なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人情報

キロクのロゴ
1.性的同意サービス「キロク」がサービス開始
性的同意サービス「キロク」が本日(12月14日)にサービス開始となったとのことで、Twitter(現X)でもトレンドにあがって話題となっています。ところでこのサービスはいろいろと大丈夫なのでしょうか?利用規約やプライバシーポリシーをざっと読んでみました。

PRTIMESの記事によると、性的同意サービス「キロク」(以下「キロク」)とは次のようなサービスとのことです。
カップルの健全な関係を育むための弁護士監修、性的同意アプリ「キロク」(略)。『不同意性交等罪』で起こりうる「本当は同意していなかった」という相違を防ぎつつ、その場の雰囲気を壊さず性行為の同意をお持ちの端末上で行える〈性的同意アプリ「キロク」〉(略)です。
2.プライバシーポリシーを読んでみた
(1)利用者本人の(性的な)趣味・嗜好をプロファイリング!?
そこで「キロク」のプライバシーポリシーをざっと読んでみました。すると、まず2条「個人情報の利用目的」の部分が気になります。

利用目的

2条「個人情報の利用目的」6号をみると、「利用者の閲覧履歴等の情報を分析して利用者趣味嗜好に応じたマーケティングを実施するため」とあります。これは広告が目的だと思われますが、しかしひょっとしてサイト閲覧履歴や「キロク」の利用履歴、「キロク」による性的同意、相手方利用者の個人情報等などをプロファイリングして、利用者本人の性的なものを含む趣味・嗜好を分析し各種のマーケティングやターゲティング広告などを行うということなのでしょうか?

日本の個人情報保護法では性生活等にかかわる個人情報は要配慮個人情報には該当しませんが、しかし性的な事柄に関する情報は非常にセンシティブな個人情報のはずです(なおEUのGDPR(一般データ保護規則)では「性生活若しくは性的指向に関するデータ」はセンシティブ情報に含まれる)。それを「分析」し、性的な趣味・嗜好をプロファイリングしてしまうとしたら、それは令和2年の個人情報保護法改正で新設された不適正利用の禁止規定(法19条)に抵触してしまうおそれはないのでしょうか?

(2)安全管理措置は大丈夫なのか?
性的同意などの非常にセンシティブな個人情報を取扱うこの「キロク」ですが、これらのデータの安全管理は運営会社(株式会社ねお巳)によって十分になされるのでしょうか(個情法23条~25条)。

この点、本プライバシーポリシーの4条「個人情報の安全管理措置」をみると、「当社は、取り扱う個人情報の漏えい、滅失または毀損の防止その他、個人情報の安全管理のために必要かつ適切な措置を講じます。」としか書かれていません。

安全管理措置
これだけでは組織的・物理的などの面でどのようなレベルでの安全管理が行われるのか、セキュリティ上どのような安全管理が行われるのか、「キロク」のサービスはどこの国のサーバーで運用されるのか等などがまったくわかりません。これでは利用者の人々は安心して「キロク」を利用することができるのでしょうか?

(なお、1条(本サービスが取得する個人情報)についても、例えば第三者が保有するCookie情報や閲覧情報、位置情報、クレジットカード情報等など、非常に広範囲な種類の個人データを「キロク」は収集するとありますが、それが「性的同意」という「キロク」の目的との関係で本当に必要最小限のものなのかも疑問が残ります。場合によっては個情法18条との関係で問題となるのではないでしょうか。)

3.利用規約を読んでみた
(1)「不同意性交等罪等が不成立になるものではありません」?
つぎに、「キロク」の利用規約についても気になる部分がいくつもあります。まず、利用規約6条(本サービスについて)1項は、「本サービスは…あくまでも当事者間の性同意の確認を補助するためのもの(であり、)本サービスの利用のみで完全な性同意があったことが証明され…不同意性交等罪等が不成立になるものでは(ない)」と規定しており、非常に頼もしい内容となっています。

本サービスについて

そもそもこの「キロク」は不同意性交等罪対策なものなのに、「不同意性交等罪等が成立しないものではない」というのはビジネスモデルとして大丈夫なのでしょうか?

(2)非保証規定・免責規定
また、このようなサービス・アプリのよくあるパターンではありますが、利用規約の非保証規定や免責規定もほぼ「ゼロ回答」なものとなっています。

非保証規定の9条1項はつぎのようになっています。
第9条(本サービスの非保証)
 1.当社は、本サービスが利用者の特定の利用目的に合致することや特定の結果の実現を保証しません。
本サービスの非保証

免責規定の12条もつぎのように、おおむね「利用者に損害が発生しても当社に故意・重過失がない限り責任を負いません」という趣旨の内容となっています。

免責

(ところで故意・過失と故意・重過失のあたりが文言がそろっていないのは、本利用規約は本当に弁護士に監修していただいたのでしょうか…?本利用規約はインデントもそろっていない部分が所々ありますが。)

4.その他・雑感
その他、プライバシーポリシーに「クレカ情報、銀行口座情報等」を取得とありますが、サービス利用料等が明示されていないのは不親切と感じました。無料サービスなのか、有料サービスなのかよくわかりません。

また、性的同意という非常にセンシティブな事柄を取扱うのに、運転免許証などの本人確認書類を利用した本人確認などの手続きがないようです。これでは「なりすまし」の問題や、性的同意をめぐって後日トラブルとなった際の証拠として、この「キロク」が役に立つのか(刑事・民事の訴訟などの場面で十分な証拠効力を持ちうるのか)は大いに疑問であるように思われます。(もちろん、性的同意が48時間以内であれば撤回可能であることもトラブル発生のリスクがあると思われます。)

さらに、「キロク」の運営会社「株式会社ねお巳」はGoogleなどで検索しても自社のウェブサイトすらないようです。プライバシーポリシーの部分などにある問い合わせフォームもGoogleフォームを利用しており、「キロク」の保有する個人情報がGoogleにも利用されてしまう可能性がないのか気になります。

加えて、この「キロク」は「弁護士監修」が売りのはずですが、監修した弁護士名や所属事務所なども非公開のままでは、この「キロク」の信頼性には疑問が残ります。

このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

money_hokensyouken
1.東京海上の代理店システムの個人情報漏洩事故が発覚
日経新聞の10月28日の報道によると、東京海上日動火災保険の保険代理店で顧客情報の漏洩が起きていたことがわかったとのことです。代理店同士をつなぐシステムで東京海上社員による設定ミスがあり、一部の代理店が本来アクセスする権限のない他の生損保の契約情報を閲覧できる状態になっていた、不正アクセスは過去5年で2000〜3000件とみられ、調査を進めているとのことです。一時最大で約10万件以上の顧客情報をアクセス権を持たない代理店が閲覧できる状態になっていた可能性があるということです。

東京海上の10月30日付のプレスリリースによると、同社は、勤務型代理店制度という、二つの代理店が共同してお客様対応を行う仕組みを設けており、一つの代理店を「統括代理店」、もう一方の代理店を「勤務型代理店」と称し、統括代理店が勤務型代理店を教育・指導・管理することとしているところ、今般の事案は、同社のミスによって参照範囲が適切に制限されていなかったため、勤務型代理店が統括代理店のお客様情報に不適切にアクセスできる状態となっていたことが判明したものとのことです。

そして漏洩した可能性のある情報については、「お名前、ご住所、お電話・FAX番号・メールアドレス、ご生年月日、性別、ご契約内容、証券番号、保険種類、保険金を受け取られる方のお名前、保険始期・満期、保険料、ご契約変更の有無、保険事故の有無など」となっています。

・保険代理店向けシステムの参照範囲設定誤りによる情報漏えいに関するお詫び|東京海上日動

2.保険業法・個人情報保護法
保険会社は保険業法により、その業務に関して取得した顧客に関する情報の適正な取扱いを確保するための体制整備が義務付けられています(保険業法100条の2、294条の3)。そして安全管理措置などについて必要かつ適切な措置を講じるための体制整備が義務付けられています(保険業法施行規則53条の8・227条の9)。

その上で、それらに違反した場合、保険会社は保険業法上の不祥事件(保険業法307条1項3号、保険業法施行規則85条5項3号)として内閣総理大臣(の委託を受けた金融庁長官)への不祥事件届出を行わなければならないとともに、金融庁の業務改善命令等の行政処分を受ける可能性があります(保険業法132条)。(経済法令研究会『保険コンプライアンスの実務』66頁。)

3.まとめ
今回の東京海上の代理店システムの設定ミスは安全管理措置の義務違反であると思われ、同社はすでに金融庁に不祥事件届出を行ったようであり、それを受けて金融庁から業務改善命令などの行政処分が出される可能性があります。

■参考文献
・経済法令研究会『保険コンプライアンスの実務』66頁
・錦野裕宗・稲田行祐『三訂版 保険業法の読み方』269頁

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

b97693cb

10月1日からLINEとヤフーが統合して一つの会社としてのLINEヤフーになるため、新会社のプライバシーポリシー等がネット上で公表されています。

・ヤフー株式会社とLINE株式会社のプライバシーポリシー統合のご案内|ヤフー
・LINEヤフープライバシーポリシー(案)

そこでこの新しいプライバシーポリシー(案)などをざっと読んでみたのですが、一番気になるのは、LINEヤフーの保有する個人データの保管場所でした。

つまり、2022年3月の朝日新聞による、LINEが日本のユーザーの個人情報を中国や韓国などで保管するなど不適切に取扱っているとのスクープ報道によりLINE社は炎上しました。国・自治体は一旦LINEを利用したサービスを停止するなどの事態に発展し、個人情報保護委員会と総務省はLINE社に対して行政指導を実施しました。このような事態を受けてLINE社は謝罪の記者会見を行い、「韓国にある日本ユーザーの個人情報はすみやかに日本のデータセンターに移転し保管する」趣旨の発表を行ったはずです。(また、この事件を受けて国は経済安全保障に関する政策を実施するようになりました。)

(関連する記事)
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた

ところが、今回公表されたLINEヤフープライバシーポリシー(案)の「6.b.パーソナルデータの保管場所」によると、なぜか「当社は日本のお客様のパーソナルデータを日本、アメリカおよび韓国のデータセンターで保管しています。」と説明されています。これは2022年の同社の謝罪の記者会見の公約と矛盾するのではないでしょうか?

ヤフープラポリ2
(LINEヤフープライバシーポリシー(案)より)

X(Twitter)上などネット上をみているとLINEやヤフーの関係者と思われる方々が統合のお祭りムードに包まれていますが、日本ユーザーの個人情報保護もしっかりと実施していただきたいと思います。これは経済安全保障にかかわる問題でもあります。(アメリカ、韓国に保管されている個人データはLINEではなくヤフーに係る個人データであるかもしれませんが、いずれにしてもLINEヤフーは日本ユーザーに説明を行うべきだと思われます。)

このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR




このエントリーをはてなブックマークに追加 mixiチェック

渋谷02

1.「渋谷100台AIカメラ設置プロジェクト」
最近、X(Twitter)上で「渋谷100台AIカメラ設置プロジェクト」というものが話題となっています。これは、報道によると、Intelligence Design株式会社が、一般社団法人渋谷未来デザイン、一般社団法人渋谷再開発協会と共に、渋谷駅周辺に100台のAIカメラを設置して、リアルタイムで人流データなどの取得・解析を行い、それらのデータをオープンデータ化するものであると説明されています。本プロジェクト開始は、2023年7月開始を予定しているとのことです(exciteニュース「渋谷駅周辺にAIカメラ100台設置!人流データを解析し、イベント混雑時の警備問題の解決へ」より)。

つまり本プロジェクトは、防犯対策や事業者のマーケティングのために幹線道路の交通量や各種商業施設への入店客数などのリアルタイムの利用者の属性情報や滞在時間などの人流データを複合的に分析・可視化したデータを利用するものであり、このデータを各協賛事業者が利用できる形で渋谷の事業者や商店街などに還元するものであるそうです。

2.これは個人情報・個人データなのでは?
個人情報保護委員会(PPC)の個人情報保護法ガイドラインQ&A1-12は、人流データについて「特定の個人を識別することができる情報と容易に照合することができる場合を除き、個人情報には該当しません。 」と規定しています。そのため人流データは原則として個人情報ではありません。

しかし「渋谷100台AIカメラ設置プロジェクト」サイトをみるとつぎのような図が掲げられています。
渋谷01
(「渋谷100台AIカメラ設置プロジェクト」サイトより)

つまり、「オフライン顧客の見える化」として「カメラ100台(による)通年の行動データがリアルタイムで蓄積」とあり、ある男性の画像の下に「40代男性、同席者有り(30代女性)、ブランドAを着用/所持、休日12時より渋谷に銀座線で到着、ヒカリエでランチ、明治通りを通り宮下パークへ低速で移動(ショッピング目的を想定)、月3回目・・・」等と記述があります。

このようにAIカメラにより、属性情報が連続的に蓄積されれば、たとえその本人の氏名などは分からないとしても、「あの人、この人」と特定の個人を識別できるので、これは個人情報であるといえます(個情法2条1項1号)。またこの属性情報には顔画像も添付されているので、これも特定の個人を識別できるといえます。(なおID社サイトをみるとAIカメラで取得した顔画像はすぐに廃棄するとありますが、そうであるとしてもAIカメラで顔画像から取得された顔識別データは個人情報・個人データです。)

ところが「渋谷100台AIカメラ設置プロジェクト」サイトのあるIntelligence Design社(ID社)のプライバシーポリシーの「利用目的」の部分をみると、「渋谷100台AIカメラ設置プロジェクト」で収集されたデータについては何の記載もありません。 渋谷プラポリ
(ID社のプライバシーポリシーより)

つまり、ID社はこれを個人情報と認識していないのではないかと思われます。しかしこれは上でみたように個人情報であり、体系的に構成されたDBに収録された場合には個人データです。個人データであるとした場合、ID社には安全管理措置の責務(法23条)やデータを第三者提供する際の本人同意の取得の義務(法27条1項)などが課されます。この点、ID社の認識には誤りがあるのではないかと思われます。

また、このAIカメラは顔識別機能付きカメラシステムであり、マーケティング目的および防犯目的であることからPPCの個人情報保護法ガイドラインQ&A1-14や経産省・総務省の商用カメラ向けの「カメラ画像利活用ガイドブックver3.0」に準拠して、「利用目的、運用主体、同システムで取り扱われる個人情報の利用目的、問い合わせ先、さらに詳細な情報を掲載したWebサイトのURL又はQRコード等を店舗の入口や、カメラの設置場所等に掲示すること」等が要請されますが(個情法21条1項)、少なくとも「渋谷100台AIカメラ設置プロジェクト」サイトを見る限りは、ID社はこれらの責務を果たしていないようです。

3.カメラやAIに関する立法措置などが必要なのではないか
この渋谷100台AIカメラ設置プロジェクトについてX(Twitter)上では「まるで中国のようだ」「もう渋谷には行きたくない」などの声が多く寄せられています。

この点EUはAI規制法案で、警察などの行政機関による公共空間でのAIを用いた防犯カメラの利用を原則禁止の「禁止のAI」の分類にカテゴライズしています。また欧州評議会は2021年に「顔認証に関するガイドライン」を策定・公表しましたが、同ガイドラインは「顔認証は、管理された環境下でのみ行われるべきであり、マーケティング目的や私的なセキュリティ目的のために、ショッピングモールのような管理されていない環境では、顔認証技術を使用すべきではない」としています(個人情報保護委員会「顔識別機能付き防犯カメラの利用に関する国内外動向」より)。

日本では上でみたように防犯カメラ・商用カメラはPPCおよび経産省・総務省のガイドラインを遵守すれば合法な状況ですが、この「渋谷100台AIカメラ設置プロジェクト」などにみられるような現在の状況に合っていないのではないでしょうか。日本でもEUのようなAIやカメラに関する立法やガイドライン・指針の策定が求められるように思われます。

このブログ記事が面白かったらシェアやブックマークをお願いします!

■追記(9月6日)
Intelligence Design社(ID社)が9月5日付で「HP記載内容の修正について」とのリリースを公表しています。同リリースは「当社が収集するデータは、総務省の定める「カメラ画像利活用ガイドブック」に従った人流に関する属性情報およびこれに基づく統計情報となります。よって、個人情報保護法の定義する個人情報には該当しないものと認識しております。」等と記載されており、同社は自社が収集しているデータは個人情報ではないとの考えのようです。

・HP記載内容の修正について|Intelligence Design

ところでID社は同社のシステムは経産省・総務省の「カメラ画像利活用ガイドブックver3.0」に準拠していると主張しているわけですが、にもかかわらず同社サイトを見る限り、「カメラ画像利活用ガイドブックver3.0」が求めている、”商用カメラの利用にあたっては事業者はつぎのような事項を掲示やウェブサイトなどで通知・公表せよ”としている事項の通知・公表を行っていないことは、同ガイドブック違反であると思われます。

F5VN2XYagAAVjr8 - コピー
(経産省・総務省「カメラ画像利活用ガイドブックver3.0」35頁より)

なお、上の9月5日付のリリースではID社は同社のAIカメラによる取組みはあくまでも商用が目的であると主張しています。しかし、9月6日のFNNプライムオンラインの「【物議】渋谷に“AIカメラ”100台設置し行動を検知 防犯に期待の一方“懸念”も…若狭弁護士「個人情報保護法違反になりかねない」」では、同社の取引先である渋谷センター商店街振興組合の幹部の方は、「(繁華街は)騒動が起きやすい場所なので、そういう点では防犯上の抑止力になるのではないかと。」と防犯が目的でもあると発言しています。

この点は矛盾であり、ID社のこの渋谷のAIカメラを利用した取組みは法的に大丈夫なのか疑問が残ります。

■関連するブログ記事
・防犯カメラ・顔識別機能付きカメラシステムに関する個人情報保護法ガイドラインQAの一部改正について
・個人情報保護委員会の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関するパブコメ結果を読んでみた
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた(追記あり)

■関連するニュース記事
・渋谷に「AIカメラ」100台設置→通行人の行動履歴監視? IT企業施策に「完全にストーカーやん」と物議 サイト表記訂正

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family
情報法制研究所の高木浩光先生がTwitter(X)で「東京都教育ダッシュボードにおける教育データ取扱い方針について」を取り上げておられたので私も読んでみました。

ひろみちゅ
(高木浩光先生のTwitterより)

東京都教育ダッシュボードにおける教育データ取扱い方針について|東京都

教育ダッシュボードについて
(東京都「東京都教育ダッシュボードにおける教育データ取扱い方針について」より)

東京都教育ダッシュボードにおける教育データ取扱い方針
(東京都「東京都教育ダッシュボードにおける教育データ取扱い方針について」より)

この取扱い方針によると、教育データの利用目的は①生徒の学習指導・進路指導・生活指導、②指導方法の検討・学校経営の検討等となっています。しかしこれは漠然としており、また幅広すぎて、個情法61条(17条)の「利用目的をできるだけ特定」に抵触のおそれがあるのではないでしょうか。

また、この東京都の取組は、学校の学習データに係る個人データをありったけ集めて利用しようとしている点で個情法61条(17条)の「必要最小限」の趣旨に反しているように思われます。

さらにこの東京都の取組は、生徒の検診データや体力データ等で生徒の学習指導・進路指導・生活指導をするようですが、これは最近、高木先生が主張されておられる「関係のないデータで判断しない」とのOECDガイドライン第2原則違反ではないでしょうか。

加えて生徒・保護者の本人同意につき、オプトインでなくオプトアウト方式なのは大丈夫なのかと気になります。それとデータの保存期間が「卒業後5年間」となっているのは、やや長すぎるのではないかと思われます。

そもそも教育データで生活指導や児童福祉みたいなことを判断するのは個人データの「関連性」がなくアウトなのでは…と心配になります。

このように、東京都の「東京都教育ダッシュボードにおける教育データ取扱い方針について」はツッコミどころ満載です。東京都は再検討が必要なのではないでしょうか。

このブログ記事が面白かったらシェアやブックマークをお願いします!

■参考文献
ニッポンの教育ログを考える——プライバシーフリーク・カフェ#16(後編)|Cafe JILIS

■関連するブログ記事
デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
埼玉県の公立中学校の「集中しない生徒をリアルタイムで把握」するシステムを個人情報保護法や憲法から考えた

人気ブログランキング

PR




このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ