なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人情報保護委員会

ビジネスプランニング社サイト
(ビジネスプランニング社サイトより)

1.はじめに
リリースによると、個人情報保護委員会は2025年5月16日に、名簿業者の有限会社ビジネスプランニングに対して、特殊詐欺グループに個人情報を販売していた等として、個情法19条(不適正利用の禁止)違反の個人情報の第三者提供を直ちに中止すること等の緊急命令(法148条3項)等を出したそうです。メディア各社の報道によると、個情委が緊急命令を出したのは初めてとのことです。
・有限会社ビジネスプランニングに対する個人情報の保護に関する法律に基づく行政上の対応について(令和7年5月16日)|個人情報保護委員会

2.緊急命令等の内容
●緊急命令
⑴ 法第19条(不適正な利用の禁止)の規定に違反する個人情報の提供を直ちに中止すること。
⑵ 法第19条の規定に違反する個人情報の提供を一切行わないよう、令和7年5月30 日(金)までに、例えば、個人情報の提供先について、法人登記で実在を確認し利用目的を特定するなどの方法で、違法又は不当な行為に及ぶ者ではないことを確認することを会社規程に盛り込み、個人情報の取扱状況について定期的に監査を実施するなど、確実な体制整備を行うこと。
●勧告
個人データを提供した年月日、当該第三者の氏名又は名称及び住所等の記録が必要な事項について、適切に記録を作成し保存すること(法29条、法148条1項)。
●報告徴求
整備した体制の内容について報告等(法146条1項)。

3.緊急命令等の理由
個情委は、警察から、「特殊詐欺グループの被疑者が、ビジネスプランニング名義の銀行口座等へ送金していた事実が確認された。」旨の情報提供を受け、令和7年4月18日、ビジネスプランニングに対し、法第146条第1項の規定による立入検査を実施したところ、ビジネスプランニングにおける個人情報の取扱いについて、以下の法第19条の規定違反及び個人の重大な権利利益を害する事実が認められた。

⑴ ビジネスプランニングは、令和5年5月から令和6年10月にかけて、名簿の販売先が違法な行為に及ぶ者である可能性を認識していたにもかかわらず、個人情報を提供した。
⑵ ビジネスプランニングが上記⑴で提供した個人情報は、個人情報に係る本人の重大な財産的被害等を及ぼす特殊詐欺グループに提供された。
⑶ ビジネスプランニング代表取締役の説明によれば、同社における他の名簿販売に関しても、「個人名からの入金であり、法に違反するような行為に名簿を利用すると思われる者に対する名簿の提供である。」との認識を持ちながら個人情報を提供していた。前記⑴を含むこれらの行為は、違法又は不当な行為を助長し、又は誘発するおそれがある方法による個人情報の利用であり、法第19条の規定(不適正な利用の禁止)に違反する。
⑷ ビジネスプランニングは、提供先が違法な行為に及ぶ者である可能性を認識しながら個人情報の提供を行っており、提供された個人情報に係る本人は、特殊詐欺グループからの連絡の可能性にさらされることにより現に本人の平穏な生活を送る権利利益が侵害されている。そして、このような権利利益の侵害が、同社の反復継続的な個人情報の提供行為により拡大され続けている中、今後も含め、本人への特殊詐欺による財産的被害につながりかねない状況である。

4.検討
(1)緊急命令
緊急命令は、個人情報取扱事業者が、個情法の規定に違反した場合において、個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときに、当該個人情報取扱事業者に対して、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずるものです(法148条3項)。

緊急命令は通常の命令と異なり、勧告を経ることなくただちに命令できるものです。そのため、緊急命令の対象となる違反行為は、通常の命令よりも狭い範囲に限定されています。同様に、緊急命令の要件は、通常の命令の「個人の重要な権利利益の侵害が切迫していると認めるとき」では足りず、「個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるとき」に限定されています。したがって、緊急命令は、現実に重大な権利利益の侵害の事実が発生していない場合は対象外であり、また、同事実がすでに終了している場合についてもやはり対象外になるとされています(岡村久道『個人情報保護法 第4版』468頁)。

なお、緊急命令および通常の命令に違反したときには、個情委はその旨を公表できます(法148条4項)。また、違反者は1年以下の懲役または100万円以下の罰金に処せられ(法178条)、法人は1億円以下の罰金刑となります(両罰規定、法184条1号、岡村・前掲469頁)。

上記3.(4)でも見たように、個情委は、「提供された個人情報に係る本人は、特殊詐欺グループからの連絡の可能性にさらされることにより現に本人の平穏な生活を送る権利利益が侵害されている。そして、このような権利利益の侵害が、同社の反復継続的な個人情報の提供行為により拡大され続けている中、今後も含め、本人への特殊詐欺による財産的被害につながりかねない状況である。」と、ビジネスプランニングの行為が、個情法19条に違反し、個人の重大な権利利益を害する事実があり、しかもその事実が現在も継続し、今後も継続する危険があると認定しており、本事件における個情委の緊急命令の発動は妥当であったと思われます。

(2)個人情報保護法の3年ごと見直し
ところで、現在、個情委は個人情報保護法の3年ごと見直し(法改正)を検討中ですが、その検討の議論においては、命令・緊急命令の機動的な運用など個情委の法執行のアップデートや、いわゆる名簿屋へのさらなる規制強化、法19条(不適正利用の禁止)のさらなるアップデート・明確化などが議論の俎上にあげられており、本事件は法改正との関係で注目されると思われます。

1b9248ca
(つぎの個情法の改正の概要。個情委サイトより)

■関連するブログ記事
・令和7年個人情報保護法改正の大まかな概要のまとめ(2025年2月時点)

人気ブログランキング

このエントリーをはてなブックマークに追加 mixiチェック

kojinjouhou_businessman
つぎの個人情報保護法改正のスケジュールが気になるところですが、2025年3月26日に個人情報保護委員会が公表した、「令和7年度個人情報保護委員会活動方針(案)」によると、少し後ろ倒しとなるように思われます。

つまり、同活動方針(案)は、個情法の3年ごと見直しについて、「こうした制度的な論点について、引き続き、関係者との対話も重ねながら検討を進めていく。」としているからです。

無題1
(個人情報保護委員会「令和7年度個人情報保護委員会活動方針(案)」より)

ある個人情報保護法に詳しい弁護士の先生が、Twitterで数か月前に、"次の個情法改正は今年の臨時国会に法案がでるかも"と投稿しておられましたが、来年以降に後ろ倒しになるのかもしれません。

また、つぎの個人情報保護法改正の目玉の一つであった、課徴金制度・団体訴訟制度の導入についても、見送りとなる可能性があるようです。

3月5日に個人情報保護委員会が公表した、「個人情報保護法の制度的課題に対する考え方(案)について」が、課徴金制度・団体訴訟制度について、「継続して議論していく必要があるのではないか」とレベルダウンした表現にとどめているからです。

無題2
(個人情報保護委員会「個人情報保護法の制度的課題に対する考え方(案)について」より)

つぎの個情法改正は、本人同意を必要としない個人情報の利活用の拡大等など、全体的に経済界寄りの改正となってしまうです。最近、個情委は経済界に押されっぱなしのように思われますが、何とか頑張ってもらいたいと思います。

人気ブログランキング

このエントリーをはてなブックマークに追加 mixiチェック

kojinjouhou_rouei_businessman
1.損保4社で合計250万件の顧客の個人情報の漏えい
損害保険大手4社の保険契約者の個人情報が代理店を通じて他社に漏れていた問題で、漏洩した個人情報が4社で計約250万件に上ることを損保4社が金融庁に報告し公表しました。損害保険ジャパンが約99万1千件、東京海上日動火災保険が約96万件、三井住友海上火災保険が約33万6千件、あいおいニッセイ同和損害保険が約21万7千件だった。保険契約者の氏名、住所や電話番号、証券番号などが漏えいしていたとのことです。

情報漏れの経路は、主に二つであり、一つは、自動車ディーラーなどの保険代理店から他社に契約者情報がメールで共有されたケースで、全体の9割超にあたる約226万5千件に上った。関わったディーラーなどは延べ約1200社。

もう一つは、保険代理店に出向した損保社員が、他社の契約者情報を、出向元の損保に持ち出すケース。全体の1割弱に当たる約23万8千件で、情報を取られた代理店は延べ119店だったとのことです。損保各社は「個人情報の漏えいにあたるとの認識をしていなかった」等と釈明しているそうです(「損保4社、250万件漏洩 他社に氏名や電話番号 代理店通じ「共有」黙認」朝日新聞2024年8月31日付記事より)。

■損保各社のプレスリリース
・保険代理店との間で発生した保険契約情報の不適切な管理に関する対応状況|損保ジャパン
・情報漏えい事案にかかる金融庁への報告について|東京海上日動
・保険代理店ならびに当社出向者による情報漏えい事案の調査結果について|三井住友海上
・保険契約情報の不適切な管理に伴うお客さまへの通知文書の発送開始について|あいおいニッセイ同和損保

2.個人情報保護法から考える
上の一つ目のケースを考えると、保険代理店が他社保険代理店に保険契約者の個人情報をメールで「共有」することは、他者保険代理店がグループ会社などでない限りは個情法の「共有」(個情法27条5項3号)には該当せず、本人の同意のない違法な目的外利用(18条1項)、違法な第三者提供(27条1項)であると考えられます。また個人情報の提供を受けて受け取った側の保険代理店は、個人情報の適正取得の義務違反です(20条1項)。

また二つ目のケースは、保険代理店に出向した損保社員が、他社の契約者情報を、出向元の損保に持ち出すことは、当該保険代理店については安全管理措置違反(23条、24条)が成立し、また当該保険代理店に委託を行っている損保会社は委託先の監督違反(25条)が成立すると考えられます。さらにその個人情報を受け取った損保会社は個人情報の適正取得の義務違反となると考えられます(20条1項)。加えて、保険代理店から個人情報の持ち出しを行った損保社員は、個人情報等データベース不正提供罪が成立する余地があるのではないでしょうか(179条)。

3.保険業法・ガイドライン・監督指針から考える
(1)保険業法・保険業法施行規則
保険業法100条の2は、「保険会社は…顧客に関する情報の適正な取扱い…その他の健全かつ適切な運営を確保するための措置を講じなければならない」と規定しています。そしてこれを受けて保険業法施行規則53条の8は、「保険会社は、その取り扱う個人である顧客に関する情報の安全管理、従業者の監督及び当該情報の取扱いを委託する場合にはその委託先の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置を講じなければならない。」と規定しています。そのため、損保各社は保険業法100条の2および施行規則53条の8に抵触していることになります。

保険業法
(業務運営に関する措置)
第100条の2
保険会社は、その業務に関し、この法律又は他の法律に別段の定めがあるものを除くほか、内閣府令で定めるところにより、その業務に係る重要な事項の顧客への説明、その業務に関して取得した顧客に関する情報の適正な取扱い、その業務を第三者に委託する場合における当該業務の的確な遂行その他の健全かつ適切な運営を確保するための措置を講じなければならない。

保険業法施行規則
第53条の8
保険会社は、その取り扱う個人である顧客に関する情報の安全管理、従業者の監督及び当該情報の取扱いを委託する場合にはその委託先の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置を講じなければならない。
(2)金融分野個人情報保護ガイドライン
また、金融庁の「金融分野における個人情報保護に関するガイドライン」の第10条は、損保会社を含む金融機関は、「その取扱いを委託された個人データの安全管理が図られるよう、法第25条に従い、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」(1項)と規定し、委託先を「定期的に監査を行う等により、定期的又は随時に当該委託契約に定める安全管理措置等の遵守状況を確認し、当該安全管理措置を見直さなければならない」(3項2号)等と規定しています。損保各社はこのガイドラインに抵触していることになります。

(3)保険監督指針
さらに、金融庁の「保険会社向けの総合的な監督指針」の「II -4-5 顧客等に関する情報管理態勢」は顧客の個人情報保護について規定しています。監督指針は、「顧客に関する情報は、保険契約取引の基礎をなすものであり、その適切な管理が確保されることが極めて重要である。」(II -4-5-1)とした上で、「経営陣は、顧客等に関する情報管理の適切性を確保する必要性及び重要性を認識し、適切性を確保するための組織体制の確立(部門間における適切な牽制の確保を含む。)、社内規程の策定等、内部管理態勢の整備を図っているか。」(II -4-5-2(1)①)、「顧客等に関する情報の取扱いについて、具体的な取扱基準を定めた上で、研修等により役職員に周知徹底しているか。特に、当該情報の他者への伝達については、コンプライアンス(顧客に対する守秘義務、説明責任)及びレピュテーションの観点から検討を行った上で取扱基準を定めているか。」(II -4-5-2(1)②)などの規定を置いています。損保各社は監督指針のこれらの規定にも抵触していることになります。

4.まとめ
このようにざっと見ただけでも、今回の個人情報漏えい事故においては損保各社および保険代理店は、個人情報保護法、保険業法、ガイドライン、監督指針などの各規定に違反・抵触していることになります。

損保各社は「個人情報の漏えいにあたるとの認識をしていなかった」等と釈明しているそうですが、「顧客に関する情報は、保険契約取引の基礎をなすものであり、その適切な管理が確保されることが極めて重要である。」(監督指針II -4-5-1)との精神はどこに行ってしまったのでしょうか。"損保各社や保険代理店の利益だけが重要である、保険契約者等の顧客のことはどうでもよい"とのコンプライアンスのかけらもない意識が透けて見えます。

先般の損保のビッグモーター事件を受けて、金融庁は保険代理店への規制を強化する方向で保険業法の見直しを検討している最中です。この点、金融庁は今回の事件を受けて、個人情報保護を強化する方向で保険業法等を見直していただきたいと考えます。また、個人情報保護委員会は2025年に向けて個人情報保護法の改正を検討中ですが、事業者への課徴金制度や団体訴訟制度の導入などは待ったなしの状況であると思われます。

■追記
生命保険業界でも同様の問題が報道されています。
・日本生命、契約者情報漏洩18万件 生命保険にも拡大|日経新聞

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family

個人情報保護委員会が『個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理』のパブコメを2024年7月29日まで実施しているので、つぎのとおり意見を書いて送ってみました。

1.生体データについて
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
生体データも要配慮個人情報に含め、その取得には本人同意を必要とすべきである。
(理由)
個人情報のなかでも生体データの要保護性は高いと考えられるから、自己情報コントロール権(情報自己決定権、憲法13条)の観点からは、生体データについても要配慮個人情報(個情法2条3項)に含め、その取得には本人同意を必要とするべきである。かりにそれができない場合には、柔軟なオプトアウト制度の導入など、本人関与の仕組みを強化すべきである。

2.従業員の生体データのモニタリング
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
使用者がパソコンやプログラム等を利用して従業員の生体データや集中度などを監視・モニタリングすることは個情法19条、20条違反であることを明確化すべきである。
(理由)
近年、使用者がパソコンやプログラム等を利用して従業員の脳波や集中度などを監視・モニタリングしている事例が増えているが(「東急不動産の新本社、従業員は脳波センサー装着」日本経済新聞2019年10月1日付、日立の「ハピネス」事業など参照)、このような従業員の監視・モニタリングは労働安全衛生法104条違反であるだけでなく、これがもしEUであればGDPR22条違反であり、さらに従業員の「自らの自律的な意思により選択をすることが期待できない場合」に該当するので、個情法19条、20条に抵触して違法であることをガイドライン等で明確化すべきである。

3.生徒・子どもの生体データのモニタリング
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
学校・教育委員会等がパソコン・タブレットやウェアラブル端末等を利用して生徒・子どもの生体データや集中度などを監視・モニタリングすることは個情法19条、20条違反であることを明確化すべきである。
(理由)
近年、学校・教育委員会等がタブレット・パソコンやウェアラブル端末等を利用して生徒・子どもの生体データ等から集中度などを監視・モニタリングしている事例が増えているが(「「聞いてるふり」は通じない? 集中しない生徒をリアルタイムで把握 教員からは期待、「管理強化」に懸念も」共同通信2023年6月21日付、デジタル庁「教育データ利活用ロードマップ」など参照)、このような生徒・子どもの生体データの監視・モニタリングは、これがもしEUであればGDPR22条違反であり、さらに生徒・子どもの「自らの自律的な意思により選択をすることが期待できない場合」に該当するので、個情法19条、20条に抵触して違法であることをガイドライン等で明確化すべきである。

4.電話番号、メールアドレス、Cookieなどの個人関連情報について
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
電話番号、メールアドレス、Cookieなどの情報も個人関連情報とするのではなく、個人情報に該当するとすべきである。
(理由)
電話番号、メールアドレス、Cookieなどの情報も、多くの場合、特定の個人を追跡可能であり、ターゲティング広告等により当該個人の自由な意思決定に影響を及ぼし得るのであるから、電話番号、メールアドレス、Cookieなどの情報も個人関連情報とするのではなく、個人情報に該当するとすべきである。

5.プロファイリングと不適正利用
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
不適正利用の禁止(法19条)に関する個人情報保護法ガイドライン(通則編)の「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に、「AI・コンピュータの個人データ等のプロファイリングの行為のうち、個人の権利利益の侵害につながるもの」を明示すべきである。
(理由)
本人の認識や同意なく、ネット閲覧履歴、購買履歴、位置情報・移動履歴やSNSやネット上の書き込みなどの情報をAI・コンピュータにより収集・分析・加工・選別等を行うことは、2019年のいわゆるリクナビ事件等のように、本人が予想もしない不利益を被る危険性がある。このような不利益は、差別を助長するようなデータベースや、違法な事業者に個人情報を第三者提供するような行為の不利益と実質的に同等であると考えられる。
また、日本が十分性認定を受けているEUのDGPR22条1項は、「コンピュータによる自動処理のみによる法的決定・重要な決定の拒否権」を定め、さらにEUで成立したAI法も、雇用分野の人事評価や採用のAI利用、教育分野におけるAI利用、信用スコアなどに関するAI利用、出入国管理などの行政へのAI利用などへの法規制を定めている。
この点、厚労省の令和元年6月27日労働政策審議会労働政策基本部会報告書「~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」9頁・10頁および、いわゆるリクナビ事件に関する厚労省の通達(職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運営について」)等も、電子機器による個人のモニタリング・監視に対する法規制や、AI・コンピュータのプロファイリングに対する法規制およびその必要性を規定している。
日本が今後もEUのGDPRの十分性認定を維持し、「自由で開かれた国際データ流通圏」政策を推進するためには、国民の個人の尊重やプライバシー、人格権(憲法13条)などの個人の権利利益を保護するため(個情法1条、3条)、AI・コンピュータによるプロファイリングに法規制を行うことは不可欠である。
したがって、「AI・コンピュータの個人データ等のプロファイリングの行為のうち、個人の権利利益の侵害につながるもの」を「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に明示すべきである(「不適正利用の禁止義務への対応」『ビジネス法務』2020年8月号25頁、『AIプロファイリングの法律問題』(2023年)50頁参照)。

6.こどもの個人情報等に関する規律の新設
(該当箇所)
こどもの個人情報等に関する規律の在り方(中間整理8頁~11頁)
(意見)
こどもの個人情報等に関する規律を新設することに賛成します。
(理由)
こどもは大人に比べて脆弱性・敏感性及びこれらに基づく要保護性があるにもかかわらず、近年、学校・教育委員会などが、生徒・子どもにウェアラブル端末をつけさせて生体データを収集し集中力や「ひきこもり」の予兆などを監視・モニタリングする事例などが野放しで増加しているが、このような学校等による生徒・子どもの監視・モニタリングは子どもの内心の自由やプライバシー、人格権を侵害しかねないものであり、子どもの権利利益を侵害している(個情法1条、3条、憲法13条、19条)。
したがって16歳未満の子どもの個人情報については収集等に法定代理人の同意を必要とし、また厳格な安全管理措置を要求するなどの法規制を新設することに賛成します。

7.課徴金制度・団体訴訟制度
(該当箇所)
課徴金、勧告・命令等の行政上の監視・監督手段の在り方(中間整理11頁)および団体による差止請求制度及び被害回復制度の導入(中間整理12頁)
(意見)
課徴金制度の導入などおよび団体請求制度の導入等に賛成します。
(理由)
国民・消費者の個人の権利利益のさらなる保護のため(個情法1条、3条)に賛成します。経済界は団体による差止請求にも反対しているようであるが、差止請求は違法な行為にしかなされないところ、経済界は違法行為がしたいのだろうかと疑問である。

8.漏えい等報告・本人通知の在り方
(該当箇所)
漏えい等報告・本人通知の在り方(中間整理18頁)
(意見)
現行の漏えい等報告・本人通知の在り方を緩和することに反対。
(理由)
二次被害・類似事案の防止が漏えい等報告及び本人通知の趣旨・目的なのであるから、たとえば事業者がセキュリティインシデントに対応中でマルウェア等の犯人を泳がせて調査しているような場合は別として、原則として個人情報漏えい事故が発生した場合は、迅速に漏えい等報告・本人通知を事業者に行わせるべきである。現行の漏えい等報告・本人通知の在り方を緩和することには反対。 また、漏えい等に関する義務が生じる「おそれ」要件についても、「おそれ」が発生している以上は安全管理措置義務違反が発生していることは事実なのであるから、事業者は違法であるのであって、「おそれ」要件を緩和することには反対である。

9.医療データの収集・目的外利用・第三者提供の規制緩和
(該当箇所)
社会のニーズ及び公益性を踏まえた例外規定の新設並びに明確化(中間整理23頁)
(意見)
医療データにつき例外規定を設け、取得や目的外利用、第三者提供等に本人同意やオプトアウトを不要とする議論に反対。
(理由)
現在の情報法・憲法の学説上、個人情報保護法(個人データ保護法)の趣旨・目的は自己情報コントロール権説(情報自己決定権説)が通説であり、ドイツやEUなど多くの西側自由諸国でも同様である(曽我部真裕・林秀弥・栗田昌裕『情報法概説第2版』209頁、渡辺康行・宍戸常寿・松本和彦・工藤達朗『憲法Ⅰ基本権』121頁、山本龍彦『個人データ保護のグローバル・マップ』247頁、359頁等参照)。
そして自己情報コントロール権説からは、個人情報保護法が目的外利用や第三者提供をする場合、医療データなどの要配慮個人情報を収集する場合において、事業者や行政機関等が患者などの本人の同意を取得することが必要と規定されていることは当然のことと考えられる。
そのため、この目的外利用や第三者提供をする場合、医療データなどの要配慮個人情報を収集する場合に本人の同意の取得を不要とする有識者ヒアリング等における森田朗名誉教授や鈴木正朝教授、高木浩光氏などの主張は自己情報コントロール権説に反し、つまり個人情報保護法(個人データ保護法)の趣旨・目的に反している。
また、法律論を離れても、たとえば4月3日の個人情報保護委員会の有識者ヒアリングでは、横野恵准教授の「医療・医学系研究における個人情報の保護と利活用」との資料13頁の「ゲノムデータの利活用と信頼」においては、一般大衆の考えとして、ゲノムデータの利活用に関する「信頼の醸成に寄与する要素」の2番目に「オプトアウト制度」が上がっている。
したがって、医療データの利用等に関して、患者の本人の同意やオプトアウト制度などの本人関与を廃止する考え方は、一般国民の支持を得られないと思われる。
また、森田名誉教授や鈴木正朝教授、高木浩光氏など、医療データの製薬会社やIT企業などによる利活用を推進する立場の人々は、「日本国民はすべて医療データを製薬会社などに提供し、医療や社会に貢献すべきだ」との考え方を前提としているように思われる。
たしかに患者が医療に貢献することは一般論としては「善」である。しかし、日本は個人の自由意思を原則とする自由主義・民主主義国である(憲法1条、13条)。患者個人が医療や社会に貢献すべきか否かは個人のモラルにゆだねるべき問題であり、ことさら法律で強制する問題ではない。すなわち、患者の医療への貢献などは、自由主義社会においては自由な討論・議論によって検討されるべきものであり、最終的には個人の内心や自己決定にゆだねられるべきものである(憲法19条、13条)。
「日本国民はすべて医療データを製薬会社などに提供し、医療や社会に貢献すべきだ」「そのような考え方を個人情報保護法の改正や新法を制定し、国民に強制すべきだ」「そのような考え方に反対する国民は非国民、反日だ」との考え方は、中国やロシアなど全体主義・国家主義国家の考え方であり、自由主義・民主主義国家の日本にはなじまないものである。
さらに、患者の疾病・傷害にはさまざまなものがある。風邪などの軽い疾病のデータについては、製薬会社などに提供することを拒む国民は少ないであろう。しかし、がんやHIVなど社会的差別のおそれのある疾病や、精神疾患など患者個人の内心(憲法19条)にもかかわる疾病など、疾病・傷害にはさまざまな種類がある。それらをすべて統一的に本人同意を不要とする政府の議論は乱暴である。
したがって、憲法の立憲主義に係る基本的な考え方からも、医療データの一時利用・二次利用について患者の本人の同意を原則として不要とする議論は、個人情報保護法(個人データ保護法)の趣旨・目的に反しているだけでなく、わが国の憲法の趣旨にも反している。以上のような理由から、私は医療データの一時利用・二次利用について患者の本人の同意やオプトアウト等の本人関与の仕組みを原則として不要とする個人情報保護委員会や政府の議論に反対である。

10.その他:プロファイリング・AI法
(該当箇所)
その他(中間整理26頁)
(意見)
プロファイリングによる要配慮個人情報の「推知」を要配慮個人情報の「取得」として法規制すべきである。本人同意または本人関与の仕組みを導入すべきである。また、日本も早期にEUのようなAI法を制定すべきである。
(理由)
2016年のケンブリッジ・アナリティカ事件、最近のイスラエルの軍事AI「ラベンダー」など、プロファイリングの問題は個人情報保護の本丸である。個人情報保護法20条2項は要配慮個人情報の取得については本人同意を必要としているが、プロファイリングによる要配慮個人情報の「推知」、すなわち要配慮個人情報の迂回的取得は法規制が存在しない。これでは本人同意は面倒だと、事業者はプロファイリングによる推知を利用してしまう。
この点、世界的には、EUのGDPR21条はプロファイリングに異議を述べる権利を定め、同22条は完全自動意思決定に服さない権利を規定している。またアメリカのいくつかの州も同様の法規制を置いている。
このように世界的な法規制の動向をみると、日本もプロファイリングによる要配慮個人情報の「推知」を要配慮個人情報の「取得」として法規制すべきである。すなわち、本人同意または本人関与の仕組みを導入すべきである。
また、日本も早期にEUのようなAI法を制定すべきである。

11.顔識別機能付き防犯カメラ(1)
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
生体データに関連し、個人情報保護法16条4項や施行令5条の法改正を行い、顔データは保有個人データであると改正すべきである。
(理由)
生体データに関連し、顔識別機能付き防犯カメラシステムによる誤登録の問題に関して、現行法上、顔識別機能付き防犯カメラシステムによる顔データは、個人情報保護法施行令5条のいずれかの号に該当し、当該顔データは保有個人データではないということになり(個人情報保護法16条4項)、結局、顔識別機能付き防犯カメラを運用する個人情報取扱事業者は個人情報保護法を守る必要がないということになってしまうが、そのような結論は誤登録の被害者の権利利益の保護(法1条、3条、憲法13条)との関係で妥当とは思えない。
そのため個人情報保護法16条4項や施行令5条の法改正を行い、顔データは保有個人データであると改正すべきである。

12.顔識別機能付き防犯カメラ(2)
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
生体データの問題に関連し、顔識別機能付きカメラシステムによる顔データの共同利用については、全国レベルや複数の県をまたがる等の広域利用を行う場合には、個人情報保護委員会に事前に相談を求めることを個情法上に明記すべきではないか。そのために個人情報保護法の法改正等を行うべきでないか。
(理由)
「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会第6回」の議事録5頁に、「そういった観点から、一つ地域というのがメルクマールになると理解している。広域利用に関しては相当の必要性がなければできないとしつつ、個人情報保護委員会に相談があったような場合に対応していくのが1つの落としどころかと感じた。」等との議論がなされているから。 また、宇賀克也『新・個人情報保護法の逐条解説』275頁、園部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』187頁などにおいても、共同利用が許される外延・限界は「一つの業界内」、「一つの地域内」などと解説されており、全国レベルの共同利用や県をまたぐ広域利用、業界をまたぐ共同利用などは個人情報保護法が予定しておらず、本人が自分の個人情報がどこまで共同利用されるのか合理的に判断できないと思われるから。

13.顔識別機能付き防犯カメラ(3)
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
開示・訂正等請求を求める一般人(顔識別機能付き防犯カメラの誤登録の被害者等)が個人情報保護法などにおいて取りうる法的手段(例えば個人情報取扱事業者のウェブサイト上のプライバシーポリシー上の開示・訂正等請求の手続きに従って請求を行う、民事訴訟を提起する等)に関して、個人情報法保護法ガイドライン(通則編)や「個人情報の保護に関する法律についてのガイドラインに関するQ&A」等に一般人にもわかりやすい解説を用意するべきではないか。
(理由)
生体データの問題に関連し、顔識別機能付きカメラシステムの誤登録の被害者が個人情報取扱事業者に顔データの削除などを請求しても事業者から拒否される場合が多い。また誤登録の被害者等は法律のプロではないことが一般的である。
そのため、開示・訂正等請求を求める一般人(防犯カメラの誤登録の被害者等)が個人情報保護法などにおいて取りうる法的手段(例えば個人情報取扱事業者のウェブサイト上のプライバシーポリシー上の開示・訂正等請求の手続きに従って請求を行う、開示・訂正等請求の民事訴訟を提起する等)に関して、個人情報法保護法ガイドライン(通則編)や「個人情報の保護に関する法律についてのガイドラインに関するQ&A」等に一般人にもわかりやすい解説を用意するべきではないか。あるいは一般人向けに開示・訂正等手続きについて解説した「自治会・同窓会等向け会員名簿をつくるときの注意事項ハンドブック」のようなパンフレットを作成すべきではないか。

以上

■関連するブログ記事
・MyData Japan 2024の「George's Bar ~個人情報保護法3年ごと見直しに向けて~」の聴講メモ
・個情委の「3年ごと見直し」における医療データの取扱いに本人同意を不要とする議論に反対する

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

school_jugyou_tablet

1.はじめに

個人情報保護委員会が令和6年4月10日付で公表している「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方②)」の資料を読んでみました。今回の資料は、①子どもの個人情報、②消費者団体訴訟制度、の2点を取り上げています。

2.子どもの個人情報

本資料1頁は、まず「現行の個人情報保護法上、子どもの個人情報の取扱い等に係る明文の規定はない」とした上で、個人情報保護法ガイドライン(通則編)2-16および個人情報保護法ガイドラインQA1-62が、「「本人の同意」を得ることが求められる場面(目的外利用、要配慮個人情報の取得、第三者提供等)について、以下のとおり、「一般的には12歳から15歳までの年齢以下の子どもの場合には法定代理人等から同意を得る必要がある」とされている」と説明しています。

ppc1

つぎに本資料は、児童の権利条約(1989年)やデジタル環境下のこどもに関するOECD勧告(2021年)が、子どものプライバシーやデータ保護が重要であると規定していると説明しています。

また、本資料3頁以下は、子どもの個人情報に関する外国制度として、EU、イギリス、アメリカ、中国、韓国、インド、インドネシア、ブラジル、カナダ等の法制度を概観しており、「子どもの個人情報等をセンシティブ情報又はセンシティブデータと分類した上で特別な規律の対象とするケース」や「子どもの個人情報に特有の規律を設けるケース」が多いと分析しています。

ppc2
ppc3
ppc4

さらに本資料8頁以下は、子どもの個人情報に関する外国における主な執行事例として、InstagramやTikTok、YouTubeなどの事例をあげています。

ppc5
加えて本資料10頁は、日本における子どもの個人情報に関する社会的反響の大きかった事例として、①全寮制の学校Aが、全生徒にウェアラブル端末を購入してもらい、心拍数、 血圧、睡眠時間等の個人データを収集しようとした事件(広島叡智学園事件(2018年))、②学校Bで、生徒の手首につけた端末で脈拍を計測し、授業中の集中度を測定する実証研究を行った事件(市立鷲宮中学校事件(2021年))の概要が紹介されています。

また、子どもの個人情報に関連して個人情報保護法に基づく行政上の対応が行われた事例として、四谷大塚事件(2024年2月)の概要が紹介されています。

ppc6

なお本資料12頁は、「個人情報保護法相談ダイヤルにおける子どもの個人情報等に係る相談事例等」として、頻度の多い相談事例や、その他の相談事例等をあげていますが、とくに「事例C 事業者がパンフレットに児童の個人情報を掲載しているが、当該掲載について児童から口頭で同意をとったのみであり、親には何らの連絡もなかった」事例や、「事例D 未成年の娘あてに事業者からDMが届いた。発送先の事業者に確認したところ、名簿販売業者から娘の情報を取得したうえで営業をかけているようであった」という事例、「事例G 事業者が保有する児童の個人情報について、親が開示・削除等の請求をしているにもかかわらず、なかなか応じてくれない」事例、などを読むと、やはり子どもの個人情報の法規制は待ったなしだと思われます。

ppc7

3.消費者団体訴訟制度

本資料15頁は、適格消費者団体は、「不当な勧誘」、「不当な契約条項」、「不当な表示」などの事業者の不当な行為をやめるよう求めることができるとし、「事業者が不特定かつ多数の消費者に対して消費者契約法等に違反する不当な行為を行っている、又は、行うおそれのあるとき」には差止請求を行うことができると説明しています。この「消費者契約法等」には消費者契約法のほか、景品表示法、特定商取引法、食品表示法が規定されていると説明されています。(個人情報保護法はまだ規定されていない。)

また本資料17頁は、団体訴訟の差止請求に関連し、「個人情報に係る本人が不特定かつ多数と評価しえる事例に係る個人情報保護法に基づくこれまでの主な行政上の対応」として、Facebook事件(平成30年10月)、JapanTaxi事件(平成30年11月、令和元年9月)、リクルート内定辞退率予測データ事件(2019年)、破産者マップ事件(令和4年)、ビジネスプランニング事件(令和6年1月)の概要をあげています。

ppc8
ppc9

さらに本資料21頁は、「不法行為の成否と個人情報保護法の関係」として、令和5年の顔識別機能付き防犯カメラ報告書からつぎのように一部を抜粋しています。

『「不法行為法と個人情報保護法はその目的や性格に異なる部分があることから、不法行為が成立する場合、同時に個人情報保護法違反となる場合もあり得るが、不法行為が成立したからといって必ずしも個人情報保護法違反となるわけではない。」
不法行為の成否を評価するに当たり考慮される要素は、個人情報保護法上も不適正利用の禁止規定(法第19条)や適正取得規定(法第20条第1項)の解釈などにおいて、考慮すべきであると考えられる。
(出典)「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」(令和5年3月)から引用。』
「不法行為の成立=個人情報保護法違反ではない」としつつも、「不法行為の成否を評価するに当たり考慮される要素は、個人情報保護法上も不適正利用の禁止規定(法第19条)や適正取得規定(法第20条第1項)の解釈などにおいて、考慮すべきであると考えられる。」と個人情報保護委員会がしていることは、個情委が今後、不適性利用禁止条項を積極的に発動する可能性があるのではないでしょうか。個人的には個情委のこの取組みに期待したいです。

また本資料21頁は、個人情報の取扱いにおいて損害賠償責任が問題となった主な事例として、早大名簿提出事件(最高裁平成15年9月12日判決)とベネッセ個人情報漏洩事件(最高裁平成29年10月23日判決)をあげています。

ppc10

ベネッセ個人情報漏洩事件はおよそ3500万件もの個人情報が漏洩した事件ですが、このように被害者が不特定かつ多数の個人情報漏洩事件について、消費者団体訴訟における損害賠償請求ができるようになることは、被害者救済の観点から重要であると思われます。また、団体訴訟制度の個人情報保護法への導入は、事業者の実務への影響は非常に大きいと思われます。

■関連するブログ記事
・PPCの「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」(2023年11月)を読んでみた
・個情委の「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)」を読んでみた
・埼玉県の公立中学校の「集中しない生徒をリアルタイムで把握」するシステムを個人情報保護法や憲法から考えた
・戸田市の教育データを利用したAI「不登校予測モデル」構築実証事業を考えた-データによる個人の選別

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ