なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:デジタル庁

ai_pet_family
このブログ記事の概要
2022年1月7日にデジタル庁が公表した「教育データ利活用ロードマップ」は、個人情報保護法違反(15条、16条、23条)のおそれが高く、内心の自由(憲法19条)やプライバシー権侵害のおそれ(13条)や教育の平等(23条)違反のおそれがあり、さらにプロファイリングや信用スコアリングの危険およびマイナンバー法9条違反のおそれがあるため、デジタル庁など政府与党は計画の中止や再検討を行うべきである。

1.デジタル庁が「教育データ利活用ロードマップ」を公表
2022年1月7日にデジタル庁「教育データ利活用ロードマップ」を公表しました。この「教育データ利活用ロードマップ」は、「教育の個別適正化」「国民の生涯学習」を目的として、教育業界やIT業界などさまざまな企業に児童・生徒の教育データという個人情報・個人データを広く利活用させる内容です。

また、国民一人一人に「教育ID」を付番し、国民のさまざまな教育データを教育IDにより一生涯にわたって国が一元管理するとされており、ネット上では児童や国民の個人情報保護やプライバシー侵害、プロファイリング、信用スコアリングの危険などを心配する大きな批判が起きています。
・教育データ利活用ロードマップを策定しました|デジタル庁

2.教育データは個人情報・個人データである
(1)個人情報
個人情報保護法は、「個人に関する情報であって」、「特定の個人を識別することができるもの(他の情報と容易に照合することができるものを含む)」は個人情報であると定義しています(法2条1項1号)。そのため、たとえばある生徒の成績表は、氏名・住所・生年月日・性別など以外の学生番号や成績、教師のつけたコメントなどもすべて個人情報に該当します。

また、全国の自治体は個人情報保護条例を制定していますが、個人情報保護条例においても個人情報の定義はほとんど同じであり、自治体の公立学校はこの個人情報保護条例の適用があります。(私立学校は個人情報保護法が適用されます。)

さらに、国の官庁などに対しては行政機関個人情報保護法があり、国立大学などの独立行政法人に対しては独立行政法人個人情報保護法が規定されていますが、これらの法律でも個人情報の定義は個人情報保護法と同様です。

(2)文科省の指針通達「学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講すべき措置に関する指針」(平成16年11月11日)
この点、文科省の指針通達「学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講すべき措置に関する指針」(平成16年11月11日)は、個人情報について、個人情報保護法と同様の定義を示しています。そのため、生徒の氏名・住所などだけでなく、学籍番号、学校の成績、人物評価、科目履修表など、特定の個人の属性や関係事実などを示す情報であって、特定の個人が識別できる情報や、容易に照合できる情報はすべて個人情報に該当します。
・学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講すべき措置に関する指針|文科省

また、文科省の同指針通達は、学校が生徒本人から収集した個人情報だけでなく、例えば生徒が以前に在籍していた学校から提供された指導要録、学校が第三者から収集した生徒の情報なども個人情報に該当するとしています。さらに同指針通達は「生徒」について、学校説明会への参加者、卒業生、中退者、不合格者なども含まれると明示しています。

さらに、文科省の同指針通達は、学校は個人情報保護法の定める利用目的の特定(法15条)や、本人同意のない個人情報の目的外利用の禁止(法16条)、本人同意のない個人情報の第三者提供の禁止(法23条1項)などを遵守しなければならないと規定しています。

(3)裁判例
この点、ある中学校のいじめ事件に関して、いじめの被害を受けて自殺した児童の遺族が学校に対して、学校の生徒達が書いた作文の情報公開を求めた訴訟において、裁判所は作文は生徒に個人情報に該当するとした上で、生徒達の作文を学外に開示することは、生徒と教師の信頼関係を損なうとして、遺族の請求を退けています(東京地裁平成9年8月6日判決・判時1613号97頁)。

そのため、学校における作文なども生徒の個人情報に該当しますし、もし生徒の個人情報を違法・不当に学外に提供することは生徒と教師との信頼関係を損ねるとこの判決は判示しています。また、個人情報を取扱う学校が、違法・不当に個人情報を取扱い、個人情報漏洩などを起こした場合には、当該学校は不法行為に基づく損害賠償責任(民法709条、国賠法1条1項)を負うことになります(大阪地裁平成18年5月9日判決・Yahoo!BB個人情報漏洩事件、最高裁平成29年10月23日判決・ベネッセ個人情報漏洩事件)。

3.デジタル庁・文科省の掲げる「教育データ利活用ロードマップ」
この点、今回、デジタル庁が掲げた「教育データ利活用ロードマップ」は「教育の個別最適化」「国民の生涯学習」を個人情報の利用目的に掲げているようですが、しかし全体として、「とりあえず学校の生徒の学生データを民間企業・行政・研究機関などに広く利活用できるようにします。これらの学習データをどのように利用するか、利用目的は民間企業や官庁等でこれから考えましょう」としているように読めます。

しかし、個人情報保護法15条は、事業者は「個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない」と規定しています。これは、事業者に利用目的をできるだけ特定させることにより、事業者が国民から収集し取扱う個人情報を必要最小限度にするためであるとされています(宇賀克也『新・個人情報保護法の逐条解説』197頁)。

また、個人情報保護法は、本人の同意のない個人情報の目的外利用を禁止し(法16条)、また本人の同意のない第三者提供を禁止しています(法23条1項)。

さらに、デジタル庁の「教育データ利活用ロードマップ」の資料を読むと、「学習者、名簿、健康履歴、体力履歴、テスト履歴、自宅での学習履歴、どのような本を読んだかというNDCコード情報、奨学金データ、職業訓練データ、職業データ」などが行政や民間企業などが広く利活用できるようになるとなっています。

学習データの概要図

学習データ(高等教育)の図
(デジタル庁「教育データ利活用ロードマップ」より)

しかし、本人の思想・信条に関する情報や、病歴に関する情報などはセンシティブ(機微)な個人情報の要配慮個人情報(法2条9項)であり、その収集には本人の同意が必要なだけでなく(法17条2項)、オプトアウト方式による第三者提供も禁止されています(法23条2項かっこ書き)。

そのため、「教育の個別最適化」や「国民の生涯学習」という漠然・あいまいとした利用目的しか示さずに、生徒の本人の同意を無視するかのように民間企業や行政・自治体などに生徒や卒業生等の個人情報であるさまざまな学習データの目的外利用や第三者提供を認めようとするデジタル庁のこの「教育データ利活用ロードマップ」は、全体的にそのコンセプトそのものが個人情報保護法15条、16条、23条などに違反しており違法なものです。

4.要配慮個人情報の取扱の問題
とくに学習データのなかでも、教師の書いた生徒の人物評価や内申書、上の裁判例にあるような生徒の作文など、本人の思想・信条などに係る情報や、健康履歴・体力履歴など病歴に関連する情報などは要配慮個人情報として収集や目的外利用、第三者提供には本人の同意が必要となるなど厳格な取扱いが要求されますが、デジタル庁や文科省、全国の自治体・学校、第三者提供を受けた民間企業などは要配慮個人情報の安全管理をしっかりと実施することができるのでしょうか。

また、「教育データ利活用ロードマップ」によると、この利活用の対象となる教育データは、学校だけでなく、公立図書館などの社会教育施設での学習内容をも含むとなっています。

この点、2021年に個人情報保護委員会は、令和2年改正に対応した個人情報保護法ガイドライン(通則編)を公表しましたが、同ガイドラインは、図書館の貸出履歴、ネット閲覧履歴、移動履歴、Cookieなども「個人に関する情報」であり、「特定の個人を識別できる場合(容易に照合できる場合も含む)」にはそれだけでも個人情報に該当すること、そして個人情報に該当しなくても「個人に関する情報」である限り「個人関連情報」(法23条の2)に該当することを明確化しました(パブコメ結果315)

040ec0c2

(関連)
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

・「個人情報の保護に関する法律施行令等の一部を改正する等の政令(案)」、「個人情報の保護に関する法律施行規則の一部を改正する規則(案)」及び「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編、仮名加工情報・匿名加工情報編及び認定個人情報保護団体編)の一部を改正する告示(案)」に関する意見募集の結果について|個人情報保護委員会

そのため、公立図書館などの図書の貸出履歴は「個人に関する情報」で、「特定の個人を識別できる場合」には個人情報に該当し、その内容が本人の思想・信条などを示すものである場合は、当該貸出履歴は要配慮個人情報となります(法2条9項)。

にもかかわらず、このデジタル庁の「教育データ利活用ロードマップ」が民間企業などに第三者提供できる個人データに「社会教育施設の学習データ」や「NDCデータ」など、公立図書館の図書の貸出履歴などを含めていることは、要配慮個人情報の取扱として問題なだけでなく、地方公務員法34条や国家公務員法100条が定める地方公務員・国家公務員の守秘義務や、図書館職員の職業倫理規定である、日本図書館協会「図書館の自由に関する宣言」第3「図書館は利用者の秘密を守る」に違反・抵触するのではないでしょうか。

図書館は守秘義務や図書館の自由に関する宣言第3の「図書館は利用者の秘密を守る」を遵守するために、原則としてシステム上、利用者が本を借りる際に貸し出した事実をシステムに登録しますが、利用者がその本を返却するとシステム上の貸出情報は削除される仕組みになっているとされています(鑓水三千男『図書館と法 改訂版』214頁)。

にもかかわらず、デジタル庁は、図書館の図書の貸出履歴の第三者提供を求め、当該貸出履歴のデータを教育IDとともに「一生涯」残すことを考えているようですが、これは要配慮個人情報の取扱、公務員の守秘義務、図書館自由宣言第3などの観点から妥当ではないのではないでしょうか。

そもそも個人情報保護法19条後段は、「個人情報取扱事業者は、(略)個人データを…利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。」と規定しています。つまり、個人データの違法・不当な利用や、個人情報漏洩などを防止するため、不要になった個人データは遅滞なく削除・消去することが努力義務として事業者には要求されています。個人情報保護法にはこのような規定があるのに、教育IDで一生涯、国民の教育に関するあらゆる個人データを残そうとしているデジタル庁の方針には、個人情報保護法の観点から強い違和感を覚えます。

失礼ながら、デジタル庁の官僚の方々は、個人情報保護法や情報セキュリティをあまりよくご存知ないのではないかと疑問です。

5.学習用タブレット端末の操作ログなどから生徒の内心がわかる?
デジタル庁の「教育データ利活用ロードマップ」14頁は、学習データを民間企業などが利活用することにより、「生徒の心理がわかる」「生徒の興味関心がよりわかる」「生徒の認知能力・非認知能力がわかる」などのメリットを説明しています。

生徒の心理がわかる
(デジタル庁「教育データ利活用ロードマップ」14頁より)

たしかに近年、文科省はGIGAスクール構想を推進し、現在の学校は生徒に一人一台の学習用タブレット端末が配備されつつあります。そして総務省の「教育ICTガイドブック」を読むと、凸版印刷の開発したタブレット用の学習ソフト「やる Key」は、児童のタブレットの操作履歴により、「どこを誤ったのかだけでなく、どこでつまずいているか判定」できて、「児童の進行状況や、どこが得意でどこを間違えやすいかを把握」することが可能で、「生徒・児童の思考方法や考え方のくせなど、生徒の内心の動き」を把握できるとされています。

また、近年、例えば日立はスマホなどのデバイスのわずかな動きを把握し、従業員の内心をモニタリングすることができる「ハピネス事業」を展開しています。東急不動産は本社事務部門の従業員に脳波センサーを着けさせて従業員の内心の心理状態をモニタリングしていることが物議を醸しました。
東急不動産本社
(東急不動産本社の脳波センサーを着けた従業員達。日経新聞より)

(関連)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング

そのため、デジタル庁「教育データ利活用ロードマップ」14頁が「生徒の内心がわかる」と説明していることは決してSF映画の世界のものではなく既に現実のものです。

しかし、学校やデジタル庁、文科省、学校や民間企業などが生徒の内心をタブレットなどを通じて把握することは許容されるのでしょうか?

憲法19条「思想及び良心の自由は、これを侵してはならない」と規定します。この思想・信条や良心は、個人の内面にあるものなので、表現の自由などと異なり他人の人権と衝突することはあり得ないので絶対的に保障されると解されています(芦部信喜・高橋和之補訂『憲法 第7版』155頁)。

にもかかわらず、公権力であるデジタル庁や文科省などが、国民である生徒の内心をタブレット端末の操作ログなどから把握することは、内心の自由を定める憲法19条との関係で違法・違憲のおそれがあるのではないでしょうか。

またこのような個人情報の取扱は児童や国民のプライバシー権侵害として不法行為に基づく損害賠償責任が発生するおそれがあります(民法709条、国賠法1条1項、憲法13条)。

上の日立や東急不動産などの事例のように、企業などが従業員・国民をPCやスマホ、ウェアラブル端末などで常時モニタリングすることについて、川端小織「在宅勤務における「従業員監視」はどこまで許されるか?」『ビジネス法務』2021年9月号78頁は、「このようなモニタリングはプライバシー侵害の危険という法的問題がある」としています。

6.プロファイリング・信用スコアリングの危険の問題
(1)学習ID
デジタル庁「教育データ利活用ロードマップ」は、生徒や国民のすべてに「学習ID」を付番し、この学習IDは一生国が管理するとし、この学習IDには小中校や大学での学習データや図書館の貸出履歴や博物館や美術館の利用履歴などの社会教育施設の利用履歴、塾・予備校などの民間教育機関の学習データや利用履歴、ハローワークなどでの職業訓練の履歴、学歴、職歴などの個人データをすべてこの学習IDで管理する方針のようです。

この点は、「教育データ利活用ロードマップ」10頁の図表に、学習IDに、「大学のシラバス情報、大学の単位・テスト履歴、自宅等での学習履歴、NDCコード履歴、奨学金情報、訓練情報、職業情報」などが連結されていることからも明らかです。

学習データ(高等教育)の図
(デジタル庁「教育データ利活用ロードマップ」10頁より)

しかし「国民の生涯学習」という利用目的のために、国民や生徒の小中高や大学の学習データだけでなく、ハローワークなどの職業訓練のデータや職歴、奨学金のデータなど、国民の社会生活に係るあらゆる個人情報・個人データをデジタル庁や文科省が教育IDで生涯にわたり管理する必要はあるのでしょうか?

これではまるで中国東欧などの旧共産圏国家主義・全体主義国家や、ジョージ・オーウェルの『1984』アニメ『PSYCHO-PASS(サイコパス)』のように、国家が国民を生まれたときから街中に設置したさまざまなセンサーや監視カメラで監視を行い、国民の身体や内心の状況をモニタリングし、進学・就職などをすべて国が決定し、思想弾圧、表現弾圧を行う超監視国家のようではないのでしょうか? 日本は国民主権の自由な民主主義国家のはずなのにです(憲法前文、1条)。

(2)プロファイリング・信用スコアリングの危険
また、小中校や大学などの学習データや学歴・職歴など、国民の社会生活のあらゆる個人データをデジタル庁などの国が学習IDで把握できるということ、そしてこれらの様々な情報を民間企業などが教育IDを利用して収集・利用可能ということは、国や大企業による国民のプロファイリング信用スコアリングが安易に行われてしまう危険があります。

このように教育IDによる個人データの名寄せ・突合により、国や大企業により国民のプロファイリングや信用スコアリングが安易にできてしまうとなると、AI・コンピュータの個人データによる人間の選別・差別が容易に行われるようになり、国民は進学、就職、転職、生命保険への加入、銀行からの住宅ローンの審査、老人ホームへの入居等々、人生のありとあらゆる場面でプロファイリングやスコアリングをなされ、選別や不当な差別が行われるおそれがあります(山本龍彦『AIと憲法』61頁)。

場合によっては、個人データのプロファイリングやスコアリングで、就職や転職がうまくいかない、銀行から住宅ローンなどを受けれない、自治体に相談しても適切な福祉サービス等を受けられない等のいわゆる「デジタル・スラム」という状況が日本で出現する危険があるのではないでしょうか(山本・前掲69頁)。

(3)学習データの保存期間が一生であることの問題-「忘れられる権利」や「更生を妨げられない権利」、「人生をやり直す権利」
さらに、デジタル庁のロードマップでは、教育IDによる個人データの保存が一生続くことになっていますが、国民が子供の頃にしたミスや過ち、若気の至りでやってしまった事などに一生囚われてしまう危険があるのではないでしょうか(山本・前掲67頁)。

2018年に施行されたEUのGDPR(EU一般データ保護規則)17条はいわゆる「忘れられる権利」を明記していますが、日本の判例も「更生を妨げられない権利」(人生をやり直す権利)を認めています(最高裁平成6年2月8日判決・ノンフィクション「逆転」事件)。

教育IDにより、保育園・幼稚園のころから小中高、大学だけでなく生涯にわたりさまざまな個人データを国が管理し続けることは、この国民の「忘れられる権利」、「更生を妨げられない権利」、「人生をやり直す権利」を違法・不当に侵害してしまうのではないでしょうか。

医師法により、医師の書くカルテの保存期間も5年とされており(医師法24条)、多くの税務書類の保存期間もおおむね7年とされています(法人税法施行規則59条)。それに比べると、国民の子どもの頃からの「教育データ」は一生保管・永久保管となっていることはあまりにも長すぎであり、著しくバランスを欠くのではないでしょうか。

デジタル庁や文科省は、教育IDにより国民の個人データをどの程度の期間保存すべきなのか、真摯に再検討を行うべきです。

7.マイナンバー法違反のおそれ-「広義の個人番号」「裏番号」の問題
さらに、マイナンバー法は行政の効率化のために、マイナンバー(個人番号)という行政や自治体の保有する国民のさまざまな個人データを名寄せ・突合できる強力なマスターキーを作成する一方で、マイナンバーの濫用により国民が国家に違法・不当にプロファイリングやスコアリングなどに利用される危険を防止するために、その利用目的を税・社会保障・災害対応の3つのみに限定(法9条)するなど厳しい法規制を設けています。

そして同法は、マイナンバー法の法の網を逃れてマイナンバーのような番号が悪用される危険を防止するために、「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号」、つまり国が国民すべてに、一人に一つの番号を与える悉皆性・唯一無二性の性質を有する番号は「広義の個人番号」(いわゆる「裏番号」)に該当し、マイナンバーと同様の法規制を受けるとしています(法2条8項かっこ書き)。そしてこの「広義の個人番号」(「裏番号」)も税・社会保障・災害対応の目的以外に収集・利用・保存・提供などがなされることはマイナンバー法9条違反となるとしています。

この点に関しては、本年秋にxID社の共通IDのxIDがこの「広義の個人番号」に該当するのに、官民のサービスの共通IDとして利用されることはマイナンバー法9条ではないかと炎上し、個人情報保護委員会はプレスリリースを出しました。
・「番号法第2条第8項に定義される個人番号の範囲について(周知)」(令和3年10月22日)|個人情報保護委員会

ところが、このデジタル庁の「教育ID」もその用途から、国が国民すべてに付与し、国民に一人一つの番号とならざるを得ないので、悉皆性・唯一無二性の性質を有するのでマイナンバー法2条8項かっこ書きの「広義の個人番号」(「裏番号」)に該当し、その教育IDを税・社会保障・災害対応以外の「教育の個別最適化」や「国民の生涯学習」に利用することは、マイナンバー法9条違反となるのではないでしょうか?

8.「教育の個別最適化」は憲法26条の「教育の平等」違反ではないのか?
憲法26条1項や教育基本法4条などは、「教育の平等」、「教育の機会均等」を明記しています。この点、デジタル庁や文科省が推進しようとしている「教育の個別最適化」は、ごく一部の天才の児童などにとっては素晴らしい制度かもしれませんが、普通の児童や勉強などが苦手な児童にとっては、「皆と同じ教育を受けることができない」「他人より低いレベルの教育しか受けることができない」などの教育の平等や教育の機会均等など憲法23条が明記する人権を侵害するおそれがあるのではないでしょうか(堀口悟郎「AIと教育制度」『AIと憲法』253頁)。

「教育の平等」「教育の機会均等」に関しては、特に普通の学校に通いたいと希望する障害児やその親からの申請を自治体の教育委員会が拒否する処分の取消を争う行政訴訟において、「教育の平等」「教育の機会均等」の観点から障害児やその親の主張を認める裁判例が集積されつつあります(神戸地裁平成4年3月13日判決・尼崎高校事件、さいたま地裁平成16年1月28日判決・障害児保育所入所拒否事件など)。

そのため、もし今後、このデジタル庁や文科省の「教育の個別最適化」が裁判所で争われた場合、裁判所から「教育の個別最適化」は違法・違憲であるとの判決が出される可能性があるのではないでしょうか。

9.まとめ
このようにデジタル庁の「教育データ利活用ロードマップ」は、個人情報保護法違反のおそれが高く、内心の自由(19条)やプライバシー権侵害のおそれ(13条)、教育の平等(26条)違反のおそれ、プロファイリングや信用スコアリングの危険およびマイナンバー法違反のおそれがあります。

デジタル庁政務官の山田太郎氏は最近も「子どもの虐待対策のために、行政の各部門が保有するさまざまな個人データを共有できるプラットフォームの作成」という方針を打ち出しましたが、この「子どもの虐待防止プラットフォーム」も、今回の「教育データ利活用ロードマップ」と同様に、「何となく便利そうだから、とにかく各行政機関や自治体の保有するさまざまな国民・児童の個人情報・個人データをとりあえず国や大企業が利活用できる仕組みを作ろう」という漠然とした意図があるように思われます。

しかし、「何となく便利そうだから、あらゆる個人データを誰でも利活用できるように共有しよう」という考え方は、日本を含む西側自由主義諸国の個人情報保護法・個人データ保護法の基本原則である、国民の個人情報プライバシー権を守る(憲法13条)、国民の個人の尊重基本的人権の確立(憲法13条)を守る、個人情報保護法15条の背後にある「必要最小限の原則」、あるいはEUのGDPR(EU一般データ保護規則)22条に表されているような、公権力や大企業によるプロファイリングを拒否するという西側自由主義諸国の個人データ保護法の大原則に180度反しています。

(最近、政府与党が推進している「デジタル田園都市構想」(スーパーシティ構想)も、「共通ID」や「データ連携基盤」などにより、スーパーシティの官民のさまざまなサービスの住民の利用履歴や医療データなどを、大企業や行政が利活用する仕組みとなっており、国民のプライバシーや個人情報保護法・マイナンバー法上の問題が多いため、デジタル庁や政府与党は再検討を行うべきです。)

(関連)
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園・「デジタル・ファシズム」

また、2021年4月に、EUは警察などによる顔認証機能のついた防犯カメラの利用を「禁止」し、教育分野や雇用分野、行政サービスにおけるAI利用を「高リスク」として法規制を行う「AI規制法案」を公表しました。

これに対して、「世界一企業がビジネスをしやすい国を作る」との新自由主義思想に基づいた、「AIやコンピュータにより国・大企業が国民の個人データを利活用して経済成長を目指すデジタル社会」を掲げ、「教育データ利活用ロードマップ」「子どもの虐待防止プラットフォーム」などの計画を発表している日本のデジタル庁をはじめとする政府・与党の政策は、1970年代以降の西側自由主義諸国の個人データ保護法制の歴史に逆行する時代遅れなものです。

むしろ日本の政府与党は、国家主義・全体主義で超監視国家を推進している中国や東欧などの旧共産圏を見習うべき理想の国家にしているように思えます。しかし日本は国民主権の自由な民主主義国家です(憲法前文、1条)。

デジタル庁や文科省などの政府与党は一旦立ち止まり、わが国のデジタル政策や個人情報保護政策などがわが国の、国民主権・自由な民主主義、個人の尊重と基本的人権の確立のために国家は存在するという近代憲法を持つ西側自由主義国の大原則(憲法11条、97条)に違反していないか、今一度再検討を行うべきです。

官民データ活用推進基本法やマイナンバー法などの特別法に対する一般法にあたる個人情報保護法は、企業などの事業者による個人情報の利用国民の権利利益の保護バランスを取るための法律であり(法1条)、しかしその大前提として、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものである」(法3条)ということを基本理念とする法律なのであり、もちろん国や企業による「個人情報の利用」も重要ですが、しかし「大企業や国による国民の個人情報の利活用」のみを推進する産業促進法などの法律ではないのですから。

マスメディアも政府与党の「デジタル行政」やデジタル庁の行動を好意的に報道するだけでなく、その問題点も併せて報道すべきです。野党は国会でデジタル庁や国のデジタル行政や個人情報保護行政の問題を追及すべきです。

(なお、このデジタル庁の「教育データ利活用ロードマップ」のプレスリリースを読むと、「10月から11月にかけて広く意見を募った」とあります。しかしこれは、中央官庁がパブコメ手続きの際に利用するe-GOVのパブコメのプラットフォームではなく、デジタル庁サイトで独自に実施した独自のパブコメのようです。

たしかに中央官庁等のパブコメ手続きについて定める行政手続法は、パブコメをどこのサイトでやらねばならないとまでは規定していませんが、中央官庁共通の内部規則や通達などには、e-GOVを利用することが規定されているのに、デジタル庁はその内部規定や通達などを無視しているのではないでしょうか。デジタル庁サイトでのみパブコメを実施し、同庁のファンの人々からの好意的な意見を集めただけでパブコメを実施したことにするのは、「広く一般の意見を求める」という行政手続法39条1項の趣旨や、「すべて公務員は全体の奉仕者であって、一部の奉仕者ではない」と規定する憲法15条2項の趣旨や、デジタル庁が掲げるスローガンの「誰一人取り残さないデジタル庁」「透明性」の原則などに反すると思われます。)

■追記(2022年1月11日)
ネット上でこのデジタル庁の「学習データ利活用ロードマップ」に関する発言をみていると、eポートフォリオの焼き直しのようだ」といったご意見をしばしば見かけます。

eポートフォリオ(JAPAN e-Portfolio)とは、生徒の「主体性を育てるために」、学生が部活、資格・検定等の実績をネット上に登録する「学びのデータ」であり、大学入試に利用されること等が想定されていたようです。2017年から試験的に開始され、一部の高校生達が自身の活動や資格試験などの成績をeポートフォリオに入力していましたが、2020年に主に資金的な面から文部科学省がeポートフォリオの運営団体の認可を取消して終了したようです。

・「JAPAN e-Portfolio」について|文部科学省
・誰も知らなかったJAPAN e-Portfolioの実像|日経BP 教育とICT online

しかし日経新聞記事などによると、eポートフォリオについても、そのIDがベネッセが開発したものを利用していることから、個人情報への懸念や、ベネッセなどの特定の企業のための仕組みなのではないかとの懸念があったようです。

日本の現在の大学生の就活生が就職活動では、「大学時代に自分がいかに勉強だけではなく部活や資格試験などにも打ち込み、さまざまな成果を得たか」という「リア充」ぶりを自己PRすることを要求されるわけですが、それをまだ未成年の高校生に大学入試のために要求するのは私は違和感があります。

民間企業などへの就職活動は企業と就活生という私人と私人とのやり取りなので原則自由ですが(私的自治)、文科省という国が、まだ10代半ばの未熟な未成年の高校生に対して「リア充になれ」と大学入試を「餌」にして事実上の圧力をかけることは、国家が若い国民に「リア充になれ」、「リア充は良くて非リア充は悪い」、「部活で成果を出し資格を取り、日本社会や国に役に立つ有用な人材になれ」という価値観を事実上押し付けるものでありますが、わが国は自由な民主主義国家であり、国民個人の任意の自由意思や自己決定(憲法13条)が何より重視されるべきことから、私は違和感を覚えます。

国家が国民に対して「リア充」になれ、「社会や国にとって有用な人材になれ」との思想を事実上強制することは、まるで2012年の自民党憲法改正草案が「教育や科学技術を振興し、経済発展で国家を繁栄させる義務」(草案前文)を国民に義務付けているように戦前の日本のように国家主義・全体主義的であり、西側の自由主義・民主主義のわが国になじまないのではないかと思います。

今回、デジタル庁が発表した「教育データ利活用ロードマップ」も、児童の学校のテストの成績だけでなく、生活におけるさまざまな個人データを「学習ID」に連結させ、一生その個人データを存続させるようであり、これは「教育の個別最適化」といいつつ、実はeポートフォリオのように、「日本社会や国家に役立つ有用なリア充人間になれ」との思想を児童や国民に押し付けるものであるとしたら、それは国家が若い国民の内心の自由、思想・良心の自由(憲法19条)や、「自分の人生や生き方は自分自身で決める」という自己決定権(13条)などを侵害するものであり、問題であると思われます。

このブログが面白かったら、ブックマークやシェアをお願いします!

■関連する記事
・文科省が小中学生の成績等を一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園・「デジタル・ファシズム」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた

■参考文献
・山本龍彦「AIと個人の尊重、プライバシー」『AIと憲法』61頁
・堀口悟郎「AIと教育制度」『AIと憲法』253頁
・芦部信喜・高橋和之補訂『憲法 第7版』154頁、123頁
・坂東司朗・羽成守『新版 学校生活の法律相談』346頁
・宇賀克也『新・個人情報保護法の逐条解説』197頁
・水町雅子『逐条解説マイナンバー法』85頁、86頁
・鑓水三千男『図書館と法 改訂版』214頁
・堤未果『デジタル・ファシズム 日本の資産と主権が消える』39頁、193頁、219頁、244頁
・川端小織「在宅勤務における「従業員監視」はどこまで許されるか?」『ビジネス法務』2021年9月号78頁
・教育データ利活用ロードマップを策定しました|デジタル庁
・学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講すべき措置に関する指針|文科省
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁
・緊急速報:マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか|高木浩光@自宅の日記
・東急不動産の新本社、従業員は脳波センサー装着|日経新聞
・「個人情報の保護に関する法律施行令等の一部を改正する等の政令(案)」、「個人情報の保護に関する法律施行規則の一部を改正する規則(案)」及び「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編、仮名加工情報・匿名加工情報編及び認定個人情報保護団体編)の一部を改正する告示(案)」に関する意見募集の結果について|個人情報保護委員会





















このエントリーをはてなブックマークに追加 mixiチェック

xidトップ画面2

このブログ記事の概要
渋谷区などは施設予約システムなどにxID社のxIDを導入を計画しているとのことです。加賀市、兵庫県三田市、町田市などもこのxIDを電子申請システムなどに既に導入しているとのことです。

しかしxID社サイトの説明によると、xIDとは利用者からスマホアプリxIDにマイナンバー(個人番号)を入力させ、同アプリで当該マイナンバーからデジタルIDであるxIDを生成するものであるとのことですが、マイナンバー法を所管する個人情報保護委員会のマイナンバー法のガイドライン(事業者編)Q&A9-2は、個人番号は、仮に暗号化等により秘匿化されていても、その秘匿化されたものについても個人番号を一定の法則に従って変換したものであることから、番号法第2条第8項に規定する個人番号に該当します。」としており、xID社のxIDマイナンバー法2条8項かっこ書きによりマイナンバーと法的に同等のもの(「広義の個人番号」・裏個人番号・裏マイナンバー)です。

そして、マイナンバー法9条と別表一(法9条関係)は、国民のマイナンバーを含む個人情報(特定個人情報)の漏洩の危険の防止、国民のプライバシー権侵害の防止、マイナンバーによる国家や大企業による国民の個人情報の一元管理など監視社会・監視国家の危険の防止や、民間企業や行政機関などによる脱法的なマイナンバーの収集・利用等の防止などのために、マイナンバーの利用目的税関係・社会保障関係・災害時の対応の3つに限定し、利用可能な機関・事業者を限定的に規定しているところ、xIDの目的である「官民のあらゆる場面で自由に利用できる、国民一人一つの共通ID」とのxID(=マイナンバー)の利用目的やそれを運用・利用する事業者・機関(= xID社や渋谷区など)については、法9条と別表一は利用目的や利用機関・事業者として認めていません。

また、法9条および別表一の法定する以外の利用目的や利用機関などに対して、本人や事業者・行政機関などがマイナンバーを提供することも禁止されています(法19条)。

したがって、xID社のxIDはマイナンバー法9条、19条および2条8項かっこ書き違反であり、自治体や官庁などの行政機関、民間企業などがxIDを電子申請システムなどに利用することも同様に法9条、19条および2条8項かっこ書き違反となります。

そのため、xIDの導入を計画中の渋谷区や、すでに導入済の加賀市、兵庫県三田市、町田市などはマイナンバー法違反を回避するために、施設予約システムや電子申請システムなどにxIDを利用する業務や計画を直ちに中止すべきです。

同時に、マイナンバー法の監督官庁である個人情報保護委員会は、xID社や、同社と業務提携を行っている企業や自治体などに対して行政指導・行政処分などを実施すべきではないでしょうか。

■追記(2021年11月5日)
xID社が10月22日付の個人情報保護委員会のプレスリリースを受けて、11月4日に今後の方針に関するプレスリリースを公表しました。こちらのブログ記事をご参照ください。
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて

■追記(2021年10月22日)
個人情報保護委員会は、10月22日に『個人番号(マイナンバー)を非可逆的に変換しているものであっても、個人番号の唯一無二性・悉皆性の特性ににより個人の特定に用いる場合は、個人番号に該当し、マイナンバー法9条に定めのない利用は違法』とのプレスリリースを出しました。したがって、マイナンバーからスマホアプリでxIDを生成し、個人を特定する共通IDとしてxIDを利用しているxID社のスキームはマイナンバー法違反です。(詳しくは本記事下部の追記をご参照ください。)

1.官民の様々なサイトの本人確認のためにマイナンバーカードをスマホアプリ化するxIDが大炎上中
官民の様々なサイトの本人確認のためにマイナンバーカードをスマホアプリ化するxID社の「xID」について、情報セキュリティや情報法の専門家の産業技術総合研究所主任研究員で情報法制研究所理事の高木浩光先生(@HiromitsuTakagi)などがマイナンバー法との関係で違法であると9月23日頃よりTwitter上で指摘し、Twitter上でxIDが炎上中です。
ひろみつ先生1
(高木浩光先生のTwitterより)
https://twitter.com/HiromitsuTakagi/status/1441238596539727886

2.xID
xID社サイトによると、xIDとは、官民のさまざまなサイトやデジタル上のサービスで、いちいちIDやパスワードなどを入力しなくても済むように、マイナンバーカードの公的個人認証サービスを利用して、マイナンバーカードと連携した独自のID(xID)を生成しするというデジタルIDおよびそのためのスマホアプリであるようです。

この点、2020年10月2日経産省の「第5回インフラ海外展開懇談会」に提出されたxID社のxIDに関する資料(「資料3 xID 日下様 ご提供資料(第5回インフラ海外展開懇談会 日本で唯一の次世代デジタルIDアプリ「xID」)」には、Society 5.0の社会においては、「パーソナルデータ(個人情報)を活用した個人最適なサービスの提供などを実現するにはデジタル世界で、あらゆるサービスを利用するAさんがどのサービスにおいても同一の人物である。と特定すること=”ユーザーの同一性・一意性担保”が重要です。利便性・信頼性と透明性を担保しながら利用できるデジタルIDがあれば、ユーザー同意に基づくパーソナルデータの活用が実現できます。」と説明されています。
経産省資料1
(経産省「第5回インフラ海外展開懇談会 日本で唯一の次世代デジタルIDアプリ「xID」」より)
・「第5回インフラ海外展開懇談会 資料3 xID 日下様 ご提供資料 日本で唯一の次世代デジタルIDアプリ「xID」」(2020年10月2日)|経産省

そして、同資料でxID社は「「事業者や行政におけるデータの管理は、各事業者や自治体によって個別にデータ管理されるよりも、UXPとxIDを用いたデータ連携基盤を用いたデータ管理をするほうが、各事業者・行政・市民にとって利便性が高くなる」と考えています。」と説明しています。

つまり、xID社はxIDの趣旨・目的を「民間事業者や行政における個人データの管理は、各事業者や自治体ごとに個別に個人データ管理するよりも、あらゆるサービスを利用する個人がどのサービスにおいても同一の人物であると特定できる、同一性・一意性が担保できるデジタルIDであるxIDを用いた個人データ管理をするほうが、個人データの活用が実現できて、利便性が高くなる」と説明しています。
経産省資料2
(経産省「第5回インフラ海外展開懇談会 日本で唯一の次世代デジタルIDアプリ「xID」」より)

つまり、xIDとは「民間企業や各自治体、各官庁などがばらばらに保有している国民の個人データを、本人の同一性・一意性が担保できるデジタルIDであるxIDにより、官民のさまざまなサービスを利用する個人の個人データを一元管理・集中管理して国民の個人データの活用を実現するもの」です。

すなわち、xIDとは一言で言うならば、「さまざまな行政機関・自治体やさまざまな民間企業がばらばらに保有する国民の個人データを、国・大企業が一元管理・集中管理して、国・大企業が自由な用途に利用できる「民間版マイナンバー」」(=裏個人番号・裏マイナンバー・「広義の個人番号」)と言えるでしょう(詳しくは後述)。

しかし、後述するとおり、さまざまな行政機関や各自治体、さまざまな民間企業が保有する国民の個人データを、民間企業のxID社が作成した「民間版マイナンバー」であるxIDで名寄せ・突合して国や大企業が一元管理・集中管理を可能にして、自由な用途に国・大企業が利活用することは、国・大企業による国民のプロファイリングを容易にし、また国・大企業による国民の監視・追跡・モニタリングなどを容易にしてしまうものであり、国民の個人の尊重や、国民の個人情報保護、国民のプライバシー・人格権などの国民の基本的人権を大きく侵害する危険があり、マイナンバー法はこのような「民間版マイナンバー」(裏個人番号・裏マイナンバー・「広義の個人番号」禁止しています(法9条、19条など)。

3.なぜマイナンバーを入力させるのか?
xIDはたしかに一見、便利そうなサービスではありますが、しかしこのxIDが、マイナンバーカードの公的個人認証サービスに関するICチップの部分の利用だけであれば問題がないところ、なぜかxIDの生成のために本人にマイナンバー(個人番号)を入力させ、そのマイナンバーをもとにスマホアプリのプログラムで非可逆的なxIDを生成していることに対してネット上ではマイナンバー法違反であると大きな批判が起きています。

マイナンバーの収集保管はしません
(xID社サイトより)

つまり、xID社サイトは「ヘルプ」の画面のなかの「なぜマイナンバーを入力する必要があるのですか?」とのQAにおいて、マイナンバーをもとに一意のIDを生成するために、マイナンバーをご入力いただいています。』・『非可逆的な方法で生成するのでxIDからマイナンバーを検出することはできません』とはっきりと記述しています。
なぜマイナンバーを入力するのですか?

すなわち、xID社サイトが上のように説明しているとおり、xID社は、xIDというデジタルIDの生成について、xID社がCCCのTポイントなどのような共通ポイント運営会社のように自社独自の会員番号・ユーザー番号をIDとして作成すれば特に問題がないのに、なぜかわざわざユーザー本人にマイナンバーをアプリに入力させ、当該マイナンバーをアプリのアルゴリズムで変換してxIDというユーザーIDを生成しているのです。

また、渋谷区の施設予約システムなどへのxIDの利用に関する資料を読むと、xIDを施設予約システムのデジタルIDとして利用することが明記されています。
渋谷区の施設予約システムの概要図
(渋谷区サイトより)
[別紙1] 令和 3 年度 施設予約システム再構築に係る 設計・開発業務委託|渋谷区

しかし、マイナンバー法9条および「別表第一(法9条関係)」にマイナンバーの取扱が許された事業者・機関として法定されていないxID社が、マイナンバー法9条および別表が法的する利用目的以外の目的でマイナンバーを収集・利用などすることは、マイナンバー法違反です。

また本人や行政機関、事業者なども、マイナンバー法が法定する事業者や国・自治体の機関以外に、マイナンバー法の規定する利用目的以外のためにマイナンバーを提供することは禁止されています(法19条)。

そして、マイナンバー法(番号法)2条8号は、つぎのように規定しています。

マイナンバー法

2条8項

この法律において「特定個人情報」とは、個人番号個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。第7条第1項及び第2項、第8条並びに第48条並びに附則第3条第1項から第3項まで及び第5項を除き、以下同じ。)をその内容に含む個人情報をいう。

つまりマイナンバー法2条8項の個人番号(マイナンバー)の後ろについているかっこ書きが示すとおり、「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む」は、マイナンバー法上、原則としてマイナンバー(個人番号)と同等のものして扱われます。

すなわち、マイナンバー法の法案の立案担当者である弁護士の水町雅子先生の『Q&A番号法』56頁はつぎのように解説しています。

『番号法(=マイナンバー法)は、特定個人情報(=マイナンバーを含む個人情報)の取扱いが安全かつ適正におこなれれるようにするための法律です。番号法で狭義の個人番号(=マイナンバー)に対してのみ規制しても、個人番号を脱法的に変換した番号などを個人番号の代わりに悪用されてしまっては、番号法の目的を達成することはできません。そこで個人番号の代替物と考えられるような番号・符号については、広義の個人番号として、番号法の各種規制をおよぼせるようにしています(法2条8項)(略)すなわち、広義の個人番号に該当するものは、個人番号を脱法的に変換したものや、個人番号や住民票コードから生成される番号・符号など、個人番号に性質上対応するものをいいます。(水町雅子『Q&A番号法』56頁)』

この点、個人情報保護委員会特定個人情報ガイドラインQ&A(事業者編)9-2もつぎのように解説しています。

特定個人情報ガイドラインQ&A(事業者編)9-2

Q9-2 個人番号を暗号化等により秘匿化すれば、個人番号に該当しないと考えてよいですか。

A9-2 個人番号は、仮に暗号化等により秘匿化されていても、その秘匿化されたものについても個人番号を一定の法則に従って変換したものであることから、番号法第2条第8項に規定する個人番号に該当します。(平成27年4月追加)

PPCのQA9-2
(個人情報保護委員会サイトより)

このように、「暗号化等によって秘匿化されたものについても、それは個人番号を(プログラム等により)一定の法則に従って変換したもの」であるので、マイナンバー法2条8項が規定するとおりマイナンバー(個人番号)に該当するのです。

この点、xID社サイトは「ヘルプ」の画面のなかの「なぜマイナンバーを入力する必要があるのですか?」とのQAにおいて、『マイナンバーをもとに一意のIDを生成するために、マイナンバーをご入力いただいています。非可逆な形で生成していますので、IDをもとにマイナンバーを検出することはできません。また、xIDではマイナンバーに関するすべての処理をデバイス上でのみ完結させており、マイナンバーを収集・保管することは致しません。』と回答しています。

なぜマイナンバーを入力するのですか?
(xID社サイトのヘルプより)

しかし、上でマイナンバー法2条8項の条文で確認したとおり、そもそも「マイナンバーをもとに一意のIDを生成する」こと自体が「広義の個人番号」(裏個人番号・裏マイナンバー)の生成であり、マイナンバー法上の大問題です。「非可逆な形で生成」したとしても、「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号」はマイナンバーとして法的に扱われるので、マイナンバーをもとにxIDを生成しているのですから、xID社は「非可逆な形で生成」しているからとマイナンバー法の適応除外となるわけではありません。(この点は後述。)

また、「xIDではマイナンバーに関するすべての処理をデバイス上でのみ完結させており、マイナンバーを収集・保管することは致しません。」とありますが、マイナンバーから別のIDを生成することについては、それが事業者のサーバー上で行われるか利用者のスマホ上のアプリで行われるかはマイナンバー法上は関係のないことであり、また、xID社は利用者のマイナンバーをアプリで生成したxIDというマイナンバーと法的に同等のもの(広義の個人番号)を同社のサーバー等で保存・利用・提供などするわけですから、やはりマイナンバーをもとにアプリでxIDを生成するというxID社のスキームは、マイナンバー法上、完全に違法です(マイナンバー法9条・別表一(法9条関係)、法19条、法2条8項かっこ書き)。

■追記(10月7日)
産業技術総合研究所主任研究員の高木浩光先生が、マイナンバー法の「裏個人番号」についてブログ記事を書かれています。
・緊急速報:マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか|高木浩光@自宅の日記

4.なぜマイナンバー法はマイナンバーの厳格な取扱いを要求するのか?
(1)国民の個人データの名寄せ・突合を可能とする究極のマスターキーとしてのマイナンバー
このようにマイナンバー法がマイナンバー(個人番号)について厳格な取扱いを要求するのは理由があります。つまりマイナンバー法に基づき、国家(が法で委託したJ-LIS(地方公共団体情報システム機構))が国民すべてに悉皆性)、国民一人に一つの個人番号(マイナンバー)を割り当てることにより(唯一無二性)、マイナンバーを国民の個人情報・個人データのマスターキーとして利用して、国・自治体など行政のさまざまな部門の持つ国民の個人情報・個人データのデータマッチングを行うことにより、従来、紙と人間の手によって行ってきた様々な行政上の事務を効率化し、行政のコストダウンなどを行うのがマイナンバー制度です(宇賀克也『番号法の逐条解説』14頁)。

しかしマイナンバーは国・自治体などのあらゆる分野の国民の個人情報・個人データを名寄せ・突合できてしまう非常に高度な識別機能を持つ究極のマスターキーであるため、もしマイナンバーが漏洩したり、行政において悪用や恣意的な利用がなされた場合、国のそれぞれの官庁などのさまざまな部門が分散して保有する個人情報・個人データが国民の意思に反して勝手に名寄せ・突合などが行われ、国民がコンピュータやAIによりそれらの突合された個人データの分析(自動処理)により勝手に評価・分析されてしまうなどのプロファイリングの危険や、国民の追跡・トレーシングや監視・モニタリングなどの危険、個人情報漏洩の危険、国民の個人情報・個人データが国や大企業・IT企業などに一元管理・集中管理されてしまう危険(監視社会・監視国家の危険)などのおそれがあります。

このような危険の防止のために、マイナンバー制度はマイナンバー(個人番号)という識別機能の極めて高い、究極のマスターキーを国家が法律に基づき作成し、国民に割り当てるものの、行政各部門が保有する国民の個人データに関しては一元管理、集中管理するのではなく、従来どおり行政の各部門が分散管理して個人データを保管することとしています。

マイナンバー制度の概要図
(内閣府サイトより)
・マイナンバー制度について|内閣府

またマイナンバー法の規定でマイナンバーの利用についても利用目的を、税関係・社会保障関係・災害時の対応の3つの分野のみに限定し、マイナンバーの提供を受けたり利用ができる機関・事業者を法律に限定的に規定し、それ以外の事業者や国・自治体の機関は利用禁止にするなどの対応を行い(法9条・別表第一(法9条関係)、19条など)、マイナンバーによる国民のプロファイリング、国民の個人情報の漏洩、国家や大企業などによる国民の個人情報の一元管理などのリスクを防止しようとしているのです。

つまり、マイナンバー法は行政の効率化を目指しつつ、同時に、国民の個人情報やプライバシー権、人格権(憲法13条)などの国民の個人の尊重と基本的人権を大きく侵害しかねない重大なリスクを防止するために、マイナンバー(個人番号)の厳格な取扱を要求するために個人情報保護法などの特別法として立法化されたものです(マイナンバー法1条、個人情報保護法1条、同法3条、憲法13条)。

にもかかわらず、マイナンバーからプログラムなどで変換されたマイナンバーと一対一の関係にある「当該個人番号に代わって用いられる番号、記号その他の符号(法2条8号かっこ書き)」(=今回の事件におけるxID)とセットで個人情報が漏洩などしてしてしまった場合(=特定個人情報の漏洩)、それを入手した名簿屋などが、「当該個人番号に代わって用いられる番号、記号その他の符号」とセットで漏洩した他の個人情報などとさらに別のところから入手した個人データなどを名寄せ・突合し、どんどんより多くの項目のそろった国民の個人データのデータベースを勝手に作成し、それらを勝手に他の事業者や外国に販売・転売するであるとか、あるいはそれらのより多く項目の国民の個人データのそろったデータベースで、本人に勝手にプロファイリングやトラッキング・トレーシングなどを行い、そのプロファイリングやトラッキングの結果を違法・不当に国民の信用スコアリングや身元調査、信用調査などに利用するであるとか、そのプロファイリング等の結果を他の事業者や外国に販売・転売するなどのリスクがより発生しやすくなってしまいます。

つまり、マイナンバー法は、マイナンバー(個人番号)による違法・不当な国民のプロファイリングのリスクトラッキングのリスク、個人情報・個人データの情報漏洩のリスク国家や大企業・IT企業などによる国民の個人情報・個人データの一元管理などのリスク(監視社会・監視国家のリスク)などの国民の個人の尊重や基本的人権などを大きく侵害しかねない重大なリスクを防止するために、マイナンバー(個人番号)の厳格な取扱を要求しています。

そして同様に、これらのマイナンバー(個人番号)がもたらすおそれのある国民の個人の尊重や基本的人権を侵害しかねない重大リスクを防止するために、マイナンバー法は、マイナンバー(個人番号)と同じように利用できてしまう唯一無二性・悉皆性を有する番号・記号・符号などである、「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号」(法2条8項かっこ書き・「広義の個人番号」・いわゆる「裏個人番号」・「裏マイナンバー」)をも、事業者や行政機関などが勝手に作成して利用・提供などすることを法律で禁止しているのです。

(2)ハッシュ化の問題
そのため、マイナンバー(個人番号)をプログラムで例えばハッシュ化するなどして生成されたハッシュ値などの番号・記号・符号なども、それが非可逆性という性質を有しているとしても、マイナンバー法上はマイナンバー(個人番号)と同等のものであると評価され、マイナンバー法上の法規制に服することになると思われます(法2条8項かっこ書き)。

この点、産業技術総合研究所主任研究員の高木浩光先生は、9月28日のTwitterで『水町本にハッシュへの言及があるわけではないですが、「性質上個人番号と同等と考えられるもの」(水町逐条85頁)という説明。その性質が「悉皆性、唯一無二性」であることは続く頁に書かれています。書かれてはいるがもっと直接的にはっきり記述した方がよかった。』と投稿しておられます。
ひろみつ先生ハッシュ化
(高木浩光先生のTwitterより)
https://twitter.com/HiromitsuTakagi/status/1442292375011823621

マイナンバー法の立案担当者である弁護士の水町雅子先生の『Q&A番号法』56頁も上でみたとおり、「個人番号を脱法的に変換したものや、個人番号や住民票コードから生成される番号・符号など、個人番号に性質上対応するもの」は「広義の個人番号」(=裏個人番号・裏マイナンバー)に該当し、マイナンバー法の個人番号への法規制の対象になるとしており、マイナンバーをハッシュ化による非可逆化の処理をして番号・符号などを生成した場合は、当該番号・符号などは「広義の個人番号」(裏個人番号・裏マイナンバー)から除外されるとはしていません。

したがって、マイナンバーをスマホアプリでハッシュ化による非可逆的な番号のxIDにしたとしても、xIDはやはりマイナンバーと法的に同等のものである「広義の個人番号」(裏個人番号・裏マイナンバー)であり(法2条8項かっこ書き)、マイナンバー法のマイナンバーに関する各種の法規制を受けるので、法9条と別表一の規定する税・社会保障・災害時の対応の利用目的以外に利用・提供などすることは法9条違反となり、またxID社などの民間企業や自治体・国などの行政機関や本人が、法9条と別表一が定める以外の行政機関や事業者などにxIDを提供することは、法19条違反となります。

(3)GovTech企業としてのxID社
ところで、xID社は、同社サイトにおいて、『xID株式会社は「信用コストの低いデジタル社会を実現する」をミッションとして掲げ、マイナンバーカードを活用したデジタルIDソリューション「xID」を中心に、次世代の事業モデルをパートナーと共に創出するGovTech企業です。』と同社の概要を説明しています。

xID社について
(xID社サイトより)

しかし「マイナンバーカードを利用したデジタルIDソリューション」を行う「GovTech企業」であるにもかかわらず、xID社は、上でみたようなマイナンバー法やマイナンバー制度の趣旨・目的を理解せず、「マイナンバーをアプリで変換して生成したxIDはマイナンバーではない」という初歩的な誤解に基づきマイナンバーに関連する事業を行っているとは、xID社の経営陣や法務部門、情報システム部門などは法律や情報システムや情報セキュリティのド素人の人間しかいないのでしょうか?

xID社サイトによると、同社の代表取締役CEOの日下光氏は、石川県加賀市のDXアドバイザー、静岡県浜松市フェロー、2021年度総務省地域情報化アドバイザー、東京大学近未来金融システム創造プログラム講師などを歴任しているようです。また、同社の金融・不動産領域アドバイザーの赤井厚雄氏は、早稲田大学研究院客員教授、内閣府都市再生の推進に係る有識者ボード委員、内閣府未来技術社会実装有識者会議委員、国土審議会部会委員等を歴任しているとのことです。

このようなマイナンバー法や個人情報保護法制、情報システムや情報セキュリティなどの素人の人物を諮問委員としている内閣府未来技術社会実装有識者会議、内閣府都市再生の推進に係る有識者ボード、総務省地域情報化部門、国土審議会部会、石川県加賀市、静岡県浜松市などは本当に大丈夫なのでしょうか?

同様にこのような素人の人物達を教員・研究者にしている東京大学近未来金融システム創造プログラム部門、早稲田大学研究院なども大丈夫なのでしょうか?

同社サイトによると、xID社は楽天などの新経済連盟に加入し、Fintech協会スマートシティ・インスティテュートなどの業界団体にも加入しているようです。これらの団体の業務品質やガバナンス・コンプライアンスも大いに気になるところです。

5.xIDの導入・運用
(1)従業員のメンタルヘルスに関する情報システム・コロナワクチン予約システムへの導入
xID社のxIDは、今回問題となっている渋谷区だけでなく、加賀市などでも導入予定となっているそうです。また、同じく導入予定となっている「ラフールサーベイ」という企業は、企業の人事部門が従業員のメンタルヘルスを管理することを支援する企業であるそうですが、マイナンバーと法的に同じものであるxIDに、従業員のメンタルヘルスに関するセンシティブな医療・健康データを連結させてしまって大丈夫なのかと気になります。
ID導入予定
(xID社サイトより)

また、本年7月のxID社のプレスリリース「xID、コロナワクチン予約システムで採用。地方自治体で実証実験を開始。」によると、東京都日野市などの自治体で、コロナワクチン予約システムにおいて、利用者・住民のIDとしてxIDを利用する実証実験が行われているそうです。
・xID、コロナワクチン予約システムで採用。地方自治体で実証実験を開始。|xID

コロナワクチン接種の事実、いつだれが接種をどこで受けたか等は個人情報保護法が規定するセンシティブな個人情報である要配慮個人情報(個人情報保護法2条3項)「病歴」などの医療データには直接は該当しません。しかし、医師・看護師の問診を受けてワクチン接種を受けることは医療行為に該当するものであり、ワクチン接種を受けた本人のプライバシー権や、ワクチン接種を受ける受けないという医療に関する自己決定権(憲法13条)、ワクチン接種を受ける受けないという内心の自由(19条)に関連する、要配慮個人情報に準じる、センシティブな個人情報・個人データです。

そのため、自治体がコロナワクチン予約システムに法的にマイナンバーと同等のもの(広義の個人番号・裏個人番号・裏マイナンバー)であるxIDを導入し、xIDに要配慮個人情報に準じるセンシティブな個人情報であるワクチン接種の予約などに関する個人情報・個人データを連結させることは、これも上でみたように、マイナンバー法9条、19条、2条8項かっこ書きに違反するおそれがあるのではないでしょうか。

(2)自治体の電子申請システム「LoGoフォーム電子申請」への導入
さらに、本年7月のxID社のプレスリリース「【トラストバンク・xID】マイナンバーカードを活用した電子申請サービス「LoGoフォーム電子申請」が、25自治体で導入」によると、2020年7月より導入が開始された、xIDを利用した電子申請サービス「LoGoフォーム電子申請」が、石川県加賀市、兵庫県三田市など25自治体に広がったとされています。電子申請サービス「LoGoフォーム電子申請」とは、自治体職員が担当部署や上司などに各種の申請を行うための電子申請サービスであるそうです。

国の機関や地方自治体は公的機関であり、民間企業以上に高度な法令遵守・コンプライアンスが要求される機関ですが(国家公務員法98条1項、地方公務員法32条、憲法99条・憲法尊重擁護義務)、石川県加賀市、兵庫県三田市などはマイナンバー法や個人情報保護法制などを十分に理解し、この「LoGoフォーム電子申請」やxIDなどをしっかりと検討した上で導入したのか大いに気になるところです。
・「【トラストバンク・xID】マイナンバーカードを活用した電子申請サービス「LoGoフォーム電子申請」が、25自治体で導入」|xID

(3)金融機関や議員等の情報発信基盤などへの導入
xID社はセブン銀行LayerX富士ソフトVOTE FORなどとも業務提携しているそうですが、これらの企業も、法務部や情報システム部門などがマイナンバー法や個人情報保護法などの業務に関連する法律をしっかりと理解しているのか気になります。

(2019年の就活生の内定辞退予測データの販売が問題となったいわゆる「リクナビ事件」においては、個人情報保護委員会は、リクルートキャリアやトヨタなどに対して、「新しい業務を行う際に、社内で組織的に個人情報保護法などの法令を十分に検討していなかった」ことを理由の一つとして行政指導を行っています(個人情報保護委員会「株式会社リクルートキャリアに対する勧告等について」(令和元年12月4日))。)
xID提携企業
(xID社サイトより)

セブン銀行の属するセブン&アイ・ホールディングスセブンイレブン7payのシステムがあまりにもお粗末で、2019年夏にリリースされた後、社会的批判を受けてあっという間にサービス終了となったことが記憶に新しいものがあります。そのなかで同グループのセブン銀行は金融業だけあって比較的手堅く業務を行っているイメージがあったのですが、やはりセブン&アイ・ホールディングスのグループ会社といういうことなのでしょうか。

また、特にLayerXは、ITや個人情報保護法制の専門家集団の企業のはずですが、この点どうなのでしょうか。また、xID社と業務提携してる、VOTE FORという企業は国会議員・地方議員・行政機関の職員などの「情報発信を支援」する企業だそうですが、もし万が一、国会議員・地方議員や行政機関の職員などが個人番号と法的に同等のものであるxIDに簡単にアクセスなどができるとしたらこれもマイナンバー法9条、19条、2条8項かっこ書きとの関係で大問題の予感がします。

(4)富士ソフトのデータ連携基盤「UXP」と政府のスーパーシティ構想・スマートシティ構想
富士ソフトは法人向けシステム開発とともに、「筆ぐるめ」の企業であるようですが、もし筆ぐるめの住所録機能にxIDを入力する項目などがあったら大問題であると思われます。

また、富士ソフトは上でみた経産省の「第5回インフラ海外展開懇談会」に提出されたxID社のxIDに関する資料(「資料3 xID 日下様 ご提供資料(第5回インフラ海外展開懇談会 日本で唯一の次世代デジタルIDアプリ「xID」」)の「「UXP × xIDで実現するパーソナルデータの連携」に登場する「UXP(Unified eXchange Platform)」を開発しxID社と業務提携しているとのことです。

この「UXP(Unified eXchange Platform)」とは、富士ソフトのプレスリリースなどによると、「エストニア政府でも採用されているX-Roadを商用化した製品」であり、「暗号化技術を活用することで、複数のデータベース間のデータ連携を安全に共有することを可能」とする「分散型のシステム」であり、「機微・機密データ」の連携に強い、「複数のシステムやデータベース、そのデータレイアウトを変更することなく連携・利活用することが可能」な「分散型」の「データ連携基盤」であるそうです。
・富士ソフトとxID、データ連携基盤「UXP」と次世代デジタルID「xID」の共同提供の検討における基本合意書を締結(2020年9月1日)|富士ソフト

富士ソフトは同社サイトによると、このxID社と提携したデータ連携基盤「UXP」を、近年、政府が推進している未来都市創生プロジェクト「スーパーシティ構想」(スマートシティ)に提供したい方針のようです。
富士ソフトスーパーシティ構想
(富士ソフトウェブサイトより)
・富士ソフトの連携基盤UXP×Fiware|富士ソフト

この富士ソフトのスーパーシティ構想におけるxIDと連携した「UXP」の概要図をみると、病院、介護施設、保育園などの患者や児童、入居者や保育士、介護士などのバイタルデータ・ストレスデータなどの個人の心身のセンシティブな医療データ・健康データやレセプトのデータや検査結果などの医療データをデータ連携基盤UXPでxIDを個人データのマスターキーとして収集し名寄せ・突合を行い、一元管理・集中管理し、これら国民・住民のセンシティブな個人データを研究機関やIT企業や製薬会社などに提供するようです。

しかし、富士ソフトやxID社、内閣府など政府のこのようなスーパーシティ構想・スマートシティ構想は、広義の個人番号・裏個人番号・裏マイナンバーという、マイナンバーと法的に同等のものであるxIDに国民・住民のセンシティブな医療データやバイタルデータ・ストレスデータなど(要配慮個人情報など)を連結させる点で、マイナンバー法9条の定めるマイナンバーの税・社会保障・災害対応という利用目的からはずれており違法です。

また、国民・住民のさまざまな個人データやライフログ、医療データ・健康データなどの要配慮個人情報をxIDとUXPにより名寄せ・突合して集中管理・一元管理して研究機関や製薬会社、IT企業などに提供してそれらの国民・住民の個人データを利活用することは、国・自治体や大企業による国民・住民のあらゆる個人データの監視・追跡・モニタリングであり、国・大企業の前で国民が丸裸のごとき状態(監視社会・監視国家・国民総背番号制度)をもたらしてしまうものであり、国・大企業による国民のあらゆる種類の個人データによるプロファイリングやスコアリングなどが行われてしまう危険が非常に高いのではないでしょうか。

日本のマイナンバー制度は、上でもみたとおり、行政の効率化などの目的のために、国の各行政機関や各自治体が保有する国民の個人データを名寄せ・突合できるマスターキーとしてのマイナンバー(個人番号)を作成するものの、行政機関の保有する国民の個人データは従来どおり分散管理し、またマイナンバーの利用目的も税・社会保障・災害対応の3分野に法律で限定し、利用できる行政機関・事業者も法律で限定して、国や大企業などによるマイナンバーの濫用による国民の個人の尊重や基本的人権の侵害に歯止めをかけています。

にもかかわらず、国民・住民のオープンデータや病院・介護施設・保育園・学校などのあらゆる個人データ・医療データなどの要配慮個人情報、ライフログなどをxIDやUXPなどにより名寄せ・突合できるようにして、一元管理・集中管理されたこのような官民の保有する国民のあらゆる個人データを利活用しようという、xID社や富士ソフト、あるいは内閣府などの政府が推進しようとしているスーパーシティ構想・スマートシティ構想などは、官民による広義の個人番号・裏個人番号・裏マイナンバーの利用による国民の個人情報の利活用というマイナンバー法や個人情報保護法制の潜脱行為であり、行政の効率化と国民の人権保障の調和を図ろうとするマイナンバー法やマイナンバー制度、そしてマイナンバー法の一般法である個人情報保護法などの趣旨・目的そのものに反し、国民の個人の尊重や個人情報、プライバシー権、人格権や自己情報コントロール権の侵害(憲法13条)であり、もし裁判所で争われた場合、違法・違憲との判断が出される可能性があるのではないでしょうか。

(5)自治体への導入
一方、石川県加賀市、兵庫県三田市、町田市などxID社と提携しているその他の自治体も、マイナンバー法やそれぞれの自治体の個人情報保護条例・個人情報保護法などを十分に理解した上で業務を実施しているのか気になります。
xid提携自治体1
xid提携自治体2
(xID社サイトより)

(6)スマホアプリxIDのインストール件数
加えて、Googleのandroidスマホのplayストアをみると、android版スマホアプリのxID既に約1000件以上ダウンロードされて利用されているようです。日本はiPhoneなどのapple製品のシェアのほうがずっと高いので、xIDアプリの実際の利用者はこの数倍となるのではないでしょうか。つまり、xID社によるマイナンバーの違法な収集・利用が少なくとも1000件(実際にはその数倍)、すでに行われていることは間違いないようです。
FAJLlV6VQAsiW5q

6.マイナンバー法上の個人情報漏洩等の重大事故があった場合の個人情報保護委員会への報告
この点、マイナンバー法29条の4は、「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態が生じたとき」には、事業者や地方公共団体などは個人情報保護委員会に対して速やかに報告をしなければならないと、報告法的義務としています。

また個人情報保護委員会の「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」は、「100人以上」の特定個人情報の漏洩等を「重大事故」(重大インシデント)と定義して、重大事故が発覚したときは、事業者や地方自治体などは「直ちに」、個人情報保護委員会に対して「第一報」(速報)を行わなければならないとしています。同規則2条2項ロは、「法第9条の規定に反して利用された個人番号を含む特定個人情報」が「100人を超える場合」をも「重大事故」であると定義し、個人情報保護委員会へ直ちに報告することを義務付けています。

重大事故の報告
(個人情報保護委員会サイトより)
・特定個人情報の漏えい事案等が発生した場合の対応について|個人情報保護委員会

この点、xID社はネット上の炎上を受けて9月24日付で「ソーシャルメディア等で頂いているxIDアプリに関するご意見について」とのプレスリリースを公表しています。

お詫びのリリース
(xID社サイトより)
・ソーシャルメディア等で頂いているxIDアプリに関するご意見について|xID

しかしこのプレスリリースを読むと、「関係官庁や顧問弁護士と法律面の確認はしてきた」と、xIDがマイナンバーの入力を要求し、入力されたマイナンバーからアプリでxIDを生成していることの違法性を否定しています。(この関係官庁が具体的にどの官庁で、また顧問弁護士が具体的に何という弁護士なのか大いに気になりますが。)

そして、「多くのご意見を頂いております個人番号の入力につきまして、かねてより当社も利用者様の不安を招く可能性を認識しており、そのため、現在開発中で年内リリース予定の次期バージョンでは個人番号入力を伴う手順を廃止するよう進めております。」としています。

つまりxID社はマイナンバーからxIDを生成することは違法と認識しておらず、ただ「利用者の不安」を払拭する目的のために「現在開発中で年内リリース予定の次期バージョンでは個人番号入力を伴う手順を廃止」するとしていますが、既に同社がマイナンバーから生成済のxIDのデータを直ちに削除・廃棄するであるとか、マイナンバーからxIDを生成するスキーム自体を中止する等とは一言も述べていません。当然、個人情報保護委員会へ報告を行うなどとも書かれておらず、マイナンバー法が規定するマイナンバーの重大インシデントが発生中であるにもかかわらず、状況は深刻です。

7.マイナンバー法上の個人情報保護委員会の権限・罰則
(1)報告徴求・立入検査など
マイナンバー法は、このような場合、個人情報保護委員会は、行政機関や自治体、事業者などに対して報告徴求を行い、立入検査などを実施することができると規定しています(法35条)。そしてこの報告徴求に対して虚偽の報告をしたり、立入検査に対して検査を妨害などした場合には、一年以下の懲役又は五十万円以下の罰金の刑罰が科されます(法54条)。

また、個人情報保護委員会は、マイナンバーの安全管理などのために、総務省やその他の官庁、行政機関などに対して「必要な措置」の実施を要求することができます(法37条)。

(2)罰則
さらに、「人を欺き」、「個人番号を取得した者」は、三年以下の懲役又は百五十万円以下の罰金に処する」と罰則が規定されています(法51条1項)。

ここでいう「個人番号」には、個人番号からプログラムで生成された「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号」(法2条8項)も含まれると解されています(宇賀・前掲234頁)。

また、法51条2項は、「前項の規定は、刑法(明治四十年法律第四十五号)その他の罰則の適用を妨げない。と規定しているので、刑法詐欺罪窃盗罪組織犯罪処罰法(組織的な犯罪の処罰及び犯罪収益の規制等に関する法律)の定める犯罪収益等の没収・追徴なども可能と解されています(宇賀・前掲237頁、(組織犯罪処罰法2条2項1号ロ、別表第二(第二条関係)37号はマイナンバー法51条1項に該当する罪の収益には組織犯罪処罰法が適用されると規定しているため))。

そのため、マイナンバー法9条および別表に定める利用目的および機関・事業者に該当しないにもかかわらず、利用者・ユーザーにマイナンバーの提供(入力)を要求して当該マイナンバーからxIDを生成して利用・管理・提供しているxID社の業務はこの「人を欺き」、「個人番号を取得」に該当するとして、法51条1項の三年以下の懲役又は百五十万円以下の罰金の罰則が科される可能性があるのではないでしょうか。

同時に、法51条2項の規定により、xID社には刑法上の詐欺罪、窃盗罪などが適用される可能性もあり、さらに組織犯罪処罰法に基づき、同社がxIDの業務により得ていた収益も、「犯罪収益」に該当するとして、没収・追徴が行われる可能性があります。

加えて、偽りその他不正の手段により個人番号カードの交付を受けた者」に対しては、六月以下の懲役又は五十万円以下の罰金の刑罰が科されます(法55条)。例えば、行政機関の担当者を買収したり、甘言を弄したり、懇願するなどしてマイナンバーカードの交付を受けるなどの行為は、「不正」に他人のマイナンバーカードの交付を受けることに該当し、この法55条の罰則が適用されるされています(宇賀・前掲246頁)。

8.まとめ
渋谷区では民間のITベンチャー企業と連携した、LINEによる住民票の写しの申請が違法であり許されないと総務省からダメ出しが出されたばかりであり、今回の渋谷区とxID社の件は「またか」との感があります。

一方、国においても、国・自治体のデジタル化やマイナンバー制度の推進などを任務とするデジタル庁が9月から正式発足しましたが、同庁幹部の向井治紀氏がNTTから違法不当な接待を何度も受けていたことが発覚し、また事務方トップのデジタル監に、アメリカの性犯罪者の富豪から巨額の寄付を受けた不祥事でMITメディアラボを辞任したばかりの伊藤穣一氏をあてる人事が大きな社会的批判を浴びて撤回されたものの、代わってデジタル監に就任した石倉洋子・一橋大学名誉教授が自身のウェブサイトで画像素材サイトの画像を無断で対価を支払わずに多数利用していたという著作権法違反の事件が発覚しました。

さらに平井卓也・デジタル庁大臣も、違法不当な接待をIT企業から受けていた問題や、特定企業との癒着や脱税、NECを「徹底的に干せ」「脅せ」などと発言したことなどが社会的批判を浴びています。加えてデジタル庁自体も、民間IT企業の職員を数百人規模で中途採用して職員にするなど、利益相反や特定企業との癒着の危険性、憲法15条2項や国家公務員法96条1項などが要求する行政の公平性・中立性が保たれるのかなどの憲法レベルのさまざまな問題をはらんでいます。

近年のわが国の政府や経済界は、新自由主義的思想のもとに、露悪趣味的な、「自分達の考えた政策や事業の実現のためには法律やモラルなどどうでもよい」という雰囲気が漂い、日本社会は法治主義や「法の支配」ではなく、政治力や経済力、腕力・発言力などの強い人間が社会を支配する「人の支配」が横行する社会となってしまい、日本社会全体が大きく低迷・迷走しています。

日本のマイナンバー制度などを含む個人情報保護に関する行政やデジタル行政に対する国民からの信頼確保のためには、個人情報保護委員会や総務省などは、xID社や提携企業、xIDなどを導入や導入を検討している渋谷区、石川県加賀市、兵庫県三田市、町田市などに対して報告徴求や立入検査などを実施し、状況を分析した上で行政指導を行い罰則を科すなどの厳格な対応を早急に実施すべきではないでしょうか。

同時に、日本のITベンチャー企業や、デジタル化を推進している行政官庁や全国の自治体も、マイナンバー法や個人情報保護法制など憲法・法律やモラルなどを遵守することが、国民からの日本のIT業界や国・自治体のデジタル行政や個人情報保護行政への信頼を保つため、そして低迷する日本社会を再び活力ある社会、主権者たる国民の人権保障が重視され、法治主義・「法の支配」が貫徹される社会にするために重要なのではないでしょうか。

■追記(9月28日)
「7.マイナンバー法上の個人情報保護委員会の権限・罰則」にマイナンバー法51条に関する説明を追加するなどしました。

■追記(9月29日)
9月28日に、渋谷区議会議員の須田賢氏(@sudaken_shibuya)よりつぎのようなコメントをTwitterにて頂戴しました。

『渋谷区で現在公募している施設予約リニューアルのシステムで引用RTの記事のように問題が指摘されているxIDについて、法令上の問題の有無について提供しているxID社及び所管する総務省に確認をするよう渋谷区の所管部門に要請しました。今後の渋谷区の対応についてフォローしていきます。』

須田賢渋谷区議のツイート
(須田賢氏のTwitterより)
https://twitter.com/sudaken_shibuya/status/1442741641370955776

そのため、私の方からは、須田区議に対し、「マイナンバー法の所管の官庁は個人情報保護委員会であるので、総務省だけでなく個人情報保護委員会にも渋谷区から照会していただきたい」旨をTwitterで返信させていただきました。

個人情報保護委員会および総務省の渋谷区やxID社などへの回答や対応が待たれます。

■追記(9月30日)
加賀市9月29日付のプレスリリース「xIDを利用しているサービスの一時利用停止について」によると、ネット上の炎上を受けて、xID社は現在、個人情報保護委員会に対してxIDがマイナンバー法違反であるかどうかについて照会を行っているとのことであり、また、それを受けて加賀市はxIDを利用している同市の電子申請サービスなどの一時停止を決定したとのことです。
・【プレスリリース】xIDを利用しているサービスの一時利用停止について|加賀市

加賀市プレスリリース
(加賀市サイトより)

今後の展開が注目されます。

■追記(10月4日)
愛媛県官民共創デジタルプラットフォーム「エールラボえひめ」が10月1日のプレスリリースにおいて、xIDを利用した新規会員登録とログイン認証の一時停止を発表しています。
・xIDアプリと連携した新規会員登録及びログイン認証の一時停止について|エールラボえひめ
エールラボえひめ

■追記(10月6日)
富士ソフトのデータ連携基盤「UXP」と政府のスーパーシティ構想・スマートシティ構想等について追記しました。

■追記(10月7日)
xID社が10月6日付で新たなプレスリリースを公表しました。このリリースによると、同社は9月29日に個人情報保護委員会に対して、xIDアプリの詳細仕様及びこれまでの経緯に関する事実説明を行ったとのことです。個人情報保護委員会の判断や対応が待たれます。
・個人情報保護委員会への当社xIDアプリの個人番号入力に関する説明について|xID
xIDプレスリリース2
(xID社サイトより)

また、高木浩光先生が10月6日付で「裏個人番号」に関するブログ記事を公開されています。
・緊急速報:マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか|高木浩光@自宅の日記

■追記(10月12日)
読売新聞が10月12日付の記事でxIDのマイナンバー法違反の件を報道しています。
・行政手続きアプリに「違法」指摘、利用停止の動き広がる…自治体側は問題に気づかず|読売新聞

この読売新聞の記事は高木浩光先生のつぎコメントも掲載されています。

『マイナンバーの収集が制限されているのは、唯一の番号に国民の様々な情報が紐付けられるのを避けるため。デジタル化で多様な情報が集約される流れにあり、自治体は法の趣旨を忘れてはならない。』(「行政手続きアプリに「違法」指摘、利用停止の動き広がる…自治体側は問題に気づかず」読売新聞2021年10月12日夕刊より)

■追記(2021年10月22日)
個人情報保護委員会は、10月22日に『個人番号(マイナンバー)を非可逆的に変換しているものであっても、個人番号の唯一無二性・悉皆性の特性により個人の特定に用いるものは、個人番号に該当し(マイナンバー法2条8項かっこ書き)、同法9条に定めのない利用は違法』との趣旨のプレスリリースを出しました。
・「行政手続における特定の個人を識別するための番号の利用等に関する法律」第2条第8項に定義される個人番号の範囲について(周知)|個人情報保護委員会

マイナンバー法第2条第8項において、個人番号(マイナンバー)とは、第5項に定義される番号そのものだけでなく「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む」こととされています。また、その該当性については、その生成の由来から個人番号に対応するものと評価できるか否か及び個人番号に代わって用いられることを本来の目的としているか否かの観点を総合的に勘案して判断されます。

したがって、例えば個人番号(マイナンバー)の一部のみを用いたものや、不可逆に変換したものであっても、個人番号(マイナンバー)の唯一無二性や悉皆性等の特性を利用して個人の特定に用いている場合等は、個人番号(マイナンバー)に該当するものと判断されることがあり、その場合、マイナンバー法第9条に定めのない目的に利用していたり、保管していたりすると、マイナンバー法に抵触するおそれがありますのでご留意ください。』(2021年10月22日・個人情報保護委員会「行政手続における特定の個人を識別するための番号の利用等に関する法律」第2条第8項に定義される個人番号の範囲について(周知)」より)

PPCxIDプレスリリース


したがって、やはり、マイナンバーからスマホアプリで非可逆的なxIDを生成し、その唯一無二性・悉皆性の性質を利用して個人を特定するための共通IDとしてxIDを利用しているxID社のスキームは、それが非可逆的なものであっても、マイナンバー法9違反です。

この点、マイナンバー法2条8項かっこ書きの「裏個人番号」・「広義の個人番号」の規定について、宇賀克也先生「脱法的に個人番号を変換したもので可逆的に個人番号を識別できるものを含む」(宇賀克也『番号法の逐条解説』24頁)とし、「可逆的に個人番号を識別できないもの」は「裏個人番号」に含まれないとしていますがこれは正しくありません。

上でみた高木浩光先生や水町雅子先生のように、やはり、マイナンバーを非可逆的に変換した番号などであっても、唯一無二性・悉皆性を備え、個人の特定に使われる番号・符号などは「裏個人番号」・「広義の個人番号」に該当し、つまり法的にマイナンバーと同等のものであると考えるのが正しいことになります。

そのため、xIDをマイナンバー法9条が規定する税・社会保障・災害対応以外の目的の共通IDやデジタルIDなどに利用することはマイナンバー法9条違反となります。

そのため、xID社や、同社のxIDを共通ID・デジタルIDとして個人の特定に利用している加賀市、三田市、町田市や導入を計画中の渋谷区などの各自治体や、同社と業務提携して業務を行っている富士ソフト、LayerX、セブン銀行などは、直ちにxIDの利用や利用の計画を中止する必要があります。また、同様に、xIDやxIDと同等の「民間版マイナンバー」の共通IDをスーパーシティ構想などに利用しようと計画している国・自治体や事業者なども、xIDなどを共通ID・デジタルIDとして利用することはマイナンバー法9条違反となるので、計画などの再検討が必要です。

■参考文献
・宇賀克也『番号法の逐条解説』14頁、24頁、234頁、237頁
・水町雅子『Q&A番号法』56頁
・特定個人情報の漏えい事案等が発生した場合の対応について|個人情報保護委員会
・マイナンバー制度について|内閣府
・「株式会社リクルートキャリアに対する勧告等について」(令和元年12月4日)|個人情報保護委員会
・緊急速報:マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか|高木浩光@自宅の日記

■関連する記事
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・デジタル庁の事務方トップに伊藤穣一氏との人事を考えた(追記あり)
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・河野太郎大臣がTwitterで批判的なユーザーをブロックすることをトランプ氏の裁判例や憲法から考えたー表現の自由・全国民の代表(追記あり)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた





































このエントリーをはてなブックマークに追加 mixiチェック

デジタル庁トップページ
1.デジタル庁のウェブサイト
9月1日から正式に発足したデジタル庁は、サイト作成や運用にSTUDIO株式会社というベンチャー企業の「コード不要」というSTUDIOというサービスを利用して同庁サイトの作成や運用を行っていますが、STUDIO社のプライバシーポリシーは個人情報保護法違反の部分があり、また同社の利用規約は「当社システムは高度な安全性はない」と明示しています。つまり、デジタル庁(および内閣IT戦略室)は厚労省のCOCOAの件などと同様に、委託先の選定等の安全確保措置を十分に実施していない行政機関個人情報保護法6条違反の可能性があります。

2.STUDIO社の利用規約
ITmediaニュースなどの報道によると、デジタル庁のサイトは、ベンチャー企業のSTUDIO株式会社のSTUDIOという「コード不要」なシステムで作成されているようです。同社サイトをみると、主に個人事業主や中小企業向けのサービスのようですが。「コード不要」とは、いかにも新しいものがお好きな平井大臣が好みそうなサービスですが、共同入札などの正式な手続きは経ているのでしょうか?
・デジタル庁発足 公式サイトにITエンジニアから反応続々「シンプル」「重い」「ロゴが丁寧」「苦労が見える」|ITmediaニュース

この点、ある方の9月1日のツイッターの投稿によると、デジタル庁のサイトの利用者のログやブラウザ情報、端末データなどの個人データはやはりSTUDIO社のサーバーに送信されているようであり、STUDIO社がデジタル庁サイトの運営を委託されていることは間違いないようです。

デジタル庁のサイトのサーバー

また、サイトを作成さえすればドメイン、サーバなどはS社が一括管理と説明されていますが、中央官庁サイトの安全管理措置などには十分対応できるのでしょうか。

スタジオ社
(STUDIO社サイトより)
https://studio.inc/

そこでSTUDIO社の利用規約をみると、IT企業の利用規約のよくあるパターンで、利用規約9条(保障・免責)の各号では「本サービスの利用による保障はしないし、責任も負わない」旨を明示しています。
・利用規約・プライバシーポリシー・特定商取引法上の表記|STUDIO

スタジオ1

とくに利用規約9条4項は、STUDIOのサービス・システムは「本サービスは高度の安全性が要求され…重大な損害が発生する用途には設計しておりません」と明示しています。中央官庁であるデジタル庁のサイトは、「高度な安全性」が必要だと思うのですが、これはまずいのではないでしょうか?
スタジオ社利用規約9条4項

この点、デジタル庁などの行政機関に適用される行政機関個人情報保護法6条は行政機関とその委託先に個人データの滅失・毀損・漏洩などが発生しないように安全確保措置を講じることを要求しています。

行政機関個人情報保護法6条
これを受けて、総務省総管情第84 号・平成 16 年9月14 日通知「行政機関の保有する個人情報の適切な管理のための措置に関する指針について(通知)」「第8 保有個人情報の提供及び業務の委託等」4項は、行政機関が委託を行う際は、委託先が安全確保の能力があることを事前に確認し、年1回以上の立入検査の実施、個人データの利用の制限や障害対応、秘密保持条項、障害対応、損害賠償、再委託の制限などを明記した契約書を締結しなければならない等と規定しています(岡村久道『個人情報保護法 第3版』430頁)。

総務省安全確保指針
・「行政機関の保有する個人情報の適切な管理のための措置に関する指針」及び「独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針」の改正|総務省

にもかかわらず、利用規約において「当社のサービスは高度の安全性が要求される用途のためには設計されていない」と明記しているSTUDIO社にサービスやシステムの運用を委託しているということは、デジタル庁およびその前身の内閣IT戦略室は、個人データを取り扱う情報システムの委託について、委託先が安全確保の能力があることを事前に確認するなどの安全確保措置を十分に講じておらず、行政機関個人情報保護法6条および総務省「「行政機関の保有する個人情報の適切な管理のための措置に関する指針」第8第4項などに違反しているのではないでしょうか?

この点に関しては、コロナの接触確認アプリCOCOAのシステム開発の委託においても厚労省や内閣IT戦略室が杜撰な委託を行っていたことが発覚したばかりであり、また、今年春にはLINE社のLINEが個人情報や通信の秘密の杜撰な安全管理を行っており、かつLINE社が国・自治体に対して繰り返し「LINEの日本の個人データは日本のサーバーに保存されている」等と虚偽の説明を行い、国・自治体がこの説明を鵜呑みにして立入検査・実地検査などをしてLINE社が安全管理措置を本当に講じているかどうか確認を行わず、安全確保措置を講じていないという行政機関個人情報保護法6条などの違反などを行っていたことが発覚したばかりなのにです。

デジタル庁や内閣IT戦略室などは、高度な法令順守・コンプライアンスが要求される国の機関であるにもかかわらず、このような度重なる行政機関個人情報保護法6条の違反を漫然と繰り返していることは、「法の支配」や法治主義、「法律による行政の原則」、「法律による行政の民主的コントロールの原則」(憲法41条、65条、76条)の観点から非常に問題なのではないでしょうか。国・行政がコンプライアンス意識を無くし、憲法や法律を無視するようになっては、国民から選挙で選ばれた国会の法律で行政を民主的にコントロールしようという議会制民主主義が破綻してしまいます。

総務省や個人情報保護委員会などは、デジタル庁や内閣IT戦略室などに対して法律を守れと指導・勧告等を実施すべきではないでしょうか。

3.STUDIO社のプライバシーポリシー
なお、STUDIO社のプライバシーポリシーについても簡単にみてみると、利用者のcookieや端末情報、操作ログなどの個人データを収集・利用するとあるのはある意味当然ですが、STUDIO社はプライバシーポリシー6条で、それらの個人データの共同利用(個人情報保護法23条5項3号)を行うとしているのに、共同利用を行う者の範囲、利用される個人データの項目、共同利用の利用目的などが同社サイトにどこにも明示されてないのは個人情報保護法23条5項3号違反です(岡村久道『個人情報保護法 第3版』264頁)。

スタジオプライバシーポリシー共同利用

また、STUDIO社のプライバシーポリシー9条は、開示・削除・利用停止等の請求の手続や手数料などについては「当社が別途定める所定の方式により」としていますが、肝心のこの別記がサイト上にどこにも掲載されてないのは、個人情報保護法27条1項3号違反です(岡村・前掲295頁)。個人情報保護委員会はSTUDIO社やデジタル庁などに対して指導・勧告などを実施すべきではないでしょうか(法40条、41条、42条)。

このようにSTUDIO社は、プライバシーポリシーについても個人情報保護法違反が複数存在します。同社にサイトの作成や運用を委託したデジタル庁・内閣IT戦略室が委託先の選定などの安全確保措置に関していかに杜撰であるかがここにも見受けられます。

デジタル庁は日本の国・自治体のデジタル行政を所管する官庁のはずなのに、行政機関個人情報保護法や個人情報保護法などの法律の素人しか存在しないのでしょうか?それ以前に国の官庁なのに法令を遵守して業務を行おうというコンプライアンス意識が非常に低いように見受けられるのは非常に心配です。

個人情報保護法は「個人情報の有用性に配慮しつつ、個人の権利利益を保護」(法1条)とし、また「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべき」(法3条)との立法目的・趣旨を明記しています。

国・自治体のデジタル化は重要です。しかし、国民の個人の尊重と基本的人権の確立(憲法13条)と、「個人の権利利益を保護」、「個人の人格尊重の理念」(個人情報保護法1条、3条)、つまり国民の人権保障という憲法や個人情報保護法の基本理念を大原則として、デジタル庁はコンプライアンス意識を持ってデジタル行政を企画立案、実施していただきたいと思います。

デジタル庁は民間のITスタートアップ企業ではなく、国の行政官庁であり、その大臣や職員は公務の中立性・公平性とともに法令順守が要求され(国家公務員法96条1項、98条1項、憲法15条2項)、憲法尊重擁護義務(憲法99条)を負うのですから。

■追記(9月4日)
9月3日のマスメディア各社の報道によると、デジタル庁デジタル監の石倉洋子氏が、画像素材サイト「PIXTA」の複数の画像を、同サイトから購入せずに自身のウェブサイトに勝手に掲載していたとのことです。同サイトからの申し出に対して石倉氏はこの事実を認め、自身のサイトを閉鎖したとのことです。これにはさすがに呆れてしまいました。

1630756714318
(石倉洋子氏のTwitterより)

石倉氏は経営学者であり、ITや情報法などの専門家ではないが、2000年代からTwitterやFacebookなどを利用しておりITリテラシーの高い人物である」と、石倉氏を高く評価する投稿が9月になってからTwitter上で多く見られたところですが、画像素材サイトの画像を購入せずに勝手にパクって自分のサイトに掲載するとは、石倉氏の「ITリテラシー」は最低です。

デジタル庁は国・自治体のデジタル政策を担う官庁であり、その業務のためには、ITの知識やノウハウだけでなく、著作権法などの知的財産権法や個人情報保護法制や憲法、行政法、独禁法や消費者法などの法律知識は必須のはずですが、事務方トップの石倉氏はこのような素人レベルな法律知識で、デジタル庁の役職員の業務に違法・不当がないか監督できるのでしょうか? 多いに疑問です。

平井大臣の特定企業との癒着の問題や、NECを「徹底的に干せ」「脅せ」などとヤクザのような暴言を吐いていた問題や、アメリカの性犯罪者の富豪から多額の寄付金を受けていた伊藤譲一氏のデジタル監の人事の問題など、デジタル庁や菅政権はとにかく憲法や法律・モラルを遵守しようというコンプライアンス意識が致命的に欠落しています。

デジタル庁は、デジタル行政の業務を始める前に、まずは大臣やデジタル監をはじめとする全役職員が、憲法や国家公務員法、国家公務員倫理法や、個人情報保護法、知的財産権法、独占禁止法などの法令の基礎に関する全庁的なコンプライアンス研修を実施すべきではないでしょうか。

このままでは、デジタル庁は、役職員が「法令を守っていては日本は潰れる」などと嘯いて官民のデジタル利権を牛耳って、中抜きで私腹を肥やす経済マフィアのような組織になっていまいます。

■追記・デジタル庁ナンバー3の岡下昌平・デジタル大臣政務官が違法Youtuberであることが発覚(9月30日)
nukalumix様「畳之下新聞」の9月30日付の記事「(逃走中) 違法Youtuber が #デジタル庁 ナンバー3 の大臣政務官 という地獄」によると、デジタル庁ナンバー3岡下昌平・デジタル大臣政務官が、自身のYouTubeチャンネル「おかしょうちゃんねる堺」において、ABEMAなどの動画を切り取り、自身のYouTubeチャンネルにアップロードするなどの著作権法違反の行為を繰り返していたことが発覚したとのことです(自動公衆送信権(著作権法23条1項)の侵害)。
・(逃走中) 違法Youtuber が #デジタル庁 ナンバー3 の大臣政務官 という地獄|畳之下新聞

おかしょうちゃんねる堺
(岡下昌平氏の「おかしょうちゃんねる堺」より)

デジタル庁は、上から下まで法令無視のアウトローの人間しかいないのでしょうか。呆れてしまいます。このような無法者集団がデジタル行政を行っては、日本の官民のデジタル部門やIT業界などは、法律無視が当たり前で、腕力や発言力、経済力、政治力が強い人間が幅を利かす原始時代のような世界になってしまうような気がします。

■関連する記事
・デジタル庁の事務方トップに伊藤穣一氏との人事を考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・西村大臣の酒類販売事業者や金融機関に酒類提供を続ける飲食店との取引停止を求める方針を憲法・法律的に考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関する有識者委員会の第一次報告書をZホールディンクスが公表
・新型コロナの接触確認(感染追跡)アプリ(COCOA)の内閣府の仕様書を読んでみた
・コロナ禍の緊急事態宣言で国民の私権制限をできないのは憲法に緊急事態条項がないからとの主張を考えた

■参考文献
・岡村久道『個人情報保護法 第3版』264頁、295頁、430頁
・宇賀克也『個人情報保護法の逐条解説 第6版』179頁、432頁



















このエントリーをはてなブックマークに追加 mixiチェック

政府は、デジタル庁事務方トップの「デジタル監」に実業家の伊藤穣一氏をすえる方針というニュースが大きな話題となっています。

伊藤穣一氏
(ANNニュースより)
・デジタル庁事務方トップに伊藤穰一氏 政府最終調整|ANNニュース

伊藤氏は、2019年に買春・未成年性的虐待で有罪判決を受けた米の富豪ジェフリー・エプスタイン氏などから8億円を超える寄付を受け取っていたことが発覚し、MITメディアラボ所長を辞任したばかりのいわくつきの人物です。
・人身売買容疑の大富豪との関係は…伊藤穰一氏がMITメディアラボの所長を辞任

公務員については、「すべての公務員は、全体の奉仕者であって、一部の奉仕者ではない」憲法15条2項に明記され、また「すべて職員は、国民全体の奉仕者として、公共の利益のために勤務し、且つ、職務の遂行に当っては、全力を挙げてこれに専念しなければならない。」国家公務員法96条1項に規定されるように、公務員や国・行政には、公平・中立性、公益性などが憲法や法律上、要求されます。

憲法
第15条2項
すべての公務員は、全体の奉仕者であって、一部の奉仕者ではない

国家公務員法
第96条1項
すべて職員は、国民全体の奉仕者として、公共の利益のために勤務し、且つ、職務の遂行に当っては、全力を挙げてこれに専念しなければならない。

それを受けて、国家公務員倫理法および人事院の国家公務員倫理程は、「利害関係者から金銭、物品又は不動産の贈与を受けること」、「利害関係者から供応接待を受けること」などを禁止しています(規程3条1号、6号、法6条)。

国家公務員倫理規程
(禁止行為)
第3条 職員は、次に掲げる行為を行ってはならない。
 利害関係者から金銭、物品又は不動産の贈与(せん別、祝儀、香典又は供花その他これらに類するものとしてされるものを含む。)を受けること。
 利害関係者から供応接待を受けること。

さらに、デジタル庁サイトをみると、「デジタル社会形成の10原則」として、「1.オープン・透明」「2.公平・倫理」などの大変立派な原則が掲げられています。

デジタル庁の10原則
デジタル庁サイトより)

このように、公務員国・自治体などの行政には、公平性・中立性・公益性高度な職業倫理が憲法や法令上要求されます。

この点、8億円を超える巨額の寄付を性犯罪などで悪名高い富豪から受け取り、アメリカのMITの要職を辞任したという不祥事の経歴のある伊藤氏は、公平性・中立性・公益性や高度な職業倫理が憲法や法令上要求される行政官庁であるデジタル庁の要職には、あまりにもふさわしくないのではないでしょうか。

また、デジタル庁の事務方トップに伊藤氏を据えようとしている、平井大臣菅首相ら政府与党の幹部達は、同様に憲法や法令が要求する公平性・中立性・公益性の意識や、公務を行うための高い職業倫理が欠落しているのではないでしょうか。

平井大臣はNECについて「徹底的に干せ」「脅しておけ」などと部下の官僚に発言していたことが発覚した問題や、東京大学工学系研究科の松尾豊教授の関連企業との癒着や脱税の問題などが報道され、最近、税務申告の修正を行うなど、疑惑の渦中にあります。

・平井デジタル相に資産公開法違反の疑い “五輪アプリ受注”の親密ITグループの株を不記載|文春オンライン

また、デジタル庁幹部の向井治紀室長代理も、NTTから違法な接待を何回も受けていたことが発覚したばかりです。

9月から発足するデジタル庁そのものも、民間IT企業から数百人規模の人材を職員として受け入れる等、特定の民間企業との癒着のおそれなど、中央官庁の公平性・中立性・透明性が大いに疑問視されています。

今年春に国会でデジタル関連法とセットで成立した、官民の個人情報保護法制の一元化のための法改正も、例えば全国の自治体のこれまでの個人情報保護条例を廃止させ、国の定めるモデルに一元化するなど、権力分立により国民・住民の人権保障を行うという地方自治・団体自治(憲法92条、94条)に抵触するなど、憲法レベルの問題をはらんでいます。

同時にデジタル関連法とセットで成立した改正マイナンバー法も、看護師などの国家資格保有者の個人情報をマイナンバーで国が一元管理することを可能にするなど、政府による国民の個人情報やプライバシーの管理・監視がますます推進される内容となっています。

・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた

あるいは最近も、東京オリンピック・パラリンピックに関連して、森喜朗氏小山田圭吾氏小林賢太郎氏など幹部達が、相次いで差別問題・人権問題などで辞任・解任されており、国や国周辺の公務の公平性・中立性や倫理感、コンプライアンス意識の欠如が大きな問題となっています。

そのようななか、不祥事の経歴のある伊藤穣一氏を、疑惑をもたれているデジタル庁の事務方トップにすえようという菅政権の人事は、疑念の上に疑念を重ねるものなのではないでしょうか。デジタル庁や国のデジタル行政に対する国民の信頼さらに低下するのではないでしょうか。政府与党はこの人事の再検討や、デジタル庁のあり方の再検討を行うべきではないでしょうか。

■追記(8月11日)
伊藤穣一氏は2003年には住基ネットに関する長野県の侵入実験を実施するなど、当時、インターネットの専門家として住基ネットの反対運動を主導する有識者の一人であったそうです。
・長野県の住基ネット侵入実験、結果はクロ!|日経
・長野県が住基ネットへの侵入実験の結果を公表|INTERNET Watch

住基ネットはマイナンバー制度の前身ともいうべきものであり、マイナンバー制度の推進などを任務とするデジタル庁の事務方トップに、かつて住基ネットの反対運動を主導していた人物をあてるというのは、非常に矛盾しています。このような人物を幹部にすえて大丈夫なのでしょうか。

9月からの正式な設置の前に問題点や不祥事が次々と明らかになっているデジタル庁ですが、国の中央官庁として本当に大丈夫なのだろうかと、国民の一人としては心配な思いです。

ネット上のニュースなどをみていると、政府の要職の人間を採用する際には身元調査などが行われるそうですが、伊藤穣一氏のアメリカでの不祥事については内閣調査室などが承知していなかったとのことであり、日本の政府やデジタル庁などの情報収集能力リスク管理能力の低さが大いに気になります。

■追記(8月18日・8月29日)
報道によると、8月18日、政府は伊藤譲一氏をデジタル庁のデジタル監とする人事を撤回したとのことです。
・デジタル監、伊藤穣一氏見送り 政府|時事通信

また、8月26日のマスメディアの報道によると、政府はデジタル庁のデジタル監に一橋大学名誉教授の石倉洋子氏をあてる方針とのことです。しかし石倉氏はITや情報法、行政法などの専門家ではなく、経営学の学者であるそうです。この人事も伊藤氏同様に、よくわかりません。デジタル庁は民間ITスタートアップの起業の指南でもするつもりなのでしょうか?

Yōko_Ishikura_20210901
(石倉洋子氏。wikipediaより)

さらに最近、デジタル庁はnoteのドメインも急に変更しましたが、旧ドメインから新ドメインへのリダイレクトがなされないこと等にもネット上で批判が殺到しています。また、デジタル庁のプライバシーポリシーが個人情報保護法制的に素人レベルであることは、このブログでも取り上げた通りです。

デジタル庁は国・自治体のデジタル行政の企画立案を担う官庁であり、民間IT企業から数百人規模の優秀な人材を中途採用したはずですが、個人情報保護法制など法律の知識や、ITや情報セキュリティなどの技術面についても素人レベルなのでしょうか?

デジタル庁のキャッチコピーは「誰一人取り残さないデジタル庁」だそうですが、9月の設立前からこんな不祥事続きの状況では、「国民誰からも相手にされない三流官庁のデジタル庁」になってしまいそうで心配です。

■追記(2021年9月3日)
報道によると、伊藤穣一氏に代わってデジタル庁デジタル監に就任した一橋大学名誉教授の石倉洋子氏(経営学)が、なんと画像素材サイト「PIXTA」の有料の画像素材を対価を支払わずに勝手に自身のウェブサイトに利用していたことが発覚したそうです。石倉氏は事実を認め、謝罪と「PIXTA」に代金を支払うなどの対応を行う旨を表明したとのことです。石倉氏は経営学が専門とはいえ、著作権法の初歩の知識やITリテラシーはないのでしょうか?そのような人物が官庁たるデジタル庁のナンバー2で大丈夫なのでしょうか?

正式始動の前後からデジタル庁のコンプライアスやガバナンスは崩壊しており、呆れてしまいます。これでは中央官庁ではなく、まるでコンプライアンスやガバナンス無視のITベンチャー企業のようです。

■追記・デジタル庁ナンバー3の岡下昌平・デジタル大臣政務官が違法Youtuberであることが発覚(9月30日)
伊藤穣一氏にかわってデジタル庁のナンバー2のデジタル監に就任した石倉洋子・一橋大学名誉教授が、画像素材サイトの画像などを対価を支払わずに無断で自身のウェブサイトに多数使用していたことが9月頭に発覚し、石倉氏も平井大臣や伊藤穣一氏らのご同類の無法者であることが発覚しました。

ところがさらに、nukalumix様「畳之下新聞」の9月30日付の記事「(逃走中) 違法Youtuber が #デジタル庁 ナンバー3 の大臣政務官 という地獄」によると、デジタル庁ナンバー3岡下昌平・デジタル大臣政務官が、自身のYouTubeチャンネル「おかしょうちゃんねる堺」において、ABEMAなどの動画を切り取り、自身のYouTubeチャンネルにアップロードするなどの著作権法違反の行為を繰り返していたことが発覚したとのことです(自動公衆送信権(著作権法23条)の侵害)。
・(逃走中) 違法Youtuber が #デジタル庁 ナンバー3 の大臣政務官 という地獄|畳之下新聞

デジタル庁は、上も下も法令無視のアウトローの人間しかいないのでしょうか。呆れてしまいます。このような無法者集団がデジタル行政を行っては、日本の官民のデジタル部門やIT業界などは、違法状態が当たり前で、腕力や発言力、経済力、政治力が強い人間が幅を利かす原始時代のようになってしまうような気がします。

■関連する記事
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件-個人情報・公務の民間化
・コロナ対策のために患者の入院制限を行う菅内閣の新方針について考えた
・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた
・【マイナンバー】健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた-貸出履歴・閲覧履歴・プロファイリング
・東京オリンピック開会式トップのディレクター・小林賢太郎氏の解任と中山泰秀氏の件を考えた
・西村大臣の酒類販売事業者や金融機関に酒類提供を続ける飲食店との取引停止を求める方針を憲法・法律的に考えた
・「法の支配」と「法治主義」-ぱうぜ先生と池田信夫氏の論争(?)について考えた



















このエントリーをはてなブックマークに追加 mixiチェック

デジタル庁トップ
5月12日にデジタル関連法案が参議院で可決・成立したことを受けて、デジタル庁が早々とウェブサイトを作成したようです。また、デジタル庁が最近いろいろと物議を醸しているnoteを使った宣伝活動を開始したことが早くも炎上しているようです。

・デジタル庁サイト

・デジタル庁「noteはじめました」→ドメインが「.go.jp」であることの問題点を高木浩光先生が指摘|togetter

そこで、デジタル庁のサイトを私もみてみました。

ざっとみると、現在のデジタル庁サイトは、①情報発信の業務と、②国民からの意見・要望募集の業務、③新卒・中途の職員の採用業務の3つをメインに行っているようです。

そこで、プライバシーポリシーを見てみると・・・

デジタル庁プラポリ1

条文形式にすらなっていないのが気になります。どこかのオシャレなITベンチャー企業のプレスリリースをコピペしてきたのでしょうか?文章も素人臭い感じで、本当に内閣IT推進室などの霞が関の個人情報保護法や情報セキュリティの専門家のエリート官僚達が作っているのか少し心配になってきます。

プライバシーポリシー(プラポリ)の内容としても、気になる点がいくつかあります。
第一に、このデジタル庁サイトは上でみた①から③までの業務・サービスを行っているのですが、「2.収集する情報の範囲」は、収集する個人情報を、「お問い合わせの種別、お名前、メールアドレス」と、「ご意見・ご要望」に関する個人情報しか記載されていません。

デジタル庁プラポリ2

しかし、デジタル庁サイトは新卒・中途の職員採用業務も実施しており、またプラポリの「3.利用目的」では、「当ウェブサイトが提供するサービスを円滑に運営するための参考として利用」するとも記載されています。

そのため、採用活動でやり取りする、就活生・求職者の氏名、試験区分、参加希望日時、参加希望形式などの個人情報・個人データなども「収集する情報の範囲」に明記するべきです。

デジタル庁プラポリ3

また、「当ウェブサイト運営の参考」のための、ウェブサイト閲覧者のIPアドレス、デバイスの種類、OSの詳細、ブラウザの詳細、サイト閲覧履歴などの個人情報・個人データ・個人関連情報も収集していることを明記すべきです。

第二に、プラポリ「3.利用目的」には、個人情報は、①「当ウェブサイト運営の参考のため」と②「ご意見・ご要望」を今後の政策立案の参考にし、関係府省に第三者提供することの2点しか明記されていません。

しかしデジタル庁サイトは採用活動も行っているのですから、「3.利用目的」に「新卒・中途の採用活動」に関しても個人情報・個人データを利用していることを明記すべきです。

第三に、「4.利用及び提供の制限」やっつけ仕事というか、いい加減です。

デジタル庁プラポリ5

まず冒頭が「当室では」とありますが、主体はデジタル庁であって内閣IT推進室ではないのですから、これは明らかに誤字脱字でしょう。(世の中に公開するプライバシーポリシーなのに、しかも官庁のプライバシーポリシーなのにダブルチェックや上の人の決裁などを受けていない文章なのでしょうか?)

また、法令に基づく開示要請があった場合、不正アクセス脅迫等の違反行為があった場合その他特別の理由のある場合を除き…3の利用目的外に自ら利用し、又は第三者に提供しません」とあります。(ここは完全に素人臭い文章で、官僚なら職場で叩き込まれているはずの法律知識や法令用語の使い方を無視しているので、おそらくどこかの零細ITベンチャー企業などのプラポリをコピペしているのだろうと思われます。)

この部分については、例えば現在はまだデジタル庁に適用される行政機関個人情報保護法の8条1項はつぎの各号の場合には、行政機関は個人情報を目的外利用・第三者提供することができると規定しています。

・「本人の同意があるとき」(1号)
・「行政機関が法令の定める所掌事務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当な理由のあるとき」(2号)
・「他の行政機関(略)に保有個人情報を提供する場合において、保有個人情報の提供を受ける者が、法令の定める事務又は業務の遂行に必要な限度で提供に係る個人情報を利用し、かつ、当該個人情報を利用することについて相当な理由のあるとき」(3号)
・「学術研究の目的・統計利用の目的」(4号)

しかしデジタル庁のプライバシーポリシーが「4.利用及び提供の制限」でまったくこれらに触れていないのは、デジタル庁がIT・デジタル化や個人情報・マイナンバーや情報セキュリティが所管業務であるのに、その役職員が個人情報保護法制などのまったくのド素人なのか、あるいは最初から法律や社会常識などをはなから守るつもりがないのか、よくわからないところです。

第四に、せっかくプライバシーポリシーを作ったのに、国民・利用者が開示・訂正・削除などの請求をするための手続きやそのための手数料などを明記していない点も非常に疑問です。この点も、完全にド素人の作成したプライバシーポリシーであることを伺わせます。(なお、行政機関は必ず手数料を設定しなければならないと規定されています(行個法28条)。)

第五に、「5.安全確保の措置」では、ここでも冒頭の「当室」が誤字脱字で、その内容も、デジタル庁自身の安全確保措置と、個人データの取扱の委託先に対する監督については一応明記がありますが、デジタル庁の役職員に対する監督や、役職員の守秘義務が記載されていないのも法的にどうなのかと思います(行個法6条、7条)。

また、デジタル庁のプライバシーポリシーにおいては、個人情報の事務の委託先や、第三者提供先がまったく明らかになっていません。これでは国民・利用者は、自分の個人情報がどこに行くのか予測することがまったくできません。

少し前には、LINEの個人情報の問題が大炎上しました。しかしデジタル庁のプライバシーポリシーは、LINEのプライバシーポリシーの足元にもおよばないレベルです。またデジタル庁はnoteでしきりに「透明性」を宣伝しているようですが、自庁の個人情報の取扱の段階で「透明性」がまったく看板倒れとなっています。

これはITやデジタルに関する中央官庁なのに本当に許されるのでしょうか?日本は民主主義国家であり、行政部門の暴走や独断専行を防ぐために、国民から選択された議員による国会で作られた法律を、行政は守らなければなりません(「法律による行政の原則」「行政の法律による民主的統制の原則」)。内閣IT推進室でデジタル庁設立のために働いている官僚の人々は、たとえ理系の方であったとしても、国家公務員試験の憲法・政治学などの科目でこれくらいは勉強しているはずなのに、デジタル庁のプラポリのグデグデな状況は非常に謎です。

5月12日のデジタル関連法案の成立により、今後はデジタル庁などの行政機関についても、個人情報に関する事柄については、個人情報保護委員会の監督下になるそうなので、個人情報保護委員会は、一足早く、このデジタル庁のツッコミどころ満載のプライバシーポリシーと、同庁の情報管理の実務について行政指導などを実施すべきなのではないでしょうか?

なお、Twitterでみかけた次のようなIT企業の社長さんらしき方のツイートによると、デジタル庁に採用されたIT企業の従業員は、出向などでなく、デジタル庁とその民間企業に両方勤務する掛け持ち状態になるようです。しかしそのような状態は、利益相反やデジタル庁職員としての守秘義務、さらにはデジタル庁と特定企業との癒着などの問題は大丈夫なのでしょうか?

デジタル庁は組織や人員という観点からも非常に「ブラックボックス」的であって「透明性」がまったく欠如しているように思われます。

E1NCzW1VEAAlx9q

行政庁や公務員は憲法に定められた国民福祉(25条)基本的人権(11条)などの実現のために働く機関であり、そこで働く人々です。そのためその業務には公共性・公平性・中立性が要求されます。つまり公務員は一部の国民や特定の業界・業種のために働くのではなく、日本の全ての国民のために働く職業(15条2項・「公務員は一部の奉仕者でなく全体の奉仕者」)なのですから、デジタル庁やその役職員がIT企業や製薬会社、自動車メーカーなど特定の企業・業界のために便宜を図ることは許されません。

国家公務員法も、「すべて職員は、国民全体の奉仕者として、公共の利益のために勤務」しなければならないと規定(96条1項)し、国家公務員は業務に関して守秘義務を負い(100条)、さらに国家公務員は営利企業の職員を兼務したり、営利企業を経営することが禁止されています(103条・私企業からの隔離

デジタル関連法案などの法改正で、これらの点の手当が一応なされているのかもしれませんが、「日本社会をデジタル化する」「そのために民間企業などのITエンジニアを大量にデジタル庁に中途採用する」というデジタル庁そのものが、本当に公共機関である国が主体となって行うべきものなのか、あるいは民間の職員を大量に採用して公務員に代用するという手法が、公共機関である官庁のやり方として本当に正しいのか、大いに疑問です。

2000年頃から日本でも始まった、新自由主義の政府・与党による「政治主導」「行政改革」「規制緩和」「官から民へ」の政策は、国・自治体の職員の削減・非正規化、指定管理者制度、PFIなどさまざまな形でわが国の公の部門をやせ細らせ、憲法が国民に保障する、本来国民が享受できたはずのさまざまな「福利」、つまり社会保障や社会権をやせ細らせてきました(晴山一穂『現代国家と行政法学の課題』161頁)。今回のコロナ禍における日本全国の医療崩壊、1万人を超える死者などはその典型例であると思われます。

「日本社会をデジタル化」するために、それを主導する公的機関を、民間の人員を動員して行政庁ではなく「スタートアップ企業」的な「民間IT企業的な組織」とすることは、このような「官から民へ」の新たな形態であるように思えます。しかしそれは、上でみたような憲法や国家公務員法の趣旨や基本原則を大きく逸脱しているのではないかと思われます。

■追記(9月1日)
9月1日となり、デジタル庁の発足を受け、同庁サイトもリニューアルされています。そこでプライバシーポリシーをざっと読んでみたのですが、「当室」との単語が「デジタル庁」に変わった以外は変更はないようです。デジタル行政を所管するデジタル庁には、個人情報保護法制の素人しかいないのでしょうか? 国民の一人としては非常に心配です。

■関連する記事
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・海老名市立中央“ツタヤ”図書館に行ってみた/#公設ツタヤ問題
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・AIによる自動処理決定拒否権

■参考文献
・岡村久道『個人情報保護法 第3版』423頁、434頁
・晴山一穂『現代国家と行政法学の課題』161頁















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ