なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:コロナ

dai_byouin2
1.茨城県のコロナ接触確認システムに県民の登録が法的義務化!?
新聞報道などによると、茨城県は新型コロナに関する県独自の感染確認システム(「いばらきアマビエちゃん」)において、同県の事業者・店舗だけでなく、県民に対しても条例を制定し同システムへの登録を法的義務とする方針であるとのことです。住民・国民への法的義務付けはわが国初だそうです。
・【8月18日発表】「茨城県新型コロナウイルス感染症の発生の予防又はまん延の防止と社会経済活動との両立を図るための措置を定める条例」案について|茨城県
・「いばらきアマビエちゃん」について|茨城県

そこで、茨城県サイトをみると、同システムは個人のスマホ側でなく茨城県のシステム側に個人のメルアドを集めて管理する中央集権型システムのようです。

ところで、県サイトのQAをみると、「氏名、住所などは収集しない。」「位置情報は収集しない」となっています。

しかし、◯月◯日に登録した個人がどの企業・店舗にいたかとの位置情報は県システムは把握してるはずだが…?そうでないと通知のメールを登録をした県民に送れなくなってしまいます。

また、県サイト上の同条例案の説明資料を読むと、県民側の権利利益としては、「コロナ差別が問題となるが、それは本条例案で『コロナ差別禁止』条項を盛り込むので問題ない」、という整理になっているようです。県民の個人情報保護やプライバシー権・自己決定権などはスルーなのでしょうか…?

この点はまさか、茨城県としては、「氏名、住所などを県民に入力させていないから『個人情報』は収集していない。」という化石のような理解なのでしょうか!?もしそうなら唖然としてしまいますが。

世界の自由主義諸国の18世紀以降の近代憲法は、自由主義つまり国民の自由を最大限尊重することを理念とするものです。そして、国民の個人情報保護やプライバシー権・自己決定権は国民の精神的な人権の根本にかかわる基本的人権の問題です。とくに傷病に係る情報はセンシティブな個人情報です。

とはいえコロナの感染拡大は世界的に非常に深刻な問題です。そのため、両者のバランスをとるために、WHOなどは、”原則、コロナの接触確認アプリ等は、国が開発・運営し、インストールや利用はそれぞれの国民の任意に委ねるべき”との見解を出しており、また、それを受ける形で、GoogleやAppleもほぼ同様の考え方のもとに接触確認アプリのプラットフォームを提供しています。

県独自の取り組みとはいえ、茨城県も接触確認アプリ類似の制度として本システムを開発・運用しているのですから、本システムを開発・運用する上では、県民の個人情報やプライバシーについて十分検討を行った上で開発・運用を実施すべきです。

にもかかわらず、少なくとも県サイトに掲載されている資料上からは、そのような検討がまったくないままに県民への本システムへの強制が条例化されることには、大きな違和感があります。

2.県民の協力義務
また、本条例案は、「県民の協力義務」という条項がギラギラしています。感染や濃厚接触が県にばれたら、県職員などが県民の居宅や勤務先に乗り込んできて、身柄確保の上での取り調べや捜査・押収を始めるのでしょうか?

それはさすがに、憲法の定める令状主義(憲法31条、35条)や強制処分法定主義などの刑事訴訟法等に反してないかと不安になります。

戦前の治安維持法のようなノリと空気を感じますが、茨城県はいろいろと大丈夫なのでしょうか?


人気ブログランキング

2020年個人情報保護法改正と実務対応

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

内閣府(CIO)の新型コロナ感染追跡アプリ(COCOA・以下「感染追跡アプリ」)のシステム仕様書をざっと読んでみました(「接触確認アプリ及び関連システム仕様書(案)[概要])」)。
・接触確認アプリ及び関連システム仕様書(案)[概要]|内閣府 CIO

接触感染アプリの仕組み
(内閣府の仕様書より)

仕様書において、内閣府は一生懸命「個人情報やプライバシー的に問題ない!」と力説していますが、コロナ感染発覚の時点で保健所が「コロナ感染者把握・管理支援システム」に感染者の個人データを登録するから、はなから国民にプライバシーないのではないでしょうか?

コロナアプリ情報の流れ
(内閣府の仕様書より)

また仕様書によると、内閣府は「本アプリから生成され発信される識別符号は毎日変更されるから、個人情報上の問題はない!」などと主張しています。

しかし、生成したスマホアプリ自身からは当該識別符号から本人を特定できるはずです。つまり、それは、本人を容易に識別できるのから個人情報そのものです(個人情報保護法2条1項)。なのに、どこが個人情報保護法上あるいはプライバシー(憲法13条)上問題ないといえるのでしょうか。

政府は「個人情報保護法上あるいはプライバシー上の問題」を、「セキュリティ上の安全性がある程度高い」という問題にすり替えてるだけに思えます。

一方国民側は、建前上は「任意」といいつつ、微妙なアプリをスマホにインストールさせられて、何かあると自らの医療データに関するセンシティブな個人データをアプリに入力する手間が増えるだけで、国民側にはそれほどメリットがあるとは思えません。

結局、コロナ感染追跡アプリのメリットは、保健所のデータ入力の事務負荷が少し下がる程度なのではないでしょうか。

スマホアプリの新技術でこんなことできるたらいいなと漠然と官民が考えて、効果の過多もわからないまま、国民のセンシティブな個人情報を取得したり、プライバシー上妙なことをするのは、OECD8原則の「個人情報の必要最小限度の取得」の原則や、「個人情報の利用目的をできるだけ厳格化して国民本人の個人情報・プライバシーを守る」という個人情報保護法15条の趣旨に反するのではないでしょうか。

新聞記事などを読むと、このアプリおよびシステムが有効な効果をあげるためには、国民のおよそ3分の2がアプリをインストールする必要があるそうですが、先行事例のあの強権的国家のシンガポールでも、国民はプライバシー侵害をおそれてそのほんの数分の1程度しかアプリをインストールしていないといいます。この感染追跡アプリが日本で成功するとはとても思えません。

内閣府CIOの資料をみていると、官民のITオタク達が、「ボクたちの考えた最強のインターネット」を国の予算で作ってドヤ顔したいだけに見えます。

コロナ対策として効果が漠然としているのなら、日本は中国やシンガポールなどと違い、国民主権の自由主義国なのだから、そんなアプリよりも国はもっと国民個人のプライバシー権や個人情報を守るべきではないでしょうか。国民の個人情報やプライバシー侵害のおそれがあるにもかかわらず、本アプリの企画・開発に、通信傍受法などのような国会の立法手当てがないことには不安を感じます。

コロナ対策としては、妙なITに頼るのではなく、今までどおり、地域や拠点の病院での治療や物資・人員を充実させること、国民はマスクや手洗いの徹底などの取り組みを地道に行うのが早道なのではないでしょうか。

■追記(6月18日)
なお、内閣府CIOサイトの5月26日付の感染確認アプリに関する有識者検討会合「感染確認アプリ及び仕様書に対するプライバシーおよびセキュリティ上の評価およびシステム運用上の留意事項」2頁、3頁は、①厚労省の感染者システムから国民のスマホの本アプリに発行される「処理番号」と、②陽性者と紐付けられた本アプリが作成する識別符号である「診断キー」は、行政機関個人情報保護法および個人情報保護法における要配慮個人情報、つまりセンシティブな個人情報であると明記しています。
・資料2: 「接触確認アプリ及び関連システム仕様書」に対するプライバシー及びセキュリティ上の評価及びシステム運用留意事項|政府CIOポータルサイト

この点、本アプリについては、首相やコロナ担当大臣などが記者会見などで繰り返し「本アプリは個人情報をまったく収集しない安全なものなので、安心して利用してもらいたい」旨の説明を行っています。

しかし個人情報保護法17条などは、「偽りその他不正の手段」による個人情報の取得などを禁止しています。国は、国民・利用者を「偽り」、本アプリで傷病データや行動履歴、利用者の友人・知人とのつながりなどの個人情報を違法に取得しているのではないでしょうか。

国が本当に本アプリの目的・手段などが正当であると考えるなら、国民・利用者に対して、「本アプリは利用者の個人情報を取得・利用するが、それは目的のために必要最低限のものである」等と偽りでない正確な情報開示を行い、その上で本アプリをリリースして運用すべきではないでしょうか。


人気ブログランキング

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

個人情報保護法の逐条解説--個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法 第6版

このエントリーをはてなブックマークに追加 mixiチェック

LINE厚労省コロナ

3月31日より、新型コロナウイルスに関して厚労省がLINEを使って情報収集していますが、法的に大丈夫なのか大いに疑問です。

・厚生労働省とLINEは「新型コロナウイルス感染症のクラスター対策に資する情報提供に関する協定」を締結しました|厚労省

健康状態や病気・ケガに関する情報・データは、個人情報のなかでもセンシティブで慎重な取り扱いが必要な要配慮個人情報です(個人情報保護法2条3項、行政機関個人情報保護法2条4項)。第三者提供等は原則禁止となっています(個人情報保護法23条)。また一般の個人情報よりも厳重な安全管理措置が事業者等に課されます。

ところが、このような厳重に取り扱われなければならない病歴などの個人データについて、厚労省やLINEは法的に検討することを止めてしまっているように思われます。

厚労省のウェブサイトには、今回のLINEとのコロナの件に関するプライバシーポリシーなどは全く掲載されていません。また、LINEのウェブサイトのプライバシーポリシーも19年5月改正版にとどまっています。

個人情報のなかでもセンシティブな医療データの収集という場面でありながら、取得された医療データがどんなことに使われるのか・何には使われないのかという個人情報の利用目的や、これらの個人情報がどんな団体に第三者提供・共有・委託されるのか等々が事前にLINEの利用者の国民に何も明示されていません。

医療情報がLINEや厚労省などにおいて、どのように利用されるのか利用目的がまったく特定されておらず、国民の個人情報がLINEや厚労省あるいはその他の民間企業などに好き放題に利活用されてしまうおそれが大いにあります。これは個人情報保護法15条に明らかに反しています。

これでは利用者・国民は個人としての、自分の医療情報・個人情報をLINEや厚労省などに提供するかどうかの十分な検討に基づく判断ができません。利用者からLINEに提供された個人情報がLINEから厚労省などに第三者提供される際の「本人の同意」が十分に得られておらず違法です(23条)。

これは個人情報の取得において、利用目的などを明確化せよと規定する個人情報保護法18条に抵触しています。

また、メディアの報道によると、厚労省などはLINEやヤフー等のプラットフォーム事業者から、利用者の病歴データだけでなく検索履歴や位置情報を徴収するとのことです。この点、個人情報保護法16条(目的制限)3項3号と23条(第三者提供)の1項3号は、個人情報の目的外利用と第三者提供が許されるのは、「公衆衛生の向上のため…特に必要」の場合としてることから、国がなんとなく見込み捜査的に要求しLINEが応じるのはやはり違法ではないかと思われます。法が許容するのは「特に必要」な場合であって、「漠然と必要」「何となく必要」では法の文言に抵触しているからです。

・LINE、新型コロナ調査結果を提出 厚労省に|日経新聞

さらに、利用者の何千万人分もの検索履歴などの個人データをLINEやヤフー等が国に提供することは、端的にプライバシー侵害なのではないでしょうか(憲法13条、民法709条)。新聞記事などによると、政府はヤフーから提供された検索履歴や位置情報から、検索内容によりコロナに感染している国民を割り出し対処を行うとしています。しかし法令に根拠がないのに、国が警察・検察の捜査のようなまねが法的に許容されるのでしょうか。

あるいは、利用者本人のほとんどは、LINEなどに対して、友人・知人との会話・通話などを目的として、安心して会話等を行い、あらかじめ自らの個人情報などプライバシー情報をLINE等に提供しています。まさかそのLINE等が自分の同意を得ることなく勝手に自らのプライバシー情報を国に第三者提供されるとか予見できない状況です。これは、いずれも事業者・大学側がプライバシー侵害として違法と判断された、早大名簿提出事件(最高裁平成15年9月12日)やベネッセ事件(最高裁平成29年10月23日)と同じ状況であると思われます。

最後に、厚労省などがLINE等から利用者の病歴データや検索履歴を徴収するということは、利用者の内心や私的領域のデリケートな情報を大規模かつ網羅的に国が取得するということです。すなわち、憲法21条2項、電気通信事業者法4条などの定める、検閲禁止や通信の秘密の漏洩禁止に違反しているのではないかという問題があります。通信傍受法などと異なりコロナの件では根拠法もなく、政府からの「要請=任意のお願い」で何千万人分の膨大なデータをLINEやヤフーなどが政府に提供することは、正当業務行為や緊急避難で説明することは無理筋であると思われます。

厚労省とLINEは、個人情報保護法や憲法などをまるで無視して暴走しているようですが、これではもはや日本は法治国家や文明国家とは言えません。国民の一人として、私も一日も早い新型コロナウイルスの収束を強く願っています。とはいえ、わが国が民主主義国家である以上、政府は国民から信託を受けたサービス機関として、できるだけ法令を遵守し、もしこの世界的な危機時に法令では対応が追い付かない場合は、せめて国民に対して誠実な説明や情報開示を行うべきであると思われます。

個人情報保護法の逐条解説--個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法 第6版

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ