なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人情報

school_jugyou_tablet

1.はじめに

個人情報保護委員会が令和6年4月10日付で公表している「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方②)」の資料を読んでみました。今回の資料は、①子どもの個人情報、②消費者団体訴訟制度、の2点を取り上げています。

2.子どもの個人情報

本資料1頁は、まず「現行の個人情報保護法上、子どもの個人情報の取扱い等に係る明文の規定はない」とした上で、個人情報保護法ガイドライン(通則編)2-16および個人情報保護法ガイドラインQA1-62が、「「本人の同意」を得ることが求められる場面(目的外利用、要配慮個人情報の取得、第三者提供等)について、以下のとおり、「一般的には12歳から15歳までの年齢以下の子どもの場合には法定代理人等から同意を得る必要がある」とされている」と説明しています。

ppc1

つぎに本資料は、児童の権利条約(1989年)やデジタル環境下のこどもに関するOECD勧告(2021年)が、子どものプライバシーやデータ保護が重要であると規定していると説明しています。

また、本資料3頁以下は、子どもの個人情報に関する外国制度として、EU、イギリス、アメリカ、中国、韓国、インド、インドネシア、ブラジル、カナダ等の法制度を概観しており、「子どもの個人情報等をセンシティブ情報又はセンシティブデータと分類した上で特別な規律の対象とするケース」や「子どもの個人情報に特有の規律を設けるケース」が多いと分析しています。

ppc2
ppc3
ppc4

さらに本資料8頁以下は、子どもの個人情報に関する外国における主な執行事例として、InstagramやTikTok、YouTubeなどの事例をあげています。

ppc5
加えて本資料10頁は、日本における子どもの個人情報に関する社会的反響の大きかった事例として、①全寮制の学校Aが、全生徒にウェアラブル端末を購入してもらい、心拍数、 血圧、睡眠時間等の個人データを収集しようとした事件(広島叡智学園事件(2018年))、②学校Bで、生徒の手首につけた端末で脈拍を計測し、授業中の集中度を測定する実証研究を行った事件(市立鷲宮中学校事件(2021年))の概要が紹介されています。

また、子どもの個人情報に関連して個人情報保護法に基づく行政上の対応が行われた事例として、四谷大塚事件(2024年2月)の概要が紹介されています。

ppc6

なお本資料12頁は、「個人情報保護法相談ダイヤルにおける子どもの個人情報等に係る相談事例等」として、頻度の多い相談事例や、その他の相談事例等をあげていますが、とくに「事例C 事業者がパンフレットに児童の個人情報を掲載しているが、当該掲載について児童から口頭で同意をとったのみであり、親には何らの連絡もなかった」事例や、「事例D 未成年の娘あてに事業者からDMが届いた。発送先の事業者に確認したところ、名簿販売業者から娘の情報を取得したうえで営業をかけているようであった」という事例、「事例G 事業者が保有する児童の個人情報について、親が開示・削除等の請求をしているにもかかわらず、なかなか応じてくれない」事例、などを読むと、やはり子どもの個人情報の法規制は待ったなしだと思われます。

ppc7

3.消費者団体訴訟制度

本資料15頁は、適格消費者団体は、「不当な勧誘」、「不当な契約条項」、「不当な表示」などの事業者の不当な行為をやめるよう求めることができるとし、「事業者が不特定かつ多数の消費者に対して消費者契約法等に違反する不当な行為を行っている、又は、行うおそれのあるとき」には差止請求を行うことができると説明しています。この「消費者契約法等」には消費者契約法のほか、景品表示法、特定商取引法、食品表示法が規定されていると説明されています。(個人情報保護法はまだ規定されていない。)

また本資料17頁は、団体訴訟の差止請求に関連し、「個人情報に係る本人が不特定かつ多数と評価しえる事例に係る個人情報保護法に基づくこれまでの主な行政上の対応」として、Facebook事件(平成30年10月)、JapanTaxi事件(平成30年11月、令和元年9月)、リクルート内定辞退率予測データ事件(2019年)、破産者マップ事件(令和4年)、ビジネスプランニング事件(令和6年1月)の概要をあげています。

ppc8
ppc9

さらに本資料21頁は、「不法行為の成否と個人情報保護法の関係」として、令和5年の顔識別機能付き防犯カメラ報告書からつぎのように一部を抜粋しています。

『「不法行為法と個人情報保護法はその目的や性格に異なる部分があることから、不法行為が成立する場合、同時に個人情報保護法違反となる場合もあり得るが、不法行為が成立したからといって必ずしも個人情報保護法違反となるわけではない。」
不法行為の成否を評価するに当たり考慮される要素は、個人情報保護法上も不適正利用の禁止規定(法第19条)や適正取得規定(法第20条第1項)の解釈などにおいて、考慮すべきであると考えられる。
(出典)「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」(令和5年3月)から引用。』
「不法行為の成立=個人情報保護法違反ではない」としつつも、「不法行為の成否を評価するに当たり考慮される要素は、個人情報保護法上も不適正利用の禁止規定(法第19条)や適正取得規定(法第20条第1項)の解釈などにおいて、考慮すべきであると考えられる。」と個人情報保護委員会がしていることは、個情委が今後、不適性利用禁止条項を積極的に発動する可能性があるのではないでしょうか。個人的には個情委のこの取組みに期待したいです。

また本資料21頁は、個人情報の取扱いにおいて損害賠償責任が問題となった主な事例として、早大名簿提出事件(最高裁平成15年9月12日判決)とベネッセ個人情報漏洩事件(最高裁平成29年10月23日判決)をあげています。

ppc10

ベネッセ個人情報漏洩事件はおよそ3500万件もの個人情報が漏洩した事件ですが、このように被害者が不特定かつ多数の個人情報漏洩事件について、消費者団体訴訟における損害賠償請求ができるようになることは、被害者救済の観点から重要であると思われます。また、団体訴訟制度の個人情報保護法への導入は、事業者の実務への影響は非常に大きいと思われます。

■関連するブログ記事
・PPCの「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」(2023年11月)を読んでみた
・個情委の「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)」を読んでみた
・埼玉県の公立中学校の「集中しない生徒をリアルタイムで把握」するシステムを個人情報保護法や憲法から考えた
・戸田市の教育データを利用したAI「不登校予測モデル」構築実証事業を考えた-データによる個人の選別

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

内田洋行
内田洋行サイトより)

1.戸田市の教育データを利用したAI「不登校予測モデル」構築実証事業

2024年4月4日付の日経クロステックの記事「不登校になりそうな児童生徒をAIが予測、戸田市の教育データ活用実証が示したこと」が、Twitter(現X)上で話題を呼んでいます。この実証実験は、「2023年12月から同市内の公立小学校12校、同中学校6校の計約1万2000人の児童生徒のデータを分析対象に、「不登校予測モデル」構築の実証をした。事業はこども家庭庁の「こどもデータ連携実証事業」として戸田市が受託し、内田洋行、PKSHA Technologyグループとともに進めたもの」であるそうです。

内田洋行2
内田洋行サイトより)

不登校予測モデルは、教育総合データベースのデータを利用してAIが機械学習し、予測モデルを構築してゆくそうです。モデルの構築に利用した特徴量は、出欠席情報、保健室の利用状況、いじめに関する記録、教育相談、健康診断データ、学校生活アンケート、戸田市が独自に実施している「授業がわかる調査」、県学力調査の学力データ、県学力調査の質問紙調査、RST受検結果、「心のアンケート」など多岐にわたるそうです。(なお本事業は保護者の同意を取得しているそうですが、学校や自治体と保護者の力関係を考えると、このような本人同意が有効な同意といえるのか疑問が残ります。)

ところで、この戸田市の事例で注目されるのは、本記事によると、予測モデルの構築に際して重要なのは「特徴量」であるところ、出欠情報、教育相談が上位にくるだけでなく、「健康診断の体重や歯科検診」、「健康診断の肥満」も特徴量重要度の上位にあがっていることだと思われます。

一見、生徒の不登校の予測とはあまり関係ないように思われる、体重、肥満、歯科検診、数学の点数などにより不登校を予測することは妥当なのでしょうか。

2.「「関連性」のないデータによる個人の選別・差別」の禁止

この点、最近、情報法制研究所副理事長の高木浩光先生は、個人情報保護法(個人データ保護法)の趣旨・目的は「関連性のないデータによる個人の選別・差別」を防止することであるとの学説をとなえておられます。高木先生はカフェJILISの鼎談記事「ニッポンの教育ログを考える(後編)」(2022年1月20日)でつぎのように述べています。

OECDガイドラインの2つ目の原則である「データ内容の原則」(Data Quality Principle)は、personal dataはその利用目的に対して「relevant」でなければならないと言っている。「Personal data should be relevant to the purposes for which they are to be used」ってなっているのです。 (略)

今回の件について言いたいのは、この「Personal data should be relevant to the purposes for ……」という基本原則の意味は、データ分析をして本人を評価するに際しては、目的に関連しているデータしか使っちゃダメって言ってるんですね。「関係ないデータを使うな」って言ってるんですよ。

で、その「関係ない」っていうのはどういうことなのか。いくら言葉だけ見てても意味わからないわけですけど、立案にかかわった人の論文を見ると、具体的に説明されていて、例えば、政府が所得税額を計算するのにコンピューターを使う際に、収入額とかを基に個人データ処理するのは「目的に関連している」データを用いた評価なんだけども、そこに日頃の生活の素行みたいなデータを入れて税額を計算したら、それはおかしいだろうってことになる。そのような場合のことを「関係ないデータを使っている」と言ってるわけです。
(カフェJILIS「ニッポンの教育ログを考える(後編)」の高木浩光先生発言より。)

この高木先生の見解によると、生徒の不登校を予測するAIを機械学習させるためのデータとして、「出欠情報、教育相談、いじめの有無、心理検査、心理アンケート」などは「関連性がある」といえると思われますが、「体重、肥満、歯科検診結果、数学の点数」などは「関連性がない」ものとして、このような項目により機械学習させたAIの予測モデルは「関連性のないデータによる個人の選別・差別」に該当し、つまりOECD8原則の第二原則の「データ内容の原則」に抵触しているのではないでしょうか。

また、同じくカフェJILIS「ニッポンの教育ログを考える(後編)」では、弁護士の板倉陽一郎先生も、つぎのようにEUのAI規制法(2024年3月13日に欧州議会が最終案を可決)の観点から日本の教育データの利活用を批判されています。

最新の公的な文書としてはEUのAI規則案ですよ。EUのAI規則案で、4つの種類のAIだけは絶対禁止ってしてるんです(shall be prohibited,5条1項(a)-(d))。(略)

4つの種類だけは絶対やめようっていう中に、(公的機関が)「最初に収集されたコンテキストとは関係ない社会的コンテキストで、特定の人とかグループに有害な取り扱いをする」scoringという類型があります(5条1項(c))。コンテキストと関係がないっていうのが、今のrelevancyの現在地ですよ。そういうscoringはやめようっていうのが、そのAI規則案が4つだけ禁止している、絶対ダメなものひとつなんです。教育ログは、そこにちょっとね、一歩入りかけとるわけですよ。気をつけないといけない。

欧州が絶対ダメって言ってるんですからね。それをね、ニコニコして入れたらね。お前らバカなのかってなるじゃないですか。だから欧州に従えという話ではないですが,絶対禁止になっている4つのところぐらいは見ながらやっぱやらないとまずいですよね。だって他に禁止されてるのって、サブリミナルで自殺に追い込むAIとかそんなやつですよ?(5条1項(a))。それと同等程度にダメだっていうふうに言ってるわけです。
(カフェJILIS「ニッポンの教育ログを考える(後編)」の板倉陽一郎先生発言より。)
AI規制法禁止カテゴリ
総務省「EUのAI規制法案の概要」11頁より、禁止カテゴリのAIの4類型)

すなわち、EUのAI規制法が禁止カテゴリとしている4つのAIの一つは「最初に収集されたコンテキストとは関係ない社会的コンテキストで、特定の人とかグループに有害な取り扱いをするスコアリング」であり、デジタル庁やこども家庭庁が推進しているAIによる教育データの利活用はそれに該当すると板倉先生は指摘しています。

また、上で高木先生が述べている「関連性のない」とは、EUのAI規制法では「最初に収集されたコンテキストとは関係ない社会的コンテキストで、特定の人とかグループに有害な取り扱いをする」ことであると板倉先生は指摘されています。

この点を戸田市の実証実験で考えると、学校における健康診断、歯科検診、学力テストにおける数学の試験などは、生徒の健康状態を測る目的や教科の学習度合いを測る目的に収集されたデータであり、それらのデータを生徒の不登校の予測の目的で利用することは「最初に収集されたコンテキストとは関係ない社会的コンテキスト」=「関連性がない」と評価され、AI規制法5条1項(c)に抵触している可能性があるのではないでしょうか。(仮にもし日本にもEUのAI規制法が適用されるとするならば。)

3.まとめ

したがって、高木先生や板倉先生の考え方によれば、戸田市の生徒の不登校予測のためのAIモデルの実証実験や、デジタル庁やこども家庭庁等が推進している教育データの利活用政策は、OECD8原則の「データ内容の原則」およびEUのAI規制法5条1項(c)に抵触のおそれがあるのではないでしょか。このような施策をデジタル庁・こども家庭庁などの政府や戸田市などの自治体が推進していることは法的に大きな問題なのではないでしょうか。

4.補足:個人情報保護法の3年ごと見直し・自民党の「責任あるAI推進基本法(仮)」

なお、2023年11月より個人情報保護委員会(PPC)は、個人情報保護法のいわゆる「3年ごと見直し」のための検討を行っています。PPCの資料を読んでみると、AIやプロファイリング、子どもの個人情報保護などが議論の俎上にあがっています。また現行の不適正利用禁止規定(法19条)も条文の具体化が行われるのではないかと思われます。すると現在こども家庭庁などが推進している教育データの利活用政策などは見直しを余儀なくされる可能性もあるのではないでしょうか。(個人の予想ですが。)

b0183ad4
(個人情報保護委員会サイトより)

また、2024年2月に自民党は「責任あるAI推進基本法(仮)」を公表しています。しかし同法案は、大手のAI開発事業者を国が指定し、当該事業者に7つの体制整備義務を課し、あとはAI開発事業者の自主ルールにゆだねる内容で、EUのAI規制法の禁止カテゴリ・ハイリスクカテゴリなどのような規定は存在せず、全体としてAIの研究開発の発展を強く推進する内容となっているようであり、日本社会のAIのリスクの防止に不安が残る内容となっています。

AIの研究開発の発展も重要ですが、国民個人の権利利益の保護、個人の基本的人権や個人の人格権の保護も重要なのではないでしょうか(個情法1条、3条)。

責任ai基本法の骨子
(自民党サイトより)

■このブログ記事が面白かったらシェアやブックマークをお願いします!

■参考文献
・「不登校になりそうな児童生徒をAIが予測、戸田市の教育データ活用実証が示したこと」2024年4月4日付日経クロステック
・教育総合データベース(デジタル庁実証事業) の検討状況|戸田市
・内田洋行とPKSHAグループ、こども家庭庁の実証事業として埼玉県戸田市のこどもの不登校をAIで予測する取組みに参画|内田洋行
・ニッポンの教育ログを考える——プライバシーフリーク・カフェ#16(後編)|カフェJILIS
・EUのAI規制法案の概要|総務省

■関連するブログ記事
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・PPCの「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」(2023年11月)を読んでみた
・個情委の「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)」を読んでみた

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

test_shiken_businesswoman

1.「精神疾患や発達障害を採用でふるい落とす「不適正検査スカウター」」!?

最近、Twitter(現X)などSNS上で、「人材採用で失敗しないための不適正検査」として「不適正検査スカウター」という採用選考の適性試験の企業向けの宣伝を見かけます。SNS上では、この不適正検査スカウターに対して「精神疾患や発達障害を採用でふるい落とす差別的なもの」との批判も見かけます。このような検査は法的に許されるのでしょうか?

F3Ap7Iva8AAAbvm
(Twitter上の不適性検査スカウターの宣伝より)

2.不適性検査スカウターとは

不適性検査スカウターについて調べてみると、たとえば「就活の教科書」サイトの「【例題あり】不適性検査スカウターtracsの問題と対策 | NR,SS,答えも」がつぎのように詳しい解説を行っています。

「不適性検査スカウター(tracs)とは、一言で言うと企業が「人材採用で失敗しないための不適性検査」です。」「他のWebテストと比較して適性検査の割合が多いことが特徴で、不適性検査スカウター(tracs)では能力検査が1種類、適性検査が3種類となっています。」そして適性検査は「検査SS(資質検査)、検査SB(精神分析)、検査TT(定着検査)」の3つとなっています。

その上で、「精神状態の傾向」においては、「「うつ傾向」「非定型うつ傾向」「仮面うつ傾向」「演技傾向」「強迫傾向」など、問題行動やトラブルの引き金にもなり得る精神状態の傾向を測定する」ものであると解説されています。

この点、不適性検査スカウターのウェブサイトを見てみると、この検査はシンガポールの「SCOUTER TECHNOLOGY PTE. LTD.」という会社が開発・運営しているようです。

そして同社サイトの説明を見ると、たしかに「精神分析検査は、6カテゴリー21項目におよぶ多面評価尺度(検査項目)を備えています。 心理分析と統計学に基づき、面接だけでは見極めにくいメンタル面の潜在的な負の傾向を測定します。 会社や職場に対する強い不満、精神的な弱さ、集中力・注意力不足による事故(ヒューマンエラー)等、問題行動やトラブルの原因となる性質や心理傾向を発見します。 いわば採用前に実施する心の健康診断の役割を果たし、採用の失敗を超強力に減らします。」と解説されています。

そして、同ウェブサイト上の「精神分析の詳細」の部分の「検査結果レポート(人事用)」の図表をみると、「精神状態の傾向」の部分で「うつ傾向、非定型うつ傾向、仮面うつ傾向、境界傾向、自己愛傾向、強迫傾向」などの度合いがチェックされ、「負因性質」の部分では「注意散漫性向、非社会性向、精神的脆弱性」などの度合いがチェックされるようになっています。

不適性検査スカウターの精神面の画面
(不適性検査スカウターのウェブサイトより)

これは確かに、適性検査、性格検査というよりは、うつ病や発達障害などの精神疾患をあぶりだし、そのような傾向のある人を採用選考で不採用とするための検査であるように思われますが、このような検査は法的に許されるものなのでしょうか?

3.労働法から考える

(1)適性検査・性格検査
企業や人材会社などの採用選考などに関しては職業安定法が規律しており、職安法5条の5(個人情報の取扱い)などの部分については平成11年労働省告示第141号(職安指針)という通達が出されています。それらを基に、厚労省はウェブサイト上で「公正な採用選考の基本」との解説ページを設けています。

この「公正な採用選考の基本」は、「(1)採用選考の基本的な考え方」として、「ア 採用選考は、①応募者の基本的人権を尊重すること、②応募者の適性・能力に基づいた基準により行うこと、の2点を基本的な考え方として実施することが大切です。」と解説しています。

この②の「応募者の適性・能力に基づいた基準により」から、求人を行う企業等が採用選考で応募者の適性・能力を判断するために適性検査や性格検査などを行うこと自体は、一般論としては法的に問題がないと言えると思われます。

(2)不適性検査スカウターについて
一方、不適性検査スカウターは求職者のうつ病や発達障害、パーソナリティ障害などの精神疾患の度合いをチェックするものですが、平成11年労働省告示第141号は、職安法5の5に関連する「第4 求職者等の個人情報の取扱い」の1.(1)イは、「人種、民族、社会的身分、門地、本籍、出生地その他社会的差別の原因となるおそれのある事項に関する個人情報については、求職企業等は原則として収集を禁止しています。

職安指針第4

そのため、精神疾患などの病歴や健康情報が「その他社会的差別の原因のおそれのある事項」に該当するかが問題となります。

この点、厚労省の「公正な採用選考をめざして」9頁の「採用選考時の健康診断/健康診断書の提出」においては、採用選考時における健康診断において、「合理的かつ客観的に必要である場合を除いて実施しないようお願いします」とし、「真に必要な場合であっても、応募者に対して検査内容とその必要性についてあらかじめ十分な説明を行ったうえで実施することが求められます」としており、厚労省は、病歴等の情報が平成11年労働省告示第141号が定める原則として収集が禁止される個人情報に該当するとの見解をとっています(倉重公太朗・白石紘一『実務詳解 職業安定法』306頁)。

したがって、不適性検査スカウターは就活生・転職者等の求職者のうつ病や発達障害などの精神疾患の傾向をチェックするツールであり、うつ病や発達障害などの精神疾患の傾向の個人情報は「その他社会的差別の原因のおそれのある事項」に該当するので、不適性検査スカウターは、平成11年労働省告示第141号第41.(1)イ、職安法5条の5および就職差別を禁止する職安法3条に抵触し違法のおそれがあるのではないでしょうか。

4.個人情報保護法から考える

(1)不正の手段による取得の禁止・本人同意なしの要配慮個人情報の取得禁止
また、もし求人企業が就活生・転職者等の求職者に対して、あらかじめ精神疾患などの傾向に関する個人情報を収集する目的であることを通知・公表せず、本人の同意を取得せずに不適性検査スカウターで求職者の検査を実施することは、「偽りその他不正の手段」による個人情報の収集を禁止した個人情報保護法20条1項違反のおそれがあり、また本人同意なしの病歴などの要配慮個人情報の収集を禁止した同法同項2項違反のおそれがあると思われます。(なお職業安定法5条の5は、不正の手段による個人情報の収集も禁止しています。)

(2)不適正利用の禁止
さらに、不適性検査スカウターのように、求職者を検査し、それによりうつ病や発達障害などの精神疾患・精神障害をあぶりだし、当該求職者を採用選考で精神疾患・精神障害を理由として不採用とすることは、「違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用」することを禁止した個情法19条に抵触するおそれがあるのではないでしょうか。

この点、個人情報保護委員会の個人情報保護法ガイドライン(通則編)3-2(法19条関係)は、不適正利用禁止規定(法19条)に該当する事例として、「事例5)採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合」をあげています。

不適正利用禁止事例5

この個情法ガイドライン(通則編)3-2の事例5に照らすと、不適性検査スカウターは、採用選考を通じて個人情報を取得した求人企業が精神疾患・精神障害等の特定の属性のみにより不採用との違法な差別的取扱いを行うためのツールであるといえるので、不適性検査スカウターは個人情報保護法19条(不適正利用の禁止)に抵触していると判断されるおそれがあるのではないでしょうか。

5.まとめ

このように検討してみると、不適性検査スカウターは、平成11年労働省告示第141号第41.(1)イ、職安法5条の5、同法3条および個人情報保護法19条、20条1項、同条2項に抵触しているおそれがあります。また、不適性検査スカウターを採用し利用している求人企業も同様に上述の法令に抵触しているおそれがあるのではないでしょうか。

(なお、本ブログ記事の労働法に関する部分については、東京労働局需給調整事業部の担当者の方に確認させていただきました。どうもありがとうございました。)

このブログ記事が面白かったらシェアやブックマークをお願いします!

■参考文献
・倉重公太朗・白石紘一『実務詳解 職業安定法』306頁
・岡村久道『個人情報保護法 第4版』91頁、235頁

■関連するブログ記事


人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

デジタル認証アプリのイメージ図
(デジタル庁のパブコメの資料より)

デジタル庁のデジタル認証アプリについては、これまでも本ブログで取り上げてきたところ、そろそろデジタル認証アプリが4月リリース予定とのことで、パブコメ結果の公表などを待っていたのですが、本日(3月30日)に読売新聞が大きく解説記事「国の個人認証アプリ 迷走…デジタル庁 構想・開発」を掲載しているとのことで読んでみました。(コンビニで買ってきました!)

デジタル認証アプリとは、マイナンバーカードによる公的個人認証のためのアプリであり、デジタル庁が開発・運営し、同庁が認証業務を行う「署名検証者」になるというものです。

しかしこのデジタル認証アプリ構想は、①国民個人の官民の各種ネットサービスの利用履歴がデジタル庁に蓄積し個人のプロファイリングが行われるリスクなどのプライバシーリスクがあること、②そもそもこのような制度を公的個人認証法の施行規則の改正という行政の内部で決定してよいのかという問題、などがあり、1月にパブコメが開始され情報公開がなされるとネットなどで批判が起きていました。

本記事によると、パブコメには「29件の意見が寄せられた。プライバシー侵害のおそれのほか、民業圧迫との批判、「デジタル庁の想定するユースケースは犯罪収受移転防止法の要件を満たさないので実現できないのではないか」といった実務の観点からの指摘もあった。数は多くないとはいえ、いずれも専門家からの厳しい指摘だった。」「デジタル庁は…3月中に予定していた施行規則の改正はいったん見合わせ、4月に予定していたアプリのリリースも「数か月遅れる可能性がある」という。」とのことです。

この点は、パブコメを書いて提出された方々、ネット上などで批判されてきた方々などの勝利といえるのではないでしょうか。願わくば、この問題についてはデジタル庁など政府が密室で決定してしまうのではなく、国会で議論を行い必要な法改正などを行うことが望まれます。(また、デジタル庁は読売新聞にはパブコメ結果を開示したのですから、一般国民に対しても早期にパブコメ結果を開示してほしいと思います。)

ところで、本記事においてはマイデータ・ジャパン理事長の崎村夏彦先生と山本龍彦教授のコメントが掲載されており、大変参考になりました。

マイデータ・ジャパン理事長の崎村夏彦先生のコメント
「これでは国民がいつどんなオンラインサービスを使っているのか政府が網羅的に把握できるおそれがある。」「こうした識別子は大量の情報の名寄せが可能でプライバシーの観点から十分な配慮が必要」

慶応大学・山本龍彦教授(憲法・情報法)のコメント
「国が包括的な検証者となることは立法時に想定されていたのか。そこで生じうる名寄せのリスクは検討されていたのか。まずはそこから確認する必要がある。」「仮に今回の変更が立法時の想定を越えるものであるならば、本来は「開かれたアリーナ」である国会で議論すべきもの。」

(「国の個人認証アプリ 迷走…デジタル庁 構想・開発」読売新聞2024年3月30日付より)
デジタル認証アプリについては、個人が官民の各種サービスを利用した履歴が一元管理され、不当な個人のプロファイリングや、関連性のないデータによる個人の選別・差別、国家による個人の監視などの個人の権利利益の侵害や個人の人格権侵害のリスクがあります(マイナンバー法1条、個人情報保護法1条、3条、憲法13条)。

そのため、「法律による行政の原則」(憲法 41 条、65 条、 76 条)の観点から、デジタル認証アプリについて、公的個人認証法の施行規則の一部改正だけではなく、マイナンバー法そのものを一部改正し、根拠条文を設置し、利用目的や目的外利用の禁止、安全管理措置等を規定し、違法・不当な利用に歯止めをかけるべきと考えます。

また、デジタル認証アプリで収集された個人情報(「連続的に蓄積」された電子証明書の発行番号(シリアル番号)やサービス利用履歴等も含む。個情法ガイドライン(通則編)2-8(※)参照。)についても、利用目的の制限、第三者提供等の制限、安全管理措置、保存期間の設定、データ最小限の原則、開示・訂正請求など本人関与の仕組みの策定、情報公開・透明性の仕組みの確保、不適正利用・プロファイリングの禁止などの法規制がなされるべきと考えます。

さらに、マイナンバーカードの電子証明書の発行番号(シリアル番号)についても、マイナンバー(個人番号)に準じたものとして取扱うように法規制し(マイナンバー法2条8項)、利用目的の厳格化、目的外利用の禁止、第三者提供の制限、厳格な安全管理措置などの法規制を、マイナンバー法を改正するなどして盛り込むべきだと考えます。(同様に、マイナンバーカードやマイナポータルなどについてもマイナンバー法に根拠条文が非常に少ないため、これらについても「法律による行政の原則」の観点から、政令や施行規則・通達・ガイドライン等の整備ではなく、まずは法規制を実施すべきだと思われます。)

■追記(2024年6月17日)
6月17日付でこのデジタル認証アプリのパブコメ結果が公表されています。
・「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則の一部を改正する命令案」に係る意見募集の結果について|e-Gov

■関連するブログ記事
・デジタル庁のマイナンバーカードの「デジタル認証アプリ」で個人の官民の各種サービスの利用履歴が一元管理されるリスクを考えた
・デジタル庁のデジタル認証アプリに関するパブコメに意見を提出してみた

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

OIG2
(Microsoftのdesignerで生成)

1.はじめに

つぎの個人情報保護法改正にむけて、個人情報保護委員会が2024年3月6日付で「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)」(以下「本資料」)を公表しているので、個人的に興味深いと思った部分をまとめてみたいと思います。

本資料は大きく分けて、①生体データの取扱いに係る規律の在り方、②代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方、③不適正取得・不適正利用に係る規律の在り方、④個人関連情報の適正な取扱いに係る規律の在り方、の4つの部分に分かれています。

2.生体データの取扱いに係る規律の在り方

(1)犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について
本資料ではまず、犯罪予防や安全確保のための顔識別機能付きカメラシステム(防犯カメラ)について大きく取り上げられています。

PPC2頁
(本資料2頁)

つまり、個情委は「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」(以下「本検討会」)を開催し、2023年3月に報告書「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」(以下「本報告書」)を公表し、個人情報保護法ガイドラインQAの一部改正を行ったとして、同報告書や個情法ガイドラインQAの改正部分について簡単にまとめています。

■関連するブログ記事


本報告書の柱の一つは、"顔識別機能付きカメラシステムはそれだけでは個人が顔識別が行われていると合理的に判断できないため、事業者は店舗等につぎのような「顔識別機能付きカメラシステム作動中」などの掲示等が望ましい"ということだったと思います。

防犯カメラ作動中の掲示
(個人情報保護委員会「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)」3頁より)

しかし、JRや私鉄のホームや列車内などをみても、このような「顔識別機能付きカメラシステム作動中」との掲示は見たことがありません。やはり、個情法ガイドラインQAなどで「のぞましい」と書くレベルでは不十分であり、個情委は個人情報保護法や同施行規則などに根拠規定をおいて、掲示を事業者に義務付ける必要があるのではないでしょうか。

また、本検討会では顔識別機能付きカメラシステムの「誤登録」の問題(いわゆる「防犯カメラの万引き冤罪被害者の問題」)について、ごくわずかながら触れられていたのですが、それが本報告書にはほとんど盛り込まれていないことは問題だと思います。

そもそもこのような万引き犯DBなどのブラックリストについては、一律で個人情報保護法施行令5条が保有個人データの対象外としてしまっているわけですが(個情法16条4項参照)、そのような法令の規定のあり方は、誤登録された人々の権利利益の保護の観点から大きな問題であり、つぎの個人情報保護法改正の機会に見直しを行ってほしいと思われます。(また、個情法ガイドラインQAにも誤登録の問題に関するQAを追加する等の対応が必要と思われます。)

さらに、本検討会では、万引き犯などに関するブラックリストの個人データを小売業などが全国レベルでデータの共同利用(個情法27条5項3号)を行うことはさすがに共同利用の趣旨目的から行き過ぎであり、そのような共同利用を行うためには事前に個人情報保護委員会への相談を必要とするべきとの議論もなされていたところです。

しかし、本報告書ではそのような記載はなくなってしまっています。この点は、共同利用制度を不当に拡大解釈するものであり、次の個人情報保護法改正で、法令に法的根拠を置いた上で、全国レベルなどの共同利用について個人情報保護委員会への事前申請制度などを新設すべきだと思われます。

(2)生体データの取扱いに関する外国制度等
つぎに本資料では、生体データにかかわる、EUのGDPRやAI規制法などの規定ぶりや、データ保護当局による執行事例が紹介されています。韓国におけるFacebookによる本人同意のない顔識別テンプレートの収集などの事例が掲載されています(9頁)。

(3)生体データの取扱いに関する社会的反響の大きかった事例等
本資料が興味深いのは、「社会的反響の大きかった事例」についても掲載しているところだと思います。生体データに関しては、①2014年のJR大阪駅のカメラ事件、②2021年のJR東日本が駅構内に顔識別機能付き防犯カメラを設置し刑務所からの出所者や不審者等を監視しようとした事件、③渋谷100台AIカメラ設置プロジェクト事件、の3つが掲載されています(本資料10頁)。

ppc3年ごと見直し資料10頁
(本資料10頁)

■関連するブログ記事


3.代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方

(1)国内の他法令等における主な規律
本資料11頁以下では、「代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方」について取り上げられています。まず本資料11頁では、①独禁法2条9項5号ロや公取委「「デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方」、②金融分野の個人情報保護ガイドラインの与信業務に関する部分、とともに、③職業安定法5条の5および平成11年労働省告示141号、④労働安全衛生法104条、が取り上げられているのが興味深いです。

PPC11頁
(本資料11頁より)

とくに労安法104条が、事業者に対して、「労働者の健康の確保に必要な範囲を超えて、労働者の心身の状態に関する情報を収集・保管・使用すること」を原則禁止していることは注目されます。

最近、新型コロナの流行などによりリモートワークが広まっていますが、それと同時に企業側がPCなどにより従業者の集中度合いなどをモニタリングする事例が増えていますが、そのような事例はこの労安法104条との関係で違法とされる可能性があるのではないでしょうか。企業の人事・労務部門や法務部門の方々は今一度確認が必要なように思われます。

■関連するブログ記事


また、本資料12頁は裁判例が掲載されており、①企業が外回りの営業担当者にGPSシステムをつけさせたことが違法とされた事例(東京地判平24.5.31)、②受刑者を7か月にわたり天井に監視カメラのある独房に入れたことが違法とされた熊本刑務所の事例(福岡高判平31.2.21)、の概要が載っています。

さらに、本資料13頁は、①市営住宅の自治会の役員を決めるにあたり、知的障害者の方に自分の病状などを詳細に紙に書かせる等したことが違法とされた裁判例(大阪高判令4.9.2)、②会社の元役員を告訴しようとした従業員に対して人事担当者がその詳細を問いただしたことが違法とされた裁判例(東京地判令5.4.10)、の2つの裁判例が「代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方」に関する裁判例として掲載されていることが興味深いです。このような事例は、これまではあまり個人情報法制に関する問題とは考えられてこなかったと思われますが、個情委は個人情報保護に関する問題ととらえていることがうかがわれます。

本資料に先立つ、令和6年2月21日付の個情委の「個人情報保護法いわゆる3年ごと見直し規定に基づく検討項目」3頁では、個情委の委員の意見の一つに「本人同意があれば何でもよいということではなく、当事者の従属関係等も考慮して、実体的な権利利益保護の在り方を検討すべき」との意見が掲載されていますが、本資料の「代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方」の部分は、このような個情委の問題意識を反映したものと考えられます。

PPCこれまでの主な意見
(個情委2024年2月21日付「個人情報保護法いわゆる3年ごと見直し規定に基づく検討項目」3頁より)

現状の日本の個人情報保護法においては、本人の同意さえあれば個人情報の目的外利用や第三者提供、要配慮個人情報の収集や第三者提供等が合法となっており、さらに「同意」についても口頭でもよく、さらに医療分野においては「黙示の同意」も許されるなどと非常にゆるい規律がなされているわけですが、次の個人情報保護法改正では、個人の権利利益保護のため、これらの部分の規律が強まるのかもしれません。

(2)代替困難と評価し得る者による個人情報の取扱いに関する海外における主な執行事例等
この部分においては、GoogleやFacebookなどの、本人同意のない個人データのターゲティング広告などへの利用などに対する各国のデータ保護当局による執行事例などが掲載されています(本資料14頁、15頁)。

(3)代替困難と評価し得る者による個人情報の取扱いに関連する個人情報保護法に基づくこれまでの行政上の対応
この部分については1ページを丸々使って2019年の就活生の内定辞退予測データに関するリクナビ事件を取り上げています。まさにAIとプロファイリング、そして個人関連情報や個人情報の不適正利用に関する重要な事件といえます(本資料16頁)。

PPC資料リクナビ事件
(本資料16頁)

■関連するブログ記事


4.不適正取得・不適正利用に係る規律の在り方

(1)不適正取得・不適正利用に係る個人情報保護法に基づくこれまでの行政上の対応
この部分においては、①破産者マップ事件、②名簿屋への個人情報の第三者提供に関する有限会社ビジネスプランニング事件、などが掲載されています(19頁)。

(2)個人情報の取扱いの適正性に関連する国内の主な他法令の規律(概要)
この部分については、①公益通報者保護法11条2項、②障害者差別解消法8条1項、③特定商取引法7条1項5号、などが掲載されています(20頁)。ただ、③についてはいわゆる適合性原則に関するものなので、金融商品取引法40条なども掲載したほうがよかったのではと思いました。

(3)個人情報の取扱いの適正性に関連する主な裁判例
この部分においては、①トランスジェンダーの方が経営する会社が会員制ゴルフクラブに入会しようとしたところ入会を拒否されたことは違法であるとされた裁判例(東京地判平27.7.1)、②東京医大など医学部不正入試事件(東京高判5.5.30)、などが掲載されています(21頁、22頁)。

これらの事件は、従来はあまり個人情報保護法制上の論点とはされていなかったと思われますが、「データによる個人の選別・差別」の問題ということはできます。近年、「関連性のないデータによる個人の選別・差別」が個人情報保護法(個人データ保護法)の趣旨・目的であるとする情報法制研究所の高木浩光氏などの学説が影響しているのかもしれません。

なお、本資料24頁には、アメリカ・イギリスにおける選挙・民主政との関係で大きな問題となった、ケンブリッジ・アナリティカ事件も掲載されています。

いずれにせよ、現状の不適正利用禁止の条文は抽象的で個情委としても執行しにくいと思われますが、つぎの個人情報保護法改正では、不適正利用禁止の条文をより具体化し、AIやプロファイリングの問題などに対して発動しやすくしていただきたいと思います。

5.個人関連情報の適正な取扱いに係る規律の在り方

「個人関連情報の取扱いに起因する個人の権利利益の侵害に関連する主な裁判例」(本資料27頁)の部分では、さいたま市の公立学校の体罰事故報告書の開示請求に関する裁判例(東京高判令4.9.15)などが掲載されています。報告書のなかの自己の状況などが非開示情報となるか否かが争点となっています。

PPC資料27頁
(本資料27頁)

個人関連情報の話とはややずれますが、この東京高判令4.9.15については、「「特定の個人を識別することはできないが、公にすることにより、なお個人の権利利益を害するおそれがあるもの」とは、本人の財産権等の正当な権利利益が害されるおそれのあるものや、個人の人格と密接に関連しており、当該個人がその流通をコントロールすることが可能であるべきであり、本人の同意なしに第三者に流通されることが適切でないものなどの社会通念上秘匿性の高い法的保護に値する情報をいう」と判示しているところ、下線部分が日本の憲法上のプライバシーの趣旨・目的の通説的立場である自己情報コントロール権的である点が興味深いと思いました。

■このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ