なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人情報保護委員会

kojinjouhou_rouei_businessman
1.損保4社で合計250万件の顧客の個人情報の漏えい
損害保険大手4社の保険契約者の個人情報が代理店を通じて他社に漏れていた問題で、漏洩した個人情報が4社で計約250万件に上ることを損保4社が金融庁に報告し公表しました。損害保険ジャパンが約99万1千件、東京海上日動火災保険が約96万件、三井住友海上火災保険が約33万6千件、あいおいニッセイ同和損害保険が約21万7千件だった。保険契約者の氏名、住所や電話番号、証券番号などが漏えいしていたとのことです。

情報漏れの経路は、主に二つであり、一つは、自動車ディーラーなどの保険代理店から他社に契約者情報がメールで共有されたケースで、全体の9割超にあたる約226万5千件に上った。関わったディーラーなどは延べ約1200社。

もう一つは、保険代理店に出向した損保社員が、他社の契約者情報を、出向元の損保に持ち出すケース。全体の1割弱に当たる約23万8千件で、情報を取られた代理店は延べ119店だったとのことです。損保各社は「個人情報の漏えいにあたるとの認識をしていなかった」等と釈明しているそうです(「損保4社、250万件漏洩 他社に氏名や電話番号 代理店通じ「共有」黙認」朝日新聞2024年8月31日付記事より)。

■損保各社のプレスリリース
・保険代理店との間で発生した保険契約情報の不適切な管理に関する対応状況|損保ジャパン
・情報漏えい事案にかかる金融庁への報告について|東京海上日動
・保険代理店ならびに当社出向者による情報漏えい事案の調査結果について|三井住友海上
・保険契約情報の不適切な管理に伴うお客さまへの通知文書の発送開始について|あいおいニッセイ同和損保

2.個人情報保護法から考える
上の一つ目のケースを考えると、保険代理店が他社保険代理店に保険契約者の個人情報をメールで「共有」することは、他者保険代理店がグループ会社などでない限りは個情法の「共有」(個情法27条5項3号)には該当せず、本人の同意のない違法な目的外利用(18条1項)、違法な第三者提供(27条1項)であると考えられます。また個人情報の提供を受けて受け取った側の保険代理店は、個人情報の適正取得の義務違反です(20条1項)。

また二つ目のケースは、保険代理店に出向した損保社員が、他社の契約者情報を、出向元の損保に持ち出すことは、当該保険代理店については安全管理措置違反(23条、24条)が成立し、また当該保険代理店に委託を行っている損保会社は委託先の監督違反(25条)が成立すると考えられます。さらにその個人情報を受け取った損保会社は個人情報の適正取得の義務違反となると考えられます(20条1項)。加えて、保険代理店から個人情報の持ち出しを行った損保社員は、個人情報等データベース不正提供罪が成立する余地があるのではないでしょうか(179条)。

3.保険業法・ガイドライン・監督指針から考える
(1)保険業法・保険業法施行規則
保険業法100条の2は、「保険会社は…顧客に関する情報の適正な取扱い…その他の健全かつ適切な運営を確保するための措置を講じなければならない」と規定しています。そしてこれを受けて保険業法施行規則53条の8は、「保険会社は、その取り扱う個人である顧客に関する情報の安全管理、従業者の監督及び当該情報の取扱いを委託する場合にはその委託先の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置を講じなければならない。」と規定しています。そのため、損保各社は保険業法100条の2および施行規則53条の8に抵触していることになります。

保険業法
(業務運営に関する措置)
第100条の2
保険会社は、その業務に関し、この法律又は他の法律に別段の定めがあるものを除くほか、内閣府令で定めるところにより、その業務に係る重要な事項の顧客への説明、その業務に関して取得した顧客に関する情報の適正な取扱い、その業務を第三者に委託する場合における当該業務の的確な遂行その他の健全かつ適切な運営を確保するための措置を講じなければならない。

保険業法施行規則
第53条の8
保険会社は、その取り扱う個人である顧客に関する情報の安全管理、従業者の監督及び当該情報の取扱いを委託する場合にはその委託先の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置を講じなければならない。
(2)金融分野個人情報保護ガイドライン
また、金融庁の「金融分野における個人情報保護に関するガイドライン」の第10条は、損保会社を含む金融機関は、「その取扱いを委託された個人データの安全管理が図られるよう、法第25条に従い、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」(1項)と規定し、委託先を「定期的に監査を行う等により、定期的又は随時に当該委託契約に定める安全管理措置等の遵守状況を確認し、当該安全管理措置を見直さなければならない」(3項2号)等と規定しています。損保各社はこのガイドラインに抵触していることになります。

(3)保険監督指針
さらに、金融庁の「保険会社向けの総合的な監督指針」の「II -4-5 顧客等に関する情報管理態勢」は顧客の個人情報保護について規定しています。監督指針は、「顧客に関する情報は、保険契約取引の基礎をなすものであり、その適切な管理が確保されることが極めて重要である。」(II -4-5-1)とした上で、「経営陣は、顧客等に関する情報管理の適切性を確保する必要性及び重要性を認識し、適切性を確保するための組織体制の確立(部門間における適切な牽制の確保を含む。)、社内規程の策定等、内部管理態勢の整備を図っているか。」(II -4-5-2(1)①)、「顧客等に関する情報の取扱いについて、具体的な取扱基準を定めた上で、研修等により役職員に周知徹底しているか。特に、当該情報の他者への伝達については、コンプライアンス(顧客に対する守秘義務、説明責任)及びレピュテーションの観点から検討を行った上で取扱基準を定めているか。」(II -4-5-2(1)②)などの規定を置いています。損保各社は監督指針のこれらの規定にも抵触していることになります。

4.まとめ
このようにざっと見ただけでも、今回の個人情報漏えい事故においては損保各社および保険代理店は、個人情報保護法、保険業法、ガイドライン、監督指針などの各規定に違反・抵触していることになります。

損保各社は「個人情報の漏えいにあたるとの認識をしていなかった」等と釈明しているそうですが、「顧客に関する情報は、保険契約取引の基礎をなすものであり、その適切な管理が確保されることが極めて重要である。」(監督指針II -4-5-1)との精神はどこに行ってしまったのでしょうか。"損保各社や保険代理店の利益だけが重要である、保険契約者等の顧客のことはどうでもよい"とのコンプライアンスのかけらもない意識が透けて見えます。

先般の損保のビッグモーター事件を受けて、金融庁は保険代理店への規制を強化する方向で保険業法の見直しを検討している最中です。この点、金融庁は今回の事件を受けて、個人情報保護を強化する方向で保険業法等を見直していただきたいと考えます。また、個人情報保護委員会は2025年に向けて個人情報保護法の改正を検討中ですが、事業者への課徴金制度や団体訴訟制度の導入などは待ったなしの状況であると思われます。

■追記
生命保険業界でも同様の問題が報道されています。
・日本生命、契約者情報漏洩18万件 生命保険にも拡大|日経新聞

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family

個人情報保護委員会が『個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理』のパブコメを2024年7月29日まで実施しているので、つぎのとおり意見を書いて送ってみました。

1.生体データについて
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
生体データも要配慮個人情報に含め、その取得には本人同意を必要とすべきである。
(理由)
個人情報のなかでも生体データの要保護性は高いと考えられるから、自己情報コントロール権(情報自己決定権、憲法13条)の観点からは、生体データについても要配慮個人情報(個情法2条3項)に含め、その取得には本人同意を必要とするべきである。かりにそれができない場合には、柔軟なオプトアウト制度の導入など、本人関与の仕組みを強化すべきである。

2.従業員の生体データのモニタリング
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
使用者がパソコンやプログラム等を利用して従業員の生体データや集中度などを監視・モニタリングすることは個情法19条、20条違反であることを明確化すべきである。
(理由)
近年、使用者がパソコンやプログラム等を利用して従業員の脳波や集中度などを監視・モニタリングしている事例が増えているが(「東急不動産の新本社、従業員は脳波センサー装着」日本経済新聞2019年10月1日付、日立の「ハピネス」事業など参照)、このような従業員の監視・モニタリングは労働安全衛生法104条違反であるだけでなく、これがもしEUであればGDPR22条違反であり、さらに従業員の「自らの自律的な意思により選択をすることが期待できない場合」に該当するので、個情法19条、20条に抵触して違法であることをガイドライン等で明確化すべきである。

3.生徒・子どもの生体データのモニタリング
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
学校・教育委員会等がパソコン・タブレットやウェアラブル端末等を利用して生徒・子どもの生体データや集中度などを監視・モニタリングすることは個情法19条、20条違反であることを明確化すべきである。
(理由)
近年、学校・教育委員会等がタブレット・パソコンやウェアラブル端末等を利用して生徒・子どもの生体データ等から集中度などを監視・モニタリングしている事例が増えているが(「「聞いてるふり」は通じない? 集中しない生徒をリアルタイムで把握 教員からは期待、「管理強化」に懸念も」共同通信2023年6月21日付、デジタル庁「教育データ利活用ロードマップ」など参照)、このような生徒・子どもの生体データの監視・モニタリングは、これがもしEUであればGDPR22条違反であり、さらに生徒・子どもの「自らの自律的な意思により選択をすることが期待できない場合」に該当するので、個情法19条、20条に抵触して違法であることをガイドライン等で明確化すべきである。

4.電話番号、メールアドレス、Cookieなどの個人関連情報について
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
電話番号、メールアドレス、Cookieなどの情報も個人関連情報とするのではなく、個人情報に該当するとすべきである。
(理由)
電話番号、メールアドレス、Cookieなどの情報も、多くの場合、特定の個人を追跡可能であり、ターゲティング広告等により当該個人の自由な意思決定に影響を及ぼし得るのであるから、電話番号、メールアドレス、Cookieなどの情報も個人関連情報とするのではなく、個人情報に該当するとすべきである。

5.プロファイリングと不適正利用
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
不適正利用の禁止(法19条)に関する個人情報保護法ガイドライン(通則編)の「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に、「AI・コンピュータの個人データ等のプロファイリングの行為のうち、個人の権利利益の侵害につながるもの」を明示すべきである。
(理由)
本人の認識や同意なく、ネット閲覧履歴、購買履歴、位置情報・移動履歴やSNSやネット上の書き込みなどの情報をAI・コンピュータにより収集・分析・加工・選別等を行うことは、2019年のいわゆるリクナビ事件等のように、本人が予想もしない不利益を被る危険性がある。このような不利益は、差別を助長するようなデータベースや、違法な事業者に個人情報を第三者提供するような行為の不利益と実質的に同等であると考えられる。
また、日本が十分性認定を受けているEUのDGPR22条1項は、「コンピュータによる自動処理のみによる法的決定・重要な決定の拒否権」を定め、さらにEUで成立したAI法も、雇用分野の人事評価や採用のAI利用、教育分野におけるAI利用、信用スコアなどに関するAI利用、出入国管理などの行政へのAI利用などへの法規制を定めている。
この点、厚労省の令和元年6月27日労働政策審議会労働政策基本部会報告書「~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」9頁・10頁および、いわゆるリクナビ事件に関する厚労省の通達(職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運営について」)等も、電子機器による個人のモニタリング・監視に対する法規制や、AI・コンピュータのプロファイリングに対する法規制およびその必要性を規定している。
日本が今後もEUのGDPRの十分性認定を維持し、「自由で開かれた国際データ流通圏」政策を推進するためには、国民の個人の尊重やプライバシー、人格権(憲法13条)などの個人の権利利益を保護するため(個情法1条、3条)、AI・コンピュータによるプロファイリングに法規制を行うことは不可欠である。
したがって、「AI・コンピュータの個人データ等のプロファイリングの行為のうち、個人の権利利益の侵害につながるもの」を「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に明示すべきである(「不適正利用の禁止義務への対応」『ビジネス法務』2020年8月号25頁、『AIプロファイリングの法律問題』(2023年)50頁参照)。

6.こどもの個人情報等に関する規律の新設
(該当箇所)
こどもの個人情報等に関する規律の在り方(中間整理8頁~11頁)
(意見)
こどもの個人情報等に関する規律を新設することに賛成します。
(理由)
こどもは大人に比べて脆弱性・敏感性及びこれらに基づく要保護性があるにもかかわらず、近年、学校・教育委員会などが、生徒・子どもにウェアラブル端末をつけさせて生体データを収集し集中力や「ひきこもり」の予兆などを監視・モニタリングする事例などが野放しで増加しているが、このような学校等による生徒・子どもの監視・モニタリングは子どもの内心の自由やプライバシー、人格権を侵害しかねないものであり、子どもの権利利益を侵害している(個情法1条、3条、憲法13条、19条)。
したがって16歳未満の子どもの個人情報については収集等に法定代理人の同意を必要とし、また厳格な安全管理措置を要求するなどの法規制を新設することに賛成します。

7.課徴金制度・団体訴訟制度
(該当箇所)
課徴金、勧告・命令等の行政上の監視・監督手段の在り方(中間整理11頁)および団体による差止請求制度及び被害回復制度の導入(中間整理12頁)
(意見)
課徴金制度の導入などおよび団体請求制度の導入等に賛成します。
(理由)
国民・消費者の個人の権利利益のさらなる保護のため(個情法1条、3条)に賛成します。経済界は団体による差止請求にも反対しているようであるが、差止請求は違法な行為にしかなされないところ、経済界は違法行為がしたいのだろうかと疑問である。

8.漏えい等報告・本人通知の在り方
(該当箇所)
漏えい等報告・本人通知の在り方(中間整理18頁)
(意見)
現行の漏えい等報告・本人通知の在り方を緩和することに反対。
(理由)
二次被害・類似事案の防止が漏えい等報告及び本人通知の趣旨・目的なのであるから、たとえば事業者がセキュリティインシデントに対応中でマルウェア等の犯人を泳がせて調査しているような場合は別として、原則として個人情報漏えい事故が発生した場合は、迅速に漏えい等報告・本人通知を事業者に行わせるべきである。現行の漏えい等報告・本人通知の在り方を緩和することには反対。 また、漏えい等に関する義務が生じる「おそれ」要件についても、「おそれ」が発生している以上は安全管理措置義務違反が発生していることは事実なのであるから、事業者は違法であるのであって、「おそれ」要件を緩和することには反対である。

9.医療データの収集・目的外利用・第三者提供の規制緩和
(該当箇所)
社会のニーズ及び公益性を踏まえた例外規定の新設並びに明確化(中間整理23頁)
(意見)
医療データにつき例外規定を設け、取得や目的外利用、第三者提供等に本人同意やオプトアウトを不要とする議論に反対。
(理由)
現在の情報法・憲法の学説上、個人情報保護法(個人データ保護法)の趣旨・目的は自己情報コントロール権説(情報自己決定権説)が通説であり、ドイツやEUなど多くの西側自由諸国でも同様である(曽我部真裕・林秀弥・栗田昌裕『情報法概説第2版』209頁、渡辺康行・宍戸常寿・松本和彦・工藤達朗『憲法Ⅰ基本権』121頁、山本龍彦『個人データ保護のグローバル・マップ』247頁、359頁等参照)。
そして自己情報コントロール権説からは、個人情報保護法が目的外利用や第三者提供をする場合、医療データなどの要配慮個人情報を収集する場合において、事業者や行政機関等が患者などの本人の同意を取得することが必要と規定されていることは当然のことと考えられる。
そのため、この目的外利用や第三者提供をする場合、医療データなどの要配慮個人情報を収集する場合に本人の同意の取得を不要とする有識者ヒアリング等における森田朗名誉教授や鈴木正朝教授、高木浩光氏などの主張は自己情報コントロール権説に反し、つまり個人情報保護法(個人データ保護法)の趣旨・目的に反している。
また、法律論を離れても、たとえば4月3日の個人情報保護委員会の有識者ヒアリングでは、横野恵准教授の「医療・医学系研究における個人情報の保護と利活用」との資料13頁の「ゲノムデータの利活用と信頼」においては、一般大衆の考えとして、ゲノムデータの利活用に関する「信頼の醸成に寄与する要素」の2番目に「オプトアウト制度」が上がっている。
したがって、医療データの利用等に関して、患者の本人の同意やオプトアウト制度などの本人関与を廃止する考え方は、一般国民の支持を得られないと思われる。
また、森田名誉教授や鈴木正朝教授、高木浩光氏など、医療データの製薬会社やIT企業などによる利活用を推進する立場の人々は、「日本国民はすべて医療データを製薬会社などに提供し、医療や社会に貢献すべきだ」との考え方を前提としているように思われる。
たしかに患者が医療に貢献することは一般論としては「善」である。しかし、日本は個人の自由意思を原則とする自由主義・民主主義国である(憲法1条、13条)。患者個人が医療や社会に貢献すべきか否かは個人のモラルにゆだねるべき問題であり、ことさら法律で強制する問題ではない。すなわち、患者の医療への貢献などは、自由主義社会においては自由な討論・議論によって検討されるべきものであり、最終的には個人の内心や自己決定にゆだねられるべきものである(憲法19条、13条)。
「日本国民はすべて医療データを製薬会社などに提供し、医療や社会に貢献すべきだ」「そのような考え方を個人情報保護法の改正や新法を制定し、国民に強制すべきだ」「そのような考え方に反対する国民は非国民、反日だ」との考え方は、中国やロシアなど全体主義・国家主義国家の考え方であり、自由主義・民主主義国家の日本にはなじまないものである。
さらに、患者の疾病・傷害にはさまざまなものがある。風邪などの軽い疾病のデータについては、製薬会社などに提供することを拒む国民は少ないであろう。しかし、がんやHIVなど社会的差別のおそれのある疾病や、精神疾患など患者個人の内心(憲法19条)にもかかわる疾病など、疾病・傷害にはさまざまな種類がある。それらをすべて統一的に本人同意を不要とする政府の議論は乱暴である。
したがって、憲法の立憲主義に係る基本的な考え方からも、医療データの一時利用・二次利用について患者の本人の同意を原則として不要とする議論は、個人情報保護法(個人データ保護法)の趣旨・目的に反しているだけでなく、わが国の憲法の趣旨にも反している。以上のような理由から、私は医療データの一時利用・二次利用について患者の本人の同意やオプトアウト等の本人関与の仕組みを原則として不要とする個人情報保護委員会や政府の議論に反対である。

10.その他:プロファイリング・AI法
(該当箇所)
その他(中間整理26頁)
(意見)
プロファイリングによる要配慮個人情報の「推知」を要配慮個人情報の「取得」として法規制すべきである。本人同意または本人関与の仕組みを導入すべきである。また、日本も早期にEUのようなAI法を制定すべきである。
(理由)
2016年のケンブリッジ・アナリティカ事件、最近のイスラエルの軍事AI「ラベンダー」など、プロファイリングの問題は個人情報保護の本丸である。個人情報保護法20条2項は要配慮個人情報の取得については本人同意を必要としているが、プロファイリングによる要配慮個人情報の「推知」、すなわち要配慮個人情報の迂回的取得は法規制が存在しない。これでは本人同意は面倒だと、事業者はプロファイリングによる推知を利用してしまう。
この点、世界的には、EUのGDPR21条はプロファイリングに異議を述べる権利を定め、同22条は完全自動意思決定に服さない権利を規定している。またアメリカのいくつかの州も同様の法規制を置いている。
このように世界的な法規制の動向をみると、日本もプロファイリングによる要配慮個人情報の「推知」を要配慮個人情報の「取得」として法規制すべきである。すなわち、本人同意または本人関与の仕組みを導入すべきである。
また、日本も早期にEUのようなAI法を制定すべきである。

11.顔識別機能付き防犯カメラ(1)
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
生体データに関連し、個人情報保護法16条4項や施行令5条の法改正を行い、顔データは保有個人データであると改正すべきである。
(理由)
生体データに関連し、顔識別機能付き防犯カメラシステムによる誤登録の問題に関して、現行法上、顔識別機能付き防犯カメラシステムによる顔データは、個人情報保護法施行令5条のいずれかの号に該当し、当該顔データは保有個人データではないということになり(個人情報保護法16条4項)、結局、顔識別機能付き防犯カメラを運用する個人情報取扱事業者は個人情報保護法を守る必要がないということになってしまうが、そのような結論は誤登録の被害者の権利利益の保護(法1条、3条、憲法13条)との関係で妥当とは思えない。
そのため個人情報保護法16条4項や施行令5条の法改正を行い、顔データは保有個人データであると改正すべきである。

12.顔識別機能付き防犯カメラ(2)
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
生体データの問題に関連し、顔識別機能付きカメラシステムによる顔データの共同利用については、全国レベルや複数の県をまたがる等の広域利用を行う場合には、個人情報保護委員会に事前に相談を求めることを個情法上に明記すべきではないか。そのために個人情報保護法の法改正等を行うべきでないか。
(理由)
「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会第6回」の議事録5頁に、「そういった観点から、一つ地域というのがメルクマールになると理解している。広域利用に関しては相当の必要性がなければできないとしつつ、個人情報保護委員会に相談があったような場合に対応していくのが1つの落としどころかと感じた。」等との議論がなされているから。 また、宇賀克也『新・個人情報保護法の逐条解説』275頁、園部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』187頁などにおいても、共同利用が許される外延・限界は「一つの業界内」、「一つの地域内」などと解説されており、全国レベルの共同利用や県をまたぐ広域利用、業界をまたぐ共同利用などは個人情報保護法が予定しておらず、本人が自分の個人情報がどこまで共同利用されるのか合理的に判断できないと思われるから。

13.顔識別機能付き防犯カメラ(3)
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
開示・訂正等請求を求める一般人(顔識別機能付き防犯カメラの誤登録の被害者等)が個人情報保護法などにおいて取りうる法的手段(例えば個人情報取扱事業者のウェブサイト上のプライバシーポリシー上の開示・訂正等請求の手続きに従って請求を行う、民事訴訟を提起する等)に関して、個人情報法保護法ガイドライン(通則編)や「個人情報の保護に関する法律についてのガイドラインに関するQ&A」等に一般人にもわかりやすい解説を用意するべきではないか。
(理由)
生体データの問題に関連し、顔識別機能付きカメラシステムの誤登録の被害者が個人情報取扱事業者に顔データの削除などを請求しても事業者から拒否される場合が多い。また誤登録の被害者等は法律のプロではないことが一般的である。
そのため、開示・訂正等請求を求める一般人(防犯カメラの誤登録の被害者等)が個人情報保護法などにおいて取りうる法的手段(例えば個人情報取扱事業者のウェブサイト上のプライバシーポリシー上の開示・訂正等請求の手続きに従って請求を行う、開示・訂正等請求の民事訴訟を提起する等)に関して、個人情報法保護法ガイドライン(通則編)や「個人情報の保護に関する法律についてのガイドラインに関するQ&A」等に一般人にもわかりやすい解説を用意するべきではないか。あるいは一般人向けに開示・訂正等手続きについて解説した「自治会・同窓会等向け会員名簿をつくるときの注意事項ハンドブック」のようなパンフレットを作成すべきではないか。

以上

■関連するブログ記事
・MyData Japan 2024の「George's Bar ~個人情報保護法3年ごと見直しに向けて~」の聴講メモ
・個情委の「3年ごと見直し」における医療データの取扱いに本人同意を不要とする議論に反対する

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

school_jugyou_tablet

1.はじめに

個人情報保護委員会が令和6年4月10日付で公表している「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方②)」の資料を読んでみました。今回の資料は、①子どもの個人情報、②消費者団体訴訟制度、の2点を取り上げています。

2.子どもの個人情報

本資料1頁は、まず「現行の個人情報保護法上、子どもの個人情報の取扱い等に係る明文の規定はない」とした上で、個人情報保護法ガイドライン(通則編)2-16および個人情報保護法ガイドラインQA1-62が、「「本人の同意」を得ることが求められる場面(目的外利用、要配慮個人情報の取得、第三者提供等)について、以下のとおり、「一般的には12歳から15歳までの年齢以下の子どもの場合には法定代理人等から同意を得る必要がある」とされている」と説明しています。

ppc1

つぎに本資料は、児童の権利条約(1989年)やデジタル環境下のこどもに関するOECD勧告(2021年)が、子どものプライバシーやデータ保護が重要であると規定していると説明しています。

また、本資料3頁以下は、子どもの個人情報に関する外国制度として、EU、イギリス、アメリカ、中国、韓国、インド、インドネシア、ブラジル、カナダ等の法制度を概観しており、「子どもの個人情報等をセンシティブ情報又はセンシティブデータと分類した上で特別な規律の対象とするケース」や「子どもの個人情報に特有の規律を設けるケース」が多いと分析しています。

ppc2
ppc3
ppc4

さらに本資料8頁以下は、子どもの個人情報に関する外国における主な執行事例として、InstagramやTikTok、YouTubeなどの事例をあげています。

ppc5
加えて本資料10頁は、日本における子どもの個人情報に関する社会的反響の大きかった事例として、①全寮制の学校Aが、全生徒にウェアラブル端末を購入してもらい、心拍数、 血圧、睡眠時間等の個人データを収集しようとした事件(広島叡智学園事件(2018年))、②学校Bで、生徒の手首につけた端末で脈拍を計測し、授業中の集中度を測定する実証研究を行った事件(市立鷲宮中学校事件(2021年))の概要が紹介されています。

また、子どもの個人情報に関連して個人情報保護法に基づく行政上の対応が行われた事例として、四谷大塚事件(2024年2月)の概要が紹介されています。

ppc6

なお本資料12頁は、「個人情報保護法相談ダイヤルにおける子どもの個人情報等に係る相談事例等」として、頻度の多い相談事例や、その他の相談事例等をあげていますが、とくに「事例C 事業者がパンフレットに児童の個人情報を掲載しているが、当該掲載について児童から口頭で同意をとったのみであり、親には何らの連絡もなかった」事例や、「事例D 未成年の娘あてに事業者からDMが届いた。発送先の事業者に確認したところ、名簿販売業者から娘の情報を取得したうえで営業をかけているようであった」という事例、「事例G 事業者が保有する児童の個人情報について、親が開示・削除等の請求をしているにもかかわらず、なかなか応じてくれない」事例、などを読むと、やはり子どもの個人情報の法規制は待ったなしだと思われます。

ppc7

3.消費者団体訴訟制度

本資料15頁は、適格消費者団体は、「不当な勧誘」、「不当な契約条項」、「不当な表示」などの事業者の不当な行為をやめるよう求めることができるとし、「事業者が不特定かつ多数の消費者に対して消費者契約法等に違反する不当な行為を行っている、又は、行うおそれのあるとき」には差止請求を行うことができると説明しています。この「消費者契約法等」には消費者契約法のほか、景品表示法、特定商取引法、食品表示法が規定されていると説明されています。(個人情報保護法はまだ規定されていない。)

また本資料17頁は、団体訴訟の差止請求に関連し、「個人情報に係る本人が不特定かつ多数と評価しえる事例に係る個人情報保護法に基づくこれまでの主な行政上の対応」として、Facebook事件(平成30年10月)、JapanTaxi事件(平成30年11月、令和元年9月)、リクルート内定辞退率予測データ事件(2019年)、破産者マップ事件(令和4年)、ビジネスプランニング事件(令和6年1月)の概要をあげています。

ppc8
ppc9

さらに本資料21頁は、「不法行為の成否と個人情報保護法の関係」として、令和5年の顔識別機能付き防犯カメラ報告書からつぎのように一部を抜粋しています。

『「不法行為法と個人情報保護法はその目的や性格に異なる部分があることから、不法行為が成立する場合、同時に個人情報保護法違反となる場合もあり得るが、不法行為が成立したからといって必ずしも個人情報保護法違反となるわけではない。」
不法行為の成否を評価するに当たり考慮される要素は、個人情報保護法上も不適正利用の禁止規定(法第19条)や適正取得規定(法第20条第1項)の解釈などにおいて、考慮すべきであると考えられる。
(出典)「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」(令和5年3月)から引用。』
「不法行為の成立=個人情報保護法違反ではない」としつつも、「不法行為の成否を評価するに当たり考慮される要素は、個人情報保護法上も不適正利用の禁止規定(法第19条)や適正取得規定(法第20条第1項)の解釈などにおいて、考慮すべきであると考えられる。」と個人情報保護委員会がしていることは、個情委が今後、不適性利用禁止条項を積極的に発動する可能性があるのではないでしょうか。個人的には個情委のこの取組みに期待したいです。

また本資料21頁は、個人情報の取扱いにおいて損害賠償責任が問題となった主な事例として、早大名簿提出事件(最高裁平成15年9月12日判決)とベネッセ個人情報漏洩事件(最高裁平成29年10月23日判決)をあげています。

ppc10

ベネッセ個人情報漏洩事件はおよそ3500万件もの個人情報が漏洩した事件ですが、このように被害者が不特定かつ多数の個人情報漏洩事件について、消費者団体訴訟における損害賠償請求ができるようになることは、被害者救済の観点から重要であると思われます。また、団体訴訟制度の個人情報保護法への導入は、事業者の実務への影響は非常に大きいと思われます。

■関連するブログ記事
・PPCの「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」(2023年11月)を読んでみた
・個情委の「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)」を読んでみた
・埼玉県の公立中学校の「集中しない生徒をリアルタイムで把握」するシステムを個人情報保護法や憲法から考えた
・戸田市の教育データを利用したAI「不登校予測モデル」構築実証事業を考えた-データによる個人の選別

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

ai_shigoto
7月1日に日本データベース学会の「2023年度第1回DBSJセミナー「AI生成コンテンツ利用における法的課題や活用事例」」をオンラインで受講しました。弁護士の田中浩之先生の個人情報保護法に関する講義が大変勉強になったので、講義中にとったメモをまとめてみたいと思います。(メモのため、もし間違いがあった場合それは私の責任です。)

1.学習済みパラメータは、個人情報に当たるか?
個人情報保護法ガイドラインQA1-8によれば個人情報にあたらない。また同QA2-5によれば個人情報の取扱いではないのでプライバシーポリシーの利用目的に記載する必要はない。

2.生成AIと要配慮個人情報について
●個人情報をAIでプロファイリングして得られた推知情報が要配慮個人情報に該当するかについては、該当しないとするのが日本の個人情報保護法学界の多数説である。

●ネット上の個人データの収集(スクレイピング)自体については個人情報保護法はこれを規制していない。しかし要配慮個人情報の取得については原則として本人の同意が必要となる(法20条2項)。ただし法20条2項7号は「当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第五十七条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合」には本人同意が不要と規定しているので、本人がネット上の要配慮個人情報を公開している場合などはこの例外規定が適用される。

●ネット上の要配慮個人情報の収集(スクレイピング)については、個人情報保護委員会(PPC)が6月2日付で発出した「生成AIサービスの利用に関する注意喚起等について」の「【別添2】OpenAIに対する注意喚起の概要」の1.(1)(2)が参考になる。すなわちPPCはつぎのように整理している。

PPCの要配慮個人情報の図
(個人情報保護委員会「生成AIサービスの利用に関する注意喚起等について」「【別添2】OpenAIに対する注意喚起の概要」より)

3.生成AIと第三者提供
●個人情報をchatGPT等の生成AIに入力することはchatGPT(openAI社)等への第三者提供に該当するのか?
・個人情報保護法ガイドラインQA7-53、54はクラウトサービスに事業者が個人情報を預ける場合に関して、それがただ単に「倉庫として利用しているような場合」には第三者提供には該当しないとしているところ、chatGPT等の生成AIは処理や機械学習などを行っているので、これを「倉庫として利用しているような場合」と考えることはできず、原則として第三者提供に該当すると考えるべきであろう。

ただし、上述の個人情報保護委員会の「生成AIサービスの利用に関する注意喚起等について」の「【別添1】生成AIサービスの利用に関する注意喚起等」は、生成AIが機械学習をしていないのであれば第三者提供に該当しないと読める。

なお、openAI社のchatGPTの利用規約などを読むと、openAI社は「入力された情報を30日間保存する」と規定している。しかしこの点については、個人情報保護法27条1項2号の「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。」に該当する場合であるとして、第三者提供にあたらないと考えることは可能であろう。

企業などがopenAI社とデータ処理契約(DPA)を締結してchatGPTを利用する場合には、契約内容にてこれらの点を問題ないように処理できるであろう。しかしopenAI社とデータ処理契約を締結できない個人の利用などの場合には、第三者提供の問題が起きることになるであろう。

4.生成AIと不適正利用禁止規定
●chatGPTなどの生成AIが勝手に個人情報に関する回答を行ったらどうなるか?
・このような場合については、chatGPTなどの生成AIは統計的な計算により回答を行っていることから第三者提供にはあたらないと考えることもありうる。とはいえ、chatGPTなどが嘘の前科を回答する事例は現実に発生しており、これは大問題といえる。

この点に関しては個人情報保護法19条の不適正利用の禁止の条文の適用も考えられるが、個人情報保護委員会はこの条項を伝家の宝刀としてこれまではあまり発動してこなかった。しかし、個人情報保護委員会が本年3月に公表した、「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(令和5年3月)」20頁はつぎのように記述しており、個人情報保護法とプライバシーが重なり合う場面において、法19条の不適正利用禁止条項が法執行されることが今後はあるかもしれないと思われる。

防犯カメラ報告書20頁
(個人情報保護委員会「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(令和5年3月)」20頁より)

このブログ記事が面白かったらシェアやブックマークをお願いします!

■関連するブログ記事
・chatGPT等の「生成AIサービスの利用に関する注意喚起等について」に関して個人情報保護委員会に質問してみた
・【備忘録】文化庁の著作権セミナー「AIと著作権」について
・個人情報保護委員会の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関するパブコメに意見を書いてみた

人気ブログランキング

PR




このエントリーをはてなブックマークに追加 mixiチェック

ai_shigoto

1.はじめに
2023年6月2日付で個人情報保護委員会(PPC)はchatGPTなどに関する「生成AIサービスの利用に関する注意喚起等について」を発出しました。この文書の「【別添1】生成AIサービスの利用に関する注意喚起等」の(1)の部分は個人情報取扱事業者(=民間企業等)に対する注意喚起ですが、やや包括的な書きぶりで疑問点があったため、PPCに電話にて確認してみました。PPCの担当者の方のご回答はおおむね次の通りでした。
・生成AIサービスの利用に関する注意喚起等について(2023年6月2日)|個人情報保護委員会

2.質問とPPCの回答
(1)個情法の何条違反となるのか
質問:「【別添1】生成AIサービスの利用に関する注意喚起等」(1)②は「あらかじめ本人の同意を得ることなく生成AIサービスに個人データを含むプロンプトを入力し、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該個人情報取扱事業者は個人情報保護法の規定に違反することとなる可能性がある」とのことであるが、これは具体的には法何条に違反する可能性があるのであろうか?目的外利用あるいは第三者提供などとご教示いただきたい。」

PPCの回答:「とにかくchatGPTなど生成AIサービスについてはまだ分からないことが多い。そのため、個情法の何条に違反するというよりも、個人情報取扱事業者の義務を規定した法第4章の事業者のすべての義務に違反するような個人データの入力や利用は止めてもらいたいという趣旨である。」

(2)「応答結果の出力」ー委託の「混ぜるな危険」の問題
質問:「(1)②の「応答結果の出力以外の目的で取り扱われる場合…個人情報保護法の規定に違反する可能性」とあるということは、「応答結果の出力」の目的の範囲内であれば適法であると読めるが、「応答結果の出力」の目的の範囲内であっても、例えば個人情報保護法ガイドラインQA7-41等の委託の「混ぜるな危険の問題」に抵触するような場合、つまりopenAI社が他社から委託を受けた個人データと突合・名寄せする等して応答結果を出力するような場合は法27条5項1号違反となる可能性があるのではないか?」

PPCの回答:「たしかにその場合には違法の可能性がある。とにかく個情法第4章の個人情報取扱事業者の義務に抵触するような個人データの入力や利用は止めてもらいたいという趣旨である。」

(3)個人情報保護法ガイドラインQA7-39の「委託元から提供された個人データを委託先は自社の分析技術の改善のために利用することができる」について
質問:「(1)②の最後の部分に、「当該生成AIサービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること」とあるが、個人情報保護法ガイドラインQA7 -39は「委託に伴って提供された個人データを、委託業務を処理するための一環として、委託先が自社の分析技術の改善のために利用することはできるか」との問いに「委託先は、委託元の利用目的の達成に必要な範囲内である限りにおいて、委託元から提供された個人データを、自社の分析技術の改善のために利用することができる」と説明しているが、このQA7-39との関係をどう理解すればよいのだろうか?」

PPCの回答:「委託元の利用目的の範囲内であれば、委託先は自社の分析技術の改善つまり業務効率化に利用できるということであるが、業務効率化を超えるような利用があるとしたら、そのような個人データの利用は止めてもらいたい。とにかく当委員会としても生成AIサービスについてはまだよく分かってないことが多いので、個人情報取扱事業者においては個情法第4章の義務全般に違反する生成AIサービスの利用は止めてもらいたいという趣旨である。」

3.まとめ
PPCのご担当者の方が、「当委員会としても生成AIサービスについてはまだよく分かってないことが多い」ので、「個人情報取扱事業者においては個情法第4章の義務全般に違反する生成AIサービスの利用は止めてもらいたい」と繰り返し回答されていることが印象に残りました。

PPCがこのようなスタンスであるということは、民間企業など個人情報取扱事業者においては、chatGPTなどの生成AIサービスの利用については慎重の上に慎重に検討した上で個人データの入力などの利用を行う必要があると思われます。

(また、上の(2)では委託のスキームを前提とした質問を行い、PPCのご担当者もそれに沿った回答をしていただいていますが、生成AIサービスを利用する事業者の個人データの入力は、PPCが「当委員会としても生成AIサービスについてはまだよく分かってないことが多い」と繰り返し回答していることからも、委託というよりは第三者提供と考えたほうが安全なように思われました。)

このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR






このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ