なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人情報

健康医療戦略本部トップ画面
(政府の健康・医療戦略推進本部サイトより)

1.「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」から個人情報保護委員会へのパブコメ意見!?
このブログで少し前に、個人情報保護委員会(PPC)の、本年5月から6月にかけて実施された、令和2年改正の個人情報保護法ガイドラインのパブコメの結果について取り上げました。
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集の結果について|個人情報保護委員会・e-GOV

このブログ記事の最後にも追記したのですが、このこのパブコメ結果でひときわ異様なのは、法人・個人や各種団体などからの意見にまじって、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」からのパブコメ意見が大量に提出されていることです。PDFファイル上で検索するとなんと31件もあるようです。

しかも、他の個人・法人のほとんどが、PPCのパブコメ要綱を遵守して「意見」・「理由」を分けて丁寧な文言で意見や質問などを提出しているのに、この内閣府健康・医療戦略推進事務局の担当者は、意見・理由を分けずに、上から目線のあまり上品でないだらだらとした言葉使いで31件もの意見を提出しています。

さらにパブコメ結果を読んで驚くことは、この内閣府健康・医療戦略推進事務局の担当者は、個人情報保護法の法律の条文の文言上の理解すらまともにできておらず、おそらく個人情報の取扱を実務上も経験したことがないような、官僚というよりまるで大学の法学部1年生か何かのような素人質問をPPCに対して、まるで顧客が企業の無料ヘルプデスクに電話で質問するかのように、カジュアルに投げつけていることです。
内閣府5
ガイドライン(通則編)のパブコメ結果275。内閣府の担当者は法23条2項のオプトアウトによる第三者提供に関して「いちいち事業者が本人に対して通知を行わねばならないことは面倒である」という趣旨の意見を述べていますが、PPCも回答しているように、法23条2項は「通知または公表」と規定しており、事業者に「通知」を義務付けていません。)

内閣府1
ガイドライン(通則編)のパブコメ結果15。内閣府の担当者は、「6か月未満で消去する情報は個人情報でないのに、ガイドライン案が個人情報としているのは何故か?」との趣旨の質問をしていますが、これは令和2年の個人情報保護法の改正法の条文をまったく読まずに個情法ガイドラインのパブコメ意見を書いているとしか思えません。こんないいかげんな仕事ぶりでも内閣府の官僚は務まるのでしょうか?)

加えて一番驚くべきことは、この内閣府の担当者の質問の多くが、「現場の負担の軽減のために」などを理由に、ひたすらに個人情報取扱事業者サイドに立って、事業者側の義務の削減を要求する内容であることです。
内閣府4
ガイドライン(通則編)のパブコメ結果260個人情報漏洩が発生・発覚した場合の事業者の本人への通知(=漏洩の事実の報告や謝罪など)について、内閣府の担当者は、「現場の負担の軽減のため」として、事業者側に金銭的余裕がない場合などは、本人への通知をしなくてよいようにせよ等と驚くべき要求をしています。事業者が本人から個人情報を収集しておきならが漏洩事故を発生させたのに、「現場の負担の軽減のため」に、被害を受けた本人に漏洩した事実の報告や謝罪などをしなくてもよいようにせよとは、内閣府は国民を国・大企業のために個人情報を生成する家畜か何かだと思っているのでしょうか?

そもそも次世代医療基盤法とは、国民個人のカルテや処方箋、各種検査結果などのセンシティブな個人情報である医療データを国が一元的に収集し、当該医療データをIT企業(NTTデータ等)や製薬企業などに第三者提供し、AI分析などで研究開発等を行わせて、日本の経済発展の起爆剤にしようという内容の法律です。(なお、次世代医療基盤法は、センシティブ情報である患者の医療データの収集や第三者提供を行うものなのに、患者本人の同意は「黙示の同意」でよいとしているなど、さまざまな問題をはらんでいます。)

次世代医療基盤法の全体像2
(次世代医療基盤法の概要図、内閣府サイトより)

■関連する記事
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた

しかし、国民個人のセンシティブな個人情報である医療データを利活用する以上、個人情報の取扱に関しては厳格なスタンスが要求されるはずですが、その監督部署である内閣府健康・医療戦略推進事務局次世代医療基盤法担当の担当者が個人情報保護法の素人レベルで、かつ非常にIT企業や製薬会社などの事業者寄りの姿勢丸出しであることは、本当に大丈夫なのでしょうか?

このようないい加減な国の体制で、次世代医療基盤法などへの国民・患者の信頼は確保できるのでしょうか?大いに心配です。

2.内閣府が個人情報保護委員会のパブコメにカジュアルに意見を提出してよいのか?
また、そもそも内閣府がPPCのパブコメにカジュアルに意見を提出してよいのだろうか?とも疑問になります。

この点、国など行政機関のパブコメ制度(意見公募手続の制度)について規定する行政手続法39条1項は、規則案などに対して、広く一般の意見を求めなければならない」と規定しており、この「広く一般の意見」とは、「意見を提出できるのは、国民一般に限らず、外国人や外国政府なども含まれる」(櫻井敬子・橋本博之『行政法 第6版』209頁)とされており、法律上は内閣府などが意見を提出することも許されるようです。

しかし、首相直下の大きな権力を握る内閣府が大量に意見を提出することは、パブコメを行う官庁への不当な介入となってしまい、当該パブコメの公平性・中立性が阻害されるのではないでしょうか。それはひいては、国の個人情報保護行政や、デジタル行政などの公平性・中立性を害するのではないでしょうか。

3.法治主義・「法律による行政の原則」
現にこのパブコメ結果を見ると、内閣府の担当者は個人情報取扱事業者ばかりに有利になるような質問・意見を大量に寄せていますが、これは個人情報に関して、個人の権利利益・人権保障と利用する事業者とのバランスを取ろうとする個人情報保護法の趣旨・目的(法1条、3条)に反しているばかりでなく、事業者の利益だけでなく国民個人の権利利益や人権保障をも重視しなければならないという、内閣府などの国・行政・公務員の中立性・公平性(国家公務員法96条1項、憲法15条2項「公務員は全体の奉仕者であり一部の奉仕者ではない」)が損なわれている憲法・法令上、危険な状態なのではないでしょうか?

このように、この令和2年改正の個人情報保護法ガイドラインのパブコメ結果にあるような、内閣府健康・医療戦略推進事務局次世代医療基盤法担当の行動は、憲法や、国家公務員法などの行政法の趣旨を不当に軽視するものであり、法治主義や「法律による行政の原則」(憲法41条、65条など)などの観点から非常に危ういものであり、大いに疑問です。

7月上旬には新型コロナ対応に関連して、西村康稔経済担当大臣酒類販売事業者や金融機関などに対して特措法などの法令を逸脱した無茶苦茶な要請を行い、「法の支配」法治主義「法律による行政の原則」(憲法41条、65条など)などの近代民主主義国家の大原則を軽視するものだと大きな社会的批判を浴び、西村大臣ら政府は要請の撤回に追い込まれたばかりです。(また最近、菅首相らは、コロナ患者の入院制限の方針を公表しましたが、これも国民の生存権の保障や公衆衛生などを国の任務とする、憲法25条や厚労省設置法、特措法などに抵触する違法・不当なものであり、法治主義の原則に反すると思われます。)

同様に、内閣府の担当者達も、自分達は国家権力の中枢にいるのだから、憲法や法律はどうとでもできるといった、戦前の日本やドイツなどのような、国家主義・全体主義的な形式的法治主義・外見的法治主義の考えに陥ってしまっているのではないでしょうか。第二次世界大戦が招いた国内外の甚大な犠牲をみるように、政府の中枢がそのような状態に陥っていることは、国民や国家にとって非常に危険な状態です。

■追記(2021年8月27日)
本ブログ記事で取り上げた、個人情報保護委員会の令和2年個人情報保護法ガイドライン改正のパブコメへの「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」から大量のパブコメ意見が提出されている件については、8月27日午後に、私より内閣府健康・医療戦略推進事務局に電話で照会し、同事務局より、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当より個人情報保護委員会のパブコメに意見を提出したことは間違いない」との回答を得ています。

■関連する記事
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング
・「法の支配」と「法治主義」-ぱうぜ先生と池田信夫先生の論争(?)について考えた
・西村大臣の酒類販売事業者や金融機関に酒類提供を続ける飲食店との取引停止を求める方針を憲法・法律的に考えた
・コロナ対策のために患者の入院制限を行う菅内閣の新方針について考えた
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・2020年の個人情報保護法改正に関するガイドライン改正に関するパブコメについて意見を書いてみた-FLoC・プロファイリング・貸出履歴・推知情報・データによる人の選別
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権















このエントリーをはてなブックマークに追加 mixiチェック

政府は、デジタル庁事務方トップの「デジタル監」に実業家の伊藤穣一氏をすえる方針というニュースが大きな話題となっています。

伊藤穣一氏
(ANNニュースより)
・デジタル庁事務方トップに伊藤穰一氏 政府最終調整|ANNニュース

伊藤氏は、2019年に買春・未成年性的虐待で有罪判決を受けた米の富豪ジェフリー・エプスタイン氏などから8億円を超える寄付を受け取っていたことが発覚し、MITメディアラボ所長を辞任したばかりのいわくつきの人物です。
・人身売買容疑の大富豪との関係は…伊藤穰一氏がMITメディアラボの所長を辞任

公務員については、「すべての公務員は、全体の奉仕者であって、一部の奉仕者ではない」憲法15条2項に明記され、また「すべて職員は、国民全体の奉仕者として、公共の利益のために勤務し、且つ、職務の遂行に当っては、全力を挙げてこれに専念しなければならない。」国家公務員法96条1項に規定されるように、公務員や国・行政には、公平・中立性、公益性などが憲法や法律上、要求されます。

憲法
第15条2項
すべての公務員は、全体の奉仕者であって、一部の奉仕者ではない

国家公務員法
第96条1項
すべて職員は、国民全体の奉仕者として、公共の利益のために勤務し、且つ、職務の遂行に当っては、全力を挙げてこれに専念しなければならない。

それを受けて、国家公務員倫理法および人事院の国家公務員倫理程は、「利害関係者から金銭、物品又は不動産の贈与を受けること」、「利害関係者から供応接待を受けること」などを禁止しています(規程3条1号、6号、法6条)。

国家公務員倫理規程
(禁止行為)
第3条 職員は、次に掲げる行為を行ってはならない。
 利害関係者から金銭、物品又は不動産の贈与(せん別、祝儀、香典又は供花その他これらに類するものとしてされるものを含む。)を受けること。
 利害関係者から供応接待を受けること。

さらに、デジタル庁サイトをみると、「デジタル社会形成の10原則」として、「1.オープン・透明」「2.公平・倫理」などの大変立派な原則が掲げられています。

デジタル庁の10原則
デジタル庁サイトより)

このように、公務員国・自治体などの行政には、公平性・中立性・公益性高度な職業倫理が憲法や法令上要求されます。

この点、8億円を超える巨額の寄付を性犯罪などで悪名高い富豪から受け取り、アメリカのMITの要職を辞任したという不祥事の経歴のある伊藤氏は、公平性・中立性・公益性や高度な職業倫理が憲法や法令上要求される行政官庁であるデジタル庁の要職には、あまりにもふさわしくないのではないでしょうか。

また、デジタル庁の事務方トップに伊藤氏を据えようとしている、平井大臣菅首相ら政府与党の幹部達は、同様に憲法や法令が要求する公平性・中立性・公益性の意識や、公務を行うための高い職業倫理が欠落しているのではないでしょうか。

平井大臣はNECについて「徹底的に干せ」「脅しておけ」などと部下の官僚に発言していたことが発覚した問題や、東京大学工学系研究科の松尾豊教授の関連企業との癒着や脱税の問題などが報道され、最近、税務申告の修正を行うなど、疑惑の渦中にあります。

・平井デジタル相に資産公開法違反の疑い “五輪アプリ受注”の親密ITグループの株を不記載|文春オンライン

また、デジタル庁幹部の向井治紀室長代理も、NTTから違法な接待を何回も受けていたことが発覚したばかりです。

9月から発足するデジタル庁そのものも、民間IT企業から数百人規模の人材を職員として受け入れる等、特定の民間企業との癒着のおそれなど、中央官庁の公平性・中立性・透明性が大いに疑問視されています。

今年春に国会でデジタル関連法とセットで成立した、官民の個人情報保護法制の一元化のための法改正も、例えば全国の自治体のこれまでの個人情報保護条例を廃止させ、国の定めるモデルに一元化するなど、権力分立により国民・住民の人権保障を行うという地方自治・団体自治(憲法92条、94条)に抵触するなど、憲法レベルの問題をはらんでいます。

同時にデジタル関連法とセットで成立した改正マイナンバー法も、看護師などの国家資格保有者の個人情報をマイナンバーで国が一元管理することを可能にするなど、政府による国民の個人情報やプライバシーの管理・監視がますます推進される内容となっています。

・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた

あるいは最近も、東京オリンピック・パラリンピックに関連して、森喜朗氏小山田圭吾氏小林賢太郎氏など幹部達が、相次いで差別問題・人権問題などで辞任・解任されており、国や国周辺の公務の公平性・中立性や倫理感、コンプライアンス意識の欠如が大きな問題となっています。

そのようななか、不祥事の経歴のある伊藤穣一氏を、疑惑をもたれているデジタル庁の事務方トップにすえようという菅政権の人事は、疑念の上に疑念を重ねるものなのではないでしょうか。デジタル庁や国のデジタル行政に対する国民の信頼さらに低下するのではないでしょうか。政府与党はこの人事の再検討や、デジタル庁のあり方の再検討を行うべきではないでしょうか。

■追記(8月11日)
伊藤穣一氏は2003年には住基ネットに関する長野県の侵入実験を実施するなど、当時、インターネットの専門家として住基ネットの反対運動を主導する有識者の一人であったそうです。
・長野県の住基ネット侵入実験、結果はクロ!|日経
・長野県が住基ネットへの侵入実験の結果を公表|INTERNET Watch

住基ネットはマイナンバー制度の前身ともいうべきものであり、マイナンバー制度の推進などを任務とするデジタル庁の事務方トップに、かつて住基ネットの反対運動を主導していた人物をあてるというのは、非常に矛盾しています。このような人物を幹部にすえて大丈夫なのでしょうか。

9月からの正式な設置の前に問題点や不祥事が次々と明らかになっているデジタル庁ですが、国の中央官庁として本当に大丈夫なのだろうかと、国民の一人としては心配な思いです。

ネット上のニュースなどをみていると、政府の要職の人間を採用する際には身元調査などが行われるそうですが、伊藤穣一氏のアメリカでの不祥事については内閣調査室などが承知していなかったとのことであり、日本の政府やデジタル庁などの情報収集能力リスク管理能力の低さが大いに気になります。

■追記(8月18日・8月29日)
報道によると、8月18日、政府は伊藤譲一氏をデジタル庁のデジタル監とする人事を撤回したとのことです。
・デジタル監、伊藤穣一氏見送り 政府|時事通信

また、8月26日のマスメディアの報道によると、政府はデジタル庁のデジタル監に一橋大学名誉教授の石倉洋子氏をあてる方針とのことです。しかし石倉氏はITや情報法、行政法などの専門家ではなく、経営学の学者であるそうです。この人事も伊藤氏同様に、よくわかりません。デジタル庁は民間ITスタートアップの起業の指南でもするつもりなのでしょうか?

さらに最近、デジタル庁はnoteのドメインも急に変更しましたが、旧ドメインから新ドメインへのリダイレクトがなされないこと等にもネット上で批判が殺到しています。また、デジタル庁のプライバシーポリシーが個人情報保護法制的に素人レベルであることは、このブログでも取り上げた通りです。

デジタル庁は国・自治体のデジタル行政の企画立案を担う官庁であり、民間IT企業から数百人規模の優秀な人材を中途採用したはずですが、個人情報保護法制など法律の知識や、ITや情報セキュリティなどの技術面についても素人レベルなのでしょうか?

デジタル庁のキャッチコピーは「誰一人取り残さないデジタル庁」だそうですが、9月の設立前からこんな不祥事続きの状況では、「国民誰からも相手にされない三流官庁のデジタル庁」になってしまいそうで心配です。

■追記・デジタル庁ナンバー3の岡下昌平・デジタル大臣政務官が違法Youtuberであることが発覚(9月30日)
伊藤穣一氏にかわってデジタル庁のナンバー2のデジタル監に就任した石倉洋子・一橋大学名誉教授が、画像素材サイトの画像などを対価を支払わずに無断で自身のウェブサイトに多数使用していたことが9月頭に発覚し、石倉氏も平井大臣や伊藤穣一氏らのご同類の無法者であることが発覚しました。

ところがさらに、nukalumix様「畳之下新聞」の9月30日付の記事「(逃走中) 違法Youtuber が #デジタル庁 ナンバー3 の大臣政務官 という地獄」によると、デジタル庁ナンバー3岡下昌平・デジタル大臣政務官が、自身のYouTubeチャンネル「おかしょうちゃんねる堺」において、ABEMAなどの動画を切り取り、自身のYouTubeチャンネルにアップロードするなどの著作権法違反の行為を繰り返していたことが発覚したとのことです(自動公衆送信権(著作権法23条)の侵害)。
・(逃走中) 違法Youtuber が #デジタル庁 ナンバー3 の大臣政務官 という地獄|畳之下新聞

デジタル庁は、上も下も法令無視のアウトローの人間しかいないのでしょうか。呆れてしまいます。このような無法者集団がデジタル行政を行っては、日本の官民のデジタル部門やIT業界などは、違法状態が当たり前で、腕力や発言力、経済力、政治力が強い人間が幅を利かす原始時代のようになってしまうような気がします。

■関連する記事
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件-個人情報・公務の民間化
・コロナ対策のために患者の入院制限を行う菅内閣の新方針について考えた
・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた
・【マイナンバー】健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた-貸出履歴・閲覧履歴・プロファイリング
・東京オリンピック開会式トップのディレクター・小林賢太郎氏の解任と中山泰秀氏の件を考えた
・西村大臣の酒類販売事業者や金融機関に酒類提供を続ける飲食店との取引停止を求める方針を憲法・法律的に考えた
・「法の支配」と「法治主義」-ぱうぜ先生と池田信夫氏の論争(?)について考えた

















このエントリーをはてなブックマークに追加 mixiチェック

PPCトップ画面
1.令和2年改正個人情報保護法ガイドラインのパブコメ結果が公表
8月2日に個人情報保護委員会(PPC)が令和2年改正個人情報保護法ガイドラインのパブコメ結果を公表していたので、気になる部分をざっと見てみました。

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集の結果について|個人情報保護委員会

2.個人関連情報(改正法26条の2第1項)とGoogleのFLoC
令和2年改正の個人情報保護法26条の2第1項は、「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」を「個人関連情報」と定義し、事業者が個人関連情報を第三者提供し、提供先においてそれが個人データとして利用されることが想定される場合には、本人の同意が必要であるとしています。

これは2019年の就活生の内定辞退予測データの販売を行っていたリクナビ事件を踏まえて、個人情報保護法を潜脱して、本人関与のない個人情報の収集方法が広まることを防止するためのものです(佐脇紀代志『一問一答令和2年改正個人情報保護法』60頁)。

この個人関連情報は、具体的には、氏名などと結びついていないインタネットの閲覧履歴、位置情報、Cookieなどが該当するとされています(佐脇・前掲62頁)。

この点、今回の改正個人情報保護法ガイドライン(通則編)の個人関連情報に関するパブコメ結果308は、「Cookieなどだけでなく、Googleが最近、Cookieに代わり導入を開始したFLoCなどの新しい収集方法で取得されたデータについても個人関連情報に含まれることを明記すべきではないか」との意見(不肖な私の意見なのですが)に対して、PPCは「個人関連情報の定義にあてはまるものは個人関連情報に該当する。個別の判断になるが、収集の方法によって判断がかわるものではない。」と回答しています。

GoogleのFLoCなど

GoogleなどのIT事業者が、個人情報保護法を潜脱するためにFLoCなどの新しい手法を導入することは、個人関連情報の新設の趣旨に反するので、このPPCの回答は国民個人の権利利益の保護・人権保障の観点(法1条、3条、憲法13条)から、非常にグッジョブ!!であると考えられます。

今後、GoogleなどのIT企業がCookieやFLoCなどに代わるさらに新しいデータの収集方法を開始したとしても、それで収集されるデータが「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」にあたるのであれば、個人関連情報に該当し、第三者提供の際に本人の同意が必要になるとPPCは考えていると思われます。

3.個人関連情報と図書館の貸出履歴など
また、改正個人情報保護法ガイドライン(通則編)の個人関連情報に関するパブコメ結果315は、「ある個人の図書館の貸出履歴・利用履歴(利用事実)も個人関連情報や個人情報に該当しうることを明記すべきではないか」との意見(不肖・私の意見ですが)に対して、PPCは「個別の事案ごとに判断することになるが、図書館の利用履歴について、特定の個人を識別することができる場合(他の情報と容易に照合して特定の個人を識別できる場合を含む)には個人情報(法2条1項)に該当し、個人情報に該当しない場合には、「ある個人に関する情報」である限り、個人関連情報に該当する」と明快に回答しています。これもPPC超グッジョブ!!と言わざるをえません。

図書館の貸出履歴1
図書館の貸出履歴2


この点、現在の、平成27年(2015年)改正の個人情報保護法ガイドライン(通則編)は、要配慮個人情報(法2条3項)に関する2-3(要配慮個人情報)の部分のなお書きとして、「なお、次に掲げる情報(=要配慮個人情報))を「推知させる情報」にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない。」との記述を置いており、宗教に関する書籍の購買や貸出しに係る情報等などのような要配慮個人情報を「推知させる情報」は重要でないどうでもよい情報・データであるとの誤解が社会に広まってしまったような気がします(一種の「個人情報保護法による過剰反応」。なお令和2年改正の個人情報保護法ガイドラインにおいても、このなお書き自体は残っている。)。

しかし今回のこの個人情報保護法ガイドライン(通則編)パブコメ結果315は、図書館の貸出履歴・利用履歴なども個人情報に該当し、個人情報に該当しなくても、「ある個人に関する情報」である場合は個人関連情報に該当すると明確に回答していることは非常に重要な意味があると思われます。

貸出履歴・閲覧履歴などの個人情報・個人関連情報の該当性の図2

つまり、図書館の貸出履歴データ・利用履歴データをさまざまな用途に利活用しようとしてる法政大学、国会図書館などや、ツタヤ図書館などを運営するCCCなどのデータマーケティング企業やIT企業、さらに警察からの令状によらない照会に安易に応じ回答を行っている図書館、学校図書館の貸出履歴データ・利用履歴データなど図書館の利用以外に転用している学校・教育委員会・国などは、それらの業務が個人情報保護法など法令に違反してないか再検討が必要であると思われます。

■関連する記事
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?

同時に、今回のパブコメ結果を踏まえたPPCの令和2年改正個人情報保護法ガイドライン(通則編)の2-3-1-1(個人関連情報)の部分は、つぎのとおり、「Cookieなどで収集されたある個人のウェブサイトの閲覧履歴」、「メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等」、「個人の商品購買履歴・サービス利用履歴事例」、「ある個人の位置情報事例」、「ある個人の興味・関心を示す情報」などのデータ・情報も、それが連続して蓄積された場合には個人情報に該当し、個人情報に該当しない場合は個人関連情報に該当すると明記しています。

個人関連情報に該当する事例
(令和2年改正個人情報保護法ガイドライン(通則編)の2-3-1-1(個人関連情報)の部分より)

そのため、ヤフージャパン、LINEなどのIT企業、ターゲティング広告などの広告事業者、共通ポイントなどを運営するCCCや楽天などのデータマーケティング事業者、通信事業者・プロバイダ(ISP)やSuicaなどを運営するJR各社などの鉄道事業者・運輸事業者、コネクテッドカー・プラットフォームを運営する自動車メーカー、ネット上の通販を行うAmazonや楽天、メルカリや、ネットバンクや電子マネーやQRコード決済などの電子決済を行う金融関係の事業者、銀行・保険・証券、信用スコアや情報銀行などの業務を行う金融機関、テレビの閲覧履歴などを利用しているテレビ局、電気・ガス・水道などの利用履歴・ライフログなどを利用しているインフラ事業者、ネット閲覧履歴や移動履歴・購買履歴などを利用しているリクルート・LAPRASなどの人材企業やHRテックの事業者、タブレット端末などの操作履歴などを利用してEdTechやGIGAスクール構想などを推進しているベネッセや学校・教育委員会、文科省などは、今一度、自らの業務が個人情報保護法などの法令に違反していないか、再検討が必要であると思われます。この個人関連情報の新設は、影響範囲が非常に大きいと思われます。

4.AIやコンピュータによるプロファイリングについて
さらに、前述のリクナビ事件の問題や、2018年に施行されたEUのGDPR(EU一般データ保護規則)22条が「プロファイリング拒否権」(コンピュータやAIの個人データの自動処理のみによる法的決定・重要な決定の拒否権)を規定していることや、本年4月にEUがAI規制法案を公表したことなどから、AIやコンピュータによる人間のプロファイリングの危険(データによる人の選別の危険)に関する関心が日本社会でも高まっています。(最近の一部の情報法の学者の先生方は、個人データ保護法制の本当の立法目的は、プロファイリング拒否権であるとのご見解を示しておられるようです。)

この点、個人情報保護法ガイドライン(通則編)のパブコメ結果57は、「プロファイリングによる個人データの収集・利用などが個人の権利・利益を侵害するおそれがあるような場合については、これが個人情報の不適正利用の禁止条項(法16条の2)に該当し違法なものとなることを明記すべきではないか」との質問(不肖・私の質問ですが)に対して、PPCは「「プロファイリングの目的や得られたデータの利用方法など個別の判断が必要であるが、プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合は、不適正利用に該当する場合があり得る。」と回答しています。

プロファイリング2

このように、AIやコンピュータによるプロファイリングの法規制に関して、PPCはEUやアメリカの一部の州などの個人データ保護法の先進国・地域と異なり、慎重な姿勢を示しています。

しかし少なくとも、リクナビ事件のような、就活生などの求職者のネット閲覧履歴などのデータを収集し、AIで内定辞退予測データなどの就活生などに大きな不利益をもたらすおそれのあるデータを生成し、求人を行っているトヨタなどの企業にそのデータを販売・第三者提供するような行為は、「プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合に該当し、不適正利用であり違法であるとPPCに判断される可能性があると思われます。

そのため、AIを求職者の採用活動などに利用している雇用分野やHRtechの企業・人材会社・事業会社の人事部門や、AIを教育に利用している教育業界や学校・教育委員会・文科省、AIや顔認証システムを搭載した防犯カメラ・監視カメラ・商用カメラなどを利用や開発・販売している警備業界・警察・小売業・電気メーカーや、AIを信用スコアやローンの審査・保険の引受審査・保険金支払査定などに利用している銀行・保険などの金融機関、出入国管理など行政上の審査にAIを利用している行政庁などは、自らの業務が令和2年改正の個人情報保護法に抵触しないか、今一度再検討が必要であると思われます。

■関連する記事
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR

5.その他・委託の「まぜるな危険」の問題、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当のパブコメ意見!?
(1)委託の「まぜるな危険」の問題
その他にも、この令和2年改正個人情報保護法ガイドラインパブコメ結果は、通則編のパブコメ結果351に、経営法友会からの「委託の「まぜるな危険の問題」」の質問へのPPCの回答が載っているなど、個人情報保護法や情報セキュリティなどに関係する人にとって見どころが満載です。(委託の「まぜるは危険の問題」がPPCの公式文書に掲載されたのは、これがおそらく初めてではないでしょうか。)

委託のまぜるな危険の問題

(2)「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のパブコメ意見!?
また、このパブコメ結果で異様なのは、法人・個人や各種団体などからの意見にまじって、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」からのパブコメ意見が大量に提出されていることです。PDFファイル上で検索するとなんと31件もあるようです。しかも、他の個人・法人のほとんどが、PPCのパブコメ要綱を遵守して「意見」・「理由」を分けて丁寧な文言で意見や質問などを提出しているのに、この内閣府の担当者は意見・理由を分けずに、上から目線のあまり上品でないだらだらとした言葉使いで31件もの意見を書いています。

さらにパブコメ結果を読んでいて驚くことは、この内閣府健康・医療戦略推進事務局の担当者は、個人情報保護法の条文の文言上の理解すらできておらず、おそらく実務上も個人情報の取扱を経験したことがないような、官僚というよりまるで大学法学部の1年生かのような素人質問をPPCに対して、まるで顧客が企業のコールセンターに電話で質問するかのように、カジュアルに投げつけていることです。
内閣府5
(ガイドライン(通則編)のパブコメ結果275。内閣府の担当者は法23条2項のオプトアウトによる第三者提供に関して「いちいち事業者が本人に対して通知を行わねばならないことは面倒である」という趣旨の意見を述べていますが、PPCも回答しているように、法23条2項は「通知または公表」と規定しており、事業者に「通知」を義務付けていません。)

「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」は、国民のカルテや処方箋データなどのセンシティブな個人情報である医療データを国が一元的に収集し、IT企業や製薬会社などに利活用させる次世代医療基盤法などの担当所管のはずですが、個人情報保護法の素人のような人間が担当者で本当に大丈夫なのでしょうか?   国民としては非常に心配です。

くわえて、この内閣府健康・医療戦略推進事務局次世代医療基盤法担当の担当者の意見は、個人情報取扱事業者の法的義務を削減することを要求する内容のものが多く含まれています。この点は、内閣府や個人情報保護委員会の行政の公平性・中立性(国家公務員法96条1項、憲法15条2項など)が損なわれるおそれがあるだけでなく、国の個人情報保護行政デジタル行政などがゆがめられてしまうおそれがあるのではないでしょうか。

■関連する記事
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・2020年の個人情報保護法改正に関するガイドライン改正に関するパブコメについて意見を書いてみた-FLoC・プロファイリング・貸出履歴・推知情報・データによる人の選別
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権















このエントリーをはてなブックマークに追加 mixiチェック

LINE
1.台湾の政府要人のLINEアカウントがハッキング攻撃を受ける
台湾政府要人がイスラエル企業のマルウェア・スパイウェア「Pegasus」(ペガサス)により通信アプリLINEのアカウントにハッキング攻撃を受けていた事件が報道されています。「Pegasus」は、標的のスマートフォンなどのデータへのアクセスや、スマホのカメラやマイクの機能を強制的にオンにして情報を収集するとされています。

それらの報道のなかで、7月29日付の産経新聞「スパイウエア取り締まり困難 政府要人は自衛を」という記事が、神戸大学森井昌克教授(電気通信工学)の「こうした監視ツールは昔からある。法的に禁止することは難しい」等のコメントを掲載していますが、この森井教授のコメントにはネット上でさまざまな疑問の声が寄せられています。またこの産経新聞記事は、「スパイウエアは…国際社会でも使用を禁止する動きはない。」としている点もよくわかりません。
・スパイウエア取り締まり困難 政府要人は自衛を|産経新聞

2.不正指令電磁的記録作成罪(ウイルス作成罪)
神戸大学の森井教授は「法的に禁止することは難しい」とコメントを寄せれおられますが、しかし、2011年(平成23年)にはわが国の国会では、「情報処理の高度化等に対処するための刑法等の一部を改正する法律」が制定され、コンピュータ・ウイルスに関する罪の不正指令電磁的記録作成等罪(いわゆるウイルス作成罪)が刑法に新設されました(刑法168条の2、168条の3)。

刑法
(不正指令電磁的記録作成等)
第168条の2 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
 正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。

つまり、新設された不正指令電磁的記録作成等の罪である刑法168条の2第1項1号は、コンピュータやスマホなどのユーザーに対して「正当な理由がないのに」「意図に反する動作」をさせる「不正な指令」を与えるプログラムを作成したり提供したり、他人のコンピュータ等で実行させることを犯罪として3年以下の懲役または50万円以下の罰金という罰則の対象としています。

法務省「いわゆるコンピュータ・ウイルスに関する罪について」は、この「意図」について、「当該プログラムの機能の内容や機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところを基準として判断する」としており、スマホ内のデータへアクセスし、またスマホのカメラやマイクの機能を強制的にオンにしてデータを収集する「Pegasus」などのスパイウェアの挙動は「意図に反する動作」に該当します。

また、法務省の同文書は、「不正な指令」について、「その機能を踏まえ、社会的に許容し得るものであるか否かという観点から判断する」とし、例えばコンピュータのストレージのデータを消去するためのプログラムがストレージ内のデータを消去することは「不正な指令」に該当しないが、例えば官庁の通知・通達などの文書ファイルを偽装した実はストレージ内のデータを消去させるファイル等は「不正な指令」に該当するとしています。そのため、「Pegasus」などのスパイウェアは社会的許容性もなく「不正な指令」に該当します。

さらに、「正当な理由がないのに」とは、例えばウイルス対策ソフトの研究開発のためにウイルス対策ソフト会社がコンピュータウイルスを作成などする行為に本罪が成立しないことを明確化するために国会審議で追加されたものです(西田典之・橋爪隆補訂『刑法各論 第7版』412頁)。「Pegasus」などのスパイウェアが一般人や政府要人のスマホ等に導入され動作することはこれに該当しないので、「Pegasus」などは「正当な理由がないのに」に該当します。

したがって、「Pegasus」などのスパイウェアについては、もしこれが日本の一般国民や政府要人などのスマホ等にインストールされ動作した場合、不正指令電磁的記録作成等の罪が成立するといえるので、「法的に禁止することは難しい」としている森井教授や産経新聞は正しくないと考えられます。

そもそもこの不正指令電磁的記録作成等の罪・ウイルス作成罪などは、2004年に日米欧など約50か国が批准し成立したサイバー犯罪条約への対応として制定されたものです。日本だけでなく、例えばイギリスでは「コンピュータ不正利用法」の3A条にウイルス作成罪が設けられ、イタリアの刑法615条の5もウイルスに関する罪を規定しています。さらにロシア中国などの刑法にもウイルス罪の規定は設けられています(財団法人社会安全研究財団「諸外国における不正アクセスの助長行為等を規制する関連法令に係る調査報告書」(平成23年10月)5頁より)。
・諸外国における不正アクセスの助長行為等を規制する関連法令に係る調査報告書(平成23年10月)|財団法人社会安全研究財団

また、ドイツでは最近、国や州が疑わしい国民のパソコンやスマホなどにスパイウェアを導入して監視を行うための法律案が準備中であるそうですが、同様の内容の法律が2008年にドイツ連邦憲法裁判所で国民の「コンピュータ基本権」という「新しい人権」に抵触する違憲なものであり無効とする判決(オンライン監視事件・2008年2月27日連邦裁判所第一法定判決 BVerfGE 120.274.Urteil v.27.2.2008)が出されたことは、このブログでも取り上げたとおりです。
・ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権-なか2656のblog

そのため、「スパイウエアは(略)、国際社会でも使用を禁止する動きはない。」としている産経新聞記事のこの部分も正しくありません

3.個人情報保護法から
さらに、この産経新聞記事は、森井教授の「(スパイウェアを)法的に禁止することは難しい」というコメントの理由として、「個人情報を監視するソフトの定義が明確でないのが一因。もし、利用者のデータ収集を禁じれば、ネット通販交流サイト(SNS)などのアプリも規制を受けることになってしまうからだ。」と記述しています。

この説明が、森井教授か産経新聞記者のどちらの見解なのかは不明ですが、しかし、SNSやネット通販サイトなどは、一応は、個人情報保護法に基づき、それぞれの運営会社において、プライバシーポリシーで個人データの利用目的や個人データの第三者提供先、委託先、個人データの開示・訂正・削除・利用停止などの手続きなどを規定し、会社サイトなどで公表するなどして、個人情報・個人データの収集・管理などが(一応は)法律に則り実施されているのが一般的です。

したがって、「もし、利用者のデータ収集を禁じれば、ネット通販やSNSなどのアプリも規制を受けることになってしまう」ので「スパイウェアなどを法的に禁止できない」という説明は無茶苦茶であり、この点は個人情報保護法からもまったく正しくありません

4.まとめ
このように、この産経新聞の記事は、刑法や個人情報保護法などの観点から正しくない点が多く存在します。産経新聞は多くの国民が記事などを読むマスメディアなのですから、スパイウェアなどについて報道するにあたり、もう少し刑法や個人情報保護法、情報法などに関する法的知識情報リテラシーを持った上で取材や報道を行うべきではないでしょうか。

■関連する記事
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・デジタル庁の事務方トップに伊藤穣一氏とのニュースを考えた
・コインハイブ事件高裁判決がいろいろとひどい件―東京高裁令和2・2・7 coinhive事件
・ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権
・「法の支配」と「法治主義」-ぱうぜ先生と池田信夫先生の論争(?)について考えた
・「幸福追求権は基本的人権ではない」/香川県ゲーム規制条例訴訟の香川県側の主張が憲法的にひどいことを考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR

■参考文献
・西田典之・橋爪隆補訂『刑法各論 第7版』412頁
・いわゆるコンピュータ・ウイルスに関する罪について|法務省
・諸外国における不正アクセスの助長行為等を規制する関連法令に係る調査報告書(平成23年10月)|財団法人社会安全研究財団
・イスラエル企業開発のスパイウェア 世界中の記者や活動家を監視か|NewsWeek
・懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」|高木浩光@自宅の日記















このエントリーをはてなブックマークに追加 mixiチェック

クラブハウス
スイスの情報セキュリティ研究者のMarc Ruef氏(@mruef)などのTwitterの7月24日の投稿によると、音声SNSのClubhouseの日本を含む38億件電話番号データベースがダークウェブのオークションで売りに出されている可能性があるそうです。(【追記】Clubhouse側や他の研究者たちはこの情報漏洩を否定していることを記事末に追記しました。)

クラブハウス情報販売
(Marc Ruef氏(@mruef)のTwitterより)
https://twitter.com/mruef/status/1418693478574346242

Clubhouseのアプリは、自動的にスマホユーザーのアドレス帳に登録されたすべての電話番号を収集するので、自分自身はClubhouseを利用していなくても、自分の電話番号を知っている人間がClubhouseを利用していれば、電話番号等の個人情報が流出している可能性があるとのことです。

これがもし本当にClubhouseを運営するAlpha Exploration(AE)社の保有する個人情報データベースから何らかの方法で出された電話番号データベースであるのなら、日本の個人情報保護法上、電話番号のみのでも「個人情報データベース等」(法2条4項)のデータの一部に該当し、つまり「個人データ」(法2条6項)に該当し、つまりそれは「個人情報」(法2条1項1号)に該当することになります。

個人データの第三者提供には原則、本人の同意が必要であり(法23条1項)、また第三者提供には個人情報が提供された際のトレーサビリティ(追跡可能性)の確保のために、記録作成義務記録確認義務が課されます(法24条、法25条)。(そのため、こういう個人データが大っぴらに転売されることは難しいように思われます。)

AE社は米企業のようですが、もし日本であれば、2014年のベネッセ個人情報漏洩事件のような個人情報漏洩事故なので、安全管理措置(法20条)の懈怠の問題としてAE社は個人情報保護委員会から行政指導等を受けたり(法41条、42条)、ユーザーなどから損害賠償請求訴訟を提起されるリスクがあります。販売等の目的などで個人データを持ち出した人間・法人は罰則も科されます(法84条)。

もしClubhouseがEU圏のユーザーも利用してるなら、AE社はGDPR(EU一般データ保護規則)最高2000万ユーロまたは前会計年度の全世界年間売上高の4%のいずれか大きい額の制裁金が科されるリスクもあります(GDPR83条)。また同様に、もしClubhouseがEU圏のユーザーも利用してるなら、GDPR33条は事業者等が自社の個人情報の漏洩を知った場合、72時間以内の所轄のデータ保護当局への報告という厳しいタイムアタックを要求しているので、AE社はこの義務を履行しなければなりません。

(なお、2022年4月施行予定の日本の令和2年改正の個人情報保護法22条の2は、個人情報漏洩が発覚した場合、原則として、事業者は速やかに個人情報保護委員会に速報を報告し、30日以内に報告書を提出しなければならないことになるので、日本の事業者も個人情報漏洩があった場合には迅速な対応が要求されることになります。)

聞くところによると、一時期大きな注目を浴びたClubhouseも、最近はめっきり利用者が減少しているそうですが、AE社の保有する個人データの取扱や管理の在り方が、いろいろと気になるところです。

■追記(2021年7月26日2:00)
情報セキュリティの専門家の高梨陣平氏(@jingbay)より、この件に関しては、つぎの記事のように、Clubhouse側や他の研究者たちが電話番号の情報漏洩を否定しているとのご教示をいただきました。高梨様、ありがとうございました。
・Clubhouse denies data breach, experts debunk claims of leaked phone numbers|TechZimo
















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ