なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:プロファイリング

PPCトップ画面
1.令和2年改正個人情報保護法ガイドラインのパブコメ結果が公表
8月2日に個人情報保護委員会(PPC)が令和2年改正個人情報保護法ガイドラインのパブコメ結果を公表していたので、気になる部分をざっと見てみました。

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集の結果について|個人情報保護委員会

2.個人関連情報(改正法26条の2第1項)とGoogleのFLoC
令和2年改正の個人情報保護法26条の2第1項は、「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」を「個人関連情報」と定義し、事業者が個人関連情報を第三者提供し、提供先においてそれが個人データとして利用されることが想定される場合には、本人の同意が必要であるとしています。

これは2019年の就活生の内定辞退予測データの販売を行っていたリクナビ事件を踏まえて、個人情報保護法を潜脱して、本人関与のない個人情報の収集方法が広まることを防止するためのものです(佐脇紀代志『一問一答令和2年改正個人情報保護法』60頁)。

この個人関連情報は、具体的には、氏名などと結びついていないインタネットの閲覧履歴、位置情報、Cookieなどが該当するとされています(佐脇・前掲62頁)。

この点、今回の改正個人情報保護法ガイドライン(通則編)の個人関連情報に関するパブコメ結果308は、「Cookieなどだけでなく、Googleが最近、Cookieに代わり導入を開始したFLoCなどの新しい収集方法で取得されたデータについても個人関連情報に含まれることを明記すべきではないか」との意見(不肖な私の意見なのですが)に対して、PPCは「個人関連情報の定義にあてはまるものは個人関連情報に該当する。個別の判断になるが、収集の方法によって判断がかわるものではない。」と回答しています。

GoogleのFLoCなど

GoogleなどのIT事業者が、個人情報保護法を潜脱するためにFLoCなどの新しい手法を導入することは、個人関連情報の新設の趣旨に反するので、このPPCの回答は国民個人の権利利益の保護・人権保障の観点(法1条、3条、憲法13条)から、非常にグッジョブ!!であると考えられます。

今後、GoogleなどのIT企業がCookieやFLoCなどに代わるさらに新しいデータの収集方法を開始したとしても、それで収集されるデータが「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」にあたるのであれば、個人関連情報に該当し、第三者提供の際に本人の同意が必要になるとPPCは考えていると思われます。

3.個人関連情報と図書館の貸出履歴など
また、改正個人情報保護法ガイドライン(通則編)の個人関連情報に関するパブコメ結果315は、「ある個人の図書館の貸出履歴・利用履歴(利用事実)も個人関連情報や個人情報に該当しうることを明記すべきではないか」との意見(不肖・私の意見ですが)に対して、PPCは「個別の事案ごとに判断することになるが、図書館の利用履歴について、特定の個人を識別することができる場合(他の情報と容易に照合して特定の個人を識別できる場合を含む)には個人情報(法2条1項)に該当し、個人情報に該当しない場合には、「ある個人に関する情報」である限り、個人関連情報に該当する」と明快に回答しています。これもPPC超グッジョブ!!と言わざるをえません。

図書館の貸出履歴1
図書館の貸出履歴2


この点、現在の、平成27年(2015年)改正の個人情報保護法ガイドライン(通則編)は、要配慮個人情報(法2条3項)に関する2-3(要配慮個人情報)の部分のなお書きとして、「なお、次に掲げる情報(=要配慮個人情報))を「推知させる情報」にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない。」との記述を置いており、宗教に関する書籍の購買や貸出しに係る情報等などのような要配慮個人情報を「推知させる情報」は重要でないどうでもよい情報・データであるとの誤解が社会に広まってしまったような気がします(一種の「個人情報保護法による過剰反応」。なお令和2年改正の個人情報保護法ガイドラインにおいても、このなお書き自体は残っている。)。

しかし今回のこの個人情報保護法ガイドライン(通則編)パブコメ結果315は、図書館の貸出履歴・利用履歴なども個人情報に該当し、個人情報に該当しなくても、「ある個人に関する情報」である場合は個人関連情報に該当すると明確に回答していることは非常に重要な意味があると思われます。

貸出履歴・閲覧履歴などの個人情報・個人関連情報の該当性の図2

つまり、図書館の貸出履歴データ・利用履歴データをさまざまな用途に利活用しようとしてる法政大学、国会図書館などや、ツタヤ図書館などを運営するCCCなどのデータマーケティング企業やIT企業、さらに警察からの令状によらない照会に安易に応じ回答を行っている図書館、学校図書館の貸出履歴データ・利用履歴データなど図書館の利用以外に転用している学校・教育委員会・国などは、それらの業務が個人情報保護法など法令に違反してないか再検討が必要であると思われます。

■関連する記事
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?

同時に、今回のパブコメ結果を踏まえたPPCの令和2年改正個人情報保護法ガイドライン(通則編)の2-3-1-1(個人関連情報)の部分は、つぎのとおり、「Cookieなどで収集されたある個人のウェブサイトの閲覧履歴」、「メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等」、「個人の商品購買履歴・サービス利用履歴事例」、「ある個人の位置情報事例」、「ある個人の興味・関心を示す情報」などのデータ・情報も、それが連続して蓄積された場合には個人情報に該当し、個人情報に該当しない場合は個人関連情報に該当すると明記しています。

個人関連情報に該当する事例
(令和2年改正個人情報保護法ガイドライン(通則編)の2-3-1-1(個人関連情報)の部分より)

そのため、ヤフージャパン、LINEなどのIT企業、ターゲティング広告などの広告事業者、共通ポイントなどを運営するCCCや楽天などのデータマーケティング事業者、通信事業者・プロバイダ(ISP)やSuicaなどを運営するJR各社などの鉄道事業者・運輸事業者、コネクテッドカー・プラットフォームを運営する自動車メーカー、ネット上の通販を行うAmazonや楽天、メルカリや、ネットバンクや電子マネーやQRコード決済などの電子決済を行う金融関係の事業者、銀行・保険・証券、信用スコアや情報銀行などの業務を行う金融機関、テレビの閲覧履歴などを利用しているテレビ局、電気・ガス・水道などの利用履歴・ライフログなどを利用しているインフラ事業者、ネット閲覧履歴や移動履歴・購買履歴などを利用しているリクルート・LAPRASなどの人材企業やHRテックの事業者、タブレット端末などの操作履歴などを利用してEdTechやGIGAスクール構想などを推進しているベネッセや学校・教育委員会、文科省などは、今一度、自らの業務が個人情報保護法などの法令に違反していないか、再検討が必要であると思われます。この個人関連情報の新設は、影響範囲が非常に大きいと思われます。

4.AIやコンピュータによるプロファイリングについて
さらに、前述のリクナビ事件の問題や、2018年に施行されたEUのGDPR(EU一般データ保護規則)22条が「プロファイリング拒否権」(コンピュータやAIの個人データの自動処理のみによる法的決定・重要な決定の拒否権)を規定していることや、本年4月にEUがAI規制法案を公表したことなどから、AIやコンピュータによる人間のプロファイリングの危険(データによる人の選別の危険)に関する関心が日本社会でも高まっています。(最近の一部の情報法の学者の先生方は、個人データ保護法制の本当の立法目的は、プロファイリング拒否権であるとのご見解を示しておられるようです。)

この点、個人情報保護法ガイドライン(通則編)のパブコメ結果57は、「プロファイリングによる個人データの収集・利用などが個人の権利・利益を侵害するおそれがあるような場合については、これが個人情報の不適正利用の禁止条項(法16条の2)に該当し違法なものとなることを明記すべきではないか」との質問(不肖・私の質問ですが)に対して、PPCは「「プロファイリングの目的や得られたデータの利用方法など個別の判断が必要であるが、プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合は、不適正利用に該当する場合があり得る。」と回答しています。

プロファイリング2

このように、AIやコンピュータによるプロファイリングの法規制に関して、PPCはEUやアメリカの一部の州などの個人データ保護法の先進国・地域と異なり、慎重な姿勢を示しています。

しかし少なくとも、リクナビ事件のような、就活生などの求職者のネット閲覧履歴などのデータを収集し、AIで内定辞退予測データなどの就活生などに大きな不利益をもたらすおそれのあるデータを生成し、求人を行っているトヨタなどの企業にそのデータを販売・第三者提供するような行為は、「プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合に該当し、不適正利用であり違法であるとPPCに判断される可能性があると思われます。

そのため、AIを求職者の採用活動などに利用している雇用分野やHRtechの企業・人材会社・事業会社の人事部門や、AIを教育に利用している教育業界や学校・教育委員会・文科省、AIや顔認証システムを搭載した防犯カメラ・監視カメラ・商用カメラなどを利用や開発・販売している警備業界・警察・小売業・電気メーカーや、AIを信用スコアやローンの審査・保険の引受審査・保険金支払査定などに利用している銀行・保険などの金融機関、出入国管理など行政上の審査にAIを利用している行政庁などは、自らの業務が令和2年改正の個人情報保護法に抵触しないか、今一度再検討が必要であると思われます。

■関連する記事
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR

5.その他・委託の「まぜるな危険」の問題、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当のパブコメ意見!?
(1)委託の「まぜるな危険」の問題
その他にも、この令和2年改正個人情報保護法ガイドラインパブコメ結果は、通則編のパブコメ結果351に、経営法友会からの「委託の「まぜるな危険の問題」」の質問へのPPCの回答が載っているなど、個人情報保護法や情報セキュリティなどに関係する人にとって見どころが満載です。(委託の「まぜるは危険の問題」がPPCの公式文書に掲載されたのは、これがおそらく初めてではないでしょうか。)

委託のまぜるな危険の問題

(2)「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のパブコメ意見!?
また、このパブコメ結果で異様なのは、法人・個人や各種団体などからの意見にまじって、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」からのパブコメ意見が大量に提出されていることです。PDFファイル上で検索するとなんと31件もあるようです。しかも、他の個人・法人のほとんどが、PPCのパブコメ要綱を遵守して「意見」・「理由」を分けて丁寧な文言で意見や質問などを提出しているのに、この内閣府の担当者は意見・理由を分けずに、上から目線のあまり上品でないだらだらとした言葉使いで31件もの意見を書いています。

さらにパブコメ結果を読んでいて驚くことは、この内閣府健康・医療戦略推進事務局の担当者は、個人情報保護法の条文の文言上の理解すらできておらず、おそらく実務上も個人情報の取扱を経験したことがないような、官僚というよりまるで大学法学部の1年生かのような素人質問をPPCに対して、まるで顧客が企業のコールセンターに電話で質問するかのように、カジュアルに投げつけていることです。
内閣府5
(ガイドライン(通則編)のパブコメ結果275。内閣府の担当者は法23条2項のオプトアウトによる第三者提供に関して「いちいち事業者が本人に対して通知を行わねばならないことは面倒である」という趣旨の意見を述べていますが、PPCも回答しているように、法23条2項は「通知または公表」と規定しており、事業者に「通知」を義務付けていません。)

「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」は、国民のカルテや処方箋データなどのセンシティブな個人情報である医療データを国が一元的に収集し、IT企業や製薬会社などに利活用させる次世代医療基盤法などの担当所管のはずですが、個人情報保護法の素人のような人間が担当者で本当に大丈夫なのでしょうか?   国民としては非常に心配です。

くわえて、この内閣府健康・医療戦略推進事務局次世代医療基盤法担当の担当者の意見は、個人情報取扱事業者の法的義務を削減することを要求する内容のものが多く含まれています。この点は、内閣府や個人情報保護委員会の行政の公平性・中立性(国家公務員法96条1項、憲法15条2項など)が損なわれるおそれがあるだけでなく、国の個人情報保護行政デジタル行政などがゆがめられてしまうおそれがあるのではないでしょうか。

■関連する記事
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・2020年の個人情報保護法改正に関するガイドライン改正に関するパブコメについて意見を書いてみた-FLoC・プロファイリング・貸出履歴・推知情報・データによる人の選別
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権















このエントリーをはてなブックマークに追加 mixiチェック


サーバー群

1.図書館の貸出履歴なども連続的に蓄積されて特定の個人を識別できる場合は個人情報になる
(1)令和2年個人情報保護法ガイドライン改正パブコメ
令和2年個人情報保護法ガイドライン改正パブコメが6月18日まで実施されていました。
・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集について|e-GOV

ここで個人情報保護委員会(PPC)が示した個人情報保護法ガイドラインの案を読んで、個人的にPPCの一番のファインプレーだと思ったのは、個人情報保護法ガイドライン(通則編)90頁の、「3-7-1-1個人関連情報」(個人情報保護法26条の2)のところの注意書きに、次のようにと明示し、"図書館貸出履歴等「連続的に蓄積」されて特定の個人を識別できる場合は個人情報に該当し、さらにそれがある個人の思想・信条などに該当する場合は要配慮個人情報に該当すること"を明確化したことではないかと思われます。

個人情報に該当する場合は個人関連情報には該当しないことになる。例えば、ある個人の位置情報それ自体のみでは個人情報には該当しないものではあるが、個人に関する位置情報が連続的蓄積される等して特定の個人を識別することができる場合には、個人情報該当」する(個人情報保護委員会「個人情報保護法ガイドライン(通則編)」90頁「3-7-1-1個人関連情報」(個人情報保護法26条の2)注意書き)。
つまり、例えば、図書館等の貸出履歴や書店での本・DVD・CD等の購入履歴等が「連続的に蓄積」されて「特定の個人を識別できる場合」(=実名等がわからなくても「あの人、この人」と識別できる場合)には当該情報・データは「個人情報」に該当し、さらにそれが個人の「思想・信条」「病歴」などに該当すれば「要配慮個人情報」に該当するとPPCは考えていると思われます。

貸出履歴・閲覧履歴などの個人情報・個人関連情報の該当性の図2

すなわち、図書館の連続的に蓄積されて特定の個人を識別できる貸出履歴・利用履歴等は個人情報であり、それが思想・信条等に該当する場合には要配慮個人情報であると個人情報保護委員会が認めたことになります。

(2)これまでの個人情報保護委員会の「要配慮個人情報を推知させる情報」の考え方
もちろん、個人情報保護法2条1項の個人情報の定義は、「個人に関する情報」であって、電磁的記録などを含むさまざまな情報・記述などで「特定の個人を識別できるもの」は個人情報に該当するとしているので、この個人情報保護委員会の考え方は当然といえば当然です(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁)。
個人情報の定義『ニッポンの個人情報』
鈴木正朝・高木浩光・山本一郎「「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編)」EnterpriseZineより

しかし、2017年法改正を受けたこれまでの個人情報保護法ガイドライン(通則編)の「2-3 要配慮個人情報」は、「なお、次に掲げる情報(=要配慮個人情報)を推知させる情報にすぎないもの(例:宗教に関する書籍購買貸出しに係る情報等)は、要配慮個人情報には含まない」という塩対応な注意書きを明示していました(岡村久道『個人情報保護法 第3版』87頁)。

そのため、「本人の思想・信条などの内心を推知させる情報も要配慮個人情報に含めて扱うべき」と、宮下紘・中大教授(憲法・情報法)などの学者の方々から批判されてきたところです(宮下紘「図書館と個人情報保護」『時の法令』平成28年1月15日号50頁)。

(3)図書館の貸出履歴などの情報の利活用の推進派は、個人情報保護法などの再検討が必要となる
もし、図書館の貸出履歴・利用履歴などが個人関連情報でしかないとすると、第三者提供の際の本人同意が必要なだけにとどまりますが(法26条の2)、個人情報であるとなると、利用目的の特定(法15条)や、本人同意のない目的外利用の禁止(法16条)、不適正な収集の禁止(法17条)、安全管理措置(法20条~22条)、第三者提供の本人同意(法23条1項)、開示・訂正・利用停止等の請求への対応(法28条~34条)などの各義務が事業者に要求されることになります。

そしてさらに図書館の貸出履歴・利用履歴などが要配慮個人情報に該当するとなると、原則として収集の際に事前の本人の同意が必要(法17条2項)となり、また、オプトアウト方式による第三者提供も禁止(法23条2項かっこ書き)されることになり、さらに事業者の義務が重くなります。

また、個人情報、要配慮個人情報、その他個人に関する情報を事業者などが不適正に取り扱った場合、個人情報保護法とは別に、事業者などが当該個人からプライバシー権侵害などを主張され、不法行為に基づく損害賠償責任を負う可能性もあります(民法709条、憲法13条)。

この点、最近も、法政大学の大学図書館の貸出履歴などを保存する方針に対して教職員、有識者などから反対の声が上がっていることが話題となっています。
・広がる図書館の履歴保存 脅かされる秘密、懸念の声も|朝日新聞

2021年4月から学長の廣瀬克哉総長は、同大学の学部横断型科目の学生の履修データなどの教育データ「見える化」を推進するなど、「大学のDX(デジタル・トランスフォーメーション)」の推進に熱心な学長のようです。

もし廣瀬氏などが、大学図書館の貸出履歴・利用履歴などのデータもDX化し、教育データの一つとしてさまざまな用途に利用・分析・加工・第三者提供などをすることを考えているとしたら、法令や日本図書館協会の「図書館の自由に関する宣言」などに基づいて、今一度慎重な再検討が必要であると思われます。

同様に、全国の自治体の公立図書館国立国会図書館などにおいても、貸出履歴・利用履歴などのデータを保存する図書館が増えているようですが、そのような図書館・自治体なども、同様に個人情報保護法・行政機関個人情報保護法・独法個人情報保護法・自治体の個人情報保護条例などや「図書館の自由に関する宣言」などに基づいて慎重な再検討が必要になるものと思われます。

*追記
なお、2017年の個人情報保護法改正では、いわゆる2号個人識別符号として、スマホの端末ID、携帯電話番号、IPアドレス、会員証番号なども個人識別符号(法2条2項2号)として個人情報に含まれることが明確化されようとしました。これは当時の政府のパーソナルデータ保護に関する検討会議の委員の森亮二弁護士や、産業技術総合研究所の高木浩光氏などが主張していたものです。しかしこれは楽天やヤフージャパンなどの経済界、経産省や与党などの強い圧力により頓挫してしまいました。
・携帯電話・スマホ等のIDやIPアドレスは個人情報に含まれない?/個人情報保護法改正法案
・【プレゼン】2月4日、自民党で、三木谷代表理事が 個人情報保護法改正案について意見を述べました|新経済連盟
・個人情報定義は新経連の意向で米国定義から乖離しガラパゴスへ(パーソナルデータ保護法制の行方 その16)|高木浩光@自宅の日記
o0800055513265690722
(新経済連盟サイトより)

とはいえ、今回、個人情報保護委員会がガイドラインで貸出履歴・閲覧履歴・購入履歴・位置情報・移動履歴なども一定の場合、個人情報に含まれると明確化したことは、2017年改正のこの2号個人識別符号の考え方の事実上の復活であり、国民の個人情報の保護つまり個人の尊重個人の権利利益の保護(個人情報保護法1条、3条、憲法13条)の観点からは画期的です。

2.「ある個人の興味・関心を示す情報」も個人関連情報となる
(1)「ある個人の興味・関心を示す情報」
また、令和2年個人情報保護法ガイドライン改正パブコメで、ガイドライン(通則編)89頁の個人関連情報の具体例に、閲覧履歴・購買履歴・位置情報とともに「ある個人の興味・関心を示す情報」も明示している点も、個人情報保護委員会のファインプレーでないかと思われます。

個人情報保護法ガイドライン個人関連情報の具体例
つまり、2019年のリクナビ事件における就活生・求職者等の、「どの企業に入社したいか/どのような企業には入社したくないかなどに関する情報」や、内定辞退予測データなども、「ある個人の興味・関心を示す情報」なので、個人に紐付かない、特定の個人を識別できるものでない状態であったとしても、それらの情報は個人関連情報に該当することが個人情報保護委員会により明確化されたのです。

したがって、リクナビなどの人材紹介会社などは、個人情報保護法の法の網をかいくぐるような個人情報・個人データなどの脱法的な利用が今回の法改正で新設された、不適正利用の禁止条項(法16条の2)で規制されるだけでなく、取り扱う情報が「ある個人の興味・関心を示す情報」に該当する場合には個人関連情報に該当するので、第三者提供する際のあらかじめの本人同意の取得の法規制がここでもかかることになります。「PPC、グッジョブ!」としか言いようがありません。

(2)CCCなどのデータマーケティング企業など
同様に、TSUTAYAや武雄市図書館等のツタヤ図書館などを運営し、また共通ポイントのTポイントの運営で約7000万件の国民の個人情報と年間50億件のトランザクション・データを保有するCCCカルチュア・コンビニエンス・クラブ株式会社などのデータマーケティング企業などは、自社のビジネスモデルが個人情報保護法などを遵守しているか、今一度、慎重な再検討が必要なのではないでしょうか。

(3)ネット系人材紹介会社など
また、SNSやGithubなどからさまざまな情報をコンピュータで網羅的に収集し、AIによる分析・加工などを行っているLAPRASHackerBase Jobsなどのネット系人材紹介会社や、それらの人材会社を就活生や転職者などの採用選考に利用しているトヨタ、日産、サイバーエージェント、GMOなどの企業なども、自社のビジネスモデルや人事労務の業務が個人情報保護法制や職業安定法や関連する厚労省通達・指針などの労働法制に抵触していないか、今一度慎重な再検討が必要がなのではないでしょうか。

LAPRASを採用している企業
(LAPRASを利用している企業。LAPRAS社サイトより)

2019年のリクナビ事件では、個人情報保護委員会と厚労省は、リクルートキャリアだけでなく、トヨタなどの企業についても、「社内で個人情報保護法などを十分に検討していなかった」ことは安全管理措置(法20条)違反であると認定し、行政指導・行政処分を実施しています。
・個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について(PDF)|個人情報保護委員会

3.まとめ
このように、個人情報保護委員会は令和2年個人情報保護法改正対応の個人情報保護法ガイドライン改正で、図書館の貸出履歴なども一定の場合に個人情報または要配慮個人情報保護法に該当することを明確化し、「興味・関心」も個人関連情報に該当することを明確化しました。

採用選考・人事評価、PCや監視カメラ・スマホ・センサーなどによる従業員のモニタリングなどの労働分野、GIGAスクール構想や「教育の個別最適化」が推進されている教育分野、信用スコア事業、融資や保険引受審査などに関する金融・保険業、ターゲティング広告などの広告事業、顔認証システムや防犯カメラなどによる防犯事業、SNSのAI分析システムを導入しようとしている警察などは、業務を法的に再検討する必要があると思われます。

■関連する記事
・2020年の個人情報保護法改正に関するガイドライン改正に関するパブコメについて意見を書いてみた-FLoC・プロファイリング・貸出履歴・推知情報・データによる人の選別
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・データによる人の選別
・Github利用規約や厚労省通達などからSNSなどをAI分析するネット系人材紹介会社を考えた















このエントリーをはてなブックマークに追加 mixiチェック

display_monitor_computer
2020年(令和2年)の個人情報保護法改正に関するガイドライン改正に関するパブコメを、2021年6月18日まで個人情報保護委員会が実施していたため、意見を少しだけ書いて提出してみました。

■関連する記事
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集について|e-GOV

1.個人関連情報に関してGoogleの「FLoC」などについて
(該当箇所)
個人情報保護法ガイドライン(通則編)89頁

(意見)
「【個人関連情報に該当する事例】」の「事例1)Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴」に、最近、GoogleがCookieに代わり導入を開始した「FLoC」などの新しい手法により収集された、ある個人のウェブサイトの閲覧履歴等も含まれることを明記すべきである。

(理由)
個人情報保護法26条の2は、2019年のいわゆるリクナビ事件を受けて、個人情報保護法を潜脱するような、本人関与のない個人情報の収集方法が広まることを防止するために、ユーザーの閲覧履歴、属性履歴、移動履歴などのデータを第三者に提供する場合に、提供先で個人データとなることが想定される場合には、個人データの第三者提供に準じる規制を課すことにより、個人のプライバシーなどの権利利益を保護(法1条、3条)するものである。

そのため、個人情報保護法を潜脱するように、CookieでなくGoogleの「FLoC」などの新しい手法を利用することにより、本人関与のない個人情報の収集方法が広がることを防止し、国民の個人の尊重、個人のプライバシー、人格権(憲法13条)などの個人の権利利益を保護(法1条、3条)するために、Cookie等だけでなく、「FLoC」などの新しい手法も個人関連情報に該当することを、包括的に個人情報保護法ガイドライン等に明記すべきである。

2.不適正利用の禁止(法16条の2)とAI・コンピュータによるプロファイリングについて
(該当箇所)
個人情報保護法ガイドライン(通則編)30頁

(意見)
不適正利用の禁止(法16条の2)に関する個人情報保護法ガイドライン(通則編)30頁の「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に、「AI・コンピュータの個人データ等の自動処理(プロファイリング)の行為のうち、個人の権利利益の侵害につながるもの」を明示すべきである。

(理由)
本人の認識や同意なく、ネット閲覧履歴、購買履歴、位置情報・移動履歴やSNSやネット上の書き込みなどの情報をAI・コンピュータにより収集・分析・加工・選別等を行うことは、2019年のいわゆるリクナビ事件や、近年のAI人材会社を標ぼうするネット系人材紹介会社等の実務のように、本人が予想もしない不利益を被る危険性がある。このような不利益は、差別を助長するようなデータベースや、違法な事業者に個人情報を第三者提供するような行為の不利益と実質的に同等であると考えられる。

また、日本が十分性認定を受けているEUのDGPR22条1項は、「コンピュータによる自動処理のみによる法的決定・重要な決定の拒否権」を定め、EUが2021年4月に公表したAI規制法案も、雇用分野の人事評価や採用のAI利用、教育分野におけるAI利用、信用スコアなどに関するAI利用、出入国管理などの行政へのAI利用などへの法規制を定めている。

この点、日本の2000年労働省「労働者の個人情報保護の行動指針」第2、6(6)や厚労省の令和元年6月27日労働政策審議会労働政策基本部会報告書「~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」9頁10頁および、いわゆるリクナビ事件に関する厚労省の通達(職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運営について」)等も、電子機器による個人のモニタリング・監視に対する法規制や、AI・コンピュータのプロファイリングに対する法規制およびその必要性を規定している。

日本が今後もEUのGDPRの十分性認定を維持し、「自由で開かれた国際データ流通圏」政策を推進するためには、国民の個人の尊重やプライバシー、人格権(憲法13条)などの個人の権利利益を保護するため、AI・コンピュータによるプロファイリングに法規制を行うことは不可欠である。

したがって、「AI・コンピュータの個人データ等の自動処理(プロファイリング)の行為のうち、個人の権利利益の侵害につながるもの」を「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に明示すべきである(「不適正利用の禁止義務への対応」『ビジネス法務』2020年8月号25頁参照)。

3.要配慮個人情報と図書館の図書の貸出履歴・本の購買履歴などの推知情報について
(該当箇所)
個人情報保護法ガイドライン(通則編)12頁

(意見)
「次に掲げる情報を推知させる情報にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない」を、「次に掲げる情報を推知させる情報(例:宗教に関する書籍の購買や貸出しに係る情報等)も、要配慮個人情報に該当する」と変更すべきである。

(理由)
令和元年12月13日付個人情報保護委員会「個人情報保護法いわゆる3年ごと見直し制度改正大綱」16頁が「昨今の急速なデータ分析技術の向上等を背景に、潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用の携帯がみられ、個人の懸念が高まりつつある」と指摘するように、近年のAI・コンピュータ等によるプロフィリングの分析技術等の向上は、2019年のいわゆるリクナビ事件などにもみられるとおり、ネット閲覧履歴、購買履歴、位置情報・移動履歴などの「要配慮個人情報を推知させる情報」のデータを分析・加工することにより、本人の内定辞退予測データなど、個人の思想・信条などの要配慮個人情報や内心の自由(憲法19条)などに関する情報を取得することを可能にしており、国民の個人の尊重やプライバシー権の保護、人格権の保護(憲法13条)などの個人の権利利益の保護(個人情報保護法1条、3条)の観点から、「要配慮個人情報を推知させる情報」を法的に放置しておくべきではない(平成30年第196国会・衆議院『衆議院議員松平浩一君提出プロファイリングに関する質問に対する答弁書』参照)。

とくに図書館の図書等の貸出履歴や商品購入履歴・サービス利用履歴などについては、図書館や共通ポイント運営事業者などに対して、警察による捜査関係事項照会による提出要請などが広く行われており、個人の側の懸念が強まっている(2020年12月23日札幌弁護士会「捜査関係事項照会に対する公立図書館等の対応に関する意見」参照)。

したがって、国民の個人の権利利益の保護(法1条、3条)のために、「要配慮個人情報を推知させる情報」についても要配慮個人情報に含めるために、「次に掲げる情報を推知させる情報(例:宗教に関する書籍の購買や貸出しに係る情報等)も、要配慮個人情報に該当する」と変更すべきである。

4.個人関連情報と図書館の図書の貸出履歴・利用履歴などについて
(該当箇所)
個人情報保護法ガイドライン(通則編)90頁

(意見)
「個人関連情報に該当する事例」の「事例3)ある個人の商品購買履歴・サービス利用履歴」に、「ある個人の公共図書館、学校図書館、専門図書館および私設図書館などの図書館等の図書等の貸出履歴を含む図書館の利用履歴(利用事実)」も「個人関連情報に該当する事例」として明記すべきである。

(理由)
個人情報保護法26条の2は、2019年のいわゆるリクナビ事件を受けて、個人情報保護法を潜脱するような、本人関与のない個人情報の収集方法が広まることを防止するために、ユーザーの閲覧履歴、属性履歴、移動履歴などのデータを第三者に提供する場合に、提供先で個人データとなることが想定される場合には、個人データの第三者提供に準じる規制を課すことにより、個人のプライバシーなどの権利利益を保護(法1条、3条)するものである。

図書館の貸出履歴は、ある個人の思想・信条、趣味・嗜好、関心事など個人の内心に関する要配慮個人情報を推知させる重要な情報である。そのため、「商品購入履歴・サービス利用履歴」「位置情報」などとともに、個人関連情報に該当することをガイドライン等に明示すべきである。

図書館の図書等の貸出履歴等を含む利用履歴(利用事実)については、日本図書館協会の「図書館の自由に関する宣言」が「図書館は利用者の秘密を守る」として「憲法第35条にもとづく令状」による照会以外の場合には照会への回答を拒否することを明示しているが、近年の新聞報道や札幌弁護士会の2020年12月23日「捜査関係事項照会に対する公立図書館等の対応に関する意見」等によると、近年、警察の捜査関係事項照会(刑事訴訟法197条2項)など令状によらない任意の照会が図書館に多く実施され、一部の図書館がそれに対して回答を実施しているとのことである。

また、共通ポイントのTポイントによる個人データのデータマーケティングビジネスを運営するCCCカルチュア・コンビニエンス・クラブ株式会社は、指定管理者として武雄市図書館などのいわゆるツタヤ図書館を運営しているが、このツタヤ図書館などにおいては、利用者の貸出履歴などの個人情報・個人データが個人情報保護法を潜脱してCCC社により同社のデータマーケティングビジネスに利用されているのではないかと疑われている。そしてCCC社など大量の国民の個人情報・個人データを保有する企業に対しても、警察が捜査関係事項照会などの令状によらない任意の方法で情報の提供を求めている実態がある(日経新聞2019年1月20日「Tカード情報令状なく提供 規約明記せず、会員6千万人超」参照)。

さらに最近、法政大学などの一部大学が、同大学の図書館の貸出履歴・利用履歴等のデータを、利用者の貸出等が終了した後も保存し、さまざまな用途に利活用する方針を発表し、教職員や学生などの関係者や有識者、国民から大きな批判を受けている。

この点、法26条の2は、個人情報保護法を潜脱するような、本人関与のない個人情報の収集方法が広まることを防止するために、ユーザーの閲覧履歴、属性履歴、移動履歴などを個人関連情報と定義し、個人データの第三者提供に準じる規制を課すことにより、個人の尊重・個人のプライバシー・人格権など(憲法13条)の個人の権利利益を保護(法1条、3条)するものである。

したがって、閲覧履歴、属性履歴、位置情報・移動履歴などと同様に、個人の思想・信条・内心などの要配慮個人情報や、個人のプライバシーのとりわけ重要な部分を推知させる情報である、図書館の図書等の貸出履歴を含む図書館の利用履歴(利用事実)も、個人の権利利益を保護するために「個人関連情報」に該当することを明示すべきである。

5.本人からの開示請求や利用停止等の請求への対応が難しいデータについて、仮名加工情報に加工するなど、個人情報保護法を潜脱する目的で仮名加工情報を取扱ってはならないことについて
(該当箇所)
個人情報保護法ガイドライン匿名加工情報編11頁・個人情報保護法ガイドライン(通則編)17頁


(意見)
ガイドライン匿名加工情報編11頁「仮名加工情報の取扱いに係る義務の考え方」の部分またはガイドライン通則編17頁の「2-10匿名加工情報」の部分などに、「本人からの開示請求や利用停止等の請求への対応が難しいデータについて、仮名加工情報に加工して保有・利用するなど、個人情報保護法を潜脱する目的で仮名加工情報を取扱ってはならない」と明示すべきである。

(理由)
一部の有識者の見解に、「仮名加工情報は、法15条2項、法27条から34条までの規定は適用されないため、本人からの開示請求や利用停止等の請求への対応が難しいデータについて、仮名加工情報に加工して保有・利用することが有力な解決策となる」と指南しているものが見られる(「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号34頁参照)。

このような仮名加工情報の取扱は、仮名加工情報の新設の趣旨を没却し、個人情報保護法を潜脱する脱法的なものであるから、このような行為を禁止する注意書きをガイドライン等に明示すべきである。

6.AI・コンピュータなどのプロファイリングにより取得したデータも個人情報に該当することについて
(該当箇所)
個人情報保護法ガイドライン(通則編)11頁

(意見)
「【個人情報に該当する事例】」の部分に、「AI・コンピュータなどのプロファイリングにより取得した情報・データも法2条1項の個人情報の定義に当てはまる場合は、個人情報に該当する」ことを明示すべきである。

(理由)
最近、「日本の個人情報保護法上、プロファイリングによって取得した情報は「個人情報」には該当しない」などの誤った見解が日本の公的機関の文書などに散見されるため(日銀ワーキングペーパー論文『プライバシーの経済学入門』(2021年6月3日)16頁など)。

■関連する記事
・個人情報保護委員会は図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?ーAI・プロファイリング・データによる人の選別
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・Github利用規約や厚労省通達などからSNSなどをAI分析するネット系人材紹介会社を考えた
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・データによる人の選別
・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた
・苫小牧市立中央図書館が警察の任意の要請により貸出履歴等を提供したことを考える
・Tポイントの個人情報がCCCから任意の照会で警察に提供されていたことを考える

■参考文献
・佐脇紀代志『一問一答令和2年改正個人情報保護法』34頁、62頁
・田中浩之・北山昇「不適正利用の禁止義務への対応」『ビジネス法務』2020年8月号25頁
・「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号34頁
・労働政策審議会労働政策基本部会 報告書 ~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~|厚労省
・厚労省通達・職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運営について」
・令和元年12月13日付個人情報保護委員会「個人情報保護法いわゆる3年ごと見直し制度改正大綱」16頁
・平成30年第196国会・衆議院『衆議院議員松平浩一君提出プロファイリングに関する質問に対する答弁書』|衆議院
・札幌弁護士会「捜査関係事項照会に対する公立図書館等の対応に関する意見」
・日経新聞2019年1月20日「Tカード情報令状なく提供 規約明記せず、会員6千万人超」
・Googleが進める代替技術「FLoC」が問題視されている理由とは?|マイナビニュース













このエントリーをはてなブックマークに追加 mixiチェック

日銀サイト
1.日銀の『プライバシーの経済学入門』
本年6月に日本銀行がウェブサイト上で公表した論文『プライバシーの経済学入門』16頁が、日本個人情報保護法上、「プロファイリングによって取得した情報は「個人情報」には該当しないと記述していることがネット上で大きく注目されています。

この論文『プライバシーの経済学入門』は、2021年6月3日付で日本銀行ウェブサイトに公開された日本銀行決済機構局の方々によるものとされています。

すなわち、『プライバシーの経済学入門』16頁は、つぎのように記述しています。
(日本の個人情報保護法において、)『学説上解釈の余地があるとされているものの、推論(プロファイリング)によって取得した情報は、「個人情報」には該当しないと解されているためである(宇賀2018)。この前提によった場合、プラットフォーマーが人々の個人情報を類推した結果を第三者に提供したとしても、個人情報保護法には違反していないと考えられる』(日本銀行『プライバシーの経済学入門』16頁)

日銀『プライバシーの経済学入門』16頁
(日本銀行『プライバシーの経済学入門』16頁より)
・「プライバシーの経済学入門」|日本銀行

つまり、日銀の本論文においては、日本の個人情報保護法上、「推論(プロファイリング)によって取得した情報は、「個人情報」には該当しないと解されているためである(宇賀2018)』としています。

そして、本論文の文末の脚注をみると、「(宇賀2018)」とは、個人情報保護法の著名な学者であり最高裁判事の宇賀克也先生の『個人情報保護法の逐条解説 第6版』であることが示されていますが、具体的には宇賀先生のこの本のどの部分であるかは示されていません。(執筆者の方々は、あまり学術的な論文に親しくないのかもしれません。)

私も宇賀先生のこの『個人情報保護法の逐条解説 第6版』を見直してみたのですが、よくわからなかったため、日銀に問い合わせてみたところ、回答をいただきました。

2.日銀の回答
日銀の回答の概要はつぎのとおりでした。

1.宇賀克也『個人情報保護法の逐条解説 第6版』の個人情報保護法2条の定義における「個人情報」の定義の解説にあるとおり、プロファイリング(推論)によって得られた情報は、個人情報に該当するかは明示されていない。

2.同書143頁は、『本人の同意なしにプロファイリングによって要配慮個人情報を新たに生み出すことは、要配慮個人情報の「取得」に当たると解すべきかという重要な解釈問題が存在する』と、論点であると指摘している。

3.プロファイリングにより取得した情報が要配慮個人情報に該当するか否かについては、平成30年の衆議院の質問主意書に対する政府回答が、「「個人情報保護法ガイドライン(通則編)」2-3が、同ガイドライン2―3(1)から(11)までに掲げる情報を推知させる情報にすぎないものについては、要配慮個人情報に含まれないとしており、個人情報取扱事業者が同ガイドライン2―3(1)から(11)までに掲げる情報を推知させる情報にすぎないものを取得することは、同法第十七条第二項の規定により制限されるものではない」と否定している。

4.そのため、『プライバシーの経済学入門』16頁は、プロファイリングで取得した情報に対する法的保護に不明確性があることを簡潔に記載し、個人情報保護法について概括的に扱った参考図書として宇賀先生の教科書を挙げたものである。

3.検討
(1)プロファイリングによって得られた情報は個人情報に該当しないのか?
まず、日銀の回答の1.については、個人情報保護法2条1項1号は、「個人情報」の定義について、「個人情報」とは、生存する個人に関する情報であって、(略)当該情報に含まれる氏名、生年月日その他の記述等(略)により特定の個人を識別することができるもの」としています。

そして、宇賀克也『個人情報保護法の逐条解説 第6版』(以下「宇賀・前掲」とする)37頁は、『「個人に関する情報」とは、個人の属性・行動、個人に関する評価、個人が創作した表現等、当該個人と関係するすべての情報が含まれる。公知の情報であるか否かを問わないし、情報の存在形式も、文字情報に限られ』ないと解説しています。

つまり、個人の属性・行動、個人に関する評価情報などの、当該個人と関係するすべての情報が「個人に関する情報」です。

そして、宇賀・前掲37頁は、「特定の個人を識別することができるもの」について、「誰か一人の情報であることが分かることを意味し、特定の個人を識別できるとは、識別される個人が誰か分かることを意味する」と解説しています。

この点、これも著名な個人情報保護法の実務書・解説書である、岡村道久『個人情報保護法 第3版』70頁は、「「特定の個人を識別」について、「防犯カメラ画像等によって特定の個人の顔が、いわば「この人」であると識別しうる場合には、当該個人の実名等が不明であっても、本要件を満たす」としています。

そのため、「個人の属性・行動、個人に関する評価情報などの、「個人に関する情報」(当該個人と関係するすべての情報)」であって、実名等が不明でも「この人、あの人」であると「特定の個人を識別できる情報」は、個人情報保護法上の「個人情報」です(法2条1項、鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』18頁)。
個人情報の定義『ニッポンの個人情報』
鈴木正朝・高木浩光・山本一郎「「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編)」EnterpriseZineより

すなわち、「プロファイリング(推論)によって得られた情報」が、「個人の属性・行動、個人に関する評価などの、当該個人と関係するすべての情報」、つまり「個人に関する情報」であり、かつ、「実名等が不明でも「この人、あの人」であると「特定の個人を識別できる情報」である場合は、当該情報は個人情報保護法上の「個人情報」に該当します(法2条1項1号)。

したがって、「プロファイリング(推論)によって得られた情報は、個人情報に該当するかは明らかでない」とする日銀の見解は正しくないのではないかと思われます。

(2)平成30年の衆議院の「プロファイリングに関する質問に対する答弁書」について
つぎに、日銀の回答の2.の、平成30年の衆議院の「プロファイリングに関する質問に対する政府答弁書」とは、衆議院サイトなどで調べてみると、平成30年の第196国会の『衆議院議員松平浩一君提出プロファイリングに関する質問に対する答弁書』(以下「本政府答弁書」とする)であると思われます。
・平成30年第196国会『衆議院議員松平浩一君提出プロファイリングに関する質問に対する答弁書』|衆議院

この本政府答弁書に先立つ衆院議員の松平浩一氏の質問書によると、松平氏は、おおむね、「個人情報保護委員会のガイドライン等を参照すると、個人情報保護委員会は、ある情報が要配慮個人情報について推知させるものであっても、推知情報にとどまる限り、あらかじめの本人の同意なく当該情報を取得・利用することは法17条2項との関係で問題がないという整理をしていると思われるが、そのような理解でよいか。」という質問と、「「推知された情報が要配慮個人情報に準ずるもの」および「推知された情報が、推知のレベルを超えて、ある個人の要配慮個人情報と実質的に同等と評価できる情報」の場合には、やはり本人の同意が必要ではないか」という質問をしています。

これに対して政府答弁書は、前者の質問については、個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」2-3が、「なお、次に掲げる情報(=要配慮個人情報)を推知させる情報にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない。」としていることを受けて、「要配慮個人情報を推知させる情報にすぎないもの(推知情報)は要配慮個人情報ではないから、個人情報取扱事業者が推知情報を取得することは、個人情報保護法17条2項違反とならない」と答弁しています。

そして後者の質問について本政府答弁書は、「お尋ねの「一定の場合には推知された情報が要配慮個人情報に準ずる」こと及び「推知される情報が、推知のレベルを超えて、ある個人の要配慮個人情報と実質的に同等と評価できる場合」の意味するところが明らかではないため、お答えすることは困難である」と答弁しています。つまり政府はこの点をうまく回答を避けています。

すなわち、本政府答弁書は、「推知情報は要配慮個人情報ではないので、推知情報を個人情報取扱事業者が本人の同意を得ずに取得することは、法17条2項との関係では問題ない」と言っているだけであり、日銀の回答の2.のように「プロファイリングにより取得した情報が要配慮個人情報に該当」することを「否定」しているわけではありません。

この点は、日銀の『プライバシーの経済学入門』は、松平浩一・衆院議員のプロファイリングに関する質問書とそれに対する政府答弁書における、要配慮個人情報と、「推知情報」と、「「推知された情報」が要配慮個人情報に準ずる場合」および「「推知された情報」が「要配慮個人情報と実質的に同等となる場合」」の3つの用語・概念を混同しているのではないかと思われますが、いずれにしても、本政府答弁書は「推知された情報」が「要配慮個人情報と実質的に同等となる場合」等については回答を避けています。

したがって、わが国の政府は「「プロファイリングにより取得した情報が要配慮個人情報に該当」することを「否定」している」との日銀の理解は、これも正しくないと思われます。

なお、この点、岡本・前掲191頁は、要配慮個人情報の取得や利用について、法17条2項5号の「本人が自分のTwitterブログなどで自ら公開していた場合」などにおいても、「本人以外の第三者が、本人の同意を得ることなく、当該本人がインターネット上で公開している情報から本人の信条犯罪歴等に関する情報を取得し、既に保有している当該本人に関する情報の一部として、自己のデータベース等に登録することは、本17条2項違反となる」としています。

さらに、要配慮個人情報を合理的な理由なく事業者等が取り扱うことは、個人情報保護法以外にも、プライバシー権侵害として不法行為(民法709条)による損害賠償責任が成立する可能性があることも指摘されています(岡村・前掲191頁)。

4.結論
このように、「日本の学説上、プロファイリングによって得られた情報は個人情報保護法上の「個人情報」に該当するか否かは明確でない」という点は正しくなく、また、わが国の政府は、「「プロファイリングにより取得した情報が要配慮個人情報に該当」することを「否定」している」という点も正しくありません。

そのため、そのような日銀のわが国の個人情報保護法に関する理解を前提とした、日銀『プライバシーの経済学入門』16頁の、「日本の学説上、推論(プロファイリング)によって取得した情報は、「個人情報」には該当しないと解されている(宇賀 2018)」という記述は誤りであると思われます。

同時に、それを前提とした、本日銀論文の『この前提によった場合、プラットフォーマーが人々の個人情報を類推した結果を第三者に提供したとしても、個人情報保護法には違反していないと考えられる』も、やはり誤りであると思われます。

上で検討したように、日本の個人情報保護法においても、プラットフォーマー等が、プロファイリングして類推した情報も、個人の属性・行動、個人に関する評価などの、当該個人と関係するすべての情報が「個人に関する情報」であり、かつ、実名等が不明でも「この人、あの人」であると識別できる情報は、やはり「個人情報」に該当するので、そのような「個人情報」に該当する「プロファイリングにより類推した情報」を、当該プラットフォーマーなどの個人情報取扱事業者が第三者に提供する場合には、やはり法23条1項により、当該情報の本人の同意が必要となり、本人の同意のない第三者提供は個人情報保護法違反となります。

そして、そのようなそのような「個人情報」に該当する「プロファイリングにより類推した情報」が、「要配慮個人情報」(法2条3項)に該当する場合には、やはり法17条2項が規定するとおり、「法令に基づく場合」(法17条2項1号)などの例外規定に該当する場合以外は、やはり「あらかじめ本人の同意」を得て取得することが必要となります。また、要配慮個人情報をオプトアウト方式で第三者提供することは禁止されていますので(法23条2項かっこ書き)、やはり要配慮個人情報を第三者提供する場合には、個人情報取扱事業者は本人の同意が必要となります(法23条1項)。

本論文は、わが国の中央銀行である日本銀行が公表した、個人情報・プライバシーとプロファイリングなどの先端分野に関する論文として、ITやDX、情報セキュリティなどの関係者の方々や関係する政府機関や金融機関の方々、個人情報保護法や情報法などに関する学者・研究者の方々から注目されている論文であると思われ、ITやデジタル化などに関する専門サイト等もすでに取り上げているところです。そのため、日銀は本論文の該当部分の訂正などを行うべきではないでしょうか。

■補足
AIやコンピュータのプロファイリングについては、最近、EUのGDPR22条の「コンピュータによる個人データの自動処理(プロファイリング)による法的決定・重要な決定の拒否権」(プロファイリング拒否権)や同じくEUが本年4月に公表したAI規制法案などが注目されています。

この考え方は、コンピュータの発展を受けた1970年代頃からの、「コンピュータのデータによる人間の選別・差別の危険」への問題意識を受けたものですが(高木浩光「個人情報保護から個人データ保護へ」『情報法制研究』2巻75頁)、日本においても、2000年の労働省「労働者の個人情報保護に関する行動指針」第2、6(6)で規定が置かれ、その後も2019年6月の厚労省の『労働政策審議会労働政策基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~』9頁以下も同様の問題を指摘しており、リクナビ事件を受けた2019年9月の厚労省の通達「募集情報等提供事業等の適正な運営について」「学生等の他社を含めた就職活動や情報収集、関心の持ち方などに関する状況を、本人があずかり知らない形で募集企業に提供することは…学生等の就職活動に不利に働くおそれが高い。…このような事業は行わないこと」とし、「収集した個人情報の内容及び提供先について、あらかじめ明示された基準によらずに、事業者の判断により選別又は加工を行うこと」を明確に禁止しているように、欧州だけでなく日本でも受け継がれています。そしてこの「AIやコンピュータによる人間の選別の拒否権」は、日本の憲法においても、「個人の尊重」や人格権、自己情報コントロール権(憲法13条)、適正手続の原則(憲法31条)などから導き出されると解されています(山本龍彦『AIと憲法』101頁)。

したがって、AIやコンピュータなどによるプロファイリングを行う事業者等は、個人情報保護法や同ガイドライン等だけでなく、憲法や職業安定法、関連する厚労省の指針や通達などをも遵守することが求められます。

■追記
日銀は7月9日付で、この『プライバシーの経済学入門』16頁の修正を行っています。
・プライバシーの経済学入門|日本銀行

『さらに、やや逆説的だが、こうした状況は、わが国の個人情報保護法によっても対処できない可能性がある。なぜなら、推論(プロファイリング)による要配慮個人情報の生成が要配慮個人情報の「取得」に該当するかは解釈問題とされているためである(宇賀2018)。該当しないとの解釈によった場合には、プラットフォーマーが要配慮個人情報に該当しない個人情報をオプトアウト方式により第三者に提供し、その第三者が推論を行ったとしても、個人情報保護法には違反していないと考えられる。

修正版プライバシーの経済学入門16頁
(日銀「プライバシーの経済学入門」(7月9日版)16頁より)

上でもふれたとおり、プロファイリングという手法による/よらないに関係なく、「個人に関する情報」であって、かつ、「特定の個人を識別できるもの(容易照合性を含む)」は個人情報保護法の条文上、個人情報に該当します(法2条1項)。そして、その個人情報が「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実」などに該当する場合は、当該情報は要配慮個人情報(法2条3項)に該当します。

この点、最近公表された、PPCの令和2年改正個人情報保護法ガイドライン(通則編)のパブコメ結果308は、「Cookieなどだけでなく、GoogleのFLoCなどの新しい収集方法で取得されたデータについても個人関連情報などに含まれることを明記すべき」との意見に対して、PPCは「収集の方法によって判断がかわるものではない。」と回答しています。

また、オプトアウト方式による個人情報の第三者提供は、個人情報保護委員会への届出などが必要です(個人情報保護法23条2項)。さらに、この日銀の新しいスキームも、個人情報の第三者提供先でのプロファイリングなどの個人情報の取扱の目的ややり方など次第では、個人情報保護法を潜脱する手法を規制するために令和2年改正で新設され2022年4月施行予定の不適正利用の禁止(改正法16条の2)に抵触し違法となるおそれがあると思われます。

この点、PPCの令和2年改正個人情報保護法ガイドライン(通則編)のパブコメ結果57でPPCは、「プロファイリングの目的や得られたデータの利用方法など個別の判断が必要であるが、プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合は、不適正利用に該当する場合があり得る。」と明確に回答しています。

■関連
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集の結果について|個人情報保護委員会・e-GOV

■関連する記事
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・Github利用規約や厚労省通達などからAIを利用したネット系人材紹介会社を考えた
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・AIによる自動処理決定拒否権
・ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権

■参考文献
・宇賀克也『個人情報保護法の逐条解説 第6版』37頁、143頁
・岡村道久『個人情報保護法 第3版』70頁、191頁
・鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』18頁
・山本龍彦『AIと憲法』101頁
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁
・厚労省職業安定局・職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運用について」(PDF)
・「労働政策審議会労働政策基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」|厚労省















このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family
1.Githubの利用規約とネット系人材紹介会社
ある方が、Twitter上で「「Githubをみてメールしました」との人材紹介会社からのメールが来るけれど、これはGithubの利用規約違反ではないか?」という趣旨の投稿をされているのを見かけました。

以前より、私もGithubやSNSなどネット上で個人情報を収集している最近のネット系人材紹介会社(LAPRASHackerBase Jobsなど)に関心があったので、Githubの利用規約をみてみました。

すると、Github利用規約「5.情報利用の制限」はつぎのように規定しており、たしかに、ユーザーの個人情報を、人事採用担当者、ヘッドハンター、求人掲示板など販売することなどの目的で、Githubのサービスから取得して利用することはできないとはっきり禁止規定が存在します。

Github利用規約
5.情報利用の制限
「ユーザ個人情報」を、ユーザに対して未承諾メールを送信する、人事採用担当者ヘッドハンター求人掲示板など販売するといった目的を含め、スパム目的で本「サービス」から取得 (スクレイピング、APIを介した情報収集、その他の手段による取得) した情報利用することはできません。


github利用規約5情報の利用制限
(Githubより)

・Github利用規約

また、Github企業向け利用規約「3.プライバシー」も次のように規定し、企業(「お客様」)はGithubから「外部ユーザー」(=当該企業の顧客には未だなっていないユーザー)個人情報を収集して使用するには、当該ユーザー「利用目的」への「承認」が必要であると明記しています。

つまり、ここでも企業がユーザーの個人情報を取得し利用するためには、ユーザー本人の同意が必要であると明記されています。

「お客様がGitHubから「ユーザ個人情報」を収集した場合、お客様は「外部ユーザ」承認した目的にのみその個人情報を使用するものとします。


github企業向け利用規約
(Githubより)

このようにみてみると、人材紹介会社が、Github上のユーザーの本人の同意なしに、ユーザーの個人情報を収集し、分析、加工するなどして求人を行っている企業の人事部やヘッドハンターなどに第三者提供することは、Githubの利用規約に違反していることになります。

もし、Github上のユーザーの個人情報の企業などによる違法・不当な収集・利用があった場合、「GitHubはGitHubまたは「外部ユーザ」からの苦情、削除要請、および連絡拒否の要請速やかに対応する」と規定されており(Github企業向け利用規約「5.情報利用の制限」)、また、企業などは「当社やその他ユーザからの苦情、削除要請、および連絡拒否の要請速やかに対応する」(Github利用規約「6.プライバシー」)ことが義務付けられています。

2.ネット系人材紹介会社と職業安定法5条の4・2019年の厚労省通達
また、2019年に就活生のネット閲覧履歴などのAI分析に基づく内定辞退予測データの販売が大きな社会的問題となったリクナビ事件を受けて、厚労省職業安定局は2019年9月6日付で「募集情報等提供事業者等の適正な運営について」(職発0906第3号令和元年9月6日)との通達を発出しています。

・厚労省職業安定局「募集情報等提供事業者等の適正な運営について」(職発0906第3号令和元年9月6日)|厚労省(PDF)

厚労省通達職発0906第3号

この2019年の通達では、人材紹介会社や求人企業などは、求職者の個人情報を収集する際には、「本人から直接収集」するか、あるいは「本人の同意」の下に収集をしなければならないと明記されており、職業安定法5条の4および指針通達平成11年第141号第4「法5条の4に関する求職者等の個人情報の取扱い」の規定が再確認されています。(なお、本人同意は形式的なものであってはならないこと、人材会社等のサービスを利用するために本人の同意を条件とするなど同意を事実上強制してはならないこと等も明記されていることも注目されます。)

また、この2019年の通達では、「人材会社などの事業者の判断により求職者の個人情報選別または加工を行うことの禁止」を明記していることも大いに注目されます。(これは、EUのGDPR22条や、2000年の労働省「労働者の個人情報保護に関する行動指針」第2、6(6)などの「コンピュータによる個人データの自動処理のみによる法的決定・重要な決定の拒否権」と同じ趣旨の考え方であると思われ注目されます。平成28年の個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」制定後は、日本の官庁はこの自動処理拒否権を無視・否定しているかに見えたのですが、この考え方は現在も日本で有効であるようです。すなわち、現在の日本政府は、AIやコンピュータによる個人情報の無制限な利活用を許容していないことになります。

ネット系人材会社LAPRASなどは、サイトの説明によると、転職を希望している「転職顕在層」だけでなく、「転職潜在層」のGithubなどネット上の個人データを収集・加工して求人企業の人事部などに提供を行うビジネスを業務を行っているようです。また、同社サイトはオプトアウト手続きのための入力フォームを現在も設置しており、やはり本人の同意を得ていない個人の個人データをネット上で収集し加工するビジネスを現在も行っているようです。

LAPRAS宣伝
(LAPRAS社サイトより)

そのため、LAPRASなどネット系人材紹介会社の業務は、(LAPRASの場合は「転職潜在層」に関して)個人の個人情報について、「本人から直接取得」あるいは「本人の同意」を得て収集しておらず、また、それらの個人情報・個人データを事業者の判断で選別・加工して、その個人データを求人企業などに提供しているようです。

したがって、Githubなどネットで個人情報を収集してるネット系人材会社のLAPRASなどのビジネスモデルは、やはり、Githubの利用規約に違反してると共に、職安法5条の4や厚労省の通達平成11年第141号、2019年の厚労省通達職発0906第3号などに違反しているのではないかと思われます。

■参考文献
・菅野和夫『労働法 第12版』69頁、262頁
・小向太郎・石井夏生利『概説GDPR』93頁
・山本龍彦『AIと憲法』101頁

■関連する記事
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件-個人情報・公務の民間化
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた











このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ