なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:これはひどい

internet_online_kessai
1.阿武町4630万円誤振込事件の代理人弁護士が記者会見で無罪を主張
2022年5月に、山口県阿武町が国の新型コロナに関する臨時特別給付金4630万円を同町の24歳の男性の銀行口座に誤って振込み、男性が当該金銭をネットバンキングで複数のオンラインカジノの決済代行業者に振込んだ事件については、9月22日に男性が阿武町に解決金約340万円を支払うことで民事裁判上の和解が成立しました。

また、阿武町は男性を電子計算機使用詐欺罪で刑事告訴しているところ、10月に初公判が行われることを受けて、男性の弁護人の山田大輔弁護士が9月29日に記者会見を行い、「男性は無罪である」との訴訟方針を明らかにしたとのことです。

・4630万円誤振込・弁護士が会見で無罪主張「事実はあったが、違法ではない」|テレビ山口

本事件は4630万円もの金銭を町役場から誤振込で受け取った男性が、それを奇禍として当該金銭をオンラインカジノに使ってしまい、非常に大きな社会的非難を招きました。たしかにこの男性のふるまいは道徳的に問題であると思われますが、しかしこの男性の行為は電子計算機使用詐欺罪などの刑罰の適用が妥当といえるのでしょうか?

結論を先取りすると、本事件で電子計算機使用詐欺罪は成立しないと思われます。以下見てみたいと思います。

2.電子計算機使用詐欺罪
刑法
(電子計算機使用詐欺)
第246条の2 前条に規定するもののほか、人の事務処理に使用する電子計算機に虚偽の情報若しくは不正な指令を与えて財産権の得喪若しくは変更に係る不実の電磁的記録を作り、又は財産権の得喪若しくは変更に係る虚偽の電磁的記録を人の事務処理の用に供して、財産上不法の利益を得、又は他人にこれを得させた者は、十年以下の懲役に処する。

(1)行為
本事件が問題となる電子計算機使用罪(刑法246条の2)の前段部分は、銀行等のコンピュータに「虚偽の情報」または「不正な指令」を与えて「財産権の得喪もしくは変更に係る不実の電磁的記録」を作成し、これによって自己または第三者に財産上の利益を得せしめる行為です。

ここでいう「不実の電磁的記録」とは、銀行等の顧客元帳ファイルにおける預金残高記録などが該当するとされています。「不正な指令」とは改変されたプログラムなどを指します。

(2)「虚偽の情報」
またここでいう「虚偽の情報」とは、銀行等のコンピュータ・システムにおいて予定されている事務処理の目的に照らしその内容が真実に反する情報をいうとされています。言い換えれば、入金等の入力処理の原因となる経済的・資金的な実態を伴わないか、それに符合しない情報を指します(園田寿「誤入金4630万円を使い込み それでも罪に問うのは極めて難しい」論座・朝日新聞2022年5月26日)。例えば架空の入金データの入力等がこれに該当します。

一方、銀行等の役職員が金融機関名義で不良貸付のためにコンピュータ端末を操作して貸付先の口座へ貸付金を入金処理するなどの行為は本罪にあたりません。

なぜなら、たとえこのような行為が背任罪になりうるとしても、貸付行為自体は民事法上は有効とされる結果、電子計算機に与えられた情報も虚偽のものとはいえず、作出された電磁的記録も不実のものとはいえないからです(東京高裁平成5年6月29日・神田信金事件、西田典之・橋爪隆補訂『刑法各論第7版』235頁)。

同様に、インターネット・バンキング等を利用した架空の振替送金データの入力は「虚偽の情報」に該当し、その結果改変された銀行等の顧客元帳ファイル上の口座残高記録は「不実の電磁的記録」にあたり本罪が成立することになります。あるいはネット・バンキングの他人のID番号とパスワードを無断で利用し銀行等の顧客元帳ファイル上のデータを変化させ、自らの利用代金などの請求を免れる行為も本罪が成立します。(西田・前掲236頁)

3.本事件の検討
ここで本事件をみると、誤振込であるとはいえ、阿武町から本件の男性に4630万円は民事上有効に振込まれ、男性の銀行口座には4630万円が有効に存在します(ただし民事上の不当利得返還請求の問題が発生する(民法703条、704条)。)。

そして男性はその自らの銀行口座の4630万円の金銭に対して、ネットバンキングから複数のオンラインカジノの決済代行業者の口座に振込の入力を行っています。この男性の振込入力は原因関係として民事上有効に存在する金銭に対するものであり、また他人のIDやパスワードを入力などしているわけではなく、さらに不正なコンピュータ・プログラムをネット・バンキングのシステムに導入している等の事情もないので、2.(2)の金融機関の不良貸付の事例と同様に、電子計算機使用詐欺罪は成立しないことになると考えられます。

したがって、本事件の男性の代理人の山田弁護士の「無罪である」との訴訟方針は正しいと思われます。

4.まとめ
このように本事件では電子計算機使用詐欺罪は成立せず、男性は無罪になる可能性が高いと思われます。たしかにこの男性の行為は道徳的には問題でありますが、この問題に関しては民事上、不当利得返還請求権が阿武町には発生し、民事上解決が可能です。現に本事件は9月に裁判上の和解が成立しています。それをさらに刑法をもってこの男性を処罰するというのは、刑罰の謙抑性や「法律なくして刑罰なし」の罪刑法定主義(憲法31条、39条)の観点からも妥当でないと思われます。

本事件は報道によると、阿武町の町役場では職員がコロナの臨時特別給付金の振込の事務作業をたった一人で行っていたことがこの4630万円もの巨額の誤振込につながったとのことであり、むしろ町役場の給付金支払いの事務作業を適切に行う体制整備を怠っていた阿武町役場の幹部や花田憲彦町長などの方こそ大きな社会的責任・政治的責任を負うべきなのではないでしょうか。

とはいえ、銀行や保険などの金融機関や行政機関などにおいて誤振込、誤払いは残念ながら多く発生しているところ、そのような誤振込を受けた人間がその金銭をネットバンキングなどで使用してしまったような場合に電子計算機使用詐欺罪は成立するのかという本事件の事例は先例となる裁判例がないようであり、本事件について裁判所が司法判断を示すことは、金融機関などの実務上、非常に有益であると思われます。

■参考文献
・西田典之・橋爪隆『刑法各論 第7版』233頁
・大塚裕史・十河太郎・塩谷毅・豊田兼彦『基本刑法Ⅱ各論 第2版』263頁
・畑中龍太郎・中務嗣治郎・神田秀樹・深山卓也「振込の誤入金と預金の成立」『銀行窓口の法務対策4500講Ⅰ』957頁
・園田寿「誤入金4630万円を使い込み それでも罪に問うのは極めて難しい」論座・朝日新聞2022年5月26日



[広告]








このエントリーをはてなブックマークに追加 mixiチェック

MEXCBTのロゴ

最近、ネット上で、文科省の学校CBTシステム(eラーニングシステム)の「MEXCBT」(メクビット)は生徒の個人情報を取り扱っていないというのは本当なのか?とちょっとした話題になっています。

このMEXCBTは文科省サイトによると、「児童生徒が学校や家庭において、国や地方自治体等の公的機関等が作成した問題を活用し、オンライン上で学習やアセスメントができる公的CBT(Computer Based Testing)プラットフォームである「文部科学省CBTシステム(MEXCBT:メクビット)」の開発・展開を進めています。」というもので、要するにeラーニングのシステムのようです。
・文部科学省CBTシステム(MEXCBT:メクビット)について|文科省

メクビットの概要
(文科省「MEXCBTについて」より)

ところで文科省サイトの解説ページのQAをみると・・・

Q1-8. MEXCBT を活用する際の児童生徒の個人情報の取り扱いはどうなっていますか。
A. MEXCBT は児童生徒の氏名等の個人情報は扱いません。詳細は利用申込フォームの「<留意事項>●MEXCBTにおける情報の取扱いについて」をご参照ください。
メクビットQA1-8
(文科省サイトの解説ページのQAより)

と、「MEXCBTでは児童生徒の個人情報は取り扱わない」と説明されています。

また、「文部科学省CBTシステム運用支援サイト」のQAも、「MEXCBTは、児童生徒の氏名等の個人情報は扱いません。」としています。

メクビットは個人情報を取り扱っていますか
(文部科学省CBTシステム運用支援サイトより)

しかしこの「MEXCBTは個人情報を取り扱っていますか」のページをざっと読んでも、MEXCBTは生徒に「児童生徒0001」などの一人一アカウントを割り振って管理を行っていること、また生徒の答案や解答、成績などのデータを収集・保存・利用・分析等することが書かれています。

このブログでは何度も取り上げているように、個人情報とは「個人に関する情報」であって、氏名、住所・・・「その他の記述により特定の個人を識別できるもの」です。そして容易に参照できる場合にも個人情報に含まれます。(個人情報保護法2条1項1号。)ここでいう「特定の個人を識別できる」とは、当該個人の氏名などが不明でも構わないものであり、「あの人、この人」と個人を識別できれば要件を満たします。

つまり、MEXCBTは仮に生徒の氏名・住所などは登録・管理していないとしても、アカウントで生徒個人を管理しており、さらにそれぞれの生徒の解答や成績などのデータを収集・保存などしているのですから、それらのデータは「個人に関する情報」であって、かつそれらのデータにより「あの人、この人」と特定の個人を識別できるので、やはりMEXCBTは個人情報・個人データを取り扱っていると考えるのが自然なのではないでしょうか。

(あえて言えば、生徒の氏名等を管理していないので「仮名加工情報」的に個人情報・個人データを取り扱っているといえますが、しかし仮名加工情報も個人情報・個人データに含まれます(法2条5項)。)

MEXCBTが個人情報・個人データを扱っているということになれば、第一に当該システムの運営主体である文部科学省は生徒や保護者などに対してプライバシーポリシーを作成して個人情報の利用目的などを通知・公表する義務を負います(法62条)。そうでなければ「偽りその他不正の手段による個人情報の収集」として違法となる可能性があります(法64項)。また、文科省が必要最小限の個人情報を持つことを規律するために、利用目的はできるだけ特定されなくてはなりません。「GIGAスクール構想のため」などの漠然とした利用目的は違法のおそれがあります(法61条1項)。

第二に、文科省はMEXCBTで収集した個人データで生徒をプロファイリングして不当に差別・選別等することは不適正利用の禁止に抵触して違法となるおそれがあります(法63条)。加えて、文科省はこのMEXCBTについて個人データが滅失・棄損・漏洩などが発生しないように安全管理措置を講じる義務を負い、システムの運用等を民間企業等に委託する場合には委託先の監督も義務付けられます(法66条)。

第三に、文科省は生徒や保護者等から生徒の個人データの開示請求・訂正・利用停止請求などがあった場合にはこれに応じる義務があるので、その手続き等についてもプライバシーポリシーに明示が必要です(法76条以下)。あわせて文科省はMEXCBTで収集した個人データについて、原則として生徒や保護者の同意のない目的外利用や第三者提供は禁止されます(法69条)。

第四に、2022年の個人情報保護法改正で、個人情報保護委員会は行政機関等に対しても個人情報の取扱いに関して報告徴求や立入検査、行政指導などを実施することができるようになりました(法153条、154条)。そのため、個人情報保護委員会は、MEXCBTやGIGAスクール構想、「行政の保有する子どもの個人データの共有プラットフォーム構想」などにおける個人情報の取扱いに関して、文科省やデジタル庁、子ども家庭庁などに対して、報告徴求や立入検査などを実施し、行政指導などを行うべきではないでしょうか。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・岡村久道『個人情報保護法 第4版』624頁、457頁

■関連する記事
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた



[広告]










このエントリーをはてなブックマークに追加 mixiチェック

fantasy_themis_blind
KSB瀬戸内海放送などの報道によると、本日(2022年8月30日)、香川県ゲーム条例訴訟について高松地裁で、残念ながら原告の大学生らの請求を棄却する判決が出されたとのことです。

・【速報】香川県のゲーム条例は「憲法に反しない」 原告の大学生らの訴えを退け 高松地裁|KSB瀬戸内海放送

この訴訟は、18歳未満の子どものゲームの利用は平日60分、休日90分まで、スマートフォン等の使用は午後9時または10時までを目安として家庭でルールを作り、保護者に守らせる努力義務を課すという香川県のネット・ゲーム条例は憲法違反であると香川県の当時高校生の方が訴訟を提起したものです。

報道によると、原告側の訴えは、①本条例は家庭における親の子どもの教育・しつけに関する自己決定権(憲法13条)の侵害であること、②子どものゲームやスマホの利用に関する自己決定権の侵害であること、③子ども等のゲームをする権利(憲法13条の幸福追求権から導き出される「新しい人権」)の侵害であること、④そもそも本条例はゲームやスマホを依存症とするが、それは科学的根拠が欠けていること、などの内容であったそうです。

これに対して高松地裁の本日の判決は、「医学的知見が確立したとは言えないまでも、過度のネット・ゲームの使用が社会生活上の支障や弊害を引き起こす可能性は否定できず、条例が立法手段として相当でないとは言えない」と指摘し、また、「条例は原告らに具体的な権利の制約を課すものではない」などとして、「憲法に違反するものということはできない」と、原告の訴えを退けたとのことです。(KSB瀬戸内海放送の記事より。)

この点、本判決は「努力義務にすぎないから違憲でない」としているようですが、努力義務なら憲法の定める国民の基本的人権を制限する、あるいは憲法の定める基本的人権に反するような内容の条例でも許されると考えているようですが、このような考え方には疑問が残ります。

いうまでも無いことですが、憲法は国の最高法規(憲法98条1項)であり、国の行政機関も自治体も裁判所も憲法を遵守する必要があります。国・地方の公務員や裁判官は憲法尊重擁護義務を負っています(99条)。そして日本を含む西側自由主義諸国の近代憲法は、国民の個人の尊重と基本的人権の確立が目的であり、国・自治体や裁判所などの統治機構はその手段であるという構造をとっています(11条、13条、97条)。

そのように考えると、香川県が憲法の定める基本的人権に不当な介入をし、「子供の親への愛着を育てる」などの自由主義とは相いれない家族主義的・集団主義的な思想を押し付けるかのような本条例はやはり違法・違憲と評価せざるを得ないのではないでしょうか。

また、本条例は香川県議会での審議やパブリックコメントの手続き面でも多くの問題点が指摘されていましたが、それらが裁判所で十分に審理されたのかも気になるところです。

本判決において、高松地裁は、香川県とその議会の、地方自治体の自律権あるいは地方自治(92条)を重視し、本条例を違法・違憲とはしなかったのかもしれません。しかし裁判所は"基本的人権の最後の砦"であることを考えると、香川県の子どもとその親の基本的人権を軽視した本判決には疑問が残ります。

最後に、本判決により、「努力義務であれば憲法の定める基本的人権の規定や趣旨を制約したり、それらに反するような思想を押し付ける条例も合憲である」との考え方が司法上、裁判例として定着してしまうと、他の自治体や国の政策への悪い影響がおよぶことが懸念されます。

■関連する記事
・「幸福追求権は基本的人権ではない」/香川県ゲーム規制条例訴訟の香川県側の主張が憲法的にひどいことを考えた
・香川県ネット・ゲーム依存症対策条例素案を法的に考えた-自己決定権・条例の限界・憲法94条・ゲーム規制条例



[広告]






このエントリーをはてなブックマークに追加 mixiチェック

ラインのアイコン
1.LINE社のLINE通知メッセージ
ネット上でLINEの「LINE通知メッセージ」は個人情報保護法的に大丈夫なのか?という声があがっています。

「LINE通知メッセージ」とは、郵便局(日本郵便)の「郵便局eお届け通知」などのメッセージが、郵便局等のアカウントを友だち追加していなくても勝手に突然届くサービスのことです。LINE社の説明サイト「LINE通知メッセージを受信する方法」などによると、本サービスは郵便局などの提携事業者から電話番号とメッセージを、委託されたLINE社が自社が保有する顧客個人データの電話番号と突合し、該当するユーザーに当該メッセージを送信するものであるそうです。またLINE社は該当するユーザーのユーザー識別符号を郵便局などの提携事業者に第三者提供するそうです。そしてユーザー本人はLINEの設定画面からこのユーザー識別符号の提供をオプトアウト手続きで停止することができるとされています。

結論を先取りしてしまうと、この「LINE通知メッセージ」は、①いわゆる委託の「混ぜるな危険」の問題(個人情報保護法27条5項1号)の違反②提携企業にユーザー識別符号をオプトアウト方式で提供するとなっていること等がプライバシーポリシーに明記がなく法27条2項違反、の2点で違法なのではないかと思われます。

2.委託の「混ぜるな危険」の問題
個人情報保護委員会(PPC)の個人情報保護法ガイドラインQA7-41は、委託に伴って委託元から提供された個人データを委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできないとしています。

これは「委託」(個人情報保護法27条5項1号)とは、PCへのデータ入力など委託元ができる業務を委託先に委託するスキームであり、委託元ができないことを委託先に行わせることは「委託」のスキームを超えるものであるからです。これはいわゆる「委託の「混ぜるな危険」の問題」と呼ばれるものです(岡村久道『個人情報保護法 第4版』327頁、田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁)。

個人情報保護法ガイドラインQA7-41
(個人情報保護法ガイドラインQA7-41。個人情報保護委員会サイトより)

この点、LINE社の「LINE通知サービス」は日本郵便などの委託元から提供された電話番号という個人データを委託先であるLINE社が独自に収集して保有するユーザーの電話番号等の個人データと突合し、該当するユーザーに提供されたメッセージ等を表示するものであり、個人情報保護法の「委託」のスキームを踏み越えており違法なものです(法27条5項1号、個人情報保護法ガイドラインQA7-41)。(もしLINE社がこのような業務を行うためには、第三者提供の原則に戻って、ユーザー本人のあらかじめの本人の同意が必要となります(法27条1項)。)

3.「LINE通知サービス」のオプトアウト手続き
つぎに、個人情報保護法27条2項はオプトアウト方式による第三者提供のためには、第三者に個人データをオプトアウト方式で提供することをプライバシーポリシーなどの利用目的に明示すること(法27条2項2号)や、本人はオプトアウトできること(同6号)等の事項をあらかじめプライバシーポリシー等に表示しなければならないと規定していますが、LINE社のLINEのプライバシーポリシーにはその明示がありません。 パーソナルデータの利用目的
(LINEの「パーソナルデータの利用目的」。LINE社のLINEプライバシーポリシーより)

そして、LINEプライバシーポリシーの「4.d.お客様に最適化されたコンテンツの提供」と、Google検索などでようやく出てくる「LINE通知メッセージを受信する方法」サイトやLINEの設定画面などを読んでようやく「LINE通知サービス」の概要とオプトアウト方法が分かるのは、個人情報保護法27条2項違反と言わざるを得ないのではないでしょうか。 お客様に最適化されたコンテンツの提供
(LINEプライバシーポリシーの「4.d.お客様に最適化されたコンテンツの提供」より)

LINE通知メッセージを受信する方法
(LINE社サイト「LINE通知メッセージを受信する方法」より)

LINE通知メッセージの設定画面
(LINEアプリの設定画面の「LINE通知メッセージの設定画面」より)

4.個人情報・個人関連情報
なお、LINE社はユーザー識別符号や電話番号は個人情報ではないと反論するかもしれません。しかし、提供元のLINE社内の顧客情報DB等を照合して、「個人に関する情報」であって「あの人、この人」と「個人を識別できるもの」は個人情報です(法2条1項1号)。

PSX_20220610_102905
(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁より)

また、万一、これらのユーザー識別符号や電話番号が個人情報でないとしても個人関連情報に該当するので、第三者提供にはやはり本人の同意が必要です(法31条1項1号)。

5.まとめ
このように、「LINE通知メッセージ」は、①いわゆる委託の「混ぜるな危険」の問題(個人情報保護法27条5項1号)の違反②提携企業にユーザー識別符号をオプトアウト方式で提供するとなっていること等がプライバシーポリシーに明記がなく法27条2項違反、の2点で違法なのではないかと思われます。

LINE社のLINEは2021年3月に、峯村健司氏などの朝日新聞のスクープ報道により個人情報の杜撰な取扱いが発覚し、大きな社会問題となり、個人情報保護委員会と総務省から行政指導を受けました。また内閣官房・個人情報保護委員会・金融庁などは、行政機関・自治体のLINE利用のガイドラインを制定する等しました。Zホールディングスが設置した有識者委員会の最終報告書は、LINE社内の情報セキュリティ部門などが繰り返し問題点を経営陣に伝えていたのに、出澤剛社長ら経営陣はそれらの問題の解決を放置していたことなど、LINE社の経営陣はコンプライアンスやガバナンスの意識が欠落していたことを指摘していました。出澤社長を始めとするLINE社は、コンプライアンスとガバナンスの徹底を記者会見などで誓ったはずですが、この「LINE通知メッセージ」の個人情報保護法違反の問題には、LINE社の姿勢に大きな疑問が残ります。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■関連する記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・LINEの改正プライバシーポリシーがいろいろとひどいー委託の「混ぜるな危険」の問題・外国にある第三者
・LINE Pay の約13万人の決済情報がGitHub上に公開されていたことを考えた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・CCCがトレジャーデータと提携しTポイントの個人データを販売することで炎上中なことを考えたー委託の「混ぜるな危険」の問題

■参考文献
・岡村久道『個人情報保護法 第4版』319頁
・田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁
・鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁













このエントリーをはてなブックマークに追加 mixiチェック

ラインのアイコン

1.LINEがプライバシーポリシーを改正
LINE社が3月31日付でLINEのプライバシーポリシーを改正するようです。その内容は、①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用、②統計情報の作成・提供、③越境移転に関する情報の追加、の3点となっています。

このなかで①②はどちらも他社データをLINEの保有する個人データに突合・名寄せをして該当するユーザーに広告やメッセージ等を表示する等となっておりますが、これは委託の「混ぜるな危険の問題」に該当し、本年4月施行の個人情報保護委員会(PPC)の個人情報保護法ガイドラインQA7-41、42、43から違法の可能性があると思われます。また、この改正がLINEのプライバシーポリシー本体に記載されていないこと、昨年3月に炎上した「外国にある第三者」の外国の個人情報保護の制度等の情報の部分が「準備中」となっていることも個人情報保護法上問題であると思われます。

・プライバシーポリシー改定のお知らせ|LINE
・LINEプライバシーポリシー|LINE

2.①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用
LINE社の「LINEプライバシーポリシー変更のご案内」によると、「①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用」は、「ユーザーの皆さまへ提携事業者が「公式アカウントメッセージ送信」や「広告配信」などを行う際、当該提携事業者から取得した情報(ユーザーの皆さまを識別するIDなど)をLINEが保有する情報と組み合わせて実施することがあります。」と説明されています。

ラインプライバシーポリシー変更のご案内2
(LINE社の「LINEプライバシーポリシー変更のご案内」より)

そして、この点を詳しく説明した「LINEプライバシーポリシー改正のご案内」は①についてつぎのように説明しています。

情報の流れ
1.A社(提携事業者)が、商品の購入履歴のあるユーザー情報(ユーザーに関する識別子、ハッシュ化されたメールアドレス、電話番号、IPアドレス、OS情報など)を加工してLINEに伝える
   ↓
2.LINEが、A社から受け取ったユーザー情報の中からLINEのユーザー情報だけを抽出する
   ↓
3.抽出されたユーザーに対して、A社の保有するLINE公式アカウントからのメッセージ送信や、広告の配信を実施する
ライン1
ライン2
(LINE社の「LINEプライバシーポリシー変更のご案内」より)

この「情報の流れ」によると、LINE社の提携事業者A社は、ユーザーを識別するためのハッシュ化されたメールアドレス、電話番号、IPアドレスなどのユーザー情報をLINE社に提供し、当該ユーザー情報をLINE社は同社が保有する個人データ(個人情報データベース)と突合・名寄せし(=混ぜる)、LINEのユーザー情報だけを抽出し、当該抽出されたユーザーに対して、A社の保有するLINE公式アカウントからのメッセージ送信や、広告の配信を実施するとなっています。

3.委託の「混ぜるな危険」の問題
しかしこのプロセス中の、「提携事業者A社は、ユーザーを識別するためのユーザー情報をLINE社に提供し、当該ユーザー情報をLINE社は同社が保有する個人データ(個人情報データベース)と突合・名寄せし、LINEのユーザー情報だけを抽出する」というプロセスは、いわゆる委託の「混ぜるな危険の問題」そのものです。

この点、PPCの「個人情報保護法ガイドライン(通則編)」(2022年4月1日施行版)3-6-3(1)は、委託の「委託先は、委託された業務の範囲内でのみ本人との関係において委託元である個人情報取扱事業者と一体のものと取り扱われることに合理性があるため、委託された業務以外に当該個人データを取り扱うことはできない」と規定しています(個人情報保護法ガイドライン(通則編)3-6-3 第三者に該当しない場合(法第27条第5項・第6項関係)(1)委託(法第27条第5項第1号関係))。

そして改正前のPPCの個人情報保護法ガイドラインQA5-26-2は、「委託先が委託元から提供された個人データを他社の個人データと区別せずに混ぜて取り扱う場合(いわゆる「混ぜるな危険」の問題)について、委託として許されない」としています(田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁)。

すなわち、委託(改正個人情報保護法27条5項1号・改正前法23条第5項第1号)とは、コンピュータへの個人情報のデータ入力業務などのアウトソーシング(外部委託)のことですが、委託元がすることができる業務を委託先に委託できるにとどまるものであることから、委託においては、委託元の個人データを委託先の保有する個人データと突合・名寄せなどして「混ぜて」、利用・加工などすることは委託を超えるものとして許されないとされているのです。

そして、2022年4月1日施行の改正版のPPCの個人情報保護法ガイドラインQA7-41はこの点を次のように明確化しています。
Q7-41
委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか。

A7-41
個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1)既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること

事例2)既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること

これらの取扱いをする場合には、①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。(令和3年9月追加)

QA7-41
(個人情報保護法ガイドラインQA7-41より)

したがって、委託先であるLINE社が委託元の提携事業者A社から商品の購入履歴のあるユーザー情報を受け取り、LINE社が自社が保有する個人データと当該A社の他社データを突合・名寄せしてユーザーを抽出し、当該ユーザーに広告やダイレクトメールを送信するなどの行為は、PPCの個人情報保護法ガイドラインQA7ー41の事例1、事例2にあてはまる行為であるため許されません。

この点、PPCの個人情報保護法ガイドラインQA7ー41はこの委託の「混ぜるな危険」の問題をクリアするためには、「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要がある」としています。

そのため、LINE社が第三者提供としての本人の同意を取得しないと、今回のLINE社のプライバシーポリシーの改正の①の部分は違法となります。

4.「本人の同意」について
なおこの場合は、法27条5項1号の「委託」に該当しないことになり、原則に戻るため、法27条1項の本人の同意が必要となるため、法27条2項のオプトアウト方式による本人の同意では足りないことになります(岡村久道『個人情報保護法 第3版』263頁)。

また、個人情報保護法ガイドライン(通則編)3-4-1は、本人の同意の「同意」について、「同意取得の際には、事業の規模、性質、個人データの取扱状況等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなくてはならない」と規定しています。

しかし、LINE社のスマホアプリ版のLINEを確認すると、冒頭でみたように、①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用、②統計情報の作成・提供、③越境移転に関する情報の追加、の3点が簡単に表示されているだけで、①②が委託の「混ぜるな危険の問題」に関するものであることの明示もなく、プライバシーポリシーの改正への「同意」ボタンしか用意されていません。これではPPCのガイドラインの要求する「本人の同意」に関する十分な説明がなされていないのではないかと大いに疑問です。

5.プライバシーポリシーに記載がない?
さらに気になるのは、LINE社の改正版のプライバシーポリシーをみると、上の①②に関する事項が「パーソナルデータの提供」の部分にまったく記載されていないようなことです。さすがにこれはひどいのではないでしょうか。たしかに「LINEプライバシーポリシー変更のご案内」には最低限の記載は存在し、これやプライバシーポリシーを両方とも一体のものとして読めばいいのかもしれませんが、これで通常の判断能力を持つ一般人のユーザーは合理的にLINEのプライバシーポリシーの改正を理解できるのでしょうか?

パーソナルデータの提供
(LINEプライバシーポリシーより)

LINE社の経営陣や法務部、情報システム部などは、昨年、情報管理の問題が国・自治体を巻き込んで大炎上したにもかかわらず、あまりにも情報管理を軽視しすぎなのではないでしょうか。

6.「②統計情報の作成・提供」について
LINE社のプライバシーポリシーの改正点の2つ目の「②統計情報の作成・提供」は、「LINEプライバシーポリシー変更のご案内」によると、広告主等の提携事業者から情報(ユーザーの皆さまを識別するIDや購買履歴など)を受領し、LINEが保有する情報と組み合わせて統計情報を作成することがあります。提携事業者には統計情報のみを提供し、ユーザーの皆さまを特定可能な情報は提供しません。」と説明されています。

ライン3
ライン4
(「LINEプライバシーポリシー変更のご案内」より)

つまり、「②統計情報の作成・提供」も①と同様に広告主などの提携事業者の他社データをLINE社が自社の個人データと突合・名寄せして、ユーザーの行動傾向や趣味・指向などを分析・作成等するものであるようです。LINE社は分析・作成した成果物は統計情報であるとしていますが、4月1日施行のPPCの個人情報保護法ガイドラインQA7ー38は、成果物が統計情報であったとしても、委託元の利用目的を超えて委託先が当該統計情報を利用等することはできないと規定しており、同時に同QA7ー43も、統計情報を作成するためであったとしても、委託の「混ぜるな危険の問題」を回避することはできないと規定しています。したがって、②の場合についても、第三者提供として本人の同意を取得しない限りは、同取扱いは違法となります。

7.「外国にある第三者」の外国の個人情報保護の制度等の情報の部分が「準備中」?
さらに、今回のLINE社のプライバシーポリシー改正の三番目の「③越境移転に関する情報の追加」の部分については、プライバシーポリシーの該当部分の「外国のパーソナルデータ保護の制度等の情報はこちら」の部分をクリックして開いても、「ただいま準備中てす」との文言しか表示されませんでした(2022年3月28日現在)。この「外国にある第三者」に係る外国の個人情報保護の制度等の情報については、あらかじめ本人に提供しなければならないと改正個人情報保護法28条2項が明記しているのにです。PPCや総務省からみて、LINE社のこのような仕事ぶりが許容されるのか大いに疑問です。

(なお、プライバシーポリシーも民法の定型約款の一種ですが、民法548条の2第2号の規定から、事業者は契約締結や契約が改正された場合はあらかじめ約款の表示が必要と解されています。PPCサイトにはすでに事業者が参考になる外国の制度等の情報が掲載されていることも考えると、3月下旬ごろからプライバシーポリシー改正の本人同意の取得をはじめているLINE社のプライバシーポリシーの一部が未完成なのは、民法や消費者保護の観点からもやはり大問題です。)

ただいま準備中です
(LINE社のプライバシーポリシーより)

8.まとめ
このように、今回、LINE社がプライバシーポリシーを改正した①②は、委託の「混ぜるな危険」の問題に関するものであり、LINE社は第三者提供の本人の同意を取得しなければ違法となります。この「本人の同意」について、PPCの個人情報保護法ガイドライン(通則編)は、「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示す」ことが必要としているにもかかわらず、LINE社の説明はオブラートにくるんだようなものであり、これで通常の一般人のユーザーがプライバシーポリシーの改正内容を十分理解をした上で「本人の同意」をできるのか非常に疑問です。とくに今回の改正内容がプライバシーポリシー本体に盛り込まれていないことは非常に問題なのではないでしょうか。

また、「外国にある第三者」の外国の個人情報保護法制などの制度の情報に関する部分が「準備中」となっているのも、昨年3月にこの部分が大炎上したことに鑑みても非常に問題です。

LINEの日本のユーザー数は約8900万人(2021年11月現在)であり、日本では最大級のSNSであり、またLINE社は2021年3月に朝日新聞の峰村健司氏などのスクープ記事により、個人情報の杜撰な管理が大炎上したのに、LINE社の経営陣や法務部門、情報システム部門、リスク管理部門などの管理部門は、社内の情報管理をあいかわらず非常に軽視しているのではないでしょうか。大いに疑問です。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・宇賀克也『新・個人情報保護法の逐条解説』245頁、277頁
・岡村久道『個人情報保護法 第3版』246頁、125頁
・佐脇紀代志『一問一答令和2年改正個人情報保護法』52頁、54頁
・田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁
・児玉隆晴・伊藤元『改正民法(債権法)の要点解説』108頁

■関連する記事
・2022年の改正職業安定法・改正個人情報保護法とネット系人材紹介会社や就活生のSNS「裏アカ」調査会社等について考えるープロファイリング
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・個人情報保護法改正対応の日経新聞の日経IDプライバシーポリシーの改正版がいろいろとひどい
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・ドイツ・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権について
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園・「デジタル・ファシズム」
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・CCCがトレジャーデータと提携しTポイントの個人データを販売することで炎上中なことを考えたー委託の「混ぜるな危険」の問題





















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ