なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:これはひどい

AI
1.はじめに
@ITの2025年12月11日付の記事「AIで離職予兆を可視化する「freeeサーベイ」提供開始 どうリスク評価するのか、プライバシーは?」によると、freeeは、「AI(人工知能)が従業員の離職予兆を可視化し、離職リスクのある従業員へのフォローアップを具体的に支援するサービス「freeeサーベイ」の提供を開始した。従業員の見えないSOSをAIで早期に検知し、面談アジェンダを生成することで離職防止をサポートする」とのことです。
・freeeサーベイ|freee

freeeサーベイ
(freeeウェブサイトより)

記事によると、freeeサーベイは、「キャリア開発研究を基としたサーベイテンプレートを採用し、学術的知見に基づき、AIが従業員の離職リスクを4段階で自動評価し、対応が必要な従業員を可視化する」そうです。

どのように従業員の個人情報・個人データを収集・分析するかについては、記事によると、「「freee人事労務」の従業員情報と自動連携」するとともに、「従業員へのアンケートは月に1回実施し、…「匿名性を確保することで本音を引き出す設計」」となっているとのことです。

とくにこの、従業員にアンケートを実施しするにあたり、「匿名性を確保することで本音を引き出す設計」」と、まるで従業員に対して”だまし討ち”のような方法で個人情報・個人データを収集し、従業員の個人個人の離職リスクをAIでモニタリング、スコアリングすることは個人情報保護法などの観点から問題ないのでしょうか。

(また、従業員本人は離職の意向がないのに、AIが勝手に「この人は離職したがっている」と判断し、人事部や上司にそのように伝えてしまうこと、つまり「AIによる(誤った)個人の選別」が行われてしまうAIのリスクも重大であると思われます。)

2.個人情報保護法ー適正な取得、不適正利用の禁止
個情法20条1項(適正な取得)は、「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。」と規定しています。そのため、例えば「このアンケートは匿名です」「離職リスクを判定するためのアンケートではありません」等と偽ってアンケートを実施し、個人情報を収集した上でそれらのデータを基にAIで個人個人の離職リスクを分析することは、個情法20条1項に抵触し違法なものとなるおそれがあります。

また、法19条(不適正利用の禁止)は、「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」と規定しています。これは2019年のリクナビ事件等を受けて規定化されたものです。すなわち、例えば、就活生や従業員からだまし討ちのような形で個人情報を収集し、そのデータを基に就活生や従業員に不利となる「内定辞退予測データ」等を作成し、就活生や従業員などに不利な人事考課等の判断・処分を行うことは、法19条に抵触し違法となるおそれがあります。

3.AI事業者ガイドライン・人事データ利活用原則
また、経済産業省・総務省の「AI事業者ガイドライン」は、法令のように法的拘束力をもつものではありませんが、しかしガイドラインとして事業者がAIを開発・提供・利用する場面における基準を定めています。

そのなかの「指針(共通)8:公平性・非差別性」は、「AIシステムの開発・提供・利用において、特定の個人や集団に対する不当な差別や偏見が生じないよう、公平性に配慮すること」を規定しています。すなわち、不透明な方法で収集されたデータや、離職リスクという機微な情報をAIで分析することは、結果として特定の従業員が不当な扱いを受けるリスクがあり、これは不公平な人事判断につながる恐れがあり、「指針(共通)8:公平性・非差別性」に抵触しているおそれがあります。

また、同ガイドラインの「指針(共通)3:透明性・説明可能性」は、利害関係者がAIシステムの仕組みや判断プロセスを理解できるよう、透明性を確保することが重要であると規定しています。この点、従業員に目的を隠したアンケート等のだまし討ち的なもので収集したデータの利用では、分析の透明性が全く確保されていません。どのようなデータが、どのように離職リスクの判断に使われたのかが不明瞭な「ブラックボックス」状態であり、「指針(共通)3:透明性・説明可能性」に抵触しているといえます。

さらに、人事労務の業界団体である、一般社団法人ピープルアナリティクス&HRテクノロジー協会の「人事データ利活用原則」も、「原則2:透明性・説明責任」、「原則3:目的特定・制限」等のデータ活用の透明性や従業員への配慮を求める規定があります。そのため、同様にだまし討ちのような形で収集されたデータを基にした離職リスクの分析等は、「人事データ利活用原則」にも抵触しているおそれがあります。

4.まとめ
このように、従業員にアンケートを実施しするにあたり、「匿名性を確保することで本音を引き出す設計」で個人情報を収集し、AIで離職リスクなどをモニタリング、スコアリングするfreeeサーベイは、個人情報保護法、AI事業者ガイドラインおよび人事データ利活用原則との関係で問題があるといえます。

このサービスを提供するfreeeだけでなく、このサービスの導入を検討する企業・事業者などは、個人情報保護法や事業者AIガイドライン、人事データ利活用原則などをよく検討し、法的リスクやレピュテーション・リスクなどをよく考える必要があるように思われます。

■追記(2025年12月25日)
Grayrecord Technow様が、このブログ記事を取り上げてくれています。どうもありがとうございます。
・「匿名」という名の騙し討ち:Freeeサーベイはリクナビ事件を超える最悪の「処遇AI」だ|Grayrecord Technow

人気ブログランキング

タグ :
#freeeサーベイ
#freee
#個人情報
#適正な取得
#不適正利用の禁止
#privacy
#security
#AI事業者ガイドライン
#人事データ利活用原則
#これはひどい
このエントリーをはてなブックマークに追加 mixiチェック

tatemono_buildings
1.はじめに
生活保護訴訟について本年6月に最高裁判決が出されました(最高裁令和7年6月27日判決)。ところが本日のニュースによると、政府・厚労省は最高裁判決にしたがわず生活保護費の全額支払いをしない方針のようです。このような政府・厚労省の振る舞いは以下のように憲法・行政法の観点からおかしいと思われます。
・生活保護の全額補塡見送り 厚労省、引き下げ訴訟巡り調整|日経新聞

2.憲法から考える
(1)憲法25条、81条、76条2項
今回の最高裁判決では、2013~2015年の生活保護費引き下げが「合理的根拠を欠き、生活保護法に違反する」と判断されました。ところが厚労省は全額補償ではなく「一部支給」で調整する方針を固めたようです。この対応に対して、憲法・行政法の観点からは以下のようなことが考えられます。

(2)憲法25条(生存権)
憲法25条1項は、「すべて国民は、健康で文化的な最低限度の生活を営む権利を有する」と規定しています(生存権)。最高裁が違法と認定した生活保護費の減額は、この生存権の保障を侵害したと解釈できます。にもかかわらず、政府・厚労省が判決に従わず一部補償にとどめるのは、憲法25条との関係で違憲状態の継続とも受け取られかねません。

(3)憲法81条(違憲審査権)
憲法81条は、「最高裁判所は、一切の法律、命令、規則又は処分が憲法に適合するかしないかを決定する権限を有する終審裁判所である。」と規定しています(違憲審査権)。

第八十一条 最高裁判所は、一切の法律、命令、規則又は処分が憲法に適合するかしないかを決定する権限を有する終審裁判所である。

すなわち、この規定は、違憲審査権の最終的な担い手は最高裁であることを明言しています。つまり、最高裁の判断は法的拘束力を持つ最終判断であり、行政も立法もこれに従わなければならないのです。最高裁が生活保護訴訟について判決という形で判断を下したのに、政府・厚労省(行政)が判決に反する方針を取ることは、司法権の軽視であり、三権分立の原則に反する可能性があります(憲法41条、65条、第76条)。

(4)憲法76条2項(行政裁判所の禁止)
憲法76条2項は、「特別裁判所は、これを設置することができない。行政機関は、終審として裁判を行うことができない。」と規定しています。
第七十六条 すべて司法権は、最高裁判所及び法律の定めるところにより設置する下級裁判所に属する。
 特別裁判所は、これを設置することができない。行政機関は、終審として裁判を行ふことができない。

すなわちこの規定は、行政(政府・厚労省など)は、裁判の最終判断者になってはいけないということを規定しています。つまり最高裁が違法と判断した生活保護費に関する行政処分について、行政が「自分で判断して一部しか支払わない」というのは、まるで自ら裁判しているようなものであり、憲法76条2項に抵触しているといえます。

3.行政法から考える
(1)行政行為の違法性と取消
最高裁が「生活保護基準の引下げは違法」と判断した以上、当該行政処分は取消されるべきです。その結果として、原状回復、すなわち全額支給が原則となるはずです。今回の最高裁判決では国賠法に基づく損害賠償請求は否定されましたが、行政の違法性は認定されており、補償の在り方は依然として問われています。すなわち、最高裁が生活保護費の引き下げの処分は違法と判断した以上、政府・厚労省は原状回復として生活保護費の全額支給を実施すべきです。

4.まとめ
このように、生活保護費の引き下げは違法との最高裁判決が出たにもかかわらず、それに従わず全額支給ではなく一部支給をしようとしている政府・厚労省の方針は、憲法25条、81条、76条2項に抵触しており、また行政法の行政行為の違法性と取消の考え方からも違法です。政府・厚労省は、生活保護費の一部支給の方針を撤回すべきです。

人気ブログランキング

タグ :
#生活保護訴訟
#憲法
#行政法
#これはひどい
このエントリーをはてなブックマークに追加 mixiチェック

tatemono_yuubinkyoku (2)
1.はじめに
朝日新聞などの報道によると、郵便局(日本郵便)が「お客さま感謝デー」と銘打ったイベントなどで、ゆうちょ銀行の保有する顧客の個人データを顧客の同意なしにかんぽ生命の保険営業に流用していたことがわかったとのことです。かんぽ生命は9月20日、保険業法違反の恐れがあるとして金融庁に報告。日本郵便は同日、全国の郵便局に対し、銀行データを使ったイベントは企画中のものも含めてすぐに中止するよう指示を出したとのことです。日本郵便は、「銀行システムで貯金残高や年齢が条件に合う顧客を検索・リスト化し、一時払い終身保険などを売るために来局を促す」等の行為をしていたとのことです。(「ゆうちょ顧客データ、かんぽ営業に不正流用 郵便局で保険業法違反か」朝日新聞2024年9月21日付)。このブログ記事では、この事件を保険業法の観点からみてみたいと思います。

2.非公開金融情報保護措置
郵便局(日本郵便)は、ゆうちょ銀行から銀行業の一部の委託を受けている銀行等代理店です。その銀行等代理店は、保険募集を行う際には、銀行の業務において取扱う顧客に関する情報(個人情報)の利用について、事前に書面その他の適切な方法により、当該顧客の同意を得なければならないとされており、そのための措置は非公開金融情報保護措置と呼ばれています(保険業法施行規則212条2項1号、212条の2第2項1号)。

保険業法施行規則
第212条
 生命保険募集人である銀行等又はその役員若しくは使用人が前項各号に掲げる保険契約の締結の代理又は媒介を行うときは、当該銀行等は、次に掲げる要件を満たさなければならない。
 銀行等が、顧客に関する情報の利用について、次に掲げる措置を講じていること。
 その業務(保険募集に係るものを除く。)において取り扱う顧客に関する非公開金融情報(その役員又は使用人が職務上知り得た顧客の預金、為替取引又は資金の借入れに関する情報その他の顧客の金融取引又は資産に関する公表されていない情報(第五十三条の九に規定する情報及び第五十三条の十に規定する特別の非公開情報を除く。)をいう。次条第二項第一号、第二百十二条の四第二項第一号、第二百十二条の五第二項第一号及び第二百三十四条第一項第十八号において同じ。)が、事前に書面その他の適切な方法により当該顧客の同意を得ることなく保険募集に係る業務(顧客が次項に規定する銀行等生命保険募集制限先に該当するかどうかを確認する業務を除く。)に利用されないことを確保するための措置
「非公開金融情報」とは、銀行等が職務上知り得た顧客の預金、為替取引または資金の借入に関する情報その他の顧客の金融取引または資産に関する公開されていない情報と規定されています(ただし、氏名・住所・電話番号・性別・生年月日・職業の属性情報は除く。保険業法施行規則212条2項1号イ)。

この点、冒頭の新聞記事によると、郵便局は、「銀行システムで貯金残高や年齢が条件に合う顧客を検索・リスト化し、一時払い終身保険などを売るために来局を促す」ためにイベント等を開催していたとのことであり、貯金残高などの情報は非公開金融情報に該当します。

つぎに、非公開金融情報保護措置とは、保険募集に係る業務において銀行等の非公開金融情報が事前の顧客の同意なしに利用されることを防止するための措置であるところ、どのような業務が「保険募集に係る業務」に該当するのかが問題となりますが、金融庁のパブリックコメント回答は、「もっぱら保険募集のために一定金額以上の預金を有する者の選定を行う準備作業」、「もっぱら保険募集のために顧客のリストを作成する行為等」も「保険募集に係る業務」に該当するとして、事前の顧客の同意が必要としています(中原健夫・山本啓太・関秀忠・岡本大毅『保険業務のコンプライアンス 第4版』273頁)。

この点、冒頭の新聞記事によると、「日本郵便は…顧客が来局したあとに同意を得れば問題ないと認識していた」とあります。

しかし日本郵便が行っていたのは、「銀行システムで貯金残高や年齢が条件に合う顧客を検索・リスト化し、一時払い終身保険などを売るために来局を促す」ものであったのですから、これは金融庁のパブコメ回答の「もっぱら保険募集のために一定金額以上の預金を有する者の選定を行う準備作業」や「もっぱら保険募集のために顧客のリストを作成する行為等」類似の行為であり、「保険募集に係る業務」に該当するといえるので事前に顧客の同意を得ていなければ、非公開金融情報保護措置違反になると考えられます(保険業法施行規則212条2項1号、212条の2第2項1号の違反)。

3.まとめ
このように郵便局・日本郵便が「お客さま感謝デー」と銘打ったイベントなどで、ゆうちょ銀行の保有する顧客の個人データを事前の顧客の同意なしにかんぽ生命の保険営業に流用していたことは、非公開金融情報保護措置違反であり、保険業法に抵触すると考えられます。日本郵便、かんぽ生命は2019年には組織ぐるみの大規模な生命保険の乗換契約の不正により大きな社会的批判を浴びましたが、コンプライアンス軽視の社内風土は改善されていないようです。

今回の不祥事も、金融庁に報告書を提出し、新聞報道などがなされる状況になっても、日本郵便やかんぽ生命のウェブサイトをみてもプレスリリースが出されていないことも、日本郵政グループの透明性の低さや、内向きな姿勢を感じます。

■参考文献
・中原健夫・山本啓太・関秀忠・岡本大毅『保険業務のコンプライアンス 第4版』271頁、273頁

■追記(2024年9月27日)
日本郵政の増田寬也社長は9月27日、この不祥事について記者会見で謝罪したとのことです。また、日本郵政は本事件についてプレスリリースをようやく公表しました。
・非公開金融情報の不適切な利用について|日本郵政
・郵便局のゆうちょ情報流用で郵政社長「おわび」来月上旬に再発防止策|朝日新聞

また、9月27日の総務省の記者会見で、松本・総務大臣は本事件について、つぎのようにコメントしています。
ご承知のとおり、金融の仕組み、かつて40年ほど前は、保険も証券も銀行も全部分かれているときがありましたが、金融ビッグバンである程度フィナンシャルグループという形も認められるようになった中でありますが、顧客情報管理も含めてファイアウォールなど制度が組み立てられていますので、グループが連携して活動することは大事ですが、今申しましたように、顧客情報の管理も含めて法律、ルールは守っていただかなければいけないので、コンプライアンスの徹底を改めてお願いしたいと思います。

松本大臣コメント


■関連するブログ記事
・かんぽ生命・日本郵便の不正な乗換契約・「乗換潜脱」を保険業法的に考える


人気ブログランキング

PR
タグ :
#非公開金融情報保護措置
#銀行窓販
#保険業法
#郵便局
#日本郵便
#かんぽ生命
#日本郵政
#コンプライアンス
#これはひどい
#ゆうちょ銀行
このエントリーをはてなブックマークに追加 mixiチェック

kojinjouhou_rouei_businessman
2024年7月8日付で東京都が「個人情報の漏えい」というプレスリリースを出しています。
・個人情報の漏えい|東京都

本リリースを読むと、「東京都産業労働局(委託元)と公益財団法人東京しごと財団(委託先)は、「シニア中小企業サポート人材プログラム」という再就職のためのプログラムを実施しているところ、このプログラムの希望者56名について、本来、個人が特定されないよう匿名加工を施した人材情報を提供すべきところ、個人が特定できる内部保存用のファイルを、488社に対しEメールで誤って送付した。」というのが本個人情報漏洩事故の概要のようです。

ところが本リリースの「漏洩した個人情報」の部分を読むと、つぎのようになっています。

3 漏えいした個人情報
本来送信予定の項目
「希望職種」「希望条件」「主な職歴」「資格、自己PR」「最寄駅」

実際に送信してしまった項目
上記に加え、「漢字氏名」「年齢」「性別」
漏洩した個人情報

・・・これは「匿名加工情報」(個人情報保護法2条6項)の問題なのでしょうか?つまり、東京都産業労働局および東京しごと財団は、個人情報の生データ(「希望職種」「希望条件」「主な職歴」「資格、自己PR」「最寄駅」)から氏名・年齢・性別などを除外しただけのデータを「匿名加工」した個人情報ではないデータと認識しているということなのでしょうか?(もしそうであるなら、東京都産業労働局および東京しごと財団における情報管理が心配です。)

そこで東京都産業労働局および東京しごと財団に電話で質問してみたところ、おおむね次のような回答でした。

〇「Excelで人材情報を管理しているところ、「希望職種」「希望条件」「主な職歴」「資格、自己PR」「最寄駅」などのデータから、氏名・年齢・性別を除外したデータなので「匿名加工」とプレスリリースに標記した。」

〇「ただしこれらの情報を求人企業に第三者提供するにあたっては、求職者の本人同意は得ている。」

〇「「匿名加工」という記載が妥当ではないとのご意見に関しては、貴重なご意見としてうけたまわる。」

いうまでもなく個人情報保護法上の「匿名加工情報」は、「次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。」(法2条6項)であり、個人データの生データのデータセットから氏名・住所などを削除しただけでは匿名加工情報とはいえず、このデータは以前として個人情報・個人データです。

本プレスリリースによると、東京都産業労働局は再発防止策として、「個人情報の適切な取扱い及びメール送信内容のダブルチェックを改めて徹底する。」「産業労働局における、委託業務を含めた個人情報の適切な管理について、改めて注意喚起を行った。」の2点をあげていますが、まずは東京都産業労働局および東京しごと財団における個人情報保護法の再教育を実施したほうがよいのではと思いました。

人気ブログランキング

PR
タグ :
#東京都
#産業労働局
#東京しごと財団
#個人情報
#匿名加工情報
#security
#privacy
#これはひどい
このエントリーをはてなブックマークに追加 mixiチェック

welcomeHRトップ画面

1.WelcomeHRの個人情報漏洩事故が発覚

カオナビ子会社のワークスタイルテック(東京都港区)が運営する労務管理クラウドサービス「WelcomeHR」で、ユーザー情報16万人分近くが外部から閲覧可能になっており、うち15万人分近くが実際に第三者にダウンロードされたとワークスタイルテック社が3月29日にニュースリリースを公表しました。
・弊社サービスをご利用いただいているお客様への重要なご報告とお詫び|Workstyle Tech

プレスリリース
(ワークスタイルテックのプレスリリースより)

ワークスタイルテックのリリースによると、2020年1月5日から2024年3月22日にかけて、ユーザーの氏名、性別、住所、電話番号、ユーザーがアップロードした身分証明書(マイナンバーカード、運転免許証、パスポートなど)や履歴書の画像が閲覧可能だったとのことです。原因は、ストレージサーバのアクセス権限に設定ミスがあったことであり、外部からファイルを閲覧したり、ダウンロード可能な状態だったということです。

このニュースリリースに対しては、個人情報保護委員会に報告は行われているのか、マイナンバーカードの表面の画像の情報が漏洩したことは間違いないとして裏面のマイナンバーなどの情報も漏洩したのか?の2点がネット上で話題となっていました。

2.マイナンバーも漏洩していたことが発覚

その後、4月13日頃より、Twitter(現X)などSNSにおいて、ワークスタイルテックより今回の個人情報漏洩事故の被害者の方々に対して、お詫びのメールにて漏洩事故の詳細が送られてきたことが報告されています。このお詫びのメールによると、マイナンバーそのものも漏洩していたことが明らかにされています。

被害者のツイート
通知1
通知2
(被害者の方のTwitterの投稿より)

3.ワークスタイルテックの個人情報漏洩事故の対応の問題点

このワークスタイルテックの個人情報漏洩事故の対応については、いくつも疑問があります。

まず第一に、今回の事故の原因から、マイナンバーの漏洩も当初から明らかであり、ワークスタイルテックは3月29日のプレスリリースの段階で、マイナンバーも漏洩していたことをぼかさずに明らかにすべきだったのではないでしょうか。

個情委の個人情報保護法ガイドライン3-5-2は、「なお、漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表することが望ましい。」としているからです。

第二に、この被害者あてのお詫びのメールを読むと、「マイナンバーについて(略)一方で、マイナンバーに記載されている情報(略)から、より詳しい個人情報を抜き取られることはありません。」と説明されていることは非常にミスリーディングなのではないでしょうか。

つまり、いわゆる名簿屋がこのような個人情報のデータセットを収集した場合、他で取得した複数の個人情報のデータセットと名寄せ・突合し、被害者本人の人物像を作り出し、それを販売するであるとか、プロファイリングを行う等の行為が可能となってしまいます(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』224頁)。そしてマイナンバーは悉皆性・唯一無二性を有する究極のマスターキーなので、これが漏洩してしまうと他の個人情報のデータセットとの名寄せ・突合が容易になってしまいます。

にもかかわらず、まるで「マイナンバーが漏洩したけれどあまり心配はいりません」と言いたげなこのお詫びメールのアナウンスは非常に不適切であると思われます。

そのため、ワークスタイルテックは被害者の方々に対して、市役所等の自治体にマイナンバーカードの再発行を行うことを奨励すべきなのではないかと思われます(マイナンバー法17条5項参照、下の追記参照)。

第三に、本事件ではマイナンバーを含む約15万件の個人情報が漏洩してしまったわけであり、ワークスタイルテックは被害者の方々に対してお詫び金(例えば500円程度)を支払うべきであるのに、それがお詫びメールに記載されていないのは奇異な感じがします。(なお、お詫び金はお詫びの意思を表明するものであり、損害賠償の金銭とは別物です。)

このように、ワークスタイルテックの個人情報漏洩事故の対応は非常に稚拙であると思われます。社内にしっかりとした情報システム部門や法務・コンプラ部門がないのだろうかと心配になります。

■追記:4月15日 マイナンバーカードの利用停止・再発行について

個人情報保護委員会に電話で確認したところ、「本件のようにマイナンバーの悪用のおそれがある場合には、被害者の方は、市役所等の自治体にマイナンバーカードの利用停止と再発行の申出を行ってほしい、それにより再発行されるマイナンバーは新しい番号に切り替わるとのことでした。なお、自治体によってはデジタル庁のマイナンバー総合フリーダイヤルへの申出を行うようお願いされるかもしれないが、まずは自治体に問い合わせてほしい」とのことでした。

このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR
タグ :
#WelcomeHR
#ワークスタイルテック
#カオナビ
#マイナンバー
#個人情報漏洩
#privacy
#security
#マイナンバーカード
#これはひどい
このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ