なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:プロファイリング

mynumber_people
1.はじめに
マイナンバー訴訟について、国民のプライバシー権(憲法13条)を侵害するものではないとする仙台高裁令和3年5月27日判決が『判例時報』2516号(2022年6月21日号)26頁に掲載されていました。ざっと読んでみたのですが、行政運営の効率化等の制度の目的は適法であり、法制度および情報システム技術上も相応の安全管理の対策が講じられているのでマイナンバー制度は違法・違憲ではないとの住基ネット訴訟(最高裁平成20年3月6日判決)のいわゆる「構造審査」を踏襲した判決となっているようです。本判決は結論は妥当であると思われますが、いくつか気になった点を見てみたいと思います。

・仙台高裁令和3年5月27日判決(令和2(ネ)272・各個人番号利用差止等請求控訴事件)|裁判所

判示事項の要旨
  控訴人らは,国のマイナンバー制度により憲法13条の保障するプライバシー権が侵害されると主張し,被控訴人国に対し,プライバシー権に基づく妨害排除又は妨害予防請求として個人番号の収集,保存,利用及び提供の差止め並びに削除を求め,国家賠償法1条1項に基づき各11万円(慰謝料10万円及び弁護士費用1万円)の損害賠償と訴状送達の日の翌日から民法所定の年5分の割合による遅延損害金の支払を求めた。

 マイナンバー制度によって,控訴人らが,憲法13条によって保障された「個人に関する情報をみだりに第三者に開示又は公表されない自由」を侵害され,又はその自由が侵害される具体的な危険があるとは認められないから,国がマイナンバー制度により控訴人らの個人番号及び特定個人情報を収集,保存,利用及び提供する行為が違法であるとは認められない。

 よって,プライバシー権に基づく妨害排除又は妨害予防請求として控訴人らの個人番号の収集,保存,利用及び提供の差止め並びに削除を求め,これらの行為による損害の賠償を求める控訴人らの請求は,国による個人番号の収集,保存,利用及び提供の行為が,控訴人らのプライバシー権を侵害する違法な行為であるとは認められないから,すべて理由がない。
(仙台高裁令和3年5月27日判決の判示事項。裁判所サイトより)

2.事案の概要
本件は、仙台市等に在住する8名の個人(Xら)が国のマイナンバー制度によりプライバシー権(憲法13条)が侵害されているとして、プライバシー権に基づく妨害排除又は妨害予防請求権として個人番号の収集・保存・利用及び提供の差止めと個人番号の削除を求めるとともに、国賠法1条1項に基づき慰謝料10万円と弁護士費用の損害賠償を求めるものです。Xらはプライバシー権の侵害とともに、自己情報コントロール権の侵害、またマイナンバー制度による個人情報の容易かつ確実な名寄せ・突合(データマッチング)により本人の関与のないままにその意に反して個人像が作られる危険があること等を主張しました。

3.判旨(仙台高裁令和3年5月27日判決・棄却・上告中)
(1)マイナンバー制度の趣旨目的、しくみ等について
本判決は、マイナンバー制度の趣旨目的について「行政機関…が個人番号…の有する特定の個人を識別する機能を活用し…行政運営の効率化及び行政分野におけるより公正な給付と負担の確立を図」るものであるとしています。

そして本判決は、個人番号および特定個人番号(個人番号を含む個人情報)の提供等ができる範囲は、「国・地方の機関での社会保障分野、国税・地方税の賦課徴収および防災に係る事務での利用」等に限定されているとしています。

(2)情報漏洩等を防止するための法制度上の措置
本判決は、情報漏洩等を防止するための法制度上の措置として、個人番号利用事務等実施者による個人番号の漏洩等を防止するために必要な措置(安全管理措置)の実施義務付け、行政機関等による情報提供の記録・保存の義務付け、情報連携が実施された際の記録を本人が確認するためのマイナポータルの設置、総務省等による秘密の管理のために必要な措置の実施義務付け、罰則の準備などの法制度上の措置が講じられていることを判示しています。

また、情報漏洩等のリスクを防ぐために、マイナンバー制度は個人情報を集中的に管理するのではなく、情報の分散管理などのシステム技術上の措置が講じられているとしています。

(3)マイナンバー制度の運用によるプライバシー侵害の有無
本判決は、「何人も個人に関する情報をみだりに第三者に開示又は公表されない自由」としてのプライバシー権を有するところ、Xらは、「マイナンバー制度の目的はこのようなプライバシー権を制約するための目的として、高度に重要であるとはいえない」と主張しているとしてその検討を行っています。

そしてマイナンバー制度は「社会保障・税制度の効率性・透明性を高め、国民にとって利便性の高い公平・公正な社会を実現するための社会基盤を構築するため」のものであるとして、重要性がないとはいえないとして、Xらのプライバシー権に関する主張を退けています。

(4)自己情報コントロール権について
Xらはマイナンバー制度は自己情報コントロール権の侵害であるとの主張も行っていますが、本判決は、「Xらの主張する自己情報コントロール権については、マイナンバー制度の運用によってXらの同意なく個人番号や個人番号に結び付いた特定個人情報を第三者に提供することが、すべて自己情報コントロール権の侵害となり、憲法13条の保障するプライバシー権の侵害にあたるという趣旨の主張であるとすれば、原判決「事実及び理由」第3の1の説示のとおり、そのような意味内容を有する自己情報コントロール権までは、憲法13条の保障するプライバシー権として認められるとは解されない。」と判示しています。

(5)マイナンバー制度によるプライバシー侵害の具体的な危険性について
本判決は、「マイナンバー制度で取り扱われる個人情報のなかには所得や社会保障の受給歴など秘匿性の高い情報も含まれること」や、「様々な個人情報が個人番号をキーに集積・集約されて本人が意図しない形で個人像が構築されるデータマッチングの危険」などがあることを認定しています。

しかし本判決は、「Xらが…プライバシー権に基づく妨害予防又は妨害排除請求として、Xらの個人番号の収集、保存、利用及び提供の差止め並びに削除を求め、これらの行為による損害の賠償を求め…るには、国がマイナンバー制度の運用によってXらの個人番号の収集、保存、利用及び提供をすることが違法であるといえる必要があり、制度の運用に…具体的な危険が生じているといえる必要がある」としています。

その上で本判決は、「マイナンバー制度は正当な行政目的の範囲内で行われるように制度設計がなされている」とし、さらに「法制度上も、システム技術上も、相当の措置が講じられている」としています(=「構造審査」)。

とはいえ本判決は「通知カードや個人番号カードが誤交付された事例」があることや、「平成30年分の公的年金等の受給者の扶養親族等申請書記載の個人番号を含む個人情報…が中国のインターネット上に流出し、自由に閲覧できる状態になっていた事故事例も発生している」と認定しています。

しかし本判決は、これらの事故事例は「人為的な誤りや不正行為に起因するものであり、番号利用法の法制度上又はシステム技術上の不備そのものに起因するものとはいえない」と判示していますが、この点については、法制度上又はシステム技術上の不備と人為的なミス等を分離して考えてよいのか疑問が残ります。

その上で本判決は、「Xらの懸念する個人情報の不正な利用や情報漏洩の危険性が一般的抽象的には認められるとしても、…具体的な危険を生じさせる…ということはできない」として、結局、「国がマイナンバー制度によりXらの個人番号を収集、保存、利用及び提供する行為が違法であるとは認められず、マイナンバー制度やこれを定めた番号利用法が憲法13条に違反してプライバシーの権利を侵害するものとは認められない」としてXらの請求を棄却しています(上告中)。

4.検討
(1)自己情報コントロール権について
1970年代以降のコンピュータの発達を受けて、憲法学の学説においては、プライバシー権を「一人でほっておいてもらう権利」(古典的プライバシー権)としてだけでなく、「個人の私生活上の事項を秘匿する権利を超えて、より積極的に公権力による個人情報の管理システムに対して、個人に開示請求、修正・削除請求、利用停止請求といった権利行使が認められるべきである」とする見解(自己情報コントロール権)が有力に展開されています。しかしこの権利は包括的である一方で、漠然性が高く法的な要件化が困難であるとの批判もなされています(渡辺康行・宍戸常寿・松本和彦・工藤達朗『憲法1基本権』121頁)。

ところで本判決は上の3.(4)の部分によると「原判決「事実及び理由」第3の1の説示のとおり」と述べているので、原判決(仙台地裁令和2年6月30日判決)の該当部分をみると、憲法12条、13条の条文がコピペされ、「憲法が国民に保障した権利が「公共の福祉」により制約されることを認めているから、個人に関する情報に係る国民の権利についても「公共の福祉」によって制約されることを認めていると解される」として自己情報コントロール権を否定しています。

しかしこれはやや乱暴な判示のように思われます。つまり、憲法12条、13条の「公共の福祉」による基本的人権とは、原則として「国民・個人の基本的人権は絶対無制限なものではなく、他の個人の基本的人権と衝突する限度において制約される」というものです(内在的制約説)。

ところが仙台地裁の原判決は、この憲法12条、13条を「国家が法律で制約さえすれば国民の基本的人権は制限できる」という意味で「公共の福祉」という用語を使用しているように見えますが、これはまるで明治憲法の「法律の留保」と同様の理解のようであり、現行憲法の理解として疑問が残ります。現行憲法は明治憲法と異なり天皇主権(政府主権)ではなく国民主権(現行憲法1条)であり、また国民の個人の尊重と基本的人権の確立という目的のために行政などの統治機構は手段として存在する構造をとっています(11条、97条)。

そのため、政府・国会が企画・立案して制定した「社会保障・税制度の効率性・透明性を高め、国民にとって利便性の高い公平・公正な社会を実現するための社会基盤を構築するため」のマイナンバー制度を国民はありがたく推し戴くべきであり、そのためには当然に国民の基本的人権は制限されるという考え方は明治憲法に先祖返りするようなもので疑問が残ります。

この原判決の考え方を是認した仙台高裁の本判決を含め、裁判所は自己情報コントロール権についてより精密な判断を行うべきではないかと思われます。本判決はせっかく国民本人に勝手に公権力が個人番号をキーにして個人情報を名寄せ・突合して個人像を作成してしまうデータマッチング、あるいはプロファイリングの危険性については認めたのですから、「自己の情報の開示・非開示、そして開示する場合はその内容について相手に応じて自分が決定できる」という自己情報コントロール権についてより精密な検討を行ってほしいと思います。

(2)個人情報漏洩事故は人為的なミスに過ぎないのか?
また、本判決は上の3.(5)でみたように、全国で発生している通知カードや個人番号カードの誤交付や漏洩などは「人為的なミス」に過ぎないとして、マイナンバー制度は「法制度やシステム技術」に準備された各種の措置には落ち度はないので制度として問題ないと強調しています。

しかし、マイナンバー法は委託・再委託の規律(法10条、11条)や個人番号利用事務等実施者に安全管理措置を義務付け(法12条)、総務大臣などに秘密の管理のために必要な措置の実施を義務付け(法24条)などの法的規定を置いており、それを受けてシステム上の措置として、情報提供ネットワークシステムにおけるアクセス制御や地方自治体におけるシステムのインターネットからの分離などが義務付けられているのです。

にもかかわらず全国の自治体等で通知カードや個人番号カードの誤交付や漏洩などの漏洩事故が多発し、平成30年には日本年金機構の約500万件もの大量の個人番号を含む個人情報が中国に漏洩してしまったという事件が発生していることは、人為的なミスでは済まされず、マイナンバー法の法制度やシステム技術そのものに重大な問題があると考えるべきなのではないでしょうか。

すなわち本判決が前提としている住基ネット訴訟で最高裁が示した「構造審査」は、その前提が崩れているのではないでしょうか。

最近の2022年6月にも兵庫県尼崎市で、個人番号は含まれていませんでしたが、全市民約46万件の個人情報がUSBメモリにより持ち出され漏洩した事件が起きたばかりです(ただし当該USBメモリは回収された)。にもかかわらず裁判所がマイナンバー法は法制度と情報システムがしっかりしているのだから、マイナンバー制度には問題はないと判示することは空論なのではないかとの疑問が残ります。本裁判は上告中であり、最高裁の判断が待たれます。

■参考文献
・『判例時報』2516号26頁
・渡辺康行・宍戸常寿・松本和彦・工藤達朗『憲法1基本権』121頁
・黒澤修一郎「プライバシー権」『憲法学の現在地』(山本龍彦・横大道聡編)139頁
・山本龍彦「住基ネットの合憲性」『憲法判例百選1 第7版』42頁
・仙台高裁令和3年5月27日判決(令和2(ネ)272・各個人番号利用差止等請求控訴事件)|裁判所

■関連する記事
・尼崎市が全市民46万人分の個人情報の入ったUSBメモリを紛失したことを個人情報保護法制的に考えた(追記あり)
・日本年金機構の500万人分の個人情報が中国業者に-独法個人情報保護法から考える
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)



[広告]










このエントリーをはてなブックマークに追加 mixiチェック

syukatsu_mensetsu_woman
このブログ記事の概要
2022年の改正職業安定法および改正個人情報保護法との関係で、ネット系人材会社の一部や、就活生・求職者のSNSの「裏アカ」調査会社等の業務は違法のおそれがあるのではないかと思われる。

1.2022年の職業安定法の改正
厚生労働省は2022年2月に、従来の法律では職業安定法の対象と言い切れなかった、アグリゲーター(おまとめサイト)、利用者DB、SNSなどの新しい多様なサービスを提供している求人メディア等を職業安定法の適用される事業に新たに位置付け、一定のルール化を図るための職業安定法改正法案を含む「雇用保険法等の一部を改正する法律案」を国会に提出し、同法案は同年3月31日に成立しました。これを受けて厚労省はウェブサイトで改正された法律や政省令、指針を公表しています。これらの法改正は原則として本年10月1日から施行されます。

この職業安定法改正では、とくに「労働者となろうとする者に関する情報を収集して行う募集情報提供事業者」を「特定募集情報提供事業者」と定義し、厚労大臣への事前の届出義務を課し、「事業概況報告書」の提出など一定の事業状況の公開を義務付け、行政命令に違反したときは事業停止命令等を発出することができるようにするなどの法改正を盛り込んでいることが注目されます。また、募集情報等については的確性を求め「虚偽又は誤解を生じさせる表示」を禁止し、さらに特定募集情報等提供事業者に対しても個人情報を保護する義務を課すこととしています。

本ブログ記事では、改正職業安定法の、とくに特定募集情報提供事業者に課される個人情報保護の義務と、ネット系人材紹介会社や就活生・求職者のSNSの「裏アカ」を調査する会社等の業務についてみてみたいと思います。

・令和4年職業安定法の改正について|厚労省
・「労働市場における雇用仲介の在り方に関する研究会」の報告書を公表します|厚労省

雇用仲介機能のイメージ
(労働市場における雇用仲介の在り方に関する研究会報告書より)

2.雇用安定法の改正の概要
(1)「募集情報等提供」の定義の追加

現行の職業安定法においては、「募集情報等提供」は「労働者の募集を行う者等の依頼を受け、当該募集に関する情報を労働者となろうとする者に提供すること」または「労働者となろうとする者の依頼を受け、当該者に関する情報を労働者の募集を行う者若しくは募集受託者に提供すること」の2つの事業と定義されていました(法4条6項)。つまり労働者の募集を行う企業などや求職者の委託を受けて情報を提供する、リクナビ、マイナビなどの「求人メディア」がこの「募集情報等提供」の具体例です。

求人メディア
(労働市場における雇用仲介の在り方に関する研究会報告書より)

これに対して近年、労働者の募集を行う企業などや求職者から委託を受けているわけではなく、ロボット(ボット)やAIなどがウェブサイト上やSNS、Githubなどを巡回(クロール)し情報を収集し、求人情報等のコピーをまとめて掲載する、indeedなどのアグリゲーター(おまとめサイト)などのITサービスが現れました。これらを職業安定法の「募集情報等提供」に含め適切な運用を規律することが今回の法改正のポイントの一つです。

そのため、職業安定法の改正法は、つぎの3つを「募集情報等提供」の定義に追加しています。
「募集情報等提供」の対象の追加(新設)

①「前号に掲げるもののほか、労働者の募集に関する情報を、労働者になろうとする者の職業の選択を容易にすることを目的として収集し、労働者になろうとする者等に提供すること。」(改正法4条6項2号)

②「労働者になろうとする者等の依頼を受け、労働者になろうとする者に関する情報を労働者の募集を行う者等又は他の職業紹介事業者等に提供すること。」(同3号)

③「前号に掲げるもののほか、労働者になろうとする者に関する情報を、労働者の募集を行う者の必要とする労働力の確保を容易にすることを目的として収集し、労働者の募集を行う者に提供すること。」(同4号)
(2)「特定募集情報等提供」の新設
また、近年は募集情報提供を行う事業者が労働者の募集を行う企業や、求職者から委託を受けていなくても、求職者や求職候補者の個人情報をネット上やSNS上をクローリング・収集し、求職者や潜在求職者の情報を求人企業や職業紹介事業者に対して提供したり、条件に合致する求職者を求人企業等にリコメンド、ランク・合致率付けして提示したり、さらには求人企業や職業紹介事業者が求職者情報を検索し、スカウトを送付する等の「人材データベース」と呼ばれるITサービスが現れています。

人材データベース
(労働市場における雇用仲介の在り方に関する研究会報告書より)

これに対して改正法は、「労働者になろうとする者に関する情報を収集して行う募集情報等提供」を「特定募集情報等提供」と新たに定義して規律しています(改正法4条7項)。つまり「人材データベース」などのサービスの、「労働者になろうとする者」・「潜在求職者」の個人情報をネット上やSNS上などでクローリング等し収集して行う募集情報等提供は、「特定募集情報等提供」として新たにルール化されることになります。

(3)厚労大臣への届出・事業概況報告書・的確な表示・正確かつ最新の内容の表示義務・改善命令などの新設
そして改正法は、「特定募集情報等提供」に対して厚労大臣への事前の届出を義務付け(改正法4条11項、43条の2第1項)、特定募集事業等提供事業者は厚労大臣に事業概況報告書の提出が義務付けられます(改正法43条の5)。また、募集事業等提供事業者は「苦情の処理に関する事項」などをインターネット上で公開することが義務付けられ(改正法43条の6)、「求人等に関する情報の的確な表示」が義務付けられ(改正法5条の4第1項)、「求人・求職情報などを正確かつ最新の内容に保つ措置」が義務付けられます(改正法5条の4第2項)。さらに募集情報等提供事業者に対しても、改善命令、立入検査、報告徴求、罰則などが課されることになります(改正法48条の3、50条2項、64条9号、65条7号、66条7号、同8号)。加えて特定募集情報等提供事業者に対しても秘密保持義務が課されることになり(改正法51条1項)、この秘密保持義務違反には罰則が科されることになります(改正法66条11号)。

3.個人情報の保護に関する厚労省指針(労働省告示平成11年第141号)の改正
(1)職業安定法の改正
前回の平成29年(2017年)の職業安定法改正の際には、求人メディアなどの「募集情報等提供」は、求職者の個人情報保護を定める改正前法5条の4の対象に含まれていませんでしたが、今回の改正では「特定募集情報等提供」が対象に含まれることになっています(改正法5条の5)。

改正職業安定法

(求職者等の個人情報の取扱い)
第5条の5

 公共職業安定所(略)、職業紹介事業者および求人者(略)、特定募集情報等提供事業者(略)は、それぞれ、その業務に関し、求職者、労働者になろうとする者又は供給される労働者の個人情報(略)を収集し、保管し、又は使用するに当たっては、その業務の目的の達成に必要な範囲内で、厚生労働省令で定めるところにより、当該目的を明らかにして求職者等の個人情報を収集し、並びに当該収集の目的の範囲内でこれを保管し、及び使用しなければならない。ただし、本人の同意がある場合その他正当な事由がある場合は、この限りではない。

(2)厚労省指針(労働省告示平成11年第141号)の改正
また、法48条に基づく、個人情報の保護(改正法5条の5)などに関する厚労省指針(労働省告示平成11年第141号)も今回、特定募集情報等提供事業者を対象に含める大きな改正がなされています。

改正厚労省指針の第五(求職者等の個人情報の取扱いに関する事項(法第5条の5))の(一)は、特定募集情報等提供事業者などに対して「法第5条の5第1項の規定によりその業務の目的を明らかにするに当たっては、求職者等の個人情報(略)がどのような目的で収集され、保管され、又は使用されるのか、求職者等が一般的かつ合理的に想定できる程度に具体的に明示すること」を義務付け、また(二)は、「その業務の目的の達成に必要な範囲内で、当該目的を明らかにして個人情報を収集すること」を義務付けています。

4.AIを利用するネット系人材会社や、就活生のSNSの「裏アカ」の調査会社の業務を考える
(1)利用目的の特定
つまり、ネット上、SNSやGithubu上などをクロールして求職者やその見込みのある人間の個人データを収集し、「人材データベース」を作成して求人企業などに営業を行う等の事業を行うHackerBase JobsやLAPRASなどは、自社サイトなどにプライバシーポリシーを制定・公表するにあたっては、個人データの利用目的について「求職者等の個人情報(略)がどのような目的で収集され、保管され、又は使用されるのか、求職者等が一般的かつ合理的に想定できる程度に具体的に明示すること」が必要であり、一般的・抽象的な利用目的は許されないことになります(第5、一(一))。

(2)センシティブな個人情報・個人データ
また、「その業務の目的の達成に必要な範囲内で、当該目的を明らかにして個人情報を収集することとし、次に掲げる個人情報を収集してはならないこと。」として、「イ 人種、民族、社会的身分、門地、本籍、出生地その他社会的差別の原因となるおそれのある事項」、「ロ 思想及び信条」、「ハ 労働組合への加入状況」に関する個人情報・個人データを収集することは「特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合」以外は認められません(第5、一(二))。同時に、同(六)は「業務の目的の達成に必要な範囲を超えて個人情報を収集し、保管し、又は使用することに対する同意を、職業紹介、労働者の募集、募集情報等提供又は労働者供給の条件としないこと」も事業者等に要求しています。

そのため、「思想及び信条」(=人生観、生活観、尊敬する人物、尊敬しない人物、愛読書、愛読書でない書籍、購読新聞・雑誌、支持政党・支持しない政党、労働活動・政治活動の有無などの個人データ)などセンシティブな(あるいはプライベートな)個人データを含む求職者やその見込みのある人間のさまざまな個人データをネット、SNS、Github上などから網羅的・継続的にボットやAIでクローリングして収集し、それらの個人データを突合・加工・分析するなどして求人企業などに営業活動を行っているLAPRASなどの事業は、本年10月1日以降は違法となるおそれがあります。

(なお、本改正厚労省指針・第5、一(二)は「特別な職業上の必要性が存在する場合」には思想・信条などのセンシティブな個人データの収集も本人からの取得に限り認めることとしていますが、この場合に該当するのは、例えば公共交通機関の運転手等に精神障害や薬物などの問題がないか確認する場合など例外的な場合に限定されると解されています(岩出誠『労働法実務大系 第2版』68頁)。

さらに、上の2.でもみたように、今回の職業安定法改正では、「募集情報等提供」に「前号に掲げるもののほか、労働者になろうとする者に関する情報を、労働者の募集を行う者の必要とする労働力の確保を容易にすることを目的として収集し、労働者の募集を行う者に提供すること。」(改正法4条6項4号)が追加されました。そして「労働者になろうとする者に関する情報を収集して行う募集情報等提供」「特定募集情報等提供」としています(改正法4条7項)。

そのため、就活生や求職者などの求人を行う企業などの求人業務のために、労働者になろうとする者に関する情報を収集している就活生などのSNSの「裏アカ」を調査し分析し報告等を行っている調査会社なども「特定募集情報等提供」に該当することになります。

したがって、LAPRASなどと同様の理由で、就活生などのSNSの「裏アカ」調査会社のソルナ、KCC企業調査センターなどの企業の事業も、本年10月1日以降は職業安定法違反として違法となるおそれがあります。

改正厚労省指針(労働省告示平成11年第141号)

第五 求職者等の個人情報の取扱いに関する事項(法第5条の5)
一 個人情報の収集、保管及び使用
(一)職業紹介事業者、(略)特定募集情報等提供事業者(略)は、法第5条の5第1項の規定によりその業務の目的を明らかにするに当たっては、求職者等の個人情報(略)がどのような目的で収集され、保管され、又は使用されるのか、求職者等が一般的かつ合理的に想定できる程度に具体的に明示すること。

(二)職業紹介事業者、(略)特定募集情報等提供事業者(略)は、その業務の目的の達成に必要な範囲内で、当該目的を明らかにして個人情報を収集することとし、次に掲げる個人情報を収集してはならないこと。ただし、特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合はこの限りではないこと。
 人種、民族、社会的身分、門地、本籍、出生地その他社会的差別の原因となるおそれのある事項
 思想及び信条
 労働組合への加入状況

(三)職業紹介事業者、(略)特定募集情報等提供事業者(略)は、個人情報を収集する際には、本人から直接収集し本人の同意の下で本人以外の者から収集し、又は本人により公開されている個人情報を収集する等の手段であって、適法かつ公正なものによらなければならないこと。
(略)

(六)職業紹介事業者、(略)特定募集情報等提供事業者(略)は、法第5条の5第1項又は(二)、(三)若しくは(五)の求職者等本人の同意を得る際には、次に掲げるところによらなければならないこと。
イ 同意を求める事項について、求職者が適切な判断を行うことができるよう、可能な限り具体的かつ詳細に明示すること。
ロ 業務の目的の達成に必要な範囲を超えて個人情報を収集し、保管し、又は使用することに対する同意を、職業紹介、労働者の募集、募集情報等提供又は労働者供給の条件としないこと。


三 個人情報の保護に関する法律の遵守等
 一及び二に定めるもののほか、職業紹介事業者、求人者(略)、特定募集情報等提供事業者(略)は、個人情報の保護に関する法律(略)第16条第2項に規定する個人情報取扱事業者に該当する場合には、それぞれ同法(略)第4章第2節に規定する義務を遵守しなければならないこと。


(3)「適法かつ公正」な手段
加えて、改正厚労省指針(労働省告示平成11年第141号)の第五、一(三)は、特定募集情報等提供事業者が就活生などの個人データを収集する際には、「適法かつ公正」な手段により個人情報・個人データを収集しなければならないと規定しています。(なお個人情報保護法20条も「偽りその他不正の手段」による個人情報の取得を禁止している。)

この点、Githubについては、Github利用規約の「5.情報利用の制限」は、「ユーザーの個人情報を、人事採用担当者、ヘッドハンター、求人掲示板などに販売することなどの目的で、Githubのサービスから取得して利用することはできない」とはっきり禁止規定が存在します。

したがって、Githubから求職者や潜在求職者などの個人データを収集し、突合・分析・加工等を行い求人企業などに売り込みの営業などを行っているLAPRASやHackerBase JobsなどのAIを活用したネット系人材企業の業務は、「適法かつ公正」とはいえないのでこの面でも改正職業安定法に違反し、本年10月1日から違法となるおそれがあります。

(4)ネット上の「身元調査」
同様に、就活生などのSNSの「裏アカ」の調査・分析を行っている調査会社の業務も、「ネット上の「身元調査」」を行っているといえるので、厚労省「公正な採用選考の基本」が「身元調査」を「望ましくない」としていることからも適法・妥当な業務ではなく(河合塁・岩手大学准教授(労働法)「(フォーラム)裏アカ調査、どう考える」朝日新聞2021年12月12日付記事)、「適法かつ公正」でないとして、本年10月1日から違法となるおそれがあります(改正厚労省指針(労働省告示平成11年第141号)の第五、一(三))。

身元調査がこのように評価されるのは、身元調査の際に、就活生などの思想・信条や本籍地、親の職業などの個人情報が収集されるおそれがあり、それらの個人情報に基づく採用選考は採用差別(職業安定法3条、憲法14条1項)に抵触する違法な採用選考の活動であるからです(可合塁・前掲)、そのため「裏アカ」調査を行ってあるいは委託して採用選考を行う求人企業や「裏アカ」調査会社等は不法行為に基づく損害賠償責任(民法709条)が認められる可能性があります(菅野和夫・安西愈・野川忍『論点体系 判例労働法1』297頁)。

(5)プロファイリングの規律-個人情報保護法19条(不適正利用の禁止)
最後に、改正厚労省指針の第五(求職者等の個人情報の取扱いに関する事項(法第5条の5))の「三 個人情報の保護に関する法律の遵守等」は、求人企業や特定募集情報等提供事業者などは、個人情報保護法における個人情報取扱事業者に該当する場合には、同法第4章第2節の「個人情報取扱事業者等の義務等」を遵守しなければならないと規定しています。

この点、2022年4月1日より施行された改正個人情報保護法19条は「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」と個人情報の不適正利用禁止を規定していますが、この改正個情法19条について個人情報保護委員会は令和3年8月の令和2年法改正に対応する個人情報保護法についてのガイドライン(通則編)のパブコメ回答において、「プロファイリングに関連する個人情報の取扱についても、それが『違法又は不当な行為を助長し、又は誘発するおそれがある方法』による個人情報の利用にあたる場合には、不適正利用に該当する可能性があります」(意見募集結果57番)と回答しているとおり(不肖・私の質問ですが)、個情法19条はプロファイリングを規制する趣旨も含んでいます。(第201回国会参議院・内閣委員会会議録13号「其田真理政府参考人答弁」(令和2年6月4日)も「いわゆるプロファイリングにつきましては、今回の改正で、利用停止、消去の要件緩和、不適正利用の禁止、第三者提供の開示、提供先において個人データとなることが想定される情報の本人同意といった規律を導入した」と国会答弁している。大島義則「個人情報保護法におけるプロファイリング規制の展開」『情報ネットワーク・ロー・レビュー』20巻31頁(2021年)。)

そのため、LAPRASなどや就活生等のSNSの「裏アカ」の調査会社などの業務が、個人情報・個人データのプロファイリングにおいて『違法又は不当な行為を助長し、又は誘発するおそれがある方法』に該当するような場合には、これは個人情報保護法19条に抵触する違法な業務ということになります。

具体的には、例えば2019年のいわゆる「リクナビ事件」においては、求人メディアのリクナビを運営するリクルートキャリアとトヨタなどの求人企業が個人データなどをやり取りし、リクルートキャリアからトヨタなどにAIで分析・加工された就活生の「内定辞退予想データ」が就活生本人の同意なしに提供されていたことが大きな社会問題となりましたが、就活生本人の真正な同意のないままに本人に不利益となるデータをAIやコンピュータなどで作成し、第三者提供されたそのデータをもとにトヨタなどの求人企業が採用選考等を実施することは、個人情報保護法19条、職業安定法5条の5違反となるおそれがあります。(また、職業安定法51条の秘密保持義務違反となる可能性があります。)

5.まとめ
このように本ブログ記事は2022年の改正職業安定法の概要をみてみましたが、ネット系人材会社の一部や、就活生・求職者のSNSの「裏アカ」を調査する会社等の業務は改正職業安定法および個人情報保護法との関係で違法のおそれがあるのではないかと思われます。

((注)本ブログ記事を書くにあたり、ネット系人材会社の一部や、就活生・求職者のSNSの「裏アカ」を調査する会社等の業務が違法となるおそれがあるのではないかという点については、厚生労働省職業安定局のご担当者の方に電話にて確認をさせていただきました。どうもありがとうございました。)

■関連する記事
・就活のSNSの「裏アカ」の調査や、ウェブ面接での「部屋着を見せて」等の要求などを労働法・個人情報保護法から考えた(追記あり)
・Github利用規約や労働法、個人情報保護法などからSNSなどをAI分析するネット系人材紹介会社を考えた
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

■参考文献
・菅野和夫『労働法 第12版』69頁
・岩出誠『労働法実務大系 第2版』68頁
・菅野和夫・安西愈・野川忍『論点体系 判例労働法1』297頁
・岸健二「多様化する求人情報サービスを雇用仲介業に位置づけ労働者になろうとする者の個人情報を収集する募集情報提供事業者に届出義務や事業停止命令の対象」『月刊人事労務実務のQ&A』2022年4月号5頁
・「求職者情報を収集し募集情報等提供事業を行おうとする者の『届出義務』を新設」『労働基準広報』2022年3月11日号8頁
・大島義則「個人情報保護法におけるプロファイリング規制の展開」『情報ネットワーク・ロー・レビュー』20巻31頁(2021年)
・高木浩光「個人データ保護とは何だったのかー就活支援サイト「内定辞退予測データ」問題が炙り出すもの」『世界』2019年11月号55頁
・令和4年職業安定法の改正について|厚労省
・「労働市場における雇用仲介の在り方に関する研究会」の報告書を公表します|厚労省
・河合塁・岩手大学准教授(労働法)「(フォーラム)裏アカ調査、どう考える」朝日新聞記事2021年12月12日付
・「個人情報の保護に関する法律施行令等の一部を改正する等の政令(案)」、「個人情報の保護に関する法律施行規則の一部を改正する規則(案)」及び「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編、仮名加工情報・匿名加工情報編及び認定個人情報保護団体編)の一部を改正する告示(案)」に関する意見募集の結果について(2021年10月29日)|個人情報保護委員会



[広告]
















このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family
このブログ記事の概要
2022年1月7日にデジタル庁が公表した「教育データ利活用ロードマップ」は、個人情報保護法違反(15条、16条、23条)のおそれが高く、内心の自由(憲法19条)やプライバシー権侵害のおそれ(13条)や教育の平等(23条)違反のおそれがあり、さらにプロファイリングや信用スコアリングの危険およびマイナンバー法9条違反のおそれがあるため、デジタル庁など政府与党は計画の中止や再検討を行うべきである。

1.デジタル庁が「教育データ利活用ロードマップ」を公表
2022年1月7日にデジタル庁「教育データ利活用ロードマップ」を公表しました。この「教育データ利活用ロードマップ」は、「教育の個別適正化」「国民の生涯学習」を目的として、教育業界やIT業界などさまざまな企業に児童・生徒の教育データという個人情報・個人データを広く利活用させる内容です。

また、国民一人一人に「教育ID」を付番し、国民のさまざまな教育データを教育IDにより一生涯にわたって国が一元管理するとされており、ネット上では児童や国民の個人情報保護やプライバシー侵害、プロファイリング、信用スコアリングの危険などを心配する大きな批判が起きています。
・教育データ利活用ロードマップを策定しました|デジタル庁

2.教育データは個人情報・個人データである
(1)個人情報
個人情報保護法は、「個人に関する情報であって」、「特定の個人を識別することができるもの(他の情報と容易に照合することができるものを含む)」は個人情報であると定義しています(法2条1項1号)。そのため、たとえばある生徒の成績表は、氏名・住所・生年月日・性別など以外の学生番号や成績、教師のつけたコメントなどもすべて個人情報に該当します。

また、全国の自治体は個人情報保護条例を制定していますが、個人情報保護条例においても個人情報の定義はほとんど同じであり、自治体の公立学校はこの個人情報保護条例の適用があります。(私立学校は個人情報保護法が適用されます。)

さらに、国の官庁などに対しては行政機関個人情報保護法があり、国立大学などの独立行政法人に対しては独立行政法人個人情報保護法が規定されていますが、これらの法律でも個人情報の定義は個人情報保護法と同様です。

(2)文科省の指針通達「学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講すべき措置に関する指針」(平成16年11月11日)
この点、文科省の指針通達「学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講すべき措置に関する指針」(平成16年11月11日)は、個人情報について、個人情報保護法と同様の定義を示しています。そのため、生徒の氏名・住所などだけでなく、学籍番号、学校の成績、人物評価、科目履修表など、特定の個人の属性や関係事実などを示す情報であって、特定の個人が識別できる情報や、容易に照合できる情報はすべて個人情報に該当します。
・学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講すべき措置に関する指針|文科省

また、文科省の同指針通達は、学校が生徒本人から収集した個人情報だけでなく、例えば生徒が以前に在籍していた学校から提供された指導要録、学校が第三者から収集した生徒の情報なども個人情報に該当するとしています。さらに同指針通達は「生徒」について、学校説明会への参加者、卒業生、中退者、不合格者なども含まれると明示しています。

さらに、文科省の同指針通達は、学校は個人情報保護法の定める利用目的の特定(法15条)や、本人同意のない個人情報の目的外利用の禁止(法16条)、本人同意のない個人情報の第三者提供の禁止(法23条1項)などを遵守しなければならないと規定しています。

(3)裁判例
この点、ある中学校のいじめ事件に関して、いじめの被害を受けて自殺した児童の遺族が学校に対して、学校の生徒達が書いた作文の情報公開を求めた訴訟において、裁判所は作文は生徒に個人情報に該当するとした上で、生徒達の作文を学外に開示することは、生徒と教師の信頼関係を損なうとして、遺族の請求を退けています(東京地裁平成9年8月6日判決・判時1613号97頁)。

そのため、学校における作文なども生徒の個人情報に該当しますし、もし生徒の個人情報を違法・不当に学外に提供することは生徒と教師との信頼関係を損ねるとこの判決は判示しています。また、個人情報を取扱う学校が、違法・不当に個人情報を取扱い、個人情報漏洩などを起こした場合には、当該学校は不法行為に基づく損害賠償責任(民法709条、国賠法1条1項)を負うことになります(大阪地裁平成18年5月9日判決・Yahoo!BB個人情報漏洩事件、最高裁平成29年10月23日判決・ベネッセ個人情報漏洩事件)。

3.デジタル庁・文科省の掲げる「教育データ利活用ロードマップ」
この点、今回、デジタル庁が掲げた「教育データ利活用ロードマップ」は「教育の個別最適化」「国民の生涯学習」を個人情報の利用目的に掲げているようですが、しかし全体として、「とりあえず学校の生徒の学生データを民間企業・行政・研究機関などに広く利活用できるようにします。これらの学習データをどのように利用するか、利用目的は民間企業や官庁等でこれから考えましょう」としているように読めます。

しかし、個人情報保護法15条は、事業者は「個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない」と規定しています。これは、事業者に利用目的をできるだけ特定させることにより、事業者が国民から収集し取扱う個人情報を必要最小限度にするためであるとされています(宇賀克也『新・個人情報保護法の逐条解説』197頁)。

また、個人情報保護法は、本人の同意のない個人情報の目的外利用を禁止し(法16条)、また本人の同意のない第三者提供を禁止しています(法23条1項)。

さらに、デジタル庁の「教育データ利活用ロードマップ」の資料を読むと、「学習者、名簿、健康履歴、体力履歴、テスト履歴、自宅での学習履歴、どのような本を読んだかというNDCコード情報、奨学金データ、職業訓練データ、職業データ」などが行政や民間企業などが広く利活用できるようになるとなっています。

学習データの概要図

学習データ(高等教育)の図
(デジタル庁「教育データ利活用ロードマップ」より)

しかし、本人の思想・信条に関する情報や、病歴に関する情報などはセンシティブ(機微)な個人情報の要配慮個人情報(法2条9項)であり、その収集には本人の同意が必要なだけでなく(法17条2項)、オプトアウト方式による第三者提供も禁止されています(法23条2項かっこ書き)。

そのため、「教育の個別最適化」や「国民の生涯学習」という漠然・あいまいとした利用目的しか示さずに、生徒の本人の同意を無視するかのように民間企業や行政・自治体などに生徒や卒業生等の個人情報であるさまざまな学習データの目的外利用や第三者提供を認めようとするデジタル庁のこの「教育データ利活用ロードマップ」は、全体的にそのコンセプトそのものが個人情報保護法15条、16条、23条などに違反しており違法なものです。

4.要配慮個人情報の取扱の問題
とくに学習データのなかでも、教師の書いた生徒の人物評価や内申書、上の裁判例にあるような生徒の作文など、本人の思想・信条などに係る情報や、健康履歴・体力履歴など病歴に関連する情報などは要配慮個人情報として収集や目的外利用、第三者提供には本人の同意が必要となるなど厳格な取扱いが要求されますが、デジタル庁や文科省、全国の自治体・学校、第三者提供を受けた民間企業などは要配慮個人情報の安全管理をしっかりと実施することができるのでしょうか。

また、「教育データ利活用ロードマップ」によると、この利活用の対象となる教育データは、学校だけでなく、公立図書館などの社会教育施設での学習内容をも含むとなっています。

この点、2021年に個人情報保護委員会は、令和2年改正に対応した個人情報保護法ガイドライン(通則編)を公表しましたが、同ガイドラインは、図書館の貸出履歴、ネット閲覧履歴、移動履歴、Cookieなども「個人に関する情報」であり、「特定の個人を識別できる場合(容易に照合できる場合も含む)」にはそれだけでも個人情報に該当すること、そして個人情報に該当しなくても「個人に関する情報」である限り「個人関連情報」(法23条の2)に該当することを明確化しました(パブコメ結果315)

040ec0c2

(関連)
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

・「個人情報の保護に関する法律施行令等の一部を改正する等の政令(案)」、「個人情報の保護に関する法律施行規則の一部を改正する規則(案)」及び「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編、仮名加工情報・匿名加工情報編及び認定個人情報保護団体編)の一部を改正する告示(案)」に関する意見募集の結果について|個人情報保護委員会

そのため、公立図書館などの図書の貸出履歴は「個人に関する情報」で、「特定の個人を識別できる場合」には個人情報に該当し、その内容が本人の思想・信条などを示すものである場合は、当該貸出履歴は要配慮個人情報となります(法2条9項)。

にもかかわらず、このデジタル庁の「教育データ利活用ロードマップ」が民間企業などに第三者提供できる個人データに「社会教育施設の学習データ」や「NDCデータ」など、公立図書館の図書の貸出履歴などを含めていることは、要配慮個人情報の取扱として問題なだけでなく、地方公務員法34条や国家公務員法100条が定める地方公務員・国家公務員の守秘義務や、図書館職員の職業倫理規定である、日本図書館協会「図書館の自由に関する宣言」第3「図書館は利用者の秘密を守る」に違反・抵触するのではないでしょうか。

図書館は守秘義務や図書館の自由に関する宣言第3の「図書館は利用者の秘密を守る」を遵守するために、原則としてシステム上、利用者が本を借りる際に貸し出した事実をシステムに登録しますが、利用者がその本を返却するとシステム上の貸出情報は削除される仕組みになっているとされています(鑓水三千男『図書館と法 改訂版』214頁)。

にもかかわらず、デジタル庁は、図書館の図書の貸出履歴の第三者提供を求め、当該貸出履歴のデータを教育IDとともに「一生涯」残すことを考えているようですが、これは要配慮個人情報の取扱、公務員の守秘義務、図書館自由宣言第3などの観点から妥当ではないのではないでしょうか。

そもそも個人情報保護法19条後段は、「個人情報取扱事業者は、(略)個人データを…利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。」と規定しています。つまり、個人データの違法・不当な利用や、個人情報漏洩などを防止するため、不要になった個人データは遅滞なく削除・消去することが努力義務として事業者には要求されています。個人情報保護法にはこのような規定があるのに、教育IDで一生涯、国民の教育に関するあらゆる個人データを残そうとしているデジタル庁の方針には、個人情報保護法の観点から強い違和感を覚えます。

失礼ながら、デジタル庁の官僚の方々は、個人情報保護法や情報セキュリティをあまりよくご存知ないのではないかと疑問です。

5.学習用タブレット端末の操作ログなどから生徒の内心がわかる?
デジタル庁の「教育データ利活用ロードマップ」14頁は、学習データを民間企業などが利活用することにより、「生徒の心理がわかる」「生徒の興味関心がよりわかる」「生徒の認知能力・非認知能力がわかる」などのメリットを説明しています。

生徒の心理がわかる
(デジタル庁「教育データ利活用ロードマップ」14頁より)

たしかに近年、文科省はGIGAスクール構想を推進し、現在の学校は生徒に一人一台の学習用タブレット端末が配備されつつあります。そして総務省の「教育ICTガイドブック」を読むと、凸版印刷の開発したタブレット用の学習ソフト「やる Key」は、児童のタブレットの操作履歴により、「どこを誤ったのかだけでなく、どこでつまずいているか判定」できて、「児童の進行状況や、どこが得意でどこを間違えやすいかを把握」することが可能で、「生徒・児童の思考方法や考え方のくせなど、生徒の内心の動き」を把握できるとされています。

また、近年、例えば日立はスマホなどのデバイスのわずかな動きを把握し、従業員の内心をモニタリングすることができる「ハピネス事業」を展開しています。東急不動産は本社事務部門の従業員に脳波センサーを着けさせて従業員の内心の心理状態をモニタリングしていることが物議を醸しました。
東急不動産本社
(東急不動産本社の脳波センサーを着けた従業員達。日経新聞より)

(関連)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング

そのため、デジタル庁「教育データ利活用ロードマップ」14頁が「生徒の内心がわかる」と説明していることは決してSF映画の世界のものではなく既に現実のものです。

しかし、学校やデジタル庁、文科省、学校や民間企業などが生徒の内心をタブレットなどを通じて把握することは許容されるのでしょうか?

憲法19条「思想及び良心の自由は、これを侵してはならない」と規定します。この思想・信条や良心は、個人の内面にあるものなので、表現の自由などと異なり他人の人権と衝突することはあり得ないので絶対的に保障されると解されています(芦部信喜・高橋和之補訂『憲法 第7版』155頁)。

にもかかわらず、公権力であるデジタル庁や文科省などが、国民である生徒の内心をタブレット端末の操作ログなどから把握することは、内心の自由を定める憲法19条との関係で違法・違憲のおそれがあるのではないでしょうか。

またこのような個人情報の取扱は児童や国民のプライバシー権侵害として不法行為に基づく損害賠償責任が発生するおそれがあります(民法709条、国賠法1条1項、憲法13条)。

上の日立や東急不動産などの事例のように、企業などが従業員・国民をPCやスマホ、ウェアラブル端末などで常時モニタリングすることについて、川端小織「在宅勤務における「従業員監視」はどこまで許されるか?」『ビジネス法務』2021年9月号78頁は、「このようなモニタリングはプライバシー侵害の危険という法的問題がある」としています。

6.プロファイリング・信用スコアリングの危険の問題
(1)学習ID
デジタル庁「教育データ利活用ロードマップ」は、生徒や国民のすべてに「学習ID」を付番し、この学習IDは一生国が管理するとし、この学習IDには小中校や大学での学習データや図書館の貸出履歴や博物館や美術館の利用履歴などの社会教育施設の利用履歴、塾・予備校などの民間教育機関の学習データや利用履歴、ハローワークなどでの職業訓練の履歴、学歴、職歴などの個人データをすべてこの学習IDで管理する方針のようです。

この点は、「教育データ利活用ロードマップ」10頁の図表に、学習IDに、「大学のシラバス情報、大学の単位・テスト履歴、自宅等での学習履歴、NDCコード履歴、奨学金情報、訓練情報、職業情報」などが連結されていることからも明らかです。

学習データ(高等教育)の図
(デジタル庁「教育データ利活用ロードマップ」10頁より)

しかし「国民の生涯学習」という利用目的のために、国民や生徒の小中高や大学の学習データだけでなく、ハローワークなどの職業訓練のデータや職歴、奨学金のデータなど、国民の社会生活に係るあらゆる個人情報・個人データをデジタル庁や文科省が教育IDで生涯にわたり管理する必要はあるのでしょうか?

これではまるで中国東欧などの旧共産圏国家主義・全体主義国家や、ジョージ・オーウェルの『1984』アニメ『PSYCHO-PASS(サイコパス)』のように、国家が国民を生まれたときから街中に設置したさまざまなセンサーや監視カメラで監視を行い、国民の身体や内心の状況をモニタリングし、進学・就職などをすべて国が決定し、思想弾圧、表現弾圧を行う超監視国家のようではないのでしょうか? 日本は国民主権の自由な民主主義国家のはずなのにです(憲法前文、1条)。

(2)プロファイリング・信用スコアリングの危険
また、小中校や大学などの学習データや学歴・職歴など、国民の社会生活のあらゆる個人データをデジタル庁などの国が学習IDで把握できるということ、そしてこれらの様々な情報を民間企業などが教育IDを利用して収集・利用可能ということは、国や大企業による国民のプロファイリング信用スコアリングが安易に行われてしまう危険があります。

このように教育IDによる個人データの名寄せ・突合により、国や大企業により国民のプロファイリングや信用スコアリングが安易にできてしまうとなると、AI・コンピュータの個人データによる人間の選別・差別が容易に行われるようになり、国民は進学、就職、転職、生命保険への加入、銀行からの住宅ローンの審査、老人ホームへの入居等々、人生のありとあらゆる場面でプロファイリングやスコアリングをなされ、選別や不当な差別が行われるおそれがあります(山本龍彦『AIと憲法』61頁)。

場合によっては、個人データのプロファイリングやスコアリングで、就職や転職がうまくいかない、銀行から住宅ローンなどを受けれない、自治体に相談しても適切な福祉サービス等を受けられない等のいわゆる「デジタル・スラム」という状況が日本で出現する危険があるのではないでしょうか(山本・前掲69頁)。

(3)学習データの保存期間が一生であることの問題-「忘れられる権利」や「更生を妨げられない権利」、「人生をやり直す権利」
さらに、デジタル庁のロードマップでは、教育IDによる個人データの保存が一生続くことになっていますが、国民が子供の頃にしたミスや過ち、若気の至りでやってしまった事などに一生囚われてしまう危険があるのではないでしょうか(山本・前掲67頁)。

2018年に施行されたEUのGDPR(EU一般データ保護規則)17条はいわゆる「忘れられる権利」を明記していますが、日本の判例も「更生を妨げられない権利」(人生をやり直す権利)を認めています(最高裁平成6年2月8日判決・ノンフィクション「逆転」事件)。

教育IDにより、保育園・幼稚園のころから小中高、大学だけでなく生涯にわたりさまざまな個人データを国が管理し続けることは、この国民の「忘れられる権利」、「更生を妨げられない権利」、「人生をやり直す権利」を違法・不当に侵害してしまうのではないでしょうか。

医師法により、医師の書くカルテの保存期間も5年とされており(医師法24条)、多くの税務書類の保存期間もおおむね7年とされています(法人税法施行規則59条)。それに比べると、国民の子どもの頃からの「教育データ」は一生保管・永久保管となっていることはあまりにも長すぎであり、著しくバランスを欠くのではないでしょうか。

デジタル庁や文科省は、教育IDにより国民の個人データをどの程度の期間保存すべきなのか、真摯に再検討を行うべきです。

7.マイナンバー法違反のおそれ-「広義の個人番号」「裏番号」の問題
さらに、マイナンバー法は行政の効率化のために、マイナンバー(個人番号)という行政や自治体の保有する国民のさまざまな個人データを名寄せ・突合できる強力なマスターキーを作成する一方で、マイナンバーの濫用により国民が国家に違法・不当にプロファイリングやスコアリングなどに利用される危険を防止するために、その利用目的を税・社会保障・災害対応の3つのみに限定(法9条)するなど厳しい法規制を設けています。

そして同法は、マイナンバー法の法の網を逃れてマイナンバーのような番号が悪用される危険を防止するために、「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号」、つまり国が国民すべてに、一人に一つの番号を与える悉皆性・唯一無二性の性質を有する番号は「広義の個人番号」(いわゆる「裏番号」)に該当し、マイナンバーと同様の法規制を受けるとしています(法2条8項かっこ書き)。そしてこの「広義の個人番号」(「裏番号」)も税・社会保障・災害対応の目的以外に収集・利用・保存・提供などがなされることはマイナンバー法9条違反となるとしています。

この点に関しては、本年秋にxID社の共通IDのxIDがこの「広義の個人番号」に該当するのに、官民のサービスの共通IDとして利用されることはマイナンバー法9条ではないかと炎上し、個人情報保護委員会はプレスリリースを出しました。
・「番号法第2条第8項に定義される個人番号の範囲について(周知)」(令和3年10月22日)|個人情報保護委員会

ところが、このデジタル庁の「教育ID」もその用途から、国が国民すべてに付与し、国民に一人一つの番号とならざるを得ないので、悉皆性・唯一無二性の性質を有するのでマイナンバー法2条8項かっこ書きの「広義の個人番号」(「裏番号」)に該当し、その教育IDを税・社会保障・災害対応以外の「教育の個別最適化」や「国民の生涯学習」に利用することは、マイナンバー法9条違反となるのではないでしょうか?

8.「教育の個別最適化」は憲法26条の「教育の平等」違反ではないのか?
憲法26条1項や教育基本法4条などは、「教育の平等」、「教育の機会均等」を明記しています。この点、デジタル庁や文科省が推進しようとしている「教育の個別最適化」は、ごく一部の天才の児童などにとっては素晴らしい制度かもしれませんが、普通の児童や勉強などが苦手な児童にとっては、「皆と同じ教育を受けることができない」「他人より低いレベルの教育しか受けることができない」などの教育の平等や教育の機会均等など憲法23条が明記する人権を侵害するおそれがあるのではないでしょうか(堀口悟郎「AIと教育制度」『AIと憲法』253頁)。

「教育の平等」「教育の機会均等」に関しては、特に普通の学校に通いたいと希望する障害児やその親からの申請を自治体の教育委員会が拒否する処分の取消を争う行政訴訟において、「教育の平等」「教育の機会均等」の観点から障害児やその親の主張を認める裁判例が集積されつつあります(神戸地裁平成4年3月13日判決・尼崎高校事件、さいたま地裁平成16年1月28日判決・障害児保育所入所拒否事件など)。

そのため、もし今後、このデジタル庁や文科省の「教育の個別最適化」が裁判所で争われた場合、裁判所から「教育の個別最適化」は違法・違憲であるとの判決が出される可能性があるのではないでしょうか。

9.まとめ
このようにデジタル庁の「教育データ利活用ロードマップ」は、個人情報保護法違反のおそれが高く、内心の自由(19条)やプライバシー権侵害のおそれ(13条)、教育の平等(26条)違反のおそれ、プロファイリングや信用スコアリングの危険およびマイナンバー法違反のおそれがあります。

デジタル庁政務官の山田太郎氏は最近も「子どもの虐待対策のために、行政の各部門が保有するさまざまな個人データを共有できるプラットフォームの作成」という方針を打ち出しましたが、この「子どもの虐待防止プラットフォーム」も、今回の「教育データ利活用ロードマップ」と同様に、「何となく便利そうだから、とにかく各行政機関や自治体の保有するさまざまな国民・児童の個人情報・個人データをとりあえず国や大企業が利活用できる仕組みを作ろう」という漠然とした意図があるように思われます。

しかし、「何となく便利そうだから、あらゆる個人データを誰でも利活用できるように共有しよう」という考え方は、日本を含む西側自由主義諸国の個人情報保護法・個人データ保護法の基本原則である、国民の個人情報プライバシー権を守る(憲法13条)、国民の個人の尊重基本的人権の確立(憲法13条)を守る、個人情報保護法15条の背後にある「必要最小限の原則」、あるいはEUのGDPR(EU一般データ保護規則)22条に表されているような、公権力や大企業によるプロファイリングを拒否するという西側自由主義諸国の個人データ保護法の大原則に180度反しています。

(最近、政府与党が推進している「デジタル田園都市構想」(スーパーシティ構想)も、「共通ID」や「データ連携基盤」などにより、スーパーシティの官民のさまざまなサービスの住民の利用履歴や医療データなどを、大企業や行政が利活用する仕組みとなっており、国民のプライバシーや個人情報保護法・マイナンバー法上の問題が多いため、デジタル庁や政府与党は再検討を行うべきです。)

(関連)
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園・「デジタル・ファシズム」

また、2021年4月に、EUは警察などによる顔認証機能のついた防犯カメラの利用を「禁止」し、教育分野や雇用分野、行政サービスにおけるAI利用を「高リスク」として法規制を行う「AI規制法案」を公表しました。

これに対して、「世界一企業がビジネスをしやすい国を作る」との新自由主義思想に基づいた、「AIやコンピュータにより国・大企業が国民の個人データを利活用して経済成長を目指すデジタル社会」を掲げ、「教育データ利活用ロードマップ」「子どもの虐待防止プラットフォーム」などの計画を発表している日本のデジタル庁をはじめとする政府・与党の政策は、1970年代以降の西側自由主義諸国の個人データ保護法制の歴史に逆行する時代遅れなものです。

むしろ日本の政府与党は、国家主義・全体主義で超監視国家を推進している中国や東欧などの旧共産圏を見習うべき理想の国家にしているように思えます。しかし日本は国民主権の自由な民主主義国家です(憲法前文、1条)。

デジタル庁や文科省などの政府与党は一旦立ち止まり、わが国のデジタル政策や個人情報保護政策などがわが国の、国民主権・自由な民主主義、個人の尊重と基本的人権の確立のために国家は存在するという近代憲法を持つ西側自由主義国の大原則(憲法11条、97条)に違反していないか、今一度再検討を行うべきです。

官民データ活用推進基本法やマイナンバー法などの特別法に対する一般法にあたる個人情報保護法は、企業などの事業者による個人情報の利用国民の権利利益の保護バランスを取るための法律であり(法1条)、しかしその大前提として、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものである」(法3条)ということを基本理念とする法律なのであり、もちろん国や企業による「個人情報の利用」も重要ですが、しかし「大企業や国による国民の個人情報の利活用」のみを推進する産業促進法などの法律ではないのですから。

マスメディアも政府与党の「デジタル行政」やデジタル庁の行動を好意的に報道するだけでなく、その問題点も併せて報道すべきです。野党は国会でデジタル庁や国のデジタル行政や個人情報保護行政の問題を追及すべきです。

(なお、このデジタル庁の「教育データ利活用ロードマップ」のプレスリリースを読むと、「10月から11月にかけて広く意見を募った」とあります。しかしこれは、中央官庁がパブコメ手続きの際に利用するe-GOVのパブコメのプラットフォームではなく、デジタル庁サイトで独自に実施した独自のパブコメのようです。

たしかに中央官庁等のパブコメ手続きについて定める行政手続法は、パブコメをどこのサイトでやらねばならないとまでは規定していませんが、中央官庁共通の内部規則や通達などには、e-GOVを利用することが規定されているのに、デジタル庁はその内部規定や通達などを無視しているのではないでしょうか。デジタル庁サイトでのみパブコメを実施し、同庁のファンの人々からの好意的な意見を集めただけでパブコメを実施したことにするのは、「広く一般の意見を求める」という行政手続法39条1項の趣旨や、「すべて公務員は全体の奉仕者であって、一部の奉仕者ではない」と規定する憲法15条2項の趣旨や、デジタル庁が掲げるスローガンの「誰一人取り残さないデジタル庁」「透明性」の原則などに反すると思われます。)

■追記(2022年1月11日)
ネット上でこのデジタル庁の「学習データ利活用ロードマップ」に関する発言をみていると、eポートフォリオの焼き直しのようだ」といったご意見をしばしば見かけます。

eポートフォリオ(JAPAN e-Portfolio)とは、生徒の「主体性を育てるために」、学生が部活、資格・検定等の実績をネット上に登録する「学びのデータ」であり、大学入試に利用されること等が想定されていたようです。2017年から試験的に開始され、一部の高校生達が自身の活動や資格試験などの成績をeポートフォリオに入力していましたが、2020年に主に資金的な面から文部科学省がeポートフォリオの運営団体の認可を取消して終了したようです。

・「JAPAN e-Portfolio」について|文部科学省
・誰も知らなかったJAPAN e-Portfolioの実像|日経BP 教育とICT online

しかし日経新聞記事などによると、eポートフォリオについても、そのIDがベネッセが開発したものを利用していることから、個人情報への懸念や、ベネッセなどの特定の企業のための仕組みなのではないかとの懸念があったようです。

日本の現在の大学生の就活生が就職活動では、「大学時代に自分がいかに勉強だけではなく部活や資格試験などにも打ち込み、さまざまな成果を得たか」という「リア充」ぶりを自己PRすることを要求されるわけですが、それをまだ未成年の高校生に大学入試のために要求するのは私は違和感があります。

民間企業などへの就職活動は企業と就活生という私人と私人とのやり取りなので原則自由ですが(私的自治)、文科省という国が、まだ10代半ばの未熟な未成年の高校生に対して「リア充になれ」と大学入試を「餌」にして事実上の圧力をかけることは、国家が若い国民に「リア充になれ」、「リア充は良くて非リア充は悪い」、「部活で成果を出し資格を取り、日本社会や国に役に立つ有用な人材になれ」という価値観を事実上押し付けるものでありますが、わが国は自由な民主主義国家であり、国民個人の任意の自由意思や自己決定(憲法13条)が何より重視されるべきことから、私は違和感を覚えます。

国家が国民に対して「リア充」になれ、「社会や国にとって有用な人材になれ」との思想を事実上強制することは、まるで2012年の自民党憲法改正草案が「教育や科学技術を振興し、経済発展で国家を繁栄させる義務」(草案前文)を国民に義務付けているように戦前の日本のように国家主義・全体主義的であり、西側の自由主義・民主主義のわが国になじまないのではないかと思います。

今回、デジタル庁が発表した「教育データ利活用ロードマップ」も、児童の学校のテストの成績だけでなく、生活におけるさまざまな個人データを「学習ID」に連結させ、一生その個人データを存続させるようであり、これは「教育の個別最適化」といいつつ、実はeポートフォリオのように、「日本社会や国家に役立つ有用なリア充人間になれ」との思想を児童や国民に押し付けるものであるとしたら、それは国家が若い国民の内心の自由、思想・良心の自由(憲法19条)や、「自分の人生や生き方は自分自身で決める」という自己決定権(13条)などを侵害するものであり、問題であると思われます。

このブログが面白かったら、ブックマークやシェアをお願いします!

■関連する記事
・文科省が小中学生の成績等を一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園・「デジタル・ファシズム」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた

■参考文献
・山本龍彦「AIと個人の尊重、プライバシー」『AIと憲法』61頁
・堀口悟郎「AIと教育制度」『AIと憲法』253頁
・芦部信喜・高橋和之補訂『憲法 第7版』154頁、123頁
・坂東司朗・羽成守『新版 学校生活の法律相談』346頁
・宇賀克也『新・個人情報保護法の逐条解説』197頁
・水町雅子『逐条解説マイナンバー法』85頁、86頁
・鑓水三千男『図書館と法 改訂版』214頁
・堤未果『デジタル・ファシズム 日本の資産と主権が消える』39頁、193頁、219頁、244頁
・川端小織「在宅勤務における「従業員監視」はどこまで許されるか?」『ビジネス法務』2021年9月号78頁
・教育データ利活用ロードマップを策定しました|デジタル庁
・学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講すべき措置に関する指針|文科省
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁
・緊急速報:マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか|高木浩光@自宅の日記
・東急不動産の新本社、従業員は脳波センサー装着|日経新聞
・「個人情報の保護に関する法律施行令等の一部を改正する等の政令(案)」、「個人情報の保護に関する法律施行規則の一部を改正する規則(案)」及び「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編、仮名加工情報・匿名加工情報編及び認定個人情報保護団体編)の一部を改正する告示(案)」に関する意見募集の結果について|個人情報保護委員会















このエントリーをはてなブックマークに追加 mixiチェック

PPCトップ画面
1.令和2年改正個人情報保護法ガイドラインのパブコメ結果が公表
8月2日に個人情報保護委員会(PPC)が令和2年改正個人情報保護法ガイドラインのパブコメ結果を公表していたので、気になる部分をざっと見てみました。

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集の結果について|個人情報保護委員会

2.個人関連情報(改正法26条の2第1項)とGoogleのFLoC
令和2年改正の個人情報保護法26条の2第1項は、「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」を「個人関連情報」と定義し、事業者が個人関連情報を第三者提供し、提供先においてそれが個人データとして利用されることが想定される場合には、本人の同意が必要であるとしています。

これは2019年の就活生の内定辞退予測データの販売を行っていたリクナビ事件を踏まえて、個人情報保護法を潜脱して、本人関与のない個人情報の収集方法が広まることを防止するためのものです(佐脇紀代志『一問一答令和2年改正個人情報保護法』60頁)。

この個人関連情報は、具体的には、氏名などと結びついていないインタネットの閲覧履歴、位置情報、Cookieなどが該当するとされています(佐脇・前掲62頁)。

この点、今回の改正個人情報保護法ガイドライン(通則編)の個人関連情報に関するパブコメ結果308は、「Cookieなどだけでなく、Googleが最近、Cookieに代わり導入を開始したFLoCなどの新しい収集方法で取得されたデータについても個人関連情報に含まれることを明記すべきではないか」との意見(不肖な私の意見なのですが)に対して、PPCは「個人関連情報の定義にあてはまるものは個人関連情報に該当する。個別の判断になるが、収集の方法によって判断がかわるものではない。」と回答しています。

GoogleのFLoCなど

GoogleなどのIT事業者が、個人情報保護法を潜脱するためにFLoCなどの新しい手法を導入することは、個人関連情報の新設の趣旨に反するので、このPPCの回答は国民個人の権利利益の保護・人権保障の観点(法1条、3条、憲法13条)から、非常にグッジョブ!!であると考えられます。

今後、GoogleなどのIT企業がCookieやFLoCなどに代わるさらに新しいデータの収集方法を開始したとしても、それで収集されるデータが「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」にあたるのであれば、個人関連情報に該当し、第三者提供の際に本人の同意が必要になるとPPCは考えていると思われます。

3.個人関連情報と図書館の貸出履歴など
また、改正個人情報保護法ガイドライン(通則編)の個人関連情報に関するパブコメ結果315は、「ある個人の図書館の貸出履歴・利用履歴(利用事実)も個人関連情報や個人情報に該当しうることを明記すべきではないか」との意見(不肖・私の意見ですが)に対して、PPCは「個別の事案ごとに判断することになるが、図書館の利用履歴について、特定の個人を識別することができる場合(他の情報と容易に照合して特定の個人を識別できる場合を含む)には個人情報(法2条1項)に該当し、個人情報に該当しない場合には、「ある個人に関する情報」である限り、個人関連情報に該当する」と明快に回答しています。これもPPC超グッジョブ!!と言わざるをえません。

図書館の貸出履歴1
図書館の貸出履歴2


この点、現在の、平成27年(2015年)改正の個人情報保護法ガイドライン(通則編)は、要配慮個人情報(法2条3項)に関する2-3(要配慮個人情報)の部分のなお書きとして、「なお、次に掲げる情報(=要配慮個人情報))を「推知させる情報」にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない。」との記述を置いており、宗教に関する書籍の購買や貸出しに係る情報等などのような要配慮個人情報を「推知させる情報」は重要でないどうでもよい情報・データであるとの誤解が社会に広まってしまったような気がします(一種の「個人情報保護法による過剰反応」。なお令和2年改正の個人情報保護法ガイドラインにおいても、このなお書き自体は残っている。)。

しかし今回のこの個人情報保護法ガイドライン(通則編)パブコメ結果315は、図書館の貸出履歴・利用履歴なども個人情報に該当し、個人情報に該当しなくても、「ある個人に関する情報」である場合は個人関連情報に該当すると明確に回答していることは非常に重要な意味があると思われます。

貸出履歴・閲覧履歴などの個人情報・個人関連情報の該当性の図2

つまり、図書館の貸出履歴データ・利用履歴データをさまざまな用途に利活用しようとしてる法政大学、国会図書館などや、ツタヤ図書館などを運営するCCCなどのデータマーケティング企業やIT企業、さらに警察からの令状によらない照会に安易に応じ回答を行っている図書館、学校図書館の貸出履歴データ・利用履歴データなど図書館の利用以外に転用している学校・教育委員会・国などは、それらの業務が個人情報保護法など法令に違反してないか再検討が必要であると思われます。

■関連する記事
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?

同時に、今回のパブコメ結果を踏まえたPPCの令和2年改正個人情報保護法ガイドライン(通則編)の2-3-1-1(個人関連情報)の部分は、つぎのとおり、「Cookieなどで収集されたある個人のウェブサイトの閲覧履歴」、「メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等」、「個人の商品購買履歴・サービス利用履歴事例」、「ある個人の位置情報事例」、「ある個人の興味・関心を示す情報」などのデータ・情報も、それが連続して蓄積された場合には個人情報に該当し、個人情報に該当しない場合は個人関連情報に該当すると明記しています。

個人関連情報に該当する事例
(令和2年改正個人情報保護法ガイドライン(通則編)の2-3-1-1(個人関連情報)の部分より)

そのため、ヤフージャパン、LINEなどのIT企業、ターゲティング広告などの広告事業者、共通ポイントなどを運営するCCCや楽天などのデータマーケティング事業者、通信事業者・プロバイダ(ISP)やSuicaなどを運営するJR各社などの鉄道事業者・運輸事業者、コネクテッドカー・プラットフォームを運営する自動車メーカー、ネット上の通販を行うAmazonや楽天、メルカリや、ネットバンクや電子マネーやQRコード決済などの電子決済を行う金融関係の事業者、銀行・保険・証券、信用スコアや情報銀行などの業務を行う金融機関、テレビの閲覧履歴などを利用しているテレビ局、電気・ガス・水道などの利用履歴・ライフログなどを利用しているインフラ事業者、ネット閲覧履歴や移動履歴・購買履歴などを利用しているリクルート・LAPRASなどの人材企業やHRテックの事業者、タブレット端末などの操作履歴などを利用してEdTechやGIGAスクール構想などを推進しているベネッセや学校・教育委員会、文科省などは、今一度、自らの業務が個人情報保護法などの法令に違反していないか、再検討が必要であると思われます。この個人関連情報の新設は、影響範囲が非常に大きいと思われます。

4.AIやコンピュータによるプロファイリングについて
さらに、前述のリクナビ事件の問題や、2018年に施行されたEUのGDPR(EU一般データ保護規則)22条が「プロファイリング拒否権」(コンピュータやAIの個人データの自動処理のみによる法的決定・重要な決定の拒否権)を規定していることや、本年4月にEUがAI規制法案を公表したことなどから、AIやコンピュータによる人間のプロファイリングの危険(データによる人の選別の危険)に関する関心が日本社会でも高まっています。(最近の一部の情報法の学者の先生方は、個人データ保護法制の本当の立法目的は、プロファイリング拒否権であるとのご見解を示しておられるようです。)

この点、個人情報保護法ガイドライン(通則編)のパブコメ結果57は、「プロファイリングによる個人データの収集・利用などが個人の権利・利益を侵害するおそれがあるような場合については、これが個人情報の不適正利用の禁止条項(法16条の2)に該当し違法なものとなることを明記すべきではないか」との質問(不肖・私の質問ですが)に対して、PPCは「「プロファイリングの目的や得られたデータの利用方法など個別の判断が必要であるが、プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合は、不適正利用に該当する場合があり得る。」と回答しています。

プロファイリング2

このように、AIやコンピュータによるプロファイリングの法規制に関して、PPCはEUやアメリカの一部の州などの個人データ保護法の先進国・地域と異なり、慎重な姿勢を示しています。

しかし少なくとも、リクナビ事件のような、就活生などの求職者のネット閲覧履歴などのデータを収集し、AIで内定辞退予測データなどの就活生などに大きな不利益をもたらすおそれのあるデータを生成し、求人を行っているトヨタなどの企業にそのデータを販売・第三者提供するような行為は、「プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合に該当し、不適正利用であり違法であるとPPCに判断される可能性があると思われます。

そのため、AIを求職者の採用活動などに利用している雇用分野やHRtechの企業・人材会社・事業会社の人事部門や、AIを教育に利用している教育業界や学校・教育委員会・文科省、AIや顔認証システムを搭載した防犯カメラ・監視カメラ・商用カメラなどを利用や開発・販売している警備業界・警察・小売業・電気メーカーや、AIを信用スコアやローンの審査・保険の引受審査・保険金支払査定などに利用している銀行・保険などの金融機関、出入国管理など行政上の審査にAIを利用している行政庁などは、自らの業務が令和2年改正の個人情報保護法に抵触しないか、今一度再検討が必要であると思われます。

■関連する記事
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR

5.その他・委託の「まぜるな危険」の問題、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当のパブコメ意見!?
(1)委託の「まぜるな危険」の問題
その他にも、この令和2年改正個人情報保護法ガイドラインパブコメ結果は、通則編のパブコメ結果351に、経営法友会からの「委託の「まぜるな危険の問題」」の質問へのPPCの回答が載っているなど、個人情報保護法や情報セキュリティなどに関係する人にとって見どころが満載です。(委託の「まぜるは危険の問題」がPPCの公式文書に掲載されたのは、これがおそらく初めてではないでしょうか。)

委託のまぜるな危険の問題

(2)「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のパブコメ意見!?
また、このパブコメ結果で異様なのは、法人・個人や各種団体などからの意見にまじって、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」からのパブコメ意見が大量に提出されていることです。PDFファイル上で検索するとなんと31件もあるようです。しかも、他の個人・法人のほとんどが、PPCのパブコメ要綱を遵守して「意見」・「理由」を分けて丁寧な文言で意見や質問などを提出しているのに、この内閣府の担当者は意見・理由を分けずに、上から目線のあまり上品でないだらだらとした言葉使いで31件もの意見を書いています。

さらにパブコメ結果を読んでいて驚くことは、この内閣府健康・医療戦略推進事務局の担当者は、個人情報保護法の条文の文言上の理解すらできておらず、おそらく実務上も個人情報の取扱を経験したことがないような、官僚というよりまるで大学法学部の1年生かのような素人質問をPPCに対して、まるで顧客が企業のコールセンターに電話で質問するかのように、カジュアルに投げつけていることです。
内閣府5
(ガイドライン(通則編)のパブコメ結果275。内閣府の担当者は法23条2項のオプトアウトによる第三者提供に関して「いちいち事業者が本人に対して通知を行わねばならないことは面倒である」という趣旨の意見を述べていますが、PPCも回答しているように、法23条2項は「通知または公表」と規定しており、事業者に「通知」を義務付けていません。)

「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」は、国民のカルテや処方箋データなどのセンシティブな個人情報である医療データを国が一元的に収集し、IT企業や製薬会社などに利活用させる次世代医療基盤法などの担当所管のはずですが、個人情報保護法の素人のような人間が担当者で本当に大丈夫なのでしょうか?   国民としては非常に心配です。

くわえて、この内閣府健康・医療戦略推進事務局次世代医療基盤法担当の担当者の意見は、個人情報取扱事業者の法的義務を削減することを要求する内容のものが多く含まれています。この点は、内閣府や個人情報保護委員会の行政の公平性・中立性(国家公務員法96条1項、憲法15条2項など)が損なわれるおそれがあるだけでなく、国の個人情報保護行政デジタル行政などがゆがめられてしまうおそれがあるのではないでしょうか。

■関連する記事
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・2020年の個人情報保護法改正に関するガイドライン改正に関するパブコメについて意見を書いてみた-FLoC・プロファイリング・貸出履歴・推知情報・データによる人の選別
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権















このエントリーをはてなブックマークに追加 mixiチェック


サーバー群

1.図書館の貸出履歴なども連続的に蓄積されて特定の個人を識別できる場合は個人情報になる
(1)令和2年個人情報保護法ガイドライン改正パブコメ
令和2年個人情報保護法ガイドライン改正パブコメが6月18日まで実施されていました。
・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集について|e-GOV

ここで個人情報保護委員会(PPC)が示した個人情報保護法ガイドラインの案を読んで、個人的にPPCの一番のファインプレーだと思ったのは、個人情報保護法ガイドライン(通則編)90頁の、「3-7-1-1個人関連情報」(個人情報保護法26条の2)のところの注意書きに、次のようにと明示し、"図書館貸出履歴等「連続的に蓄積」されて特定の個人を識別できる場合は個人情報に該当し、さらにそれがある個人の思想・信条などに該当する場合は要配慮個人情報に該当すること"を明確化したことではないかと思われます。

個人情報に該当する場合は個人関連情報には該当しないことになる。例えば、ある個人の位置情報それ自体のみでは個人情報には該当しないものではあるが、個人に関する位置情報が連続的蓄積される等して特定の個人を識別することができる場合には、個人情報該当」する(個人情報保護委員会「個人情報保護法ガイドライン(通則編)」90頁「3-7-1-1個人関連情報」(個人情報保護法26条の2)注意書き)。
つまり、例えば、図書館等の貸出履歴や書店での本・DVD・CD等の購入履歴等が「連続的に蓄積」されて「特定の個人を識別できる場合」(=実名等がわからなくても「あの人、この人」と識別できる場合)には当該情報・データは「個人情報」に該当し、さらにそれが個人の「思想・信条」「病歴」などに該当すれば「要配慮個人情報」に該当するとPPCは考えていると思われます。

貸出履歴・閲覧履歴などの個人情報・個人関連情報の該当性の図2

すなわち、図書館の連続的に蓄積されて特定の個人を識別できる貸出履歴・利用履歴等は個人情報であり、それが思想・信条等に該当する場合には要配慮個人情報であると個人情報保護委員会が認めたことになります。

(2)これまでの個人情報保護委員会の「要配慮個人情報を推知させる情報」の考え方
もちろん、個人情報保護法2条1項の個人情報の定義は、「個人に関する情報」であって、電磁的記録などを含むさまざまな情報・記述などで「特定の個人を識別できるもの」は個人情報に該当するとしているので、この個人情報保護委員会の考え方は当然といえば当然です(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁)。
個人情報の定義『ニッポンの個人情報』
鈴木正朝・高木浩光・山本一郎「「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編)」EnterpriseZineより

しかし、2017年法改正を受けたこれまでの個人情報保護法ガイドライン(通則編)の「2-3 要配慮個人情報」は、「なお、次に掲げる情報(=要配慮個人情報)を推知させる情報にすぎないもの(例:宗教に関する書籍購買貸出しに係る情報等)は、要配慮個人情報には含まない」という塩対応な注意書きを明示していました(岡村久道『個人情報保護法 第3版』87頁)。

そのため、「本人の思想・信条などの内心を推知させる情報も要配慮個人情報に含めて扱うべき」と、宮下紘・中大教授(憲法・情報法)などの学者の方々から批判されてきたところです(宮下紘「図書館と個人情報保護」『時の法令』平成28年1月15日号50頁)。

(3)図書館の貸出履歴などの情報の利活用の推進派は、個人情報保護法などの再検討が必要となる
もし、図書館の貸出履歴・利用履歴などが個人関連情報でしかないとすると、第三者提供の際の本人同意が必要なだけにとどまりますが(法26条の2)、個人情報であるとなると、利用目的の特定(法15条)や、本人同意のない目的外利用の禁止(法16条)、不適正な収集の禁止(法17条)、安全管理措置(法20条~22条)、第三者提供の本人同意(法23条1項)、開示・訂正・利用停止等の請求への対応(法28条~34条)などの各義務が事業者に要求されることになります。

そしてさらに図書館の貸出履歴・利用履歴などが要配慮個人情報に該当するとなると、原則として収集の際に事前の本人の同意が必要(法17条2項)となり、また、オプトアウト方式による第三者提供も禁止(法23条2項かっこ書き)されることになり、さらに事業者の義務が重くなります。

また、個人情報、要配慮個人情報、その他個人に関する情報を事業者などが不適正に取り扱った場合、個人情報保護法とは別に、事業者などが当該個人からプライバシー権侵害などを主張され、不法行為に基づく損害賠償責任を負う可能性もあります(民法709条、憲法13条)。

この点、最近も、法政大学の大学図書館の貸出履歴などを保存する方針に対して教職員、有識者などから反対の声が上がっていることが話題となっています。
・広がる図書館の履歴保存 脅かされる秘密、懸念の声も|朝日新聞

2021年4月から学長の廣瀬克哉総長は、同大学の学部横断型科目の学生の履修データなどの教育データ「見える化」を推進するなど、「大学のDX(デジタル・トランスフォーメーション)」の推進に熱心な学長のようです。

もし廣瀬氏などが、大学図書館の貸出履歴・利用履歴などのデータもDX化し、教育データの一つとしてさまざまな用途に利用・分析・加工・第三者提供などをすることを考えているとしたら、法令や日本図書館協会の「図書館の自由に関する宣言」などに基づいて、今一度慎重な再検討が必要であると思われます。

同様に、全国の自治体の公立図書館国立国会図書館などにおいても、貸出履歴・利用履歴などのデータを保存する図書館が増えているようですが、そのような図書館・自治体なども、同様に個人情報保護法・行政機関個人情報保護法・独法個人情報保護法・自治体の個人情報保護条例などや「図書館の自由に関する宣言」などに基づいて慎重な再検討が必要になるものと思われます。

*追記
なお、2017年の個人情報保護法改正では、いわゆる2号個人識別符号として、スマホの端末ID、携帯電話番号、IPアドレス、会員証番号なども個人識別符号(法2条2項2号)として個人情報に含まれることが明確化されようとしました。これは当時の政府のパーソナルデータ保護に関する検討会議の委員の森亮二弁護士や、産業技術総合研究所の高木浩光氏などが主張していたものです。しかしこれは楽天やヤフージャパンなどの経済界、経産省や与党などの強い圧力により頓挫してしまいました。
・携帯電話・スマホ等のIDやIPアドレスは個人情報に含まれない?/個人情報保護法改正法案
・【プレゼン】2月4日、自民党で、三木谷代表理事が 個人情報保護法改正案について意見を述べました|新経済連盟
・個人情報定義は新経連の意向で米国定義から乖離しガラパゴスへ(パーソナルデータ保護法制の行方 その16)|高木浩光@自宅の日記
o0800055513265690722
(新経済連盟サイトより)

とはいえ、今回、個人情報保護委員会がガイドラインで貸出履歴・閲覧履歴・購入履歴・位置情報・移動履歴なども一定の場合、個人情報に含まれると明確化したことは、2017年改正のこの2号個人識別符号の考え方の事実上の復活であり、国民の個人情報の保護つまり個人の尊重個人の権利利益の保護(個人情報保護法1条、3条、憲法13条)の観点からは画期的です。

2.「ある個人の興味・関心を示す情報」も個人関連情報となる
(1)「ある個人の興味・関心を示す情報」
また、令和2年個人情報保護法ガイドライン改正パブコメで、ガイドライン(通則編)89頁の個人関連情報の具体例に、閲覧履歴・購買履歴・位置情報とともに「ある個人の興味・関心を示す情報」も明示している点も、個人情報保護委員会のファインプレーでないかと思われます。

個人情報保護法ガイドライン個人関連情報の具体例
つまり、2019年のリクナビ事件における就活生・求職者等の、「どの企業に入社したいか/どのような企業には入社したくないかなどに関する情報」や、内定辞退予測データなども、「ある個人の興味・関心を示す情報」なので、個人に紐付かない、特定の個人を識別できるものでない状態であったとしても、それらの情報は個人関連情報に該当することが個人情報保護委員会により明確化されたのです。

したがって、リクナビなどの人材紹介会社などは、個人情報保護法の法の網をかいくぐるような個人情報・個人データなどの脱法的な利用が今回の法改正で新設された、不適正利用の禁止条項(法16条の2)で規制されるだけでなく、取り扱う情報が「ある個人の興味・関心を示す情報」に該当する場合には個人関連情報に該当するので、第三者提供する際のあらかじめの本人同意の取得の法規制がここでもかかることになります。「PPC、グッジョブ!」としか言いようがありません。

(2)CCCなどのデータマーケティング企業など
同様に、TSUTAYAや武雄市図書館等のツタヤ図書館などを運営し、また共通ポイントのTポイントの運営で約7000万件の国民の個人情報と年間50億件のトランザクション・データを保有するCCCカルチュア・コンビニエンス・クラブ株式会社などのデータマーケティング企業などは、自社のビジネスモデルが個人情報保護法などを遵守しているか、今一度、慎重な再検討が必要なのではないでしょうか。

(3)ネット系人材紹介会社など
また、SNSやGithubなどからさまざまな情報をコンピュータで網羅的に収集し、AIによる分析・加工などを行っているLAPRASHackerBase Jobsなどのネット系人材紹介会社や、それらの人材会社を就活生や転職者などの採用選考に利用しているトヨタ、日産、サイバーエージェント、GMOなどの企業なども、自社のビジネスモデルや人事労務の業務が個人情報保護法制や職業安定法や関連する厚労省通達・指針などの労働法制に抵触していないか、今一度慎重な再検討が必要がなのではないでしょうか。

LAPRASを採用している企業
(LAPRASを利用している企業。LAPRAS社サイトより)

2019年のリクナビ事件では、個人情報保護委員会と厚労省は、リクルートキャリアだけでなく、トヨタなどの企業についても、「社内で個人情報保護法などを十分に検討していなかった」ことは安全管理措置(法20条)違反であると認定し、行政指導・行政処分を実施しています。
・個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について(PDF)|個人情報保護委員会

3.まとめ
このように、個人情報保護委員会は令和2年個人情報保護法改正対応の個人情報保護法ガイドライン改正で、図書館の貸出履歴なども一定の場合に個人情報または要配慮個人情報保護法に該当することを明確化し、「興味・関心」も個人関連情報に該当することを明確化しました。

採用選考・人事評価、PCや監視カメラ・スマホ・センサーなどによる従業員のモニタリングなどの労働分野、GIGAスクール構想や「教育の個別最適化」が推進されている教育分野、信用スコア事業、融資や保険引受審査などに関する金融・保険業、ターゲティング広告などの広告事業、顔認証システムや防犯カメラなどによる防犯事業、SNSのAI分析システムを導入しようとしている警察などは、業務を法的に再検討する必要があると思われます。

■関連する記事
・2020年の個人情報保護法改正に関するガイドライン改正に関するパブコメについて意見を書いてみた-FLoC・プロファイリング・貸出履歴・推知情報・データによる人の選別
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・データによる人の選別
・Github利用規約や厚労省通達などからSNSなどをAI分析するネット系人材紹介会社を考えた















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ