なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人情報保護委員会

display_monitor_computer
1.はじめに
デジタル関連法案が2021年の国会で審議中です。ところが、そのなかの個人情報保護法の改正法案の内容が非常にひどいことに驚いてしまいました。今回の個人情報保護法改正の目玉は、個人情報保護法と行政機関個人情報保護法・独立行政法人個人情報保護法の統一化地方自治体の個人情報保護条例の個人情報保護法への統一化学術研究開発機関における個人情報の取扱の明確化などとなっていますが、とくに研究開発機関に関する改正法案の条文を読むと、政府・与党の「デジタル至上主義」、「研究開発至上主義・経済至上主義」があまりにも露骨となっています。

・「デジタル社会の形成を図るための関係法律の整備に関する法律案」の閣議決定について|個人情報保護委員会
・新旧対照表|個人情報保護委員会
デジタル関連法案の概要
(デジタル関連法案の概要。個人情報保護委員会サイトより)

2.学術研究機関は本人の同意のない個人情報の目的外利用が可能となる
2021年の個人情報保護法改正法案では、学術研究機関は本人の同意なしに個人情報の目的外利用(改正法18条)が可能となってしまっています。

改正法案16条8項は、学術研究機関について、「この章において、「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう」と幅広に定義しています。

そのため、この条文を読む限り、大学などに限らず、およそ学術研究的な業務を行う団体やそれに所属する人間は、この「学術研究機関等」に該当してしまうように読めます。つまり、「〇〇の研究開発」という業務目的を定款の業務目的の一部にでも規定さえしておけば、民間企業であっても、この「学術研究機関等」に該当してしまうように思われます。

2021年改正個人情報保護法目的外利用

現行法16条1項は、「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」と規定し、事業者は個人情報をプライバシーポリシーなどであらかじめ公表している利用目的を超えて、本人の同意なしに利用することを禁止しています(目的外利用の禁止)。

ところが、改正法案18条3項5号、6号の新設条文は、個人情報取扱事業者が学術研究機関である場合(5号)や、一般の事業者が学術研究機関に個人情報を提供する場合(6号)には、目的外利用の禁止の条文の適用外とすると規定しています。つまり、個人情報取扱事業者が学術研究機関である場合や、一般の事業者が学術研究機関に個人情報を提供する場合には、本人の同意のない目的外利用を許すとなってしまっています。

なお、この改正法案18条3項5号、6号はかっこ書きのなかに、一応、「個人の権利利益を不当に侵害する場合を除く」という一文をおいています。個人情報保護法は3条で「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきもの」と規定し、同1条は「個人の権利利益を保護」と規定しています。そのため、この「個人の権利利益」とは、憲法13条に基づくプライバシー権、自己情報コントロール権などが含まれると思われます(宇賀克也『個人情報保護法の逐条解説 第6版』32頁)。

この点、ベネッセ個人情報漏洩事件に関する最高裁平成29年10月23日判決は、ベネッセの安全管理措置違反による顧客のプライバシー権侵害による不法行為責任(民法709条)を認めています。

ところで、2019年の就活生の内定辞退予測データの販売のリクナビ事件を受けて、2020年の個人情報保護法改正では、「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」との不適正利用禁止の条文が新設されました(16条の2)。

この不適正利用禁止の規定に関するガイドライン制定のための資料において、個人情報保護委員会は、同規定の趣旨・目的は、「個人の権利利益の保護」であるとしつつも、「法目的に照らして看過できないような相当程度悪質なケースを念頭において規定」と、消極的な見解を示しています。

・改正法に関連するガイドライン等の整備に向けた論点について(不適正利用の禁止) |個人情報保護委員会

2021年改正の改正法案18条3項5号、6号に関するガイドラインが制定されるのはまだ先の話です。国民の「個人の権利利益の保護」について、個人の側から見て積極的なガイドラインが策定されるかもしれませんが、個人情報保護委員会の大企業寄りの姿勢をみると、消極的なものにとどまるかもしれません。

3.学術研究機関は本人の同意のない要配慮個人情報の収集が可能となる
病院で医師が患者を診察して作成したカルテ情報、処方箋情報、検査結果などの医療データ個人の思想・信条や内心にかかわる情報人種、社会的身分、犯罪歴などの社会的差別の原因のおそれのある個人情報など、いわゆるセンシティブ情報は2017年の法改正で「要配慮個人情報」と定義されました(法2条3項)。

そして、法17条2項は、たとえば患者が意識不明の状態で病院に救急搬送されたような場合など、公衆衛生のために必要で本人の意思を確認することが困難なときなど以外の場合は、あらかじめ本人の同意なしに事業者が要配慮個人情報を収集することを禁止しています。

ところが、2021年の個人情報保護法改正法案では、学術研究機関は本人の同意なしに要配慮個人情報の収集が可能(改正法案20条)となってしまっています。

つまり、法17条2項に対応した改正法案20条2項は、「次に掲げる場合のほか、本人の同意なしに要配慮個人情報の収集をしてはならない」の「次に掲げる場合」として、同条同項5号から7号において、個人情報取扱事業者が学術研究機関等である場合を列挙しているのです。

2021年改正個人情報保護法要配慮個人情報保護法

なお、改正法案20条2項5号から7号は、「個人の権利利益を不当に侵害する場合を除く」という規定を置いているのは上と同様の論点です。

4.学術研究機関は本人の同意のない個人情報の第三者提供が可能となる
また改正法案27条1項5号から7号までは、これも第三者提供には本人の同意が必要とする原則(現行法23条1項)の例外規定として、学術研究機関が研究目的で個人情報を利用する場合は、本人の同意なしに第三者提供を行うことができると規定してしまっています。

2021年改正個人情報保護法第三者提供


この改正法案27条1項5号から7号にも、上と同様に、「個人の権利利益を不当に侵害する場合を除く」との規定が置かれていますが、個人情報保護委員会がガイドラインなどでどのような場合が具体的にそれに該当すると示すかが注目されます。

5.学術研究機関は第三者提供の際の記録作成義務が免除される
2017年の個人情報保護法改正の際に、いわゆる名簿業者対策として、個人情報の第三者提供・個人情報の売買にトレーサビリティー(追跡可能性)を確保するために、事業者が個人情報の第三者提供を行う場合には、提供先の名称や提供年月日などの第三者提供の記録の作成義務が新設されました(現行法25条)。

しかし、改正法案29条ただし書きは、「ただし、個人データの提供が、第27条1項各号(=学術研究機関の第三者提供の場合)…に該当する場合には、この限りではない」と規定し、学術研究機関の個人情報の第三者提供の場合には、記録の作成義務を免除してしまっています。

2021年改正個人情報保護法第三者提供の記録の作成

6.学術研究機関はcookie・サイト閲覧履歴など個人関連情報の第三者提供の際の確認義務が免除される
上でみた2019年の就活生の内定辞退予測データの販売が問題となったリクナビ事件においては、cookieやサイト閲覧履歴などの、それ単体では個人を識別できない情報・データであるが、その情報・データをリクルートキャリアなどの事業者からトヨタなどの求人企業が売買により第三者提供を受けることによって、社内で他のデータと照合するなどして、就活生の内定辞退予測データを活用し、就活生の採用の合否を決めるという、就活生の情報を就活生の意思や利益に明らかに反する形で利用する、個人情報保護法の抜け道を迂回するような脱法的な手法が大きな社会問題となりました。

このリクナビ事件を受けて、2020年の個人情報保護法改正では、cookieやサイト閲覧履歴などの情報・データを「個人関連情報」と定義し、「事業者は、第三者が個人関連情報を個人データとして取得することが想定されるときには、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない」と、個人関連情報の第三者提供の制限規定が新設されました(2020年改正法26条の2)。

ところが、この個人関連情報の第三者提供の制限に関しても、今回の改正法は、つぎのように学術研究機関に対して除外規定を設けてしまっています。

「個人情報取扱事業者は、第三者が個人関連情報を個人データとして取得することが想定されるとき第27条1項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない」

2021年改正個人情報保護法個人関連情報の第三者提供

この「第27条1項各号に掲げる場合」とは、上でみたように、学術研究機関等が個人情報を第三者提供する場合のことです。

つまり、学術研究機関が関わる第三者提供に関しては、cookieやサイト閲覧履歴などの個人関連情報を、データの本人の意思や利益に反するように第三者提供しても、個人情報保護法上は問題がないということになってしまいます。これは個人情報保護法の先祖返りとしかいいようがありません。法目的の「個人の権利利益の保護」「個人の人格尊重の理念」(法1条、3条)は一体どこに行ってしまったのでしょうか。

7.まとめ
このように、コロナ禍で国民の関心が削がれていることをいいことに、内閣IT戦略室、デジタル庁、個人情報保護委員会はデジタル関連法案、個人情報保護法改正法案においてやりたい放題の状況です。

上でみたように、とくに学術研究機関等は、本人の同意のない要配慮個人情報の収集が許されることになり、また、学術研究機関等は、本人の同意なしに個人情報の目的外利用と第三者提供が可能となり、さらに第三者提供の際の記録作成義務も免除されてしまっています。

これでは、学術研究機関等が新たな名簿業者として、個人情報を法の網の目を逃れてやり取りするための新たなブラックボックスとなってしまうのではないでしょうか。

つまり、IT企業、製薬会社、自動車メーカーなどの研究開発を行う大企業に対しては、個人情報保護法の本人同意のない目的外利用の禁止・第三者提供の禁止・要配慮個人情報の取得禁止などの規制が骨抜きとなってしまうおそれがあります。

第三者提供の記録の作成義務が除外されるということは、IT企業、製薬会社、自動車メーカーなどに対して、個人情報保護委員会などが報告徴求や立入検査しても何もわからないということになりかねません。これは、国民の知る権利(憲法21条)や国民主権・民主主義(1条)の観点からも大問題なのではないかと思われます。

かつての20世紀の帝国主義時代の列強諸国や日本は、「国家は間違うはずがない」という国家無謬説の国家観に立った行政活動や立法が行われていました。この点、わが国の2021年の個人情報保護法改正法案やデジタル関連法案は、「自然科学は間違うはずがない、研究開発は間違うはずがない、自然科学による経済発展は間違うはずがない」という「科学技術無謬説」・「デジタル無謬説」あるいは「科学技術の発展による経済成長無謬説」に立脚しているように思えます。しかしそれは20世紀の帝国主義が悲惨な2度の世界大戦を招いたように、時代錯誤な考え方に思えます。

国家主義・全体主義の中国などとは異なり、日本は国民の個人の尊重と基本的人権の確立を国の目的とする近代憲法の自由主義・民主主義の国家です(憲法11条、97条)。にもかかわらず、国民の人権保障を放棄して国や経済界のエゴをむき出しにした感のある、デジタル至上主義、研究開発至上主義・経済至上主義の2021年の改正個人情報保護法は、わが国の憲法の趣旨そのものにも反しているように思われます。

大企業・国の経済的利益のための2021年の個人情報保護法改正は、国民の人権保障を重視するEUのGDPRなどの西側世界の個人データ保護法からどんどん乖離して、むしろ全体主義の中国などの個人情報保護法制に近づいてゆくように思われます。日本の個人情報保護法がEUのGDPRの十分性認定を取消しされる日も近いかもしれません。

■関連するブログ記事
・デジタル関連法案による、自治体の個人情報保護条例の国の個人情報保護法への統一化について
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える

・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた

・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた

■参考文献
・宇賀克也『個人情報保護法の逐条解説 第6版』32頁、92頁
・佐脇紀代志『一問一答令和2年改正個人情報保護法』33頁、60頁
・EUがAIに包括規制案 世界で初、顔認証利用に事前審査も|日経新聞
・Europe fit for the Digital Age: Commission proposes new rules and actions for excellence and trust in Artificial Intelligence|European Union







このエントリーをはてなブックマークに追加 mixiチェック

kojinjouhou_rouei_businessman
2月17日のNHKなどの報道によると、国会審議において、2018年に発覚した日本年金機構の国民から提出された扶養親族等申告書の個人情報約500万人分のデータ入力業務が年金機構から委託された日本企業から、違法に中国企業に再委託されていた問題に関連し、野党が「マイナンバーも流出しているのではないか」と質問したのに対して、水島藤一郎・年金機構理事長が「流出していない」として、追加の調査などを拒否したとのことです。

報道によると、水島理事長はその根拠として、「調査にあたった外部企業によれば流出の事実はない」こと、「調査にあたった外部企業の報告によれば、中国企業に送付されたのは「氏名・ふりがな」データのみであるので個人情報の流出はない」こと等をあげているそうです。



すでにつっこみどころ満載な気がしますが、年金機構の主張は正しいのでしょうか?

この点、2018年6月に公表された、第三者委員会調査報告書(「日本年金機構における業務委託のあり方等に関する調査委員会報告書」委員長:安田隆二・一橋大学教授)を読み直すと、同報告書が認定した事実は、日本年金機構の委託先のSAY企画から中国企業に無断で再委託がなされ、「氏名・ふりがな」データが送付されたとする日本IBMの調査結果の報告書を、そのIBMの報告書を再検査したTIS社が、「IBMの検査は妥当」と判断したということだけです。



年金01
年金02
(「日本年金機構における業務委託のあり方等に関する調査委員会報告書」7-8頁)

つまり、独立行政法人等個人情報保護法7条1項違反(安全確保措置)で中国企業に再委託がなされ、個人情報が中国企業に渡ってしまったということが、外部の調査を行った企業などが認定した事実です。「マイナンバーや個人情報が日本年金機構から流出してない」などということは、IBMもTISも第三者委員会も認定していないのです。この点、水原理事長の発言は間違っています。

独立行政法人等個人情報保護法
(安全確保の措置)
第七条 独立行政法人等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない。
 前項の規定は、独立行政法人等から個人情報(独立行政法人等非識別加工情報及び削除情報に該当するものを除く。次条、第三十八条及び第四十七条において同じ。)の取扱いの委託を受けた者が受託した業務を行う場合について準用する。

また、「「氏名・ふりがな」データは個人情報・個人データではないから個人情報は流出していない」と水原理事長は発言したそうですが、日本年金機構のトップは正気でこんなことを国会で発言したのでしょうか?

独法個人情報保護法2条2項1号は、「当該情報に含まれる氏名、生年月日その他の記述等(略)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(略)により特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」に該当する「生存する個人に関する情報」は「個人情報」であると定義しています。

つまり、ものすごく短くまとめると、生存する「個人に関する情報」であって「当該情報に含まれる氏名、住所、生年月日・・・により特定の個人を識別できるもの」が個人情報保護法制上の個人情報です。

例えば、今回の事件で問題となった扶養親族等申告書であれば、申込書に記載された給与所得者本人の氏名、ふりがな、住所、生年月日、続柄、個人番号、所得の見込み額、学生か否か、寡婦か否かなどはすべて個人情報(特定個人情報)です。

給与所得者の扶養控除等申告書
(扶養親族等申告書)

よく、これらの個人情報のうち、氏名・住所などを黒塗りや削除などすれば、他の情報は個人情報ではないという誤解がなされますが、「個人に関する情報」であって「・・・により特定の個人を識別できるもの」が個人情報なので、氏名・住所などを削除したとしても、それ以外の情報も個人情報あることに変わりはありません。

とはいえ、世間でよくある個人情報の誤解でも、「氏名・ふりがな」だけを抜き出したらその情報・データは個人情報ではないと誤解する人はなかなかいません。そのような人物が組織のトップであるという一点においても、日本年金機構は当事者能力の有無が厳しく問われる事態なのではないでしょうか?

さらに、「外部の調査をした会社によれば」と水島理事長は主張しているようですが、IBMやTISはあくまで2018年当時の調査で2018年時点の報告書を出してるのですから、もしマイナンバーも漏れてるおそれがある、そのような告発やメールなどが最近発覚しているのであれば、年金機構は「IBMの調査では」とか呑気なことを言ってないで、今すぐ追加調査を実施すべきではないでしょうか?

約1億件の保有個人情報を国民から預かっている日本年金機構は、国民のマイナンバーや個人情報を一体何だと思っているのでしょうか。また、同時に日本年金機構は、マイナンバー法や独法個人情報保護法や総務省・個人情報保護委員会の関連通達を遵守しようという意識があるのかどうか非常に不安です。1億件のマイナンバーおよび個人情報に関する安全確保措置の法的責任は極めて重大であると思われます。

加えて、この日本年金機構の事件のほかにも、最近は厚労省のコロナの接触確認アプリCOCOAのシステム開発の業務委託が多重下請けがなされたあげく非常に杜撰な開発・運営・保守が行われていたことが大きく社会的批判を浴びています。政府与党や国会は、国・自治体や年金機構など公的法人の業務委託のあり方について、今一度全体的に見直しを行うべきではないでしょうか。

■関連するブログ記事




個人情報保護法〔第3版〕

番号法の逐条解説(第2版)

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ