なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:コンプライアンス

tatemono_yuubinkyoku (2)
1.はじめに
朝日新聞などの報道によると、郵便局(日本郵便)が「お客さま感謝デー」と銘打ったイベントなどで、ゆうちょ銀行の保有する顧客の個人データを顧客の同意なしにかんぽ生命の保険営業に流用していたことがわかったとのことです。かんぽ生命は9月20日、保険業法違反の恐れがあるとして金融庁に報告。日本郵便は同日、全国の郵便局に対し、銀行データを使ったイベントは企画中のものも含めてすぐに中止するよう指示を出したとのことです。日本郵便は、「銀行システムで貯金残高や年齢が条件に合う顧客を検索・リスト化し、一時払い終身保険などを売るために来局を促す」等の行為をしていたとのことです。(「ゆうちょ顧客データ、かんぽ営業に不正流用 郵便局で保険業法違反か」朝日新聞2024年9月21日付)。このブログ記事では、この事件を保険業法の観点からみてみたいと思います。

2.非公開金融情報保護措置
郵便局(日本郵便)は、ゆうちょ銀行から銀行業の一部の委託を受けている銀行等代理店です。その銀行等代理店は、保険募集を行う際には、銀行の業務において取扱う顧客に関する情報(個人情報)の利用について、事前に書面その他の適切な方法により、当該顧客の同意を得なければならないとされており、そのための措置は非公開金融情報保護措置と呼ばれています(保険業法施行規則212条2項1号、212条の2第2項1号)。

保険業法施行規則
第212条
 生命保険募集人である銀行等又はその役員若しくは使用人が前項各号に掲げる保険契約の締結の代理又は媒介を行うときは、当該銀行等は、次に掲げる要件を満たさなければならない。
 銀行等が、顧客に関する情報の利用について、次に掲げる措置を講じていること。
 その業務(保険募集に係るものを除く。)において取り扱う顧客に関する非公開金融情報(その役員又は使用人が職務上知り得た顧客の預金、為替取引又は資金の借入れに関する情報その他の顧客の金融取引又は資産に関する公表されていない情報(第五十三条の九に規定する情報及び第五十三条の十に規定する特別の非公開情報を除く。)をいう。次条第二項第一号、第二百十二条の四第二項第一号、第二百十二条の五第二項第一号及び第二百三十四条第一項第十八号において同じ。)が、事前に書面その他の適切な方法により当該顧客の同意を得ることなく保険募集に係る業務(顧客が次項に規定する銀行等生命保険募集制限先に該当するかどうかを確認する業務を除く。)に利用されないことを確保するための措置
「非公開金融情報」とは、銀行等が職務上知り得た顧客の預金、為替取引または資金の借入に関する情報その他の顧客の金融取引または資産に関する公開されていない情報と規定されています(ただし、氏名・住所・電話番号・性別・生年月日・職業の属性情報は除く。保険業法施行規則212条2項1号イ)。

この点、冒頭の新聞記事によると、郵便局は、「銀行システムで貯金残高や年齢が条件に合う顧客を検索・リスト化し、一時払い終身保険などを売るために来局を促す」ためにイベント等を開催していたとのことであり、貯金残高などの情報は非公開金融情報に該当します。

つぎに、非公開金融情報保護措置とは、保険募集に係る業務において銀行等の非公開金融情報が事前の顧客の同意なしに利用されることを防止するための措置であるところ、どのような業務が「保険募集に係る業務」に該当するのかが問題となりますが、金融庁のパブリックコメント回答は、「もっぱら保険募集のために一定金額以上の預金を有する者の選定を行う準備作業」、「もっぱら保険募集のために顧客のリストを作成する行為等」も「保険募集に係る業務」に該当するとして、事前の顧客の同意が必要としています(中原健夫・山本啓太・関秀忠・岡本大毅『保険業務のコンプライアンス 第4版』273頁)。

この点、冒頭の新聞記事によると、「日本郵便は…顧客が来局したあとに同意を得れば問題ないと認識していた」とあります。

しかし日本郵便が行っていたのは、「銀行システムで貯金残高や年齢が条件に合う顧客を検索・リスト化し、一時払い終身保険などを売るために来局を促す」ものであったのですから、これは金融庁のパブコメ回答の「もっぱら保険募集のために一定金額以上の預金を有する者の選定を行う準備作業」や「もっぱら保険募集のために顧客のリストを作成する行為等」類似の行為であり、「保険募集に係る業務」に該当するといえるので事前に顧客の同意を得ていなければ、非公開金融情報保護措置違反になると考えられます(保険業法施行規則212条2項1号、212条の2第2項1号の違反)。

3.まとめ
このように郵便局・日本郵便が「お客さま感謝デー」と銘打ったイベントなどで、ゆうちょ銀行の保有する顧客の個人データを事前の顧客の同意なしにかんぽ生命の保険営業に流用していたことは、非公開金融情報保護措置違反であり、保険業法に抵触すると考えられます。日本郵便、かんぽ生命は2019年には組織ぐるみの大規模な生命保険の乗換契約の不正により大きな社会的批判を浴びましたが、コンプライアンス軽視の社内風土は改善されていないようです。

今回の不祥事も、金融庁に報告書を提出し、新聞報道などがなされる状況になっても、日本郵便やかんぽ生命のウェブサイトをみてもプレスリリースが出されていないことも、日本郵政グループの透明性の低さや、内向きな姿勢を感じます。

■参考文献
・中原健夫・山本啓太・関秀忠・岡本大毅『保険業務のコンプライアンス 第4版』271頁、273頁

■追記(2024年9月27日)
日本郵政の増田寬也社長は9月27日、この不祥事について記者会見で謝罪したとのことです。また、日本郵政は本事件についてプレスリリースをようやく公表しました。
・非公開金融情報の不適切な利用について|日本郵政
・郵便局のゆうちょ情報流用で郵政社長「おわび」来月上旬に再発防止策|朝日新聞

また、9月27日の総務省の記者会見で、松本・総務大臣は本事件について、つぎのようにコメントしています。
ご承知のとおり、金融の仕組み、かつて40年ほど前は、保険も証券も銀行も全部分かれているときがありましたが、金融ビッグバンである程度フィナンシャルグループという形も認められるようになった中でありますが、顧客情報管理も含めてファイアウォールなど制度が組み立てられていますので、グループが連携して活動することは大事ですが、今申しましたように、顧客情報の管理も含めて法律、ルールは守っていただかなければいけないので、コンプライアンスの徹底を改めてお願いしたいと思います。

松本大臣コメント


■関連するブログ記事
・かんぽ生命・日本郵便の不正な乗換契約・「乗換潜脱」を保険業法的に考える


人気ブログランキング


PR
このエントリーをはてなブックマークに追加 mixiチェック

1634668211929

このブログ記事の概要
本年3月に個人情報の問題が発覚したLINE社は、10月の有識者委員会の最終報告書を受けて個人情報の安全管理や委託先の監督、社内のコンプライアンスやガバナンスの強化を誓ったはずであるが、再び委託先の職員がGitHubへのLINEPayの個人情報漏洩事故を起こしたことは、個人情報保護法、資金決済法、ベネッセ個人情報漏洩事件判決等や、コンプライアンス、ガバナンスとの関係で非常に問題である。

1.LINE Pay の約13万人の決済情報がGitHub上に公開されていたことが発覚
2021年12月6日のITmediaニュースなどの報道や、LINE社のプレスリリースによると、通信アプリ大手LINE社の決済サービスLINE Payについて、約13万人分のアカウントの決済情報などの個人データが、LINE社の業務委託先の関連会社の従業員により、ソフトウェア開発のプラットフォームサイトのGitHub上で公開されていたことが発覚したとのことです。
・LINE Pay、約13万人の決済情報が「GitHub」で公開状態に グループ会社従業員が無断アップロード|ITmediaニュース
・【LINE Pay】一部ユーザーのキャンペーン参加に関わる情報が 閲覧できる状態になっていた件のお知らせとお詫び|LINE

(関連記事)
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・GitHub上の三井住友銀行等のソースコードの流出事故を法的に考えた―著作権・営業秘密

2.事案の概要
LINE社のプレスリリースによると、LINE Payのポイント付与漏れの調査について、LINE社からグループ会社に調査の業務委託を行ったところ、当該調査を行うためのプログラムおよび対象となる決済に関する情報を、委託先のグループ会社の従業員が、GitHub上にアップロートし公開状態にしてしまい、それが閲覧できる状態になっていたとのことです。

公開状態になった情報のアカウント数は、133484件で、うち日本国内は51543アカウント、残り約8万件は海外のユーザーのアカウントであるとのことです。そして公開状態になった決済情報等の期間は2020年12月26日から2021年4月2日まで、そしてこれらの決済情報等が公開状態になっていた期間は、2021年9月12日から2021年11月24日までであったそうです。

また、公開状態になっていた情報は、対象ユーザーの識別子(LINEのアプリケーション内でユーザーを識別するためにプログラムにより自動的に割り当てられた識別子)、加盟店管理情報、キャンペーン情報であり、このキャンペーン情報には、キャンペーン名称、決済金額、決済日時が含まれるとのことです。(氏名、住所、クレジットカード番号などの漏洩は確認されていない。)

そしてこの公開状態になっていた決済情報等に対しては、LINE社の調査の結果、11件の外部からのアクセスが確認されたとのことです。

2021年11月24日に、LINE社のモニタリング業務でGitHub上に決済情報等が公開されていることが発覚し、同日、LINE社はGitHub上の当該情報の削除を行い、11月30日にアクセス状況などの調査を完了し、同社は12月6日に、情報が漏洩したユーザーに対して通知を実施したとのことです。

3.検討
(1)個人情報保護法
今回GitHub上に公開状態となった、ユーザー識別子、加盟店管理情報、キャンペーン名称、決済金額、決済日時などは、「個人に関する情報であって」、「当該情報…により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」であるので、個人情報(個人情報保護法2条1項1号)に該当し、個人データです(同法2条6項)。とくにユーザー識別子はそれ自体は数字や英数字などの羅列にすぎないとしても、LINE社内の顧客の個人情報データベースで名寄せすれば、容易にユーザー識別子から特定の個人を識別できるので個人情報・個人データに該当します(個人情報保護法ガイドラインQ&A1-15など)。

(なお、ユーザー識別子がかりにLINE社内の顧客個人データベースと容易に照合できず、個人情報に該当しない場合であったとしても、2022年4月から施行される令和2年改正個人情報保護法で新設された「個人関連情報」(法26条の2)には該当することになります(佐脇紀代志『一問一答令和2年個人情報保護法』62頁)。)

そのため、LINE社は自社が保有する個人データについて、漏えい、滅失又はき損の防止などのために安全管理措置を講じることが要求されます(同法20条)。また、個人情報保護法は、個人情報を取扱う事業者に対して、自社の社内の安全管理措置だけでなく、安全管理措置の一環として、従業員の監督(同法21条)と委託先の監督(同法22条)を実施することを要求しています。

そして、個人情報保護委員会・金融庁「金融分野における個人情報の保護に関するガイドライン」(平成29年2月)8条は安全管理措置に関して金融機関は組織的安全管理措置・人的安全管理措置・技術的安全管理措置を講じなければならないとしています。また、同ガイドライン10条は委託先の監督について規定しています。

本年3月に、①LINE社の日本国内のLINEの個人情報が中国の委託先からアクセス可能であったことや、②日本国内のLINEの画像データ・動画データなどがすべてLINE社の韓国の関連会社のサーバーに保存されていたこと等が発覚し、大きな社会的問題となりましたが、今回の事件においても、LINE社は個人データの安全管理のうち、委託先への監督の部分が非常に弱く、問題が多いように見受けられます。また、委託先からのアクセス制御などが十分でないこともLINE社の抱える問題のように思われます。

この点、「金融分野における個人情報の保護に関するガイドライン」8条は、金融機関の事業者は、①組織的安全管理措置において、業務の委託に関して規程を整備することを要求し、また、②技術的安全管理措置においては、委託先や従業員などに適切なアクセス制御を行うことを要求しています。さらに、③同ガイドライン10条(委託先の管理)は、金融機関の事業者は、(a)委託先が個人データに関して適切な安全管理措置を講じることができるか、立入検査を行うなどして、あらかじめ十分に確認することや、(b)業務委託契約において個人データの取扱や、目的外利用の禁止、漏洩事故発生時の対応などを明記し、(c)定期的に立入検査を実施して委託先の安全管理の状況を確認することなどを規定しています。

今回の事件では、LINE社がポイント付与漏れの調査をグループ会社に委託したとのことですが、当該グループ会社が個人データの安全管理を十分に実施できる体制にあることを、LINE社の個人データ管理責任者などが委託先の選定基準などの規程に基づき十分にチェックしたのか、個人データ保護責任者などがあらかじめ当該グループ会社を立入検査するなどして、現場の安全管理の状況を十分確認したのかなどが問われると思われます。

また、ポイント付与漏れの調査のために、13万件のユーザー識別子、加盟店管理情報、キャンペーン名称、決済金額、決済日時などの個人データをそのままグループ会社に提供する方法に問題がなかったのか、また今回のポイント付与漏れの調査のために、①グループ会社の従業員がGitHubなど外部のネットワークにアクセスすることが必要だったのか、②GitHubなど外部のネットワークへのアクセスを遮断する環境にすべきだったのではないか、③グループ会社のポイント付与漏れの調査を行う従業員へのLINE社の個人データを扱うサーバーのアクセス権設定は適切だったのか、などが問題になると思われます。

なお、個人情報保護委員会の「個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)」は、個人データの漏洩などの事故が発生した場合には、①事件の原因などの調査を行い、②再発防止策などを策定・実施し、③被害を受けた個人に対して連絡を行い、④類似事案の発生や二次被害の発生を防止するために記者会見やプレスリリースなどで漏洩事故を公表するとともに、⑤個人情報保護委員会や監督官庁などに報告することを求めています。

この点、今回の個人情報漏洩事故においては、プレスリリースによると、LINE社は事故原因の調査や事故の状態のリカバリー、被害を受けた顧客への通知などは実施したようですが、個人情報保護委員会や総務省、金融庁・財務局などの監督官庁への報告を実施したのかは不明であり、この点もし実施していないなら報告を実施すべきであると思われます。(個人情報保護委員会は、報告徴求や立入検査などを行い、行政指導などを実施する権限があります(同法40条~42条)。

(2)資金決済法
LINE Payのサービスを提供しているLINE社は、資金決済法上の前払式支払手段発行者に該当します。そして資金決済法21条は利用者の個人データの保護のための安全管理措置を講じること、同法21条の2は委託先への監督を実施することを求めています。

また、前払式支払手段に関する内閣府令44条以下は、これも前払式支払手段を実施する事業者の安全管理措置や委託先の監督に関して、委託先に関してあらかじめ安全管理を十分に実施できる委託先を選定することや、委託後も定期的に立入検査を実施することなどを規定しています。加えて、金融庁の「事務ガイドライン(第三分冊:金融会社関係)」のなかの「 5.前払式支払手段発行者関係」も、委託先への監督について、委託先における個人データへのアクセス権設定などに関して詳細な規定が置かれています(前払ガイドラインⅡ-2ー3ー1)。なお同ガイドラインは、前払式支払手段の発行者の業務委託先を財務局または金融庁に届け出ることを求めています。

さらに、資金決済法は、財務局または金融庁は、前払式支払手段発行者およびその委託先に対して、報告徴求や立入検査を実施する権限(同法24条)と、業務改善命令などを発出する権限(同法25条)を規定しています(堀天子『実務解説 資金決済法 第3版』238頁、255頁、277頁)。

(3)守秘義務
金融機関は、金融機関と顧客との間に成立した取引関係に関連して金融機関が知り得た情報(顧客の財産状況、預金残高の出入り、債務残高など)を正当な理由なく第三者に漏洩してはならない義務を負っており、これが金融機関の守秘義務です。

預金残高や債務残高などの情報は、顧客の経済的信用にかかわるとくにデリケートな情報であり、これらは顧客の社会的信用やプライバシーに係る重要な情報であるからです。

金融機関が正当な理由なく顧客の決済情報などを漏洩した場合、当該金融機関は不法行為に基づく損害賠償責任(民法709条)を負う可能性があります(西尾信一『金融取引法 第2版』18頁)。

そのため、LINE社は今回の事件で、顧客から民事上の訴訟を提起される法的リスクがあります。

(4)裁判例-Yahoo!BB顧客情報漏洩事件(大阪地裁平成18年5月19日判決)・ベネッセ個人情報漏洩事件(最高裁第二小法廷平成29年10月23日判決)
(a)Yahoo!BB顧客情報漏洩事件

2004年2月に発覚したYahoo!BB顧客情報漏洩事件では、ヤフー株式会社等が「Yahoo!BB」の名称でADSLのインターネット接続サービスを提供していたところ、約450万人分の個人情報漏洩が発生しました。ヤフー等は社外から社内サーバーのメンテナンス作業を実施するためにリモートメンテナンスサーバーを設置していたところ、ヤフー等のメンテナンス作業の委託先企業の社員が、リモートアクセスのために付与されていたユーザーID・パスワードを用いて顧客個人情報サーバーにアクセスし、顧客個人情報を不正に取得するなどしていました。

これに対して個人情報が漏洩した顧客などがプライバシー侵害などを理由に提起した本訴訟では、裁判所は、「電気通信事業者における個人情報保護に関するガイドラインや個人情報保護法における安全管理措置の規定を踏まえると、ヤフー等は、電気通信事業者として、顧客個人情報への不正なアクセスや当該情報の漏洩の防止その他の個人情報の適切な管理のために必要な措置を講ずべき注意義務を負っていた。」「ヤフー等のリモートアクセスの管理体制は、(略)極めて不十分であったと言わざるを得ず、ヤフー等は、多数の顧客に関する個人情報を保管する電気通信事業者として、不正アクセスを防止するための前記注意義務に違反した」として、ヤフー等に対して不法行為に基づく損害賠償責任(一人あたり5000円)を認めています(山本龍彦「個人情報の適切管理義務と不法行為責任-Yahoo!BB顧客情報漏洩事件」『新・判例ハンドブック 情報法』(宍戸常寿編)95頁)。

(b)ベネッセ個人情報漏洩事件
また、2014年に発覚したベネッセ個人情報漏洩事件も、ベネッセの業務委託先の社員がベネッセの顧客個人情報データベースに不正にアクセスし、約3500万件の個人情報を持ち出した事件でしたが、顧客がプライバシー侵害を理由としてベネッセに提起した民事の損害賠償請求訴訟において、大阪高裁平成28年6月29日判決が「本件漏えいによって、控訴人が迷惑行為を受けているとか、財産的な損害を被ったなど、不快感や不安を超える損害を被ったことについての主張、立証がされていない」として顧客側の主張を斥けたのに対して、その上告審の最高裁第二小法廷平成29年年10月23日判決は、「本件個人情報は,上告人のプライバシーに係る情報として法的保護の対象となるというべきであるところ(略),上記事実関係によれば,本件漏えいによって,上告人は,そのプライバシーを侵害されたといえる」として、審理を大阪高裁に差戻し、これを受けた差戻審の大阪高裁令和元年11月20日判決は、ベネッセの安全管理措置違反によるプライバシー侵害により、顧客が不法行為に基づく損害を被ったとして、ベネッセの損害賠償責任を認める判決を出しています(損害額一人あたり1000円)。

すなわち、ベネッセ個人情報漏洩事件においては、大阪高裁が、個人情報漏洩事故により顧客が単に「不快感や不安感」を抱いただけではプライバシー侵害による不法行為責任は成立しないとしたのに対して、最高裁は、事業者の個人情報漏洩事故により顧客が「不快感や不安感」を抱いただけでもプライバシー侵害による不法行為は成立するとしています。

このように、Yahoo!BB顧客情報漏洩事件においては、裁判所は、個人情報を取扱う事業者に安全管理措置違反(個人情報保護法20条など)があり顧客の個人情報が漏洩した場合、プライバシー侵害による不法行為に基づく損害賠償責任が事業者側に発生するとしています。そして、ベネッセ個人情報漏洩事件の最高裁は、事業者の個人情報漏洩により、顧客に迷惑電話がかかってくるようになったであるとか、クレジットカードなどが不正に使用され金銭的損害が発生したなどの個別具体的な損害が発生していなくても、事業者の個人情報漏洩事故により顧客が「不快感や不安感」を抱いたのであればプライバシー侵害による不法行為責任は成立するとしています。

そのため、今回のLINE社のGitHub上への個人情報漏洩事件も、LINE社の安全管理措置違反(個人情報保護法20条)、委託先の監督の違反(同法22条)によりGitHub上に約13万件の個人情報が漏洩してしまったのであり、この事件により「不快感や不安感」を抱いた顧客がLINE社を相手にプライバシー侵害を理由とする不法行為による損害賠償請求訴訟を提起した場合、LINE社に損害賠償の支払いを命じる判決がでる可能性も無きにしもあらずなのではないでしょうか。

4.まとめ
LINE社に関しては、本年3月に朝日新聞の峯村健司氏等が、LINE社の委託先の中国企業が同社の日本国内の個人データにアクセス可能であったり、韓国のLINEの関連会社のサーバーに日本国内のLINEのすべての画像データ・動画データなどが保存されていることをスクープし、LINEを行政サービスに利用していた総務省などの官庁や地方自治体などが当該サービスを一時中断するなど、大きな社会問題となりました。その後、4月下旬に個人情報保護委員会および総務省はLINE社に対して行政指導を実施し、4月30日には内閣官房・個人情報保護委員会・金融庁・総務省は「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」を制定し公表しました。

そして、10月18日には、ZホールディングスのLINEの個人情報の問題に関する有識者委員会は最終報告書を公表しました。この報告書は、①2017年に制定された中国の国家情報法についてLINE社が法務部門などによる詳細な検討を怠っていたこと、しかし情報セキュリティ部門が同法のリスクを経営陣に報告していたのに、LINE社の経営陣は中国の国家情報法の問題を経営上の課題として取り上げず、適切な対応を怠ったこと②LINE社の公的部門への渉外担当部門が日本の国・自治体に対して合計3回、「日本国内のLINEの個人データは日本国内のサーバーにある」と虚偽の説明を行っていたことは、LINE社の経営陣がLINEはもともと韓国製のものであるという事実を隠す「韓国隠し」のために組織ぐるみで実施されたと考えるのが自然である等と、③LINE社の個人情報の取扱が杜撰なだけでなく、LINE社の経営陣がコンプライアンスやガバナンスの面で非常に大きな問題を抱えていたことを明らかにしています。
・「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について|Zホールディングス

LINE社とZホールディングス社は、この10月の有識者委員会の最終報告書を受けて、LINE社のコンプライアンスやガバナンスに大きな問題があり、その改善に取り組むとの意思を表明したはずでしたが、今回のGitHubにおける13万件の個人情報漏洩事故の発覚は、「またか」という感があります。とくに中国の個人情報の件で大きな問題であった、委託先の監督(個人情報保護法22条)の部分が、今回のGitHubの事故でも問題であったことは、LINE社とZホールディングス社にとっては大きな課題なのではないでしょうか。LINE社は、約8800万人の日本国内のユーザーが利用するデジタル・プラットフォーム事業者として、これ以上ユーザーの信頼を裏切らないためにも、真摯な対応を行うべきではないでしょうか。

なお、2021年1月には、三井住友銀行やNEC、NTTデータなどのシステムのソースコードを、システム開発会社の従業員がGitHub上にアップロードしてしまう事件が発生しました。GitHubの取扱をどのようにすべきか、日本の企業のシステム開発部門や法務部門、経営陣などは真剣に検討する必要があるかもしれません。

このブログ記事が面白かったら、ブックマークやいいねをお願いします!

■参考文献
・佐脇紀代志『一問一答令和2年個人情報保護法』62頁
・堀天子『実務解説 資金決済法 第3版』238頁、255頁、277頁
・西尾信一『金融取引法 第2版』18頁
・山本龍彦「個人情報の適切管理義務と不法行為責任-Yahoo!BB顧客情報漏洩事件」『新・判例ハンドブック 情報法』(宍戸常寿編)95頁
・岡村久道『個人情報保護法 第3版』218頁、227頁
・LINE Pay、約13万人の決済情報が「GitHub」で公開状態に グループ会社従業員が無断アップロード|ITmediaニュース
・【LINE Pay】一部ユーザーのキャンペーン参加に関わる情報が 閲覧できる状態になっていた件のお知らせとお詫び|LINE
・「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について|Zホールディングス

■関連する記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・東京都のLINEを利用したコロナワクチン接種啓発の「TOKYOワクション」は個人情報保護法制や情報セキュリティの観点から違法・不当でないのか?(追記あり)
・GitHub上の三井住友銀行等のソースコードの流出事故を法的に考えた―著作権・営業秘密
・飲食店の予約システムサービス「オートリザーブ」について独禁法から考えた
・練馬区が親子に家庭のSNSルールを作成させ学校に提出させるプリントにパスワードの記入欄があることを考えた(追記あり)-セキュリティ・プライバシー・不正アクセス
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて(追記あり)

















このエントリーをはてなブックマークに追加 mixiチェック

オートリザーブトップ画面2
このブログ記事の概要
渋谷区のITベンチャー企業の株式会社ハローが、2021年9月29日からリリースした飲食店のAIによる電話予約サービス「オートリザーブ」は、Googleマップなどから勝手に全国のインターネットでの予約を受け付けず電話による予約のみを受け付けている飲食店の店舗情報を自社アプリやサイトに掲載しており、その情報には間違いがあることや、同サービスの加盟店でない飲食店に対して事前の同意なしに勝手にAIによる自動音声による予約電話を飲食店にかけてくること等に対してTwitter上で今秋から多くの飲食店から批判の投稿が寄せられている。

多くの飲食店側からの店舗情報の削除・修正の申出や、予約電話を止めるよう求める申出への対応をハロー社が拒否していることについて、飲食店の方々から多くの批判が寄せられTwitter上で炎上中である。

この点、2020年3月の公正取引委員会「飲食店ポータルサイトに関する取引実態調査報告書」63頁以下は、加盟店でない飲食店からの店舗情報の修正・削除などの申出にグルメサイトが応じないことは、独禁法2条9項、一般指定4項「不公正な取引方法」「不当な差別的取扱い」に該当するおそれがあると規定している。

また、公取委の同報告書63頁以下は、グルメサイトが店舗情報の修正などを条件に飲食店に加盟店になれと要求することは独禁法2条9項、一般指定10項「不公正な取引方法」「抱き合わせ販売」に該当するおそれがあると指摘している。

そのため、全国の加盟店でない飲食店からの店舗情報の修正や削除を拒み、店舗情報を修正してほしければ加盟店になれと要求し、一方的に加盟店でない飲食店に対してもAIによる自動音声で予約電話をかけてくるハロー社の「オートリザーブ」は、独禁法2条9項「不公正な取引方法」「不当な差別的取り扱い」(一般指定4項)および「抱き合わせ販売」(一般指定10項)に抵触する違法なものである可能性がある。

1.飲食店の予約システムサービス「オートリザーブ」がネット上で炎上中
最近、飲食店の予約システムサービス「オートリザーブ(AutoReserve)」が、飲食店の方々からの批判でネット上で炎上中です。

「オートリザーブ」は音声AIを手掛ける株式会社ハローが2021年9月29日に正式リリースした新しいサービスですが、「オートリザーブ」サイトの説明や報道などによると、インターネットでの予約に対応していない飲食店について、顧客が「オートリザーブ」のスマホアプリから店を選び、日時や人数などを選択すると、「オートリザーブ」のAIが自動で飲食店に電話をして予約をとり、また、顧客は飲食店で「オートリザーブ」アプリ上に表示されたメニューから食べ物をオーダーし予め登録したクレジットカード等でアプリ上で決済を行うサービスであるとのことです。
・画期的なAI電話予約が飲食店に迷惑をかけて大炎上? サービスを運営する社長の見解を全文公開|東龍|ヤフーニュース
・お客様のスマホ1つで注文から会計まで!「AutoReserve」が飲食店セルフオーダーシステムを正式リリース|PR TIMES
・お会計までスマホでできるセルフオーダー|オートリザーブ
会社概要|株式会社ハロー

しかし、「オートリザーブ」は、Googleマップなどのインターネット上に載っている飲食店の店舗の住所、電話番号、座席の数などの情報を、飲食店の承諾なしに勝手に収集して「オートリザーブ」のデータベースに登録し、それを「オートリザーブ」アプリ等に表示しているとのことです。そのため、間違った情報が掲載されていたり、臨時休業や営業時間の変更などが反映されないなどのトラブルが発生しているとのことです。

また、「オートリザーブ」の電話予約サービスは、AIが自動音声で行うものであり、飲食店側は、相手がAIなので、確認したいことがあっても確認できなかったり、伝えたい事項があっても伝えられなかったりすることも多いようです。

Twitter上の飲食店の方々の投稿をみてみると、飲食店の方が「オートリザーブ」の電話窓口やメールフォームに「私の飲食店の情報を勝手に載せるな。削除せよ」と申し出を行っても「できない」の一点張りであり、また「私の飲食店の情報が間違っているので修正してほしい」との申し出に対しても、「掲載されている情報を修正したければ、「オートリザーブ」サービスの加盟店になれ」という、まるで木で鼻を括ったような自己中心的な返答しかしないそうです。

オートリザーブ被害1
(オートリザーブの被害を受けたレストランの方のTwitterより)

オートリザーブ被害2
(オートリザーブの被害を受けた居酒屋の方のTwitterより)


なお、オートリザーブに対しては「勝手に店舗の情報を掲載し、予約を流すことにより収益を上げている」との批判があることについて、ハロー社は「掲載および予約手数料はともに無料となっている」と反論しているようですが、オートリザーブのサイトによると、ハロー社は「オートリザーブ」に関して、「オートリザーブ」サービスの加盟店としての月間費用5000円スマホアプリでの決済料金(VISAなどの場合3.24%、JCBなどの場合3.74%)、初期費用として導入サポート料金20000円、その他メニュー登録料金などで収益を上げるビジネスモデルであるようです(オートリザーブ利用規約10条)。
オートリザーブ利用料金
(「オートリザーブ」サイトより)
・お会計までスマホでできるセルフオーダー|オートリザーブ
・利用規約|オートリザーブ

このように、多くの飲食店に対して、飲食店をビジネスパートナーや取引先ではなく搾取の対象として扱い、自社の予約システム兼決済サービスをまるで暴力団のような態度で一方的に「押し売り」しているハロー社の「オートリザーブ」は、法的に許されるものなのでしょうか?

2.公正取引委員会の「飲食店ポータルサイトに関する取引実態調査報告書」
(1)公正取引委員会の2020年3月の「飲食店ポータルサイトに関する取引実態調査報告書」
この点、参考になりそうなのが、独占禁止法などを所轄する公正取引委員会が、2020年3月18日に公表した、「(令和2年3月18日)飲食店ポータルサイトに関する取引実態調査について」です。
・(令和2年3月18日)飲食店ポータルサイトに関する取引実態調査について|公正取引委員会
・グルメサイト、点数操作は独禁法違反 公取委が調査|日経新聞

最近のインターネットやスマートフォン等の普及によるデジタル社会の進展にともなって、公正取引委員会は、Google、AmazonなどGAFA楽天市場、Yahoo!Japanなどの巨大IT企業、つまり、いわゆる「デジタル・プラットフォーマー」の商業上の行為に独禁法など経済法上の違法・不当な行為がないか注視しています。

その一環として、飲食店などからの、「食べログ」「ぐるなび」などの飲食店ポータルサイト(グルメサイト)の点数評価やサイト上の掲載順序などが公正でなく透明性も欠けているとの声を受け、平成31年4月から令和2年3月にかけて日本の主要なグルメサイト17社と全国の飲食店約20000店を公取委が調査を行い、グルメサイトの実務の実態や、法的な問題点、公取委の考え方を示したのが、この公取委の「(令和2年3月18日)飲食店ポータルサイトに関する取引実態調査について」です。

(2)飲食店舗情報や口コミの掲載について
この公取委の「飲食店ポータルサイトに関する取引実態調査報告書」59頁以下は、グルメサイトの問題点の一つとして、グルメサイトに「飲食店舗情報や口コミ」などが掲載されているところ、その情報が誤っている場合などに、飲食店がグルメサイトに当該情報の修正・削除を求めても、グルメサイト側から拒否されることが多いことをあげています。

この問題について公取委は、次のように説明しています。

公正取引委員会「飲食店ポータルサイトに関する取引実態調査報告書」(2020年3月18日)63頁~64頁

(ア)店舗情報の掲載
店舗情報について,飲食店からの依頼に応じて修正・削除しないことが直ちに独占禁止法違反となるものではないが,例えば,市場において有力な地位を占める飲食店ポータルサイト店名,住所,営業日時等の消費者が投稿・編集可能であるような基本的な店舗情報について,加盟店でない飲食店といった特定の飲食店からの修正依頼には対応しないなど,加盟店と異なる取扱いをする場合であって,当該行為によって,特定の飲食店が競争上著しく不利になるなど飲食店間の公正な競争秩序に悪影響を及ぼす場合等には,独占禁止法上問題(差別取扱い)となるおそれがある。

また,通常,飲食店ポータルサイト間の加盟店獲得競争は,提供するサービスの質や料金等によって行われると考えられるところ,消費者が投稿できるような飲食店の店名,住所,営業日時等の基本的な店舗情報について,事実と異なる情報があった場合に,当該情報の修正に応じる条件として,自己の飲食店ポータルサイトの加盟店になることを義務付けることなどにより,飲食店に対し,不当に,自己の加盟店となるよう取引を強制するような場合は,独占禁止法上問題(抱き合わせ販売等)となるおそれがある。

(略)

(ウ)望ましい対応
上記ア及びイを踏まえると,飲食店ポータルサイトは,消費者が投稿できるような基本的な店舗情報の掲載や口コミの投稿について,客観的にその情報が正確でないと判断できる場合には,特段の条件なく,店舗情報の掲載については,加盟店でない飲食店からの削除・修正要望にも応じる,口コミの投稿については,加盟店及び加盟店でない飲食店からの削除・修正要望にも応じるなど,自身のサイト上に掲載される情報の正確性の向上に努めることは,公正かつ自由な競争環境を確保する観点から望ましい。
(後略)
・「飲食店ポータルサイトに関する取引実態調査報告書」令和2年3月公正取引委員会(PDF)

つまり、公取委の本報告書は、飲食店の店舗情報や口コミなどの情報に間違い等があった場合について、店舗情報や口コミについてグルメサイトが修正・削除しないことが直ちに独禁法違反となるものではないとしつつも、①加盟店でない飲食店といった特定の飲食店からの修正・削除依頼に対応しないなど、加盟店と異なる取扱いをし、特定の飲食店が競争上著しく不利になるような場合等には、独禁法の禁止する「差別的取扱い」(独禁法2条9項、一般指定4項)に該当するおそれがあるとしています。

また、②店舗の情報等の修正に応じる条件として、グルメサイトが飲食店に不当に自らのサイトの加盟店となるよう強制する場合には、独禁法の禁止する「抱き合わせ販売」(独禁法2条9項、一般指定10項)に該当するおそれがあるとしています。

つまり、公取委の一般指定10項はつぎのように規定しています。

(抱き合わせ販売等)
10 相手方に対し、不当に、商品又は役務の供給に併せて他の商品又は役務を自己又は自己の指定する事業者から購入させ、その他自己又は自己の指定する事業者と取引するように強制すること。

3.オートリザーブの業務の検討
(1)独占禁止法
上でみたように、「オートリザーブ」を運営するハロー社は、飲食店からの「私の飲食店の情報を勝手に載せるな。削除せよ」と申し出に対して「できない」の一点張りであり、また「私の飲食店の情報が間違っているので修正・削除してほしい」との申し出に対しても、「掲載されている情報を修正したければ、「オートリザーブ」サービスの加盟店になれ」と要求しているとのことです。

この点、「オートリザーブ」の利用規約12条1項はたしかに「飲食店は、本契約の有効期間中に限り、本サービス上で自らの店舗及び販売する商品に関する情報(以下「飲食店情報」といいます。)を、当社の認める範囲(以下「変更可能範囲」といいます。)において変更することができるものとします。」と規定しており、「掲載されている店舗情報を修正したければ、「オートリザーブ」サービスの加盟店になれ」という要求は、ハロー社の社員の独自の判断による発言ではなく、利用規約に根拠のある組織的なものであるようです。
オートリザーブ利用規約12条
(オートリザーブ利用規約より)
・オートリザーブ利用規約|オートリザーブ

しかし、上でみたように、公取委の「飲食店ポータルサイトに関する取引実態調査報告書」は、飲食店の店舗情報などについて、グルメサイト側が「修正・削除しないことが直ちに独占禁止法違反となるものではない」としつつも、「基本的な店舗情報などについて、加盟店でない飲食店といった特定の飲食店からの修正依頼には対応しないなど、加盟店によって異なる取扱いをする場合であって、特定の飲食店が競争上著しく不利になるなど飲食店間の公正な競争秩序に悪影響を及ぼす場合等には、独禁法が禁止する「差別取扱い」(独禁法2条9項、一般指定4項)となるおそれがあるとしています。

また、公取委の同報告書は、「店舗情報や口コミの削除・修正に応じる条件として、自己の加盟店になるよう取引を強制するような場合には、独禁法が禁止する「抱き合わせ販売等」(独禁法2条9項、一般指定10項)となるおそれがある。」としています。

したがって、オートリザーブが、勝手に店舗情報を掲載された飲食店から、店舗情報の削除の申出を受けたのに拒否していることは「差別的取扱い」(独禁法2条9項、一般指定4項)に該当する違法なものである可能性があります。

また、「掲載されている店舗情報を修正したければ「オートリザーブ」サービスの加盟店になれ」という対応は、これも「抱き合わせ販売」(独禁法2条9項、一般指定10項)に該当する違法なものである可能性があります。

そのため、オートリザーブは、公取委の同報告書が指摘するとおり、「基本的な店舗情報の掲載や口コミの投稿について,客観的にその情報が正確でないと判断できる場合には,特段の条件なく,店舗情報の掲載については,加盟店でない飲食店からの削除・修正要望にも応じる,(略)など、自身のサイト上に掲載される情報の正確性の向上に努める」対応を行うべきであり、加盟店でない飲食店などからの店舗情報などの削除や訂正を拒否している姿勢は、企業の業務運営として正しくありません。

(2)取締役の善管注意義務・忠実義務・コンプライアンス
「オートリザーブ」を運営するハロー社は株式会社であり、社長や役員などは取締役としての善管注意義務(会社法330条、民法644条)と、「法令、定款および株主総会決議を遵守し、会社のために忠実に職務を遂行する義務(忠実義務)」(会社法355条)を負っています。判例・通説はこの取締役の忠実義務は善管注意義務をより具体化して規定したものだとしており、つまり、株式会社の社長や役員などの取締役は、法令、定款および株主総会決議を遵守して取締役に要求される注意をもって職務を行わなければならない義務を負っています。

また、取締役がこの善管注意義務・忠実義務を怠った場合には、会社に対する任務懈怠責任(損害賠償責任、会社法423条)を負い、取締役が悪意または重過失により第三者に損害を与えた場合は、取締役は連帯して第三者に対して損害賠償責任を負います(会社法429条)。そして任務懈怠責任を負う取締役に対して会社が損害賠償請求を行わない場合、株主が会社に代わり責任追及の訴え(株主代表訴訟、会社法847条)を起こすことが可能となります(前田庸『会社法入門 第12版』412頁、426、438頁、450頁)。

このように株式会社の社長や役員などの取締役は、「法令」などを遵守して取締役としての注意をもって職務を行うことが会社法上要求されており、それを怠った場合は会社や第三者に対して損害賠償責任を負うのですから、取締役や株式会社が業務を運営する際には、法令や法令の趣旨、社会倫理を遵守して業務運営を行うというコンプライアンス(法令遵守)が要求されます。

にもかかわらず、飲食店をビジネスパートナー・取引先でなく搾取の対象とみなし、自社サービスを飲食店に悪徳商法のように「押し売り」するかのようなハロー社の「オートリザーブ」の業務運営の姿勢は、法令遵守やコンプライアンスの対局にあり、ハロー社の経営陣は独禁法違反として公取委から排除措置命令などを受けるリスク、民事上の損害賠償責任を負うリスクがあるだけでなく、コンプライアンス意識が欠落しているとの大きな社会的非難を受けるおそれがあるのではないでしょうか。

最近、社会的に注目されている、2015年の国連総会で採択されたSDGs(Sustainable Development Goals・持続可能な開発目標は、17のゴール(目標)と169のターゲットを掲げていますが、その16番目のゴールは「平和と公正」を掲げ、ターゲットの16.3は「国家及び国際的なレベルでの法の支配の促進」を掲げています。
SDGS
(外務省サイトより)

コンプライアンス意識が欠落し、まるで昭和時代の悪徳商法のような自社サービスの「押し売り」を行っているハロー社は、SDGsなどの観点からも非常に時代遅れなのではないでしょうか。

なお、デジタル・プラットフォーム事業者に関しては、欧米だけでなく日本でもAmazonが公取委から複数回にわたり処分を受けているほか、楽天「楽天トラベル」サイトに宿泊施設を掲載するホテル事業者等との契約で、当該サイトに掲載する部屋の最低数の条件を定めたり、他社サービスと同等または有利となることを要求した事件などについても公取委が対応を行っています(2019年10月25認定、岸井大太郎・大槻文俊など『有斐閣アルマ 経済法 第9版』336頁)。

そのため、IT企業やデジタル・プラットフォーム事業者などは、「わが社は政府が国策とするデジタル事業・IT事業を行っているのだから、法的責任を問われるはずがない」と考えるべきではないでしょう。

公取委は、グルメサイトの問題に関しては2020年3月に上でみた報告書を公表し、まずはグルメサイト業界の自主的な改善を促している状況ですが、自主的な改善が不十分であると判断されると、公取委からの排除措置命令などの処分が実施される可能性があるのではないでしょうか。今回の「オートリザーブ」の事例は、グルメサイト業界の自主的な取り組みが非常に不十分であるとの認識を公取委や政府などに与えたものと思われます。

(なお、GAFAや楽天、Yahoo!Japanなどのデジタル・プラットフォーマーに関しては、経産省を主務官庁として、「デジタルプラットフォーム取引透明化法」(特定デジタルプラットフォームの透明性及び公正性の向上に関する法律)が2020年5月に制定され、2021年2月1日から施行されました。

同法は、デジタルプラットフォーム提供者に対し、取引条件等の情報の開示、運営における公正性確保、運営状況の報告を義務付け、評価・評価結果の公表等の必要な措置を講じるものです。しかし、施策の実施にあたっては、デジタルプラットフォーム提供者の自主的かつ積極的な取組を基本とし、国の関与等を必要最小限のものとして、デジタルプラットフォーム提供者と、デジタルプラットフォームを利用する取引先事業者との間の取引関係における相互理解の促進を図るものとされています(法1条、法3条)。)
・デジタルプラットフォーム取引透明化法|経産省

4.独禁法に違反のおそれのある事案の処理の流れ
独禁法違反のおそれのある事案については、公取委は、一般からの報告(申告)などを受けて、当該事業者に対して立入検査意見聴取などを行い、当該企業に対して排除措置命令課徴金納付命令などを発出することになっています。

そのため、オートリザーブに被害にあっている飲食店の方々は、まずは公正取引委員会に対して訪問や電話による相談・申告・通報を行うべきではないでしょうか。インターネットによる相談・申告も可能なようです。
・相談・手続窓口|公正取引委員会
・インターネットによる申告|公正取引委員会

■参考文献
・岸井大太郎・大槻文俊・中川晶比兒・川島富士雄・稗貫俊文『有斐閣アルマ 経済法 独占禁止法と競争政策 第9版』215頁、259頁、272頁
・金井貴嗣・川濵昇・泉水文雄『独占禁止法 第6版』270頁、376頁
・前田庸『会社法入門 第12版』412頁、426、438頁、450頁
・(令和2年3月18日)飲食店ポータルサイトに関する取引実態調査について|公正取引委員会
・画期的なAI電話予約が飲食店に迷惑をかけて大炎上? サービスを運営する社長の見解を全文公開|東龍|ヤフーニュース
・SDGsとは?|外務省

■関連する記事
・独禁法上プラットフォーマー事業者による個人情報の目的外利用が違法とならない場合があるのか?
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて(追記あり)
・東京都のLINEを利用したコロナワクチン接種啓発の「TOKYOワクション」は個人情報保護法制や情報セキュリティの観点から違法・不当でないのか?(追記あり)
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・コロナ禍の就活のウェブ面接での「部屋着を見せて」などの要求や、SNSの「裏アカ」の調査などを労働法・個人情報保護法から考えた
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた(追記あり)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・調布市の陥没事故の被害者住民の情報公開請求に係る個人情報の漏洩事件について考えた(追記あり)
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム



PR
このエントリーをはてなブックマークに追加 mixiチェック

xidトップ画面2
(xID社サイトより)

■追記(2021年11月11日)
渋谷区は、11月10日付で施設予約システムの開発業務の委託先を、xID社でなく別の企業にすることを決定したとのことです。詳しくは本ブログ記事下部の追記をご参照ください。

このブログ記事の概要
xID社は11月4日付のプレスリリースで、12月から提供開始としている新しいxIDについて、マイナンバーから「確認要素」を生成することを止めて、マイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」を利用するとしているが、xIDの法的性質が「広義の個人番号」(法2条8項かっこ書き、いわゆる「裏番号」「裏個人番号」)であることは従来と同じであり、xID社がxIDを法9条の定める税・社会保障・災害対応の3つの利用目的以外に利用しようとしていることに変わりはないので、やはり12月以降のxIDもマイナンバー法9条違反の違法なサービスである。

1.はじめに
このブログでは、以前、初期登録時にマイナンバーの入力が必要であるxID社のデジタルID・共通IDのxIDが、「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号」つまりマイナンバーと法的に同等の性質を持つ「広義の個人番号」(いわゆる「裏番号」・「裏個人番号」)であり、そのようなxIDをマイナンバー法9条が定める税・社会保障・災害対応以外の利用目的に利用することは法9条等に違反する違法なものではないかとの問題を取り上げました。
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)

この問題に関して11月4日に、xID社は、xIDに関する新たなプレスリリースを公表しました。そのため、本ブログ記事では、このxID社の新しいプレスリリースをみてみたいと思います。

しかし、結論を先取りしてしまうと、xID社が12月から提供を開始するとしている新しいxIDサービスも、マイナンバー法9条などに違反する違法なサービスであることに変わりはないと思われます。

・xIDアプリの個人番号入力を伴う仕様に関するご指摘への回答と当社の今後の対応について|xID
・違法性指摘のxIDアプリが一時停止へ、社長が明かした「マイナンバー入力仕様」のわけ|日経XTECH

リリース3

リリース6
(xID社プレスリリース「xIDアプリの個人番号入力を伴う仕様に関するご指摘への回答と当社の今後の対応について」(2021年11月4日)より)

2.なぜxIDの初回登録でマイナンバーの入力が必要なのか?
xID社のリリースによると、xID社はxIDサービスを11月4日から一旦中止とし、12月中旬から仕組みを変えた新しいxIDサービスの提供を行うとしています。

xID社のリリースによると、共通ID・デジタルID・アカウントIDであるxIDそのものは、マイナンバーとは関係なくランダムに生成される番号であるとのことです。

それでは何故、初回登録時にマイナンバーの入力が必要となるかについて、日経XTECHの記事はつぎのように説明しています。

『初回登録時は、ユーザーがスマートフォンにマイナンバーカードをかざすと、xIDアプリがJPKI(=マイナンバーカードのICチップ部分の公的個人認証サービス)の署名用電子証明書を読み取り、マイナンバーカードとxIDアプリをひも付ける。具体的には、署名用電子証明書に含まれる基本4情報(氏名、生年月日、性別、住所)を暗号化し、xID社のサーバーに送信・保管する。』

そして、初回登録時になぜ利用者がマイナンバーの入力を要求されるかについて、日経XTECHの記事はつぎのように記述しています。

『xID社の日下光社長は次のように説明する。「マイナンバーの一部と他の情報を使い、アカウント作成者が新規登録者であるか、それとも過去にアカウントを登録した人物であるかを確認するための(xIDアプリ独自の)要素である『確認要素』を生成している」。

『確認要素を生成する具体的な手順はこうだ。まず、入力させた12桁のマイナンバーと、マイナンバーカードから読み取った8桁の生年月日を加えた20桁の数字をつくる。これをハッシュ化したうえでバイト配列に変換し、さらにそこから数カ所のバイトを抽出・変換して確認要素とする。ここまでの過程はxIDアプリ内で実行する。』

『xIDアプリは生成した確認要素のみを、xID社のサーバーに送信し、サーバー側で確認要素とアカウントIDとをひも付けて保管する。同一のユーザーが異なるメールアドレスや異なるスマホを使って、新規にアカウントを登録したとしても、登録時に確認要素を生成することで、1人が複数のアカウントを登録することを防げるというわけだ。ただし、確認要素は一意となるデータではなく、「他人の確認要素と一定確率で衝突する可能性はある」(日下社長)。』(「違法性指摘のxIDアプリが一時停止へ、社長が明かした「マイナンバー入力仕様」のわけ」日経XTECH2021年11月4日より)

つまり、デジタルID・共通IDのxIDそのものはxIDアプリがマイナンバーとは関係なくランダムに生成する番号である一方で、利用者に入力させたマイナンバーと8桁の生年月日を加えた20桁の番号をハッシュ化し、それをバイト配列に返還し、さらにそこから数か所のバイトを抽出・変換して「確認要素」を生成し、この「確認要素」とxIDをセットでxID社のサーバーに保管していたとのことです。

そしてこの「確認要素」は、同一の利用者がメールアドレスやスマホ端末などを変えて登録作業を行うことにより、同じ人間が複数のxIDを持てないように、つまり一人一つのxIDを付与するために利用していたとのことです。

しかし、10月22日に個人情報保護委員会は、「マイナンバーを元にハッシュ化するなどして不可逆的に生成した番号も「広義の個人番号」(マイナンバー法2条8項かっこ書き、いわゆる「裏番号」「裏個人番号」)に該当するので、マイナンバーをハッシュ化するなどして生成した番号を法9条の定める税・社会保障・災害対応の3つの利用目的以外に利用することは法9条違反のおそれがある。」とのプレスリリースを出しました。
・番号法第2条第8項に定義される個人番号の範囲について(周知)|個人情報保護委員会

これを受けてxID社の今回のリリースは「マイナンバーから生成された「確認要素」は法2条8項かっこ書きの「広義の個人番号に該当する」との個人情報保護委員会の見解を受けて、12月中旬以降の新しいxIDサービスにおいては、マイナンバーから「確認要素」を生成するスキームを止めるとし、その上で、次のような新しい仕組みを導入するとしています。

同一の個人が複数のアカウントを持てない仕組みを提供するために、新たにマイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」を利用します。』『 「新旧シリアル番号の紐付けサービス」は、J-LIS(地方公共団体情報システム機構)が提供する⺠間事業者向けの付加サービスです。マイナンバーカードの電子証明書が更新された場合に、更新前と更新後それぞれの電子証明書を紐づけ、保有者の同一性を確認できるようになります。』(xID社のリリースより)

つまり、xID社は、あくまでも利用者・国民に一人一つの共通IDであるxIDを付与するために、マイナンバーをハッシュ化するなどして「確認要素」を生成するかわりに、12月中旬以降は、マイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」を利用する方針であるとのことです。

ここで、このマイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」について地方公共団体情報システム機構(J-LIS)サイトの説明ページをみると、たしかに平成29年1月開始の民間向けの新サービスとして、『利用者証明用電子証明書が更新された場合に、更新前と更新後それぞれの利用者証明用電子証明書の保有者の同一性を確認できないことに対応するため、民間事業者向けの付加サービスとして、新しい利用者証明用電子証明書のシリアル番号を用いて公的個人認証サービスに問い合わせると、1世代前の利用者証明用電子証明書のシリアル番号を提供するサービスを、平成29年1月から開始しました 。』と解説されています。
新たに開始したサービス
(地方公共団体情報システム機構(J-LIS)サイトより)
・民間事業者が公的個人認証サービスを利用するメリット|地方公共団体情報システム機構(J-LIS)

3.マイナンバーカードの公的個人認証サービス
総務省サイトのマイナンバーカードの民間利用の説明ページのなかの説明資料「個人番号カードの概要及び公的個人認証サービスを活用したオンライン取引等の可能性について(参考資料)」には、マイナンバーカードのICチップ部分の電子証明書のシリアル番号等を利用して、例えば銀行口座の新規開設などの場面でマイナンバーカードの電子証明書のシリアル番号等が「なりすまし」や「改ざん」防止のための本人確認として利用できることが説明されています。
・マイナンバー制度とマイナンバーカード>公的個人認証サービスによる電子証明書(民間事業者向け)|総務省
・個人番号カードの概要及び公的個人認証サービスを活用したオンライン取引等の可能性について(参考資料)(PDF)|総務省

公的個人認証サービス1
公的個人認証サービス3
(総務省「個人番号カードの概要及び公的個人認証サービスを活用したオンライン取引等の可能性について(参考資料)」より)

しかし、総務省サイトやその説明ページの資料の解説などを読むと、このマイナンバーカードのICチップ部分の公的個人認証サービスは、あくまでも「なりすまし」や「改ざん」などを防ぐための本人確認のための機能です。つまり例えば銀行口座の開設の場面でいえば、銀行口座の新規開設をしたいという利用者・国民が確かに当該利用者・国民の本人であることの確認を行って「なりすまし」や「改ざん」を防止することが「本人確認」です。この「本人確認」は、この銀行口座の新規開設の場合における銀行口座番号を作った利用者・国民が本人であることを確認するための仕組みであって、当該銀行口座番号が国民に一人一つの唯一無二性を証明する機能ではないはずです。

そのため、利用者・国民の「本人確認」をして「なりすまし」「改ざん」を防ぐという目的のための機能である、マイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」を、現行のマイナンバーをハッシュ化等して「確認要素」を生成し、当該「確認要素」により利用者・国民に付与するxIDを利用者・国民に一人一つの番号であること(唯一無二性・悉皆性)を担保することの代わりに利用することは、マイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」や、マイナンバーカードの電子証明書の「本人確認」という利用目的を逸脱した脱法的なものなのではないでしょうか?

4.なぜxID社は国民一人に一つの共通IDのxIDに執着するのか?
そもそも、xID社はなぜここまでして、xIDを国民に一人一つの番号とすることに異常なまでに執着するのでしょうか。今回のプレスリリースでもxID社はマイナンバーカードの「新旧シリアル番号の紐付けサービスを利用」する目的を「同一の個人が複数のアカウントを持てない仕組みを提供するため」として、xIDを国民に一人一つ(唯一無二性・悉皆性)の性質を持つ共通IDとする方針は継続する方針です。

この点、xID社はこのブログでも取り上げたとおり、2020年10月2日の経産省の「第5回インフラ海外展開懇談会」に提出されたxID社のxIDに関する資料(「資料3 xID 日下様 ご提供資料(第5回インフラ海外展開懇談会 日本で唯一の次世代デジタルIDアプリ「xID」)」において、『Society 5.0の社会においては、パーソナルデータ(個人情報)を活用した個人最適なサービスの提供などを実現するにはデジタル世界で、あらゆるサービスを利用するAさんがどのサービスにおいても同一の人物である。と特定すること=”ユーザーの同一性・一意性担保”が重要です。利便性・信頼性と透明性を担保しながら利用できるデジタルIDがあれば、ユーザー同意に基づくパーソナルデータの活用が実現できます。』とxIDの趣旨・目的を説明しています。
xIDの概要1

xidの概要2
(2020年10月2日の経産省「第5回インフラ海外展開懇談会」の「資料3 xID 日下様 ご提供資料(第5回インフラ海外展開懇談会 日本で唯一の次世代デジタルIDアプリ「xID」)」より)
・第5回 インフラ海外展開懇談会|経済産業省

つまり、xIDとは「民間企業や各自治体、各官庁などがばらばらに保有している国民の個人データを、本人の同一性・一意性が担保できるデジタルIDであるxIDにより、官民のさまざまなサービスを利用する個人の個人データを一元管理・集中管理して国民の個人データの利活用を実現するもの」であり、すなわち、xIDとは一言で言うならば、「さまざまな行政機関・自治体やさまざまな民間企業がばらばらに保有する国民の個人データを、国・大企業が一元管理・集中管理して、国・大企業がマイナバー法に縛られずに自由な用途に利用できる唯一無二性・悉皆性の性質を持つ「民間版マイナンバー」」(=裏個人番号・裏マイナンバー・「広義の個人番号」、マイナンバー法2条8項かっこ書き)と言えます。

しかしそのような、国・自治体やさまざまな民間企業などがばらばらに保有する国民の個人情報を、国・大企業などがxIDなどの国・企業などの保有する個人情報を名寄せ・突合できるマスターキーの共通IDで一元管理・集中管理することは、国民のあらゆる分野・項目の個人情報・個人データが国・大企業により一元管理・集中管理され、いわば「国民個人個人が国家・大企業の前であたかも丸裸にされるがごとき状況」(住基ネット訴訟・金沢地裁平成17年5月30日判決)が発生することとなってしまいます。

そのような状況下では、国民のプライバシーや私的領域(憲法13条)、表現の自由(21条1項)、内心の自由(19条)、信仰の自由(20条)などの国民の基本的人権が国家・大企業の前でゼロとなってしまい、国民が国家や大企業による監視・モニタリングにおびえ、日々の生活における行動や表現行為などが委縮し、安心して人間らしいのびのびとした生活を送れなくなってしまう危険があります。つまり「国民総背番号制」の危険や、中国、北朝鮮やかつてのソ連やその衛星国家などの旧共産圏、あるいはジョージ・オーウェルのSF小説「1984」、最近のアニメ「PSYCHO-PASS サイコパス」などのような「超監視国家」・「超監視社会」の危険があります。

マイナンバー法は、行政の効率化や行政のコストダウン等の目的のために、国民すべてに割り当てられ(悉皆性)、国民一人に一つの番号(唯一無二性)の性質を有するマイナンバー(個人番号)という、行政が保有するあらゆる個人情報・個人データを名寄せ・突合できる究極のマスターキーとしてのマイナンバーを創設する一方で、同法9条はマイナンバーの利用目的を税・社会保障・災害対応の3つに限定し、利用できる行政機関・民間企業も限定的に定めてそれ以外の利用を罰則付きで禁止しています。

また、本人や行政機関・民間企業等も法9条の定める利用目的以外にマイナンバーを提供することを禁止しており、かりに「本人の同意」があったとしても、法9条の定める利用目的以外のマイナンバーの提供・利用・保存などは禁止されています(法19条)。

マイナンバー法はこのような厳しい法制度により、行政の効率化とともに、マイナンバーが国や大企業などに悪用され、日本社会が中国や北朝鮮などのような超監視国家となるリスクを防止しているのです。

にもかかわらず、xID社が実施している「さまざまな行政機関・自治体やさまざまな民間企業がばらばらに保有する国民の個人データを、国・大企業が名寄せ・突合できるようにして一元管理・集中管理して、国・大企業が自由な用途に利用できる「民間版マイナンバー」」というxIDサービスは、つまり、国・自治体・大企業等がマイナンバー法を潜り抜けて、あらゆる用途に好き勝手に国民のあらゆる個人情報・個人データを名寄せ・突合して利活用できるようにするために、日本社会の「超監視国家」化を防止するためのマイナンバー法9条を潜脱するための脱法的なサービスが目的であると思われ、これはマイナンバー法9条違反として許されないものなのではないでしょうか。

xID社は、今回のプレスリリースで、マイナンバーをハッシュ化等して「確認要素」を生成するスキームは止めて、12月中旬以降は、マイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」を利用した新サービスを提供する方針であるそうです。

しかし上でみたように、この電子証明書の「新旧シリアル番号の紐付けサービス」の利用は、マイナンバーカードの電子証明書機能の「本人確認」という本来の目的を逸脱した脱法的な利用です。

また、そもそも12月中旬以降の新しいxIDも、マイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」の利用により、「国民一人に一つで国民すべてに割り当てられた番号」という「唯一無二性・悉皆性」というマイナンバー(個人番号)の法的性質(宇賀克也『番号法の逐条解説 第2版』24頁)が担保された、マイナンバーに代わる番号(=「広義の個人番号」「裏番号」「裏個人番号」、法2条8項かっこ書き)であることに変わりはないので、新しいxIDを税・社会保障・災害対応という法9条が規定する利用目的以外の、自治体の施設予約システムのIDや、自治体の各種の行政サービスへの電子申請のIDに利用・提供・保存などをすることは、やはりマイナンバー法9条違反や、法19条違反となると思われます。

5.まとめ
xID社は、「マイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」の利用」などというマイナンバー法を潜脱するための手段を考案することに力を入れるのではなく、「デジタル世界で、あらゆるサービスを利用するAさんがどのサービスにおいても同一の人物であると特定すること=”ユーザーの同一性・一意性担保”」という「広義の個人番号」(「裏番号」「裏個人番号」「民間版マイナンバー」)のxIDというマイナンバー法を潜脱する脱法的なサービス自体を断念する経営判断を行うべきではないでしょうか。

日本は個人の尊重や個人の基本的人権の確立を掲げる近代立憲主義憲法を持つ民主主義国であり、そのような近代民主主義国家においては、主権者たる国民の基本的人権を守るために、国民から負託された国会において制定された法律を遵守して行政や民間企業等が行政活動や経済活動を行う「法の支配」法治主義が大原則です。(最近、社会的に注目されているSDGsの「17の目標」も、「公正」を目標の一つに掲げています。)

xID社は日本社会の「良き企業市民」として、マイナンバー法や個人情報保護法などの法律や社会倫理・モラルを遵守するというコンプライアンス意識を持った企業活動が求められます。法律の抜け道を探すことに力を注ぎ、脱法的な企業活動を行うことは、「Gov-tech」を標榜する「良き企業市民」のやることではありません。

■追記(11月5日)
産業技術総合研究所主任研究員の高木浩光先生も11月5日にTwitterで、xIDのプレスリリースについて次のように批判する投稿をしておられます。

この期に及んで(何度変換しようが照合させようが対応して変わって用いられる限りそれが法の個人番号の定義だと言われているのに)まだこんなこと言うのですね。思考力の弱い自治体相手ならまだまだこれで通せそうでしょうか?

ひろみつ先生2
(高木浩光先生(@HiromitsuTakagi)のTwitterより)
https://twitter.com/HiromitsuTakagi/status/1456333854680092695

サイバートラストはこんな用途(1人1アカウントを実現)に新旧シリアル番号ひも付け機能を使わせちゃダメだよ。利用者が自ら証明書更新時にアカウントを継続するときに使うものだからね。

ひろみつ先生1
(高木浩光先生(@HiromitsuTakagi)のTwitterより)
https://twitter.com/HiromitsuTakagi/status/1456339328137789440

■追記(11月11日)
11月10日に、渋谷区議会議員須田賢様より、渋谷区は施設予約システム開発の業務委託先をXID社ではない企業に委託することを決定したとの情報提供をTwitterにていただきました。また須田様は、まだxID社のシステム導入を渋谷区が検討中の段階で、xID社が「渋谷区からxIDが問題ないと認定を受けた」趣旨の投稿をTwitterで行っていたことは、民間IT企業の宣伝活動・広報活動のあり方として問題がある旨も指摘しておられます。須田賢・渋谷区議様、情報提供をいただき誠にありがとうございました。
須田賢氏1
須田賢氏2
(須田賢・渋谷区議会議員(@sudaken_shibuya)のTwitterより)
https://twitter.com/sudaken_shibuya/status/1458401780027432961

この点、渋谷区11月10日付プレスリリース「令和3年度施設予約システム再構築に係る設計・開発業務委託の公募型プロポーザルの選考結果について公表します」は、令和3年度施設予約システム再構築に係る設計・開発業務委託について、xID社ではなく、ぴあ株式会社を業務委託先の選定事業者に決定したと公表しています。
・令和3年度施設予約システム再構築に係る設計・開発業務委託の公募型プロポーザルの選考結果について公表します|渋谷区

渋谷区をはじめとする自治体・行政機関について憲法15条2項、地方公務員法32条などは行政サービスの公平性・中立性や法令遵守を要求しており、法律の抜け穴を探すことばかりに熱心でコンプライアンス意識が希薄な企業風土のxID社との業務提携を行わない決定した渋谷区や渋谷区議会の判断は、極めて正当であると思われます。

面白かったらブックマークなどをお願いします!

■参考文献
・水町雅子『Q&A番号法』10頁、56頁
・宇賀克也『番号法の逐条解説 第2版』24頁

■関連する記事
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)
・東京都のLINEを利用したコロナワクチン接種啓発の「TOKYOワクション」は個人情報保護法制や情報セキュリティの観点から違法・不当でないのか?(追記あり)
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・デジタル庁の事務方トップに伊藤穣一氏との人事を考えた(追記あり)
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・河野太郎大臣がTwitterで批判的なユーザーをブロックすることをトランプ氏の裁判例や憲法から考えたー表現の自由・全国民の代表(追記あり)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた







































このエントリーをはてなブックマークに追加 mixiチェック

デジタル庁トップページ
1.デジタル庁のウェブサイト
9月1日から正式に発足したデジタル庁は、サイト作成や運用にSTUDIO株式会社というベンチャー企業の「コード不要」というSTUDIOというサービスを利用して同庁サイトの作成や運用を行っていますが、STUDIO社のプライバシーポリシーは個人情報保護法違反の部分があり、また同社の利用規約は「当社システムは高度な安全性はない」と明示しています。つまり、デジタル庁(および内閣IT戦略室)は厚労省のCOCOAの件などと同様に、委託先の選定等の安全確保措置を十分に実施していない行政機関個人情報保護法6条違反の可能性があります。

2.STUDIO社の利用規約
ITmediaニュースなどの報道によると、デジタル庁のサイトは、ベンチャー企業のSTUDIO株式会社のSTUDIOという「コード不要」なシステムで作成されているようです。同社サイトをみると、主に個人事業主や中小企業向けのサービスのようですが。「コード不要」とは、いかにも新しいものがお好きな平井大臣が好みそうなサービスですが、共同入札などの正式な手続きは経ているのでしょうか?
・デジタル庁発足 公式サイトにITエンジニアから反応続々「シンプル」「重い」「ロゴが丁寧」「苦労が見える」|ITmediaニュース

この点、ある方の9月1日のツイッターの投稿によると、デジタル庁のサイトの利用者のログやブラウザ情報、端末データなどの個人データはやはりSTUDIO社のサーバーに送信されているようであり、STUDIO社がデジタル庁サイトの運営を委託されていることは間違いないようです。

デジタル庁のサイトのサーバー

また、サイトを作成さえすればドメイン、サーバなどはS社が一括管理と説明されていますが、中央官庁サイトの安全管理措置などには十分対応できるのでしょうか。

スタジオ社
(STUDIO社サイトより)
https://studio.inc/

そこでSTUDIO社の利用規約をみると、IT企業の利用規約のよくあるパターンで、利用規約9条(保障・免責)の各号では「本サービスの利用による保障はしないし、責任も負わない」旨を明示しています。
・利用規約・プライバシーポリシー・特定商取引法上の表記|STUDIO

スタジオ1

とくに利用規約9条4項は、STUDIOのサービス・システムは「本サービスは高度の安全性が要求され…重大な損害が発生する用途には設計しておりません」と明示しています。中央官庁であるデジタル庁のサイトは、「高度な安全性」が必要だと思うのですが、これはまずいのではないでしょうか?
スタジオ社利用規約9条4項

この点、デジタル庁などの行政機関に適用される行政機関個人情報保護法6条は行政機関とその委託先に個人データの滅失・毀損・漏洩などが発生しないように安全確保措置を講じることを要求しています。

行政機関個人情報保護法6条
これを受けて、総務省総管情第84 号・平成 16 年9月14 日通知「行政機関の保有する個人情報の適切な管理のための措置に関する指針について(通知)」「第8 保有個人情報の提供及び業務の委託等」4項は、行政機関が委託を行う際は、委託先が安全確保の能力があることを事前に確認し、年1回以上の立入検査の実施、個人データの利用の制限や障害対応、秘密保持条項、障害対応、損害賠償、再委託の制限などを明記した契約書を締結しなければならない等と規定しています(岡村久道『個人情報保護法 第3版』430頁)。

総務省安全確保指針
・「行政機関の保有する個人情報の適切な管理のための措置に関する指針」及び「独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針」の改正|総務省

にもかかわらず、利用規約において「当社のサービスは高度の安全性が要求される用途のためには設計されていない」と明記しているSTUDIO社にサービスやシステムの運用を委託しているということは、デジタル庁およびその前身の内閣IT戦略室は、個人データを取り扱う情報システムの委託について、委託先が安全確保の能力があることを事前に確認するなどの安全確保措置を十分に講じておらず、行政機関個人情報保護法6条および総務省「「行政機関の保有する個人情報の適切な管理のための措置に関する指針」第8第4項などに違反しているのではないでしょうか?

この点に関しては、コロナの接触確認アプリCOCOAのシステム開発の委託においても厚労省や内閣IT戦略室が杜撰な委託を行っていたことが発覚したばかりであり、また、今年春にはLINE社のLINEが個人情報や通信の秘密の杜撰な安全管理を行っており、かつLINE社が国・自治体に対して繰り返し「LINEの日本の個人データは日本のサーバーに保存されている」等と虚偽の説明を行い、国・自治体がこの説明を鵜呑みにして立入検査・実地検査などをしてLINE社が安全管理措置を本当に講じているかどうか確認を行わず、安全確保措置を講じていないという行政機関個人情報保護法6条などの違反などを行っていたことが発覚したばかりなのにです。

デジタル庁や内閣IT戦略室などは、高度な法令順守・コンプライアンスが要求される国の機関であるにもかかわらず、このような度重なる行政機関個人情報保護法6条の違反を漫然と繰り返していることは、「法の支配」や法治主義、「法律による行政の原則」、「法律による行政の民主的コントロールの原則」(憲法41条、65条、76条)の観点から非常に問題なのではないでしょうか。国・行政がコンプライアンス意識を無くし、憲法や法律を無視するようになっては、国民から選挙で選ばれた国会の法律で行政を民主的にコントロールしようという議会制民主主義が破綻してしまいます。

総務省や個人情報保護委員会などは、デジタル庁や内閣IT戦略室などに対して法律を守れと指導・勧告等を実施すべきではないでしょうか。

3.STUDIO社のプライバシーポリシー
なお、STUDIO社のプライバシーポリシーについても簡単にみてみると、利用者のcookieや端末情報、操作ログなどの個人データを収集・利用するとあるのはある意味当然ですが、STUDIO社はプライバシーポリシー6条で、それらの個人データの共同利用(個人情報保護法23条5項3号)を行うとしているのに、共同利用を行う者の範囲、利用される個人データの項目、共同利用の利用目的などが同社サイトにどこにも明示されてないのは個人情報保護法23条5項3号違反です(岡村久道『個人情報保護法 第3版』264頁)。

スタジオプライバシーポリシー共同利用

また、STUDIO社のプライバシーポリシー9条は、開示・削除・利用停止等の請求の手続や手数料などについては「当社が別途定める所定の方式により」としていますが、肝心のこの別記がサイト上にどこにも掲載されてないのは、個人情報保護法27条1項3号違反です(岡村・前掲295頁)。個人情報保護委員会はSTUDIO社やデジタル庁などに対して指導・勧告などを実施すべきではないでしょうか(法40条、41条、42条)。

このようにSTUDIO社は、プライバシーポリシーについても個人情報保護法違反が複数存在します。同社にサイトの作成や運用を委託したデジタル庁・内閣IT戦略室が委託先の選定などの安全確保措置に関していかに杜撰であるかがここにも見受けられます。

デジタル庁は日本の国・自治体のデジタル行政を所管する官庁のはずなのに、行政機関個人情報保護法や個人情報保護法などの法律の素人しか存在しないのでしょうか?それ以前に国の官庁なのに法令を遵守して業務を行おうというコンプライアンス意識が非常に低いように見受けられるのは非常に心配です。

個人情報保護法は「個人情報の有用性に配慮しつつ、個人の権利利益を保護」(法1条)とし、また「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべき」(法3条)との立法目的・趣旨を明記しています。

国・自治体のデジタル化は重要です。しかし、国民の個人の尊重と基本的人権の確立(憲法13条)と、「個人の権利利益を保護」、「個人の人格尊重の理念」(個人情報保護法1条、3条)、つまり国民の人権保障という憲法や個人情報保護法の基本理念を大原則として、デジタル庁はコンプライアンス意識を持ってデジタル行政を企画立案、実施していただきたいと思います。

デジタル庁は民間のITスタートアップ企業ではなく、国の行政官庁であり、その大臣や職員は公務の中立性・公平性とともに法令順守が要求され(国家公務員法96条1項、98条1項、憲法15条2項)、憲法尊重擁護義務(憲法99条)を負うのですから。

■追記(9月4日)
9月3日のマスメディア各社の報道によると、デジタル庁デジタル監の石倉洋子氏が、画像素材サイト「PIXTA」の複数の画像を、同サイトから購入せずに自身のウェブサイトに勝手に掲載していたとのことです。同サイトからの申し出に対して石倉氏はこの事実を認め、自身のサイトを閉鎖したとのことです。これにはさすがに呆れてしまいました。

1630756714318
(石倉洋子氏のTwitterより)

石倉氏は経営学者であり、ITや情報法などの専門家ではないが、2000年代からTwitterやFacebookなどを利用しておりITリテラシーの高い人物である」と、石倉氏を高く評価する投稿が9月になってからTwitter上で多く見られたところですが、画像素材サイトの画像を購入せずに勝手にパクって自分のサイトに掲載するとは、石倉氏の「ITリテラシー」は最低です。

デジタル庁は国・自治体のデジタル政策を担う官庁であり、その業務のためには、ITの知識やノウハウだけでなく、著作権法などの知的財産権法や個人情報保護法制や憲法、行政法、独禁法や消費者法などの法律知識は必須のはずですが、事務方トップの石倉氏はこのような素人レベルな法律知識で、デジタル庁の役職員の業務に違法・不当がないか監督できるのでしょうか? 多いに疑問です。

平井大臣の特定企業との癒着の問題や、NECを「徹底的に干せ」「脅せ」などとヤクザのような暴言を吐いていた問題や、アメリカの性犯罪者の富豪から多額の寄付金を受けていた伊藤譲一氏のデジタル監の人事の問題など、デジタル庁や菅政権はとにかく憲法や法律・モラルを遵守しようというコンプライアンス意識が致命的に欠落しています。

デジタル庁は、デジタル行政の業務を始める前に、まずは大臣やデジタル監をはじめとする全役職員が、憲法や国家公務員法、国家公務員倫理法や、個人情報保護法、知的財産権法、独占禁止法などの法令の基礎に関する全庁的なコンプライアンス研修を実施すべきではないでしょうか。

このままでは、デジタル庁は、役職員が「法令を守っていては日本は潰れる」などと嘯いて官民のデジタル利権を牛耳って、中抜きで私腹を肥やす経済マフィアのような組織になっていまいます。

■追記・デジタル庁ナンバー3の岡下昌平・デジタル大臣政務官が違法Youtuberであることが発覚(9月30日)
nukalumix様「畳之下新聞」の9月30日付の記事「(逃走中) 違法Youtuber が #デジタル庁 ナンバー3 の大臣政務官 という地獄」によると、デジタル庁ナンバー3岡下昌平・デジタル大臣政務官が、自身のYouTubeチャンネル「おかしょうちゃんねる堺」において、ABEMAなどの動画を切り取り、自身のYouTubeチャンネルにアップロードするなどの著作権法違反の行為を繰り返していたことが発覚したとのことです(自動公衆送信権(著作権法23条1項)の侵害)。
・(逃走中) 違法Youtuber が #デジタル庁 ナンバー3 の大臣政務官 という地獄|畳之下新聞

おかしょうちゃんねる堺
(岡下昌平氏の「おかしょうちゃんねる堺」より)

デジタル庁は、上から下まで法令無視のアウトローの人間しかいないのでしょうか。呆れてしまいます。このような無法者集団がデジタル行政を行っては、日本の官民のデジタル部門やIT業界などは、法律無視が当たり前で、腕力や発言力、経済力、政治力が強い人間が幅を利かす原始時代のような世界になってしまうような気がします。

■関連する記事
・デジタル庁の事務方トップに伊藤穣一氏との人事を考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・西村大臣の酒類販売事業者や金融機関に酒類提供を続ける飲食店との取引停止を求める方針を憲法・法律的に考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関する有識者委員会の第一次報告書をZホールディンクスが公表
・新型コロナの接触確認(感染追跡)アプリ(COCOA)の内閣府の仕様書を読んでみた
・コロナ禍の緊急事態宣言で国民の私権制限をできないのは憲法に緊急事態条項がないからとの主張を考えた

■参考文献
・岡村久道『個人情報保護法 第3版』264頁、295頁、430頁
・宇賀克也『個人情報保護法の逐条解説 第6版』179頁、432頁



















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ