なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人情報保護委員会

ヤフーデータは大切に守ります
(Yahoo!Japanより)

このブログ記事の概要
Yahoo!JapanなどのEU域内に事業所等のない日本企業であっても、EU域内の個人へのネット上のサービスなどを提供している場合、GDPRの直接適用を受け、万一違反をした場合には罰則・制裁金を科されるリスクがある。

1.Yahoo!Japanが2022年4月6日よりEUおよびイギリスでサービスを終了
Yuta Kashino様(@yutakashino)のTwitterの投稿などによると、Yahoo!Japan(ヤフージャパン)が2022年4月6日よりEUおよびイギリスでサービスを終了するとのことです。「ビッグテックのCookie利用で,仏政府が今月頭にGDPRを根拠に巨大制裁金を課した」からであろうとYuta Kashino様はしておられます。

ヤフージャパンEU
(Yuta Kashino様(@yutakashino)のTwitterより)
https://twitter.com/yutakashino/status/1488355581148737537

Yahoo!Japanもプレスリリースを出しています。
・重要なお知らせ 2022年4月6日 (水)よりYahoo! JAPANは欧州経済領域(EEA)およびイギリスからご利用いただけなくなります|Yahoo!Japan

2.4月6日以降に欧州から個人がYahoo!Japanサイトへアクセスして、その上でGDPR違反が問われたら、YJは巨額制裁金を支払うことになるのだろうか?
このYahoo!Japanの対応に関しては、Twitter上で「4月6日以降に欧州から個人がYahoo!Japanサイトへアクセスして、その上でGDPR違反が問われたら、YJは巨額制裁金を支払うことになるのだろうか?」などの疑問を提起されています。この問題に関しては、GDPRの解説書などを読む限り、そのリスクがあるのではないかと思われます。

3.EU域内に拠点のない企業でも、EU域内の個人に対するサービスの提供等を行う場合、GDPRが直接適用される
(1)EUのGDPR(EU一般データ保護規則)3条2項
この点、小向太郎・石井夏生利『概説GDPR』33頁は、

「EU域内に拠点のない企業でも、EU域内の個人に対するサービスの提供などを行う場合、GDPRが直接適用される」
と解説しています。

そして、EUのGDPR(EU一般データ保護規則)3条2項はつぎのように規定しています。

「取扱活動が以下と関連する場合、本規則は、EU域内に拠点のない管理者又は処理者によるEU域内のデータ主体の個人データの取扱いに適用される」

「(a)データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品又はサービスの提供。又は」

「(b)データ主体の行動がEU域内で行われるものである限り、その行動の監視」


GDPR3条2項
(GDPR3条2項の日本語訳。個人情報保護委員会サイトより。)
・GDPR仮日本語訳|個人情報保護委員会

つまり、「(a)EU域内のデータ主体(=個人)に対する物品又はサービスの提供」をする場合、または「(b)データ主体の行動がEU域内で行われるものであり、その行動の監視」をする場合のいずれかのときは、EU域内に拠点のない事業者に対してもGDPRが直接適用されることになり、もし万一当該事業者がGDPR違反をした場合には、GDPRに基づく罰則・制裁金などが科されるリスクがあることになります(最大2000万ユーロまたは前会計年度の世界売上の4%のいずれか高い方の金額の制裁金。同83条)。

(2)どのような場合にGDPRが直接適用されるのか?
どのような場合にGDPRが直接適用されるのかについて、小向・石井・前掲35頁以下は、"オンラインサービス提供者の意思が問題となるが、英語でサイトを作成しているだけでなく、ユーロやポンドなどを決済通貨にしてる場合はGDPR3条2項でGDPRが直接適用されるだろう”としています。

また同書は、「.eu」や「.de」などのドメインをサイトに利用してる場合や、『euのお客様へ』などの説明文がある場合、さらにEUの個人の行動ターゲティング広告や位置情報の把握などを実施していたり、cookieなどでeu域内の個人を追跡してる場合などは、GDPR3条2項(b)が適用されるだろうとしています。

この点、冒頭のYuta Kashino様が指摘されているように、Yahoo!JapanはおそらくこのGDPR3条2項(b)が適用され、GDPRの直接適用があるので、GDPRによる罰則・制裁金などのリスクを回避するために4月からEUとイギリスでのサービス提供を終了するのではないかと思われます。

なぜなら、Yahoo!Japanは行動ターゲティング広告などを提供する等のために、Cookieなどにより国内外のユーザーのネット上の行動を追跡・監視しているからです。

この点、Yahoo!Japanの「プライバシーセンター」の「パーソナルデータの取得」のページは、

●Yahoo! JAPANのウェブページへのアクセスに伴って送信された「IPアドレス」を取得する場合
●Yahoo! JAPANのウェブページの閲覧履歴を取得する場合
●Yahoo! JAPANの検索機能を利用する際に入力された検索キーワードを取得する場合
●Yahoo! JAPANのショッピングサービスでの購買履歴を取得する場合
●「Yahoo!防災速報」「Yahoo!天気」「Yahoo! MAP」などをインストールされている端末に対して、所在地に応じた災害情報などをお知らせするために、端末の位置情報を取得する場合
●Yahoo! JAPANの広告主や広告配信先などのウェブページやアプリを利用した場合に、そのパートナーのウェブページやアプリにYahoo! JAPANの「ウェブビーコン」などを設置して「クッキー」や端末情報を参照することで、お客様がご利用の端末を識別するための情報を取得する場合
・パーソナルデータを取得する場合|Yahoo!Japan
ヤフーのプライバシーセンター

などの場合に、Yahoo!JapanはユーザーのIPアドレス、サイト閲覧履歴、検索キーワード、位置情報、Cookieや端末ID、端末情報などを収集するとしています。

つまり、Yahoo!Japanは同社サイトの各種のサービスを利用しているユーザー・顧客のIPアドレス、サイト閲覧履歴、検索キーワード、位置情報、Cookieや端末ID、端末情報などを収集し、それぞれのユーザーのネット上の行動や位置情報などを監視・追跡しているので、GDPR3条2項(b)が適用され、Yahoo!Japanの事業所等が仮にEUになく、EUの域外にしかないとしても、GDPRが直接適用されることになります。そのため、万一Yahoo!JapanがGDPR違反をした場合には、罰則・制裁金などが科されるリスクがあることになります。

4.そもそもGDPRの罰則が日本企業に科されるのか?
ところでネット上をみていると、「そもそもEUのGDPRの罰則が日本企業に科されるはおかしいのではないか?」との意見をみかけます。

この点、たしかに日本の刑法は原則として属地主義であり、日本国内で起きた犯罪を処罰するものです(刑法1条)。しかし、刑法2条から5条までが規定するとおり、日本国民が殺人や強盗など海外で重大な犯罪被害を受けたような場合には、日本の刑法は海外にも適用されます(属人主義)。また、内乱罪や通貨偽造罪など日本の国家的利益を損なう犯罪に対しても日本の刑法が海外に適用されるほか(保護主義)、例えばハイジャックなど世界的な利益に対する犯罪にも日本の刑法が適用されることがあります(世界主義)。

このように、法律は国内だけでなく国外にも適用される場合があります。法律は国をまたいで適応の範囲が重なりあう場合があるのです(小向・石井・前掲38頁、大塚裕史・十河太朗・塩谷毅・豊田兼彦『基本刑法Ⅰ総論 第2版』449頁)。

例えば、日本の個人情報保護法75条も、匿名加工情報に関しては国外の事業者にも日本の個人情報保護法が適用されるとの条文を置いています。

個人情報保護法
(適用範囲)
第75条 第十五条、第十六条、第十八条(第二項を除く。)、第十九条から第二十五条まで、第二十七条から第三十六条まで、第四十一条、第四十二条第一項、第四十三条及び次条の規定は、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。

5.GDPRの十分性認定とは?
また、「日本はEUからGDPRの十分性認定を受けているので、GDPRの罰則が適用されるのはおかしいのでは?」という疑問もネット上でみかけます。

この点、EUのGDPRは原則として、EU域内の個人データがEU域外に移転することを禁止しています。しかし、①十分性認定(45条)、②拘束的企業準則(BCR(Binding Corporate Rules)46条2項(b)、47条)、③標準データ保護条項(SCC(Standard Contractual Clauses)46条2項(c)(d))、④行動規範(46条2項(e))、⑤認証(46条2項(f))などがある場合には、EU域内の個人データがEU域外に移転することを認めています。

日本は2019年1月にEUからGDPR45条に基づき十分性認定を受けているため、上の拘束的企業準則や標準データ保護条項などの法的手続きを経ずに企業などがEU域内の個人データがEU域外に移転することができることになっています(越境データ移転の問題)。

しかしこれはあくまでも拘束的企業準則や標準データ保護条項などの法的手続きを経ずに企業などがEU域内の個人データがEU域外に移転することができるという越境データ移転の問題であり、日本の企業などがEU域内の個人データに関してGDPR違反をした場合には、上でみたように同3条2項によりGDPRが直接適用され、罰則や制裁金が科されるリスクがあることになります。

6.まとめ
このように、日本はEUからGDPRの十分性認定を受けていますが、しかしEU域内に事業所がある企業や(GDPR3条1項)、EU域内に事業所がない企業でも、例えばECやスマホアプリやゲームの開発などで、EU域内の個人にネットのオンラインサービスなどを提供している事業者などは(同3条2項)、GDPRの適用を受け、万が一GDPR違反をした場合には、罰則や制裁金などが科されるリスクがあることになります。

この点、日本の個人情報保護委員会は、GDPRの日本語訳や各種のガイドラインの日本語訳などをサイトに掲載しています。また、個人情報保護委員会は、「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」等も準備しています。そのため、EU域内に事業所のある企業や、EU域内の個人などにネット上のサービスを提供している企業などは、日本の個人情報保護法だけでなく、これらのEUなどの各種の法律やガイドライン、ルール等の法令遵守も必要になると思われます。

・日EU間・日英間のデータ越境移転について|個人情報保護委員会
・GDPR(General Data Protection Regulation:一般データ保護規則)|個人情報保護委員会
・個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール|個人情報保護委員会

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・小向太郎・石井夏生利『概説GDPR』33頁、38頁、41頁、141頁
・大塚裕史・十河太朗・塩谷毅・豊田兼彦『基本刑法Ⅰ総論 第2版』449頁

■関連記事
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園・「デジタル・ファシズム」
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・文科省が小中学生の成績等を一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・飲食店の予約システムサービス「オートリザーブ」について独禁法から考えた
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか?























このエントリーをはてなブックマークに追加 mixiチェック

display_monitor_computer
1.はじめに
デジタル関連法案が2021年の国会で審議中です。ところが、そのなかの個人情報保護法の改正法案の内容が非常にひどいことに驚いてしまいました。今回の個人情報保護法改正の目玉は、個人情報保護法と行政機関個人情報保護法・独立行政法人個人情報保護法の統一化地方自治体の個人情報保護条例の個人情報保護法への統一化学術研究開発機関における個人情報の取扱の明確化などとなっていますが、とくに研究開発機関に関する改正法案の条文を読むと、政府・与党の「デジタル至上主義」、「研究開発至上主義・経済至上主義」があまりにも露骨となっています。

・「デジタル社会の形成を図るための関係法律の整備に関する法律案」の閣議決定について|個人情報保護委員会
・新旧対照表|個人情報保護委員会
デジタル関連法案の概要
(デジタル関連法案の概要。個人情報保護委員会サイトより)

2.学術研究機関は本人の同意のない個人情報の目的外利用が可能となる
2021年の個人情報保護法改正法案では、学術研究機関は本人の同意なしに個人情報の目的外利用(改正法18条)が可能となってしまっています。

改正法案16条8項は、学術研究機関について、「この章において、「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう」と幅広に定義しています。

そのため、この条文を読む限り、大学などに限らず、およそ学術研究的な業務を行う団体やそれに所属する人間は、この「学術研究機関等」に該当してしまうように読めます。つまり、「〇〇の研究開発」という業務目的を定款の業務目的の一部にでも規定さえしておけば、民間企業であっても、この「学術研究機関等」に該当してしまうように思われます。

2021年改正個人情報保護法目的外利用

現行法16条1項は、「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」と規定し、事業者は個人情報をプライバシーポリシーなどであらかじめ公表している利用目的を超えて、本人の同意なしに利用することを禁止しています(目的外利用の禁止)。

ところが、改正法案18条3項5号、6号の新設条文は、個人情報取扱事業者が学術研究機関である場合(5号)や、一般の事業者が学術研究機関に個人情報を提供する場合(6号)には、目的外利用の禁止の条文の適用外とすると規定しています。つまり、個人情報取扱事業者が学術研究機関である場合や、一般の事業者が学術研究機関に個人情報を提供する場合には、本人の同意のない目的外利用を許すとなってしまっています。

なお、この改正法案18条3項5号、6号はかっこ書きのなかに、一応、「個人の権利利益を不当に侵害する場合を除く」という一文をおいています。個人情報保護法は3条で「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきもの」と規定し、同1条は「個人の権利利益を保護」と規定しています。そのため、この「個人の権利利益」とは、憲法13条に基づくプライバシー権、自己情報コントロール権などが含まれると思われます(宇賀克也『個人情報保護法の逐条解説 第6版』32頁)。

この点、ベネッセ個人情報漏洩事件に関する最高裁平成29年10月23日判決は、ベネッセの安全管理措置違反による顧客のプライバシー権侵害による不法行為責任(民法709条)を認めています。

ところで、2019年の就活生の内定辞退予測データの販売のリクナビ事件を受けて、2020年の個人情報保護法改正では、「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」との不適正利用禁止の条文が新設されました(16条の2)。

この不適正利用禁止の規定に関するガイドライン制定のための資料において、個人情報保護委員会は、同規定の趣旨・目的は、「個人の権利利益の保護」であるとしつつも、「法目的に照らして看過できないような相当程度悪質なケースを念頭において規定」と、消極的な見解を示しています。

・改正法に関連するガイドライン等の整備に向けた論点について(不適正利用の禁止) |個人情報保護委員会

2021年改正の改正法案18条3項5号、6号に関するガイドラインが制定されるのはまだ先の話です。国民の「個人の権利利益の保護」について、個人の側から見て積極的なガイドラインが策定されるかもしれませんが、個人情報保護委員会の大企業寄りの姿勢をみると、消極的なものにとどまるかもしれません。

3.学術研究機関は本人の同意のない要配慮個人情報の収集が可能となる
病院で医師が患者を診察して作成したカルテ情報、処方箋情報、検査結果などの医療データ個人の思想・信条や内心にかかわる情報人種、社会的身分、犯罪歴などの社会的差別の原因のおそれのある個人情報など、いわゆるセンシティブ情報は2017年の法改正で「要配慮個人情報」と定義されました(法2条3項)。

そして、法17条2項は、たとえば患者が意識不明の状態で病院に救急搬送されたような場合など、公衆衛生のために必要で本人の意思を確認することが困難なときなど以外の場合は、あらかじめ本人の同意なしに事業者が要配慮個人情報を収集することを禁止しています。

ところが、2021年の個人情報保護法改正法案では、学術研究機関は本人の同意なしに要配慮個人情報の収集が可能(改正法案20条)となってしまっています。

つまり、法17条2項に対応した改正法案20条2項は、「次に掲げる場合のほか、本人の同意なしに要配慮個人情報の収集をしてはならない」の「次に掲げる場合」として、同条同項5号から7号において、個人情報取扱事業者が学術研究機関等である場合を列挙しているのです。

2021年改正個人情報保護法要配慮個人情報保護法

なお、改正法案20条2項5号から7号は、「個人の権利利益を不当に侵害する場合を除く」という規定を置いているのは上と同様の論点です。

4.学術研究機関は本人の同意のない個人情報の第三者提供が可能となる
また改正法案27条1項5号から7号までは、これも第三者提供には本人の同意が必要とする原則(現行法23条1項)の例外規定として、学術研究機関が研究目的で個人情報を利用する場合は、本人の同意なしに第三者提供を行うことができると規定してしまっています。

2021年改正個人情報保護法第三者提供


この改正法案27条1項5号から7号にも、上と同様に、「個人の権利利益を不当に侵害する場合を除く」との規定が置かれていますが、個人情報保護委員会がガイドラインなどでどのような場合が具体的にそれに該当すると示すかが注目されます。

5.学術研究機関は第三者提供の際の記録作成義務が免除される
2017年の個人情報保護法改正の際に、いわゆる名簿業者対策として、個人情報の第三者提供・個人情報の売買にトレーサビリティー(追跡可能性)を確保するために、事業者が個人情報の第三者提供を行う場合には、提供先の名称や提供年月日などの第三者提供の記録の作成義務が新設されました(現行法25条)。

しかし、改正法案29条ただし書きは、「ただし、個人データの提供が、第27条1項各号(=学術研究機関の第三者提供の場合)…に該当する場合には、この限りではない」と規定し、学術研究機関の個人情報の第三者提供の場合には、記録の作成義務を免除してしまっています。

2021年改正個人情報保護法第三者提供の記録の作成

6.学術研究機関はcookie・サイト閲覧履歴など個人関連情報の第三者提供の際の確認義務が免除される
上でみた2019年の就活生の内定辞退予測データの販売が問題となったリクナビ事件においては、cookieやサイト閲覧履歴などの、それ単体では個人を識別できない情報・データであるが、その情報・データをリクルートキャリアなどの事業者からトヨタなどの求人企業が売買により第三者提供を受けることによって、社内で他のデータと照合するなどして、就活生の内定辞退予測データを活用し、就活生の採用の合否を決めるという、就活生の情報を就活生の意思や利益に明らかに反する形で利用する、個人情報保護法の抜け道を迂回するような脱法的な手法が大きな社会問題となりました。

このリクナビ事件を受けて、2020年の個人情報保護法改正では、cookieやサイト閲覧履歴などの情報・データを「個人関連情報」と定義し、「事業者は、第三者が個人関連情報を個人データとして取得することが想定されるときには、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない」と、個人関連情報の第三者提供の制限規定が新設されました(2020年改正法26条の2)。

ところが、この個人関連情報の第三者提供の制限に関しても、今回の改正法は、つぎのように学術研究機関に対して除外規定を設けてしまっています。

「個人情報取扱事業者は、第三者が個人関連情報を個人データとして取得することが想定されるとき第27条1項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない」

2021年改正個人情報保護法個人関連情報の第三者提供

この「第27条1項各号に掲げる場合」とは、上でみたように、学術研究機関等が個人情報を第三者提供する場合のことです。

つまり、学術研究機関が関わる第三者提供に関しては、cookieやサイト閲覧履歴などの個人関連情報を、データの本人の意思や利益に反するように第三者提供しても、個人情報保護法上は問題がないということになってしまいます。これは個人情報保護法の先祖返りとしかいいようがありません。法目的の「個人の権利利益の保護」「個人の人格尊重の理念」(法1条、3条)は一体どこに行ってしまったのでしょうか。

7.まとめ
このように、コロナ禍で国民の関心が削がれていることをいいことに、内閣IT戦略室、デジタル庁、個人情報保護委員会はデジタル関連法案、個人情報保護法改正法案においてやりたい放題の状況です。

上でみたように、とくに学術研究機関等は、本人の同意のない要配慮個人情報の収集が許されることになり、また、学術研究機関等は、本人の同意なしに個人情報の目的外利用と第三者提供が可能となり、さらに第三者提供の際の記録作成義務も免除されてしまっています。

これでは、学術研究機関等が新たな名簿業者として、個人情報を法の網の目を逃れてやり取りするための新たなブラックボックスとなってしまうのではないでしょうか。

つまり、IT企業、製薬会社、自動車メーカーなどの研究開発を行う大企業に対しては、個人情報保護法の本人同意のない目的外利用の禁止・第三者提供の禁止・要配慮個人情報の取得禁止などの規制が骨抜きとなってしまうおそれがあります。

第三者提供の記録の作成義務が除外されるということは、IT企業、製薬会社、自動車メーカーなどに対して、個人情報保護委員会などが報告徴求や立入検査しても何もわからないということになりかねません。これは、国民の知る権利(憲法21条)や国民主権・民主主義(1条)の観点からも大問題なのではないかと思われます。

かつての20世紀の帝国主義時代の列強諸国や日本は、「国家は間違うはずがない」という国家無謬説の国家観に立った行政活動や立法が行われていました。この点、わが国の2021年の個人情報保護法改正法案やデジタル関連法案は、「自然科学は間違うはずがない、研究開発は間違うはずがない、自然科学による経済発展は間違うはずがない」という「科学技術無謬説」・「デジタル無謬説」あるいは「科学技術の発展による経済成長無謬説」に立脚しているように思えます。しかしそれは20世紀の帝国主義が悲惨な2度の世界大戦を招いたように、時代錯誤な考え方に思えます。

国家主義・全体主義の中国などとは異なり、日本は国民の個人の尊重と基本的人権の確立を国の目的とする近代憲法の自由主義・民主主義の国家です(憲法11条、97条)。にもかかわらず、国民の人権保障を放棄して国や経済界のエゴをむき出しにした感のある、デジタル至上主義、研究開発至上主義・経済至上主義の2021年の改正個人情報保護法は、わが国の憲法の趣旨そのものにも反しているように思われます。

大企業・国の経済的利益のための2021年の個人情報保護法改正は、国民の人権保障を重視するEUのGDPRなどの西側世界の個人データ保護法からどんどん乖離して、むしろ全体主義の中国などの個人情報保護法制に近づいてゆくように思われます。日本の個人情報保護法がEUのGDPRの十分性認定を取消しされる日も近いかもしれません。

■関連するブログ記事
・デジタル関連法案による、自治体の個人情報保護条例の国の個人情報保護法への統一化について
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える

・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた

・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた

■参考文献
・宇賀克也『個人情報保護法の逐条解説 第6版』32頁、92頁
・佐脇紀代志『一問一答令和2年改正個人情報保護法』33頁、60頁
・EUがAIに包括規制案 世界で初、顔認証利用に事前審査も|日経新聞
・Europe fit for the Digital Age: Commission proposes new rules and actions for excellence and trust in Artificial Intelligence|European Union







このエントリーをはてなブックマークに追加 mixiチェック

kojinjouhou_rouei_businessman
2月17日のNHKなどの報道によると、国会審議において、2018年に発覚した日本年金機構の国民から提出された扶養親族等申告書の個人情報約500万人分のデータ入力業務が年金機構から委託された日本企業から、違法に中国企業に再委託されていた問題に関連し、野党が「マイナンバーも流出しているのではないか」と質問したのに対して、水島藤一郎・年金機構理事長が「流出していない」として、追加の調査などを拒否したとのことです。

報道によると、水島理事長はその根拠として、「調査にあたった外部企業によれば流出の事実はない」こと、「調査にあたった外部企業の報告によれば、中国企業に送付されたのは「氏名・ふりがな」データのみであるので個人情報の流出はない」こと等をあげているそうです。



すでにつっこみどころ満載な気がしますが、年金機構の主張は正しいのでしょうか?

この点、2018年6月に公表された、第三者委員会調査報告書(「日本年金機構における業務委託のあり方等に関する調査委員会報告書」委員長:安田隆二・一橋大学教授)を読み直すと、同報告書が認定した事実は、日本年金機構の委託先のSAY企画から中国企業に無断で再委託がなされ、「氏名・ふりがな」データが送付されたとする日本IBMの調査結果の報告書を、そのIBMの報告書を再検査したTIS社が、「IBMの検査は妥当」と判断したということだけです。



年金01
年金02
(「日本年金機構における業務委託のあり方等に関する調査委員会報告書」7-8頁)

つまり、独立行政法人等個人情報保護法7条1項違反(安全確保措置)で中国企業に再委託がなされ、個人情報が中国企業に渡ってしまったということが、外部の調査を行った企業などが認定した事実です。「マイナンバーや個人情報が日本年金機構から流出してない」などということは、IBMもTISも第三者委員会も認定していないのです。この点、水原理事長の発言は間違っています。

独立行政法人等個人情報保護法
(安全確保の措置)
第七条 独立行政法人等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない。
 前項の規定は、独立行政法人等から個人情報(独立行政法人等非識別加工情報及び削除情報に該当するものを除く。次条、第三十八条及び第四十七条において同じ。)の取扱いの委託を受けた者が受託した業務を行う場合について準用する。

また、「「氏名・ふりがな」データは個人情報・個人データではないから個人情報は流出していない」と水原理事長は発言したそうですが、日本年金機構のトップは正気でこんなことを国会で発言したのでしょうか?

独法個人情報保護法2条2項1号は、「当該情報に含まれる氏名、生年月日その他の記述等(略)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(略)により特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」に該当する「生存する個人に関する情報」は「個人情報」であると定義しています。

つまり、ものすごく短くまとめると、生存する「個人に関する情報」であって「当該情報に含まれる氏名、住所、生年月日・・・により特定の個人を識別できるもの」が個人情報保護法制上の個人情報です。

例えば、今回の事件で問題となった扶養親族等申告書であれば、申込書に記載された給与所得者本人の氏名、ふりがな、住所、生年月日、続柄、個人番号、所得の見込み額、学生か否か、寡婦か否かなどはすべて個人情報(特定個人情報)です。

給与所得者の扶養控除等申告書
(扶養親族等申告書)

よく、これらの個人情報のうち、氏名・住所などを黒塗りや削除などすれば、他の情報は個人情報ではないという誤解がなされますが、「個人に関する情報」であって「・・・により特定の個人を識別できるもの」が個人情報なので、氏名・住所などを削除したとしても、それ以外の情報も個人情報あることに変わりはありません。

とはいえ、世間でよくある個人情報の誤解でも、「氏名・ふりがな」だけを抜き出したらその情報・データは個人情報ではないと誤解する人はなかなかいません。そのような人物が組織のトップであるという一点においても、日本年金機構は当事者能力の有無が厳しく問われる事態なのではないでしょうか?

さらに、「外部の調査をした会社によれば」と水島理事長は主張しているようですが、IBMやTISはあくまで2018年当時の調査で2018年時点の報告書を出してるのですから、もしマイナンバーも漏れてるおそれがある、そのような告発やメールなどが最近発覚しているのであれば、年金機構は「IBMの調査では」とか呑気なことを言ってないで、今すぐ追加調査を実施すべきではないでしょうか?

約1億件の保有個人情報を国民から預かっている日本年金機構は、国民のマイナンバーや個人情報を一体何だと思っているのでしょうか。また、同時に日本年金機構は、マイナンバー法や独法個人情報保護法や総務省・個人情報保護委員会の関連通達を遵守しようという意識があるのかどうか非常に不安です。1億件のマイナンバーおよび個人情報に関する安全確保措置の法的責任は極めて重大であると思われます。

加えて、この日本年金機構の事件のほかにも、最近は厚労省のコロナの接触確認アプリCOCOAのシステム開発の業務委託が多重下請けがなされたあげく非常に杜撰な開発・運営・保守が行われていたことが大きく社会的批判を浴びています。政府与党や国会は、国・自治体や年金機構など公的法人の業務委託のあり方について、今一度全体的に見直しを行うべきではないでしょうか。

■関連するブログ記事




個人情報保護法〔第3版〕

番号法の逐条解説(第2版)

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ