なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人情報

ビジネスプランニング社サイト
(ビジネスプランニング社サイトより)

1.はじめに
リリースによると、個人情報保護委員会は2025年5月16日に、名簿業者の有限会社ビジネスプランニングに対して、特殊詐欺グループに個人情報を販売していた等として、個情法19条(不適正利用の禁止)違反の個人情報の第三者提供を直ちに中止すること等の緊急命令(法148条3項)等を出したそうです。メディア各社の報道によると、個情委が緊急命令を出したのは初めてとのことです。
・有限会社ビジネスプランニングに対する個人情報の保護に関する法律に基づく行政上の対応について(令和7年5月16日)|個人情報保護委員会

2.緊急命令等の内容
●緊急命令
⑴ 法第19条(不適正な利用の禁止)の規定に違反する個人情報の提供を直ちに中止すること。
⑵ 法第19条の規定に違反する個人情報の提供を一切行わないよう、令和7年5月30 日(金)までに、例えば、個人情報の提供先について、法人登記で実在を確認し利用目的を特定するなどの方法で、違法又は不当な行為に及ぶ者ではないことを確認することを会社規程に盛り込み、個人情報の取扱状況について定期的に監査を実施するなど、確実な体制整備を行うこと。
●勧告
個人データを提供した年月日、当該第三者の氏名又は名称及び住所等の記録が必要な事項について、適切に記録を作成し保存すること(法29条、法148条1項)。
●報告徴求
整備した体制の内容について報告等(法146条1項)。

3.緊急命令等の理由
個情委は、警察から、「特殊詐欺グループの被疑者が、ビジネスプランニング名義の銀行口座等へ送金していた事実が確認された。」旨の情報提供を受け、令和7年4月18日、ビジネスプランニングに対し、法第146条第1項の規定による立入検査を実施したところ、ビジネスプランニングにおける個人情報の取扱いについて、以下の法第19条の規定違反及び個人の重大な権利利益を害する事実が認められた。

⑴ ビジネスプランニングは、令和5年5月から令和6年10月にかけて、名簿の販売先が違法な行為に及ぶ者である可能性を認識していたにもかかわらず、個人情報を提供した。
⑵ ビジネスプランニングが上記⑴で提供した個人情報は、個人情報に係る本人の重大な財産的被害等を及ぼす特殊詐欺グループに提供された。
⑶ ビジネスプランニング代表取締役の説明によれば、同社における他の名簿販売に関しても、「個人名からの入金であり、法に違反するような行為に名簿を利用すると思われる者に対する名簿の提供である。」との認識を持ちながら個人情報を提供していた。前記⑴を含むこれらの行為は、違法又は不当な行為を助長し、又は誘発するおそれがある方法による個人情報の利用であり、法第19条の規定(不適正な利用の禁止)に違反する。
⑷ ビジネスプランニングは、提供先が違法な行為に及ぶ者である可能性を認識しながら個人情報の提供を行っており、提供された個人情報に係る本人は、特殊詐欺グループからの連絡の可能性にさらされることにより現に本人の平穏な生活を送る権利利益が侵害されている。そして、このような権利利益の侵害が、同社の反復継続的な個人情報の提供行為により拡大され続けている中、今後も含め、本人への特殊詐欺による財産的被害につながりかねない状況である。

4.検討
(1)緊急命令
緊急命令は、個人情報取扱事業者が、個情法の規定に違反した場合において、個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときに、当該個人情報取扱事業者に対して、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずるものです(法148条3項)。

緊急命令は通常の命令と異なり、勧告を経ることなくただちに命令できるものです。そのため、緊急命令の対象となる違反行為は、通常の命令よりも狭い範囲に限定されています。同様に、緊急命令の要件は、通常の命令の「個人の重要な権利利益の侵害が切迫していると認めるとき」では足りず、「個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるとき」に限定されています。したがって、緊急命令は、現実に重大な権利利益の侵害の事実が発生していない場合は対象外であり、また、同事実がすでに終了している場合についてもやはり対象外になるとされています(岡村久道『個人情報保護法 第4版』468頁)。

なお、緊急命令および通常の命令に違反したときには、個情委はその旨を公表できます(法148条4項)。また、違反者は1年以下の懲役または100万円以下の罰金に処せられ(法178条)、法人は1億円以下の罰金刑となります(両罰規定、法184条1号、岡村・前掲469頁)。

上記3.(4)でも見たように、個情委は、「提供された個人情報に係る本人は、特殊詐欺グループからの連絡の可能性にさらされることにより現に本人の平穏な生活を送る権利利益が侵害されている。そして、このような権利利益の侵害が、同社の反復継続的な個人情報の提供行為により拡大され続けている中、今後も含め、本人への特殊詐欺による財産的被害につながりかねない状況である。」と、ビジネスプランニングの行為が、個情法19条に違反し、個人の重大な権利利益を害する事実があり、しかもその事実が現在も継続し、今後も継続する危険があると認定しており、本事件における個情委の緊急命令の発動は妥当であったと思われます。

(2)個人情報保護法の3年ごと見直し
ところで、現在、個情委は個人情報保護法の3年ごと見直し(法改正)を検討中ですが、その検討の議論においては、命令・緊急命令の機動的な運用など個情委の法執行のアップデートや、いわゆる名簿屋へのさらなる規制強化、法19条(不適正利用の禁止)のさらなるアップデート・明確化などが議論の俎上にあげられており、本事件は法改正との関係で注目されると思われます。

1b9248ca
(つぎの個情法の改正の概要。個情委サイトより)

■関連するブログ記事
・令和7年個人情報保護法改正の大まかな概要のまとめ(2025年2月時点)

人気ブログランキング

このエントリーをはてなブックマークに追加 mixiチェック

ai_search
2025年4月11日のCNET Japanの記事によると、「ChatGPTを提供するOpenAIは4月11日、有料の「Plus」「Pro」プランでメモリ機能を強化し、過去の会話をすべて参照できるようにしたと発表した。これにより、より適切で有用なパーソナライズされた回答を提供できるようになる」とのことです。

これは「メモリ機能のオン・オフはユーザーが設定できる。「保存されたメモリを参照する」をオンにすれば、ユーザーの名前や好みなど、過去に保存した情報を参照するようになる。これは、ユーザーが明示的にChatGPTに伝えたとき、あるいはChatGPTが特に有用と判断した場合に、メモリに情報を追加する仕組みだ。チャット履歴を参照する設定をオンにすれば、ChatGPTは過去の会話にある情報を参照し、ユーザーの目標や興味、トーンなどに合わせて会話を進める。こちらはより広範囲に及ぶ設定だ。」という改正であるそうです。

この改正についてX(Twitter)では、「ChatGPTによるプロファイリングの精度があがっている」等の声があがっています。ある方のXの投稿では、ChatGPTに推測させてみたところ、「所属する業界、職業、年収、性別、年齢層、居住地、血液型、家族構成、MBTI診断結果などを当てられた」とのことで、これはなかなかゾッとするというか、恐ろしいものがあります。

この点、Xで、sabakichi(@knshtyk)氏は、「今回のアプデで気が付かされたが、個人のやり取りから学習した特徴のデータというのは要するに"究極の個人情報"であるから、将来的に法的に保護されるべき「個人情報」が指す範囲は今後拡張されていく必要があり、データの生殺与奪の権も利用先の制御もすべてユーザの手元で行える必要が出てくるのでは」と投稿していますが、この点は私も非常に同感です。

さばきち01
(sabakichi(@knshtyk)氏の投稿より)

最近、個人情報保護法については、「個情法の保護法益は何か?」という点について議論があるところです。これまで自己情報コントロール権(情報自己決定権)説が有力であったところ、最近は曽我部真裕教授などによる「自己の情報を適切に取扱われる権利説」や、高木浩光氏による「個人データによる個人の不当な選別・差別の防止説」が有力に主張されています。

しかし最近のChatGPTの猛烈な進化をみると、状況は今後変わってゆくのではないでしょうか。つまり、生成AIなどにより、どんどん個人の内心やプライバシーが緻密にプロファイリングされてしまう状況になり、その機微な情報をOpenAIなどのIT企業が収集・保管・利用するようになる、ビッグテック企業等がどんどん個人の内心やプライバシー、アイデンティティの部分に踏み込んでくると、「自己の個人情報が適切に取扱われる」ことや、「個人データによる個人の不当な選別・差別の防止」が達成されるだけでは不十分であり、sabakichi氏が上で投稿しているように、自己の個人情報・個人データの取扱いについて、個人がコントロールする必要性がより増加してくるのではないでしょうか。

すなわち、曽我部説や高木説に立つと、OpenAIなどのIT企業から「いやいや貴方の個人データはプライバシーポリシーで通知・公表した内容にしたがって適切に処理しています。もちろん不当な選別・差別は行っていません。なので、貴方の個人データをますますプロファイリングに利活用させていただきます」と言われたときに、個人の側としては何の反論もできなくなってしまうわけですが、ChatGPTなどの生成AIがどんどん進歩してゆく今日においては、そのような状況では個人の人間としての存立が危うくなってしまうのではないでしょうか。そのような状況においては、個人としては、自己の情報・データについて、収集したデータをこれ以上勝手に処理・プロファイリングするな、収集・利用・プロファイリングしたデータの利用を停止せよ・データを削除せよ等と主張することが、個人の尊厳、個人の尊重、個人の人格尊重(憲法13条、個情法3条)の保護のためにますます必要となってくるのではないでしょうか。

そのように考えると、生成AIの発展する今日においては、個情法の保護法益としては、「自己の情報を適切に取扱われる権利説」の側面や、「個人データによる個人の不当な選別・差別の防止説」の側面ももちろん重要ではありますが、それと同時に自己情報コントロール権(情報自己決定権)説の側面の重要性も増加しているように思われます。

人気ブログランキング

このエントリーをはてなブックマークに追加 mixiチェック

性犯罪マップトップ画面
1.はじめに
「子どもを性犯罪からまもるAmynaプロジェクト」という団体が「性犯罪マップ」というDBを作成してネット上で公表しているようです。たしかに子どもを性犯罪から守ることは重要であると思われますが、しかし性犯罪のデータを収集してデータベース化し、それをネット上で公表することは、個人情報保護法などの法令との関係で問題がないのでしょうか?

2.個人情報保護法から考える
同プロジェクトのサイトを見ると、ニュースサイト等から子どもに対する性犯罪に関するデータを収集し、それを元に地図アプリによって「性犯罪マップ」を作成し、この「性犯罪マップ」の青いピンをクリックすると、事件の概要、容疑者/犯行者についての情報が現れるようになっているようです。

性犯罪マップ
(「性犯罪マップ」サイトより)

犯罪歴は要配慮個人情報であり、センシティブな個人情報であるため厳格な取扱いが必要となります。要配慮個人情報の収集には本人の同意が必要であり(個人情報保護法20条2項)、またその情報の第三者提供にはオプトアウト方式は許されず本人の同意が必要となります(法27条2項ただし書、法27条1項)。

しかし、報道等により公開された犯罪歴などの情報の収集は法20条2項の例外で本人同意は不要とされており(法20条2項7号)、また、「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」には本人同意なしに第三者提供を行うことが認められています(法27条1項3号)。それではこの「性犯罪マップ」は違法ではないのでしょうか?

3.破産者マップ事件・個人情報保護法19条(不適正利用の禁止)
この点、この「性犯罪マップ」で思い起こされるのは、2019年頃から問題となった、いわゆる破産者マップ事件です。

破産者マップ事件は、官報に掲載された破産者情報等を集約しデータベース化した上で公開するウェブサイトが開設され、Googleマップと関連付けが行われるなどしたため、プライバシー侵害や名誉棄損等の観点での批判が集中し社会問題化しました。これに対して個人情報保護委員会は、運営事業者に対して利用目的の通知・公表義務違反(法21条)や個人データの第三者提供規制違反(法27条)を根拠としてサイトの停止等の命令を発出しました。2023年には、事業者に対して個情委は捜査当局への刑事告発も行っています。

そして、この破産者マップ事件などを受けて、令和2年個人情報保護法改正では、不適正利用の禁止規定が個人情報保護法に新設されました(法19条)。(岡田淳・北山昇・小川智史・松本亮孝・宍戸常寿『個人情報保護法』151頁)

個人情報保護法19条(不適正利用の禁止)は、「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」という抽象的な規定ですが、個人情報保護法ガイドライン(通則編)3-2は、「事例2)裁判所による公告等により散在的に公開されている個人情報(例:官報に掲載されている破産者情報)を、当該個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合」は法19条違反となるとしています。

つまり、破産者マップ事件などのように、ネット上の散在情報を収集・集約しデータベース化してネット上で公開することが、「本人への違法な差別が、不特定多数の者によって誘発されるおそれが予見できるにもかかわらず」「公開」するような場合には、法19条の不適正利用の禁止違反になると個情委はしているのです。

4.性犯罪マップを考える
この点、本件の性犯罪マップについても、それ自体はネット上で公開されている散在情報をもとにしているとはいえ、それらをデータベース化してネットで公開することにより、犯罪者本人への違法な差別が、不特定多数の者によって誘発されるおそれが予見できるといえるので、やはり破産者マップ事件と同様にこの性犯罪マップも個情法19条の不適正利用の禁止規定に抵触し違法であるおそれがあり、個情委の助言・勧告などの行政指導・行政処分の対象となるおそれがあるのではないでしょうか。

5.まとめ
このように、性犯罪マップは、「子どもを性犯罪から守る」という目的は正当であるとしても、そのやり方としては破産者マップ事件に類似し、個人情報保護法19条や個情法ガイドライン(通則編)3-2に抵触する違法なもののおそれがあり、個情委の行政指導・行政処分が課されるおそれがあります。Amynaプロジェクトは活動のやり方を再検討すべきではないでしょうか。

■追記(2025年3月22日)
「加害者情報をマッピング「性犯罪マップ」に賛否の声、法的問題は? 運営者「子どもたちを守るため」「アメリカの事例参考に」」弁護士ドットコムニュースにおいて、弁護士の板倉陽一郎先生は、「本人同意のない要配慮個人情報の第三者提供であり違法」と述べておられているのに接しました。

■追記(2025年4月3日)
個人情報保護委員会はリリースによると、4月3日、Amynaプロジェクトに対して、個情法27条1項違反、同19条違反を理由として、性犯罪マップを停止するよう行政指導を行ったとのことです。
・性犯罪マップに関する情報提供|個人情報保護委員会

■参考文献
・岡田淳・北山昇・小川智史・松本亮孝・宍戸常寿『個人情報保護法』151頁

■関連する記事
・日本版DBS法に関するジュリスト2024年12月号の特集を読んでみた

人気ブログランキング

このエントリーをはてなブックマークに追加 mixiチェック

bouhan_camera
1.はじめに
現在、個人情報保護委員会は次の個人情報保護法改正の準備を進めており、今年度(令和7年度)の通常国会または臨時国会に改正法案を提出するともいわれています。そして、2025年2月19日に個情委が公表した、「個人情報保護法の制度的課題に対する考え方(案)について(個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方)」は、①個人関連情報に関する規律の見直し、②顔特徴データ等に関する規律の在り方、③悪質な名簿屋対策としてのオプトアウト届出事業者への規律の見直し、の3点を取り上げていますが、②はこのブログで度々取り上げている顔識別機能付きカメラシステム(顔識別機能付き防犯カメラ)に関するものなので、本ブログ記事で取り上げてみたいと思います。

2.顔特徴データ等に関する規律の在り方
(1)上述の2月19日付の個情委の文書は、「2 本人が関知しないうちに容易に取得することが可能であり、一意性・不変性が高いため、本人の行動を長期にわたり追跡することに利用できる身体的特徴に係るデータ(顔特徴データ等)に関する規律の在り方」のなかで、顔識別機能付きカメラシステムによる顔特徴データ等について次のように説明しています。

「顔識別機能付きカメラシステム等のバイオメトリック技術の利用が拡大する中で、生体データ(注5)のうち、本人が関知しないうちに容易に(それゆえに大量に)入手することができ、かつ、一意性及び不変性が高く特定の個人を識別する効果が半永久的に継続するという性質を有する(注6)顔特徴データ等は、その他の生体データに比べてその取扱いが本人のプライバシー等の侵害に類型的につながりやすいという特徴を有することとなっている。」

「そこで、上記侵害を防止するとともに、顔特徴データ等の適正な利活用を促すため、顔特徴データ等の取扱いについて、透明性を確保した上で本人の関与を強化する規律を導入する必要があるのではないか。」

「具体的には、顔特徴データ等の取扱いに関する一定の事項(顔特徴データ等を取り扱う当該個人情報取扱事業者の名称・住所 ・代表者の氏名、顔特徴データ等を取り扱うこと、顔特徴データ等の利用目的、顔特徴データ等の元となった身体的特徴の内容、利用停止請求に応じる手続等)の周知を義務付けてはどうか。その場合において、一定の例外事由(例えば、周知により本人又は第三者の権利利益を害するおそれがある場合、周知により当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合、国又は地方公共団体の事務の遂行に協力する必要がある場合であって、周知により当該事務の遂行に支障を及ぼすおそれがある場合等)を設ける必要があるのではないか。」

「また、顔特徴データ等(保有個人データであるものに限る。)について、違法行為の有無等を問うことなく利用停止等請求を行うことを可能としてはどうか。その場合において、一定の例外事由(例えば、本人の同意を得て作成又は取得された顔特徴データ等である場合、要配慮個人情報の取得に係る例外要件と同種の要件に該当する場合等)を設ける必要があるのではないか。」

「さらに、顔特徴データ等について、オプトアウト制度に基づく第三者提供(法第27条第2項)を認めないこととしてはどうか。」

(2)これまでも顔識別機能付き防犯カメラは、いわゆる「誤登録」(いわゆる「防犯カメラの冤罪被害者」)が問題となってきました。すなわち、スーパーや書店、ドラッグストアなどの店舗で、実際には万引きをしていないのに万引き犯として顔識別データがデータベースに登録されてしまい、当該店舗だけでなく情報連携を受けた他の店舗でも買い物ができなくなってしまうという問題です。今回の法改正案は、この誤登録の問題の解決に大きな前進となる可能性があると思われます。

本文書はまず、顔識別機能付き防犯カメラによる顔特徴データ等の取扱いに関する一定の事項(顔特徴データ等を取り扱う当該個人情報取扱事業者の名称・住所 ・代表者の氏名、顔特徴データ等を取り扱うこと、顔特徴データ等の利用目的、顔特徴データ等の元となった身体的特徴の内容、利用停止請求に応じる手続等)の周知を義務付けを行うとしています。

つぎに、本文書は、「顔特徴データ等(保有個人データであるものに限る。)について、違法行為の有無等を問うことなく利用停止等請求を行うことを可能としてはどうか。その場合において、一定の例外事由(例えば、本人の同意を得て作成又は取得された顔特徴データ等である場合、要配慮個人情報の取得に係る例外要件と同種の要件に該当する場合等)を設ける必要があるのではないか。」としている点は非常に画期的です。

つまり、一定の例外事由があるとはいえ、原則として理由を問わずに顔特徴データ等の利用停止等請求を認めるように法改正を行うこととしています。

(この点については、現行法は、個情法施行令5条が、「当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの(施行令5条1号)」、「当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの(同2号)」等の場合には、当該個人データは保有個人データに該当せず、結果として利用停止等請求の対象にならないという仕組みになってしまっているのですが(個情法16条4項)、次の法改正でどうなるか気になるところです。)

さらに本文書は、「顔特徴データ等について、オプトアウト制度に基づく第三者提供(法第27条第2項)を認めないこととしてはどうか。」としています。つまり、顔特徴データ等について、要配慮個人情報のように、オプトアウト方式による第三者提供を認めないこととし、顔特徴データ等については原則に戻って第三者提供に本人同意が必要とするとしています。これは、顔特徴データの安易な第三者提供により、顔特徴データ等が転々と情報提供されてしまうことを防ぐものであり、これも画期的な改正であると思われます。

3.まとめ
このように、令和7年の個人情報保護法改正は、顔識別機能付き防犯カメラの誤登録の被害者の方々にとって大きな朗報となる可能性があります。まだ法案作成前の段階で、これから万防など業界団体・経済界などからの反対もあると思われ、法改正がどうなってゆくか不明ではありますが、法改正の動向を今後も引き続き注視してゆきたいと思います。

■関連するブログ記事
・防犯カメラ・顔識別機能付きカメラシステムに関する個人情報保護法ガイドラインQAの一部改正について
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた(追記あり)
・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで

人気ブログランキング

このエントリーをはてなブックマークに追加 mixiチェック

seiji_kokkai_gijidou
1.はじめに
個人情報保護委員会は、2023年11月から次の個人情報保護法改正の準備を行っていますが、本年(2025年)1月、2月に公表した文書(「個人情報保護法 いわゆる3年ごと見直しに係る検討」の今後の検討の進め方について(案)」「個人情報保護法の制度的課題の再整理」「個人情報保護法の制度的課題に対する考え方(案)について」)で、次回の個人情報保護法改正のおおまかな概要を明らかにしています。次の法改正は、改正法案が今年の通常国会または臨時国会に提出されるようであり、その2年後ごろ(2027年ごろ)に施行される可能性があります。

2.法改正の大まかな概要
個情委は、次回の法改正の内容を大きくつぎの3つ((1)~(3))に分類しています。

(1)個人データ等の取扱いにおける本人関与に係る規律の在り方
〇本人同意規律の見直し(AI開発等や医療データの利活用などにおける本人同意の不要化契約の履行のために必要な場合における本人同意の不要化など)
〇漏えい等発生時の対応(本人通知等)の在り方
〇子どもの個人情報等の取扱い(16歳未満の子どもの個人情報・個人データの取得・第三者提供等について法定代理人の同意の必須化など)

(2)個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方
〇委託先の事業者への規律の在り方
〇個人関連情報の規律の見直し
〇身体的特徴に係るデータ(顔特徴データ等)に関する規律の在り方
〇オプトアウト届出事業者に対する規律の在り方

(3)個人情報取扱事業者による規律遵守の実効性を確保するための規律の在り方
〇勧告・命令等の実効性確保
〇刑事罰の在り方
〇課徴金制度の導入の要否
〇団体訴訟制度(差止請求制度・被害回復制度)の導入の要否
〇漏えい等報告等の在り方

再整理の図
(個情委「個人情報保護法の制度的課題の再整理」より)

3.法改正の社会への影響
このように、令和7年の個人情報保護法は2017年改正、令和2年改正に並ぶ大きな改正になるように思われます。とくに、上の「(1)個人データ等の取扱いにおける本人関与に係る規律の在り方」のなかの「本人同意規律の見直し」および「子供の個人情報の取扱い」については、社会に与えるインパクトが大きいのではないかと思われます。(これまで日本の個情法が基本としてきた、本人同意による個人情報の取扱いの規律の大幅な修正という意味で。)事業者は法改正への対応のため、早めの準備が必要になると思われます。

人気ブログランキング

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ