なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:プライバシーポリシー

デジタル庁トップ
5月12日にデジタル関連法案が参議院で可決・成立したことを受けて、デジタル庁が早々とウェブサイトを作成したようです。また、デジタル庁が最近いろいろと物議を醸しているnoteを使った宣伝活動を開始したことが早くも炎上しているようです。

・デジタル庁サイト

・デジタル庁「noteはじめました」→ドメインが「.go.jp」であることの問題点を高木浩光先生が指摘|togetter

そこで、デジタル庁のサイトを私もみてみました。

ざっとみると、現在のデジタル庁サイトは、①情報発信の業務と、②国民からの意見・要望募集の業務、③新卒・中途の職員の採用業務の3つをメインに行っているようです。

そこで、プライバシーポリシーを見てみると・・・

デジタル庁プラポリ1

条文形式にすらなっていないのが気になります。どこかのオシャレなITベンチャー企業のプレスリリースをコピペしてきたのでしょうか?文章も素人臭い感じで、本当に内閣IT推進室などの霞が関の個人情報保護法や情報セキュリティの専門家のエリート官僚達が作っているのか少し心配になってきます。

プライバシーポリシー(プラポリ)の内容としても、気になる点がいくつかあります。
第一に、このデジタル庁サイトは上でみた①から③までの業務・サービスを行っているのですが、「2.収集する情報の範囲」は、収集する個人情報を、「お問い合わせの種別、お名前、メールアドレス」と、「ご意見・ご要望」に関する個人情報しか記載されていません。

デジタル庁プラポリ2

しかし、デジタル庁サイトは新卒・中途の職員採用業務も実施しており、またプラポリの「3.利用目的」では、「当ウェブサイトが提供するサービスを円滑に運営するための参考として利用」するとも記載されています。

そのため、採用活動でやり取りする、就活生・求職者の氏名、試験区分、参加希望日時、参加希望形式などの個人情報・個人データなども「収集する情報の範囲」に明記するべきです。

デジタル庁プラポリ3

また、「当ウェブサイト運営の参考」のための、ウェブサイト閲覧者のIPアドレス、デバイスの種類、OSの詳細、ブラウザの詳細、サイト閲覧履歴などの個人情報・個人データ・個人関連情報も収集していることを明記すべきです。

第二に、プラポリ「3.利用目的」には、個人情報は、①「当ウェブサイト運営の参考のため」と②「ご意見・ご要望」を今後の政策立案の参考にし、関係府省に第三者提供することの2点しか明記されていません。

しかしデジタル庁サイトは採用活動も行っているのですから、「3.利用目的」に「新卒・中途の採用活動」に関しても個人情報・個人データを利用していることを明記すべきです。

第三に、「4.利用及び提供の制限」やっつけ仕事というか、いい加減です。

デジタル庁プラポリ5

まず冒頭が「当室では」とありますが、主体はデジタル庁であって内閣IT推進室ではないのですから、これは明らかに誤字脱字でしょう。(世の中に公開するプライバシーポリシーなのに、しかも官庁のプライバシーポリシーなのにダブルチェックや上の人の決裁などを受けていない文章なのでしょうか?)

また、法令に基づく開示要請があった場合、不正アクセス脅迫等の違反行為があった場合その他特別の理由のある場合を除き…3の利用目的外に自ら利用し、又は第三者に提供しません」とあります。(ここは完全に素人臭い文章で、官僚なら職場で叩き込まれているはずの法律知識や法令用語の使い方を無視しているので、おそらくどこかの零細ITベンチャー企業などのプラポリをコピペしているのだろうと思われます。)

この部分については、例えば現在はまだデジタル庁に適用される行政機関個人情報保護法の8条1項はつぎの各号の場合には、行政機関は個人情報を目的外利用・第三者提供することができると規定しています。

・「本人の同意があるとき」(1号)
・「行政機関が法令の定める所掌事務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当な理由のあるとき」(2号)
・「他の行政機関(略)に保有個人情報を提供する場合において、保有個人情報の提供を受ける者が、法令の定める事務又は業務の遂行に必要な限度で提供に係る個人情報を利用し、かつ、当該個人情報を利用することについて相当な理由のあるとき」(3号)
・「学術研究の目的・統計利用の目的」(4号)

しかしデジタル庁のプライバシーポリシーが「4.利用及び提供の制限」でまったくこれらに触れていないのは、デジタル庁がIT・デジタル化や個人情報・マイナンバーや情報セキュリティが所管業務であるのに、その役職員が個人情報保護法制などのまったくのド素人なのか、あるいは最初から法律や社会常識などをはなから守るつもりがないのか、よくわからないところです。

第四に、せっかくプライバシーポリシーを作ったのに、国民・利用者が開示・訂正・削除などの請求をするための手続きやそのための手数料などを明記していない点も非常に疑問です。この点も、完全にド素人の作成したプライバシーポリシーであることを伺わせます。(なお、行政機関は必ず手数料を設定しなければならないと規定されています(行個法28条)。)

第五に、「5.安全確保の措置」では、ここでも冒頭の「当室」が誤字脱字で、その内容も、デジタル庁自身の安全確保措置と、個人データの取扱の委託先に対する監督については一応明記がありますが、デジタル庁の役職員に対する監督や、役職員の守秘義務が記載されていないのも法的にどうなのかと思います(行個法6条、7条)。

また、デジタル庁のプライバシーポリシーにおいては、個人情報の事務の委託先や、第三者提供先がまったく明らかになっていません。これでは国民・利用者は、自分の個人情報がどこに行くのか予測することがまったくできません。

少し前には、LINEの個人情報の問題が大炎上しました。しかしデジタル庁のプライバシーポリシーは、LINEのプライバシーポリシーの足元にもおよばないレベルです。またデジタル庁はnoteでしきりに「透明性」を宣伝しているようですが、自庁の個人情報の取扱の段階で「透明性」がまったく看板倒れとなっています。

これはITやデジタルに関する中央官庁なのに本当に許されるのでしょうか?日本は民主主義国家であり、行政部門の暴走や独断専行を防ぐために、国民から選択された議員による国会で作られた法律を、行政は守らなければなりません(「法律による行政の原則」「行政の法律による民主的統制の原則」)。内閣IT推進室でデジタル庁設立のために働いている官僚の人々は、たとえ理系の方であったとしても、国家公務員試験の憲法・政治学などの科目でこれくらいは勉強しているはずなのに、デジタル庁のプラポリのグデグデな状況は非常に謎です。

5月12日のデジタル関連法案の成立により、今後はデジタル庁などの行政機関についても、個人情報に関する事柄については、個人情報保護委員会の監督下になるそうなので、個人情報保護委員会は、一足早く、このデジタル庁のツッコミどころ満載のプライバシーポリシーと、同庁の情報管理の実務について行政指導などを実施すべきなのではないでしょうか?

なお、Twitterでみかけた次のようなIT企業の社長さんらしき方のツイートによると、デジタル庁に採用されたIT企業の従業員は、出向などでなく、デジタル庁とその民間企業に両方勤務する掛け持ち状態になるようです。しかしそのような状態は、利益相反やデジタル庁職員としての守秘義務、さらにはデジタル庁と特定企業との癒着などの問題は大丈夫なのでしょうか?

デジタル庁は組織や人員という観点からも非常に「ブラックボックス」的であって「透明性」がまったく欠如しているように思われます。

E1NCzW1VEAAlx9q

行政庁や公務員は憲法に定められた国民福祉(25条)基本的人権(11条)などの実現のために働く機関であり、そこで働く人々です。そのためその業務には公共性・公平性・中立性が要求されます。つまり公務員は一部の国民や特定の業界・業種のために働くのではなく、日本の全ての国民のために働く職業(15条2項・「公務員は一部の奉仕者でなく全体の奉仕者」)なのですから、デジタル庁やその役職員がIT企業や製薬会社、自動車メーカーなど特定の企業・業界のために便宜を図ることは許されません。

国家公務員法も、「すべて職員は、国民全体の奉仕者として、公共の利益のために勤務」しなければならないと規定(96条1項)し、国家公務員は業務に関して守秘義務を負い(100条)、さらに国家公務員は営利企業の職員を兼務したり、営利企業を経営することが禁止されています(103条・私企業からの隔離

デジタル関連法案などの法改正で、これらの点の手当が一応なされているのかもしれませんが、「日本社会をデジタル化する」「そのために民間企業などのITエンジニアを大量にデジタル庁に中途採用する」というデジタル庁そのものが、本当に公共機関である国が主体となって行うべきものなのか、あるいは民間の職員を大量に採用して公務員に代用するという手法が、公共機関である官庁のやり方として本当に正しいのか、大いに疑問です。

2000年頃から日本でも始まった、新自由主義の政府・与党による「政治主導」「行政改革」「規制緩和」「官から民へ」の政策は、国・自治体の職員の削減・非正規化、指定管理者制度、PFIなどさまざまな形でわが国の公の部門をやせ細らせ、憲法が国民に保障する、本来国民が享受できたはずのさまざまな「福利」、つまり社会保障や社会権をやせ細らせてきました(晴山一穂『現代国家と行政法学の課題』161頁)。今回のコロナ禍における日本全国の医療崩壊、1万人を超える死者などはその典型例であると思われます。

「日本社会をデジタル化」するために、それを主導する公的機関を、民間の人員を動員して行政庁ではなく「スタートアップ企業」的な「民間IT企業的な組織」とすることは、このような「官から民へ」の新たな形態であるように思えます。しかしそれは、上でみたような憲法や国家公務員法の趣旨や基本原則を大きく逸脱しているのではないかと思われます。

■追記(9月1日)
9月1日となり、デジタル庁の発足を受け、同庁サイトもリニューアルされています。そこでプライバシーポリシーをざっと読んでみたのですが、「当室」との単語が「デジタル庁」に変わった以外は変更はないようです。デジタル行政を所管するデジタル庁には、個人情報保護法制の素人しかいないのでしょうか? 国民の一人としては非常に心配です。

■関連する記事
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・海老名市立中央“ツタヤ”図書館に行ってみた/#公設ツタヤ問題
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・AIによる自動処理決定拒否権

■参考文献
・岡村久道『個人情報保護法 第3版』423頁、434頁
・晴山一穂『現代国家と行政法学の課題』161頁















このエントリーをはてなブックマークに追加 mixiチェック

LINEヘルスケアトップ画面
LINEの3月31日付のプレスリリースによると、LINEは個人情報漏洩・通信の秘密侵害の問題を受けて、3月31日付でLINEプライバシーポリシーの個人データの海外への提供に関する部分(「5.パーソナルデータの提供」等)を一部改正したとのことです。

・日本ユーザーを対象としたプライバシーポリシーを改定。海外からのアクセスや保管に係るデータ移転について、国名や関連業務等を明示|LINE

ごく大まかにまとめると、LINEのプライバシーポリシーには次の3点が追記されたようです。

1.日本の利用者の個人データは今後も韓国・日本で保管する。

2.システム開発・運用のために韓国・ベトナムが個人データにアクセスする。

3.問い合わせ対応業務で、タイ・台湾・インドネシア・韓国・フィリピンが個人データにアクセスする。


LINE改正プラポリ3
LINE改正プラポリ2
LINE改正プラポリ1
(LINEのプレスリリースより)

まず気になるのは、センシティブ情報である医療データや金融データなどを含む日本の個人データを今後も韓国で保管するとしている点です。

今回の事件では、中国の委託先の問題が明らかになるとともに、韓国のネイバー社のサーバーに、日本のユーザーのすべての画像データ・動画データ等が保管されていることが発覚し、日本の大きな社会的注目を浴びたわけですが、LINEはこの点を改めるつもりはないようです。開き直りともとれる対応ですが、日本のユーザーや国・国会などの納得は得られるのでしょうか。

また、追記されたプレスリリースの文言を見ると、個人データの委託先などに対する安全管理上の管理監督(個人情報保護法20条、22条)を実施することについて、ごく概括的なことしか書かれていません。LINEはこれから考える方針なのでしょうか。今回のLINEの不祥事においては、個人データの海外への越境(法24条)の問題とならんで、個人データの社内における安全管理措置が尽くされているのか、委託先の監督における安全管理措置は尽くされていたのか、も重要な論点のはずです。

今回のプライバシーポリシー改正では、7か国の国が明記されました。多数の海外の企業に対して定期的な立入検査を行ったり、それらの企業に対してアクセス制御などを実施するのはかなりのワークロードのはずです。これら7つの国々の委託先・関連企業において、LINEが日本の自社なみの安全管理措置・委託先の監督を実施しているのか、これまで実施してきたのかも改めて問題となります。

さらに、個人情報保護法上の問題以外にも、今回のLINEの不祥事は、憲法が規定し、電気通信事業法が事業者向けに罰則つきで明示している、国民・利用者の「通信の秘密」を侵害しているおそれがありますが、LINEの今回のプレスリリースはこの点に関しても何も説明していません(憲法21条2項、電気通信事業法4条、179条等)。

加えて、LINEは今回の不祥事に関して、再発防止策、関係者の処分などを発表していませんが、これも現在、社内で検討中なのでしょうか。

なお現在、Zホールディングスは学者などを招いた有識者委員会を設置しているようです。しかしその有識者委員会が、もし万が一、LINEの不祥事の法的問題や再発防止策などを真正面から検討するのではなく、「今後の日本の個人情報保護法のあり方を提言する」的な方向で議論を行い、それを受けてLINEやZホールディングスの経営陣が、自らの法的責任をうやむやにしようとするのであれば、日本のLINEユーザーや国民、個人情報保護委員会、総務省、金融庁、厚労省などの国の監督官庁や神奈川県・大阪府などの自治体、国会などの理解は得られないのではないでしょうか。

■関連するブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの中国・韓国へのLINEペイに関する個人情報漏洩や個人データの外国への越境を考えた
・LINE個人情報漏洩事件について個人情報保護法24条の「外国」とLINEスコア・LINEキャリアについて考えた

■参考文献
・岡村久道『個人情報保護法 第3版』267頁
・日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』140頁、143頁
・薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁




新書732 潜入中国 厳戒現場に迫った特派員の2000日 厳戒現場に迫った特派員の2000日 [ 峯村健司 ]

個人情報保護法〔第3版〕 [ 岡村 久道 ]

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じている [ 鈴木正朝 ]

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ