該提携事業者から取得した情報(ユーザーの皆さまを識別するIDなど)をLINEが保有する情報と組み合わせて実施することがあります。」と説明されています。

ラインプライバシーポリシー変更のご案内2
(LINE社の「LINEプライバシーポリシー変更のご案内」より)

そして、この点を詳しく説明した「LINEプライバシーポリシー改正のご案内」は①についてつぎのように説明しています。

情報の流れ
1.A社(提携事業者)が、商品の購入履歴のあるユーザー情報(ユーザーに関する識別子、ハッシュ化されたメールアドレス、電話番号、IPアドレス、OS情報など)を加工してLINEに伝える
   ↓
2.LINEが、A社から受け取ったユーザー情報の中からLINEのユーザー情報だけを抽出する
   ↓
3.抽出されたユーザーに対して、A社の保有するLINE公式アカウントからのメッセージ送信や、広告の配信を実施する
ライン1
ライン2
(LINE社の「LINEプライバシーポリシー変更のご案内」より)

この「情報の流れ」によると、LINE社の提携事業者A社は、ユーザーを識別するためのハッシュ化されたメールアドレス、電話番号、IPアドレスなどのユーザー情報をLINE社に提供し、当該ユーザー情報をLINE社は同社が保有する個人データ(個人情報データベース)と突合・名寄せし(=混ぜる)、LINEのユーザー情報だけを抽出し、当該抽出されたユーザーに対して、A社の保有するLINE公式アカウントからのメッセージ送信や、広告の配信を実施するとなっています。

3.委託の「混ぜるな危険」の問題
しかしこのプロセス中の、「提携事業者A社は、ユーザーを識別するためのユーザー情報をLINE社に提供し、当該ユーザー情報をLINE社は同社が保有する個人データ(個人情報データベース)と突合・名寄せし、LINEのユーザー情報だけを抽出する」というプロセスは、いわゆる委託の「混ぜるな危険の問題」そのものです。

この点、PPCの「個人情報保護法ガイドライン(通則編)」(2022年4月1日施行版)3-6-3(1)は、委託の「委託先は、委託された業務の範囲内でのみ本人との関係において委託元である個人情報取扱事業者と一体のものと取り扱われることに合理性があるため、委託された業務以外に当該個人データを取り扱うことはできない」と規定しています(個人情報保護法ガイドライン(通則編)3-6-3 第三者に該当しない場合(法第27条第5項・第6項関係)(1)委託(法第27条第5項第1号関係))。

そして改正前のPPCの個人情報保護法ガイドラインQA5-26-2は、「委託先が委託元から提供された個人データを他社の個人データと区別せずに混ぜて取り扱う場合(いわゆる「混ぜるな危険」の問題)について、委託として許されない」としています(田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁)。

すなわち、委託(改正個人情報保護法27条5項1号・改正前法23条第5項第1号)とは、コンピュータへの個人情報のデータ入力業務などのアウトソーシング(外部委託)のことですが、委託元がすることができる業務を委託先に委託できるにとどまるものであることから、委託においては、委託元の個人データを委託先の保有する個人データと突合・名寄せなどして「混ぜて」、利用・加工などすることは委託を超えるものとして許されないとされているのです。

そして、2022年4月1日施行の改正版のPPCの個人情報保護法ガイドラインQA7-41はこの点を次のように明確化しています。
Q7-41
委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか。

A7-41
個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1)既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること

事例2)既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること

これらの取扱いをする場合には、①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。(令和3年9月追加)

QA7-41
(個人情報保護法ガイドラインQA7-41より)

したがって、委託先であるLINE社が委託元の提携事業者A社から商品の購入履歴のあるユーザー情報を受け取り、LINE社が自社が保有する個人データと当該A社の他社データを突合・名寄せしてユーザーを抽出し、当該ユーザーに広告やダイレクトメールを送信するなどの行為は、PPCの個人情報保護法ガイドラインQA7ー41の事例1、事例2にあてはまる行為であるため許されません。

この点、PPCの個人情報保護法ガイドラインQA7ー41はこの委託の「混ぜるな危険」の問題をクリアするためには、「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要がある」としています。

そのため、LINE社が第三者提供としての本人の同意を取得しないと、今回のLINE社のプライバシーポリシーの改正の①の部分は違法となります。

4.「本人の同意」について
なおこの場合は、法27条5項1号の「委託」に該当しないことになり、原則に戻るため、法27条1項の本人の同意が必要となるため、法27条2項のオプトアウト方式による本人の同意では足りないことになります(岡村久道『個人情報保護法 第3版』263頁)。

また、個人情報保護法ガイドライン(通則編)3-4-1は、本人の同意の「同意」について、「同意取得の際には、事業の規模、性質、個人データの取扱状況等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなくてはならない」と規定しています。

しかし、LINE社のスマホアプリ版のLINEを確認すると、冒頭でみたように、①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用、②統計情報の作成・提供、③越境移転に関する情報の追加、の3点が簡単に表示されているだけで、①②が委託の「混ぜるな危険の問題」に関するものであることの明示もなく、プライバシーポリシーの改正への「同意」ボタンしか用意されていません。これではPPCのガイドラインの要求する「本人の同意」に関する十分な説明がなされていないのではないかと大いに疑問です。

5.プライバシーポリシーに記載がない?
さらに気になるのは、LINE社の改正版のプライバシーポリシーをみると、上の①②に関する事項が「パーソナルデータの提供」の部分にまったく記載されていないようなことです。さすがにこれはひどいのではないでしょうか。たしかに「LINEプライバシーポリシー変更のご案内」には最低限の記載は存在し、これやプライバシーポリシーを両方とも一体のものとして読めばいいのかもしれませんが、これで通常の判断能力を持つ一般人のユーザーは合理的にLINEのプライバシーポリシーの改正を理解できるのでしょうか?

パーソナルデータの提供
(LINEプライバシーポリシーより)

LINE社の経営陣や法務部、情報システム部などは、昨年、情報管理の問題が国・自治体を巻き込んで大炎上したにもかかわらず、あまりにも情報管理を軽視しすぎなのではないでしょうか。

6.「②統計情報の作成・提供」について
LINE社のプライバシーポリシーの改正点の2つ目の「②統計情報の作成・提供」は、「LINEプライバシーポリシー変更のご案内」によると、広告主等の提携事業者から情報(ユーザーの皆さまを識別するIDや購買履歴など)を受領し、LINEが保有する情報と組み合わせて統計情報を作成することがあります。提携事業者には統計情報のみを提供し、ユーザーの皆さまを特定可能な情報は提供しません。」と説明されています。

ライン3
ライン4
(「LINEプライバシーポリシー変更のご案内」より)

つまり、「②統計情報の作成・提供」も①と同様に広告主などの提携事業者の他社データをLINE社が自社の個人データと突合・名寄せして、ユーザーの行動傾向や趣味・指向などを分析・作成等するものであるようです。LINE社は分析・作成した成果物は統計情報であるとしていますが、4月1日施行のPPCの個人情報保護法ガイドラインQA7ー38は、成果物が統計情報であったとしても、委託元の利用目的を超えて委託先が当該統計情報を利用等することはできないと規定しており、同時に同QA7ー43も、統計情報を作成するためであったとしても、委託の「混ぜるな危険の問題」を回避することはできないと規定しています。したがって、②の場合についても、第三者提供として本人の同意を取得しない限りは、同取扱いは違法となります。

7.「外国にある第三者」の外国の個人情報保護の制度等の情報の部分が「準備中」?
さらに、今回のLINE社のプライバシーポリシー改正の三番目の「③越境移転に関する情報の追加」の部分については、プライバシーポリシーの該当部分の「外国のパーソナルデータ保護の制度等の情報はこちら」の部分をクリックして開いても、「ただいま準備中てす」との文言しか表示されませんでした(2022年3月28日現在)。この「外国にある第三者」に係る外国の個人情報保護の制度等の情報については、あらかじめ本人に提供しなければならないと改正個人情報保護法28条2項が明記しているのにです。PPCや総務省からみて、LINE社のこのような仕事ぶりが許容されるのか大いに疑問です。

(なお、プライバシーポリシーも民法の定型約款の一種ですが、民法548条の2第2号の規定から、事業者は契約締結や契約が改正された場合はあらかじめ約款の表示が必要と解されています。PPCサイトにはすでに事業者が参考になる外国の制度等の情報が掲載されていることも考えると、3月下旬ごろからプライバシーポリシー改正の本人同意の取得をはじめているLINE社のプライバシーポリシーの一部が未完成なのは、民法や消費者保護の観点からもやはり大問題です。)

ただいま準備中です
(LINE社のプライバシーポリシーより)

8.まとめ
このように、今回、LINE社がプライバシーポリシーを改正した①②は、委託の「混ぜるな危険」の問題に関するものであり、LINE社は第三者提供の本人の同意を取得しなければ違法となります。この「本人の同意」について、PPCの個人情報保護法ガイドライン(通則編)は、「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示す」ことが必要としているにもかかわらず、LINE社の説明はオブラートにくるんだようなものであり、これで通常の一般人のユーザーがプライバシーポリシーの改正内容を十分理解をした上で「本人の同意」をできるのか非常に疑問です。とくに今回の改正内容がプライバシーポリシー本体に盛り込まれていないことは非常に問題なのではないでしょうか。

また、「外国にある第三者」の外国の個人情報保護法制などの制度の情報に関する部分が「準備中」となっているのも、昨年3月にこの部分が大炎上したことに鑑みても非常に問題です。

LINEの日本のユーザー数は約8900万人(2021年11月現在)であり、日本では最大級のSNSであり、またLINE社は2021年3月に朝日新聞の峰村健司氏などのスクープ記事により、個人情報の杜撰な管理が大炎上したのに、LINE社の経営陣や法務部門、情報システム部門、リスク管理部門などの管理部門は、社内の情報管理をあいかわらず非常に軽視しているのではないでしょうか。大いに疑問です。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・宇賀克也『新・個人情報保護法の逐条解説』245頁、277頁
・岡村久道『個人情報保護法 第3版』246頁、125頁
・佐脇紀代志『一問一答令和2年改正個人情報保護法』52頁、54頁
・田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁
・児玉隆晴・伊藤元『改正民法(債権法)の要点解説』108頁

■関連する記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・個人情報保護法改正対応の日経新聞の日経IDプライバシーポリシーの改正版がいろいろとひどい
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・ドイツ・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権について
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園・「デジタル・ファシズム」
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?





















このエントリーをはてなブックマークに追加 mixiチェック

display_monitor_computer
1.日経のプライバシーポリシーが改正される
日本経済新聞社から最近来たメールによると、令和2年・令和3年に改正された個人情報保護法が今年4月1日から施行されることを受けて、同社のプライバシーポリシー(日経IDプライバシーポリシー)が4月1日に改正されるとのことです。ところがこの改正後の日経IDプライバシーポリシーをざっと見たところ、個人情報保護法的に突っ込みどころが満載で驚いてしまいました。

・(改正後)日経IDプライバシーポリシー|日本経済新聞

2.Cookie、IPアドレスおよびサイト閲覧履歴などは個人情報ではない?
(1)個人情報と個人関連情報
第一に、改正後の日経IDプライバシーポリシー(以下「本プライバシーポリシー」とする)の「はじめに」を読むと、日経新聞が取扱う情報を4つ(あるいは3つ)に分類するようです。

日経プライバシーポリシー1
(「(改正後)日経IDプライバシーポリシー」より)

つまり、まず情報を①氏名、住所、職業などの「お客様登録情報」、②Cookie、サイト閲覧履歴、IPアドレス、OSなどの環境情報などの「ご利用履歴情報」の2つに分類しています。

日経プライバシーポリシー3
(「(改正後)日経IDプライバシーポリシー」より)

そしてさらに、②のご利用履歴情報について、お客様登録情報と関連付けて収集するか否かで場合分けし、③「お客様登録情報と関連付けて収集するご利用履歴情報」と、④「お客様登録情報と関連付けないで収集するご利用履歴情報」の2つに分けています。③の具体例としては「日経ID登録されたお客さまの日経電子版閲覧履歴や閲覧状況など」があげられており、④の具体例としては「日経ID登録されていないお客さまの日経電子版閲覧履歴や閲覧状況など」があげられています。

その上で本プライバシーポリシーは、①と②は個人情報であり、④は個人関連情報(個人情報保護法2条7項)であるとしています。

しかし、④に関するこの説明は正しいといえるのでしょうか。個人関連情報(法2条7項)は令和2年の個人情報保護法改正で新設されたもので、具体例としてはCookieやIPアドレス、サイトの閲覧履歴、位置情報などのことであり、条文上は「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう」と定義されています(法2条7項)。

そして、個人情報保護委員会(PPC)の個人情報保護法ガイドライン通則編(2022年4月1日版)22頁の個人関連情報に関する注(※)はつぎのように説明しています。
(※) 個人情報に該当する場合は、個人関連情報に該当しないことになる。例えば、一般的に、ある個人の位置情報それ自体のみでは個人情報には該当しないが、個人に関する位置情報が連続的に蓄積される等して特定の個人を識別することができる場合には、個人情報に該当し、個人関連情報には該当しない。(個人情報保護法ガイドライン通則編(2022年4月1日版)22頁より)

個人情報保護法ガイドライン22ページ
(個人情報保護法ガイドライン通則編(2022年4月1日版)22頁より)

すなわち、PPCのガイドライン22頁の注は、CookieやIPアドレス、閲覧履歴、位置情報、移動履歴なども「連続的に蓄積」されると、それぞれがお互いに差異のあるユニークなデータとなり、たとえ個人名を識別できないとしても、「あの人のデータ、この人のデータ」と、ある個人(特定の個人)を識別できるデータになるから、それは個人情報でありもはや個人関連情報ではないと明記しています。

(参考)
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?

個人関連情報などの図

したがって、④「お客様登録情報と関連付けないで収集するご利用履歴情報」であっても、「連続的に蓄積」されたデータは個人情報であり、これも一律に個人関連情報であるとしている本プライバシーポリシーは正しくありません。

(2)個人情報の容易照合性
さらに、個人情報は、生存する(a)「個人に関する情報であって」かつ(b)「特定の個人を識別できるもの」です(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁)。そしてさらに(c)「(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」(=容易照合性)と定義されています(法2条1項1号)。

この(c)の容易照合性について、PPCの個人情報保護法ガイドラインQA1-18は、「事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合において…双方の取扱部門の間で、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができる状態である場合は、「容易に照合することができ」る状態であると考えられます。」としています。

個人情報ガイドライン1-18の1
個人情報ガイドライン1-18の2
(個人情報保護法ガイドラインQA(2022年4月1日版)より)

日経新聞社の社内の個人情報関係のデータベースの仕組みやアクセス制御、社内規程などを私は知りませんが、しかし一般論としては、同一の企業内のある部門のもつデータベースと別の部門のもつデータベースはお互いに職員が情報を照会して照合することが可能であると思われます。そうでなければ利用できず、社内でリソースを使って収集・保存する意味がないからです。

そう考えると、日経新聞社内のご利用履歴情報のデータベースとお客様登録情報のデータベースは容易に照合が可能であるといえるのではないでしょうか。すると、④「お客様登録情報と関連付けないで収集するご利用履歴情報」であっても、お客様登録情報と容易に照合してある個人を識別できる個人情報であるといえる情報・データも存在するものと思われ、この点からも日経の本プライバシーポリシーは正しくないと思われます。

3.第三者提供について
第二に、気になる個人情報の第三者提供について、本プライバシーポリシーをみると、「3.個人情報の提供など」の部分は、本人同意による第三者提供(法27条1項(改正前法23条1項))についてはそれなりに記載がありますが、広告業者、DMP業者などへの第三者提供のオプトアウト方式(法27条2項(改正前法23条2項))の記載がないことが気になります。
日経プライバシーポリシー6
(「(改正後)日経IDプライバシーポリシー」より)

従来は50も100もオプトアウト先が列挙されており、ネット上では「オプトアウトが事実上不可能」と批判されていました。その日経新聞の個人データの提供先にはGoogleやFacebook、Twitter、ヤフーや楽天、LINE、セールスフォースなどのIT企業が列挙されていましたが、あれはどうなってしまったのでしょうか?

アクセスデータの共有先1
アクセスデータの共有先2
オーディエンスワン概要図
(日経新聞社サイトより。2022年3月5日現在)

また、上でみた個人関連情報は、個人情報ではありませんが、国民・消費者保護のため、第三者提供には本人の同意が必要となっています(法31条)。にもかかわらず、日経の本プライバシーポリシーが、④「お客様登録情報と関連付けないで収集するご利用履歴情報」の提供について本人同意について何も書いていないのは大丈夫なのでしょうか?不安が残ります。

4.「広告業者等に単体では個人を識別できない情報を提供する」
第三に、利用目的の「(5)個人情報の共同利用について」は「広告業者等に単体では個人を識別できない情報を提供する」との記載があります。この「単体では個人を識別できない情報」とは匿名加工情報のことなのでしょうか?しかし、データを潰してならして個人が識別できないようにした匿名加工情報を提供されても、広告企業やDMP業者などは業務には使えないのではないでしょうか?

この点、個人データから氏名や住所などの個人データの一部を削除した仮名加工情報が今回の令和2年の個人情報保護法の改正で新設されました(法2条5項、法41条)。しかし仮名加工情報は他の情報と照合して本人を識別することは禁止され(同条7項)、本人に電話や郵便・メールなどでアクセスすることも禁止され(同条8項)、そしてさらに仮名加工情報の利用は社内に限られ、第三者提供は禁止されています(同条6項、同42条1項)。したがって、もし万が一、日経新聞社が「単体では個人を識別できない情報」として仮名加工情報を広告業者やDMP業者などに提供しようとしているとしたら、それは個人情報保護法41条6項および法42条1項違反です。

5.「外国にある第三者」など
第四に、保有する個人情報に講じた安全管理措置の記載などがないことも気になります(法27条1項)。また、本プライバシーポリシーの共同利用の事業者一覧には、中国法人なども含まれていますが、LINEの個人情報問題で注目を集めた「外国にある第三者」(法28条)に関して、外国の個人情報保護法制などの情報に関する記載がないことも気になります。「外国にある第三者」に関しては、委託や事業承継、共同利用は対象外となっていないからです(法28条1項後段、宇賀克也『新・個人情報保護法の逐条解説』285頁)。
共同利用1
(「(改正後)日経IDプライバシーポリシー」より)

6.まとめ
Twitterなどで拝見していると、日経新聞記者は個人情報保護法に強い方が多いのに、本プライバシーポリシーはいろいろと大丈夫なのだろうかと心配になる点が多々あります。日経新聞社内の法務部などは事前にリーガルチェックなどをしっかり実施しているのでしょうか。「日本の企業・国は国民の個人情報をますます利活用して日本の経済発展を!」と「個人情報の利活用」を熱心に主張している日経新聞のプライバシーポリシーがこれでは、今後の日本のデジタル庁などの政府やIT企業、製薬会社、自動車メーカーなどの個人情報の取り扱いが心配になります。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・宇賀克也『新・個人情報保護法の逐条解説』285頁
・佐脇紀代志『一問一答令和2年改正個人情報保護法』24頁、54頁、62頁、71頁
・鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁

■関連する記事
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム

















このエントリーをはてなブックマークに追加 mixiチェック

smartphone_blank_police_man

このブログ記事の概要
本判決は、警察から民間企業への住民の個人情報を違法として高額な損害賠償を認定した画期的な判決である。しかし警察による住民・国民の個人情報の収集・保管などについてはほぼ自由に実施することを容認している点に問題が残っている。警察の保有する個人情報について、原告側からの削除請求を退けている点も問題である。警察や行政による国民・住民の個人情報の収集については国会による立法が必要であると思われる。

1.警察が電力会社に個人情報を提供したことを違法とした裁判例が岐阜地裁で出される
新聞報道などによると、岐阜県大垣市での風力発電施設建設をめぐり、県警大垣署に個人情報を収集され中部電力の子会社に提供されたのは違法として、住民4人が国家賠償などを求めた訴訟の判決が2022年2月21日、岐阜地裁で出されたとのことです。岐阜地裁は「プライバシー情報を積極的かつ意図的、継続的に提供した態様は悪質」として原告全員に計220万円を支払うよう県に命じたとのことです。警察が個人情報を第三者提供したことを違法とした判決はこれが初めてとのことで、画期的な判決です。

・警察が個人情報提供は「違法」 岐阜地裁判決「意図的で悪質」|朝日新聞

2.事案の概要
判決によると、2013年から2014年にかけて、大垣署警備課の警察官3人が4回にわたり、大垣市で風力発電施設を計画していた中部電力子会社シーテックの社員と署で情報交換したとのことです。風力発電の勉強会を開くなどしていた原告らの氏名や学歴、市民運動歴、病歴などの個人情報を提供していたとのことです。

3.判決の概要(岐阜地裁令和4年2月22日判決)
岐阜地裁判決はおおむねつぎのように判示しています。

(1)大垣署が第三者提供した原告の個人情報について
『風力発電事業に反対する活動や過去に関与した市民運動の情報は、思想信条に関連する情報であり、プライバシーに関する情報の中でも要保護性が高い』

(2)警察の情報収集について
『必要性はそれほど高いものではなかったが、原告らの活動が市民運動に発展した場合、抽象的には危険性はないとはいえない』として違法性を否定した。

(3)個人情報の削除請求について
原告側の国と県に対する個人情報の削除請求については、『対象となる情報の特定性を欠く』として退けた。

(4)大垣署がシーテック社に個人情報を提供したことの判断
判決は『目的や必要性、態様、情報の秘匿性』などの点で検討。原告らは風力発電の勉強会を行っていたにすぎず、『公共の安全や秩序の維持に危害が及ぶ危険性は生じていなかった』と述べ、提供する必要性はなく、態様も悪質だとして、国家賠償法上違法と判断し、原告全員に計220万円の損害賠償を認めた。

4.検討
(1)玉蟲由樹教授のコメント
朝日新聞の取材に対して日大の憲法の玉蟲由樹教授はつぎのようにコメントしておられます。
日本大学の玉蟲由樹教授(憲法学)の話
個人情報保護において、非常に重要な判決だ。警察の調査能力は大きく、ささいな情報でも、大量に集めることで個人の人格全体が把握できてしまう。第三者への情報提供を、憲法が保護する個人の自由の侵害だと認めたことは、警察が私企業に対し、意見交換を口実にむやみやたらと情報を提供する歯止めとなる。一方、収集の必要性を低いハードルで認めたことは課題だ。市民の行動を萎縮させる効果があるのに、法律の根拠や第三者の監視がないという構造的な問題に触れていない。警察による情報収集や提供を監視する、プライバシーに配慮した枠組みが必要だ。

(2)實原隆志教授のコメント
NHKの取材に対して福岡大学の實原隆志教授(憲法)はつぎのようにコメントしておられます。
・警察官が個人情報を企業に提供 プライバシー権の侵害で違法|NHK

福岡大学の實原隆志教授のコメント
「憲法で保障されたプライバシーを、みだりに第三者に提供されない権利が原告のおかれたさまざまな状況を踏まえて審査された判決で、警察による情報提供を違法としたのは画期的な判決だ。警察も無制限な情報提供ができなくなるのではないか」
また、實原隆志先生(@t_jitsuhara)はTwitterでも本判決につき、つぎのようにコメントしておられます。
記事の方でコメントを掲載していただきました。「あんまり褒めるな」と言いつつ、褒めたコメントになっていますが、情報の収集・保存面での検討は不十分だと思います。また、公文書があるかわからないのに、削除を求める情報を特定せよというのも無理筋な要求だと思います。
實原先生ツイッター
(實原隆志先生(@t_jitsuhara)のTwitterより)
https://twitter.com/t_jitsuhara/status/1496012407873114114

(3)大垣警察市民監視違憲訴訟・原告弁護団の声明
さらに本件訴訟の原告弁護団(大垣警察市民監視違憲訴訟・原告弁護団)は2月21日付で声明を出しています。

・一審判決弁護団声明|大垣警察市民監視違憲訴訟・原告弁護団

第一審弁護団声明

同声明は、警察からシーテック社への個人情報の第三者提供について『警察は「公共の安全と秩序の維持」のために必要な活動であると主張していたが、判決はこの主張を退けて原告らのプライバシー侵害を認め、国民の権利を守る正当な判断を下した。』と本判決を評価しています。

しかし同声明は、『公安警察が個人情報を提供できたのは、目星を付けた特定の個人の情報を集め、保有し続けているからに他ならないが、この点について、判決が、収集・保有の必要性がないとはいえないと判断し違法性を認めなかった点は問題である。警察が個人情報を収集・保有する明確な法的根拠は存在しない。公安警察は警察法2条1項を根拠として主張しているが、同条項は、「公共の安全と秩序の維持」という行政事務を警察組織に委ねるという組織規範であって、権限規範ではない。国民は、法的な根拠なく、公安警察に個人情報を収集・保有されているのであり、プライバシーを侵害されているというべきである。』と指摘していますが、この指摘は正当であると思われます。

さらに同声明は、『判決は、原告らが切望している個人情報の抹消請求について、請求が特定されていないとして却下の判断をした。司法救済の道を閉ざすものであり重大な問題である。』と指摘していますが、この主張も正当であると思われます。

(4)検討
(a)プライバシー権侵害
玉蟲教授、實原教授が指摘されているように、本判決が警察の中部電力子会社へ風力発電に関する勉強会をしている住民の個人情報を提供したことをプライバシー権(憲法13条)の侵害であるとして一人約50万円の損害賠償を認定したことは画期的であると思われます。

個人情報の第三者提供については、大学が学内で行われた講演会の出席者の氏名・学籍番号・住所などのリストを本人同意なしに警察に提供したことについて、氏名・住所などの個人情報であっても、ある講演会に参加したという情報と組み合わさるなどすると、「他者にみだりに公開されたくないと思うことは自然なことであり、そのことへの期待は保護されるべき」とし、「このようなプライバシーに係る情報は、取扱い方によっては個人の人格的な権利利益を損なうおそれがあるものであるから慎重に取り扱う必要がある」として大学側に損害賠償責任を認めた著名な判決があります(最高裁平成15年9月12日判決・早稲田大学講演会名簿提供事件)。その後も個人情報とプライバシーに関する裁判所の考え方は、Yahoo!BB個人情報漏洩事件(大阪地裁平成18年3月19日判決)、ベネッセ個人情報漏洩事件(最高裁平成29年10月23日判決)に引き継がれています。

(b)高額な損害賠償
また、本判決は原告1人に約50万円と個人情報に関する事件としては異例の高額な損害賠償を認定していますが、これは警察から中部電力子会社に違法に提供された個人情報が、病歴や市民運動の活動歴などの要配慮個人情報(個人情報保護法2条3項)や本人の思想信条や内心の自由(憲法19条)に密接に関連する情報であることや、中部電力の風力発電の勉強会に参加していたという情報に関連するものであり、他者にみだりに公開されたくないとと思われる法的保護に値する情報のなかでも、本判決が指摘するように「プライバシーに関する情報の中でも要保護性が高い」、特に重要な情報であるからだと思われます。

この点、ある自治体が弁護士会照会に対して漫然と住民の前科の情報を回答・提供したことが争われた前科照会事件(最高裁昭和56年4月14日判決)は被害者の住民に対して25万円の損害賠償を認めており、また女性のスリーサイズなどの個人情報が漏洩したTBC個人情報漏洩事件(東京地裁平成19年2月8日判決)では裁判所は被害者1人3万5千円の損害賠償を認めており、裁判所は漏洩や提供された個人情報がセンシティブな情報であるか、どの程度法的保護に値する情報であるか、また被害の様態などを考慮して損害額を認定していると思われます。

(c)警察の住民の個人情報の収集の根拠法令の問題について
本裁判の原告弁護団の声明が指摘するとおり、本事件においては、警察が電力会社子会社に住民の個人情報の第三者提供が可能であったのは、「目星を付けた特定の個人の情報を集め、保有し続けているから」ですが、この点について、本判決が「収集・保有の必要性がないとはいえない」と判断し違法性を認めなかった点は問題が残ります。

テロなど治安上の危険や暴力団などの組織犯罪などに対して警察当局が情報収集活動を行うべきことは当然ですが、今回問題となったのは風力発電に関する勉強会をしていただけの住民です。これでは社会問題に興味・関心を持ち自分であるいは複数で勉強や情報収集しているあらゆる国民・住民を警察が調査し情報収集することを裁判所が容認するということになってしまいますが、その結論が妥当とは思えません。

また本判決は『必要性はそれほど高いものではなかったが、原告らの活動が市民運動に発展した場合、抽象的には危険性はないとはいえない』と判示していますが、1995年の阪神淡路大震災以降、国民・住民が社会問題や環境問題などに関するボランティア、NPOやNGOなどの市民活動や市民運動をする動きは広まりをみせています。学校でもボランティア活動に関する授業が実施されるなど、政府もこれを奨励しているのであり、「市民運動に発展した場合、抽象的には危険性はないとはいえない」との本判決の裁判官の考え方は1960年代、70年代の極左過激派の活動と普通の市民活動・市民運動などとの区別がついていないのではないかと疑問が残ります。

さらに本事件の原告団の声明によると、警察側は本事件の住民の個人情報の収集や保存などについて「警察法2条1項を根拠として主張」し、裁判所もそれを容認したようです。

たしかに警察法2条1項は「公共の安全と秩序の維持」に関する行政活動を警察は行うと定めていますが、警察法は組織法に過ぎず、警察がどのような捜査などを行うことができるのか、その捜査を行う場合の基準などを定めた権限法ではありません。

そのため、警察法2条1項を根拠に警察が住民の個人情報を自由に情報収集できるとする本判決のこの部分は、強制分法定主義(刑事訴訟法197条1項ただし書き)や罪刑法定主義(憲法31条、39条)に抵触する違法・違憲なものであるおそれがあるのではないでしょうか。

この点については、警察のNシステムに関しても、2009年の裁判例(東京高裁平成21年1月29日判決)は、「わが国においては警察法2条1項の規定により任意の捜査は許容されており、公道上の何人でも確認し得る車両データを収集・利用することは適法」としています。

しかし日本と同じ西側世界のドイツ連邦憲法裁判所は2008年、ドイツ版の警察のNシステムについて情報自己決定権(ドイツ基本法1条1項、2条1項、日本の自己情報コントロール権(憲法13条)に相当する)を根拠に違憲との判断をしています(ドイツ連邦憲法裁判所第一法廷判決2008年3月11日・BVerfGE 120.378[407.427])。

また、警察が内規に基づいて実施していたGPS捜査について、最高裁はGPS捜査が継続的・網羅的に被疑者の個人情報やプライバシーに関する事柄を収集する性質の捜査であることから、個別の令状を取得して実施することも罪刑法定主義の観点から違法であり、国会の立法が必要であると判示しています(最高裁平成29年3月15日判決)。

さらに警察や民間企業による防犯カメラ・商用カメラの利用について、2021年8月の市民講演会で慶応大学の山本龍彦教授(憲法・情報法)は、『警察による防犯カメラの利用は根拠法の立法が必要である。民間企業によるカメラ利用は、防犯やマーケティングなど利用目的が複数存在するので一律の法規制は難しいが、少なくとも国会の枠組み立法は必要であろう』と述べておられます。そして2022年1月からは、個人情報保護委員会において「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」が開催されています。(EUでは2021年4月に警察の防犯カメラ利用を禁止などとするAI規制法案が公表され、2022年後半に成立する予定です。)
・第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会|個人情報保護委員会

このように考えると、警察による国民・住民の個人情報の収集・保存などに関しては、警察法2条1項と警察の内部規則ではなく、通信傍受法などのように国会による根拠法の立法が必要なのではないでしょうか。そうでなければ強制処分法定主義や「法律による行政の原則」「法律による行政の民主的コントロールの原則」を守り、国民の人権保障を貫徹することができません。

(d)個人情報の削除請求について
本判決は原告からの国と県警に対する自身の個人情報の削除請求に対して「対象となる情報の特定性を欠く」という理由で退けています。

そこで岐阜県の個人情報保護条例をみると、全国の自治体の個人情報保護条例と同様に、実施機関(行政機関や部局など)は、個人情報取扱事務登録簿(個人情報ファイル)を作成しなくてはならないと規定されており(12条1項)、保有する個人情報の項目、利用目的などを記載しなければならないと規定されています(12条2項)。しかし、「犯罪の予防、鎮圧又は捜査、公訴の維持、刑の執行その他の公共の安全と秩序の維持に関する個人情報取扱事務」についてはこの個人情報取扱事務登録簿(個人情報ファイル)の規定の適用の対象外となってしまっています(12条3項2号)。

つまり、本事件で原告らが自らの個人情報の削除などを請求する際に「対象となる情報の特定性を欠く」状況であったのは、岐阜県の個人情報保護条例がそのような規定となっていたからであって、少なくとも原告らの責任ではありません。にもかかわらず本判決が「対象となる情報の特定性を欠く」として原告らの個人情報の削除請求を退けたことには疑問が残ります。

個人情報保護法制の一般法にあたる個人情報保護法においては、2022年4月から施行される改正法において、利用停止・消去・第三者への提供の停止の要件が緩和され、個人情報漏洩が発生した場合(法22条の2)についても、本人は個人情報の利用停止・消去などを事業者に請求することが可能となります(30条)。

本判決は警察から中部電力子会社への個人情報の提供は違法であると判断したのですからこれは漏洩であり、改正個人情報保護法30条の趣旨をも考慮して、本判決でも原告らの個人情報の削除を容認すべきだったのではないかと思われます。

5.まとめ
本判決は、警察から民間企業への住民の個人情報を違法として高額な損害賠償を認定した画期的な判決です。しかし警察による住民・国民の個人情報の収集・保管などについてはほぼ自由に実施することを容認している点に問題が残っています。また個人情報の削除請求を退けた点も問題です。警察や行政による国民・住民の個人情報の収集については国会による立法が必要であると思われます。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・芦部信喜『憲法 第7版』123頁
・渡辺康行・宍戸常寿・松本和彦・工藤達朗『憲法Ⅰ基本権』120頁
・岡村久道『個人情報保護法 第3版』32頁、515頁、518頁
・佐脇紀代志『一問一答令和2年改正個人情報保護法』83頁
・田口守一『刑事訴訟法 第4版補正版』42頁、96頁
・小山剛「なぜ「情報自己決定権」か」『日本国憲法の継承と発展』320頁
・石村修「コンピュータ基本権-オンライン監視事件」『ドイツの憲法判例Ⅳ』50頁
・藤原静雄「西ドイツの国勢調査判決における「情報の自己決定権」」一橋論叢94巻5号138頁
・影島広泰「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号34頁



























このエントリーをはてなブックマークに追加 mixiチェック

大阪市サイト
(大阪市サイトより)

1.大阪市がコロナ患者の管理システム「HER-SYS」への個人データ入力を契約書の締結などを経ずに委託し、さらに委託先企業が勝手に再委託の事実が発覚
新聞報道などによると、大阪市は市議会で2月17日、新型コロナウイルスの感染者情報の管理システム「HER-SYS(ハーシス)」に個人データなどをデータ入力する業務について、契約書を作成せずに民間企業の言い値で約1億円で委託していたことを明らかにし、陳謝したとのことです。
・コロナ業務委託、業者の言い値「1億円」で口頭契約|読売新聞

さらに大阪市議会議員の前田和彦氏(@kazuhikomaeda)の2月17日のTwitterの投稿によると、大阪市から個人データの入力の委託を受けた委託先企業は、なんと大阪市の承諾を取らずに当該入力業務を別の企業に再委託してしまったのだそうです。これには驚いてしまいました。

『さらに本件はもう1つ重大な問題がある。先日大阪市のワクチン配送が委託先から再委託されていた。この再委託は事前の大阪市の承諾がなく大変問題となった。本件ハーシス入力業務委託もさらに別事業者に再委託されている事実が判明。この再委託は大阪市の事前の承諾どころか未だ承諾が行われていない。(前田和彦・大阪市議のTwitterより)
前田市議3再委託
再委託の書面
https://twitter.com/kazuhikomaeda/status/1494308685656752131
(前田和彦・大阪市議のTwitterより)

2.個人情報保護法制から考える
(1)大阪市個人情報保護条例
今回の事件は大阪市健康局が「実施者」としてHER-SYS(ハーシス)へのコロナ感染者の個人データの入力業務を民間企業に委託しているので、大阪市個人情報保護条例が適用されることになります。

(2)要配慮個人情報
大阪市個人情報条例(以下「本条例」とする)は、「要配慮個人情報」とは「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして市規則で定める記述等が含まれる個人情報をいう。」と定義しています。

つまり「病歴」は要配慮個人情報(いわゆるセンシティブ情報)なので、コロナ感染者の個人情報は要配慮個人情報に該当します。要配慮個人情報は機微な情報であるため、原則は収集禁止であり、「本人の同意のある場合」や「法令等に定めがある場合」などに限り例外的に収集が許される(本条例6条2項)とされているなど、とりわけ厳重な取扱いが要求される個人情報です。

(3)適正管理措置・委託
本条例13条2項は、「実施機関は、保有個人情報の保護に関する責任体制を明確にし、保有個人情報の漏えい、滅失、き損及び改ざんの防止その他の保有個人情報の適正な管理のために必要な措置を講じなければならない。」と、個人情報の適正管理措置(=安全管理措置)を講じることを大阪市の実施機関に求めています。

そして本条例14条は、大阪市の実施機関が個人情報に係る業務を委託する場合には、「委託に関する契約書個人情報の漏えい、滅失、き損及び改ざん等の防止に関する事項、契約に違反したときの契約解除及び損害賠償に関する事項等を明記するなど」の適正管理措置を講じなければならないと規定しています。また、本条例15条2項は、委託先(受託者)は実施機関の承認を受けずに受託した業務を第三者に再委託してはならないと規定しています。

大阪市個人情報保護条例

(事務処理の委託)
第14条 実施機関は、個人情報を取り扱う事務の全部又は一部の処理を委託しようとするときは、委託に関する契約書個人情報の漏えい、滅失、き損及び改ざん等の防止に関する事項、契約に違反したときの契約解除及び損害賠償に関する事項等を明記するなど、個人情報の適正な管理のために必要な措置を講じなければならない。

(受託者等の義務)
第15条 実施機関から個人情報を取り扱う事務の全部又は一部の処理を受託している者又は受託していた者(以下「受託者」という。)は、次に掲げる行為をしてはならない。
(1) (略)
(2) 実施機関の承認を受けずに、受託した事務を第三者に委託すること
(後略)
・大阪市個人情報保護条例

つまり、本条例上、大阪市の各部門や機関などの実施機関は、保有する個人情報の滅失、棄損、漏洩などが発生しないように個人情報について適正管理措置を講じることが求められています(本条例13条2項)。

そして個人情報に係る業務を民間企業などに委託する場合には、個人情報の漏洩、滅失、棄損などの防止のために委託先が講じなければならない事項や、もし問題が発生した場合の契約解除や損害賠償に関する事項を委託契約書に規定して委託契約を締結などしなければならないところ(本条例14条)、大阪市健康局は実施機関として委託契約書を締結などせずに口約束で本委託契約を結んでおり、本条例14条に違反しています。

また、実施機関である大阪市健康局の承諾なしに再委託を実施したこの委託先企業本条例15条2項違反しています。

(4)委託基準
さらに、大阪府は個人情報に係る業務の委託に関する内部規則として「個人情報取扱事務委託基準」を制定しサイトで公表しています。

この大阪府の委託基準をみると、「3.委託にあたっての留意事項」(2)(3)は、「契約に先立ち、委託事務の内容や取り扱う個人情報の内容、記録媒体の実態等に応じ、委託先が個人情報の保護について遵守すべき事項を十分に検討し、別紙「個人情報取扱特記事項(例)」を参考に、当該委託事務における個人情報保護のための特記事項(以下「個人情報取扱特記事項」という。)を定めること。」「委託先は、個人情報取扱特記事項を遵守できるものを慎重に選定すること。」と規定しています。

委託にあたっての留意事項
大阪府「個人情報取扱事務委託基準」の「3.委託にあたっての留意事項」より。)

おそらく大阪市にも大阪府の「個人情報取扱事務委託基準」と同様の内部規則があるであろうことを考えると、事前に個人情報の安全管理措置を講じるための個人情報取扱特記事項を遵守できる委託先を慎重に選定せず、委託契約書や特記事項などすら作成せずに委託契約を締結している大阪市健康局は、委託基準などの内部規則にも違反しているものと思われます。

3.まとめ
現在、コロナの第6波が襲来しており、大阪市も新規陽性者が4293人、現在陽性者数が59104人(2月18日現在。大阪市サイトより。)と、大阪市が大変逼迫した業務の状況であることはよくわかります。 しかし、上でもみたようにコロナの感染者に関する個人情報はセンシティブな個人情報の要配慮個人情報であり、特に厳重な取扱いが必要であることをも考えると、大阪市健康局が委託契約書や個人情報取扱特記事項などを作成・締結せずに、委託先企業を決定し、相手方の言い値で約1億円の委託契約を締結したことは大阪市個人情報保護条例14条などに違反する違法な行政行為です。本件は事務監査請求や住民監査請求、住民訴訟などの対象になりうる事件なのではないでしょうか。

本事件については、大阪市健康局は、本件の委託について、他の業務を一旦止めてでも、あらかじめ十分に委託先企業を選定し、委託契約書や個人情報取扱特記事項などの書面を作成し、委託契約を締結すべきだったのではないでしょうか。

地方公務員法32条は法令遵守を地方公務員に求めており、一般の会社員などよりも自治体や公務員はより高いコンプライアンス意識やガバナンスが要求されるのですから。

大阪市はトラブルシューティングと再発防止に取り組むべきですし、野党やマスメディアはこの問題を追及するべきです。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・岡村久道『個人情報保護法 第3版』512頁、516頁、517頁

■関連する記事
・コロナにより自宅療養・自主療養等した場合、生損保の医療保険の入院給付金は支払われないのか?(追記あり)
・茅ヶ崎市の小学校が生徒のGoogle Workspace For Educationのパスワードの提出を求めていることを情報セキュリティ・個人情報保護法制から考えた(追記あり)
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・新型コロナの接触確認(感染追跡)アプリ(COCOA)の内閣府の仕様書を読んでみた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング















このエントリーをはてなブックマークに追加 mixiチェック

tatemono_yuubinkyoku
このブログ記事の概要
総務省が検討している、日本郵政グループがデジタル地図の個人データを地図業者に販売・第三者提供などすることは個人情報保護法違反のおそれが高く、また、総務省の本報告書が提言しているさまざまな個人データビジネスも個人情報保護法、郵便法、保険業法、銀行法、憲法などとの関係で違法・違憲のおそれが強いものと思われます。総務省は本報告書の内容について、一から見直す必要があるのではないでしょうか。

1.日本郵政がデジタル地図事業に参入?
2022年1月25日の読売新聞記事によると、郵便局・ゆうちょ銀行・かんぽ生命の日本郵政グループがデジタル地図事業への参入の計画をしているそうです。
・【独自】日本郵政、デジタル地図事業に参入へ…変化を随時反映する「生きた地図」作り|読売新聞

記事によると、郵便局は全国に約2万4000局が存在し、約10万人の配達員がいるそうであり、この配達員の目視やカメラ、センサーを搭載した郵便用バイクなどで詳細な情報を収集し、道路状況の変化、店舗の開店・閉店などの情報を収集しデジタル地図に反映させる計画であるとのことです。

また、将来的には郵便事業で得た個人情報を基に、デジタル地図に居住者の人数なども盛り込む計画であるとのことです。

この郵便局の個人情報の利活用については、総務省は昨年7月に、「「デジタル時代における郵政事業の在り方に関する懇談会」最終報告書(案)に対する意見募集の結果及び最終報告書の公表」というプレスリリースを出しています。しかし本報告書は、総務省とは思えないくらい個人情報保護法などの理解の間違いが散見されて読んでいる国民の一人としていろいろと心配になってきます。

・「デジタル時代における郵政事業の在り方に関する懇談会」最終報告(案)に対する意見募集の結果及び最終報告書の公表

2.情報資産の洗い出し
「デジタル時代における郵政事業の在り方に関する懇談会」最終報告書(以下「本報告書」とする)4頁は、日本郵政グループの「現状」として各社が保有する個人データの情報資産の一覧を図表にしています。

日本郵政情報資産の洗い出し
(総務省「デジタル時代における郵政事業の在り方に関する懇談会」最終報告書より)

しかしゆうちょ銀行は融資などの関係から国民個人の職業、勤務先、収入、負債、他社の金融資産などの情報をもっているはずですがこの表にのっていません。また、かんぽ生命は保険の引き受けや保険金・給付金支払いに関連して、顧客の健康・医療データ、職業、勤務先などの情報をもっているはずですが、これも図に記載がありません。情報資産の洗い出しすら満足にできない日本郵政グループや総務省は大丈夫なのかと心配になります。

3.仮名加工情報
また、本報告書5頁は、郵便局において郵便物の引き受け時に得られる「配達先情報」「配達原簿情報」などを「仮名加工情報」にして、配達ルートの最適化や局内作業のスリム化を推進するとあります。さらに配達先情報などを仮名加工情報にして、EC事業者と連携し、両社が保有するデータのより高度な活用などによるEC物流の競争力強化」を行うとしています。

たしかに「仮名加工情報」は、企業などによる個人情報の利活用の推進のために令和2年改正個人情報保護法で新設された新しい概念ですが、これは元となる生の個人データの氏名などを削除するなどして、当該企業内で利用するための、「他の情報と照合しない限り特定の個人を識別できない情報」です。第三者提供は禁止されていますし(法36条の2第6項)、社内で利用する際も再び個人を識別する行為は禁止されています(法35条の2第7講)。加えて本人への電話やメールなどによる営業やダイレクトメールなどの到達行為も禁止されています(法35条の2第8講、佐脇紀代志『一問一答令和2年改正個人情報保護法』13頁。)

そのため、郵便局などが保有する個人データを仮名加工情報にしたからといって、EC事業者との連携がよりうまくゆくとは思えません。むしろプライバシーポリシーの利用目的にそのような趣旨で個人情報を利用することを明示して通知・公表を行い、生データとしての個人情報・個人データの活用をすべきではないでしょうか?氏名などが削除されていたり仮IDに変更されているデータを利用してEC事業者が業務をできるとは思えません。またそもそも個人情報保護法は仮名加工情報の第三者提供を禁止しています。

4.委託の「混ぜるな危険の問題」
なお、かりに郵便局とEC事業者との関係が第三者提供でなく委託であった場合、個人データの委託は可能ですが、しかし令和2年改正個人情報保護法ガイドラインQAはいわゆる委託の「混ぜるな危険の問題」において、個人データのデータセンターなどが、委託元から預かった個人データを自社が保有する個人データと名寄せ・突合して分析や加工などをすることなどを禁止しています。

この点、令和2年改正の個人情報保護法ガイドラインQA15-18(2022年4月より施行)は、「複数の会社から匿名加工情報の作成の委託を受けることは可能です。ただし、委託を受けた各個人情報の取扱い及び匿名加工情報の作成については、各委託者の指示に基づきその範囲内で独立した形で行う必要があります。異なる委託者から委託された個人情報を突合したり、組み合わせたりすることはできません。」と明確化しています(委託の「混ぜるな危険の問題」、田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁)。

そのため、もし日本郵便がなどが、委託元から預かった個人データを自社が保有する個人データと名寄せ・突合して分析や加工などをした個人データを委託元に渡すなどの業務を行うことは違法であり許されません。

(参考)
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」


5.「個人データには本人同意なく利用できる類型がある」?
本報告書6頁は、「個人データには本人同意なく利用できる類型がある」としてNTTドコモ「モバイル空間統計データ」を例示しています。しかしドコモのスマホの位置情報データはオプトアウト方式(法23条2項)で本人同意を取って利用してるので、総務省はこの点を完全に間違っています。(NTTドコモの説明ページはオプトアウト手続を明示しています。) ドコモモバイル空間統計データオプトアウト手続き
(NTTドコモサイトより)
・モバイル空間統計ガイドライン|NTTドコモ

6.郵便局が教育業界に参入?
本報告書7頁は、個人データの利活用のために日本郵政はデジタル・プラットフォーム事業者になるべきでありその具体例の一つに「教育」分野をあげています。様々な分野と連携すべきとの提言は分からなくもありません。しかしだからと言って郵便局などの日本郵政グループが「教育」分野に参入してでやることがあるのでしょうか。疑問です。

7.顔認証技術つき防犯カメラ
本報告書8頁は、顔認識技術などAIなどの先端技術を利用するように提言しています。しかしEUで2018年に施行されたGDPR(EU一般データ規則)22条プロファイリング拒否権を定め、またEUは2021年4月に「AI規制法案」を公表しましたが、同法案はAIの危険性を4段階で分類して法規制を行うところ、警察などによる顔認識技術・防犯カメラは一番危険な「禁止」の類型に分類し、全面的な法規制を行う方針です。さらに日本の個人情報保護委員会も2022年1月より顔認識技術と防犯カメラに関する検討会議を始めています。このような日本および西側世界の情勢を考えると、これから顔認証技術などを利活用しようという本報告書は時代遅れなのではないでしょうか。

・第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会|個人情報保護委員会

8.共通ID、共通客データベース
(1)銀行窓販規制
本報告書9頁は、郵便局、ゆうちょ銀行、かんぽ生命の「共通ID」「共通顧客データベース」を作成すべきとしています。しかし保険業法、銀行法は、銀行の優越的地位の濫用防止のため、銀行が持つ個人データは顧客の本人の同意がないと保険の募集に利用できないと規定しています(銀行窓販規制、保険業法300条1項9号、同施行規則212条3項1号等、中原健夫・山本啓太・関秀忠・岡本大毅『保険業務のコンプライアンス 第3版』264頁、経済法令研究会『保険コンプライアンスの実務』227頁)。

したがって、そのような顧客の本人の同意を確認せぬままに郵便局・ゆうちょ銀行・かんぽ生命の3社の顧客の個人情報データベースを構築し、3社の顧客を共通のデータベースで管理することは、保険業法違反、銀行法違反の法的リスクがあります。

また、保険業法施行規則53条の8は、保険会社に対して顧客の個人情報に対して安全管理を講じることを義務付け、また金融庁・個人情報保護委員会の「金融分野における個人情報保護に関するガイドライン(平成29年2月28日個人情報保護委員会・金融庁告示第1号)」も、銀行や保険会社などの金融機関に対して、顧客の個人情報を厳格に取り扱うことを要求しており、もし日本郵政グループが顧客の個人情報の管理を杜撰に行った場合、郵便局・ゆうちょ銀行・かんぽ生命は総務省だけでなく金融庁、個人情報保護委員会からも行政指導や行政処分を受ける法的リスクを負うことになります。

(2)マイナンバー法の「裏番号」「広義の個人番号」
本報告書4頁によると、郵便局・日本郵便は日本のほぼ全ての世帯の個人データを保有し、ゆうちょ銀行も約1億2000万件の個人データを保有してるとあり、日本郵政グループの「共通ID」はマイナンバーと同様に悉皆性・唯一無二性の法的性質を持つことになり、「裏番号」、「広義の個人番号」(マイナンバー法2条8項かっこ書き)に該当してマイナンバー(個人番号)と同等の取り扱いが要求されるため、これを税・社会保障・災害対策以外に利用することはマイナンバー法9条違反のおそれがあるのではないでしょうか。

2021年秋には官民サービスの共通IDを発行するxID社の「xID」がこのマイナンバー法2条8項かっこ書きの定める「裏番号」「広義の個人番号」に該当し、当該共通番号を税・社会保障・災害対応以外の利用目的に利用することは同法9条に抵触し違法なのではないかと炎上しました。これに対して個人情報保護委員会はマイナンバー法2条8項かっこ書きの「広義の個人番号」を同法9条の定める税・社会保障・災害対応以外の利用目的に利用することは法9条違反のおそれがあるとの注意喚起のプレスリリースを出したばかりです。

・番号法第2条第8項に定義される個人番号の範囲について(周知)(令和3年10月22日)|個人情報保護委員会
(参考)
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)


9.情報銀行
本報告書10頁は日本郵政グループに情報銀行を実施せよと提言しています。

総務省情報銀行
(総務省の懇談会の報告書より)

しかし、郵便局の配達員などが配達業務に関連して目視や配送バイクに設置されたカメラ、ドローンのカメラなどで収集された顧客の個人情報・個人データを顧客本人の同意なく情報銀行や冒頭の読売記事にある「デジタル地図」などに利用することは、本人同意なしに個人情報の目的外利用を禁止し、また第三者提供を禁止する個人情報保護法に抵触する違法なものであるだけでなく、郵便法8条や憲法21条2項の規定する「信書の秘密」「通信の秘密」や国民のプライバシー権(民法709条、憲法13条)をも侵害する違法・違憲のおそれがあるのではないでしょうか。

郵便法
(秘密の確保)
第8条 会社の取扱中に係る信書の秘密は、これを侵してはならない。
 郵便の業務に従事する者は、在職中郵便物に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。

なぜなら、この「信書の秘密」は、「郵便物の発送元や宛先が知られると、思想・表現の自由が抑制されるおそれがある」ため、「開封の書状や葉書の発信人、宛先の住所・氏名等も含まれる」と、通信の時や主体、相手方の秘匿など広範囲におよぶと解されているからです(大阪高裁昭和41年2月26日判決・賽原隆志『新・判例ハンドブック情報法』(宍戸常寿編)140頁)。また、郵便法8条2項は郵便局の職員に対して「郵便物に関して知りえた他人の秘密」に関する守秘義務を定めています。

郵便法に隣接する分野の法律である電気通信事業法4条や憲法21条2項の定める「通信の秘密」も、例えば手紙の本文やメールの本文などの通信内容そのものだけでなく、通信の発信者・受信者、通信の有無、通信の日時、通信にかかわる住所、メールやウェブサイトのヘッダー情報など通信の外形的事項(「通信の構成要素」「メタデータ」とも呼ばれる)をも広く含むと解されています(曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁)。

そのため、郵便局の配達員などが配達業務に関連して目視やカメラ・センサーなどで収集した居住者情報などの個人データなども「信書の秘密」に該当し、また郵便局職員の「郵便物に関して知りえた他人の秘密」なので、これをみだりに日本郵政など日本郵政グループが利活用することは、信書の秘密・通信の秘密侵害郵便局職員の守秘義務違反として違法・違憲と評価されるおそれがあるのではないでしょうか。

そもそも郵便局やかんぽ生命などの日本郵政グループは数年おきに重大な個人情報漏洩事故を起こし、最近も顧客の個人情報の政治活動への目的外利用などの杜撰な情報管理が大きな問題となっています。「情報銀行」の業務を行うには、まずは日本郵政グループ内の情報管理が徹底されないことには、国民・住民は怖くて自らの個人情報を日本郵政グループに利活用させようと思わないのではないでしょうか。

(関連)
・かんぽ生命・日本郵便の3000件の個人情報漏洩事故/ブラック企業

10.個人情報保護法の「二重オプトアウトの禁止」
本報告書13頁は、地図会社に郵便局やかんぽ生命など日本郵政グループの職員が収集した個人データを第三者提供・販売することを提言しています。この部分を読むと、上でみた「顧客の本人同意が不要な類型」という個人情報の第三者提供は、はオプトアウト方式(個人情報保護法23条2項)のことらしいのですが、2022年4月から施行される令和2年改正の個人情報保護法は「二重オプトアウトの禁止」を明示しています(個人情報保護法23条2項ただし書き、佐脇『一問一答令和2年改正個人情報保護法』48頁)。

この点、一般の地図会社はオプトアウト方式で本人同意をとり地図を作製していることを考えると、日本郵政グループも同様にオプトアウト方式により「デジタル地図」を作成すると思われ、日本郵政がオプトアウト方式で作成したデジタル地図の個人データを地図会社が購入などすることは、個人情報の第三者提供のオプトアウトに該当し、「二重オプトアウト」(個人情報保護法23条2項ただし書き)に該当してしまうので、地図会社などは日本郵政のデジタル地図の個人データを購入することは違法となります(法23条2項ただし書き)。

そのため、本報告書13頁が提言している、日本郵政が郵便配達員などの目視やバイク、ドローンなどに設置されたカメラ・センサーなどの情報から居住者情報などの個人データの添付されたデジタル地図を作製し、地図会社などに販売・第三者提供しようというスキームは個人情報保護法との関係で違法であり許容されないものと考えられます。

11.政府からの給付金の支払口座?
本報告書13頁は、災害対応、自治体の統計調査への協力だけでなく、「国の給付金の支払い」についてもゆうちょ銀行の口座などを利用することを提言しています。しかし、災害対応・自治体の統計調査などへの協力は国民・住民に対して説明がつくかもしれませんが、国の給付金の支給に郵便局の顧客個人情報をオプトアウトで利用したら、国民・住民から「なぜ国は私の口座を知っているのか?」「プライバシー侵害」「国に私達の口座の個人情報を漏洩した日本郵政は許せない!」等との大きな苦情リスクが発生するのではないでしょうか。

12.転居の有無に居住者データの有効利用
本報告書13頁は、「転居の有無に居住者データの有効利用」を提言しています。しかし「転居の有無に居住者データの有効利用」というのは、これもオプトアウト方式で探偵屋や名簿屋、受信料を徴収するNHK、DV加害者などに顧客本人の現住所の個人データを販売するものになってしまうのではないでしょうか。これは顧客の国民・住民のプライバシー侵害(民法709条、憲法13条)ですし、勝手に本人の現住所を第三者に知らせることは個人データの本人同意のない第三者提供(個人情報保護法23条1項)に該当する違法なものであるようにも思えます。もし実施した場合、日本郵政や総務省などは、国民・住民からの大きな苦情リスクに耐えられるのでしょうか?

13.まとめ
このように、総務省が検討している、日本郵政グループがデジタル地図の個人データを地図業者に販売・第三者提供などすることは個人情報保護法違反のおそれが高く、また、総務省の本報告書が提言しているさまざまな新しい個人データビジネスも個人情報保護法、郵便法、保険業法、銀行法、憲法などとの関係で違法・違憲のおそれが強いものと思われます。総務省は本報告書の内容について、一から見直す必要があるのではないでしょうか。

日本郵政グループは個人情報の問題だけでなく、2019年には日本郵便・かんぽ生命が地域の高齢者の生命保険契約の乗換を繰り替えさせるなどの組織ぐるみの保険募集の重大な違法行為が発覚し、現在、日本郵政グループは全社をあげた再発防止、コンプライアンスやガバナンスの徹底に取り組んでいる時期のはずです。にもかかわらず総務省がこの時期に個人情報の利活用など会社経営のアクセルを踏ませる提言を行うことには大きな違和感があります。

(関連)
・かんぽ生命・日本郵便の不正な乗換契約・「乗換潜脱」を保険業法的に考える

日本郵政グループやその監督官庁の総務省は、現在はまずは日本郵政グループ各社のコンプライアンス・ガバナンスの徹底に全力をあげて取り組むべきなのではないでしょうか。

(なお、情報セキュリティや情報法の専門家で産業技術総合研究所主任研究員の高木浩光先生は、もし日本郵便・郵便局が葉書・手紙などの配達業務というコモンキャリア、いわゆる「土管屋」の業務だけでなく、個人情報に関するビジネスを開始すると、郵便局は個人情報取扱事業者となり、郵便局に手紙・葉書などの郵送を頼む日本全国の法人は日本郵便・郵便局に対して安全管理措置の一つである「委託先の管理」(個人情報保護法22条)の義務を負うことになるがそのような結果は現実的ではないとブログ記事で総務省の報告書を批判されています。)

・郵便事業がコモンキャリアを逸脱すれば郵便物を差し出す事業者が個人情報保護法に抵触する|高木浩光@自宅の日記

このブログ記事が面白かったらブックマークやシェアをお願いします!

■関連する記事
・かんぽ生命・日本郵便の不正な乗換契約・「乗換潜脱」を保険業法的に考える
・かんぽ生命・日本郵便の3000件の個人情報漏洩事故/ブラック企業
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)
・コロナにより自宅療養等した場合、生損保の医療保険の入院給付金は支払われないのか?(追記あり)
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

■参考文献
・佐脇紀代志『一問一答令和2年改正個人情報保護法』13頁、48頁
・田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁
・中原健夫・山本啓太・関秀忠・岡本大毅『保険業務のコンプライアンス 第3版』264頁
・経済法令研究会『保険コンプライアンスの実務』227頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁
・郵便事業がコモンキャリアを逸脱すれば郵便物を差し出す事業者が個人情報保護法に抵触する|高木浩光@自宅の日記
・番号法第2条第8項に定義される個人番号の範囲について(周知)(令和3年10月22日)|個人情報保護委員会





















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ