なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人情報保護法

ai_search
2025年4月11日のCNET Japanの記事によると、「ChatGPTを提供するOpenAIは4月11日、有料の「Plus」「Pro」プランでメモリ機能を強化し、過去の会話をすべて参照できるようにしたと発表した。これにより、より適切で有用なパーソナライズされた回答を提供できるようになる」とのことです。

これは「メモリ機能のオン・オフはユーザーが設定できる。「保存されたメモリを参照する」をオンにすれば、ユーザーの名前や好みなど、過去に保存した情報を参照するようになる。これは、ユーザーが明示的にChatGPTに伝えたとき、あるいはChatGPTが特に有用と判断した場合に、メモリに情報を追加する仕組みだ。チャット履歴を参照する設定をオンにすれば、ChatGPTは過去の会話にある情報を参照し、ユーザーの目標や興味、トーンなどに合わせて会話を進める。こちらはより広範囲に及ぶ設定だ。」という改正であるそうです。

この改正についてX(Twitter)では、「ChatGPTによるプロファイリングの精度があがっている」等の声があがっています。ある方のXの投稿では、ChatGPTに推測させてみたところ、「所属する業界、職業、年収、性別、年齢層、居住地、血液型、家族構成、MBTI診断結果などを当てられた」とのことで、これはなかなかゾッとするというか、恐ろしいものがあります。

この点、Xで、sabakichi(@knshtyk)氏は、「今回のアプデで気が付かされたが、個人のやり取りから学習した特徴のデータというのは要するに"究極の個人情報"であるから、将来的に法的に保護されるべき「個人情報」が指す範囲は今後拡張されていく必要があり、データの生殺与奪の権も利用先の制御もすべてユーザの手元で行える必要が出てくるのでは」と投稿していますが、この点は私も非常に同感です。

さばきち01
(sabakichi(@knshtyk)氏の投稿より)

最近、個人情報保護法については、「個情法の保護法益は何か?」という点について議論があるところです。これまで自己情報コントロール権(情報自己決定権)説が有力であったところ、最近は曽我部真裕教授などによる「自己の情報を適切に取扱われる権利説」や、高木浩光氏による「個人データによる個人の不当な選別・差別の防止説」が有力に主張されています。

しかし最近のChatGPTの猛烈な進化をみると、状況は今後変わってゆくのではないでしょうか。つまり、生成AIなどにより、どんどん個人の内心やプライバシーが緻密にプロファイリングされてしまう状況になり、その機微な情報をOpenAIなどのIT企業が収集・保管・利用するようになる、ビッグテック企業等がどんどん個人の内心やプライバシー、アイデンティティの部分に踏み込んでくると、「自己の個人情報が適切に取扱われる」ことや、「個人データによる個人の不当な選別・差別の防止」が達成されるだけでは不十分であり、sabakichi氏が上で投稿しているように、自己の個人情報・個人データの取扱いについて、個人がコントロールする必要性がより増加してくるのではないでしょうか。

すなわち、曽我部説や高木説に立つと、OpenAIなどのIT企業から「いやいや貴方の個人データはプライバシーポリシーで通知・公表した内容にしたがって適切に処理しています。もちろん不当な選別・差別は行っていません。なので、貴方の個人データをますますプロファイリングに利活用させていただきます」と言われたときに、個人の側としては何の反論もできなくなってしまうわけですが、ChatGPTなどの生成AIがどんどん進歩してゆく今日においては、そのような状況では個人の人間としての存立が危うくなってしまうのではないでしょうか。そのような状況においては、個人としては、自己の情報・データについて、収集したデータをこれ以上勝手に処理・プロファイリングするな、収集・利用・プロファイリングしたデータの利用を停止せよ・データを削除せよ等と主張することが、個人の尊厳、個人の尊重、個人の人格尊重(憲法13条、個情法3条)の保護のためにますます必要となってくるのではないでしょうか。

そのように考えると、生成AIの発展する今日においては、個情法の保護法益としては、「自己の情報を適切に取扱われる権利説」の側面や、「個人データによる個人の不当な選別・差別の防止説」の側面ももちろん重要ではありますが、それと同時に自己情報コントロール権(情報自己決定権)説の側面の重要性も増加しているように思われます。

人気ブログランキング

このエントリーをはてなブックマークに追加 mixiチェック

bouhan_camera
1.はじめに
現在、個人情報保護委員会は次の個人情報保護法改正の準備を進めており、今年度(令和7年度)の通常国会または臨時国会に改正法案を提出するともいわれています。そして、2025年2月19日に個情委が公表した、「個人情報保護法の制度的課題に対する考え方(案)について(個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方)」は、①個人関連情報に関する規律の見直し、②顔特徴データ等に関する規律の在り方、③悪質な名簿屋対策としてのオプトアウト届出事業者への規律の見直し、の3点を取り上げていますが、②はこのブログで度々取り上げている顔識別機能付きカメラシステム(顔識別機能付き防犯カメラ)に関するものなので、本ブログ記事で取り上げてみたいと思います。

2.顔特徴データ等に関する規律の在り方
(1)上述の2月19日付の個情委の文書は、「2 本人が関知しないうちに容易に取得することが可能であり、一意性・不変性が高いため、本人の行動を長期にわたり追跡することに利用できる身体的特徴に係るデータ(顔特徴データ等)に関する規律の在り方」のなかで、顔識別機能付きカメラシステムによる顔特徴データ等について次のように説明しています。

「顔識別機能付きカメラシステム等のバイオメトリック技術の利用が拡大する中で、生体データ(注5)のうち、本人が関知しないうちに容易に(それゆえに大量に)入手することができ、かつ、一意性及び不変性が高く特定の個人を識別する効果が半永久的に継続するという性質を有する(注6)顔特徴データ等は、その他の生体データに比べてその取扱いが本人のプライバシー等の侵害に類型的につながりやすいという特徴を有することとなっている。」

「そこで、上記侵害を防止するとともに、顔特徴データ等の適正な利活用を促すため、顔特徴データ等の取扱いについて、透明性を確保した上で本人の関与を強化する規律を導入する必要があるのではないか。」

「具体的には、顔特徴データ等の取扱いに関する一定の事項(顔特徴データ等を取り扱う当該個人情報取扱事業者の名称・住所 ・代表者の氏名、顔特徴データ等を取り扱うこと、顔特徴データ等の利用目的、顔特徴データ等の元となった身体的特徴の内容、利用停止請求に応じる手続等)の周知を義務付けてはどうか。その場合において、一定の例外事由(例えば、周知により本人又は第三者の権利利益を害するおそれがある場合、周知により当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合、国又は地方公共団体の事務の遂行に協力する必要がある場合であって、周知により当該事務の遂行に支障を及ぼすおそれがある場合等)を設ける必要があるのではないか。」

「また、顔特徴データ等(保有個人データであるものに限る。)について、違法行為の有無等を問うことなく利用停止等請求を行うことを可能としてはどうか。その場合において、一定の例外事由(例えば、本人の同意を得て作成又は取得された顔特徴データ等である場合、要配慮個人情報の取得に係る例外要件と同種の要件に該当する場合等)を設ける必要があるのではないか。」

「さらに、顔特徴データ等について、オプトアウト制度に基づく第三者提供(法第27条第2項)を認めないこととしてはどうか。」

(2)これまでも顔識別機能付き防犯カメラは、いわゆる「誤登録」(いわゆる「防犯カメラの冤罪被害者」)が問題となってきました。すなわち、スーパーや書店、ドラッグストアなどの店舗で、実際には万引きをしていないのに万引き犯として顔識別データがデータベースに登録されてしまい、当該店舗だけでなく情報連携を受けた他の店舗でも買い物ができなくなってしまうという問題です。今回の法改正案は、この誤登録の問題の解決に大きな前進となる可能性があると思われます。

本文書はまず、顔識別機能付き防犯カメラによる顔特徴データ等の取扱いに関する一定の事項(顔特徴データ等を取り扱う当該個人情報取扱事業者の名称・住所 ・代表者の氏名、顔特徴データ等を取り扱うこと、顔特徴データ等の利用目的、顔特徴データ等の元となった身体的特徴の内容、利用停止請求に応じる手続等)の周知を義務付けを行うとしています。

つぎに、本文書は、「顔特徴データ等(保有個人データであるものに限る。)について、違法行為の有無等を問うことなく利用停止等請求を行うことを可能としてはどうか。その場合において、一定の例外事由(例えば、本人の同意を得て作成又は取得された顔特徴データ等である場合、要配慮個人情報の取得に係る例外要件と同種の要件に該当する場合等)を設ける必要があるのではないか。」としている点は非常に画期的です。

つまり、一定の例外事由があるとはいえ、原則として理由を問わずに顔特徴データ等の利用停止等請求を認めるように法改正を行うこととしています。

(この点については、現行法は、個情法施行令5条が、「当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの(施行令5条1号)」、「当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの(同2号)」等の場合には、当該個人データは保有個人データに該当せず、結果として利用停止等請求の対象にならないという仕組みになってしまっているのですが(個情法16条4項)、次の法改正でどうなるか気になるところです。)

さらに本文書は、「顔特徴データ等について、オプトアウト制度に基づく第三者提供(法第27条第2項)を認めないこととしてはどうか。」としています。つまり、顔特徴データ等について、要配慮個人情報のように、オプトアウト方式による第三者提供を認めないこととし、顔特徴データ等については原則に戻って第三者提供に本人同意が必要とするとしています。これは、顔特徴データの安易な第三者提供により、顔特徴データ等が転々と情報提供されてしまうことを防ぐものであり、これも画期的な改正であると思われます。

3.まとめ
このように、令和7年の個人情報保護法改正は、顔識別機能付き防犯カメラの誤登録の被害者の方々にとって大きな朗報となる可能性があります。まだ法案作成前の段階で、これから万防など業界団体・経済界などからの反対もあると思われ、法改正がどうなってゆくか不明ではありますが、法改正の動向を今後も引き続き注視してゆきたいと思います。

■関連するブログ記事
・防犯カメラ・顔識別機能付きカメラシステムに関する個人情報保護法ガイドラインQAの一部改正について
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた(追記あり)
・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで

人気ブログランキング

このエントリーをはてなブックマークに追加 mixiチェック

seiji_kokkai_gijidou
1.はじめに
個人情報保護委員会は、2023年11月から次の個人情報保護法改正の準備を行っていますが、本年(2025年)1月、2月に公表した文書(「個人情報保護法 いわゆる3年ごと見直しに係る検討」の今後の検討の進め方について(案)」「個人情報保護法の制度的課題の再整理」「個人情報保護法の制度的課題に対する考え方(案)について」)で、次回の個人情報保護法改正のおおまかな概要を明らかにしています。次の法改正は、改正法案が今年の通常国会または臨時国会に提出されるようであり、その2年後ごろ(2027年ごろ)に施行される可能性があります。

2.法改正の大まかな概要
個情委は、次回の法改正の内容を大きくつぎの3つ((1)~(3))に分類しています。

(1)個人データ等の取扱いにおける本人関与に係る規律の在り方
〇本人同意規律の見直し(AI開発等や医療データの利活用などにおける本人同意の不要化契約の履行のために必要な場合における本人同意の不要化など)
〇漏えい等発生時の対応(本人通知等)の在り方
〇子どもの個人情報等の取扱い(16歳未満の子どもの個人情報・個人データの取得・第三者提供等について法定代理人の同意の必須化など)

(2)個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方
〇委託先の事業者への規律の在り方
〇個人関連情報の規律の見直し
〇身体的特徴に係るデータ(顔特徴データ等)に関する規律の在り方
〇オプトアウト届出事業者に対する規律の在り方

(3)個人情報取扱事業者による規律遵守の実効性を確保するための規律の在り方
〇勧告・命令等の実効性確保
〇刑事罰の在り方
〇課徴金制度の導入の要否
〇団体訴訟制度(差止請求制度・被害回復制度)の導入の要否
〇漏えい等報告等の在り方

再整理の図
(個情委「個人情報保護法の制度的課題の再整理」より)

3.法改正の社会への影響
このように、令和7年の個人情報保護法は2017年改正、令和2年改正に並ぶ大きな改正になるように思われます。とくに、上の「(1)個人データ等の取扱いにおける本人関与に係る規律の在り方」のなかの「本人同意規律の見直し」および「子供の個人情報の取扱い」については、社会に与えるインパクトが大きいのではないかと思われます。(これまで日本の個情法が基本としてきた、本人同意による個人情報の取扱いの規律の大幅な修正という意味で。)事業者は法改正への対応のため、早めの準備が必要になると思われます。

人気ブログランキング

このエントリーをはてなブックマークに追加 mixiチェック

オープンワークトップページ

■追記(2023年6月20日)
OpenWork(オープンワーク)社は6月16日付で本件が個人情報漏洩事故であるとして、システム対応、被害者への連絡、個人情報保護委員会への報告などを行う旨のプレスリリースを公表しています。
・「リアルタイム応募状況」機能における個人情報の不適切利用に関するお詫びとご報告

1.はじめに
Twitter上で、「なんかopenworkで他人のリアルタイム応募状況が見れるようになっててバリおもろいwwwww」というつぎのような興味深いツイートを見かけました。

オープンワークツイート
(Twitterより)

2.職業安定法・個人情報保護法
これは、氏名は分からなくても年齢や年収等の情報や応募履歴等から特定の個人を識別できるのだから個人情報であり(個情法2条1項1号)、その情報が誰でも閲覧できる状態(全世界への第三者提供つまり個人情報漏洩)になっているのは安全管理措置違反(個情法27条1項、23条)で職業安定法5条の5違反なのではと気になります。

職業安定法は個人情報保護を強化する等の方向で2022年に法改正が行われたばかりの法律であり、同法5条の5は、職業紹介事業者(人材会社など)や求人者(求人企業)などは求職者などの個人情報保護をしっかりしなくてはならないと規定しています。

職業安定法
(求職者等の個人情報の取扱い)
第5条の5 公共職業安定所、特定地方公共団体、職業紹介事業者及び求人者、労働者の募集を行う者及び募集受託者、特定募集情報等提供事業者並びに労働者供給事業者及び労働者供給を受けようとする者(次項において「公共職業安定所等」という。)は、それぞれ、その業務に関し、求職者、労働者になろうとする者又は供給される労働者の個人情報(以下この条において「求職者等の個人情報」という。)を収集し、保管し、又は使用するに当たつては、その業務の目的の達成に必要な範囲内で、厚生労働省令で定めるところにより、当該目的を明らかにして求職者等の個人情報を収集し、並びに当該収集の目的の範囲内でこれを保管し、及び使用しなければならない。ただし、本人の同意がある場合その他正当な事由がある場合は、この限りでない。
 公共職業安定所等は、求職者等の個人情報を適正に管理するために必要な措置を講じなければならない。

3.プライバシーポリシー・利用規約など
ここでこのOpenWork(オープンワーク)社サイトを見てみました。

オープンワーク01
(OpenWork社のプライバシーポリシー、同社サイトより)

オープンワーク02
(OpenWork社の安全管理措置方針、同社サイトより)

立派なプライバシーポリシーや安全管理措置方針などが策定・公表されていますが、実際の運用がこれでは絵に描いた餅ではないでしょうか。プライバシーポリシーの部分においても、利用目的において「ユーザーの入力した応募履歴などを当社サイトで誰でも閲覧できるようにする」等の記載はなく、やはりこれは本人の同意のない第三者提供(個人情報漏洩)であって問題であるように思えます(個情法27条1項、23条)。

さらにOpenWork社サイトの利用規約をみると、ここでも「ユーザーの入力した応募履歴などを当社サイトで誰でも閲覧できるようにする」等の記載はなく、ユーザー本人の同意は得られていません。

また同利用規約9条(免責)2項(b)(d)などをみると、「当社サービスでユーザーが入力した情報で本人が特定された場合」・「当社の故意・過失によらずユーザー本人以外が本人を識別できる情報を入手した場合」も「当社は一切の責任を負いません」と規定しているのはちょっと酷いのではないかと思いました。

オープンワーク03
(OpenWork社の利用規約、同社サイトより)

これは職業安定法5条の5や個人情報保護法の面からOpenWork社に責任があった場合にもかかわらず同社に責任はないとしている点で悪質に思えます。民法548条の2第2項は利用規約などの定型約款における不当条項は無効とする規定をおいていますが、同法同条との関係で問題があるように思えます。

4.まとめ
このようにOpenWork社はプライバシーポリシーや安全管理措置方針などは一見しっかりしたものを制定・公表していますが、実際の業務運用においては職業安定法や個人情報保護法をよく理解していないのではないかと心配です。2019年には就活生の内定辞退予測データに関するリクナビ事件が発覚し大きな社会問題となり、リクルートキャリアやその取引先のトヨタなどの求人企業は厚労省および個人情報保護委員会から行政指導を受けたばかりなのですが・・・。

このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR




このエントリーをはてなブックマークに追加 mixiチェック

ラインのアイコン

1.LINEがプライバシーポリシーを改正
LINE社が3月31日付でLINEのプライバシーポリシーを改正するようです。その内容は、①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用、②統計情報の作成・提供、③越境移転に関する情報の追加、の3点となっています。

このなかで①②はどちらも他社データをLINEの保有する個人データに突合・名寄せをして該当するユーザーに広告やメッセージ等を表示する等となっておりますが、これは委託の「混ぜるな危険の問題」に該当し、本年4月施行の個人情報保護委員会(PPC)の個人情報保護法ガイドラインQA7-41、42、43から違法の可能性があると思われます。また、この改正がLINEのプライバシーポリシー本体に記載されていないこと、昨年3月に炎上した「外国にある第三者」の外国の個人情報保護の制度等の情報の部分が「準備中」となっていることも個人情報保護法上問題であると思われます。

・プライバシーポリシー改定のお知らせ|LINE
・LINEプライバシーポリシー|LINE

2.①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用
LINE社の「LINEプライバシーポリシー変更のご案内」によると、「①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用」は、「ユーザーの皆さまへ提携事業者が「公式アカウントメッセージ送信」や「広告配信」などを行う際、当該提携事業者から取得した情報(ユーザーの皆さまを識別するIDなど)をLINEが保有する情報と組み合わせて実施することがあります。」と説明されています。

ラインプライバシーポリシー変更のご案内2
(LINE社の「LINEプライバシーポリシー変更のご案内」より)

そして、この点を詳しく説明した「LINEプライバシーポリシー改正のご案内」は①についてつぎのように説明しています。

情報の流れ
1.A社(提携事業者)が、商品の購入履歴のあるユーザー情報(ユーザーに関する識別子、ハッシュ化されたメールアドレス、電話番号、IPアドレス、OS情報など)を加工してLINEに伝える
   ↓
2.LINEが、A社から受け取ったユーザー情報の中からLINEのユーザー情報だけを抽出する
   ↓
3.抽出されたユーザーに対して、A社の保有するLINE公式アカウントからのメッセージ送信や、広告の配信を実施する
ライン1
ライン2
(LINE社の「LINEプライバシーポリシー変更のご案内」より)

この「情報の流れ」によると、LINE社の提携事業者A社は、ユーザーを識別するためのハッシュ化されたメールアドレス、電話番号、IPアドレスなどのユーザー情報をLINE社に提供し、当該ユーザー情報をLINE社は同社が保有する個人データ(個人情報データベース)と突合・名寄せし(=混ぜる)、LINEのユーザー情報だけを抽出し、当該抽出されたユーザーに対して、A社の保有するLINE公式アカウントからのメッセージ送信や、広告の配信を実施するとなっています。

3.委託の「混ぜるな危険」の問題
しかしこのプロセス中の、「提携事業者A社は、ユーザーを識別するためのユーザー情報をLINE社に提供し、当該ユーザー情報をLINE社は同社が保有する個人データ(個人情報データベース)と突合・名寄せし、LINEのユーザー情報だけを抽出する」というプロセスは、いわゆる委託の「混ぜるな危険の問題」そのものです。

この点、PPCの「個人情報保護法ガイドライン(通則編)」(2022年4月1日施行版)3-6-3(1)は、委託の「委託先は、委託された業務の範囲内でのみ本人との関係において委託元である個人情報取扱事業者と一体のものと取り扱われることに合理性があるため、委託された業務以外に当該個人データを取り扱うことはできない」と規定しています(個人情報保護法ガイドライン(通則編)3-6-3 第三者に該当しない場合(法第27条第5項・第6項関係)(1)委託(法第27条第5項第1号関係))。

そして改正前のPPCの個人情報保護法ガイドラインQA5-26-2は、「委託先が委託元から提供された個人データを他社の個人データと区別せずに混ぜて取り扱う場合(いわゆる「混ぜるな危険」の問題)について、委託として許されない」としています(田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁)。

すなわち、委託(改正個人情報保護法27条5項1号・改正前法23条第5項第1号)とは、コンピュータへの個人情報のデータ入力業務などのアウトソーシング(外部委託)のことですが、委託元がすることができる業務を委託先に委託できるにとどまるものであることから、委託においては、委託元の個人データを委託先の保有する個人データと突合・名寄せなどして「混ぜて」、利用・加工などすることは委託を超えるものとして許されないとされているのです。

そして、2022年4月1日施行の改正版のPPCの個人情報保護法ガイドラインQA7-41はこの点を次のように明確化しています。
Q7-41
委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか。

A7-41
個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1)既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること

事例2)既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること

これらの取扱いをする場合には、①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。(令和3年9月追加)

QA7-41
(個人情報保護法ガイドラインQA7-41より)

したがって、委託先であるLINE社が委託元の提携事業者A社から商品の購入履歴のあるユーザー情報を受け取り、LINE社が自社が保有する個人データと当該A社の他社データを突合・名寄せしてユーザーを抽出し、当該ユーザーに広告やダイレクトメールを送信するなどの行為は、PPCの個人情報保護法ガイドラインQA7ー41の事例1、事例2にあてはまる行為であるため許されません。

この点、PPCの個人情報保護法ガイドラインQA7ー41はこの委託の「混ぜるな危険」の問題をクリアするためには、「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要がある」としています。

そのため、LINE社が第三者提供としての本人の同意を取得しないと、今回のLINE社のプライバシーポリシーの改正の①の部分は違法となります。

4.「本人の同意」について
なおこの場合は、法27条5項1号の「委託」に該当しないことになり、原則に戻るため、法27条1項の本人の同意が必要となるため、法27条2項のオプトアウト方式による本人の同意では足りないことになります(岡村久道『個人情報保護法 第3版』263頁)。

また、個人情報保護法ガイドライン(通則編)3-4-1は、本人の同意の「同意」について、「同意取得の際には、事業の規模、性質、個人データの取扱状況等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなくてはならない」と規定しています。

しかし、LINE社のスマホアプリ版のLINEを確認すると、冒頭でみたように、①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用、②統計情報の作成・提供、③越境移転に関する情報の追加、の3点が簡単に表示されているだけで、①②が委託の「混ぜるな危険の問題」に関するものであることの明示もなく、プライバシーポリシーの改正への「同意」ボタンしか用意されていません。これではPPCのガイドラインの要求する「本人の同意」に関する十分な説明がなされていないのではないかと大いに疑問です。

5.プライバシーポリシーに記載がない?
さらに気になるのは、LINE社の改正版のプライバシーポリシーをみると、上の①②に関する事項が「パーソナルデータの提供」の部分にまったく記載されていないようなことです。さすがにこれはひどいのではないでしょうか。たしかに「LINEプライバシーポリシー変更のご案内」には最低限の記載は存在し、これやプライバシーポリシーを両方とも一体のものとして読めばいいのかもしれませんが、これで通常の判断能力を持つ一般人のユーザーは合理的にLINEのプライバシーポリシーの改正を理解できるのでしょうか?

パーソナルデータの提供
(LINEプライバシーポリシーより)

LINE社の経営陣や法務部、情報システム部などは、昨年、情報管理の問題が国・自治体を巻き込んで大炎上したにもかかわらず、あまりにも情報管理を軽視しすぎなのではないでしょうか。

6.「②統計情報の作成・提供」について
LINE社のプライバシーポリシーの改正点の2つ目の「②統計情報の作成・提供」は、「LINEプライバシーポリシー変更のご案内」によると、広告主等の提携事業者から情報(ユーザーの皆さまを識別するIDや購買履歴など)を受領し、LINEが保有する情報と組み合わせて統計情報を作成することがあります。提携事業者には統計情報のみを提供し、ユーザーの皆さまを特定可能な情報は提供しません。」と説明されています。

ライン3
ライン4
(「LINEプライバシーポリシー変更のご案内」より)

つまり、「②統計情報の作成・提供」も①と同様に広告主などの提携事業者の他社データをLINE社が自社の個人データと突合・名寄せして、ユーザーの行動傾向や趣味・指向などを分析・作成等するものであるようです。LINE社は分析・作成した成果物は統計情報であるとしていますが、4月1日施行のPPCの個人情報保護法ガイドラインQA7ー38は、成果物が統計情報であったとしても、委託元の利用目的を超えて委託先が当該統計情報を利用等することはできないと規定しており、同時に同QA7ー43も、統計情報を作成するためであったとしても、委託の「混ぜるな危険の問題」を回避することはできないと規定しています。したがって、②の場合についても、第三者提供として本人の同意を取得しない限りは、同取扱いは違法となります。

7.「外国にある第三者」の外国の個人情報保護の制度等の情報の部分が「準備中」?
さらに、今回のLINE社のプライバシーポリシー改正の三番目の「③越境移転に関する情報の追加」の部分については、プライバシーポリシーの該当部分の「外国のパーソナルデータ保護の制度等の情報はこちら」の部分をクリックして開いても、「ただいま準備中てす」との文言しか表示されませんでした(2022年3月28日現在)。この「外国にある第三者」に係る外国の個人情報保護の制度等の情報については、あらかじめ本人に提供しなければならないと改正個人情報保護法28条2項が明記しているのにです。PPCや総務省からみて、LINE社のこのような仕事ぶりが許容されるのか大いに疑問です。

(なお、プライバシーポリシーも民法の定型約款の一種ですが、民法548条の2第2号の規定から、事業者は契約締結や契約が改正された場合はあらかじめ約款の表示が必要と解されています。PPCサイトにはすでに事業者が参考になる外国の制度等の情報が掲載されていることも考えると、3月下旬ごろからプライバシーポリシー改正の本人同意の取得をはじめているLINE社のプライバシーポリシーの一部が未完成なのは、民法や消費者保護の観点からもやはり大問題です。)

ただいま準備中です
(LINE社のプライバシーポリシーより)

8.まとめ
このように、今回、LINE社がプライバシーポリシーを改正した①②は、委託の「混ぜるな危険」の問題に関するものであり、LINE社は第三者提供の本人の同意を取得しなければ違法となります。この「本人の同意」について、PPCの個人情報保護法ガイドライン(通則編)は、「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示す」ことが必要としているにもかかわらず、LINE社の説明はオブラートにくるんだようなものであり、これで通常の一般人のユーザーがプライバシーポリシーの改正内容を十分理解をした上で「本人の同意」をできるのか非常に疑問です。とくに今回の改正内容がプライバシーポリシー本体に盛り込まれていないことは非常に問題なのではないでしょうか。

また、「外国にある第三者」の外国の個人情報保護法制などの制度の情報に関する部分が「準備中」となっているのも、昨年3月にこの部分が大炎上したことに鑑みても非常に問題です。

LINEの日本のユーザー数は約8900万人(2021年11月現在)であり、日本では最大級のSNSであり、またLINE社は2021年3月に朝日新聞の峰村健司氏などのスクープ記事により、個人情報の杜撰な管理が大炎上したのに、LINE社の経営陣や法務部門、情報システム部門、リスク管理部門などの管理部門は、社内の情報管理をあいかわらず非常に軽視しているのではないでしょうか。大いに疑問です。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・宇賀克也『新・個人情報保護法の逐条解説』245頁、277頁
・岡村久道『個人情報保護法 第3版』246頁、125頁
・佐脇紀代志『一問一答令和2年改正個人情報保護法』52頁、54頁
・田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁
・児玉隆晴・伊藤元『改正民法(債権法)の要点解説』108頁

■関連する記事
・2022年の改正職業安定法・改正個人情報保護法とネット系人材紹介会社や就活生のSNS「裏アカ」調査会社等について考えるープロファイリング
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・個人情報保護法改正対応の日経新聞の日経IDプライバシーポリシーの改正版がいろいろとひどい
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・ドイツ・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権について
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園・「デジタル・ファシズム」
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・CCCがトレジャーデータと提携しTポイントの個人データを販売することで炎上中なことを考えたー委託の「混ぜるな危険」の問題



このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ