なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人情報保護委員会

ai_shigoto
7月1日に日本データベース学会の「2023年度第1回DBSJセミナー「AI生成コンテンツ利用における法的課題や活用事例」」をオンラインで受講しました。弁護士の田中浩之先生の個人情報保護法に関する講義が大変勉強になったので、講義中にとったメモをまとめてみたいと思います。(メモのため、もし間違いがあった場合それは私の責任です。)

1.学習済みパラメータは、個人情報に当たるか?
個人情報保護法ガイドラインQA1-8によれば個人情報にあたらない。また同QA2-5によれば個人情報の取扱いではないのでプライバシーポリシーの利用目的に記載する必要はない。

2.生成AIと要配慮個人情報について
●個人情報をAIでプロファイリングして得られた推知情報が要配慮個人情報に該当するかについては、該当しないとするのが日本の個人情報保護法学界の多数説である。

●ネット上の個人データの収集(スクレイピング)自体については個人情報保護法はこれを規制していない。しかし要配慮個人情報の取得については原則として本人の同意が必要となる(法20条2項)。ただし法20条2項7号は「当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第五十七条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合」には本人同意が不要と規定しているので、本人がネット上の要配慮個人情報を公開している場合などはこの例外規定が適用される。

●ネット上の要配慮個人情報の収集(スクレイピング)については、個人情報保護委員会(PPC)が6月2日付で発出した「生成AIサービスの利用に関する注意喚起等について」の「【別添2】OpenAIに対する注意喚起の概要」の1.(1)(2)が参考になる。すなわちPPCはつぎのように整理している。

PPCの要配慮個人情報の図
(個人情報保護委員会「生成AIサービスの利用に関する注意喚起等について」「【別添2】OpenAIに対する注意喚起の概要」より)

3.生成AIと第三者提供
●個人情報をchatGPT等の生成AIに入力することはchatGPT(openAI社)等への第三者提供に該当するのか?
・個人情報保護法ガイドラインQA7-53、54はクラウトサービスに事業者が個人情報を預ける場合に関して、それがただ単に「倉庫として利用しているような場合」には第三者提供には該当しないとしているところ、chatGPT等の生成AIは処理や機械学習などを行っているので、これを「倉庫として利用しているような場合」と考えることはできず、原則として第三者提供に該当すると考えるべきであろう。

ただし、上述の個人情報保護委員会の「生成AIサービスの利用に関する注意喚起等について」の「【別添1】生成AIサービスの利用に関する注意喚起等」は、生成AIが機械学習をしていないのであれば第三者提供に該当しないと読める。

なお、openAI社のchatGPTの利用規約などを読むと、openAI社は「入力された情報を30日間保存する」と規定している。しかしこの点については、個人情報保護法27条1項2号の「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。」に該当する場合であるとして、第三者提供にあたらないと考えることは可能であろう。

企業などがopenAI社とデータ処理契約(DPA)を締結してchatGPTを利用する場合には、契約内容にてこれらの点を問題ないように処理できるであろう。しかしopenAI社とデータ処理契約を締結できない個人の利用などの場合には、第三者提供の問題が起きることになるであろう。

4.生成AIと不適正利用禁止規定
●chatGPTなどの生成AIが勝手に個人情報に関する回答を行ったらどうなるか?
・このような場合については、chatGPTなどの生成AIは統計的な計算により回答を行っていることから第三者提供にはあたらないと考えることもありうる。とはいえ、chatGPTなどが嘘の前科を回答する事例は現実に発生しており、これは大問題といえる。

この点に関しては個人情報保護法19条の不適正利用の禁止の条文の適用も考えられるが、個人情報保護委員会はこの条項を伝家の宝刀としてこれまではあまり発動してこなかった。しかし、個人情報保護委員会が本年3月に公表した、「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(令和5年3月)」20頁はつぎのように記述しており、個人情報保護法とプライバシーが重なり合う場面において、法19条の不適正利用禁止条項が法執行されることが今後はあるかもしれないと思われる。

防犯カメラ報告書20頁
(個人情報保護委員会「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(令和5年3月)」20頁より)

このブログ記事が面白かったらシェアやブックマークをお願いします!

■関連するブログ記事
・chatGPT等の「生成AIサービスの利用に関する注意喚起等について」に関して個人情報保護委員会に質問してみた
・【備忘録】文化庁の著作権セミナー「AIと著作権」について
・個人情報保護委員会の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関するパブコメに意見を書いてみた

人気ブログランキング

PR




このエントリーをはてなブックマークに追加 mixiチェック

ai_shigoto

1.はじめに
2023年6月2日付で個人情報保護委員会(PPC)はchatGPTなどに関する「生成AIサービスの利用に関する注意喚起等について」を発出しました。この文書の「【別添1】生成AIサービスの利用に関する注意喚起等」の(1)の部分は個人情報取扱事業者(=民間企業等)に対する注意喚起ですが、やや包括的な書きぶりで疑問点があったため、PPCに電話にて確認してみました。PPCの担当者の方のご回答はおおむね次の通りでした。
・生成AIサービスの利用に関する注意喚起等について(2023年6月2日)|個人情報保護委員会

2.質問とPPCの回答
(1)個情法の何条違反となるのか
質問:「【別添1】生成AIサービスの利用に関する注意喚起等」(1)②は「あらかじめ本人の同意を得ることなく生成AIサービスに個人データを含むプロンプトを入力し、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該個人情報取扱事業者は個人情報保護法の規定に違反することとなる可能性がある」とのことであるが、これは具体的には法何条に違反する可能性があるのであろうか?目的外利用あるいは第三者提供などとご教示いただきたい。」

PPCの回答:「とにかくchatGPTなど生成AIサービスについてはまだ分からないことが多い。そのため、個情法の何条に違反するというよりも、個人情報取扱事業者の義務を規定した法第4章の事業者のすべての義務に違反するような個人データの入力や利用は止めてもらいたいという趣旨である。」

(2)「応答結果の出力」ー委託の「混ぜるな危険」の問題
質問:「(1)②の「応答結果の出力以外の目的で取り扱われる場合…個人情報保護法の規定に違反する可能性」とあるということは、「応答結果の出力」の目的の範囲内であれば適法であると読めるが、「応答結果の出力」の目的の範囲内であっても、例えば個人情報保護法ガイドラインQA7-41等の委託の「混ぜるな危険の問題」に抵触するような場合、つまりopenAI社が他社から委託を受けた個人データと突合・名寄せする等して応答結果を出力するような場合は法27条5項1号違反となる可能性があるのではないか?」

PPCの回答:「たしかにその場合には違法の可能性がある。とにかく個情法第4章の個人情報取扱事業者の義務に抵触するような個人データの入力や利用は止めてもらいたいという趣旨である。」

(3)個人情報保護法ガイドラインQA7-39の「委託元から提供された個人データを委託先は自社の分析技術の改善のために利用することができる」について
質問:「(1)②の最後の部分に、「当該生成AIサービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること」とあるが、個人情報保護法ガイドラインQA7 -39は「委託に伴って提供された個人データを、委託業務を処理するための一環として、委託先が自社の分析技術の改善のために利用することはできるか」との問いに「委託先は、委託元の利用目的の達成に必要な範囲内である限りにおいて、委託元から提供された個人データを、自社の分析技術の改善のために利用することができる」と説明しているが、このQA7-39との関係をどう理解すればよいのだろうか?」

PPCの回答:「委託元の利用目的の範囲内であれば、委託先は自社の分析技術の改善つまり業務効率化に利用できるということであるが、業務効率化を超えるような利用があるとしたら、そのような個人データの利用は止めてもらいたい。とにかく当委員会としても生成AIサービスについてはまだよく分かってないことが多いので、個人情報取扱事業者においては個情法第4章の義務全般に違反する生成AIサービスの利用は止めてもらいたいという趣旨である。」

3.まとめ
PPCのご担当者の方が、「当委員会としても生成AIサービスについてはまだよく分かってないことが多い」ので、「個人情報取扱事業者においては個情法第4章の義務全般に違反する生成AIサービスの利用は止めてもらいたい」と繰り返し回答されていることが印象に残りました。

PPCがこのようなスタンスであるということは、民間企業など個人情報取扱事業者においては、chatGPTなどの生成AIサービスの利用については慎重の上に慎重に検討した上で個人データの入力などの利用を行う必要があると思われます。

(また、上の(2)では委託のスキームを前提とした質問を行い、PPCのご担当者もそれに沿った回答をしていただいていますが、生成AIサービスを利用する事業者の個人データの入力は、PPCが「当委員会としても生成AIサービスについてはまだよく分かってないことが多い」と繰り返し回答していることからも、委託というよりは第三者提供と考えたほうが安全なように思われました。)

このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR






このエントリーをはてなブックマークに追加 mixiチェック

bouhan_camera
1.はじめに
「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関するパブコメが2023年1月12日から2月12日まで行われていたところ、その結果が3月23日に公表されたので、誤登録の問題の部分を中心にざっと読んでみました。

・犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書を公表しました。|個人情報保護委員会

結論からいうと、本パブコメ結果は、個人情報保護委員会の回答をみると、つぎの回答7にあるような「本報告書案では、顔識別機能付きカメラシステムを導入する際に、個人情報保護法の遵守や肖像権・プライバシー侵害を生じさせないための観点から少なくとも留意するべき点や、被撮影者や社会からの理解を得るための自主的な取組について整理を行っています。 まずは、事業者において、本報告書を踏まえて適切な運用を行うことが期待されます。」という形式的な回答が多く、誤登録の問題にあまり前向きでないと感じました。どこか他人事のように見えます。

【意見7】
(略)ガイドラインやQ&Aに示されていても改善されない。よって、第三者機関によるチェック体制が必要である。 運用基準は国会で議論し立法化して欲しい。 【個人】

【PPCの回答7】
本報告書案では、顔識別機能付きカメラシステムを導入する際に、個人情報保護法の遵守や肖像権・プライバシー侵害を生じさせないための観点から少なくとも留意するべき点や、被撮影者や社会からの理解を得るための自主的な取組について整理を行っています。 まずは、事業者において、本報告書を踏まえて適切な運用を行うことが期待されます。

2.誤登録の問題
とはいえ、いわゆる「誤登録」の問題、「防犯カメラの万引き犯の冤罪被害者」の問題について、つぎの個人情報保護委員会(PPC)の回答は比較的丁寧に回答しています。

すなわち、誤登録された本人は、「個人情報取扱事業者に対して、法第33条に基づく開示請求、法第34条に基づく訂正等請求及び法第35条に基づく利用停止等請求を行うことができ」るとし、そして「個人情報取扱事業者は、これらの条文に従って対応する必要があります。」としています。またPPCは、本報告書案においては、「自らの個人情報が誤登録されていると考える者から、開示等の請求やその他問合せがあった際に、請求者の請求に応じた対応や、誤登録の有無を直ちに確認し、誤登録の場合には消去するための体制をあらかじめ整えておくことが望ましい。」と明記したとしています。

【意見272】
防犯カメラの顔認証登録について、誤登録の可能性と、登録された本人には認知も抗議もできない一方的な現状に抗議する。(略)【個人】

【PPCの回答272】
照合用データベースに登録されているデータが保有個人データである場合には、当該保有個人データの本人は、個人情報取扱事業者に対して、法第33条に基づく開示請求、法第34条に基づく訂正等請求及び法第35条に基づく利用停止等請求を行うことができ、個人情報取扱事業者は、これらの条文に従って対応する必要があります。 また、本報告書案においては、「自らの個人情報が誤登録されていると考える者から、開示等の請求やその他問合せがあった際に、請求者の請求に応じた対応や、誤登録の有無を直ちに確認し、誤登録の場合には消去するための体制をあらかじめ整えておくことが望ましい。」と示しています。

3.施行令5条の問題
個人情報保護法施行令5条各号に該当すれば当該データは保有個人データではなくなり、個人情報取扱事業者は保有個人データに関する義務を負わなくてよい(個情法16条4項)と現行制度がなってしまっているところにはつぎのように多くの意見が寄せられていました。

施行令5条
(個人情報保護法施行令5条。PPCの本有識者検討会議の資料2より)

しかしこれに対してもPPCの意見は形式論が目立ちます。PPCは「なお、施行令第5条の該当性は個別の事案に応じて慎重に判断されるべきものであり、防犯目的であれば直ちに施行令第5条に該当するということを述べるものではありません。」と説明していますが、しかし誤登録の人々がスーパーや警備会社などに申し出を行っても「当店ではそのようなDBはない」等と回答されてしまっている実務を変えるものとはなっていません。

【意見45】
(意見内容)
定義コに以下の注釈を加える。 注釈:誤検知は本人が認識できない可能性があることも考慮されるべきである。また、防犯目的では省令5条で保有個人データとして扱わなくて良いと書いてあるが、問い合わせに対して該当なしとの回答を安易に返すべきではない。

(理由)
本人が誤登録されていることをどのような手段で認識するかは大きな問題であり、指摘すべき項目である。 また、防犯目的では省令5条で保有個人データとして扱わなくて良いと書いてある。そうすると、該当なしとの回答になってしまい、誤登録された場合の濡れ衣被害が継続することになる可能性がある。 【一般社団法人MyData Japan】

【PPCの回答45】
第2章は用語の定義を行っているものであり、顔識別機能付きカメラシステムの利用の在り方について述べるものではありませんので原案どおりとさせていただきます。 なお、施行令第5条の該当性は個別の事案に応じて慎重に判断されるべきものであり、防犯目的であれば直ちに施行令第5条に該当するということを述べるものではありません。


【意見94】
32頁7行目以下について、個情法第4章の個人情報取扱事業者の顔データの取扱いの各義務が検討されているが、そのような法の運用をするためには、個情法16条4項や個情法施行令5条の改正が必要なのではないか。 個情法第4章の個人情報取扱事業者の顔データの取扱い等が検討されているが、しかし顔識別機能付き防犯カメラによる顔データは、個情法施行令5条のいずれかの号に該当し、当該顔データは保有個人データではないということになり(個情法16条4項)、結局、顔識別機能付き防犯カメラを運用する個人情報取扱事業者は個情法を守る必要がないということになってしまうが、そのような結論はいわゆる「防犯カメラの万引き犯の冤罪被害者」の被害との関係で妥当とは思えない。そのため個情法16条4項や施行令5条の法改正などの法的手当が必要なのではないか。 【個人】

【PPCの回答94】
施行令第5条の該当性は個別の事案に応じて慎重に判断されるべきものであり、防犯目的であれば直ちに施行令第5条に該当するということを述べるものではありません。 また、保有個人データには該当しない場合であっても、個人情報取扱事業者は、個人情報又は個人データを取り扱う場合は、個人情報保護法の定めに基づき取り扱わなければなりません。

4.個情法19条
なお、スーパーや警備会社等が誤登録の人々からの申し出に誠実に対応しないことは個情法19条(不適正利用の禁止)や個情法23条(安全管理措置)違反となるのではないかとの意見に対してもPPCは答えをはぐらかしてゼロ回答です。

個人情報保護法
(不適正な利用の禁止)
第十九条 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

(安全管理措置)
第二十三条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

【意見112】
誤登録された人、いわゆる「防犯カメラの万引き犯の冤罪被害者」の人からの苦情や開示請求・削除等の請求に個人情報取扱事業者が誠実に対応しないことも個情法19条違反または法23条違反となることを明記すべきではないか。 誤登録された人、いわゆる「防犯カメラの万引き犯の冤罪被害者」の人からの苦情や開示請求・削除等の請求に個人情報取扱事業者が誠実に対応しないことも「違法又は不当な行為を助長し、又は誘発するおそれがある方法」による個人情報の利用または安全管理措置違反であるといえる。 【個人】

【PPCの回答112】
照合用データベースに登録されているデータが保有個人データである場合には、当該保有個人データの本人は、個人情報取扱事業者に対して、法第33条に基づく開示請求、法第34条に基づく訂正等請求及び法第35条に基づく利用停止等請求を行うことができ、個人情報取扱事業者は、これらの条文に従って対応する必要があります。
また、第5章6(3)において、法令上の開示等の請求に該当しないような法令上対応する義務がない問合せについても、信頼醸成の観点から、できる限り丁寧に対応していくことが重要であると示していますので、原案どおりとさせていただきます。

5.共同利用の問題
さらに、個人データの共同利用(個情法27条5項3号)においてどの範囲までを認めるのか、全国レベルの共同利用も認めてよいのかについては、本有識者検討会でも長く議論がなされ、「全国レベルでの共同利用には事前に個人情報保護委員会への相談を求めるべき」などの意見が出されていたにもかかわらず、本報告書はその点をスルーしてしまっています。この点に関するPPCの回答も木で鼻をくくったような形式的なものとなっています。

【意見210】
顔識別機能付きカメラシステムによる顔データの共同利用については、全国レベルや複数の県をまたがる等の広域利用を行う場合には、事前に個人情報保護委員会に相談を求めることを明記すべきではないか。そのために必要であれば個情法の法改正等を行うべきでないか。 第6回目の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」の議事録5頁に、「そういった観点から、一つ地域というのがメルクマールになると理解している。広域利用に関しては相当の必要性がなければできないとしつつ、個人情報保護委員会に相談があったような場合に対応していくのが1つの落としどころかと感じた。」との議論がなされているから。 また、宇賀克也『新・個情法の逐条解説』275頁、園部逸夫・藤原静雄『個情法の解説 第二次改訂版』187頁などにおいても、共同利用が許される外延・限界は「一つの業界内」、「一つの地域内」などと解説されており、全国レベルの共同利用や県をまたぐ広域利用、業界をまたぐ共同利用などは法が予定していないと思われるから。

【PPCの回答210】
個人情報保護法には、個人情報取扱事業者における個人情報の取扱いについて、事前審査に係る規定は設けられておりません。(後略)

6.防犯カメラについて立法を求める意見などについて
さらに防犯カメラの運用に関して規制法を国会で立法すべきとの意見も非常に多く寄せられていましたが、これに対してもPPCは「本報告書案では、顔識別機能付きカメラシステムを導入する際に、個人情報保護法の遵守や肖像権・プライバシー侵害を生じさせないための観点から少なくとも留意するべき点や、被撮影者や社会からの理解を得るための自主的な取組について整理を行っています。 まずは、事業者において、本報告書を踏まえて適切な運用を行うことが期待されます。」という形式論で退けてしまっています。(本有識者検討会のメンバーの一人の山本龍彦・慶大教授は「防犯カメラについて事業者等や行政にガイドライン等を遵守させるための枠組み立法が必要」とのお考えだったのですが、残念です。)

7.まとめ
このように本パブコメ結果はおおむね、NECや全国万引犯罪防止機構などの防犯カメラの利活用を行う事業者や団体の意向に沿う一方で、誤登録の被害を受けた個人や、これからそのような被害を受けるかもしれない国民の意思を不当に軽視したものといえます。

EUでは2021年にAI規制法案が公表され、警察当局等による公共空間での防犯カメラの利用は禁止となっています。またEUのGDPR22条はコンピュータの個人データの自動処理のみによる法的決定等を拒否する権利を規定しています。日本でも近年、情報法制研究所の高木浩光先生が、個人情報保護法(個人データ保護法)の立法目的は「データによる人間の選別・差別」を防止することであると主張し、注目を集めています。(防犯カメラの誤登録の問題は「データによる人間の選別・差別」の問題そのものと思われます。)このような世界や日本の近年の動向に、誤登録の問題に消極的な日本のPPCの本パブコメ結果は大きく逆行しています。顔識別機能付き防犯カメラの問題は、引き続き国会などで議論が行われてほしいと思います。

※なお、本パブコメ結果後のPPCの予定が不明だったので、PPCに電話にて問い合わせを行ったところ、「本パブコメ結果を踏まえて、個人情報保護法ガイドラインQ&Aの見直しを行う」とのことでした。

このブログ記事が面白かったらシェアやブックマークをお願いします!

■関連するブログ記事
・個人情報保護委員会の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関するパブコメに意見を書いてみた
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた(追記あり)

■参考文献
・宇賀克也『新・個情法の逐条解説』275頁
・園部逸夫・藤原静雄『個情法の解説 第二次改訂版』187頁
・成原慧「プライバシー」『Liberty2.0』187頁
・高木浩光「高木浩光さんに訊く、個人データ保護の真髄」 | Cafe JILIS



[広告]






このエントリーをはてなブックマークに追加 mixiチェック

bouhan_camera

個人情報保護委員会の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関するパブコメ(2023年1月12日~2月12日)に、つぎのような意見を書いて提出しました。

1.「2 本報告書の対象範囲について」について
(該当箇所)
2頁8行目
(意見)
「2 本報告書の対象範囲について」に、本報告書30頁に記載のある「ドローンやロボット」、トヨタなどのコネクテッドカー・「つながる自動車」の車載カメラ、職場やリモートワークの業務用PCのカメラなども対象として含まれることを明記すべきではないか。
(理由)
記載が抜けているため。


2.「(2)顔識別機能付きカメラシステムを利用することの懸念点」について
(該当箇所)
11頁15行目
(意見)
「(2)顔識別機能付きカメラシステムを利用することの懸念点」の部分に、顔識別機能付きカメラシステムによる誤登録や、いわゆる「防犯カメラの万引き犯の冤罪被害者」の問題を明記すべきではないか。
(理由)
顔識別機能付きカメラシステムに関する一番の問題点・課題であると思われるから。


3.「エ 撮影の態様」について
(該当箇所)
17頁・12行目
(意見)
「エ 撮影の態様」の部分に、⑦⑭の裁判例などに関連し、「防犯カメラが追跡的か、被撮影者のプライバシー侵害が強度か」などの「手段・方法の相当性」の観点も明記すべきではないか。
(理由)
⑭、⑦などの裁判例は、違法性の判断において、防犯カメラによる被撮影者のプライバシー侵害が強度か否かなどにより防犯カメラの手段・方法の相当性を検討しているため。また、GPS捜査事件判決(最高裁平成29年3月15日判決)も「継続的・網羅的」な情報収集はプライバシー侵害となり個別の立法が必要である旨判示しており、手段・方法の相当性の検討も、顔識別機能付き防犯カメラシステムを検討する上で重要であるため。


4.住基ネット訴訟の最高裁判決の「判旨」について
(該当箇所)
28頁・3行目
(意見)
住基ネット訴訟の最高裁判決の「判旨」に、「裁判所は、①システムの技術上の安全性、②十分な法的手当の存在などの構造審査により住基ネット制度を適法とした」等の記述を置くべきではないか。
(理由)
情報システム上の十分な安全性および十分な法的手当が施されていない情報システムを、裁判所は違法と判断することを本判決は示しており、このことは顔識別機能付き防犯カメラシステムを検討する上で重要であるから。


5.「顔画像とそれに関する情報の例①」および「顔画像とそれに関する情報の例②」の図について
(該当箇所)
31頁・1行目と9行目
「顔画像とそれに関する情報の例①」および「顔画像とそれに関する情報の例②」の図
(意見)
図に顔特徴データを加えるべきではないか。
(理由)
重要なのは顔画像でなく顔特徴データなので。


6.個人情報保護法第4章の個人情報取扱事業者の顔データの取扱いの各義務と法16条4項や個人情報保護法施行令5条について
(該当箇所)
32頁7行目以下
(意見)
個人情報保護法第4章の個人情報取扱事業者の顔データの取扱いの各義務が検討されているが、そのような法の運用をするためには、個人情報保護法16条4項や個人情報保護法施行令5条の改正が必要なのではないか。
(理由)
個人情報保護法第4章の個人情報取扱事業者の顔データの取扱い等が検討されているが、しかし顔識別機能付き防犯カメラによる顔データは、個人情報保護法施行令5条のいずれかの号に該当し、当該顔データは保有個人データではないということになり(個人情報保護法16条4項)、結局、顔識別機能付き防犯カメラを運用する個人情報取扱事業者は個人情報保護法を守る必要がないということになってしまうが、そのような結論はいわゆる「防犯カメラの万引き犯の冤罪被害者」の被害との関係で妥当とは思えない。そのため個人情報保護法16条4項や施行令5条の法改正などの法的手当が必要なのではないか。


7.本報告書はテロ防止、万引防止というひとまとまりの目的のための顔識別機能付き防犯カメラの遵守すべき事柄を検討していることについて
(該当箇所)
33頁15行目
(意見)
本報告書はテロ防止、万引防止のための顔識別機能付き防犯カメラの遵守すべき事柄を検討しているが、「テロ防止のためには~」「万引き防止のためには~」と場合分けをして個人情報取扱事業者が遵守すべき事項を検討すべきではないか。
(理由)
テロ対策や鉄道等の重大事故対策等に関しては、もしテロ等が発生してしまうと発生してしまう被害は重大なので、反対利益となる個人のプライバシー権などの権利利益はある程度侵害されてもやむを得ないという判断になりやすいと思われるが、その一方、万引き犯等は反対利益となる個人の権利利益が侵害されてもやむを得ないという幅はテロ対策などに比べれば小さいと思われ、テロ対策や鉄道の重大事故などと万引き対策を一まとまりにして検討するのは適切ではないのではないのだろうか。そのため、「テロ対策のためには~」「万引き対策のためには~」と場合分けして対応を検討する必要があるのではないか。


8.いわゆる「防犯カメラの万引き犯の冤罪被害者」の人からの苦情や開示請求・削除等の請求に個人情報取扱事業者が誠実に対応しないことと個人情報保護法19条、23条について
(該当箇所)
37頁8行目
(意見)
誤登録された人、いわゆる「防犯カメラの万引き犯の冤罪被害者」の人からの苦情や開示請求・削除等の請求に個人情報取扱事業者が誠実に対応しないことも個人情報保護法19条違反または法23条違反となることを明記すべきではないか。
(理由)
誤登録された人、いわゆる「防犯カメラの万引き犯の冤罪被害者」の人からの苦情や開示請求・削除等の請求に個人情報取扱事業者が誠実に対応しないことも「違法又は不当な行為を助長し、又は誘発するおそれがある方法」による個人情報の利用または安全管理措置違反であるといえるから。


9.脚注の「なお、顔識別機能付きカメラシステムにより個人情報を取り扱う場合は、取得の状況からみて利用目的が明らかであるとは認められない(法21条4項4号)。」について
(該当箇所)
38頁注56
(意見)
「なお、顔識別機能付きカメラシステムにより個人情報を取り扱う場合は、取得の状況からみて利用目的が明らかであるとは認められない(法21条4項4号)。」という一文は非常に重要であるため、脚注ではなく本文に明記すべきではないか。
(理由)
顔識別機能付きカメラシステムの運用を考える上で非常に重要な法的な事項であるから。


10.データの保存期間について
(該当箇所)
42頁8行目以下
(意見)
保存期間について個人情報保護委員会が具体的な目安を示すべきではないか。例えば「万引き対策のためのデータの保存期間は最長で1か月」など。
(理由)
保存期間について個人情報保護委員会などから具体的な保存期間の例示がないため、個人情報取扱事業者の実務上、その設定に困ることがあるため。なお、たとえば自治体の防犯カメラ条例のデータの保存期間をみると、静岡県は1か月、千葉県市川市は7日間、東京都三鷹市も7日間などとなっている。


11.データの共同利用について
(該当箇所)
47頁17行以下
(意見)
顔識別機能付きカメラシステムによる顔データの共同利用については、全国レベルや複数の県をまたがる等の広域利用を行う場合には、事前に個人情報保護委員会に相談を求めることを明記すべきではないか。そのために必要であれば個人情報保護法の法改正等を行うべきでないか。
(理由)
第6回目の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」の議事録5頁に、「そういった観点から、一つ地域というのがメルクマールになると理解している。広域利用に関しては相当の必要性がなければできないとしつつ、個人情報保護委員会に相談があったような場合に対応していくのが1つの落としどころかと感じた。」との議論がなされているから。
また、宇賀克也『新・個人情報保護法の逐条解説』275頁、園部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』187頁などにおいても、共同利用が許される外延・限界は「一つの業界内」、「一つの地域内」などと解説されており、全国レベルの共同利用や県をまたぐ広域利用、業界をまたぐ共同利用などは法が予定していないと思われるから。
さらに、共同利用についても、例えばテロ対策なのか、万引き対策なのか等で許容される共同利用の範囲は異なってくるのではないか。場合分けをした検討が必要なのではないか。


12.「⑦東京地判平成27年11月5日判タ1425号318頁」の【事案の概要】について
(該当箇所)
24頁9行目以下
(意見)
「⑦東京地判平成27年11月5日判タ1425号318頁」の【事案の概要】について「建物1階にカメラを設置」とあるが、これは「Yは共有建物の共有部分の屋根の支柱などにカメラ4台を設置したところ、裁判所はそのうちのカメラ1台の撤去と損害賠償を認めた」等が正当ではないか。
(理由)
判例タイムズ1425号318頁に掲載された判決文によると、「建物1階にカメラを設置」との記載はないので。


13.「防犯カメラの万引き犯冤罪被害者」の人々については施行令5条から除外する方向で、施行令5条や個人情報保護法16条4項の法改正等を行うべきである
(該当箇所)
48頁18行目
(意見)
個人の権利利益の救済のために、誤登録された人や「防犯カメラの万引き犯冤罪被害者」の人々については施行令5条から除外する方向で、施行令5条や個人情報保護法16条4項の法改正等を行うべきである。
また、誤登録された人や「防犯カメラの万引き犯冤罪被害者」の人々が事業者に苦情申し出や開示等請求をした場合に事業者側が誠実に対応しなかった場合には、誤登録された人や「防犯カメラの万引き犯冤罪被害者」の人々が個人情報保護委員会に申し出を行い、個人情報保護委員会が当該事業者に助言・指導を行うなどの対応を個人情報保護委員会に法的に義務付ける方向で個人情報保護法を法改正すべきである。
(理由)
個人情報保護法施行令5条各号のいずれかに該当すると保有個人データでないことになり(個人情報保護法16条4項)、個人情報取扱事業者は本人からの開示・訂正等の請求や苦情への対応に応じなくてよくなってしまう。
この点、誤登録された人や「防犯カメラの万引き犯冤罪被害者」の人々はスーパーや警備会社などの事業者に苦情申し出や開示訂正等の請求を行っても、事業者から「当社にはそのようなデータベースはない」「当社は顔識別技術つき防犯カメラを導入していない」等と拒絶されてしまっている。個人情報保護法33条以下には開示・訂正等請求の手続き規定があるにもかかわらず、施行令5条が悪質な事業者の免罪符になってしまっている。そのような「防犯カメラの万引き犯冤罪被害者」はまともな日常生活・社会生活が送れなくなってしまい、権利利益や人格権の侵害は重大である(個人情報保護法1条、3条、憲法13条)。
そのため、個人の権利利益の救済のために、誤登録された人や「防犯カメラの万引き犯冤罪被害者」の人々については施行令5条から除外する方向で、施行令5条や個人情報保護法16条4項の法改正を行うべきである。
あわせて、誤登録された人や「防犯カメラの万引き犯冤罪被害者」の人々が事業者に苦情申し出や開示等請求をしたにもかかわらず事業者側が誠実に対応しなかった場合には、誤登録された人や「防犯カメラの万引き犯冤罪被害者」の人々が個人情報保護委員会に申し出を行い、個人情報保護委員会が当該事業者に助言・指導・報告徴求・立入検査・命令を行うなどの対応を個人情報保護委員会に法的に義務付ける方向で個人情報保護法を法改正すべきである。


14.民間事業者・業界団体および行政機関に防犯カメラに関する指針やガイドライン等を遵守させるための枠組み立法を国会で制定すべきである
(該当箇所)
全般
(意見)
民間事業者・業界団体および行政機関に防犯カメラに関する指針やガイドライン等を遵守させるための枠組み立法を国会で制定すべきである。
(理由)
防犯カメラに関する個人情報保護委員会のガイドライン等や、民間事業者や業界団体などによる自主的なガイドラインが策定されたとしても、それが遵守されなくては国民個人の権利利益が侵害される。この点、2021年夏の朝日新聞社主催の個人情報保護法に係る市民講座において、本有識者検討会の構成員の山本龍彦教授は「民間事業者および行政機関に防犯カメラに関する指針やガイドライン等を遵守させるために枠組み立法を設けるべきである」とのご見解であったため。
また、海外をみてもEUではGDPR22条に「プロファイリング拒否権」を規定する条項が置かれ、警察などによる公道などにおける防犯カメラの利用を禁止するAI規制法案も公開されている。海外の動向に照らして日本でも、防犯カメラに関する立法が必要なのではないか。
さらに、現在、個人情報保護委員会の個人情報保護法ガイドラインと経産省・総務省の商用カメラ利用ガイドラインは分離しているが、重なり合う部分も多いため統一化すべきである。


15.今後の方針やスケジュールについて
(該当箇所)
全般
(意見)
個人情報保護委員会は本報告書のパブリックコメント後、顔識別機能付きカメラシステムについて何らかのガイドライン等を策定するのか、あるいは何らかの立法を行うのか等、今後の方針やスケジュールを具体的に公表すべきである。また、ウェブサイト等をみても個人情報保護委員会は議事録や資料が非公開とされていることが多いが、個人情報保護委員会は国民のための公共の行政機関なのであるから、原則公開とすべきである。
(理由)
本報告書に係る議事録などを読んでも、今後の方針やスケジュール等が全く公表されていないので。個人情報保護委員会は国民の税金で運営される公的な行政機関なのであるから、内輪で物事を決めるのではなく、もう少し情報公開に努めるべきである。同様の理由で議事録や会議資料などの情報公開に努めるべきである。


16.「顔画像とそれに関する情報の例②」のデータベースBについて
(該当箇所)
31頁1行目
(意見)
「顔画像とそれに関する情報の例②」のデータベースBは、「含まれる発生日時や状況、特徴単体だけでは特定の個人を識別することはできない」とあるが、「特定の個人を識別することはできる」のではないか。
(理由)
「顔画像とそれに関する情報の例②」の事例でも、データベースBに含まれる、発生日時や状況、特徴単体などのデータだけで当該個人の氏名はわからないとしても、「その人」と特定の個人を識別できるのだから、データベースBはデータベースAとの容易照合性をまつまでもなく単体で個人情報(個人情報データベース等)であり、データベースBに含まれる各データも個人情報(個人データ)である(個人情報保護法2条1項1号、岡村久道『個人情報保護法 第4版』75頁)。


このブログ記事が面白かったらブックマークやシェアをお願いします!

■関連する記事
・PPCの「防犯予防や安全確保のためのカメラ画像利用に関する有識者検討会」の資料を読んでみた(第3回まで)
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた(追記あり)
・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで
・ジュンク堂書店が防犯カメラで来店者の顔認証データを撮っていることについて



[広告]








このエントリーをはてなブックマークに追加 mixiチェック

ヤフーデータは大切に守ります
(Yahoo!Japanより)

このブログ記事の概要
Yahoo!JapanなどのEU域内に事業所等のない日本企業であっても、EU域内の個人へのネット上のサービスなどを提供している場合、GDPRの直接適用を受け、万一違反をした場合には罰則・制裁金を科されるリスクがある。

1.Yahoo!Japanが2022年4月6日よりEUおよびイギリスでサービスを終了
Yuta Kashino様(@yutakashino)のTwitterの投稿などによると、Yahoo!Japan(ヤフージャパン)が2022年4月6日よりEUおよびイギリスでサービスを終了するとのことです。「ビッグテックのCookie利用で,仏政府が今月頭にGDPRを根拠に巨大制裁金を課した」からであろうとYuta Kashino様はしておられます。

ヤフージャパンEU
(Yuta Kashino様(@yutakashino)のTwitterより)
https://twitter.com/yutakashino/status/1488355581148737537

Yahoo!Japanもプレスリリースを出しています。
・重要なお知らせ 2022年4月6日 (水)よりYahoo! JAPANは欧州経済領域(EEA)およびイギリスからご利用いただけなくなります|Yahoo!Japan

2.4月6日以降に欧州から個人がYahoo!Japanサイトへアクセスして、その上でGDPR違反が問われたら、YJは巨額制裁金を支払うことになるのだろうか?
このYahoo!Japanの対応に関しては、Twitter上で「4月6日以降に欧州から個人がYahoo!Japanサイトへアクセスして、その上でGDPR違反が問われたら、YJは巨額制裁金を支払うことになるのだろうか?」などの疑問を提起されています。この問題に関しては、GDPRの解説書などを読む限り、そのリスクがあるのではないかと思われます。

3.EU域内に拠点のない企業でも、EU域内の個人に対するサービスの提供等を行う場合、GDPRが直接適用される
(1)EUのGDPR(EU一般データ保護規則)3条2項
この点、小向太郎・石井夏生利『概説GDPR』33頁は、

「EU域内に拠点のない企業でも、EU域内の個人に対するサービスの提供などを行う場合、GDPRが直接適用される」
と解説しています。

そして、EUのGDPR(EU一般データ保護規則)3条2項はつぎのように規定しています。

「取扱活動が以下と関連する場合、本規則は、EU域内に拠点のない管理者又は処理者によるEU域内のデータ主体の個人データの取扱いに適用される」

「(a)データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品又はサービスの提供。又は」

「(b)データ主体の行動がEU域内で行われるものである限り、その行動の監視」


GDPR3条2項
(GDPR3条2項の日本語訳。個人情報保護委員会サイトより。)
・GDPR仮日本語訳|個人情報保護委員会

つまり、「(a)EU域内のデータ主体(=個人)に対する物品又はサービスの提供」をする場合、または「(b)データ主体の行動がEU域内で行われるものであり、その行動の監視」をする場合のいずれかのときは、EU域内に拠点のない事業者に対してもGDPRが直接適用されることになり、もし万一当該事業者がGDPR違反をした場合には、GDPRに基づく罰則・制裁金などが科されるリスクがあることになります(最大2000万ユーロまたは前会計年度の世界売上の4%のいずれか高い方の金額の制裁金。同83条)。

(2)どのような場合にGDPRが直接適用されるのか?
どのような場合にGDPRが直接適用されるのかについて、小向・石井・前掲35頁以下は、"オンラインサービス提供者の意思が問題となるが、英語でサイトを作成しているだけでなく、ユーロやポンドなどを決済通貨にしてる場合はGDPR3条2項でGDPRが直接適用されるだろう”としています。

また同書は、「.eu」や「.de」などのドメインをサイトに利用してる場合や、『euのお客様へ』などの説明文がある場合、さらにEUの個人の行動ターゲティング広告や位置情報の把握などを実施していたり、cookieなどでeu域内の個人を追跡してる場合などは、GDPR3条2項(b)が適用されるだろうとしています。

この点、冒頭のYuta Kashino様が指摘されているように、Yahoo!JapanはおそらくこのGDPR3条2項(b)が適用され、GDPRの直接適用があるので、GDPRによる罰則・制裁金などのリスクを回避するために4月からEUとイギリスでのサービス提供を終了するのではないかと思われます。

なぜなら、Yahoo!Japanは行動ターゲティング広告などを提供する等のために、Cookieなどにより国内外のユーザーのネット上の行動を追跡・監視しているからです。

この点、Yahoo!Japanの「プライバシーセンター」の「パーソナルデータの取得」のページは、

●Yahoo! JAPANのウェブページへのアクセスに伴って送信された「IPアドレス」を取得する場合
●Yahoo! JAPANのウェブページの閲覧履歴を取得する場合
●Yahoo! JAPANの検索機能を利用する際に入力された検索キーワードを取得する場合
●Yahoo! JAPANのショッピングサービスでの購買履歴を取得する場合
●「Yahoo!防災速報」「Yahoo!天気」「Yahoo! MAP」などをインストールされている端末に対して、所在地に応じた災害情報などをお知らせするために、端末の位置情報を取得する場合
●Yahoo! JAPANの広告主や広告配信先などのウェブページやアプリを利用した場合に、そのパートナーのウェブページやアプリにYahoo! JAPANの「ウェブビーコン」などを設置して「クッキー」や端末情報を参照することで、お客様がご利用の端末を識別するための情報を取得する場合
・パーソナルデータを取得する場合|Yahoo!Japan
ヤフーのプライバシーセンター

などの場合に、Yahoo!JapanはユーザーのIPアドレス、サイト閲覧履歴、検索キーワード、位置情報、Cookieや端末ID、端末情報などを収集するとしています。

つまり、Yahoo!Japanは同社サイトの各種のサービスを利用しているユーザー・顧客のIPアドレス、サイト閲覧履歴、検索キーワード、位置情報、Cookieや端末ID、端末情報などを収集し、それぞれのユーザーのネット上の行動や位置情報などを監視・追跡しているので、GDPR3条2項(b)が適用され、Yahoo!Japanの事業所等が仮にEUになく、EUの域外にしかないとしても、GDPRが直接適用されることになります。そのため、万一Yahoo!JapanがGDPR違反をした場合には、罰則・制裁金などが科されるリスクがあることになります。

4.そもそもGDPRの罰則が日本企業に科されるのか?
ところでネット上をみていると、「そもそもEUのGDPRの罰則が日本企業に科されるはおかしいのではないか?」との意見をみかけます。

この点、たしかに日本の刑法は原則として属地主義であり、日本国内で起きた犯罪を処罰するものです(刑法1条)。しかし、刑法2条から5条までが規定するとおり、日本国民が殺人や強盗など海外で重大な犯罪被害を受けたような場合には、日本の刑法は海外にも適用されます(属人主義)。また、内乱罪や通貨偽造罪など日本の国家的利益を損なう犯罪に対しても日本の刑法が海外に適用されるほか(保護主義)、例えばハイジャックなど世界的な利益に対する犯罪にも日本の刑法が適用されることがあります(世界主義)。

このように、法律は国内だけでなく国外にも適用される場合があります。法律は国をまたいで適応の範囲が重なりあう場合があるのです(小向・石井・前掲38頁、大塚裕史・十河太朗・塩谷毅・豊田兼彦『基本刑法Ⅰ総論 第2版』449頁)。

例えば、日本の個人情報保護法75条も、匿名加工情報に関しては国外の事業者にも日本の個人情報保護法が適用されるとの条文を置いています。

個人情報保護法
(適用範囲)
第75条 第十五条、第十六条、第十八条(第二項を除く。)、第十九条から第二十五条まで、第二十七条から第三十六条まで、第四十一条、第四十二条第一項、第四十三条及び次条の規定は、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。

5.GDPRの十分性認定とは?
また、「日本はEUからGDPRの十分性認定を受けているので、GDPRの罰則が適用されるのはおかしいのでは?」という疑問もネット上でみかけます。

この点、EUのGDPRは原則として、EU域内の個人データがEU域外に移転することを禁止しています。しかし、①十分性認定(45条)、②拘束的企業準則(BCR(Binding Corporate Rules)46条2項(b)、47条)、③標準データ保護条項(SCC(Standard Contractual Clauses)46条2項(c)(d))、④行動規範(46条2項(e))、⑤認証(46条2項(f))などがある場合には、EU域内の個人データがEU域外に移転することを認めています。

日本は2019年1月にEUからGDPR45条に基づき十分性認定を受けているため、上の拘束的企業準則や標準データ保護条項などの法的手続きを経ずに企業などがEU域内の個人データがEU域外に移転することができることになっています(越境データ移転の問題)。

しかしこれはあくまでも拘束的企業準則や標準データ保護条項などの法的手続きを経ずに企業などがEU域内の個人データがEU域外に移転することができるという越境データ移転の問題であり、日本の企業などがEU域内の個人データに関してGDPR違反をした場合には、上でみたように同3条2項によりGDPRが直接適用され、罰則や制裁金が科されるリスクがあることになります。

6.まとめ
このように、日本はEUからGDPRの十分性認定を受けていますが、しかしEU域内に事業所がある企業や(GDPR3条1項)、EU域内に事業所がない企業でも、例えばECやスマホアプリやゲームの開発などで、EU域内の個人にネットのオンラインサービスなどを提供している事業者などは(同3条2項)、GDPRの適用を受け、万が一GDPR違反をした場合には、罰則や制裁金などが科されるリスクがあることになります。

この点、日本の個人情報保護委員会は、GDPRの日本語訳や各種のガイドラインの日本語訳などをサイトに掲載しています。また、個人情報保護委員会は、「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」等も準備しています。そのため、EU域内に事業所のある企業や、EU域内の個人などにネット上のサービスを提供している企業などは、日本の個人情報保護法だけでなく、これらのEUなどの各種の法律やガイドライン、ルール等の法令遵守も必要になると思われます。

・日EU間・日英間のデータ越境移転について|個人情報保護委員会
・GDPR(General Data Protection Regulation:一般データ保護規則)|個人情報保護委員会
・個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール|個人情報保護委員会

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・小向太郎・石井夏生利『概説GDPR』33頁、38頁、41頁、141頁
・大塚裕史・十河太朗・塩谷毅・豊田兼彦『基本刑法Ⅰ総論 第2版』449頁

■関連記事
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園・「デジタル・ファシズム」
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・文科省が小中学生の成績等を一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・飲食店の予約システムサービス「オートリザーブ」について独禁法から考えた
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか?























このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ