なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人情報

CCC委託の混ぜるな危険の問題1
(CCCサイトより)

1.個人情報保護委員会が令和2年改正に対応した個人情報保護法ガイドラインQ&Aを公表
個人情報保護委員会(PPC)が、2021年9月10日に令和2年改正に対応した個人情報保護法ガイドラインQ&Aをサイトで公表しました。
・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(令和2年改正法関係)|個人情報保護委員会

今回公表された令和2年改正対応の個人情報保護法ガイドラインQ&Aをみると、QA7-38からQA7-43までの5つのQAが、個人情報の第三者提供の「委託」(法23条5項1号)に関するものであり、とくにいわゆる「委託の混ぜるな危険の問題」について詳しく解説を行っていることが注目されます。

このブログでは、以前、2021年1月15日にTポイントを運営するCCC カルチュア・コンビニエンス・クラブがT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行ったところ(T会員規約4条6項)、その明確化された「他社データと組み合わせた個人情報の利用」が、個人情報の第三者提供の委託の「混ぜるな危険の問題」に抵触する違法なものであることを取り上げました(法23条5項1号違反、改正前の個人情報保護法ガイドラインQ&A5-26-2の事例(2)違反)。
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」-なか2656のblog

今回の本ブログ記事では、9月10日にPPCが公表した令和2年法改正に対応した個人情報保護法ガイドラインQ&Aの個人情報の第三者提供の委託に関する解説をみて、CCCの1月15日のT会員規約4条6項の「他社データと組み合わせた個人情報の利用の明確化」がやはり「委託の混ぜるな危険の問題」に抵触し違法であることを確認してみてみたいと思います。

2.委託の「混ぜるな危険の問題」
(1)個人情報保護法の本人の同意の必要な第三者提供の例外としての「委託」
1970年代以降のコンピュータやAIなどの発達により、個人情報・個人データが本人の同意なしに無制限にある事業者から第三者へ提供された場合、本人に関する他の種類のさまざまな個人データとの突合・結合・加工が容易に行われ、第三者提供後に当該個人データがどのように利用され、流通するかなどが不明の状態におかれ、個人データの主体である本人のプライバシーが侵害されるおそれや、本人がそれらの個人データで勝手にプロファイリング(=コンピュータ・AIによる個人データの自動処理により法的決定や重要な決定が行われること)されるおそれなど、本人に不測の権利利益の侵害や個人の尊重や基本的人権の侵害が行われる危険が増大しています。

そこで個人情報保護法は、事業者が保有する個人データを第三者提供することを特に注意すべき行為と位置づけ、本人が自らの個人データの流通をコントロールすることができるように、個人データの第三者提供には原則として本人の同意が必要であるとする規制を設けています(個人情報保護法23条1項、岡村久道『個人情報保護法 第3版』241頁)。

一方、近年は企業などの業務の外部委託(アウトソーシング)が普及しており、例えばある企業におけるPCへの紙データの入力作業などの情報処理関係の業務を外部の事業者に委託する場面が増えています。このような「委託」については、個人データの提供先の事業者は提供元の事業者とは別の主体として形式的には第三者に該当するものの、委託のたびに本人の同意を取得することは煩雑であるなど、委託先の事業者を個人データの主体の本人との関係において委託元の事業者と一体のものとして取り扱うことに合理性があるため、第三者提供における「第三者」に該当しないものと個人情報保護法はしています。

そのため、個人情報保護法は、事業者が「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴って当該個人データが提供される場合」、つまり「委託」の場合には第三者提供に該当しないので本人の同意やオプトアウト手続きは不要であるとしています(法23条5項1号、岡村・前掲262頁)。

(2)委託の混ぜるな危険の問題
しかし、「委託」とは上のように委託元の「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託すること」であるため、「委託された業務以外に当該個人データを取扱う」ことは「委託」に該当せず、これを本人の同意やオプトアウト手続きなしに行うことは原則に戻って本人の同意のない第三者提供として違法となります(法23条1項)。またこれは本人の同意のない個人データの目的外利用としても違法であり(法16条)、さらに委託元の事業者は個人データの安全管理措置に関する委託先の監督の義務違反にもなります(法22条)。

この違法となる「委託された業務以外に当該個人データを取扱うこと」の具体例として、個人情報保護法ガイドラインQ&A7-37の事例2(=旧ガイドラインQ&AQ&A5-26-2の事例(2))は、「複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合」をあげていますが、これがデータセンターなどにおける、いわゆる「委託の混ぜるな危険の問題」と呼ばれる事例です。

この「委託の混ぜるな危険の問題」が違法となるのは、そもそも個人情報保護法における個人データの「委託」とは、契約の種類・形態を問わず、委託元の個人情報取扱事業者が自らの個人データの取扱の業務を委託先に行わせることであるから、委託元が自らやろうと思えばできるはずのことを委託先に依頼することであり、したがって、委託元は自らが持っている個人データを委託先に渡すなどのことはできても、委託先が委託の前にすでに保有していた個人データや、委託先が他の委託元から受け取った個人データと本人ごとに突合させることはできないからであると解されています。そしてこれは、突合の結果、作成されるのが匿名加工情報等であっても同様であるとされています(田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁)。

3.CCCのT会員規約の改正による「他社データと組み合わせた個人情報の利用の明確化」
この点、2021年1月15日付でTポイントを運営するCCC カルチュア・コンビニエンス・クラブはT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行いました(T会員規約4条6項)。

T会員規約4条
6.他社データと組み合わせた個人情報の利用
当社は、提携先を含む他社から、他社が保有するデータ(以下「他社データ」といいます)を、他社が当該規約等で定める利用目的の範囲内でお預かりした上で、本条第2項で定める会員の個人情報の一部と組み合わせるために一時的に提供を受け、本条第 3 項で定める利用目的の範囲内で、統計情報等の個人に関する情報に該当しない情報に加工する利用および当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供(以下あわせて「本件利用」といいます)を行う場合があります。 なお、当社は、本件利用のための他社データを明確に特定して分別管理し、本件利用後に他社データを破棄するものとし、本件利用のための、前述、当該他社から当社への一時的な提供を除いては、それぞれの利用目的を超えて利用することも、当該他社その他第三者に対して会員の個人情報の一部または全部を提供することもありません。

CCC会員規約4条6項
(CCCサイトより)
・T会員規約等、各種規約の改訂について|CCC
・T会員規約 新旧比較表|CCC

つまり、CCCが2021年1月に規約改正を行って新設した、T会員規約4条6項は、①後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」と、②前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」の2つを行うことを明確化する内容となっています。

4.CCCのT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」(旅行代理店Bの事例)について
(1)CCCのT利用規約4条6項後段・「旅行代理店Bの事例」
このT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」について、CCCのプレスリリースはつぎのような具体例と図で説明しています。

CCC旅行代理店の事例
(CCCのプレスリリースより)

このT会員規約4条6項後段「旅行代理店Bの事例」は、旅行代理店Bが、「まだハワイに旅行していない人にハワイ旅行を販売促進したい」という意図で、旅行代理店Bが、「自社の保有するハワイに旅行したことのある人の顧客リスト」(B社の他社データ)をCCCに預け(委託、個人情報保護法23条5項1号)、CCCは「B社の他社データである顧客リストと、CCCの保有するT会員の個人データを突合し、「旅行代理店Bを利用してハワイ旅行をした人の趣味・嗜好・社会的属性などの特徴を分析」し、「ハワイ旅行に興味がありそうな人」を把握し、T会員の個人データの個人から、旅行代理店Bの顧客リストのハワイ旅行に行ったことのある人を除外し、その除外されたハワイ旅行に興味がありそうなT会員の個人(見込み客)に対して、ダイレクトメールなどでハワイ旅行の販売促進を行うという内容になっています。

(2)個人情報保護法ガイドラインQ&A7-41
しかしこの点、令和3年9月追加として、個人情報保護委員会が9月10日に公開した、令和2年改正法関係の個人情報保護法ガイドラインQ&A7-41はこのような「委託の混ぜるな危険の問題」について、つぎのように解説しています。

Q7-41 委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか。

A7-41 個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1)既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること

事例2)既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること

これらの取扱いをする場合には、①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。(令和3年9月追加)

PPC個人情報ガイドラインQA7-41
(個人情報保護委員会サイトより)
・個人情報保護法ガイドラインQ&A(令和2年改正法関係)|個人情報保護委員会

つまり、個人情報保護法ガイドラインQ&A7-41が解説するとおり、CCCなど共通ポイント制度により複数の委託元の企業から個人データの管理などの委託を受けている事業者や、複数の委託元から個人データの管理などの委託を受けているデータセンターなど、独自に収集した個人データを保有している事業者は、「個人データの取扱いの委託(法第23条第5項第1号)において、委託先(=CCCなど)は、委託に伴って委託元(=旅行代理店Bなど)から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはでき」ないのです。

そして、同Q&A7-41の事例2は、「委託」として行うことができない具体例として、「既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること」と、CCCのT会員規約4条6項後段の旅行代理店Bのそっくりそのままの事例をあげています。

したがって、このCCCの旅行代理店Bの事例、つまりT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」は個人データの「委託」として行うことは違法であり、許されないことになります(法23条5項1号・法23条1項・法22条・法16条の違反)。

そのため、CCCや旅行代理店Bは、この違法状態を回避するためには、個人情報保護法ガイドラインQ&A7-41が解説するとおり、「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要」があることになります。

(3)CCCマーケティングの「ハワイ州観光局」の事例
この点、CCCカルチュア・コンビニエンス・クラブ株式会社の子会社であるCCCマーケティング株式会社のサイトの「事例」をみると、CCCマーケティングがデータビジネスとして実施した「ハワイ州観光局」の事例が掲載されています。
・事例 ハワイ州観光局 CCCグループアセットの結集が実現する「五感に訴える観光地マーケティング」|CCCマーケティング

CCCマーケティングハワイ州観光局
(CCCマーケティング社サイトより)

このハワイ州観光局の事例は、上のT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」つまり「旅行代理店B」の事例と非常によく似ており、CCCはこの事例を念頭にT会員規約4条6号後段を新設したのであろうと思われます。

このCCCマーケティングのハワイ州観光局の事例の解説を読むと、「ハワイ州観光局では、ハワイ諸島のひとつであるハワイ島の渡航者数増加のために、2019年11月~12月にかけ、CCCマーケティングをパートナーとしてキャンペーンを実施した」とあります。

同サイトの解説によると、ハワイ州観光局の担当者は、「今回の施策では、リーチするべきターゲットを『海外旅行には行くが、ハワイには行ったことがない』、『ハワイには行ったことがあるが、ハワイ島には行ったことがない』というお客さまと設定したのですが、課題となったのが、アプローチするべきターゲットの顧客データでした」。「私たちでも、CRMや会員制公式ポータルサイト『allhawaii(オールハワイ)』、さらにソーシャルメディアなどで保有しているデータは、数十万件あります。ただ、その多くは、すでにハワイのファンとなっている顧客のデータであり、今回のキャンペーンのターゲットとは異なります。

そのため、ハワイ州観光局は、同局が保有する「すでにハワイのファンとなっている顧客のデータ」などの数十万件の個人データをCCCマーケティングに委託し、CCCはその他社データをCCCの保有するT会員の個人データと突合し分析を行い、ハワイ旅行に行きそうな見込み客の趣味・嗜好・社会的属性などの特徴を分析し、その特徴に合致する個人データを持つT会員から、すでにハワイ旅行に行ったことのあるT会員の個人データを除外し、残りの見込み客のT会員に対してDMを送信したり、蔦屋書店でハワイ旅行のキャンペーンを実施するなどの販売促進を、ハワイ州観光局とともに実施したようです。

このCCCマーケティングのハワイ州観光局の事例は、上でみた個人情報保護法ガイドラインQ&A7-41の事例2に該当するので、これをCCCが「委託」のスキームで行った場合は、それはガイドラインQ&A7-41などが施行となる2022年4月以降は完全に違法となります。

CCCおよびハワイ州観光局は違法状態を回避するためには、同ガイドラインQ&A7-41が解説するように「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要」があることになります。

5.CCCのT利用規約4条6項前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」(健康飲料メーカーAの事例)について
(1)健康飲料メーカーAの自社の顧客の趣味・嗜好や社会的属性などを分析するための委託
T利用規約4条6項前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」(健康飲料メーカーAの事例)について、CCCのプレスリリースはつぎのような具体例と図で説明しています。
CCC健康飲料メーカーの事例
(CCCのプレスリリースより)

つまり、「自社の青汁を飲んでくれている顧客はどんな人々なのだろう?」と顧客の趣味嗜好や社会的属性などを知りたい健康飲料メーカーAが、自社の青汁を飲んでくれる顧客の個人データ(他社データ)をCCCに委託し、CCCはCCCの保有するT会員の個人データと健康飲料メーカーAの他社データを突合し、A社の青汁を飲んでいるT会員の個人データを分析し、その趣味・嗜好や社会的属性などを割り出し、それを統計データなどにした上でA社に戻し、A社は自社商品のマーケティングなどに当該データを利用すると説明されています。

(2)個人情報保護法ガイドラインQ&A7-42
しかしこの点、令和3年9月追加として、個人情報保護委員会が9月10日に公開した、令和2年改正法関係の個人情報保護法ガイドラインQ&A7-42はこのような「委託の混ぜるな危険の問題」について、つぎのように解説しています。

Q7-42 委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合し、新たな項目を付加して又は内容を修正して委託元に戻すことはできますか。

A7-42 個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1) (略)
事例2) 顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと

これらの取扱いをする場合には、委託先において本人の同意を取得する等、付加・修正する情報を委託元に適法に提供するための対応を行う必要があります。(後略)(令和3年9月追加)

PPC個人情報QA7-42の1
PPC個人情報QA7-42の2
(個人情報保護委員会サイトより)

このように、個人情報保護法ガイドラインQ&A7-42は、「個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。」としています。

そしてその具体例として、事例2は、「顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと」をあげています。

したがって、CCCのT会員規約6条の4前段の「「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」つまり健康飲料メーカーAの事例も、健康飲料メーカーAが自社の顧客情報をCCCに委託に伴い提供し、CCCが自社の保有するT会員の個人データと突合し、CCCにおいてA社の青汁の顧客の趣味・嗜好や社会的属性などを分析し、それらの新たな項目を付加したデータをA社に戻しているので、個人情報保護法ガイドラインQ&A7-42の事例2と同様のことを行っているので、この健康飲料メーカーAの事例も個人情報の委託として違法です(法23条5項1号・法23条1項・法22条・法16条の違反)。

そのため、この健康飲料メーカーAの事例も、CCCおよび健康飲料メーカーAが違法状態を回避するためには、CCCにおいて本人の同意を取得することなどが必要となります。

(3)CCCマーケティングの「タケシダ醤油」の事例
この点、CCCマーケティング株式会社のサイトの「事例」をみると、CCCマーケティングがデータビジネスとして実施した「タケシゲ醤油」の事例が掲載されています。

CCCマーケティングタケシゲ醤油
(CCCマーケティング社サイトより)
・事例 タケシゲ醤油 購買データの分析でヒット商品のさらなる価値向上を実現|CCCマーケティング

CCCマーケティング社サイトの解説によると、タケシゲ醤油はもともと食品会社など法人向けに製造販売していた「博多ニワカそうす」という調味料を一般消費者向けにも販売を行ったところ売上が好調であったため、「博多ニワカそうす」を購入する一般消費者の趣味嗜好や社会的属性などを分析してマーケティングを行いたいと、CCCに委託を行い、CCCは自社のT会員の個人データで「博多ニワカそうす」の顧客の個人データの突合を行い、同商品の顧客の趣味嗜好や社会的属性、人物像などを分析し、CCCはその分析データをタケシゲ醤油に戻し、そのデータをもとにタケシゲ醤油は「博多ニワカそうす」のレシピ本を作成するなどして、さらに同商品の売り上げの増加を行ったとされています。

博多ニワカそうすの顧客の人物像
(CCCマーケティング社サイトより)

しかしこのタケシゲ醤油の事例も、タケシゲ醤油の「博多ニワカそうす」の顧客の個人データをCCCに委託に伴い提供し、CCCが自社の保有するT会員の個人データと突合し、CCCにおいて「博多ニワカそうす」の顧客の趣味・嗜好や社会的属性、モデルとなる人物像などを分析し、それらの新たな項目を付加したデータをタケシゲ醤油に戻しているので、個人情報保護法ガイドラインQ&A7-42の事例2と同様のことを行っているので、このタケシゲ醤油の事例も個人情報の委託として違法であると思われます(法23条5項1号・法23条1項・法22条・法16条の違反)。

(4)CCCマーケティングの「チューリッヒ保険」の事例
また、CCCマーケティングのサイトの「事例」をみると、通販型の傷害保険などの損害保険会社のチューリッヒ保険の事例も掲載されています。
・事例 チューリッヒ保険 ユニークデータと徹底分析で実現する長期・安定的な顧客獲得|CCCマーケティング

CCCマーケティングチューリッヒ保険
(CCCマーケティング社サイトより)

このチューリッヒ保険の事例は、サイトの解説によると、チューリッヒ保険がもつ優良な見込み客のセグメント(集団)などの情報・データの改善のための分析をCCCに委託し、CCCはその見込み客のセグメントのデータをCCCのT会員の個人データで分析・加工し、CCCはよりよい見込み客のセグメントのデータを作成し、チューリッヒ保険に戻しているようです。このチューリッヒ保険の事例も、もしその過程でチューリッヒ保険が保有する既存顧客の個人データをCCCに委託などしてCCCがT会員の個人データと突合などをしていた場合は、個人情報保護法ガイドラインQ&A7-42などに抵触する違法な「委託」スキームの利用である可能性があります。

6.まとめ
本年1月15日にCCCカルチュア・コンビニエンス・クラブがT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行ったところ(T会員規約4条6項)、その明確化された「他社データと組み合わせた個人情報の利用」が、個人情報の委託の「混ぜるな危険の問題」に抵触する違法(法23条5項1号違反、改正前の個人情報保護法ガイドラインQ&A5-26-2の事例(2)違反)なものであることは、本ブログで取り上げただけでなく、ネット上でも大きな社会的注目を受けました。

・CCCがT会員規約等を改訂→改訂後規約が想定する事例の違法性及び問題点が指摘される。|togetter

そして本年9月10日に個人情報保護委員会が公表した、令和2年法改正対応の個人情報保護法ガイドラインQ&A7-41、7-42など追加された個人情報の「委託」に関する解説は、上でみたように、CCCのT会員規約6条4項の「他社データと組み合わせた個人情報の利用」が個人情報の「委託」スキームとしてやはり違法であることを明確に示しています。

今回公表された、令和2年法改正対応の個人情報保護法ガイドラインQ&Aは2022年4月から施行予定であるそうなので、CCCやCCCと個人データのやり取りを行っている事業会社などは、それまでに自社のデータビジネスが個人情報保護法などの法令に抵触していないか、今一度再検討が必要であると思われます。

また、今回公表された、令和2年法改正対応の個人情報保護法ガイドラインQ&Aの「委託」に関する解説は、ネットやSNSにおける行動ターゲティング広告やDMP(Data Management Platform)などの事業に与える影響も大きいと思われます。これらの業務を行う企業の実務担当者の方々も、自社のビジネスモデルが個人情報保護法など法令に抵触していないか、今一度再検討が必要であると思われます。

■関連する記事
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・河野太郎大臣がTwitterで批判的なユーザーをブロックすることをトランプ氏の裁判例や憲法から考えたー表現の自由・全国民の代表(追記あり)
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権

■参考文献
・岡村久道『個人情報保護法 第3版』241頁、262頁
・田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁
・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(令和2年改正法関係)|個人情報保護委員会





















このエントリーをはてなブックマークに追加 mixiチェック

デジタル庁トップページ
1.デジタル庁のウェブサイト
9月1日から正式に発足したデジタル庁は、サイト作成や運用にSTUDIO株式会社というベンチャー企業の「コード不要」というSTUDIOというサービスを利用して同庁サイトの作成や運用を行っていますが、STUDIO社のプライバシーポリシーは個人情報保護法違反の部分があり、また同社の利用規約は「当社システムは高度な安全性はない」と明示しています。つまり、デジタル庁(および内閣IT戦略室)は厚労省のCOCOAの件などと同様に、委託先の選定等の安全確保措置を十分に実施していない行政機関個人情報保護法6条違反の可能性があります。

2.STUDIO社の利用規約
ITmediaニュースなどの報道によると、デジタル庁のサイトは、ベンチャー企業のSTUDIO株式会社のSTUDIOという「コード不要」なシステムで作成されているようです。同社サイトをみると、主に個人事業主や中小企業向けのサービスのようですが。「コード不要」とは、いかにも新しいものがお好きな平井大臣が好みそうなサービスですが、共同入札などの正式な手続きは経ているのでしょうか?
・デジタル庁発足 公式サイトにITエンジニアから反応続々「シンプル」「重い」「ロゴが丁寧」「苦労が見える」|ITmediaニュース

この点、ある方の9月1日のツイッターの投稿によると、デジタル庁のサイトの利用者のログやブラウザ情報、端末データなどの個人データはやはりSTUDIO社のサーバーに送信されているようであり、STUDIO社がデジタル庁サイトの運営を委託されていることは間違いないようです。

デジタル庁のサイトのサーバー

また、サイトを作成さえすればドメイン、サーバなどはS社が一括管理と説明されていますが、中央官庁サイトの安全管理措置などには十分対応できるのでしょうか。

スタジオ社
(STUDIO社サイトより)
https://studio.inc/

そこでSTUDIO社の利用規約をみると、IT企業の利用規約のよくあるパターンで、利用規約9条(保障・免責)の各号では「本サービスの利用による保障はしないし、責任も負わない」旨を明示しています。
・利用規約・プライバシーポリシー・特定商取引法上の表記|STUDIO

スタジオ1

とくに利用規約9条4項は、STUDIOのサービス・システムは「本サービスは高度の安全性が要求され…重大な損害が発生する用途には設計しておりません」と明示しています。中央官庁であるデジタル庁のサイトは、「高度な安全性」が必要だと思うのですが、これはまずいのではないでしょうか?
スタジオ社利用規約9条4項

この点、デジタル庁などの行政機関に適用される行政機関個人情報保護法6条は行政機関とその委託先に個人データの滅失・毀損・漏洩などが発生しないように安全確保措置を講じることを要求しています。

行政機関個人情報保護法6条
これを受けて、総務省総管情第84 号・平成 16 年9月14 日通知「行政機関の保有する個人情報の適切な管理のための措置に関する指針について(通知)」「第8 保有個人情報の提供及び業務の委託等」4項は、行政機関が委託を行う際は、委託先が安全確保の能力があることを事前に確認し、年1回以上の立入検査の実施、個人データの利用の制限や障害対応、秘密保持条項、障害対応、損害賠償、再委託の制限などを明記した契約書を締結しなければならない等と規定しています(岡村久道『個人情報保護法 第3版』430頁)。

総務省安全確保指針
・「行政機関の保有する個人情報の適切な管理のための措置に関する指針」及び「独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針」の改正|総務省

にもかかわらず、利用規約において「当社のサービスは高度の安全性が要求される用途のためには設計されていない」と明記しているSTUDIO社にサービスやシステムの運用を委託しているということは、デジタル庁およびその前身の内閣IT戦略室は、個人データを取り扱う情報システムの委託について、委託先が安全確保の能力があることを事前に確認するなどの安全確保措置を十分に講じておらず、行政機関個人情報保護法6条および総務省「「行政機関の保有する個人情報の適切な管理のための措置に関する指針」第8第4項などに違反しているのではないでしょうか?

この点に関しては、コロナの接触確認アプリCOCOAのシステム開発の委託においても厚労省や内閣IT戦略室が杜撰な委託を行っていたことが発覚したばかりであり、また、今年春にはLINE社のLINEが個人情報や通信の秘密の杜撰な安全管理を行っており、かつLINE社が国・自治体に対して繰り返し「LINEの日本の個人データは日本のサーバーに保存されている」等と虚偽の説明を行い、国・自治体がこの説明を鵜呑みにして立入検査・実地検査などをしてLINE社が安全管理措置を本当に講じているかどうか確認を行わず、安全確保措置を講じていないという行政機関個人情報保護法6条などの違反などを行っていたことが発覚したばかりなのにです。

デジタル庁や内閣IT戦略室などは、高度な法令順守・コンプライアンスが要求される国の機関であるにもかかわらず、このような度重なる行政機関個人情報保護法6条の違反を漫然と繰り返していることは、「法の支配」や法治主義、「法律による行政の原則」、「法律による行政の民主的コントロールの原則」(憲法41条、65条、76条)の観点から非常に問題なのではないでしょうか。国・行政がコンプライアンス意識を無くし、憲法や法律を無視するようになっては、国民から選挙で選ばれた国会の法律で行政を民主的にコントロールしようという議会制民主主義が破綻してしまいます。

総務省や個人情報保護委員会などは、デジタル庁や内閣IT戦略室などに対して法律を守れと指導・勧告等を実施すべきではないでしょうか。

3.STUDIO社のプライバシーポリシー
なお、STUDIO社のプライバシーポリシーについても簡単にみてみると、利用者のcookieや端末情報、操作ログなどの個人データを収集・利用するとあるのはある意味当然ですが、STUDIO社はプライバシーポリシー6条で、それらの個人データの共同利用(個人情報保護法23条5項3号)を行うとしているのに、共同利用を行う者の範囲、利用される個人データの項目、共同利用の利用目的などが同社サイトにどこにも明示されてないのは個人情報保護法23条5項3号違反です(岡村久道『個人情報保護法 第3版』264頁)。

スタジオプライバシーポリシー共同利用

また、STUDIO社のプライバシーポリシー9条は、開示・削除・利用停止等の請求の手続や手数料などについては「当社が別途定める所定の方式により」としていますが、肝心のこの別記がサイト上にどこにも掲載されてないのは、個人情報保護法27条1項3号違反です(岡村・前掲295頁)。個人情報保護委員会はSTUDIO社やデジタル庁などに対して指導・勧告などを実施すべきではないでしょうか(法40条、41条、42条)。

このようにSTUDIO社は、プライバシーポリシーについても個人情報保護法違反が複数存在します。同社にサイトの作成や運用を委託したデジタル庁・内閣IT戦略室が委託先の選定などの安全確保措置に関していかに杜撰であるかがここにも見受けられます。

デジタル庁は日本の国・自治体のデジタル行政を所管する官庁のはずなのに、行政機関個人情報保護法や個人情報保護法などの法律の素人しか存在しないのでしょうか?それ以前に国の官庁なのに法令を遵守して業務を行おうというコンプライアンス意識が非常に低いように見受けられるのは非常に心配です。

個人情報保護法は「個人情報の有用性に配慮しつつ、個人の権利利益を保護」(法1条)とし、また「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべき」(法3条)との立法目的・趣旨を明記しています。

国・自治体のデジタル化は重要です。しかし、国民の個人の尊重と基本的人権の確立(憲法13条)と、「個人の権利利益を保護」、「個人の人格尊重の理念」(個人情報保護法1条、3条)、つまり国民の人権保障という憲法や個人情報保護法の基本理念を大原則として、デジタル庁はコンプライアンス意識を持ってデジタル行政を企画立案、実施していただきたいと思います。

デジタル庁は民間のITスタートアップ企業ではなく、国の行政官庁であり、その大臣や職員は公務の中立性・公平性とともに法令順守が要求され(国家公務員法96条1項、98条1項、憲法15条2項)、憲法尊重擁護義務(憲法99条)を負うのですから。

■追記(9月4日)
9月3日のマスメディア各社の報道によると、デジタル庁デジタル監の石倉洋子氏が、画像素材サイト「PIXTA」の複数の画像を、同サイトから購入せずに自身のウェブサイトに勝手に掲載していたとのことです。同サイトからの申し出に対して石倉氏はこの事実を認め、自身のサイトを閉鎖したとのことです。これにはさすがに呆れてしまいました。

1630756714318
(石倉洋子氏のTwitterより)

石倉氏は経営学者であり、ITや情報法などの専門家ではないが、2000年代からTwitterやFacebookなどを利用しておりITリテラシーの高い人物である」と、石倉氏を高く評価する投稿が9月になってからTwitter上で多く見られたところですが、画像素材サイトの画像を購入せずに勝手にパクって自分のサイトに掲載するとは、石倉氏の「ITリテラシー」は最低です。

デジタル庁は国・自治体のデジタル政策を担う官庁であり、その業務のためには、ITの知識やノウハウだけでなく、著作権法などの知的財産権法や個人情報保護法制や憲法、行政法、独禁法や消費者法などの法律知識は必須のはずですが、事務方トップの石倉氏はこのような素人レベルな法律知識で、デジタル庁の役職員の業務に違法・不当がないか監督できるのでしょうか? 多いに疑問です。

平井大臣の特定企業との癒着の問題や、NECを「徹底的に干せ」「脅せ」などとヤクザのような暴言を吐いていた問題や、アメリカの性犯罪者の富豪から多額の寄付金を受けていた伊藤譲一氏のデジタル監の人事の問題など、デジタル庁や菅政権はとにかく憲法や法律・モラルを遵守しようというコンプライアンス意識が致命的に欠落しています。

デジタル庁は、デジタル行政の業務を始める前に、まずは大臣やデジタル監をはじめとする全役職員が、憲法や国家公務員法、国家公務員倫理法や、個人情報保護法、知的財産権法、独占禁止法などの法令の基礎に関する全庁的なコンプライアンス研修を実施すべきではないでしょうか。

このままでは、デジタル庁は、役職員が「法令を守っていては日本は潰れる」などと嘯いて官民のデジタル利権を牛耳って、中抜きで私腹を肥やす経済マフィアのような組織になっていまいます。

■関連する記事
・デジタル庁の事務方トップに伊藤穣一氏との人事を考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・西村大臣の酒類販売事業者や金融機関に酒類提供を続ける飲食店との取引停止を求める方針を憲法・法律的に考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関する有識者委員会の第一次報告書をZホールディンクスが公表
・新型コロナの接触確認(感染追跡)アプリ(COCOA)の内閣府の仕様書を読んでみた
・コロナ禍の緊急事態宣言で国民の私権制限をできないのは憲法に緊急事態条項がないからとの主張を考えた

■参考文献
・岡村久道『個人情報保護法 第3版』264頁、295頁、430頁
・宇賀克也『個人情報保護法の逐条解説 第6版』179頁、432頁



















このエントリーをはてなブックマークに追加 mixiチェック

面接
1.朝日新聞の「ウェブ面接で「部屋着見せて」 就活セクハラ、対策は」
2021年8月22日付の朝日新聞の「ウェブ面接で「部屋着見せて」 就活セクハラ、対策は」という記事がネット上で注目されています。
・ウェブ面接で「部屋着見せて」就活セクハラ、対策は|朝日新聞

この記事によると、コロナ禍における就活のウェブ面接において、採用選考を行う企業の人事部やリクルーターなどが、就活生に対して「部屋着を見せて」「部屋の様子も見せて」などとセクハラ・パワハラ的な要求を行う事例が発生しているとのことです。

またツイッター上では、この問題に関連して、ウェブ面接において本棚の本などに関して企業の面接担当より「そのような本は当社にあなたが入社した際に何の役にたつの?」などと、採用選考と関係のない嫌がらせのような質問をされたなどの事例も投稿されています。

このような企業の人事部やリクルーターなどのウェブ面接での行為は、セクハラ・パワハラに該当するおそれがあり、また企業による就活生・求職者などに対するプライバシー権侵害として不法行為による損害賠償責任を企業が負う可能性もあります(民法709条、憲法13条)。

2.職業安定法5条の4・労働省告示平成11年第141号が禁止する個人情報の収集
昔の最高裁の判決には、求人を行う企業側が求職者等の思想・信条に関する情報を収集することは違法ではないとする判決も存在します(最高裁昭和48年12月12日判決・三菱樹脂事件)。しかしこの判決は当時においても社会的批判を受け、就活生や求職者の採用選考に関する職業安定法は立法により求人を行う企業などの情報収集に法規制を設けています。

つまり、職業安定法5条の4(求職者等の個人情報の保護)は、求人を行う企業、人材紹介会社、ハローワークなどは、就活生・求職者等の個人情報に関して、「個人情報を収集し、保管し、又は使用するに当たつては、その業務の目的の達成に必要な範囲内で求職者等の個人情報を収集し、並びに当該収集の目的の範囲内でこれを保管し、及び使用しなければならない。」と規定しています。

つまり、求人を行う企業や人材紹介会社などは、就活生・求職者などから無制限に個人情報を収集することは許されず、当該求人を行う企業の「業務の目的の達成に必要な範囲内」でのみ求職者等の個人情報を収集し保存・利用することが許されています。

そして求人を行う企業や人材紹介会社などは、個人情報保護法15条に基づき、就活生などから個人情報を収集する際の個人情報の利用目的を特定し、同法18条に基づきその利用目的などをあらかじめ就活生などに対して通知・公表しなければなりません。

また、この職業安定法5条の4に関連して厚労省は、労働省告示平成11年第141号(以下「労働省告示」という)という通達を出しています。
・職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が均等待遇、労働条件等の明示、求職者等の個人情報の取扱い、職業紹介事業者の責務、募集内容の的確な表示等に関して適切に対処するための指針(平成11年労働省告示第141号)|厚労省

この労働省告示は「第4 法第5条の4に関する事項(求職者等の個人情報の取扱い)」において、つぎのように、①人種、民族、社会的身分、門地、本籍、出身地その他社会的差別の原因のおそれのある事実②思想および信条③労働組合への加入状況などの個人情報の収集を禁止しています。

そして厚労省の「公正な採用選考の基本」は、求職者等の個人情報の収集に関して「(3)採用選考時に配慮すべき事項」においてさらに詳しい説明を行っています。
・公正な採用選考の基本|厚労省

厚労省「公正な採用選考の基本」
(3)採用選考時に配慮すべき事項
次のaやbのような適性と能力に関係がない事項を応募用紙等に記載させたり面接で尋ねて把握することや、cを実施することは、就職差別につながるおそれがあります。

<a.本人に責任のない事項の把握>
本籍・出生地に関すること (注:「戸籍謄(抄)本」や本籍が記載された「住民票(写し)」を提出させることはこれに該当します)
家族に関すること(職業、続柄、健康、病歴、地位、学歴、収入、資産など)(注:家族の仕事の有無・職種・勤務先などや家族構成はこれに該当します)
住宅状況に関すること(間取り、部屋数、住宅の種類、近郊の施設など
生活環境・家庭環境などに関すること

<b.本来自由であるべき事項(思想信条にかかわること)の把握>
宗教に関すること
支持政党に関すること
人生観、生活信条に関すること
尊敬する人物に関すること
思想に関すること
労働組合に関する情報(加入状況や活動歴など)、学生運動など社会運動に関すること
購読新聞・雑誌・愛読書などに関すること

<c.採用選考の方法>
身元調査などの実施 (注:「現住所の略図」は生活環境などを把握したり身元調査につながる可能性があります)
・合理的・客観的に必要性が認められない採用選考時の健康診断の実施


したがって、朝日の記事にあった、「部屋着を見せて」などの企業側の要求は、この「採用選考の基本」が禁止する「生活環境・家庭環境に関する情報の収集」に抵触する違法な要求と思われますし、「部屋のなかをよくみせて」などの要求も「住宅状況に関する情報の収集」や「生活信条に関すること」などの規定に抵触する違法なものと思われます。また、冒頭であげた、部屋のなかの本・雑誌・CDなどに関する企業側の質問なども、「採用選考の基本」が禁止する「購読新聞・雑誌・愛読書など」、「人生観、生活信条」、「思想」、「尊敬する人物」などに関する情報収集に該当し違法です。

さらに労働省告示は、求人を行う企業や人材紹介会社などは、就活生・求職者から個人情報を収集する場合には、本人から直接収集するか、または本人の同意の下で本人以外の者から収集しなければならないなど、個人情報の収集の方法も適切かつ公平な手段で行われなければならないと規定しています。(そのため、GithubやSNSなどネット上の個人情報を勝手に収集して人材紹介ビジネスを行っている、HackerBase JobsやLAPRASなどのネット系・AI系人材紹介会社のビジネスモデルはこの点に抵触し違法であると思われます。)

なお、労働省告示は、上であげた個人情報の収集の制限に関して、「ただし、特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合はこの限りでない」とのただし書きを置いています。しかし労働法の実務書は、一般企業においてこのただし書きが適用される場合は少ないとしています(大矢息生・岩出誠・外井浩志『会社と社員の法律相談』53頁)。

加えて、求人を行う企業や人材紹介会社などは、収集した個人情報については滅失・毀損・漏えいなどが発生しないように安全管理措置を講じることが要求されます。加えて求人を行う企業や人材紹介会社などが就活生等の秘密に係る個人情報を知った場合はこれを厳重に管理しなければならないと規定されています。(そのため、2019年の就活生の内定辞退予測データの授受を行っていたリクナビ事件の、リクルートキャリアやトヨタなどはこの点にも違反しています。)

3.職業安定法5条の4・労働省告示平成11年第141号に違反があった場合
求人を行う企業や人材紹介会社等が、上でみたような職業安定法5条の4や労働省告示に違反があった場合、当該企業などは厚労省から改善命令を受ける場合があります(職業安定法48条の3)。また、当該企業が改善命令に違反した場合は、6か月以下の懲役または30万円以下の罰金の罰則を科せられる場合があり、これは両罰規定となっています(法65条7号、法67条)。

さらに、求人を行う企業や人材紹介会社などから上のような行為を行われた就活生や求職者などは、ハローワークや都道府県労働局、労基署などを通じて厚生労働大臣に申告を行い、厚生労働大臣に必要な調査や措置を行わせることができます(法48条の4)。

加えて、このような企業などによる違法な個人情報の収集などが行われた場合は、当該企業は不法行為に基づく損害賠償責任を負う法的リスクがあります(東京地裁平成15年5月28日判決・東京都警察学校・警察病院HIV検査事件など)。

いずれにせよ、就活生や求職者に対して採用選考の場面で上のようなセクハラ・パワハラ的な行為、プライバシー侵害や違法な個人情報の収集などを行うような企業は、もし就活生などが採用されたとしても、職場でセクハラ・パワハラや労働法違反、法令違反などが横行しているブラック企業である可能性が高いのではないでしょうか。就活生や求職者の方々は、ウェブ面接などで上のような違法・不当な被害を受けた場合は、その企業への就職は辞退したほうがよいかもしれません。

■関連する記事
・人事は就活生のSNSを見ているのか?-就活と個人情報
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・Github利用規約や厚労省通達などからSNSなどをAI分析するネット系人材紹介会社を考えた
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

■参考文献
・菅野和夫『労働法 第12版』69頁
・浜辺陽一郎『労働法実務相談シリーズ10 個人情報・営業秘密・公益通報』98頁、100頁
・大矢息生・岩出誠・外井浩志『会社と社員の法律相談』53頁
・労務行政研究所『新・労働法実務相談 第2版』45頁
・公正な採用選考の基本|厚労省













このエントリーをはてなブックマークに追加 mixiチェック

健康医療戦略本部トップ画面
(政府の健康・医療戦略推進本部サイトより)

1.「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」から個人情報保護委員会へのパブコメ意見!?
このブログで少し前に、個人情報保護委員会(PPC)の、本年5月から6月にかけて実施された、令和2年改正の個人情報保護法ガイドラインのパブコメの結果について取り上げました。
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集の結果について|個人情報保護委員会・e-GOV

このブログ記事の最後にも追記したのですが、このこのパブコメ結果でひときわ異様なのは、法人・個人や各種団体などからの意見にまじって、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」からのパブコメ意見が大量に提出されていることです。PDFファイル上で検索するとなんと31件もあるようです。

しかも、他の個人・法人のほとんどが、PPCのパブコメ要綱を遵守して「意見」・「理由」を分けて丁寧な文言で意見や質問などを提出しているのに、この内閣府健康・医療戦略推進事務局の担当者は、意見・理由を分けずに、上から目線のあまり上品でないだらだらとした言葉使いで31件もの意見を提出しています。

さらにパブコメ結果を読んで驚くことは、この内閣府健康・医療戦略推進事務局の担当者は、個人情報保護法の法律の条文の文言上の理解すらまともにできておらず、おそらく個人情報の取扱を実務上も経験したことがないような、官僚というよりまるで大学の法学部1年生か何かのような素人質問をPPCに対して、まるで顧客が企業の無料ヘルプデスクに電話で質問するかのように、カジュアルに投げつけていることです。
内閣府5
ガイドライン(通則編)のパブコメ結果275。内閣府の担当者は法23条2項のオプトアウトによる第三者提供に関して「いちいち事業者が本人に対して通知を行わねばならないことは面倒である」という趣旨の意見を述べていますが、PPCも回答しているように、法23条2項は「通知または公表」と規定しており、事業者に「通知」を義務付けていません。)

内閣府1
ガイドライン(通則編)のパブコメ結果15。内閣府の担当者は、「6か月未満で消去する情報は個人情報でないのに、ガイドライン案が個人情報としているのは何故か?」との趣旨の質問をしていますが、これは令和2年の個人情報保護法の改正法の条文をまったく読まずに個情法ガイドラインのパブコメ意見を書いているとしか思えません。こんないいかげんな仕事ぶりでも内閣府の官僚は務まるのでしょうか?)

加えて一番驚くべきことは、この内閣府の担当者の質問の多くが、「現場の負担の軽減のために」などを理由に、ひたすらに個人情報取扱事業者サイドに立って、事業者側の義務の削減を要求する内容であることです。
内閣府4
ガイドライン(通則編)のパブコメ結果260個人情報漏洩が発生・発覚した場合の事業者の本人への通知(=漏洩の事実の報告や謝罪など)について、内閣府の担当者は、「現場の負担の軽減のため」として、事業者側に金銭的余裕がない場合などは、本人への通知をしなくてよいようにせよ等と驚くべき要求をしています。事業者が本人から個人情報を収集しておきならが漏洩事故を発生させたのに、「現場の負担の軽減のため」に、被害を受けた本人に漏洩した事実の報告や謝罪などをしなくてもよいようにせよとは、内閣府は国民を国・大企業のために個人情報を生成する家畜か何かだと思っているのでしょうか?

そもそも次世代医療基盤法とは、国民個人のカルテや処方箋、各種検査結果などのセンシティブな個人情報である医療データを国が一元的に収集し、当該医療データをIT企業(NTTデータ等)や製薬企業などに第三者提供し、AI分析などで研究開発等を行わせて、日本の経済発展の起爆剤にしようという内容の法律です。(なお、次世代医療基盤法は、センシティブ情報である患者の医療データの収集や第三者提供を行うものなのに、患者本人の同意は「黙示の同意」でよいとしているなど、さまざまな問題をはらんでいます。)

次世代医療基盤法の全体像2
(次世代医療基盤法の概要図、内閣府サイトより)

■関連する記事
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた

しかし、国民個人のセンシティブな個人情報である医療データを利活用する以上、個人情報の取扱に関しては厳格なスタンスが要求されるはずですが、その監督部署である内閣府健康・医療戦略推進事務局次世代医療基盤法担当の担当者が個人情報保護法の素人レベルで、かつ非常にIT企業や製薬会社などの事業者寄りの姿勢丸出しであることは、本当に大丈夫なのでしょうか?

このようないい加減な国の体制で、次世代医療基盤法などへの国民・患者の信頼は確保できるのでしょうか?大いに心配です。

2.内閣府が個人情報保護委員会のパブコメにカジュアルに意見を提出してよいのか?
また、そもそも内閣府がPPCのパブコメにカジュアルに意見を提出してよいのだろうか?とも疑問になります。

この点、国など行政機関のパブコメ制度(意見公募手続の制度)について規定する行政手続法39条1項は、規則案などに対して、広く一般の意見を求めなければならない」と規定しており、この「広く一般の意見」とは、「意見を提出できるのは、国民一般に限らず、外国人や外国政府なども含まれる」(櫻井敬子・橋本博之『行政法 第6版』209頁)とされており、法律上は内閣府などが意見を提出することも許されるようです。

しかし、首相直下の大きな権力を握る内閣府が大量に意見を提出することは、パブコメを行う官庁への不当な介入となってしまい、当該パブコメの公平性・中立性が阻害されるのではないでしょうか。それはひいては、国の個人情報保護行政や、デジタル行政などの公平性・中立性を害するのではないでしょうか。

3.法治主義・「法律による行政の原則」
現にこのパブコメ結果を見ると、内閣府の担当者は個人情報取扱事業者ばかりに有利になるような質問・意見を大量に寄せていますが、これは個人情報に関して、個人の権利利益・人権保障と利用する事業者とのバランスを取ろうとする個人情報保護法の趣旨・目的(法1条、3条)に反しているばかりでなく、事業者の利益だけでなく国民個人の権利利益や人権保障をも重視しなければならないという、内閣府などの国・行政・公務員の中立性・公平性(国家公務員法96条1項、憲法15条2項「公務員は全体の奉仕者であり一部の奉仕者ではない」)が損なわれている憲法・法令上、危険な状態なのではないでしょうか?

このように、この令和2年改正の個人情報保護法ガイドラインのパブコメ結果にあるような、内閣府健康・医療戦略推進事務局次世代医療基盤法担当の行動は、憲法や、国家公務員法などの行政法の趣旨を不当に軽視するものであり、法治主義や「法律による行政の原則」(憲法41条、65条など)などの観点から非常に危ういものであり、大いに疑問です。

7月上旬には新型コロナ対応に関連して、西村康稔経済担当大臣酒類販売事業者や金融機関などに対して特措法などの法令を逸脱した無茶苦茶な要請を行い、「法の支配」法治主義「法律による行政の原則」(憲法41条、65条など)などの近代民主主義国家の大原則を軽視するものだと大きな社会的批判を浴び、西村大臣ら政府は要請の撤回に追い込まれたばかりです。(また最近、菅首相らは、コロナ患者の入院制限の方針を公表しましたが、これも国民の生存権の保障や公衆衛生などを国の任務とする、憲法25条や厚労省設置法、特措法などに抵触する違法・不当なものであり、法治主義の原則に反すると思われます。)

同様に、内閣府の担当者達も、自分達は国家権力の中枢にいるのだから、憲法や法律はどうとでもできるといった、戦前の日本やドイツなどのような、国家主義・全体主義的な形式的法治主義・外見的法治主義の考えに陥ってしまっているのではないでしょうか。第二次世界大戦が招いた国内外の甚大な犠牲をみるように、政府の中枢がそのような状態に陥っていることは、国民や国家にとって非常に危険な状態です。

■追記(2021年8月27日)
本ブログ記事で取り上げた、個人情報保護委員会の令和2年個人情報保護法ガイドライン改正のパブコメへの「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」から大量のパブコメ意見が提出されている件については、8月27日午後に、私より内閣府健康・医療戦略推進事務局に電話で照会し、同事務局より、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当より個人情報保護委員会のパブコメに意見を提出したことは間違いない」との回答を得ています。

■関連する記事
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング
・「法の支配」と「法治主義」-ぱうぜ先生と池田信夫先生の論争(?)について考えた
・西村大臣の酒類販売事業者や金融機関に酒類提供を続ける飲食店との取引停止を求める方針を憲法・法律的に考えた
・コロナ対策のために患者の入院制限を行う菅内閣の新方針について考えた
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・2020年の個人情報保護法改正に関するガイドライン改正に関するパブコメについて意見を書いてみた-FLoC・プロファイリング・貸出履歴・推知情報・データによる人の選別
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権















このエントリーをはてなブックマークに追加 mixiチェック

政府は、デジタル庁事務方トップの「デジタル監」に実業家の伊藤穣一氏をすえる方針というニュースが大きな話題となっています。

伊藤穣一氏
(ANNニュースより)
・デジタル庁事務方トップに伊藤穰一氏 政府最終調整|ANNニュース

伊藤氏は、2019年に買春・未成年性的虐待で有罪判決を受けた米の富豪ジェフリー・エプスタイン氏などから8億円を超える寄付を受け取っていたことが発覚し、MITメディアラボ所長を辞任したばかりのいわくつきの人物です。
・人身売買容疑の大富豪との関係は…伊藤穰一氏がMITメディアラボの所長を辞任

公務員については、「すべての公務員は、全体の奉仕者であって、一部の奉仕者ではない」憲法15条2項に明記され、また「すべて職員は、国民全体の奉仕者として、公共の利益のために勤務し、且つ、職務の遂行に当っては、全力を挙げてこれに専念しなければならない。」国家公務員法96条1項に規定されるように、公務員や国・行政には、公平・中立性、公益性などが憲法や法律上、要求されます。

憲法
第15条2項
すべての公務員は、全体の奉仕者であって、一部の奉仕者ではない

国家公務員法
第96条1項
すべて職員は、国民全体の奉仕者として、公共の利益のために勤務し、且つ、職務の遂行に当っては、全力を挙げてこれに専念しなければならない。

それを受けて、国家公務員倫理法および人事院の国家公務員倫理程は、「利害関係者から金銭、物品又は不動産の贈与を受けること」、「利害関係者から供応接待を受けること」などを禁止しています(規程3条1号、6号、法6条)。

国家公務員倫理規程
(禁止行為)
第3条 職員は、次に掲げる行為を行ってはならない。
 利害関係者から金銭、物品又は不動産の贈与(せん別、祝儀、香典又は供花その他これらに類するものとしてされるものを含む。)を受けること。
 利害関係者から供応接待を受けること。

さらに、デジタル庁サイトをみると、「デジタル社会形成の10原則」として、「1.オープン・透明」「2.公平・倫理」などの大変立派な原則が掲げられています。

デジタル庁の10原則
デジタル庁サイトより)

このように、公務員国・自治体などの行政には、公平性・中立性・公益性高度な職業倫理が憲法や法令上要求されます。

この点、8億円を超える巨額の寄付を性犯罪などで悪名高い富豪から受け取り、アメリカのMITの要職を辞任したという不祥事の経歴のある伊藤氏は、公平性・中立性・公益性や高度な職業倫理が憲法や法令上要求される行政官庁であるデジタル庁の要職には、あまりにもふさわしくないのではないでしょうか。

また、デジタル庁の事務方トップに伊藤氏を据えようとしている、平井大臣菅首相ら政府与党の幹部達は、同様に憲法や法令が要求する公平性・中立性・公益性の意識や、公務を行うための高い職業倫理が欠落しているのではないでしょうか。

平井大臣はNECについて「徹底的に干せ」「脅しておけ」などと部下の官僚に発言していたことが発覚した問題や、東京大学工学系研究科の松尾豊教授の関連企業との癒着や脱税の問題などが報道され、最近、税務申告の修正を行うなど、疑惑の渦中にあります。

・平井デジタル相に資産公開法違反の疑い “五輪アプリ受注”の親密ITグループの株を不記載|文春オンライン

また、デジタル庁幹部の向井治紀室長代理も、NTTから違法な接待を何回も受けていたことが発覚したばかりです。

9月から発足するデジタル庁そのものも、民間IT企業から数百人規模の人材を職員として受け入れる等、特定の民間企業との癒着のおそれなど、中央官庁の公平性・中立性・透明性が大いに疑問視されています。

今年春に国会でデジタル関連法とセットで成立した、官民の個人情報保護法制の一元化のための法改正も、例えば全国の自治体のこれまでの個人情報保護条例を廃止させ、国の定めるモデルに一元化するなど、権力分立により国民・住民の人権保障を行うという地方自治・団体自治(憲法92条、94条)に抵触するなど、憲法レベルの問題をはらんでいます。

同時にデジタル関連法とセットで成立した改正マイナンバー法も、看護師などの国家資格保有者の個人情報をマイナンバーで国が一元管理することを可能にするなど、政府による国民の個人情報やプライバシーの管理・監視がますます推進される内容となっています。

・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた

あるいは最近も、東京オリンピック・パラリンピックに関連して、森喜朗氏小山田圭吾氏小林賢太郎氏など幹部達が、相次いで差別問題・人権問題などで辞任・解任されており、国や国周辺の公務の公平性・中立性や倫理感、コンプライアンス意識の欠如が大きな問題となっています。

そのようななか、不祥事の経歴のある伊藤穣一氏を、疑惑をもたれているデジタル庁の事務方トップにすえようという菅政権の人事は、疑念の上に疑念を重ねるものなのではないでしょうか。デジタル庁や国のデジタル行政に対する国民の信頼さらに低下するのではないでしょうか。政府与党はこの人事の再検討や、デジタル庁のあり方の再検討を行うべきではないでしょうか。

■追記(8月11日)
伊藤穣一氏は2003年には住基ネットに関する長野県の侵入実験を実施するなど、当時、インターネットの専門家として住基ネットの反対運動を主導する有識者の一人であったそうです。
・長野県の住基ネット侵入実験、結果はクロ!|日経
・長野県が住基ネットへの侵入実験の結果を公表|INTERNET Watch

住基ネットはマイナンバー制度の前身ともいうべきものであり、マイナンバー制度の推進などを任務とするデジタル庁の事務方トップに、かつて住基ネットの反対運動を主導していた人物をあてるというのは、非常に矛盾しています。このような人物を幹部にすえて大丈夫なのでしょうか。

9月からの正式な設置の前に問題点や不祥事が次々と明らかになっているデジタル庁ですが、国の中央官庁として本当に大丈夫なのだろうかと、国民の一人としては心配な思いです。

ネット上のニュースなどをみていると、政府の要職の人間を採用する際には身元調査などが行われるそうですが、伊藤穣一氏のアメリカでの不祥事については内閣調査室などが承知していなかったとのことであり、日本の政府やデジタル庁などの情報収集能力リスク管理能力の低さが大いに気になります。

■追記(8月18日・8月29日)
報道によると、8月18日、政府は伊藤譲一氏をデジタル庁のデジタル監とする人事を撤回したとのことです。
・デジタル監、伊藤穣一氏見送り 政府|時事通信

また、8月26日のマスメディアの報道によると、政府はデジタル庁のデジタル監に一橋大学名誉教授の石倉洋子氏をあてる方針とのことです。しかし石倉氏はITや情報法、行政法などの専門家ではなく、経営学の学者であるそうです。この人事も伊藤氏同様に、よくわかりません。デジタル庁は民間ITスタートアップの起業の指南でもするつもりなのでしょうか?

さらに最近、デジタル庁はnoteのドメインも急に変更しましたが、旧ドメインから新ドメインへのリダイレクトがなされないこと等にもネット上で批判が殺到しています。また、デジタル庁のプライバシーポリシーが個人情報保護法制的に素人レベルであることは、このブログでも取り上げた通りです。

デジタル庁は国・自治体のデジタル行政の企画立案を担う官庁であり、民間IT企業から数百人規模の優秀な人材を中途採用したはずですが、個人情報保護法制など法律の知識や、ITや情報セキュリティなどの技術面についても素人レベルなのでしょうか?

デジタル庁のキャッチコピーは「誰一人取り残さないデジタル庁」だそうですが、9月の設立前からこんな不祥事続きの状況では、「国民誰からも相手にされない三流官庁のデジタル庁」になってしまいそうで心配です。

■関連する記事
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件-個人情報・公務の民間化
・コロナ対策のために患者の入院制限を行う菅内閣の新方針について考えた
・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた
・【マイナンバー】健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた-貸出履歴・閲覧履歴・プロファイリング
・東京オリンピック開会式トップのディレクター・小林賢太郎氏の解任と中山泰秀氏の件を考えた
・西村大臣の酒類販売事業者や金融機関に酒類提供を続ける飲食店との取引停止を求める方針を憲法・法律的に考えた
・「法の支配」と「法治主義」-ぱうぜ先生と池田信夫氏の論争(?)について考えた

















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ