ai_pet_family

個人情報保護委員会が『個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理』のパブコメを2024年7月29日まで実施しているので、つぎのとおり意見を書いて送ってみました。

1.生体データについて
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
生体データも要配慮個人情報に含め、その取得には本人同意を必要とすべきである。
(理由)
個人情報のなかでも生体データの要保護性は高いと考えられるから、自己情報コントロール権(情報自己決定権、憲法13条)の観点からは、生体データについても要配慮個人情報(個情法2条3項)に含め、その取得には本人同意を必要とするべきである。かりにそれができない場合には、柔軟なオプトアウト制度の導入など、本人関与の仕組みを強化すべきである。

2.従業員の生体データのモニタリング
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
使用者がパソコンやプログラム等を利用して従業員の生体データや集中度などを監視・モニタリングすることは個情法19条、20条違反であることを明確化すべきである。
(理由)
近年、使用者がパソコンやプログラム等を利用して従業員の脳波や集中度などを監視・モニタリングしている事例が増えているが(「東急不動産の新本社、従業員は脳波センサー装着」日本経済新聞2019年10月1日付、日立の「ハピネス」事業など参照)、このような従業員の監視・モニタリングは労働安全衛生法104条違反であるだけでなく、これがもしEUであればGDPR22条違反であり、さらに従業員の「自らの自律的な意思により選択をすることが期待できない場合」に該当するので、個情法19条、20条に抵触して違法であることをガイドライン等で明確化すべきである。

3.生徒・子どもの生体データのモニタリング
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
学校・教育委員会等がパソコン・タブレットやウェアラブル端末等を利用して生徒・子どもの生体データや集中度などを監視・モニタリングすることは個情法19条、20条違反であることを明確化すべきである。
(理由)
近年、学校・教育委員会等がタブレット・パソコンやウェアラブル端末等を利用して生徒・子どもの生体データ等から集中度などを監視・モニタリングしている事例が増えているが(「「聞いてるふり」は通じない? 集中しない生徒をリアルタイムで把握 教員からは期待、「管理強化」に懸念も」共同通信2023年6月21日付、デジタル庁「教育データ利活用ロードマップ」など参照)、このような生徒・子どもの生体データの監視・モニタリングは、これがもしEUであればGDPR22条違反であり、さらに生徒・子どもの「自らの自律的な意思により選択をすることが期待できない場合」に該当するので、個情法19条、20条に抵触して違法であることをガイドライン等で明確化すべきである。

4.電話番号、メールアドレス、Cookieなどの個人関連情報について
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
電話番号、メールアドレス、Cookieなどの情報も個人関連情報とするのではなく、個人情報に該当するとすべきである。
(理由)
電話番号、メールアドレス、Cookieなどの情報も、多くの場合、特定の個人を追跡可能であり、ターゲティング広告等により当該個人の自由な意思決定に影響を及ぼし得るのであるから、電話番号、メールアドレス、Cookieなどの情報も個人関連情報とするのではなく、個人情報に該当するとすべきである。

5.プロファイリングと不適正利用
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
不適正利用の禁止(法19条)に関する個人情報保護法ガイドライン(通則編)の「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に、「AI・コンピュータの個人データ等のプロファイリングの行為のうち、個人の権利利益の侵害につながるもの」を明示すべきである。
(理由)
本人の認識や同意なく、ネット閲覧履歴、購買履歴、位置情報・移動履歴やSNSやネット上の書き込みなどの情報をAI・コンピュータにより収集・分析・加工・選別等を行うことは、2019年のいわゆるリクナビ事件等のように、本人が予想もしない不利益を被る危険性がある。このような不利益は、差別を助長するようなデータベースや、違法な事業者に個人情報を第三者提供するような行為の不利益と実質的に同等であると考えられる。
また、日本が十分性認定を受けているEUのDGPR22条1項は、「コンピュータによる自動処理のみによる法的決定・重要な決定の拒否権」を定め、さらにEUで成立したAI法も、雇用分野の人事評価や採用のAI利用、教育分野におけるAI利用、信用スコアなどに関するAI利用、出入国管理などの行政へのAI利用などへの法規制を定めている。
この点、厚労省の令和元年6月27日労働政策審議会労働政策基本部会報告書「~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」9頁・10頁および、いわゆるリクナビ事件に関する厚労省の通達(職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運営について」)等も、電子機器による個人のモニタリング・監視に対する法規制や、AI・コンピュータのプロファイリングに対する法規制およびその必要性を規定している。
日本が今後もEUのGDPRの十分性認定を維持し、「自由で開かれた国際データ流通圏」政策を推進するためには、国民の個人の尊重やプライバシー、人格権(憲法13条)などの個人の権利利益を保護するため(個情法1条、3条)、AI・コンピュータによるプロファイリングに法規制を行うことは不可欠である。
したがって、「AI・コンピュータの個人データ等のプロファイリングの行為のうち、個人の権利利益の侵害につながるもの」を「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に明示すべきである(「不適正利用の禁止義務への対応」『ビジネス法務』2020年8月号25頁、『AIプロファイリングの法律問題』(2023年)50頁参照)。

6.こどもの個人情報等に関する規律の新設
(該当箇所)
こどもの個人情報等に関する規律の在り方(中間整理8頁~11頁)
(意見)
こどもの個人情報等に関する規律を新設することに賛成します。
(理由)
こどもは大人に比べて脆弱性・敏感性及びこれらに基づく要保護性があるにもかかわらず、近年、学校・教育委員会などが、生徒・子どもにウェアラブル端末をつけさせて生体データを収集し集中力や「ひきこもり」の予兆などを監視・モニタリングする事例などが野放しで増加しているが、このような学校等による生徒・子どもの監視・モニタリングは子どもの内心の自由やプライバシー、人格権を侵害しかねないものであり、子どもの権利利益を侵害している(個情法1条、3条、憲法13条、19条)。
したがって16歳未満の子どもの個人情報については収集等に法定代理人の同意を必要とし、また厳格な安全管理措置を要求するなどの法規制を新設することに賛成します。

7.課徴金制度・団体訴訟制度
(該当箇所)
課徴金、勧告・命令等の行政上の監視・監督手段の在り方(中間整理11頁)および団体による差止請求制度及び被害回復制度の導入(中間整理12頁)
(意見)
課徴金制度の導入などおよび団体請求制度の導入等に賛成します。
(理由)
国民・消費者の個人の権利利益のさらなる保護のため(個情法1条、3条)に賛成します。経済界は団体による差止請求にも反対しているようであるが、差止請求は違法な行為にしかなされないところ、経済界は違法行為がしたいのだろうかと疑問である。

8.漏えい等報告・本人通知の在り方
(該当箇所)
漏えい等報告・本人通知の在り方(中間整理18頁)
(意見)
現行の漏えい等報告・本人通知の在り方を緩和することに反対。
(理由)
二次被害・類似事案の防止が漏えい等報告及び本人通知の趣旨・目的なのであるから、たとえば事業者がセキュリティインシデントに対応中でマルウェア等の犯人を泳がせて調査しているような場合は別として、原則として個人情報漏えい事故が発生した場合は、迅速に漏えい等報告・本人通知を事業者に行わせるべきである。現行の漏えい等報告・本人通知の在り方を緩和することには反対。 また、漏えい等に関する義務が生じる「おそれ」要件についても、「おそれ」が発生している以上は安全管理措置義務違反が発生していることは事実なのであるから、事業者は違法であるのであって、「おそれ」要件を緩和することには反対である。

9.医療データの収集・目的外利用・第三者提供の規制緩和
(該当箇所)
社会のニーズ及び公益性を踏まえた例外規定の新設並びに明確化(中間整理23頁)
(意見)
医療データにつき例外規定を設け、取得や目的外利用、第三者提供等に本人同意やオプトアウトを不要とする議論に反対。
(理由)
現在の情報法・憲法の学説上、個人情報保護法(個人データ保護法)の趣旨・目的は自己情報コントロール権説(情報自己決定権説)が通説であり、ドイツやEUなど多くの西側自由諸国でも同様である(曽我部真裕・林秀弥・栗田昌裕『情報法概説第2版』209頁、渡辺康行・宍戸常寿・松本和彦・工藤達朗『憲法Ⅰ基本権』121頁、山本龍彦『個人データ保護のグローバル・マップ』247頁、359頁等参照)。
そして自己情報コントロール権説からは、個人情報保護法が目的外利用や第三者提供をする場合、医療データなどの要配慮個人情報を収集する場合において、事業者や行政機関等が患者などの本人の同意を取得することが必要と規定されていることは当然のことと考えられる。
そのため、この目的外利用や第三者提供をする場合、医療データなどの要配慮個人情報を収集する場合に本人の同意の取得を不要とする有識者ヒアリング等における森田朗名誉教授や鈴木正朝教授、高木浩光氏などの主張は自己情報コントロール権説に反し、つまり個人情報保護法(個人データ保護法)の趣旨・目的に反している。
また、法律論を離れても、たとえば4月3日の個人情報保護委員会の有識者ヒアリングでは、横野恵准教授の「医療・医学系研究における個人情報の保護と利活用」との資料13頁の「ゲノムデータの利活用と信頼」においては、一般大衆の考えとして、ゲノムデータの利活用に関する「信頼の醸成に寄与する要素」の2番目に「オプトアウト制度」が上がっている。
したがって、医療データの利用等に関して、患者の本人の同意やオプトアウト制度などの本人関与を廃止する考え方は、一般国民の支持を得られないと思われる。
また、森田名誉教授や鈴木正朝教授、高木浩光氏など、医療データの製薬会社やIT企業などによる利活用を推進する立場の人々は、「日本国民はすべて医療データを製薬会社などに提供し、医療や社会に貢献すべきだ」との考え方を前提としているように思われる。
たしかに患者が医療に貢献することは一般論としては「善」である。しかし、日本は個人の自由意思を原則とする自由主義・民主主義国である(憲法1条、13条)。患者個人が医療や社会に貢献すべきか否かは個人のモラルにゆだねるべき問題であり、ことさら法律で強制する問題ではない。すなわち、患者の医療への貢献などは、自由主義社会においては自由な討論・議論によって検討されるべきものであり、最終的には個人の内心や自己決定にゆだねられるべきものである(憲法19条、13条)。
「日本国民はすべて医療データを製薬会社などに提供し、医療や社会に貢献すべきだ」「そのような考え方を個人情報保護法の改正や新法を制定し、国民に強制すべきだ」「そのような考え方に反対する国民は非国民、反日だ」との考え方は、中国やロシアなど全体主義・国家主義国家の考え方であり、自由主義・民主主義国家の日本にはなじまないものである。
さらに、患者の疾病・傷害にはさまざまなものがある。風邪などの軽い疾病のデータについては、製薬会社などに提供することを拒む国民は少ないであろう。しかし、がんやHIVなど社会的差別のおそれのある疾病や、精神疾患など患者個人の内心(憲法19条)にもかかわる疾病など、疾病・傷害にはさまざまな種類がある。それらをすべて統一的に本人同意を不要とする政府の議論は乱暴である。
したがって、憲法の立憲主義に係る基本的な考え方からも、医療データの一時利用・二次利用について患者の本人の同意を原則として不要とする議論は、個人情報保護法(個人データ保護法)の趣旨・目的に反しているだけでなく、わが国の憲法の趣旨にも反している。以上のような理由から、私は医療データの一時利用・二次利用について患者の本人の同意やオプトアウト等の本人関与の仕組みを原則として不要とする個人情報保護委員会や政府の議論に反対である。

10.その他:プロファイリング・AI法
(該当箇所)
その他(中間整理26頁)
(意見)
プロファイリングによる要配慮個人情報の「推知」を要配慮個人情報の「取得」として法規制すべきである。本人同意または本人関与の仕組みを導入すべきである。また、日本も早期にEUのようなAI法を制定すべきである。
(理由)
2016年のケンブリッジ・アナリティカ事件、最近のイスラエルの軍事AI「ラベンダー」など、プロファイリングの問題は個人情報保護の本丸である。個人情報保護法20条2項は要配慮個人情報の取得については本人同意を必要としているが、プロファイリングによる要配慮個人情報の「推知」、すなわち要配慮個人情報の迂回的取得は法規制が存在しない。これでは本人同意は面倒だと、事業者はプロファイリングによる推知を利用してしまう。
この点、世界的には、EUのGDPR21条はプロファイリングに異議を述べる権利を定め、同22条は完全自動意思決定に服さない権利を規定している。またアメリカのいくつかの州も同様の法規制を置いている。
このように世界的な法規制の動向をみると、日本もプロファイリングによる要配慮個人情報の「推知」を要配慮個人情報の「取得」として法規制すべきである。すなわち、本人同意または本人関与の仕組みを導入すべきである。
また、日本も早期にEUのようなAI法を制定すべきである。

11.顔識別機能付き防犯カメラ(1)
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
生体データに関連し、個人情報保護法16条4項や施行令5条の法改正を行い、顔データは保有個人データであると改正すべきである。
(理由)
生体データに関連し、顔識別機能付き防犯カメラシステムによる誤登録の問題に関して、現行法上、顔識別機能付き防犯カメラシステムによる顔データは、個人情報保護法施行令5条のいずれかの号に該当し、当該顔データは保有個人データではないということになり(個人情報保護法16条4項)、結局、顔識別機能付き防犯カメラを運用する個人情報取扱事業者は個人情報保護法を守る必要がないということになってしまうが、そのような結論は誤登録の被害者の権利利益の保護(法1条、3条、憲法13条)との関係で妥当とは思えない。
そのため個人情報保護法16条4項や施行令5条の法改正を行い、顔データは保有個人データであると改正すべきである。

12.顔識別機能付き防犯カメラ(2)
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
生体データの問題に関連し、顔識別機能付きカメラシステムによる顔データの共同利用については、全国レベルや複数の県をまたがる等の広域利用を行う場合には、個人情報保護委員会に事前に相談を求めることを個情法上に明記すべきではないか。そのために個人情報保護法の法改正等を行うべきでないか。
(理由)
「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会第6回」の議事録5頁に、「そういった観点から、一つ地域というのがメルクマールになると理解している。広域利用に関しては相当の必要性がなければできないとしつつ、個人情報保護委員会に相談があったような場合に対応していくのが1つの落としどころかと感じた。」等との議論がなされているから。 また、宇賀克也『新・個人情報保護法の逐条解説』275頁、園部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』187頁などにおいても、共同利用が許される外延・限界は「一つの業界内」、「一つの地域内」などと解説されており、全国レベルの共同利用や県をまたぐ広域利用、業界をまたぐ共同利用などは個人情報保護法が予定しておらず、本人が自分の個人情報がどこまで共同利用されるのか合理的に判断できないと思われるから。

13.顔識別機能付き防犯カメラ(3)
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
開示・訂正等請求を求める一般人(顔識別機能付き防犯カメラの誤登録の被害者等)が個人情報保護法などにおいて取りうる法的手段(例えば個人情報取扱事業者のウェブサイト上のプライバシーポリシー上の開示・訂正等請求の手続きに従って請求を行う、民事訴訟を提起する等)に関して、個人情報法保護法ガイドライン(通則編)や「個人情報の保護に関する法律についてのガイドラインに関するQ&A」等に一般人にもわかりやすい解説を用意するべきではないか。
(理由)
生体データの問題に関連し、顔識別機能付きカメラシステムの誤登録の被害者が個人情報取扱事業者に顔データの削除などを請求しても事業者から拒否される場合が多い。また誤登録の被害者等は法律のプロではないことが一般的である。
そのため、開示・訂正等請求を求める一般人(防犯カメラの誤登録の被害者等)が個人情報保護法などにおいて取りうる法的手段(例えば個人情報取扱事業者のウェブサイト上のプライバシーポリシー上の開示・訂正等請求の手続きに従って請求を行う、開示・訂正等請求の民事訴訟を提起する等)に関して、個人情報法保護法ガイドライン(通則編)や「個人情報の保護に関する法律についてのガイドラインに関するQ&A」等に一般人にもわかりやすい解説を用意するべきではないか。あるいは一般人向けに開示・訂正等手続きについて解説した「自治会・同窓会等向け会員名簿をつくるときの注意事項ハンドブック」のようなパンフレットを作成すべきではないか。

以上

■関連するブログ記事
・MyData Japan 2024の「George's Bar ~個人情報保護法3年ごと見直しに向けて~」の聴講メモ
・個情委の「3年ごと見直し」における医療データの取扱いに本人同意を不要とする議論に反対する

人気ブログランキング

PR