なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人情報

ai_pet_family
このブログ記事の概要
2022年1月7日にデジタル庁が公表した「教育データ利活用ロードマップ」は、個人情報保護法違反(15条、16条、23条)のおそれが高く、内心の自由(憲法19条)やプライバシー権侵害のおそれ(13条)や教育の平等(23条)違反のおそれがあり、さらにプロファイリングや信用スコアリングの危険およびマイナンバー法9条違反のおそれがあるため、デジタル庁など政府与党は計画の中止や再検討を行うべきである。

1.デジタル庁が「教育データ利活用ロードマップ」を公表
2022年1月7日にデジタル庁「教育データ利活用ロードマップ」を公表しました。この「教育データ利活用ロードマップ」は、「教育の個別適正化」「国民の生涯学習」を目的として、教育業界やIT業界などさまざまな企業に児童・生徒の教育データという個人情報・個人データを広く利活用させる内容です。

また、国民一人一人に「教育ID」を付番し、国民のさまざまな教育データを教育IDにより一生涯にわたって国が一元管理するとされており、ネット上では児童や国民の個人情報保護やプライバシー侵害、プロファイリング、信用スコアリングの危険などを心配する大きな批判が起きています。
・教育データ利活用ロードマップを策定しました|デジタル庁

2.教育データは個人情報・個人データである
(1)個人情報
個人情報保護法は、「個人に関する情報であって」、「特定の個人を識別することができるもの(他の情報と容易に照合することができるものを含む)」は個人情報であると定義しています(法2条1項1号)。そのため、たとえばある生徒の成績表は、氏名・住所・生年月日・性別など以外の学生番号や成績、教師のつけたコメントなどもすべて個人情報に該当します。

また、全国の自治体は個人情報保護条例を制定していますが、個人情報保護条例においても個人情報の定義はほとんど同じであり、自治体の公立学校はこの個人情報保護条例の適用があります。(私立学校は個人情報保護法が適用されます。)

さらに、国の官庁などに対しては行政機関個人情報保護法があり、国立大学などの独立行政法人に対しては独立行政法人個人情報保護法が規定されていますが、これらの法律でも個人情報の定義は個人情報保護法と同様です。

(2)文科省の指針通達「学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講すべき措置に関する指針」(平成16年11月11日)
この点、文科省の指針通達「学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講すべき措置に関する指針」(平成16年11月11日)は、個人情報について、個人情報保護法と同様の定義を示しています。そのため、生徒の氏名・住所などだけでなく、学籍番号、学校の成績、人物評価、科目履修表など、特定の個人の属性や関係事実などを示す情報であって、特定の個人が識別できる情報や、容易に照合できる情報はすべて個人情報に該当します。
・学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講すべき措置に関する指針|文科省

また、文科省の同指針通達は、学校が生徒本人から収集した個人情報だけでなく、例えば生徒が以前に在籍していた学校から提供された指導要録、学校が第三者から収集した生徒の情報なども個人情報に該当するとしています。さらに同指針通達は「生徒」について、学校説明会への参加者、卒業生、中退者、不合格者なども含まれると明示しています。

さらに、文科省の同指針通達は、学校は個人情報保護法の定める利用目的の特定(法15条)や、本人同意のない個人情報の目的外利用の禁止(法16条)、本人同意のない個人情報の第三者提供の禁止(法23条1項)などを遵守しなければならないと規定しています。

(3)裁判例
この点、ある中学校のいじめ事件に関して、いじめの被害を受けて自殺した児童の遺族が学校に対して、学校の生徒達が書いた作文の情報公開を求めた訴訟において、裁判所は作文は生徒に個人情報に該当するとした上で、生徒達の作文を学外に開示することは、生徒と教師の信頼関係を損なうとして、遺族の請求を退けています(東京地裁平成9年8月6日判決・判時1613号97頁)。

そのため、学校における作文なども生徒の個人情報に該当しますし、もし生徒の個人情報を違法・不当に学外に提供することは生徒と教師との信頼関係を損ねるとこの判決は判示しています。また、個人情報を取扱う学校が、違法・不当に個人情報を取扱い、個人情報漏洩などを起こした場合には、当該学校は不法行為に基づく損害賠償責任(民法709条、国賠法1条1項)を負うことになります(大阪地裁平成18年5月9日判決・Yahoo!BB個人情報漏洩事件、最高裁平成29年10月23日判決・ベネッセ個人情報漏洩事件)。

3.デジタル庁・文科省の掲げる「教育データ利活用ロードマップ」
この点、今回、デジタル庁が掲げた「教育データ利活用ロードマップ」は「教育の個別最適化」「国民の生涯学習」を個人情報の利用目的に掲げているようですが、しかし全体として、「とりあえず学校の生徒の学生データを民間企業・行政・研究機関などに広く利活用できるようにします。これらの学習データをどのように利用するか、利用目的は民間企業や官庁等でこれから考えましょう」としているように読めます。

しかし、個人情報保護法15条は、事業者は「個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない」と規定しています。これは、事業者に利用目的をできるだけ特定させることにより、事業者が国民から収集し取扱う個人情報を必要最小限度にするためであるとされています(宇賀克也『新・個人情報保護法の逐条解説』197頁)。

また、個人情報保護法は、本人の同意のない個人情報の目的外利用を禁止し(法16条)、また本人の同意のない第三者提供を禁止しています(法23条1項)。

さらに、デジタル庁の「教育データ利活用ロードマップ」の資料を読むと、「学習者、名簿、健康履歴、体力履歴、テスト履歴、自宅での学習履歴、どのような本を読んだかというNDCコード情報、奨学金データ、職業訓練データ、職業データ」などが行政や民間企業などが広く利活用できるようになるとなっています。

学習データの概要図

学習データ(高等教育)の図
(デジタル庁「教育データ利活用ロードマップ」より)

しかし、本人の思想・信条に関する情報や、病歴に関する情報などはセンシティブ(機微)な個人情報の要配慮個人情報(法2条9項)であり、その収集には本人の同意が必要なだけでなく(法17条2項)、オプトアウト方式による第三者提供も禁止されています(法23条2項かっこ書き)。

そのため、「教育の個別最適化」や「国民の生涯学習」という漠然・あいまいとした利用目的しか示さずに、生徒の本人の同意を無視するかのように民間企業や行政・自治体などに生徒や卒業生等の個人情報であるさまざまな学習データの目的外利用や第三者提供を認めようとするデジタル庁のこの「教育データ利活用ロードマップ」は、全体的にそのコンセプトそのものが個人情報保護法15条、16条、23条などに違反しており違法なものです。

4.要配慮個人情報の取扱の問題
とくに学習データのなかでも、教師の書いた生徒の人物評価や内申書、上の裁判例にあるような生徒の作文など、本人の思想・信条などに係る情報や、健康履歴・体力履歴など病歴に関連する情報などは要配慮個人情報として収集や目的外利用、第三者提供には本人の同意が必要となるなど厳格な取扱いが要求されますが、デジタル庁や文科省、全国の自治体・学校、第三者提供を受けた民間企業などは要配慮個人情報の安全管理をしっかりと実施することができるのでしょうか。

また、「教育データ利活用ロードマップ」によると、この利活用の対象となる教育データは、学校だけでなく、公立図書館などの社会教育施設での学習内容をも含むとなっています。

この点、2021年に個人情報保護委員会は、令和2年改正に対応した個人情報保護法ガイドライン(通則編)を公表しましたが、同ガイドラインは、図書館の貸出履歴、ネット閲覧履歴、移動履歴、Cookieなども「個人に関する情報」であり、「特定の個人を識別できる場合(容易に照合できる場合も含む)」にはそれだけでも個人情報に該当すること、そして個人情報に該当しなくても「個人に関する情報」である限り「個人関連情報」(法23条の2)に該当することを明確化しました(パブコメ結果315)

040ec0c2

(関連)
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

・「個人情報の保護に関する法律施行令等の一部を改正する等の政令(案)」、「個人情報の保護に関する法律施行規則の一部を改正する規則(案)」及び「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編、仮名加工情報・匿名加工情報編及び認定個人情報保護団体編)の一部を改正する告示(案)」に関する意見募集の結果について|個人情報保護委員会

そのため、公立図書館などの図書の貸出履歴は「個人に関する情報」で、「特定の個人を識別できる場合」には個人情報に該当し、その内容が本人の思想・信条などを示すものである場合は、当該貸出履歴は要配慮個人情報となります(法2条9項)。

にもかかわらず、このデジタル庁の「教育データ利活用ロードマップ」が民間企業などに第三者提供できる個人データに「社会教育施設の学習データ」や「NDCデータ」など、公立図書館の図書の貸出履歴などを含めていることは、要配慮個人情報の取扱として問題なだけでなく、地方公務員法34条や国家公務員法100条が定める地方公務員・国家公務員の守秘義務や、図書館職員の職業倫理規定である、日本図書館協会「図書館の自由に関する宣言」第3「図書館は利用者の秘密を守る」に違反・抵触するのではないでしょうか。

図書館は守秘義務や図書館の自由に関する宣言第3の「図書館は利用者の秘密を守る」を遵守するために、原則としてシステム上、利用者が本を借りる際に貸し出した事実をシステムに登録しますが、利用者がその本を返却するとシステム上の貸出情報は削除される仕組みになっているとされています(鑓水三千男『図書館と法 改訂版』214頁)。

にもかかわらず、デジタル庁は、図書館の図書の貸出履歴の第三者提供を求め、当該貸出履歴のデータを教育IDとともに「一生涯」残すことを考えているようですが、これは要配慮個人情報の取扱、公務員の守秘義務、図書館自由宣言第3などの観点から妥当ではないのではないでしょうか。

そもそも個人情報保護法19条後段は、「個人情報取扱事業者は、(略)個人データを…利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。」と規定しています。つまり、個人データの違法・不当な利用や、個人情報漏洩などを防止するため、不要になった個人データは遅滞なく削除・消去することが努力義務として事業者には要求されています。個人情報保護法にはこのような規定があるのに、教育IDで一生涯、国民の教育に関するあらゆる個人データを残そうとしているデジタル庁の方針には、個人情報保護法の観点から強い違和感を覚えます。

失礼ながら、デジタル庁の官僚の方々は、個人情報保護法や情報セキュリティをあまりよくご存知ないのではないかと疑問です。

5.学習用タブレット端末の操作ログなどから生徒の内心がわかる?
デジタル庁の「教育データ利活用ロードマップ」14頁は、学習データを民間企業などが利活用することにより、「生徒の心理がわかる」「生徒の興味関心がよりわかる」「生徒の認知能力・非認知能力がわかる」などのメリットを説明しています。

生徒の心理がわかる
(デジタル庁「教育データ利活用ロードマップ」14頁より)

たしかに近年、文科省はGIGAスクール構想を推進し、現在の学校は生徒に一人一台の学習用タブレット端末が配備されつつあります。そして総務省の「教育ICTガイドブック」を読むと、凸版印刷の開発したタブレット用の学習ソフト「やる Key」は、児童のタブレットの操作履歴により、「どこを誤ったのかだけでなく、どこでつまずいているか判定」できて、「児童の進行状況や、どこが得意でどこを間違えやすいかを把握」することが可能で、「生徒・児童の思考方法や考え方のくせなど、生徒の内心の動き」を把握できるとされています。

また、近年、例えば日立はスマホなどのデバイスのわずかな動きを把握し、従業員の内心をモニタリングすることができる「ハピネス事業」を展開しています。東急不動産は本社事務部門の従業員に脳波センサーを着けさせて従業員の内心の心理状態をモニタリングしていることが物議を醸しました。
東急不動産本社
(東急不動産本社の脳波センサーを着けた従業員達。日経新聞より)

(関連)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング

そのため、デジタル庁「教育データ利活用ロードマップ」14頁が「生徒の内心がわかる」と説明していることは決してSF映画の世界のものではなく既に現実のものです。

しかし、学校やデジタル庁、文科省、学校や民間企業などが生徒の内心をタブレットなどを通じて把握することは許容されるのでしょうか?

憲法19条「思想及び良心の自由は、これを侵してはならない」と規定します。この思想・信条や良心は、個人の内面にあるものなので、表現の自由などと異なり他人の人権と衝突することはあり得ないので絶対的に保障されると解されています(芦部信喜・高橋和之補訂『憲法 第7版』155頁)。

にもかかわらず、公権力であるデジタル庁や文科省などが、国民である生徒の内心をタブレット端末の操作ログなどから把握することは、内心の自由を定める憲法19条との関係で違法・違憲のおそれがあるのではないでしょうか。

またこのような個人情報の取扱は児童や国民のプライバシー権侵害として不法行為に基づく損害賠償責任が発生するおそれがあります(民法709条、国賠法1条1項、憲法13条)。

上の日立や東急不動産などの事例のように、企業などが従業員・国民をPCやスマホ、ウェアラブル端末などで常時モニタリングすることについて、川端小織「在宅勤務における「従業員監視」はどこまで許されるか?」『ビジネス法務』2021年9月号78頁は、「このようなモニタリングはプライバシー侵害の危険という法的問題がある」としています。

6.プロファイリング・信用スコアリングの危険の問題
(1)学習ID
デジタル庁「教育データ利活用ロードマップ」は、生徒や国民のすべてに「学習ID」を付番し、この学習IDは一生国が管理するとし、この学習IDには小中校や大学での学習データや図書館の貸出履歴や博物館や美術館の利用履歴などの社会教育施設の利用履歴、塾・予備校などの民間教育機関の学習データや利用履歴、ハローワークなどでの職業訓練の履歴、学歴、職歴などの個人データをすべてこの学習IDで管理する方針のようです。

この点は、「教育データ利活用ロードマップ」10頁の図表に、学習IDに、「大学のシラバス情報、大学の単位・テスト履歴、自宅等での学習履歴、NDCコード履歴、奨学金情報、訓練情報、職業情報」などが連結されていることからも明らかです。

学習データ(高等教育)の図
(デジタル庁「教育データ利活用ロードマップ」10頁より)

しかし「国民の生涯学習」という利用目的のために、国民や生徒の小中高や大学の学習データだけでなく、ハローワークなどの職業訓練のデータや職歴、奨学金のデータなど、国民の社会生活に係るあらゆる個人情報・個人データをデジタル庁や文科省が教育IDで生涯にわたり管理する必要はあるのでしょうか?

これではまるで中国東欧などの旧共産圏国家主義・全体主義国家や、ジョージ・オーウェルの『1984』アニメ『PSYCHO-PASS(サイコパス)』のように、国家が国民を生まれたときから街中に設置したさまざまなセンサーや監視カメラで監視を行い、国民の身体や内心の状況をモニタリングし、進学・就職などをすべて国が決定し、思想弾圧、表現弾圧を行う超監視国家のようではないのでしょうか? 日本は国民主権の自由な民主主義国家のはずなのにです(憲法前文、1条)。

(2)プロファイリング・信用スコアリングの危険
また、小中校や大学などの学習データや学歴・職歴など、国民の社会生活のあらゆる個人データをデジタル庁などの国が学習IDで把握できるということ、そしてこれらの様々な情報を民間企業などが教育IDを利用して収集・利用可能ということは、国や大企業による国民のプロファイリング信用スコアリングが安易に行われてしまう危険があります。

このように教育IDによる個人データの名寄せ・突合により、国や大企業により国民のプロファイリングや信用スコアリングが安易にできてしまうとなると、AI・コンピュータの個人データによる人間の選別・差別が容易に行われるようになり、国民は進学、就職、転職、生命保険への加入、銀行からの住宅ローンの審査、老人ホームへの入居等々、人生のありとあらゆる場面でプロファイリングやスコアリングをなされ、選別や不当な差別が行われるおそれがあります(山本龍彦『AIと憲法』61頁)。

場合によっては、個人データのプロファイリングやスコアリングで、就職や転職がうまくいかない、銀行から住宅ローンなどを受けれない、自治体に相談しても適切な福祉サービス等を受けられない等のいわゆる「デジタル・スラム」という状況が日本で出現する危険があるのではないでしょうか(山本・前掲69頁)。

(3)学習データの保存期間が一生であることの問題-「忘れられる権利」や「更生を妨げられない権利」、「人生をやり直す権利」
さらに、デジタル庁のロードマップでは、教育IDによる個人データの保存が一生続くことになっていますが、国民が子供の頃にしたミスや過ち、若気の至りでやってしまった事などに一生囚われてしまう危険があるのではないでしょうか(山本・前掲67頁)。

2018年に施行されたEUのGDPR(EU一般データ保護規則)17条はいわゆる「忘れられる権利」を明記していますが、日本の判例も「更生を妨げられない権利」(人生をやり直す権利)を認めています(最高裁平成6年2月8日判決・ノンフィクション「逆転」事件)。

教育IDにより、保育園・幼稚園のころから小中高、大学だけでなく生涯にわたりさまざまな個人データを国が管理し続けることは、この国民の「忘れられる権利」、「更生を妨げられない権利」、「人生をやり直す権利」を違法・不当に侵害してしまうのではないでしょうか。

医師法により、医師の書くカルテの保存期間も5年とされており(医師法24条)、多くの税務書類の保存期間もおおむね7年とされています(法人税法施行規則59条)。それに比べると、国民の子どもの頃からの「教育データ」は一生保管・永久保管となっていることはあまりにも長すぎであり、著しくバランスを欠くのではないでしょうか。

デジタル庁や文科省は、教育IDにより国民の個人データをどの程度の期間保存すべきなのか、真摯に再検討を行うべきです。

7.マイナンバー法違反のおそれ-「広義の個人番号」「裏番号」の問題
さらに、マイナンバー法は行政の効率化のために、マイナンバー(個人番号)という行政や自治体の保有する国民のさまざまな個人データを名寄せ・突合できる強力なマスターキーを作成する一方で、マイナンバーの濫用により国民が国家に違法・不当にプロファイリングやスコアリングなどに利用される危険を防止するために、その利用目的を税・社会保障・災害対応の3つのみに限定(法9条)するなど厳しい法規制を設けています。

そして同法は、マイナンバー法の法の網を逃れてマイナンバーのような番号が悪用される危険を防止するために、「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号」、つまり国が国民すべてに、一人に一つの番号を与える悉皆性・唯一無二性の性質を有する番号は「広義の個人番号」(いわゆる「裏番号」)に該当し、マイナンバーと同様の法規制を受けるとしています(法2条8項かっこ書き)。そしてこの「広義の個人番号」(「裏番号」)も税・社会保障・災害対応の目的以外に収集・利用・保存・提供などがなされることはマイナンバー法9条違反となるとしています。

この点に関しては、本年秋にxID社の共通IDのxIDがこの「広義の個人番号」に該当するのに、官民のサービスの共通IDとして利用されることはマイナンバー法9条ではないかと炎上し、個人情報保護委員会はプレスリリースを出しました。
・「番号法第2条第8項に定義される個人番号の範囲について(周知)」(令和3年10月22日)|個人情報保護委員会

ところが、このデジタル庁の「教育ID」もその用途から、国が国民すべてに付与し、国民に一人一つの番号とならざるを得ないので、悉皆性・唯一無二性の性質を有するのでマイナンバー法2条8項かっこ書きの「広義の個人番号」(「裏番号」)に該当し、その教育IDを税・社会保障・災害対応以外の「教育の個別最適化」や「国民の生涯学習」に利用することは、マイナンバー法9条違反となるのではないでしょうか?

8.「教育の個別最適化」は憲法26条の「教育の平等」違反ではないのか?
憲法26条1項や教育基本法4条などは、「教育の平等」、「教育の機会均等」を明記しています。この点、デジタル庁や文科省が推進しようとしている「教育の個別最適化」は、ごく一部の天才の児童などにとっては素晴らしい制度かもしれませんが、普通の児童や勉強などが苦手な児童にとっては、「皆と同じ教育を受けることができない」「他人より低いレベルの教育しか受けることができない」などの教育の平等や教育の機会均等など憲法23条が明記する人権を侵害するおそれがあるのではないでしょうか(堀口悟郎「AIと教育制度」『AIと憲法』253頁)。

「教育の平等」「教育の機会均等」に関しては、特に普通の学校に通いたいと希望する障害児やその親からの申請を自治体の教育委員会が拒否する処分の取消を争う行政訴訟において、「教育の平等」「教育の機会均等」の観点から障害児やその親の主張を認める裁判例が集積されつつあります(神戸地裁平成4年3月13日判決・尼崎高校事件、さいたま地裁平成16年1月28日判決・障害児保育所入所拒否事件など)。

そのため、もし今後、このデジタル庁や文科省の「教育の個別最適化」が裁判所で争われた場合、裁判所から「教育の個別最適化」は違法・違憲であるとの判決が出される可能性があるのではないでしょうか。

9.まとめ
このようにデジタル庁の「教育データ利活用ロードマップ」は、個人情報保護法違反のおそれが高く、内心の自由(19条)やプライバシー権侵害のおそれ(13条)、教育の平等(26条)違反のおそれ、プロファイリングや信用スコアリングの危険およびマイナンバー法違反のおそれがあります。

デジタル庁政務官の山田太郎氏は最近も「子どもの虐待対策のために、行政の各部門が保有するさまざまな個人データを共有できるプラットフォームの作成」という方針を打ち出しましたが、この「子どもの虐待防止プラットフォーム」も、今回の「教育データ利活用ロードマップ」と同様に、「何となく便利そうだから、とにかく各行政機関や自治体の保有するさまざまな国民・児童の個人情報・個人データをとりあえず国や大企業が利活用できる仕組みを作ろう」という漠然とした意図があるように思われます。

しかし、「何となく便利そうだから、あらゆる個人データを誰でも利活用できるように共有しよう」という考え方は、日本を含む西側自由主義諸国の個人情報保護法・個人データ保護法の基本原則である、国民の個人情報プライバシー権を守る(憲法13条)、国民の個人の尊重基本的人権の確立(憲法13条)を守る、個人情報保護法15条の背後にある「必要最小限の原則」、あるいはEUのGDPR(EU一般データ保護規則)22条に表されているような、公権力や大企業によるプロファイリングを拒否するという西側自由主義諸国の個人データ保護法の大原則に180度反しています。

(最近、政府与党が推進している「デジタル田園都市構想」(スーパーシティ構想)も、「共通ID」や「データ連携基盤」などにより、スーパーシティの官民のさまざまなサービスの住民の利用履歴や医療データなどを、大企業や行政が利活用する仕組みとなっており、国民のプライバシーや個人情報保護法・マイナンバー法上の問題が多いため、デジタル庁や政府与党は再検討を行うべきです。)

(関連)
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園・「デジタル・ファシズム」

また、2021年4月に、EUは警察などによる顔認証機能のついた防犯カメラの利用を「禁止」し、教育分野や雇用分野、行政サービスにおけるAI利用を「高リスク」として法規制を行う「AI規制法案」を公表しました。

これに対して、「世界一企業がビジネスをしやすい国を作る」との新自由主義思想に基づいた、「AIやコンピュータにより国・大企業が国民の個人データを利活用して経済成長を目指すデジタル社会」を掲げ、「教育データ利活用ロードマップ」「子どもの虐待防止プラットフォーム」などの計画を発表している日本のデジタル庁をはじめとする政府・与党の政策は、1970年代以降の西側自由主義諸国の個人データ保護法制の歴史に逆行する時代遅れなものです。

むしろ日本の政府与党は、国家主義・全体主義で超監視国家を推進している中国や東欧などの旧共産圏を見習うべき理想の国家にしているように思えます。しかし日本は国民主権の自由な民主主義国家です(憲法前文、1条)。

デジタル庁や文科省などの政府与党は一旦立ち止まり、わが国のデジタル政策や個人情報保護政策などがわが国の、国民主権・自由な民主主義、個人の尊重と基本的人権の確立のために国家は存在するという近代憲法を持つ西側自由主義国の大原則(憲法11条、97条)に違反していないか、今一度再検討を行うべきです。

官民データ活用推進基本法やマイナンバー法などの特別法に対する一般法にあたる個人情報保護法は、企業などの事業者による個人情報の利用国民の権利利益の保護バランスを取るための法律であり(法1条)、しかしその大前提として、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものである」(法3条)ということを基本理念とする法律なのであり、「大企業や国による国民の個人情報の利活用」を推進するための法律ではないのですから。

マスメディアも政府与党の「デジタル行政」やデジタル庁の行動を好意的に報道するだけでなく、その問題点も併せて報道すべきです。野党は国会でデジタル庁や国のデジタル行政や個人情報保護行政の問題を追及すべきです。

(なお、このデジタル庁の「教育データ利活用ロードマップ」のプレスリリースを読むと、「10月から11月にかけて広く意見を募った」とあります。しかしこれは、中央官庁がパブコメ手続きの際に利用するe-GOVのパブコメのプラットフォームではなく、デジタル庁サイトで独自に実施した独自のパブコメのようです。

たしかに中央官庁等のパブコメ手続きについて定める行政手続法は、パブコメをどこのサイトでやらねばならないとまでは規定していませんが、中央官庁共通の内部規則や通達などには、e-GOVを利用することが規定されているのに、デジタル庁はその内部規定や通達などを無視しているのではないでしょうか。デジタル庁サイトでのみパブコメを実施し、同庁のファンの人々からの好意的な意見を集めただけでパブコメを実施したことにするのは、「広く一般の意見を求める」という行政手続法39条1項の趣旨や、「すべて公務員は全体の奉仕者であって、一部の奉仕者ではない」と規定する憲法15条2項の趣旨や、デジタル庁が掲げるスローガンの「誰一人取り残さないデジタル庁」や「透明性」の原則などに反すると思われます。)

■追記(2022年1月11日)
ネット上でこのデジタル庁の「学習データ利活用ロードマップ」に関する発言をみていると、eポートフォリオの焼き直しのようだ」といったご意見をしばしば見かけます。

eポートフォリオ(JAPAN e-Portfolio)とは、生徒の「主体性を育てるために」、学生が部活、資格・検定等の実績をネット上に登録する「学びのデータ」であり、大学入試に利用されること等が想定されていたようです。2017年から試験的に開始され、一部の高校生達が自身の活動や資格試験などの成績をeポートフォリオに入力していましたが、2020年に主に資金的な面から文部科学省がeポートフォリオの運営団体の認可を取消して終了したようです。

・「JAPAN e-Portfolio」について|文部科学省
・誰も知らなかったJAPAN e-Portfolioの実像|日経BP 教育とICT online

しかし日経新聞記事などによると、eポートフォリオについても、そのIDがベネッセが開発したものを利用していることから、個人情報への懸念や、ベネッセなどの特定の企業のための仕組みなのではないかとの懸念があったようです。

日本の現在の大学生の就活生が就職活動では、「大学時代に自分がいかに勉強だけではなく部活や資格試験などにも打ち込み、さまざまな成果を得たか」という「リア充」ぶりを自己PRすることを要求されるわけですが、それをまだ未成年の高校生に大学入試のために要求するのは私は違和感があります。

民間企業などへの就職活動は企業と就活生という私人と私人とのやり取りなので原則自由ですが(私的自治)、文科省という国が、まだ10代半ばの未熟な未成年の高校生に対して「リア充になれ」と大学入試を「餌」にして事実上の圧力をかけることは、国家が若い国民に「リア充になれ」、「リア充は良くて非リア充は悪い」、「部活で成果を出し資格を取り、日本社会や国に役に立つ有用な人材になれ」という価値観を事実上押し付けるものでありますが、わが国は自由な民主主義国家であり、国民個人の任意の自由意思や自己決定(憲法13条)が何より重視されるべきことから、私は違和感を覚えます。

国家が国民に対して「リア充」になれ、「社会や国にとって有用な人材になれ」との思想を事実上強制することは、まるで2012年の自民党憲法改正草案が「教育や科学技術を振興し、経済発展で国家を繁栄させる義務」(草案前文)を国民に義務付けているように戦前の日本のように国家主義・全体主義的であり、西側の自由主義・民主主義のわが国になじまないのではないかと思います。

今回、デジタル庁が発表した「教育データ利活用ロードマップ」も、児童の学校のテストの成績だけでなく、生活におけるさまざまな個人データを「学習ID」に連結させ、一生その個人データを存続させるようであり、これは「教育の個別最適化」といいつつ、実はeポートフォリオのように、「日本社会や国家に役立つ有用なリア充人間になれ」との思想を児童や国民に押し付けるものであるとしたら、それは国家が若い国民の内心の自由、思想・良心の自由(憲法19条)や、「自分の人生や生き方は自分自身で決める」という自己決定権(13条)などを侵害するものであり、問題であると思われます。

このブログが面白かったら、ブックマークやシェアをお願いします!

■関連する記事
・文科省が小中学生の成績等を一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園・「デジタル・ファシズム」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた

■参考文献
・山本龍彦「AIと個人の尊重、プライバシー」『AIと憲法』61頁
・堀口悟郎「AIと教育制度」『AIと憲法』253頁
・芦部信喜・高橋和之補訂『憲法 第7版』154頁、123頁
・坂東司朗・羽成守『新版 学校生活の法律相談』346頁
・宇賀克也『新・個人情報保護法の逐条解説』197頁
・水町雅子『逐条解説マイナンバー法』85頁、86頁
・鑓水三千男『図書館と法 改訂版』214頁
・堤未果『デジタル・ファシズム 日本の資産と主権が消える』39頁、193頁、219頁、244頁
・川端小織「在宅勤務における「従業員監視」はどこまで許されるか?」『ビジネス法務』2021年9月号78頁
・教育データ利活用ロードマップを策定しました|デジタル庁
・学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講すべき措置に関する指針|文科省
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁
・緊急速報:マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか|高木浩光@自宅の日記
・東急不動産の新本社、従業員は脳波センサー装着|日経新聞
・「個人情報の保護に関する法律施行令等の一部を改正する等の政令(案)」、「個人情報の保護に関する法律施行規則の一部を改正する規則(案)」及び「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編、仮名加工情報・匿名加工情報編及び認定個人情報保護団体編)の一部を改正する告示(案)」に関する意見募集の結果について|個人情報保護委員会





















このエントリーをはてなブックマークに追加 mixiチェック

1634668211929

このブログ記事の概要
本年3月に個人情報の問題が発覚したLINE社は、10月の有識者委員会の最終報告書を受けて個人情報の安全管理や委託先の監督、社内のコンプライアンスやガバナンスの強化を誓ったはずであるが、再び委託先の職員がGitHubへのLINEPayの個人情報漏洩事故を起こしたことは、個人情報保護法、資金決済法、ベネッセ個人情報漏洩事件判決等や、コンプライアンス、ガバナンスとの関係で非常に問題である。

1.LINE Pay の約13万人の決済情報がGitHub上に公開されていたことが発覚
2021年12月6日のITmediaニュースなどの報道や、LINE社のプレスリリースによると、通信アプリ大手LINE社の決済サービスLINE Payについて、約13万人分のアカウントの決済情報などの個人データが、LINE社の業務委託先の関連会社の従業員により、ソフトウェア開発のプラットフォームサイトのGitHub上で公開されていたことが発覚したとのことです。
・LINE Pay、約13万人の決済情報が「GitHub」で公開状態に グループ会社従業員が無断アップロード|ITmediaニュース
・【LINE Pay】一部ユーザーのキャンペーン参加に関わる情報が 閲覧できる状態になっていた件のお知らせとお詫び|LINE

(関連記事)
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・GitHub上の三井住友銀行等のソースコードの流出事故を法的に考えた―著作権・営業秘密

2.事案の概要
LINE社のプレスリリースによると、LINE Payのポイント付与漏れの調査について、LINE社からグループ会社に調査の業務委託を行ったところ、当該調査を行うためのプログラムおよび対象となる決済に関する情報を、委託先のグループ会社の従業員が、GitHub上にアップロートし公開状態にしてしまい、それが閲覧できる状態になっていたとのことです。

公開状態になった情報のアカウント数は、133484件で、うち日本国内は51543アカウント、残り約8万件は海外のユーザーのアカウントであるとのことです。そして公開状態になった決済情報等の期間は2020年12月26日から2021年4月2日まで、そしてこれらの決済情報等が公開状態になっていた期間は、2021年9月12日から2021年11月24日までであったそうです。

また、公開状態になっていた情報は、対象ユーザーの識別子(LINEのアプリケーション内でユーザーを識別するためにプログラムにより自動的に割り当てられた識別子)、加盟店管理情報、キャンペーン情報であり、このキャンペーン情報には、キャンペーン名称、決済金額、決済日時が含まれるとのことです。(氏名、住所、クレジットカード番号などの漏洩は確認されていない。)

そしてこの公開状態になっていた決済情報等に対しては、LINE社の調査の結果、11件の外部からのアクセスが確認されたとのことです。

2021年11月24日に、LINE社のモニタリング業務でGitHub上に決済情報等が公開されていることが発覚し、同日、LINE社はGitHub上の当該情報の削除を行い、11月30日にアクセス状況などの調査を完了し、同社は12月6日に、情報が漏洩したユーザーに対して通知を実施したとのことです。

3.検討
(1)個人情報保護法
今回GitHub上に公開状態となった、ユーザー識別子、加盟店管理情報、キャンペーン名称、決済金額、決済日時などは、「個人に関する情報であって」、「当該情報…により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」であるので、個人情報(個人情報保護法2条1項1号)に該当し、個人データです(同法2条6項)。とくにユーザー識別子はそれ自体は数字や英数字などの羅列にすぎないとしても、LINE社内の顧客の個人情報データベースで名寄せすれば、容易にユーザー識別子から特定の個人を識別できるので個人情報・個人データに該当します(個人情報保護法ガイドラインQ&A1-15など)。

(なお、ユーザー識別子がかりにLINE社内の顧客個人データベースと容易に照合できず、個人情報に該当しない場合であったとしても、2022年4月から施行される令和2年改正個人情報保護法で新設された「個人関連情報」(法26条の2)には該当することになります(佐脇紀代志『一問一答令和2年個人情報保護法』62頁)。)

そのため、LINE社は自社が保有する個人データについて、漏えい、滅失又はき損の防止などのために安全管理措置を講じることが要求されます(同法20条)。また、個人情報保護法は、個人情報を取扱う事業者に対して、自社の社内の安全管理措置だけでなく、安全管理措置の一環として、従業員の監督(同法21条)と委託先の監督(同法22条)を実施することを要求しています。

そして、個人情報保護委員会・金融庁「金融分野における個人情報の保護に関するガイドライン」(平成29年2月)8条は安全管理措置に関して金融機関は組織的安全管理措置・人的安全管理措置・技術的安全管理措置を講じなければならないとしています。また、同ガイドライン10条は委託先の監督について規定しています。

本年3月に、①LINE社の日本国内のLINEの個人情報が中国の委託先からアクセス可能であったことや、②日本国内のLINEの画像データ・動画データなどがすべてLINE社の韓国の関連会社のサーバーに保存されていたこと等が発覚し、大きな社会的問題となりましたが、今回の事件においても、LINE社は個人データの安全管理のうち、委託先への監督の部分が非常に弱く、問題が多いように見受けられます。また、委託先からのアクセス制御などが十分でないこともLINE社の抱える問題のように思われます。

この点、「金融分野における個人情報の保護に関するガイドライン」8条は、金融機関の事業者は、①組織的安全管理措置において、業務の委託に関して規程を整備することを要求し、また、②技術的安全管理措置においては、委託先や従業員などに適切なアクセス制御を行うことを要求しています。さらに、③同ガイドライン10条(委託先の管理)は、金融機関の事業者は、(a)委託先が個人データに関して適切な安全管理措置を講じることができるか、立入検査を行うなどして、あらかじめ十分に確認することや、(b)業務委託契約において個人データの取扱や、目的外利用の禁止、漏洩事故発生時の対応などを明記し、(c)定期的に立入検査を実施して委託先の安全管理の状況を確認することなどを規定しています。

今回の事件では、LINE社がポイント付与漏れの調査をグループ会社に委託したとのことですが、当該グループ会社が個人データの安全管理を十分に実施できる体制にあることを、LINE社の個人データ管理責任者などが委託先の選定基準などの規程に基づき十分にチェックしたのか、個人データ保護責任者などがあらかじめ当該グループ会社を立入検査するなどして、現場の安全管理の状況を十分確認したのかなどが問われると思われます。

また、ポイント付与漏れの調査のために、13万件のユーザー識別子、加盟店管理情報、キャンペーン名称、決済金額、決済日時などの個人データをそのままグループ会社に提供する方法に問題がなかったのか、また今回のポイント付与漏れの調査のために、①グループ会社の従業員がGitHubなど外部のネットワークにアクセスすることが必要だったのか、②GitHubなど外部のネットワークへのアクセスを遮断する環境にすべきだったのではないか、③グループ会社のポイント付与漏れの調査を行う従業員へのLINE社の個人データを扱うサーバーのアクセス権設定は適切だったのか、などが問題になると思われます。

なお、個人情報保護委員会の「個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)」は、個人データの漏洩などの事故が発生した場合には、①事件の原因などの調査を行い、②再発防止策などを策定・実施し、③被害を受けた個人に対して連絡を行い、④類似事案の発生や二次被害の発生を防止するために記者会見やプレスリリースなどで漏洩事故を公表するとともに、⑤個人情報保護委員会や監督官庁などに報告することを求めています。

この点、今回の個人情報漏洩事故においては、プレスリリースによると、LINE社は事故原因の調査や事故の状態のリカバリー、被害を受けた顧客への通知などは実施したようですが、個人情報保護委員会や総務省、金融庁・財務局などの監督官庁への報告を実施したのかは不明であり、この点もし実施していないなら報告を実施すべきであると思われます。(個人情報保護委員会は、報告徴求や立入検査などを行い、行政指導などを実施する権限があります(同法40条~42条)。

(2)資金決済法
LINE Payのサービスを提供しているLINE社は、資金決済法上の前払式支払手段発行者に該当します。そして資金決済法21条は利用者の個人データの保護のための安全管理措置を講じること、同法21条の2は委託先への監督を実施することを求めています。

また、前払式支払手段に関する内閣府令44条以下は、これも前払式支払手段を実施する事業者の安全管理措置や委託先の監督に関して、委託先に関してあらかじめ安全管理を十分に実施できる委託先を選定することや、委託後も定期的に立入検査を実施することなどを規定しています。加えて、金融庁の「事務ガイドライン(第三分冊:金融会社関係)」のなかの「 5.前払式支払手段発行者関係」も、委託先への監督について、委託先における個人データへのアクセス権設定などに関して詳細な規定が置かれています(前払ガイドラインⅡ-2ー3ー1)。なお同ガイドラインは、前払式支払手段の発行者の業務委託先を財務局または金融庁に届け出ることを求めています。

さらに、資金決済法は、財務局または金融庁は、前払式支払手段発行者およびその委託先に対して、報告徴求や立入検査を実施する権限(同法24条)と、業務改善命令などを発出する権限(同法25条)を規定しています(堀天子『実務解説 資金決済法 第3版』238頁、255頁、277頁)。

(3)守秘義務
金融機関は、金融機関と顧客との間に成立した取引関係に関連して金融機関が知り得た情報(顧客の財産状況、預金残高の出入り、債務残高など)を正当な理由なく第三者に漏洩してはならない義務を負っており、これが金融機関の守秘義務です。

預金残高や債務残高などの情報は、顧客の経済的信用にかかわるとくにデリケートな情報であり、これらは顧客の社会的信用やプライバシーに係る重要な情報であるからです。

金融機関が正当な理由なく顧客の決済情報などを漏洩した場合、当該金融機関は不法行為に基づく損害賠償責任(民法709条)を負う可能性があります(西尾信一『金融取引法 第2版』18頁)。

そのため、LINE社は今回の事件で、顧客から民事上の訴訟を提起される法的リスクがあります。

(4)裁判例-Yahoo!BB顧客情報漏洩事件(大阪地裁平成18年5月19日判決)・ベネッセ個人情報漏洩事件(最高裁第二小法廷平成29年10月23日判決)
(a)Yahoo!BB顧客情報漏洩事件

2004年2月に発覚したYahoo!BB顧客情報漏洩事件では、ヤフー株式会社等が「Yahoo!BB」の名称でADSLのインターネット接続サービスを提供していたところ、約450万人分の個人情報漏洩が発生しました。ヤフー等は社外から社内サーバーのメンテナンス作業を実施するためにリモートメンテナンスサーバーを設置していたところ、ヤフー等のメンテナンス作業の委託先企業の社員が、リモートアクセスのために付与されていたユーザーID・パスワードを用いて顧客個人情報サーバーにアクセスし、顧客個人情報を不正に取得するなどしていました。

これに対して個人情報が漏洩した顧客などがプライバシー侵害などを理由に提起した本訴訟では、裁判所は、「電気通信事業者における個人情報保護に関するガイドラインや個人情報保護法における安全管理措置の規定を踏まえると、ヤフー等は、電気通信事業者として、顧客個人情報への不正なアクセスや当該情報の漏洩の防止その他の個人情報の適切な管理のために必要な措置を講ずべき注意義務を負っていた。」「ヤフー等のリモートアクセスの管理体制は、(略)極めて不十分であったと言わざるを得ず、ヤフー等は、多数の顧客に関する個人情報を保管する電気通信事業者として、不正アクセスを防止するための前記注意義務に違反した」として、ヤフー等に対して不法行為に基づく損害賠償責任(一人あたり5000円)を認めています(山本龍彦「個人情報の適切管理義務と不法行為責任-Yahoo!BB顧客情報漏洩事件」『新・判例ハンドブック 情報法』(宍戸常寿編)95頁)。

(b)ベネッセ個人情報漏洩事件
また、2014年に発覚したベネッセ個人情報漏洩事件も、ベネッセの業務委託先の社員がベネッセの顧客個人情報データベースに不正にアクセスし、約3500万件の個人情報を持ち出した事件でしたが、顧客がプライバシー侵害を理由としてベネッセに提起した民事の損害賠償請求訴訟において、大阪高裁平成28年6月29日判決が「本件漏えいによって、控訴人が迷惑行為を受けているとか、財産的な損害を被ったなど、不快感や不安を超える損害を被ったことについての主張、立証がされていない」として顧客側の主張を斥けたのに対して、その上告審の最高裁第二小法廷平成29年年10月23日判決は、「本件個人情報は,上告人のプライバシーに係る情報として法的保護の対象となるというべきであるところ(略),上記事実関係によれば,本件漏えいによって,上告人は,そのプライバシーを侵害されたといえる」として、審理を大阪高裁に差戻し、これを受けた差戻審の大阪高裁令和元年11月20日判決は、ベネッセの安全管理措置違反によるプライバシー侵害により、顧客が不法行為に基づく損害を被ったとして、ベネッセの損害賠償責任を認める判決を出しています(損害額一人あたり1000円)。

すなわち、ベネッセ個人情報漏洩事件においては、大阪高裁が、個人情報漏洩事故により顧客が単に「不快感や不安感」を抱いただけではプライバシー侵害による不法行為責任は成立しないとしたのに対して、最高裁は、事業者の個人情報漏洩事故により顧客が「不快感や不安感」を抱いただけでもプライバシー侵害による不法行為は成立するとしています。

このように、Yahoo!BB顧客情報漏洩事件においては、裁判所は、個人情報を取扱う事業者に安全管理措置違反(個人情報保護法20条など)があり顧客の個人情報が漏洩した場合、プライバシー侵害による不法行為に基づく損害賠償責任が事業者側に発生するとしています。そして、ベネッセ個人情報漏洩事件の最高裁は、事業者の個人情報漏洩により、顧客に迷惑電話がかかってくるようになったであるとか、クレジットカードなどが不正に使用され金銭的損害が発生したなどの個別具体的な損害が発生していなくても、事業者の個人情報漏洩事故により顧客が「不快感や不安感」を抱いたのであればプライバシー侵害による不法行為責任は成立するとしています。

そのため、今回のLINE社のGitHub上への個人情報漏洩事件も、LINE社の安全管理措置違反(個人情報保護法20条)、委託先の監督の違反(同法22条)によりGitHub上に約13万件の個人情報が漏洩してしまったのであり、この事件により「不快感や不安感」を抱いた顧客がLINE社を相手にプライバシー侵害を理由とする不法行為による損害賠償請求訴訟を提起した場合、LINE社に損害賠償の支払いを命じる判決がでる可能性も無きにしもあらずなのではないでしょうか。

4.まとめ
LINE社に関しては、本年3月に朝日新聞の峯村健司氏等が、LINE社の委託先の中国企業が同社の日本国内の個人データにアクセス可能であったり、韓国のLINEの関連会社のサーバーに日本国内のLINEのすべての画像データ・動画データなどが保存されていることをスクープし、LINEを行政サービスに利用していた総務省などの官庁や地方自治体などが当該サービスを一時中断するなど、大きな社会問題となりました。その後、4月下旬に個人情報保護委員会および総務省はLINE社に対して行政指導を実施し、4月30日には内閣官房・個人情報保護委員会・金融庁・総務省は「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」を制定し公表しました。

そして、10月18日には、ZホールディングスのLINEの個人情報の問題に関する有識者委員会は最終報告書を公表しました。この報告書は、①2017年に制定された中国の国家情報法についてLINE社が法務部門などによる詳細な検討を怠っていたこと、しかし情報セキュリティ部門が同法のリスクを経営陣に報告していたのに、LINE社の経営陣は中国の国家情報法の問題を経営上の課題として取り上げず、適切な対応を怠ったこと②LINE社の公的部門への渉外担当部門が日本の国・自治体に対して合計3回、「日本国内のLINEの個人データは日本国内のサーバーにある」と虚偽の説明を行っていたことは、LINE社の経営陣がLINEはもともと韓国製のものであるという事実を隠す「韓国隠し」のために組織ぐるみで実施されたと考えるのが自然である等と、③LINE社の個人情報の取扱が杜撰なだけでなく、LINE社の経営陣がコンプライアンスやガバナンスの面で非常に大きな問題を抱えていたことを明らかにしています。
・「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について|Zホールディングス

LINE社とZホールディングス社は、この10月の有識者委員会の最終報告書を受けて、LINE社のコンプライアンスやガバナンスに大きな問題があり、その改善に取り組むとの意思を表明したはずでしたが、今回のGitHubにおける13万件の個人情報漏洩事故の発覚は、「またか」という感があります。とくに中国の個人情報の件で大きな問題であった、委託先の監督(個人情報保護法22条)の部分が、今回のGitHubの事故でも問題であったことは、LINE社とZホールディングス社にとっては大きな課題なのではないでしょうか。LINE社は、約8800万人の日本国内のユーザーが利用するデジタル・プラットフォーム事業者として、これ以上ユーザーの信頼を裏切らないためにも、真摯な対応を行うべきではないでしょうか。

なお、2021年1月には、三井住友銀行やNEC、NTTデータなどのシステムのソースコードを、システム開発会社の従業員がGitHub上にアップロードしてしまう事件が発生しました。GitHubの取扱をどのようにすべきか、日本の企業のシステム開発部門や法務部門、経営陣などは真剣に検討する必要があるかもしれません。

このブログ記事が面白かったら、ブックマークやいいねをお願いします!

■参考文献
・佐脇紀代志『一問一答令和2年個人情報保護法』62頁
・堀天子『実務解説 資金決済法 第3版』238頁、255頁、277頁
・西尾信一『金融取引法 第2版』18頁
・山本龍彦「個人情報の適切管理義務と不法行為責任-Yahoo!BB顧客情報漏洩事件」『新・判例ハンドブック 情報法』(宍戸常寿編)95頁
・岡村久道『個人情報保護法 第3版』218頁、227頁
・LINE Pay、約13万人の決済情報が「GitHub」で公開状態に グループ会社従業員が無断アップロード|ITmediaニュース
・【LINE Pay】一部ユーザーのキャンペーン参加に関わる情報が 閲覧できる状態になっていた件のお知らせとお詫び|LINE
・「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について|Zホールディングス

■関連する記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・東京都のLINEを利用したコロナワクチン接種啓発の「TOKYOワクション」は個人情報保護法制や情報セキュリティの観点から違法・不当でないのか?(追記あり)
・GitHub上の三井住友銀行等のソースコードの流出事故を法的に考えた―著作権・営業秘密
・飲食店の予約システムサービス「オートリザーブ」について独禁法から考えた
・練馬区が親子に家庭のSNSルールを作成させ学校に提出させるプリントにパスワードの記入欄があることを考えた(追記あり)-セキュリティ・プライバシー・不正アクセス
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて(追記あり)































このエントリーをはてなブックマークに追加 mixiチェック

TBSニュース
(TBSニュースより)

■追記(11月13日)
11月12日付の東京新聞の報道によると、この調布市の個人情報漏洩事件は、市職員のミスではなく、NEXCO東日本や国交省などと癒着した調布市都市整備部の職員が故意にNEXCO東日本や国交省などに情報公開請求を行った被害者の方の個人情報を提供していたとのことです。詳しくはこの記事の下部の追記をご参照ください。

1.調布市で個人情報漏洩事件が発覚
報道によると、東京・調布市つつじが丘等の住宅街NEXCO東日本の地下道工事に起因する陥没事故などが起きている問題について、被害者の住民の男性の方が調布市に対し情報公開請求を行ったところ、調布市都市整備部街づくり事業課が、その被害者の方の個人情報を9回にわたり、NEXCO東日本や国土交通省に漏洩していたことが発覚したとのことです。

このような個人情報の情報公開請求の関係機関への情報漏洩は、情報公開の請求者に関係機関などから不利益な処分や取扱いなどがなされる危険があり、情報公開制度の趣旨・目的を没却しかねない非常に重大な事故です。

被害者の方々はNEXCOの工事による陥没事故の被害者であるのに、さらにその被害者の方の個人情報を漏洩していたという調布市の行為は、非常にひどい仕打ちとしかいいようがありません。Twitterなどのネット上では、本件は調布市による個人情報のミスによる漏洩ではなく、調布市がNEXCO東日本や国交省への便宜を図るため、故意に被害者の方の個人情報を提供していたのではないかとの意見すら出されています。

2.調布市のプレスリリース
調布市のプレスリリースをみると、『請求者の請求内容に、市以外のものに関する情報が記録されていたことから、…市以外のものの意見を聴く必要がありました。このため、意見を聴く必要のある関係機関に対して連絡する際に、請求者の個人情報が含まれた情報公開請求書を本日までに計9枚送付しました。その際に個人情報にマスキングを施すことを怠り、個人情報が漏えいする事案が発生いたしました。』と説明されており、漏洩した個人情報は、『請求者の住所、氏名、電話番号、電子メールアドレス』となっています。
・個人情報の漏えいに関するお詫びと御報告|調布市

調布リリース1
調布市リリース2
(調布市サイトより)

本プレスリリースは、この個人情報漏洩事故の原因を「日々の業務を行うなかで、個人情報保護への職員の意識が希薄であったことによるミス」としており、既に被害者の方への謝罪は行ったと記述しています。

しかし本プレスリリースは、調布市がこの事件を受けてどのような再発防止策を策定したのか、また関係者の処分や、総務省や個人情報保護委員会などに報告したのか等については一言も説明していないこと等は、個人情報漏洩事故に対する自治体の個人情報漏洩事故への対応として不十分であり、非常に問題であるといえます。

とくにマスメディアの報道によると、調布市はNEXCO東日本や国土交通省に対して9回も、被害者の方の個人情報を漏洩していたとのことですが、これは漏洩というより、調布市都市整備部街づくり事業課が、NEXCO東日本や国土交通省にわざと個人情報を提供していた可能性もあるのではないでしょうか?もしそうであるならば、情報公開制度の趣旨を没却するような行為であり、調布市はNEXCO東日本や国土交通省の共犯者ということになります。調布市は第三者委員会を設置する等して、この事件を十分調査するべきなのではないでしょうか?

3.調布市個人情報保護条例など
(1)個人情報保護条例上の市職員の個人情報に関する守秘義務
調布市個人情報保護条例をみると、同3条市職員の個人情報に関する守秘義務を定め、同46条は職員が個人情報を「自己又は第三者の利益のため」に漏洩した場合の罰則規定(1年以下の懲役又は50万円以下の罰金に)を置いています。

・調布市個人情報保護条例|調布市

条例3条
条例46条
(調布市サイトより)

しかし本件は、市職員のただのミスだったのか、あるいいは市職員がNEXCO東日本や国土交通省の利益のために個人情報を提供していたのか不明です。そのためこの罰則が適用されるかどうかは現段階では不明です。やはり調布市は第三者委員会などを設置して、十分な調査を実施すべきです。

(2)地方公務員法の公務員の守秘義務
また、地方公務員法34条公務員に対して守秘義務を課しています。この守秘義務には罰則(一年以下の懲役又は五十万円以下の罰金)も科されています(同60条1項2号)。この地方公務員法上の守秘義務違反は本件の調布市の役職員への適用の可能性があるのではないでしょうか。

(3)調布市の個人情報漏洩などを防止するための「適正管理」の義務
さらに、調布市個人情報保護条例10条2項は個人情報の漏洩等が発生しないように「適正管理」の措置を実施するように市に義務付けしています(岡村久道『個人情報保護法 第3版』516頁)。

条例10条

しかし本件では漏洩が9回も発生してるのですから、調布市の適正管理の義務違反は重大であり、調布市都市整備部の責任者や調布市長などは、適正管理の義務違反の責任を免れないと思われます。

この点、例えば2014年に発覚したベネッセの個人情報漏洩事件は委託先企業のエンジニアがベネッセの個人情報を持ち出して販売等した事件ですが、情報漏洩の被害者からベネッセへの損害賠償を求める民事訴訟において、最高裁平成29年9月29日判決は、ベネッセの安全管理措置(個人情報保護法20条)の実施が不十分であったとして、ベネッセの不法行為による損害賠償責任を認め(民法709条、個人情報保護法20条)、審理を東京高裁に差し戻しています。

また、地方自治体における個人情報漏洩事件については、宇治市が住民票データによる乳児検診システムのシステム開発をあるIT企業に委託したところ、その企業から再々委託を受けたIT企業の従業員が住民票データから住民の個人情報を持ち出し名簿屋に販売した事件に関して、裁判所は情報漏洩の被害者の住民のプライバシー侵害を認め、宇治市には情報漏洩をした従業員への実質的な指揮命令関係があったとして、宇治市に対して不法行為に基づく損害賠償責任を認定しています(民法709条、715条、宇治市住民票データ漏洩事件・大阪高裁平成13年12月25日判決、興津征雄「住民票データの漏洩」『新・判例ハンドブック 情報法 』(宍戸常寿編)199頁)。

したがって、もし仮に本件で被害者の方が調布市に対して損害賠償を求める民事訴訟を提起した場合、調布市の都市整備部の責任者や調布市長などは、個人情報の漏洩などの防止のための適正管理の措置が不十分であったとして、不法行為に基づく損害賠償責任(民法709条、調布市個人情報保護条例10条2項)を認める判決が出される可能性があるのではないでしょうか。

4.調布市の住民の個人情報の取扱
なお、調布市は従来より、市内の障害児のセンシティブな個人情報の医療データや学校の教育データなどの一元管理・集中管理を推進する政策(「i-ファイル」)を推進しているなど、住民の個人情報の保護を軽視し、行政などが住民の個人情報を利活用することを重視する傾向があります。このような調布市の住民の個人情報保護の軽視の風土が、今回の個人情報漏洩事件を招いたのではないでしょうか。

・調布市の障害児などの「i-ファイル」(iファイル)について-個人情報保護の観点から|なか2656のブログ

5.まとめ
調布市の陥没事故では、加害者のNEXCO東日本の被害者の方々への対応が非常に遅く、NEXCO東日本は事件の発覚から約1年後の本年10月15日になってようやく調布の長友市長に謝罪を行いました。
・東京・調布市 道路陥没事故から1年 NEXCO東日本社長が調布市長に謝罪|FNN

このように陥没事故に関するNEXCO東日本の被害者軽視の状況があるのに、調布市のこのNEXCO東日本や国交省への9回もの個人情報漏洩または個人情報の第三者提供は、被害者の方々に対して死体をむち打つかのような行為であり、調布の長友貴樹市長や都市整備部の責任者らの責任は重大です。

調布市は上でみたような簡単なプレスリリースを発表したのみで、長友市長や都市整備部の責任者などによる謝罪の記者会見などを実施していないのは、事の重大さを理解していないのでしょうか?

調布市は第三者委員会などを設置して本件を十分に調査し、NEXCO東日本や国交省に便宜を図るためにわざと調布市が被害者の方の個人情報を提供していたのではないか等を含めて調査を行い、個人情報漏洩事件の原因究明や再発防止策の策定、関係者の処分などを実施するとともに、まずは迅速に長友市長や都市整備部の責任者などが、謝罪の記者会見などを実施するべきではないでしょうか。

あるいは、調布市に個人情報漏洩事故対応の当事者能力が欠落しているのであれば、調布市議会は地方自治法に基づく百条委員会を設置するなどして、この個人情報漏洩事件の事故原因の調査や再発防止策の策定、関係者の処分などを実施すべきなのではないでしょうか。

このような国・自治体の個人情報の杜撰な取扱いや個人情報保護の意識の低さが、国民の国・自治体の個人情報保護行政やデジタル行政に関する深刻な不信感を招き、マイナンバーやマイナンバーカードなどへの国民の強い不信感につながっているのではないでしょうか。

政府のさまざまな施策にもかかわらず、マイナンバーカードの取得率は約5割にとどまっているようでありますが、これはマイナンバーカードやマイナンバー制度により国民の個人情報が国・自治体や大企業などにどのように利活用されるのか信用できないという、国民の国・自治体や大企業などへの強い不信感の表れであると思われます。

■追記(2021年11月13日)
11月12日付の東京新聞のスクープ報道によると、この調布市の個人情報の事件は、調布市職員のミスではなく、市職員が故意にNEXCO東日本や国交省などに情報公開請求を行った被害者の方の個人情報を提供していたとのことです。
・「前回同様、取扱厳重注意で」 調布市情報漏えい問題 市職員がメールで念押し|東京新聞
・調布市個人情報漏えい、身内も驚くずさん運用 「ミス」ではなく「そもそも送る必要はない」|東京新聞

東京新聞の記事によると、今回の事件に関して東京新聞は、調布市都市整備部街づくり事業課職員が東京外環国道事務所、NEXCO東日本、NEXCO中日本の各担当課長あてに情報公開請求を行った被害者の男性の情報公開請求書の画像データを氏名・住所などの部分をマスキングなどせずにそのまま添付して送信したメールを入手したとのことです。

情報公開請求申請書の画像
(メールに添付された情報公開請求の申請書の画像。東京新聞の記事より。申請者の氏名・住所等の部分は東京新聞がマスキング処理している。)

東京新聞によると、10月下旬、匿名の内部告発者から「我々と調布市のやりとりが度をこえていると感じましたのでお知らせします。あなたの個人情報が駄々洩れとなっています」との内部告発の手紙が情報公開請求をした被害者の方の自宅に届き、この事件が発覚したとのことです。東京新聞によると、同様の手紙が調布市の長友市長にも郵送されていたとのことです。

東京新聞の記事によると、情報公開制度を所管する調布市総務課の担当者は、取材に対して、情報公開請求への情報開示に関して、外部の機関と調整する必要がある場合であっても、外部の機関と具体的事実を示して開示する範囲をすり合わせれば足りるので、「そもそも情報公開の請求書の写しをそのまま送ることは考えられない」と回答しているとのことです。

また、東京新聞の取材に対して、NPO法人「情報公開クリアリングハウス」の三木由希子理事長は、「照会手続きで請求書を第三者に渡すことはあり得ない。調布市は外環道について、国交省やNEXCO東日本などとの境界線を失って一体化しているのでは」とコメントしているとのことです。

この東京新聞の記事によると、今回の調布市の個人情報漏洩事件は、調布市都市整備部街づくり事業課の担当者の個人情報のマスキング漏れなどのミスによる個人情報漏洩ではなく、情報公開請求の申請書の写しの画像をそのままNEXCO東日本や国交省などにメールなどで送付していた故意による個人情報の違法・不当な提供であったことになります。

情報公開請求者の個人情報を相手方に知らせることは、申請者に不利益処分や取扱いがなされる危険があり、また住民・国民が委縮して情報公開が適切に行われなくなるおそれがあるなど、情報公開制度の趣旨を没却する重大な違法・不当な行為です。

この点、調布市情報公開条例の第3条2項は「実施機関は,この条例の解釈及び運用に当たっては,個人の尊厳を守るため,個人に関する情報がみだりに公開されることのないよう最大限の配慮をしなければならない。」と規定し、市や市職員に対して情報公開請求をした住民の個人情報保護を要求しています。

調布市情報公開条例3条
(調布市情報公開条例3条。調布市サイトより)

つまり、今回の調布市都市整備部街づくり事業課の担当者の行為は、情報公開制度の趣旨・目的に反するだけでなく、調布市個人情報保護条例3条(守秘義務)、同10条2項(個人情報の安全確保)に違反し、地方公務員法34条(守秘義務)、同60条1項2号に違反し、調布市情報公開条例3条2項(個人情報保護)にも違反する重大な違法行為です。

また、この東京新聞の記事によると、今回の個人情報漏洩は「市職員の個人情報保護の意識の希薄化によるミス」であるとする11月10日付の調布市のお詫びのプレスリリースは、「嘘のリリースを出して事件をうやむやにしてしまおう」という意図による、全体として虚偽の内容のリリースであり、調布市都市整備部街づくり事業課だけでなく、調布市の広報部門や長友市長などを含めた調布市全体のコンプライアンスやガバナンスがボロボロであることを示す点で致命的な問題をはらんでいます。

情報公開制度は、国民主権の民主主義(憲法1条)の前提である国民の「知る権利」や表現の自由、言論の自由(憲法21条1項)のための重要な制度です。情報公開制度が正常に機能しなくなっては、民主主義がうまく動かなくなり、国・自治体の行政活動も正常に機能しなくなってしまいます。

情報公開の請求者の個人情報を違法に外部機関に提供していただけでなく、虚偽のプレスリリースを出した調布市都市整備部街づくり事業課や調布市の広報部門などの管理部門や長友市長らの責任は重大です。

長友市長や調布市都市整備部街づくり事業課は、従来からも、調布駅前の再開発に際して、多くの地元住民の反対の声を無視し、駅前の再開発計画の策定・実施や、それに伴う駅前広場の古くからの樹木の大量の伐採などを強行してきました。

・調布市の「調布駅前広場整備に関する説明会(平成29年度第2回)」に行ってきた
・タコ公園のある調布駅前広場の樹木の撤去に反対する署名活動が行われている

長友市長や調布市都市整備部街づくり事業課の反民主主義的で独裁的・専制国家的なスタンスが、今回の情報公開請求をした方の個人情報漏洩事件でも、いよいよ明らかとなったといえるのではないでしょうか。

調布市はこの事件について、外部の弁護士などによる第三者委員会を設置し、あるいは場合によっては調布市市議会が地方自治法に基づく百条委員会を設置するなどして、都市整備部とNEXCO東日本や国交省などとの癒着の問題を調査し、再発防止策を策定し、関係者の処分、被害者の方への謝罪、記者会見などを直ちに実施すべきです。

なお、次回の調布市長選は来年の2022年のようですが、次回の調布市の市長選挙は、この調布市とNEXCO東日本や国交省などとの癒着の問題や、個人情報漏洩事故の問題、長友貴樹市長や調布市都市整備部などの反民主的で独裁的・専制国家的なスタンスなどが大きな争点となるのではないでしょうか。

本記事が面白かったらブックマークなどをお願いします!

■参考文献
岡村久道『個人情報保護法 第3版』516頁
興津征雄「住民票データの漏洩」『新・判例ハンドブック 情報法』(宍戸常寿編)199頁
・竹内朗・鶴巻暁・田中克幸・大塚和成『個人情報流出対応にみる実践的リスクマネジメント』31頁、46頁

■関連する記事
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて(追記あり)
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)
・東京都のLINEを利用したコロナワクチン接種啓発の「TOKYOワクション」は個人情報保護法制や情報セキュリティの観点から違法・不当でないのか?(追記あり)
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・デジタル庁の事務方トップに伊藤穣一氏との人事を考えた(追記あり)
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた



































このエントリーをはてなブックマークに追加 mixiチェック

東京ワクションのアイコン
(東京都「TOKYOワクション」サイトより)


このブログ記事の概要

東京都LINEを利用したコロナワクチン啓発のための「TOKYOワクション」は、東京都個人情報保護条例違反し、また、2021年4月30日付の内閣官房・個人情報保護委員会・金融庁・総務省の「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」などにも違反している。

具体的には、同ガイドラインは、国・自治体がLINEの行政サービスで国民の個人情報や機微情報を取扱う場合には、(1)監督官庁のセキュリティーポリシーに適合することと、(2)LINE社以外の事業者にシステムを構築させ、当該システム上で個人情報・機微情報の保存などをすることを要求しているところ、東京都の「TOKYOワクション」は、(1)(2)のどちらも満たしておらず、同ガイドラインに違反している。

そのため、東京都の「TOKYOワクション」は、個人情報保護法制や情報セキュリティの観点から非常に問題である。

1.東京都の「TOKYOワクション」政策
東京都は、2021年10月15日付のプレスリリース「新型コロナウイルスワクチン接種促進キャンペーン「TOKYOワクションアプリ」を開始します」によると、都民の新型コロナワクチンの接種を促進するために、「TOKYOワクション」という施策を11月1日から開始したようです。
・新型コロナウイルスワクチン接種促進キャンペーン「TOKYOワクションアプリ」を開始します|東京都(2021年10月15日付)

このプレスリリースによると、この「TOKYOワクション」とは、「1.TOKYOワクションアプリ特設ホームページでの情報発信、2.スマートフォンアプリ(LINEアプリ)を活用した接種記録の登録と特典の提供」を内容とするものであるそうです。

つまり一言でいうと、この東京都の「TOKYOワクション」とは、都民のコロナワクチン接種を促進すると同時に、ワクチン接種済の住民に協賛企業からの特典等を提供することにより協賛企業の売上をアップさせる「町おこし」のために、コロナワクチンの接種を受けた都民がLINEの「TOKYOワクション」に「友達登録」し、運転免許証などの「本人確認書類」と医療機関や自治体などが発行したワクチンの「接種済証」等の画像をLINEの「TOKYOワクション」にアップロードし、当該画像を確認した東京都の事務局がワクチン登録済の住民として登録し、当該住民は「TOKYOワクション」のワクチン接種済の登録画面を提示して、「TOKYOワクション」の協賛企業(イオングループの飲食店など)から特典を受けられるという施策であるそうです。
・TOKYOワクション 公式サイト|東京都

しかし、LINEについては本年3月に個人情報と通信の秘密に関する不祥事が発覚し、また本年9月も渋谷区がLINEとeKYCにより住民票の写しの申請を行うスキームを導入しようとしたところ、総務省から技術的な安全が確保されていないとダメ出しが行われたばかりですが、この東京都の「TOKYOワクション」は、個人情報保護法や情報セキュリティの観点から大丈夫なのでしょうか?

そこで東京都ウェブサイトに設置された「TOKYOワクション」サイトをみると、「TOKYOワクション」サイトは、たしかに大きく4つの機能があるようです。
・TOKYOワクション|東京都

つまり、「1.ワクチンを知る」として、「そもそも予防接種とは何か」等のコロナワクチンに関するQAが用意されており、つぎに「2.ワクチンを接種する」として、ワクチン接種に関連する注意事項などのQAが用意されています。さらに、「3.TOKYOワクションアプリに登録する」という項目と、「4.ワクションに協賛する」という項目がありますが、とくにこの3番目の「3.TOKYOワクションアプリに登録する」が法的あるいは情報セキュリティ的に大丈夫なのか気になります。

2.LINEの「TOKYOワクション」の仕組み
そこで、不肖・私めが人柱として、スマホのLINEの「TOKYOワクション」に友達登録をしてみました。すると次のようなトップ画面が出てきました。
東京ワクションのLINEの画面

そしてこの画面左下の「アプリを開く」を押すと、「LINEで応募 TOKYOワクション キャンペーン概要」という説明ページが現れました。そこでこの「キャンペーン概要」の説明ページを読み進めてゆくと、「情報の取り扱いについて」という記述が現れました。
キャンペーンの概要1
キャンペーンの概要2

そこでこの「情報の取り扱いについて」を読むと、「本キャンペーンは東京都が主催するものであり、LINE社の「LINEで応募」機能を利用しています。」となっています。そして、「「LINEで応募」機能のサービス提供のために、本キャンペーンへの参加状況等の情報をLINE社が取得し、当該情報は東京都に提供されます(ただし、本人確認書類とコロナワクチンの接種記録の情報は含まない)。」と説明されています。そして「LINE社は本キャンペーンへの参加状況等から応募者の「ワクチン接種の事実」の情報を取得し、LINE社は応募者の「ワクチン接種の事実」の情報を「LINEで応募」の機能提供に利用し、東京都はLINE社から提供された応募者の「ワクチン接種の事実」の情報を、本キャンペーンの実施および「TOKYOワクション」LINE公式アカウントからの当キャンペーンに関する情報の案内に利用し、さらに東京都は個人が特定できない形で、応募者の居住地・年齢の統計情報を特典提供者に提供する場合があります。」と説明されています。

「LINEで応募 TOKYOワクション キャンペーン概要」の「情報の取り扱いについて」の概要

①本キャンペーンは東京都が主催するものであり、LINE社の「LINEで応募」機能を利用する。

②「LINEで応募」機能のサービス提供のために、本キャンペーンへの参加状況等の情報をLINE社が取得し、当該情報は東京都に提供されます(ただし、本人確認書類とコロナワクチンの接種記録の情報は含まない)。

③LINE社は本キャンペーンへの参加状況等から応募者の「ワクチン接種の事実」の情報を取得し、LINE社は応募者の「ワクチン接種の事実」の情報を「LINEで応募」の機能提供に利用する。

④東京都はLINE社から提供された応募者の「ワクチン接種の事実」の情報を、本キャンペーンの実施および「TOKYOワクション」LINE公式アカウントからの当キャンペーンに関する情報の案内に利用する。

⑤東京都は個人が特定できない形で、応募者の居住地・年齢の統計情報を特典提供者に提供する。

この「LINEで応募 TOKYOワクション キャンペーン概要」の「情報の取り扱いについて」を読むと、東京都の「TOKYOワクション」は、LINE社の「LINEで応募」機能を利用して実施するとされています。そして、この「TOKYOワクション」キャンペーンにより協賛企業から特典を受けたりLINEポイントを受けるために、ワクチン接種済の都民がLINEの「TOKYOワクション」に友達登録しLINE社は当該都民を「LINEアカウント認証」を行い、当該都民はLINEの「TOKYOワクション」に運転免許証などの本人確認書類の画像と、医療機関や自治体が発行したワクチンの「接種済証」等の画像をスマホのカメラ機能で読み取り、LINEの「TOKYOワクション」に当該画像をアップロードするとなっています。そしてLINE社は「TOKYOワクション」に登録した都民のLINEアカウント情報や、本人確認書類の画像とワクチンの接種済等の書類の画像を東京都に提供するとなっています。

(なお、「情報の取り扱いについて」には、「(ただし、本人確認書類とコロナワクチンの接種記録の情報は含まない)」とのかっこ書きがありますが、「TOKYOワクション」サイトの説明を読むと、LINE社から「TOKYOワクション」に登録した都民のアカウント情報や本人確認書類とコロナワクチンの接種記録の情報をもとに東京都当局(あるいはその委託先企業)が原則24時間以内に情報を確認し、登録したワクチン接種済で「TOKYOワクション」に申し込んだ住民の情報をデータベースに登録し、協賛企業から店頭で特典を受けるための証明画面などを提供するとされているので、LINE社が本人確認書類とコロナワクチンの接種記録の情報をスマホのLINEアプリから収集し、東京都に当該情報を提供しないと東京都は「TOKYOワクション」の住民の確認と特典提供などのためのデータベースに登録できないので、このこのかっこ書きは虚偽か間違いではないかと思われます。)

■追記(2021年11月3日)
この「情報の取り扱いについて」の「(ただし、本人確認書類とコロナワクチンの接種記録の情報は含まない)」とのかっこ書きに関する私の上の説明について、ネット上で「認証しているだけなので技術的に正しくない」とのご指摘をいただきました。

上でも書いたとおり、東京都の公式サイトの説明では、利用者は本人確認書類とコロナワクチン接種済の証明書をスマホのカメラで撮影し、この2つの画像をLINEアプリにアップロードせよとなっています。そして、つぎに「登録内容をTOKYOワクション事務局が確認後、「LINEで応募」アカウントより登録完了の通知を行います。*原則として24時間以内に通知します。登録が集中した場合、お時間をいただくことがあります。」と説明されています。
本人確認1
本人確認2

登録内容をTOKYOワクション事務局が確認後、登録完了の通知を送ります」とあり、また「*原則として24時間以内に通知します。登録が集中した場合、お時間をいただくことがあります。」とも記載されていることから、LINEアプリにアップロードされた本人確認書類とワクチン接種済証の画像が、LINE社サーバーに送信され、LINE社サーバーから東京都事務局に提供され、東京都事務局の職員等が目視で、あるいはAIなどで登録の確認を行っているのではないかと私は思いました。

しかし、この点指摘をいただいたので、ある情報システムの専門家の方に質問したところ、東京都のこの公式サイトの説明が正しいかどうかあやしくLINEアプリ上で本人確認書類とワクチン接種済証の画像を認証していて、LINE社のサーバーには本人確認書類とワクチン接種済証の画像が送信されず、東京都の事務局にも本人確認書類とワクチン接種済証の画像は提供されていない可能性もあるとのご回答をいただきました。そしてどちらが正しいかは、システムの仕様書を見ないとわからないとのことでした。

3.LINEをこのような用途に利用して大丈夫なのか?
この「LINEで応募 TOKYOワクション キャンペーン概要」の「情報の取り扱いについて」に基づく東京都とLINE社の「TOKYOワクション」にはいくつかの疑問がわきます。つまり、まず第一は、都民・国民のセンシティブな個人データであるコロナワクチン接種に関する個人情報をLINE等で東京都などが取り扱ってよいのかという問題第二に、本年9月に渋谷区で問題になった、渋谷区のLINEにより本人確認手段の「eKYC」を利用した住民票の写し交付申請は総務省から「技術的に安全を確保できない」として違法と判断されたわけですが(現在、渋谷区は総務省に対して訴訟を提起中)、東京都のこの「TOKYOワクション」のLINEを利用した本人確認とワクチン接種済の確認は法的に大丈夫なのか?という問題、さらに第三にこのような用途に自治体である東京都がLINEを利用してよいのか?という問題、などが個人情報保護法的に、あるいは情報セキュリティ的に大丈夫なのかという疑問がわきます。

4.都民・国民のセンシティブな個人データであるコロナワクチン接種に関する情報の取扱いについて
東京都の個人情報保護条例4条2項は、「実施機関は、思想、信教及び信条に関する個人情報並びに社会的差別の原因となる個人情報については、収集してはならない。ただし、法令又は条例(以下「法令等」という。)に定めがある場合及び個人情報を取り扱う事務の目的を達成するために当該個人情報が必要かつ欠くことができない場合は、この限りでない。」と規定しています。

東京都個人情報保護条例

(収集の制限)
第4条 実施機関は、個人情報を収集するときは、個人情報を取り扱う事務の目的を明確にし、当該事務の目的を達成するために必要な範囲内で、適法かつ公正な手段により収集しなければならない。

2 実施機関は、思想、信教及び信条に関する個人情報並びに社会的差別の原因となる個人情報については、収集してはならない。ただし、法令又は条例(以下「法令等」という。)に定めがある場合及び個人情報を取り扱う事務の目的を達成するために当該個人情報が必要かつ欠くことができない場合は、この限りでない。

つまり、東京都個人情報保護条例は、センシティブな個人情報である、「思想、信教及び信条に関する個人情報並びに社会的差別の原因となる個人情報」については原則、収集を禁止しています。

この点、民間企業などに対する一般法である個人情報保護法2条3項は、要配慮個人情報を「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。」と定義しています。

この「病歴」とは「病気に罹患した経歴を意味するもの、または特定の病歴を示したものなどが該当する」とされており(岡村久道『個人情報保護法 第3版』89頁)、また、「その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等」に関する個人情報保護法施行令2条2項「本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という。)の結果」と規定し、同施行令2条3項は「健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。」と規定しているので、国民がコロナワクチンの接種を受けたという情報は、個人情報・個人データに該当することは当然としても、個人情報保護法上の「要配慮個人情報」には該当しないということになってしまっています。(これは正直、法律の不備ではないかと思われます。コロナワクチンなどの「予防接種」も、厚労省などが準備し接種を奨励するコロナワクチンを、コロナの予防のために医師や看護師などの問診を受けた上で医師または看護師の注射によるワクチン接種という医療行為が行われるのですから、「予防接種」も、施行令2条3項の医師などの「指導」・「診療」・「調剤」と同等に、要配慮個人情報とすべきではないでしょうかうか。)

とはいえ、ある個人が新型コロナワクチン接種を受けた、あるいは受けないという事実は、国民・個人の自分はコロナワクチン接種を受ける/受けないという、自らの生命のあり方や医療に関する自己決定権(憲法13条)や、自分はコロナワクチン接種を受ける/受けないという、個人の思想・良心などの内心の自由(憲法19条)や、宗教的な理由でワクチン接種を受けない個人にとっては信仰の自由(憲法20条)などに直結する極めてセンシティブな個人情報・個人データです。

とくにコロナワクチン接種を受けないとの判断をした個人のワクチン接種に関する個人情報・個人データは、「本人に対する不当な差別、偏見その他の不利益」が生じるおそれのある情報であると思われ、東京都や厚労省などの国・行政は、コロナワクチン接種に関する接種を受けた/受けていないとの情報、接種の年月日・時間、接種を受けた場所・医療機関、接種を受けたコロナワクチンの種類・メーカー名・シリアル番号などは、要配慮個人情報に準じたセンシティブな個人情報として、国や自治体などは特に厳格な取扱いが必要であると思われます。

5.本人確認の問題
渋谷区のLINEによる住民票の写し交付申請の事例は、渋谷区から委託を受けたBot Express社がLINE上に住民票の写し交付申請のためのチャットボットのアプリを準備し、スマホのカメラ機能で申請者の本人確認書類に添付された顔写真から顔写真の画像データを取得し、また、同じくスマホのカメラ機能で申請者本人の顔の画像データを取得し、これらの画像データをAIが照合して本人確認を行うという「eKYC」と呼ばれる本人確認の手法が、「なりすまし」のリスクを防止できないとして総務省から違法と指摘されたものです。

つまり、市区役所窓口などにおける市や区の職員による対面の本人確認と異なり、渋谷区のLINEによる申請スキームでは、申請者が本人確認書類を偽造するなどして「なりすまし」をして申請を行うリスクが回避できないので、官民のさまざまな手続きにおいて公的な本人確認書類として重要な役目を果たす住民票の写しの交付のためには、「eKYC」だけでは足りず、電子証明書などの利用も必要であるというのが総務省の見解です。
・「総務省は常識を逸脱」 渋谷区と総務省が対立の“住民票LINE交付”巡り、技術提供会社が国を提訴|ITmediaニュース

この点、今回の東京都の「TOKYOワクション」における本人確認は、渋谷区の事例と異なり、運転免許証などの本人確認書類の画像データはスマホのカメラ機能でLINE社が取得し東京都に提供されるものの、渋谷区のように申請者本人の現実の顔画像をスマホアプリで収集するプロセスが存在しません。

東京都は、LINE社によるアカウント認証で本人確認を補っていると主張するかもしれませんが、そもそもLINEのアカウントを利用者・国民が開設する際には、携帯電話番号やメールアドレスなどによる本人確認が行われるだけであり、LINE社のアカウント認証は非常に弱い本人確認といえます。

そのため、この東京都の「TOKYOワクション」の本人確認は、渋谷区のLINEによる住民票の写し交付申請の「eKYC」方式よりも脆弱な本人確認であり、悪意のある第三者による「なりすまし」のリスクを回避できないので、情報セキュリティの観点から問題なのではないでしょうか。

また、東京都の個人情報保護条例(東京都個人情報の保護に関する条例)7条は、第1項が「実施機関は、保有個人情報を取り扱う事務の目的を達成するため、保有個人情報を正確かつ最新の状態に保つよう努めなければならない。」と規定し、同条2項は「実施機関は、保有個人情報の漏えい、滅失及びき損の防止その他の保有個人情報の適正な管理のために必要な措置を講じなければならない。」と規定し、民間企業向けの一般法である個人情報保護法19条と同等の「個人データの内容の正確性の確保」と、個人情報保護法20条の安全管理措置と同様の、「適正管理措置」を東京都の各行政機関・部局は講じなければならないと規定しています。
東京都個人情報保護条例

(適正管理)
第7条 実施機関は、保有個人情報を取り扱う事務の目的を達成するため、保有個人情報を正確かつ最新の状態に保つよう努めなければならない。
 実施機関は、保有個人情報の漏えい、滅失及びき損の防止その他の保有個人情報の適正な管理のために必要な措置を講じなければならない。

したがって、東京都が「TOKYOワクション」においていい加減な本人確認を行うことは、東京都個人情報保護条例7条1項および2項に抵触する違法・不当なものであると思われます。

さらに、「eKYC」方式による本人確認は、上の総務省の見解のように、第三者による「なりすまし」を防止できないため、金融機関が自社の口座開設など、自社が「なりすまし」によるリスクを負いきれる場面だけに利用されるものです。

この点、東京都の「TOKYOワクション」は、都民・国民のコロナワクチン接種というセンシティブな個人情報に扱うものであり、また、協賛企業から店舗での特典や、LINE社の「LINEポイント」の提供などを協賛企業やLINE社に求める仕組みであり、東京都のみが「なりすまし」が発生した場合のリスクを負いきれないスキームとなっています。

もし「なりすまし」を受けて偽造した「TOKYOワクション」のワクチン接種済の証明画面の提示などにより特典などを提供した協賛企業やLINE社などは、当該特典の相当額の損害賠償を東京都に請求することになり、杜撰な本人確認のスキームを導入していた東京都は、協賛企業に対する支援金だけでなく、その損害賠償請求に応じて損害額相当の金銭を支払わねばならない法的リスクを負うことになります(民法415条、709条)。

したがって、東京都は「TOKYOワクション」を一旦中止し、本人確認の方法などについて再検討を行うべきではないでしょうか。

6.東京都はこのような用途にLINEを利用してよいのか?
LINE社の通信アプリLINEは、2021年3月に朝日新聞の峯村健司氏などによるスクープ記事で、中国の関連会社に日本のユーザーのLINEの個人データへのアクセス権を付与していた問題や、日本のユーザーの画像データ・動画データなどの個人データのすべてを韓国の関連会社のサーバーに保管していた問題などが発覚し、個人情報保護法20条の安全管理措置の違反や同22条の委託先の監督の違反、憲法21条2項や電気通信事業法4条が定める「通信の秘密」を侵害していることが、「経済安全保障」という概念とともに大きな社会問題となりました。
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた

この事件を受けて、個人情報保護委員会と総務省は同年4月にLINE社に対して行政指導を実施しました。そして、同年4月30日付で内閣官房・個人情報保護委員会・金融庁・総務省「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」を制定し公表しました。
・「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」の公表について|金融庁

この「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」は、国・自治体の行政機関に対して、LINEによる行政サービスにおいては、原則、機密情報や個人情報などのやり取りは禁止とし、原則、国・自治体からの国民への単なる広報などに用途を限るものとして、おおむね、つぎの3点を規定しています。
内閣官房・個人情報保護委員会・金融庁・総務省「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」(2021年4月30日)の概要

①個人情報や機密情報に関する取扱いは原則禁止とする。

相談業務サービスなどをLINE上で実施する場合には、大前提として各政府機関・地方公共団体等のセキュリティポリシーへの合致が必要であり、その上で、LINE社とは別の委託先に適切にセキュリティが確保されたシステムを構築させること。

④国・自治体等が個人アカウントで機密情報・個人情報等を取扱うことは禁止。


今回の東京都の「TOKYOワクション」におけるLINEの利用は、この「「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」の「②相談業務サービスなどをLINE上で実施する場合には、大前提として各政府機関・地方公共団体等のセキュリティポリシーへの合致が必要であり、その上で、LINE社とは別の委託先に適切にセキュリティが確保されたシステムを構築させること。」が問題になると思われます。

この点、「各政府機関・地方公共団体等のセキュリティポリシーへの合致が必要」の点に関しては、「TOKYOワクション」が、都民・国民のコロナワクチンの接種という医療に関する個人データを取扱うものであるため、厚労省の「医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)」などへの合致が要求されると思われます。そこで厚労省の同ガイドラインをみると、「6.11.外部と個人情報を含む医療情報を交換する場合の安全管理」(77頁以下)「③「なりすまし」の危険性への対応」(79頁)において、医療関係の個人データを扱う情報システムについては、「なりすまし」のリスクを防止するために、公開鍵方式共有鍵方式等の確立された認証の仕組み」や「電子署名」を導入することが求められています。

ところが上でみたように、東京都の「TOKYOワクション」は、LINE経由で住民・国民の本人確認を行う際に、本人確認書類の画像をスマホのカメラ機能で収集し、LINE社のLINEアカウント認証を利用しているだけであり、公開鍵方式などや電子署名などの「なりすまし」防止のための仕組みを導入していないため、「各政府機関・地方公共団体等のセキュリティポリシーへの合致」に違反しています。

また、東京都の「TOKYOワクション」サイトやLINEの「TOKYOワクション」の「LINEで応募 TOKYOワクション キャンペーン概要」の「情報の取り扱いについて」などを読む限り、東京都は「TOKYOワクション」について、都民・国民のコロナワクチン接種というセンシティブな個人情報・個人データを取扱うにもかかわらず、LINE社の「LINEで応募」機能で都民のコロナワクチン接種に関する個人データを取扱うこととし、「LINE社とは別の委託先に適切にセキュリティが確保されたシステムを構築させること」を実施していないようです。

このように、東京都の「TOKYOワクション」は、内閣官房・個人情報保護委員会・金融庁・総務省の「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」に完全に違反しています。

7.まとめ
したがって、東京都の「TOKYOワクション」のスキームは、東京都個人情報保護条例に違反し、情報セキュリティの観点からも問題があり、さらに「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」に違反した、違法・不当なものです。

個人情報保護委員会や総務省などは、東京都に対して報告徴求や立入検査などを行うとともに、東京都に対して「TOKYOワクション」を中止する等の対応を行うべきではないでしょうか。

(なお、この東京都の「TOKYOワクション」サイトに掲載されているプライバシーポリシー(個人情報保護方針)も、「個人情報」の定義が明らかに間違っていたり、「個人情報の利用目的」の明示がなかったり、個人情報の開示・訂正・利用停止などの請求の手続きがまったく規定されていない等、個人情報保護法制的にツッコミどころ満載です。東京都の「TOKYOワクション」の担当部署は、厚労省のCOCOAの担当部署やデジタル庁などのように、個人情報保護法制や情報セキュリティの素人の人々の集まりなのでしょうか・・・。)
・「TOKYOワクション」の個人情報保護方針|東京都

面白かったらブックマークなどをお願いします!

■関連する記事
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた
・「幸福追求権は基本的人権ではない」/香川県ゲーム規制条例訴訟の香川県側の主張が憲法的にひどいことを考えた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」





























このエントリーをはてなブックマークに追加 mixiチェック

1634668211929

1.LINEの個人情報・通信の秘密に関する不祥事が発覚
2021年10月18日に、LINEの個人情報の事件に関するZホールディングスの有識者委員会の最終報告書が公表されました。

・「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について|Zホールディングス

朝日新聞の編集委員の峰村健司氏などによる2021年3月17日付のスクープ報道により、通信アプリ大手LINE(国内の月間利用者約8900万人・2021年9月現在)を運営するLINE社が、中国の関連会社にシステム開発やユーザーから通報を受けた投稿等に問題がないかどうかのチェックなどの業務を委託し、中国関連会社の技術者らが日本のLINEのサーバーの個人情報にアクセスすることができる状態にあったことや、日本のユーザーの画像データ、動画データなどのすべての個人データがLINE社の韓国の関連会社のサーバーに保存されていることが発覚し、LINE社とその親会社のZホールディングス社には大きな社会的非難が起きました。
・【独自】LINEの個人情報管理に不備 中国の委託先が接続可能|朝日新聞

■参考
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた

このLINEの事件に関しては、日本の約8900万人の個人データが中国の関連会社からアクセス可能であったことや、日本のユーザーの膨大な個人データが韓国の関連会社のサーバーに保管されていたこと等が、国民の個人情報保護やプライバシー保護の問題だけでなく、政府与党の要人や大企業の経営陣などの挙動が海外に密かに知られてしまうリスクや、国家の機密や大企業などの営業秘密などが海外に漏洩してしまうリスクとして、「経済安全保障」という新しいリスクとして社会的な大きな注目を集めました。

このLINEの事件を受けて総務省など国の官庁や多くの自治体は、LINEを利用した行政サービスを中止する事態となりました。

このLINE事件に関しては4月23日付で個人情報保護委員会がLINE社に対して行政指導を実施し、4月26日付で総務省がLINE社に行政指導を実施しました。また、個人情報保護委員会・総務省・金融庁・内閣官房は4月30日付で、「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」を制定・公表しました。しかし個人情報保護委員会はプレスリリースで、現在もLINE社に対する調査は続行中であることを公表していました。
・個人情報の保護に関する法律に基づく行政上の対応について(LINE株式会社・令和3年4月23日)|個人情報保護委員会
・LINE株式会社に対する指導|総務省
・「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」の公表について|金融庁

これに対してZホールディングス社はLINEの問題に関する有識者による調査委員会(「グローバルなデータガバナンスに関する特別委員会」、座長・宍戸常寿・東大教授(憲法・情報法))を設置し、調査を開始し、6月11日付で第一次報告書を公表しました。
・LINEの個人情報事件に関する有識者委員会の第一次報告書をZホールディンクスが公表

2.最終報告書
その後、2021年10月18日付でZホールディングス社の有識者委員会はLINEの事件に関する最終報告書を公表し、また同日、有識者委員会は座長の宍戸教授と川口洋委員(株式会社川口設計代表取締役)が記者会見を行いました。

・「グローバルなデータガバナンスに関する特別委員会」最終報告|Zホールディングス

このブログでは、LINEの個人情報などに関する不祥事について何回か取り上げてきましたが、本ブログ記事では、この最終報告書を簡単にみてみたいと思います。

3.中国の関連会社について
本最終報告書20頁以下を読むと、LINE社の情報セキュリティ部門は、外部の法律事務所に委託して中国のリーガルリスクの検討を行っていたが、2015年頃に中国向けアプリサービスを中止したことを受け、法律事務所に委託して中国のリーガルリスクを検討することが中断したとされています。そのため、「中国の国民や法人は中国政府の情報活動に協力する法的義務がある」(中国国家情報法7条)との規定がある2017年に中国で制定された中国国家情報法のリーガルチェックがLINE社において会社組織として漏れていたとされています(本最終報告書20頁)。

ライン2
(Zホールディングス社サイトより)

また、本最終報告書によると、有識者委員会の技術部会がログなどから調査を行ったところ、中国の関連会社の職員によるシステムの保守・開発や通報を受けたメッセージや画像などの確認のために、日本のサーバーにアクセスした件数は、2021年3月23日にLINE社が行った個人情報保護委員会及び総務省への報告においては、LINEアプリのトークに関して通報されたメッセージに係る情報を閲覧し得る権限によるアクセスについては132件、そのうちLINEアプリのトークに関して通報されたメッセージの内容を直接閲覧できるURLへのアクセスは32件としていたところ、その後の調査で、LINE社は、LINEアプリのトークに関して通報されたメッセージに係る情報を閲覧し得る権限によるアクセスについては132件から139件に、LINEアプリのトークに関して通報されたメッセージの内容を直接閲覧できるページ(URL)へのアクセスについては32件から35件が確認されたとしています(本最終報告書24頁注18)。

ただし、ログは一部しか保管がされていなかったことや、ページ(URL)へのアクセスのログはあっても、そのアクセスで具体的にどのような操作を行ったかのログは残っていないこと等も、本最終報告書には記載されており(本最終報告書24頁)、これらのアクセスの数字がどこまで正確なのか不明であり、また中国関連会社の職員等が具体的にアクセスしたメッセージに対して中国当局の諜報活動に協力する等のために当該メッセージをコピー等して別の端末などに保存した等の行為があったか否かについては不明のままです。

また、法律事務所などによる詳細なリーガルチェックは中断していたものの、その期間中もLINE社の情報セキュリティ部門は、「中国に関するサイバーセキュリティリスクとして、例えば、Huaweiに代表される中国企業の製品利用に関わるリスクや、中国のハッカー集団による攻撃リスク等、中国企業や政府に絡んだサイバー攻撃のリスクを認識し、分析・対応」しており、中国にはサイバーセキュリティリスクがある旨を経営陣に報告していたが、経営陣はそのような中国のセキュリティリスクを経営上の課題として適切に取り上げ、対応をしていなかったと本報告書は記述しています(本最終報告書24頁)。

ところが、本最終報告書は、技術部会によるログのチェックなどから、「これらは、開発及び保守プロセスにおける正規の作業であるということが確認された。このことから、技術検証部会におけるこれらの調査による限り、調査対象期間(2020年3月19日から2021年3月19日)において、LINE China社から外部の組織に対して、LMPに関する情報の漏えいは認められなかった。」(本最終報告書24頁)との、「情報漏洩は発生していない」との結論を導き出していますが、これは不祥事に対する有識者委員会の報告書としてあまり正しくないのではないでしょうか。

ライン24
(Zホールディングス社サイトより)

ただし、情報セキュリティ部門からの中国のセキュリティ上のリスクの報告があったにもかかわらず経営陣が適切な対応をとらなかったことに関して、本最終報告書は「このように経営陣がLINE社に求められるガバメントアクセスのリスクの検討やそれへの対応を怠ったと考えられ、結果、通信内容である送受信されたテキスト、画像、動画及びファイル(PDFなど)のうち、ユーザーから通報されたものについて、個人情報保護法制が著しく異なる中国の委託先企業からの継続的なアクセスを許容していたことは、極めて不適切であったと、本委員会は判断する。」(本最終報告書26頁)としていることは正当な評価であると思われます。

この点、中国の国家情報法については、制定された2017年前後においては、日本のマスメディアなどもこれを大きく取り上げ、同法7条により中国の個人・法人が中国当局の諜報活動・情報活動に協力する義務があることは国・大企業の役職員などにおいて公知の事柄であったにもかかわらず、かつ、社内の情報セキュリティ部門からの報告・進言があったにもかかわらず、LINE社の経営陣がLINEのシステムの保守・開発や通報のあったメッセージなどの監視・モニタリングなどの業務の委託を中国関連会社に漫然と継続し、中国関連会社からの日本のサーバーへのアクセス権の見直しなどの対応を実施していなかったことは、LINE社の個人情報取扱事業者としての安全管理措置(個人情報保護法20条)や、委託先の監督(同法22条)の明確な違反であると思われます。

個人情報保護法

(安全管理措置)
第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

(委託先の監督)
第22条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

つまり、個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」「8(別添)講ずべき安全管理措置の内容」「8-3 組織的安全管理措置」は、「(5)取扱状況の把握及び安全管理措置の見直し」として「個人データの取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組まなければならない。」と規定しています。

83組織的安全管理措置
(個人情報保護委員会「個人情報保護法ガイドライン(通則編)8-3 組織的安全管理措置」より)

また、同ガイドラインの「8-6 技術的安全管理措置」「(1)アクセス制御」として「担当者及び取り扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行わなければならない。」と規定しており、LINE社の経営陣はこれらの安全管理措置を完全に怠っているからです。

84技術的安全管理措置
(個人情報保護委員会「個人情報保護法ガイドライン(通則編)8-6 技術的的安全管理措置」より)

4.韓国の関連会社について
また有識者委員会の第一次報告書でも、LINE社は日本の国・自治体に対して、「LINEの個人情報を扱う主要なサーバーは日本国内にある」との虚偽の説明を2013年、2015年、2018年の3回実施していたことを公表しましたが、今回の最終報告書も同様の記述をしています。

LINE社の公共政策・政策渉外部門の担当者達「「LINEアプリの日本ユーザーに関する全てのデータが『日本に閉じている』旨の説明を国・自治体にしていたとされています。

しかしその理由について、本最終報告書は「本委員会による調査の範囲においては、公共政策・政策渉外部門の役職者が、上記の説明に反して、LINEアプリの画像や動画、ファイル(PDFなど)が韓国に保管されている事実を認識していたことを示す事実は確認されなかった」という不可解な結論を本文で示しています(本最終報告書46頁)。

しかし本最終報告書は同時に、脚注部分で、「公共政策・政策渉外部門の役職者のみが韓国サーバーに個人データが保存されていることを知らなかったとは考え難い」との委員の反対意見を付記しています(本最終報告書46頁注35)。

また、有識者委員会は、公共政策・政策渉外部門の役職者達「「LINEアプリの日本ユーザーに関する全てのデータが『日本に閉じている』」旨の説明を国・自治体にしていたことの理由をLINE社の経営陣にヒアリングしたところ、出澤代表取締役社長CEO(ChiefExecutiveOfficer)をはじめとするLINE社の経営陣(取締役)は、いずれも画像、動画及びファイル(PDFなど)は韓国で保管されていると認識していた一方、このような説明が行われていた事実を認識していなかったと説明した。このほか、本委員会による調査の範囲においては、LINE社の経営陣が公共政策・政策渉外部門の役職員が当該説明を行っていたことについて関与した事実は認められなかった。と本文では結論づけられてしまっています(本最終報告書47頁)。

しかしこの点に関しても、本最終報告者は脚注部分で、「本委員会では、本文の結論に対し、以下のとおり反対意見があった。公共政策・政策渉外部門の役職員による「日本に閉じている」との説明は、本文記載のとおり、地方公共団体、中央省庁、政党等の公的機関に対し繰り返してなされたものであり、本委員会の委員の中にも直接これを耳にしたことがある者が複数名存在した。「日本に閉じている」という説明は、まさに公然と繰り返されていたと評価しうるのである。それにもかかわらず、LINE社の上級役員らがこの説明のことを知らなかったとは、およそ信じがたいところである。むしろ、上級役員らはこの説明を知っており、上級役員らの「韓国色を隠す」という意向・方針に沿ってこのような説明が繰り返されたと考えるのが自然である。との委員からの反対意見を付加しています(本最終報告書47頁注37)。

ライン47
(本最終報告書47頁注37より)

これは、ここ最近の10年、20年の日韓関係が冷え込んでいる状況から、LINE社が、LINEがもともと韓国のものであるという「韓国色」を明確にすると、日本の利用者・ユーザーからの不評を買い、LINEサービス利用の低下などの風評リスクが発生することを恐れたLINE社の経営陣や役職員達が、「韓国色隠し」を全社的に行っていた結果、日本の国・自治体や一般国民や企業などへの説明も、「LINEアプリの日本ユーザーに関する全てのデータが『日本に閉じている』」という趣旨の虚偽のものになってしまったと考えるのが自然なのではないでしょうか。

本最終報告書がこのように切り込み不足・踏み込み不足で、結果としてLINE社やZホールディングス社に有利となるような結論ばかりが目につくのは、この報告書のための調査や作成を行った委員会は外部の弁護士などによる第三者委員会ではなく、あくまでも有識者委員会であることの限界なのではないでしょうか。

現に、本有識者委員会の座長の宍戸常寿教授は、LINE社の傘下団体である一般財団法人 情報法制研究所(JILIS)参与であり、この有識者委員会の報告書は自然とLINE社やZホールディングスに忖度した内容となってしまっているのではないでしょうか。
・メンバー紹介|情報法制研究所

(なお、このように特定のIT企業と関係の深い情報法制研究所に、日本の著名な情報法や情報セキュリティの学者・研究者の先生方のほとんどが所属しておられる状況は、日本の情報法学の健全な発展や学問の自由(憲法23条)を阻害しないのか懸念が残ります。)

いずれにせよ、上でみた、中国の国家情報法によるセキュリティ上のリスクへの対応を漫然と放置していたことや、日本の国・自治体や国民・法人・ユーザーに対して「韓国色隠し」の虚偽の説明を行っていたこと等について、LINE社の出澤剛社長をはじめとする経営陣は今後、取締役の善管注意義務・忠実義務などの法的責任経営責任について、株主代表訴訟なども含めて、会社や株主、ユーザー・利用者、監督官庁・国民などから厳しく責任を追及されるのは必至であろうと思われます。(会社法355条、423条、429条、847条、民法644条など、江頭憲治郎『株式会社法 第7版』434頁、469頁)。

会社法
(忠実義務)
第355条 取締役は、法令及び定款並びに株主総会の決議を遵守し、株式会社のため忠実にその職務を行わなければならない。

(役員等の株式会社に対する損害賠償責任)
第423条 取締役、会計参与、監査役、執行役又は会計監査人(以下この章において「役員等」という。)は、その任務を怠ったときは、株式会社に対し、これによって生じた損害を賠償する責任を負う。

民法
(受任者の注意義務)
第644条 受任者は、委任の本旨に従い、善良な管理者の注意をもって、委任事務を処理する義務を負う。

5.LINEpayの問題
さらに、LINEpayについては、LINE社は資金決済法39条に基づき、資金移動業を行うための申請書類として、商号及び住所、資本金の額、「資金移動業の一部を第三者に委託する場合にあっては、当該委託に係る業務の内容並びにその委託先の氏名又は商号若しくは名称及び住所」(同法38条1項9号)などを金融庁・財務局に申請し、金融庁・財務局は登録簿(資金移動業者登録簿)に登録する必要があるところ、LINE社は韓国、台湾及びタイの子会社にも資金移動業を委託していたにもかかわらずその申請を怠っており、金融庁の登録簿と現実に齟齬が発生していたことが本最終報告書では明らかにされています(本最終報告書70頁)。

キャッシュレス決済の資金移動業という金融機関の業務に関する申請書類において、金融庁への申請漏れがあったということは、金融業としては重大なミスであり、金融庁・財務局はヒアリングや報告徴求立入検査などを実施し(資金決済法54条)、業務改善命令(同55条)などの行政処分をLINE社に対して発出すべき事態ではないでしょうか(堀天子『実務解説 資金決済法 第3版』160頁、167頁、177頁)。

こういったところにも、LINE社がベンチャー企業として急成長した企業にありがちなように、利益の追求や業務の拡大には熱心な一方で、コンプライアンスガバナンスなどをおろそかにしている傾向がみられます。

6.LINEヘルスケア・LINEドクターなどの問題
本年3月には、LINE社は韓国の関連会社のサーバーに保管されている日本のユーザーの画像データ・動画データなどの個人データを日本のサーバーに移動させる方針を発表しました。この点に関して、本最終報告書はおおむね予定通り進んでいるとしています(本最終報告書27頁)。

しかし、LINEヘルスケア・LINEドクターに関して本最終報告書を読んでみると、LINEヘルスケア・LINEドクター等に関連する決済関係の情報(医療機関名称、所在地、担当者氏名、決済情報等)が、現在でも、韓国のLINEグループの財務情報システムに保存されており、このデータに関しては日本に移転するか否か検討中となっています(本最終報告書71頁、72頁)。

ライン72
(Zホールディングス社サイトより)

医療に関連するデータがまだ韓国の関連会社のサーバーに残っていて、しかもLINE社は当該データを日本に移転させるか否か検討中としている点については、医療データはセンシティブな個人情報であることに鑑み、厚労省や個人情報保護委員会は、これらのデータも日本に移転させるように行政指導などを実施すべきではないでしょうか。

欧州のGDPR(EU一般データ保護規則)などでは、医療データ・健康データや生体データなど「特別カテゴリーの個人データ」(GDPR9条)として厳格な取扱いが要求され、クレジットカードなどの金融関連のデータ個人データの取扱の安全性を規定するGDPR32条により厳格な取扱いが要求されます。

これに対して日本は、平成27年の個人情報保護法の改正で思想・信条や病歴、犯罪歴などに関する「要配慮個人情報」(法2条3項)という用語を新設しました。しかし、最近のJR東日本の防犯カメラ・顔認証技術による犯罪歴のある人物や不審者などの監視の問題などに見れれるように、日本は医療データや金融データなどのセンシティブな個人データの企業などによる取扱に関して中央官庁の対応が非常に甘すぎるのではないかと強く懸念されます。

7.虚偽の報告の罰則の可能性?
今回の最終報告書では、中国などの委託先企業からのアクセス件数がこれまでの報告書よりさらに増加したことや、LINE社の出澤社長ら経営陣が「日本の個人データは日本にある」との国・自治体や国民・法人への3回の虚偽の説明に関して「関与していない」等と主張してる件などについて、個人情報保護法85条は、個人情報保護委員会が報告徴求や立入検査をした場合(法40条)に事業者が虚偽の報告や検査忌避などをした場合の罰則を規定しているところ、この罰則が発動されるのか個人的には気になるところです。

LINE社内のコンプライアンスやガバナンスが極めて低いレベルであることから、個人情報保護委員会による追加の報告徴求・立入検査や、追加の行政指導等は必至と思われますし、金融庁や厚労省等も少しは行政指導・行政処分を実施すべきではないかと一般国民としては考えます。

8.「通信の秘密」について
なお、本最終報告書も個人情報保護法や情報セキュリティに関する検討がほとんどで、憲法21条2項が明記し、電気通信事業法4条や同179条が罰則付きで明示する「通信の秘密」に関して、有識者委員会がほとんど検討を行っていないことが気になります。座長の宍戸教授などをはじめ、憲法・情報法の専門家の先生方が委員を務めておられるにもかかわらずです。

日本国憲法
第21条 集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。
 検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。

電気通信事業法
(秘密の保護)
第4条 電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。
 電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。

【追記】 LINE社は、総務省に届出を行い通信事業を行っている電気通信事業者です(届出番号A-20-9913)。そのためLINE社は電気通信事業法が定める「通信の秘密」(法4条)などを遵守する義務を負っています。)

電気通信事業法4条の「通信の秘密」には、通信の内容や本文が保護対象となるのは当然として、宛先や差出人、通信をした年月日、通信の有無、電子メールやネットなどの場合にはヘッダー情報、メタデータなどの通信の外形的な事項も含まれるとされています。そして「通信の秘密」については、「緊急避難」、「正当業務行為」あるいは利用者の「本人の同意」などがあった場合には、通信の秘密侵害は例外的に許容されるとされています(曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁、大阪高裁昭和41年2月26日判決、實原隆志『新・判例ハンドブック 情報法』(宍戸常寿編)140頁)。

しかし、今回のLINEの事件については、中国の関連会社が日本のサーバーにアクセス可能であったことや、日本のユーザーの画像データ・動画データなどのすべてが韓国のサーバーに保存されていたこと等は、緊急避難、正当業務行為、本人の同意、のいずれにも該当せず、やはりLINE社の日本のユーザーの情報の雑然とした取扱いは、個人情報保護法上問題となるだけでなく、電気通信事業法の観点からも違法となり罰則などが適用されるべき状況なのではないでしょうか。

ところが、総務省が2021年4月26日付で行ったLINE社に対する行政指導においては、個人情報保護法上の安全管理措置や情報セキュリティなどに関する指導が行われている一方で、「通信の秘密」に関しては何故かほとんどスルーされています。
・LINEの通信の秘密の問題に対して総務省が行政指導を実施

総務省は、2021年9月30日にはインターネットイニシアティブ(IIJ)に対しては、通信の秘密侵害があったとして行政指導を実施していますが、LINE社に対しては通信の秘密侵害について行政指導等を実施しないことは、行政の公平性・中立性(憲法15条2項、国家公務員法96条1項)が害される不公平な状況なのではないでしょうか。
・株式会社インターネットイニシアティブに対する通信の秘密の保護及び個人情報の適正な管理に係る措置(指導)|総務省

(なお、本最終報告書はその他にも、警察等からの照会へのLINE社の対応や、LINE社と情報法制研究所(JILIS)との関係などについても調査・検討しているのは興味深いものがあります。)

面白かったらブックマークなどをお願いします!

■参考文献
・岡村久道『個人情報保護法 第3版』87頁、218頁、220頁、227頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁
・實原隆志『新・判例ハンドブック 情報法』(宍戸常寿編)140頁
・小向太郎・石井夏生利『概説GDPR』64頁、105頁
・江頭憲治郎『株式会社法 第7版』434頁、469頁
・堀天子『実務解説 資金決済法 第3版』160頁、167頁、177頁

■関連する記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関する有識者委員会の第一次報告書をZホールディンクスが公表
・LINEの通信の秘密の問題に対して総務省が行政指導を実施
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた
・「幸福追求権は基本的人権ではない」/香川県ゲーム規制条例訴訟の香川県側の主張が憲法的にひどいことを考えた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」

































このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ