なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人関連情報

OIG2
(Microsoftのdesignerで生成)

1.はじめに

つぎの個人情報保護法改正にむけて、個人情報保護委員会が2024年3月6日付で「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)」(以下「本資料」)を公表しているので、個人的に興味深いと思った部分をまとめてみたいと思います。

本資料は大きく分けて、①生体データの取扱いに係る規律の在り方、②代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方、③不適正取得・不適正利用に係る規律の在り方、④個人関連情報の適正な取扱いに係る規律の在り方、の4つの部分に分かれています。

2.生体データの取扱いに係る規律の在り方

(1)犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について
本資料ではまず、犯罪予防や安全確保のための顔識別機能付きカメラシステム(防犯カメラ)について大きく取り上げられています。

PPC2頁
(本資料2頁)

つまり、個情委は「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」(以下「本検討会」)を開催し、2023年3月に報告書「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」(以下「本報告書」)を公表し、個人情報保護法ガイドラインQAの一部改正を行ったとして、同報告書や個情法ガイドラインQAの改正部分について簡単にまとめています。

■関連するブログ記事


本報告書の柱の一つは、"顔識別機能付きカメラシステムはそれだけでは個人が顔識別が行われていると合理的に判断できないため、事業者は店舗等につぎのような「顔識別機能付きカメラシステム作動中」などの掲示等が望ましい"ということだったと思います。

防犯カメラ作動中の掲示
(個人情報保護委員会「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)」3頁より)

しかし、JRや私鉄のホームや列車内などをみても、このような「顔識別機能付きカメラシステム作動中」との掲示は見たことがありません。やはり、個情法ガイドラインQAなどで「のぞましい」と書くレベルでは不十分であり、個情委は個人情報保護法や同施行規則などに根拠規定をおいて、掲示を事業者に義務付ける必要があるのではないでしょうか。

また、本検討会では顔識別機能付きカメラシステムの「誤登録」の問題(いわゆる「防犯カメラの万引き冤罪被害者の問題」)について、ごくわずかながら触れられていたのですが、それが本報告書にはほとんど盛り込まれていないことは問題だと思います。

そもそもこのような万引き犯DBなどのブラックリストについては、一律で個人情報保護法施行令5条が保有個人データの対象外としてしまっているわけですが(個情法16条4項参照)、そのような法令の規定のあり方は、誤登録された人々の権利利益の保護の観点から大きな問題であり、つぎの個人情報保護法改正の機会に見直しを行ってほしいと思われます。(また、個情法ガイドラインQAにも誤登録の問題に関するQAを追加する等の対応が必要と思われます。)

さらに、本検討会では、万引き犯などに関するブラックリストの個人データを小売業などが全国レベルでデータの共同利用(個情法27条5項3号)を行うことはさすがに共同利用の趣旨目的から行き過ぎであり、そのような共同利用を行うためには事前に個人情報保護委員会への相談を必要とするべきとの議論もなされていたところです。

しかし、本報告書ではそのような記載はなくなってしまっています。この点は、共同利用制度を不当に拡大解釈するものであり、次の個人情報保護法改正で、法令に法的根拠を置いた上で、全国レベルなどの共同利用について個人情報保護委員会への事前申請制度などを新設すべきだと思われます。

(2)生体データの取扱いに関する外国制度等
つぎに本資料では、生体データにかかわる、EUのGDPRやAI規制法などの規定ぶりや、データ保護当局による執行事例が紹介されています。韓国におけるFacebookによる本人同意のない顔識別テンプレートの収集などの事例が掲載されています(9頁)。

(3)生体データの取扱いに関する社会的反響の大きかった事例等
本資料が興味深いのは、「社会的反響の大きかった事例」についても掲載しているところだと思います。生体データに関しては、①2014年のJR大阪駅のカメラ事件、②2021年のJR東日本が駅構内に顔識別機能付き防犯カメラを設置し刑務所からの出所者や不審者等を監視しようとした事件、③渋谷100台AIカメラ設置プロジェクト事件、の3つが掲載されています(本資料10頁)。

ppc3年ごと見直し資料10頁
(本資料10頁)

■関連するブログ記事


3.代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方

(1)国内の他法令等における主な規律
本資料11頁以下では、「代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方」について取り上げられています。まず本資料11頁では、①独禁法2条9項5号ロや公取委「「デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方」、②金融分野の個人情報保護ガイドラインの与信業務に関する部分、とともに、③職業安定法5条の5および平成11年労働省告示141号、④労働安全衛生法104条、が取り上げられているのが興味深いです。

PPC11頁
(本資料11頁より)

とくに労安法104条が、事業者に対して、「労働者の健康の確保に必要な範囲を超えて、労働者の心身の状態に関する情報を収集・保管・使用すること」を原則禁止していることは注目されます。

最近、新型コロナの流行などによりリモートワークが広まっていますが、それと同時に企業側がPCなどにより従業者の集中度合いなどをモニタリングする事例が増えていますが、そのような事例はこの労安法104条との関係で違法とされる可能性があるのではないでしょうか。企業の人事・労務部門や法務部門の方々は今一度確認が必要なように思われます。

■関連するブログ記事


また、本資料12頁は裁判例が掲載されており、①企業が外回りの営業担当者にGPSシステムをつけさせたことが違法とされた事例(東京地判平24.5.31)、②受刑者を7か月にわたり天井に監視カメラのある独房に入れたことが違法とされた熊本刑務所の事例(福岡高判平31.2.21)、の概要が載っています。

さらに、本資料13頁は、①市営住宅の自治会の役員を決めるにあたり、知的障害者の方に自分の病状などを詳細に紙に書かせる等したことが違法とされた裁判例(大阪高判令4.9.2)、②会社の元役員を告訴しようとした従業員に対して人事担当者がその詳細を問いただしたことが違法とされた裁判例(東京地判令5.4.10)、の2つの裁判例が「代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方」に関する裁判例として掲載されていることが興味深いです。このような事例は、これまではあまり個人情報法制に関する問題とは考えられてこなかったと思われますが、個情委は個人情報保護に関する問題ととらえていることがうかがわれます。

本資料に先立つ、令和6年2月21日付の個情委の「個人情報保護法いわゆる3年ごと見直し規定に基づく検討項目」3頁では、個情委の委員の意見の一つに「本人同意があれば何でもよいということではなく、当事者の従属関係等も考慮して、実体的な権利利益保護の在り方を検討すべき」との意見が掲載されていますが、本資料の「代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方」の部分は、このような個情委の問題意識を反映したものと考えられます。

PPCこれまでの主な意見
(個情委2024年2月21日付「個人情報保護法いわゆる3年ごと見直し規定に基づく検討項目」3頁より)

現状の日本の個人情報保護法においては、本人の同意さえあれば個人情報の目的外利用や第三者提供、要配慮個人情報の収集や第三者提供等が合法となっており、さらに「同意」についても口頭でもよく、さらに医療分野においては「黙示の同意」も許されるなどと非常にゆるい規律がなされているわけですが、次の個人情報保護法改正では、個人の権利利益保護のため、これらの部分の規律が強まるのかもしれません。

(2)代替困難と評価し得る者による個人情報の取扱いに関する海外における主な執行事例等
この部分においては、GoogleやFacebookなどの、本人同意のない個人データのターゲティング広告などへの利用などに対する各国のデータ保護当局による執行事例などが掲載されています(本資料14頁、15頁)。

(3)代替困難と評価し得る者による個人情報の取扱いに関連する個人情報保護法に基づくこれまでの行政上の対応
この部分については1ページを丸々使って2019年の就活生の内定辞退予測データに関するリクナビ事件を取り上げています。まさにAIとプロファイリング、そして個人関連情報や個人情報の不適正利用に関する重要な事件といえます(本資料16頁)。

PPC資料リクナビ事件
(本資料16頁)

■関連するブログ記事


4.不適正取得・不適正利用に係る規律の在り方

(1)不適正取得・不適正利用に係る個人情報保護法に基づくこれまでの行政上の対応
この部分においては、①破産者マップ事件、②名簿屋への個人情報の第三者提供に関する有限会社ビジネスプランニング事件、などが掲載されています(19頁)。

(2)個人情報の取扱いの適正性に関連する国内の主な他法令の規律(概要)
この部分については、①公益通報者保護法11条2項、②障害者差別解消法8条1項、③特定商取引法7条1項5号、などが掲載されています(20頁)。ただ、③についてはいわゆる適合性原則に関するものなので、金融商品取引法40条なども掲載したほうがよかったのではと思いました。

(3)個人情報の取扱いの適正性に関連する主な裁判例
この部分においては、①トランスジェンダーの方が経営する会社が会員制ゴルフクラブに入会しようとしたところ入会を拒否されたことは違法であるとされた裁判例(東京地判平27.7.1)、②東京医大など医学部不正入試事件(東京高判5.5.30)、などが掲載されています(21頁、22頁)。

これらの事件は、従来はあまり個人情報保護法制上の論点とはされていなかったと思われますが、「データによる個人の選別・差別」の問題ということはできます。近年、「関連性のないデータによる個人の選別・差別」が個人情報保護法(個人データ保護法)の趣旨・目的であるとする情報法制研究所の高木浩光氏などの学説が影響しているのかもしれません。

なお、本資料24頁には、アメリカ・イギリスにおける選挙・民主政との関係で大きな問題となった、ケンブリッジ・アナリティカ事件も掲載されています。

いずれにせよ、現状の不適正利用禁止の条文は抽象的で個情委としても執行しにくいと思われますが、つぎの個人情報保護法改正では、不適正利用禁止の条文をより具体化し、AIやプロファイリングの問題などに対して発動しやすくしていただきたいと思います。

5.個人関連情報の適正な取扱いに係る規律の在り方

「個人関連情報の取扱いに起因する個人の権利利益の侵害に関連する主な裁判例」(本資料27頁)の部分では、さいたま市の公立学校の体罰事故報告書の開示請求に関する裁判例(東京高判令4.9.15)などが掲載されています。報告書のなかの自己の状況などが非開示情報となるか否かが争点となっています。

PPC資料27頁
(本資料27頁)

個人関連情報の話とはややずれますが、この東京高判令4.9.15については、「「特定の個人を識別することはできないが、公にすることにより、なお個人の権利利益を害するおそれがあるもの」とは、本人の財産権等の正当な権利利益が害されるおそれのあるものや、個人の人格と密接に関連しており、当該個人がその流通をコントロールすることが可能であるべきであり、本人の同意なしに第三者に流通されることが適切でないものなどの社会通念上秘匿性の高い法的保護に値する情報をいう」と判示しているところ、下線部分が日本の憲法上のプライバシーの趣旨・目的の通説的立場である自己情報コントロール権的である点が興味深いと思いました。

■このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR
タグ :
#AI
#プロファイリング
#security
#privacy
#個人情報
#個人情報保護法いわゆる3年ごと見直し規定に基づく検討
#PPC
#防犯カメラ
#不適正利用の禁止
#個人関連情報
このエントリーをはてなブックマークに追加 mixiチェック

display_monitor_computer
1.電気通信事業法の改正
2022年2月に総務省の「電気通信事業ガバナンス検討会報告書」(以下「本報告書」という)が公表されたことを受けて、第208回国会の衆議院に「電気通信事業法の一部を改正する法律案」が上程されました(以下「改正法案」という)。改正法案は5月13日に衆議院で可決され、現在、参議院で審議が行われています。本改正法案は、①電気通信事業者などに対して利用者情報の外部への送信に関する規律を新設したこと、②新たにSNSや検索サービスの事業者を届出の対象としたこと、③大規模な電気通信事業者等に対して利用者情報の適切な取扱に関する規律を新設したことなどが注目されています。このブログ記事では、とくに利用者情報に関する部分について見てみたいと思います。

・「電気通信事業ガバナンス検討会報告書」及び意見募集の結果の公表|総務省
・電気通信事業ガバナンス検討会報告書(PDF)|総務省
・第208回閣法48号 電気通信事業法の一部を改正する法律案|衆議院
・新旧対照表(PDF)|総務省

図1
(電気通信事業法の具体的な規律。総務省「電気通信事業ガバナンス検討会報告書」70頁より)

2.電気通信事業法の適用対象-「電気通信事業を営む者」・「第3号事業」
本報告書は、電気通信事業法の対象になるかどうかについて、まず「電気通信事業を営む者」に該当するか否かで判断するとしています。この「電気通信事業を営む者」とは、電気通信役務(電気通信設備(光ファイバーなど)を用いて「他人の」通信を媒介し、その他電気通信設備を「他人の」通信の用に供することを反復継続して(「業」として)行い、利益を得ようとしている(「営む」)者のことです。(そのため、例えば企業が自社商品等を掲載するウェブサイトなどは「自分のため」(自己の需要のため)であるので対象外となります。)

図2
(「『電気通信事業を営む者』とは」。総務省「電気通信事業ガバナンス検討会報告書」70頁より)

つぎに、「電気通信事業を営む者」のうち、電気通信回線設備を設置する、または、他人の通信を媒介する者は登録・届出が必要な「電気通信事業者」であるとします(法9条の登録、16条1項の届出)。この電気通信事業者の具体例は、固定電話・携帯電話の事業者、インターネット接続サービス(ISP)、利用者間のメッセージ媒介サービス、ウェブ会議システムなどです。この登録・届出が必要な「電気通信事業者」には、①検閲の禁止(法3条)・通信の秘密の保護(法4条)、②利用の公平(法6条)、③登録・届出、④提供条件の説明などの消費者保護、⑤事故が発生したときの報告、などの義務が課されています。

さらに、「電気通信事業を営む者」のうち、登録・届出が不要な「電気通信事業者」(「電気通信事業を営む者」のうち、電気通信回線設備を設置せず、かつ、他人の通信を媒介しない者)の具体例は、SNS、検索サービス、オンラインでの情報提供サービス、オンラインストレージ、電子掲示板、オンラインのショッピングモールなどですが、これを本報告書と本改正法案は「第3号事業」と呼んでいます(法164条1項3号)。この「第3号事業」については、これまでは、検閲の禁止(法3条)、通信の秘密の保護(法4条)などの義務が課されているだけでした。

しかし本改正法案は、この「第3号事業」のうち、①検索サービスと②SNS、については次の3.のように、規模の大きな事業者を届出の対象とするとしています(改正法案164条2項4号(検索情報電気通信役務)、5号(媒介相当電気通信役務))。

図3
(「電気通信事業法の規律対象の整理」。総務省「電気通信事業ガバナンス検討会報告書」71頁より)

3.「利用者に関する情報についての規制」の新設
本改正法案は、届出・登録が必要な電気通信事業者と、検索サービス、SNSのうち規模の大きな電気通信事業者について、「利用者に関する情報」(「特定利用者情報」)を適正に取扱う義務を新設することとなっています(改正法案27条の5)。(本報告書はこの大規模な電気通信事業者の目安を、「例えば、国内…1000万人以上」の利用者がある事業者としています(本報告書48頁注65)。)

この「特定利用者情報」とは、①「通信の秘密に該当する情報」、②「利用者を識別することができる情報であって総務省令で定めるもの」、の2つとされています(改正法案27条の5第1号、2号)。また、この「利用者」とは、①「電気通信事業者又は第3号事業を営む者との間に電気通信役務の提供を受ける契約を締結する者その他これに準じる者として総務省令で定める者」と②「電気通信事業者又は第3号事業を営む者から電気通信役務の提供を受ける者」の2つの者を指すとされています(改正法案2条7号イ、ロ)。そのためこの「利用者」には自然人だけでなく法人も含まれます。

そして、届出・登録が必要な電気通信事業者と、検索サービス、SNSのうち規模の大きな電気通信事業者について、「特定利用者情報」を適正に取扱う義務とは、具体的にはつぎの4つとなっています。

「特定利用者情報」を適正に取扱う義務

①特定利用者情報の適正な取扱いに関する規定(「情報取扱規程」)の策定・届出(改正法案27条の6)
②特定利用者情報の適正な取扱いに係る方針(「情報取扱方針」)の策定および公表(27条の8)
特定利用者情報の適正な取扱い状況に関する評価と対策への反映(27条の9)
特定利用者情報統括管理者の選任(27条の10)

4.「利用者情報の外部送信」に関する規律の新設
(1)「利用者情報の外部送信」に関する規律
また、改正法案は、電気通信事業者または第三号事業を営む者、つまり「電気通信事業を営む者」のうち総務省令で定める者に対して、新たに利用者情報の送信に関する規律が新設されています(改正法案27条の11(情報送信指令通信に係る通知等))。すなわち、利用者がウェブサイトやアプリを利用する際に、利用者の意思によらず、利用者に関する情報である利用者の端末情報(例えば端末に保存された閲覧履歴、システムログ、Cookieなど)がウェブサイト運営者またはアプリ提供事業者またはそれ以外の第三者に外部送信される際に、利用者に確認の機会を与えるための規律です。

この規律は具体的には、電気通信事業を営む者が、利用者のPCやスマートフォン等に記録された利用者に関する端末情報を外部に送信させようとする際には、その情報の内容、送信先等を利用者に通知または利用者が容易に知りうる状態に置かなければならない(自社サイトへの表示など)とするものです。ただし、利用者への通知等はつぎの4つの場合には例外的に不要とされています(田中浩之・蔦大輔・北山昇「改正対応!個人情報保護法の基礎 第22回 電気通信事業法改正法案は個人情報保護に関係ある?」『会社法務A2Z』2022年5月号52頁)。

利用者への通知等が例外的に不要とされる4つの場合

①適正表示のために必要な情報
(例)文字や画像を適正に表示するためのOS情報、画像設定、言語設定情報など

②利用者の識別符号
(例)ウェブサイトの管理者・運営者が発行している1st Party Cookieなど

③利用者が外部送信に同意している情報

④外部送信についてオプトアウト措置がなされている情報
(田中・蔦・北山・前掲53頁より)

(2)「利用者情報の外部送信」に関する規律と個人情報保護法の個人関連情報との異同
なお、この改正法案の利用者に関する情報の規制と個人情報保護法31条の個人関連情報との異同が問題となりますが、まず個人関連情報は自然人(個人)が対象ですが、改正法案は自然人と法人の両方が対象となります。つぎに個人関連情報は、第三者提供を行い、かつ提供先が当該情報を個人データとして取得する場合に適用されますが、改正法案は利用者に関する情報が外部送信される時点で適用となります。さらに個人関連情報は本人の同意のみしか正当化の根拠がありませんが、改正法案は、本人の同意、通知・公表、オプトアウトと正当化の根拠が複数存在します(田中・蔦・北山・前掲53頁)。

5.その他
その他、改正法案は、①サイバー攻撃への対応の強化、②光ファイバー回線のユニバーサルサービス化のための対応、などの改正が盛り込まれています。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・田中浩之・蔦大輔・北山昇「改正対応!個人情報保護法の基礎 第22回 電気通信事業法改正法案は個人情報保護に関係ある?」『会社法務A2Z』2022年5月号50頁
・総務省「電気通信事業ガバナンス検討会報告書」
・第208回閣法48号 電気通信事業法の一部を改正する法律案|衆議院













タグ :
#電気通信事業法
#利用者情報の外部送信
#第三号事業
#SNS
#検索サービス
#電気通信事業を営む者
#個人情報
#個人関連情報
このエントリーをはてなブックマークに追加 mixiチェック

三菱銀行トップページ
(三菱UFJ銀行サイトより)

1.はじめに
2022年5月8日の読売新聞の報道によると、三菱UFJ銀行はサイバーエージェントと提携し、年度内に自社の個人・法人の顧客の金融資産などの個人データを利用した広告事業を年度内に開始するとのことです。記事によると三菱UFJ銀行はこの新しい広告事業を同銀行本体で実施するようですが、これは2021年の銀行法改正で可能になったスキームのようです。銀行の広告事業などには関心があったため、2021年の銀行法改正や個人情報保護法上の「本人の同意」について少し調べてみました。

・三菱UFJ銀、サイバーエージェントと提携し広告事業参入…同意得て匿名化の顧客情報活用|読売新聞

2.三菱UFJ銀行の広告のスキーム
まず、本記事によると、「三菱UFJ銀は約3400万人の預金口座や約120万社の取引データの活用を想定している。顧客の事前の同意を前提に、口座所有者の年齢や性別、住所に加え、預金額や運用資産・住宅ローンの有無といった金融データを匿名化した上で利用する。広告主は宣伝したい対象として、例えば「預金1000万円以上の女性」や「資産運用している40歳代男性」などに絞る。対象に合った個人や法人が、スマホやパソコンなどの端末でSNSやアプリ、検索サイトなどを利用すると、広告が表示される仕組み」とのことです。

三菱銀行の広告スキーム図
(三菱UFJ銀行の広告事業のスキーム図。読売新聞より)

3.2021年の銀行法改正
(1)2021年の銀行法改正の趣旨
令和3年の第204国会で5月19日に成立した「新型コロナウイルス感染症等の影響による社会経済情勢の変化に対応して金融の機能の強化及び安定の確保を図るための銀行法等の一部を改正する法律」は新型コロナの社会的影響を受けて、日本経済の回復・再生を力強く支える金融機能を確立するため、規制緩和や環境整備を推進するために、銀行に対してはデジタル化や地方創生への貢献を強化するための銀行法改正が行われています。

概要2
(2021年銀行法改正の概要。金融庁サイトより)

(2)銀行法改正の具体的内容
①銀行業高度化会社の他業業務の認可の要件の緩和
広告事業などの関係をみると、まず、2017年に制度が開始した銀行の子会社としての「銀行業高度化等会社」は、ITを活用した銀行業務の高度化などを認めるための制度ですが、従来「他業」とされていたFintechや地域商社業務などを金融庁の他業の認可を受けて実施するものでした。この認可には収入依存度規制などの厳格な規制が存在していました。

これに対して2021年の改正銀行法は、銀行高度化等会社の業務に「地域の活性化、産業の生産性の向上その他の持続可能な社会の構築に資する業務」が新たに追加されました。この業務の個別列挙は行われず、各銀行の創意工夫で幅広い業務を行うことが可能となります。具体的には、デジタル、地域創生、持続可能な社会の構築などに関する業務が想定されています。この業務は、収入依存度規制はなくなり銀行の負担を減らして金融庁の認可が取得できることになっています。(改正銀行法16条の2第1項15号など。)

②特例銀行業高度化等業務を行う銀行業高度化等会社の新設
つぎに、銀行業高度化等会社の他業認可よりも基準が緩い「特例銀行業高度化等業務」のみを行う高度化等会社というカテゴリが新設されました。この高度化等会社の業務は個別列挙されていますが、具体的には、①Fintech、②地域商社、③登録型人材派遣、④自行アプリやシステムの販売、⑤データ分析・マーケティング・広告、⑥ATM保守点検、⑦障害者雇用促進の特例子会社、⑧成年後見業務などが想定されています。そしてこれらの他業の金融庁の認可については収入度依存度規制などの厳格な規制はなくなり、銀行の負担が緩和されています。(改正銀行法52条の23の2第6項など。)

③銀行本体の付随業務
さらに、金融システムの潜在的なリスク(優越的な地位の濫用等)に配慮しつつ、銀行本体の付随業務に銀行業に係る経営資源を主として活用して営む業務であって、デジタル化や地方創生などの持続可能な社会の構築に資するものが個別列挙され認められることになりました。具体的には、①自行アプリやシステムの販売、②データ分析・マーケティング・広告、③登録型人材派遣、④コンサルティングなどが個別列挙されます。そして従来、銀行本体の付随業務には「銀行業との機能的な親近性」などの要件が課されていましたが、個別列挙された業務にはその制約がなくなります。(改正銀行法10条2項21号など。)

4.改正銀行法10条2項21号および金融分野における個人情報保護に関するガイドライン
(1)改正銀行法10条2項21号
読売新聞の本記事を読むと、三菱UFJ銀行が行おうとしているデータ分析・マーケティング・広告事業は③の銀行本体における業務であると思われます。そこで、個人情報に関する顧客の本人の同意についてはどうなっているのかと改正銀行法10条2項21号をみると、ここには特に規定がありません。

銀行法

(業務の範囲)
第十条 銀行は、次に掲げる業務を営むことができる。
 預金又は定期積金等の受入れ
 資金の貸付け又は手形の割引
 為替取引
 銀行は、前項各号に掲げる業務のほか、次に掲げる業務その他の銀行業に付随する業務を営むことができる。
(略)
二十一 当該銀行の保有する人材、情報通信技術、設備その他の当該銀行の営む銀行業に係る経営資源を主として活用して営む業務であつて、地域の活性化、産業の生産性の向上その他の持続可能な社会の構築に資する業務として内閣府令で定めるもの

(2)主要行等向けの総合的な監督指針
つぎに、金融分野個人情報保護ガイドライン(金融分野における個人情報保護に関するガイドライン)14条(個人関連情報の第三者提供の制限等(法第31条関係))1項 はつぎのように規定しています。

金融分野個人情報保護ガイドライン

第14条1項
金融分野における個人情報取扱事業者は、個人関連情報取扱事業者から法第31条第1項の規定による個人関連情報の提供を受けて個人データとして取得するに当たり、同項第1号の本人の同意を得る(提供元の個人関連情報取扱事業者に同意取得を代行させる場合を含む。)際には、原則として、書面によることとし、当該書面における記載を通じて、

① 対象となる個人関連情報の項目
② 個人関連情報の提供を受けて個人データとして取得した後の利用目的

本人に認識させた上で同意を得ることとする。

すなわち、個人情報保護法31条と同様に金融分野個人情報保護ガイドライン14条1項も、銀行が顧客の顧客番号、PCやスマートフォン等の端末ID、Cookie、閲覧履歴などの個人関連情報を広告会社などに第三者提供する際には、本人の同意を得ることが必要であるとしています。

5.まとめ
したがって、仮に三菱UFJ銀行が広告事業を行うにあたり、顧客の属性や金融資産情報などを匿名加工情報にしたとしても、顧客番号、PCやスマートフォン等の端末ID、Cookie、閲覧履歴などの個人関連情報を第三者提供する限りはやはり本人の同意の取得が必要となります。

なお、この銀行法改正に関連して、例えば野村総合研究所は銀行の広告事業を支援するサービスを開始したそうです(野村総合研究所「野村総合研究所、銀行の広告事業への進出を支援する「バンクディスプレイ」サービスを開始」)。

概要3
(野村総合研究所「野村総合研究所、銀行の広告事業への進出を支援する「バンクディスプレイ」サービスを開始」より)

このスキームは銀行と広告主の間に野村総研が入り、銀行の個人データなどの第三者提供などを媒介するスキームであるようです。この野村総研のスキームにおいては、銀行は個人関連情報だけでなく、金融資産や属性データ、閲覧履歴、行動履歴などの個人データの第三者提供のための顧客の本人の同意をあらかじめ取得することが必要であると思われます(個人情報保護法27条1項)。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・荒井伴介・脇裕司・杉本陽・豊永康史「2021年銀行法等の一部を改正する法律の概要」『金融法務事情』2170号(2021年9月25日号)14頁
・家森信善「業務範囲規制の緩和を生かして顧客支援の充実を」『銀行実務』2021年8月号12頁
・松本亮孝・今拓久真・椎名沙彩・赤井啓人「金融分野における個人情報保護に関するガイドライン改正の概要」『『金融法務事情』2183号(2022年4月10日号)9頁

■関連する記事
・情報銀行ビジネス開始を発表した三菱UFJ信託銀行の個人情報保護法の理解が心配な件
・みずほ銀行のみずほマイレージクラブの改正を考える-J.Score・信用スコア・個人情報
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム
・コロナの緊急事態宣言をうけ、代表取締役が招集通知後に取締役会決議を経ずに株主総会の日時場所を変更したことが違法でないとされた裁判例-大阪地決令2.4.22
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見














タグ :
#三菱UFJ銀行
#銀行法
#個人情報
#個人関連情報
#匿名加工情報
#privacy
#security
#第三者提供
#本人の同意
このエントリーをはてなブックマークに追加 mixiチェック

display_monitor_computer
1.日経のプライバシーポリシーが改正される
日本経済新聞社から最近来たメールによると、令和2年・令和3年に改正された個人情報保護法が今年4月1日から施行されることを受けて、同社のプライバシーポリシー(日経IDプライバシーポリシー)が4月1日に改正されるとのことです。ところがこの改正後の日経IDプライバシーポリシーをざっと見たところ、個人情報保護法的に突っ込みどころが満載で驚いてしまいました。

・(改正後)日経IDプライバシーポリシー|日本経済新聞

2.Cookie、IPアドレスおよびサイト閲覧履歴などは個人情報ではない?
(1)個人情報と個人関連情報
第一に、改正後の日経IDプライバシーポリシー(以下「本プライバシーポリシー」とする)の「はじめに」を読むと、日経新聞が取扱う情報を4つ(あるいは3つ)に分類するようです。

日経プライバシーポリシー1
(「(改正後)日経IDプライバシーポリシー」より)

つまり、まず情報を①氏名、住所、職業などの「お客様登録情報」、②Cookie、サイト閲覧履歴、IPアドレス、OSなどの環境情報などの「ご利用履歴情報」の2つに分類しています。

日経プライバシーポリシー3
(「(改正後)日経IDプライバシーポリシー」より)

そしてさらに、②のご利用履歴情報について、お客様登録情報と関連付けて収集するか否かで場合分けし、③「お客様登録情報と関連付けて収集するご利用履歴情報」と、④「お客様登録情報と関連付けないで収集するご利用履歴情報」の2つに分けています。③の具体例としては「日経ID登録されたお客さまの日経電子版閲覧履歴や閲覧状況など」があげられており、④の具体例としては「日経ID登録されていないお客さまの日経電子版閲覧履歴や閲覧状況など」があげられています。

その上で本プライバシーポリシーは、①と②は個人情報であり、④は個人関連情報(個人情報保護法2条7項)であるとしています。

しかし、④に関するこの説明は正しいといえるのでしょうか。個人関連情報(法2条7項)は令和2年の個人情報保護法改正で新設されたもので、具体例としてはCookieやIPアドレス、サイトの閲覧履歴、位置情報などのことであり、条文上は「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう」と定義されています(法2条7項)。

そして、個人情報保護委員会(PPC)の個人情報保護法ガイドライン通則編(2022年4月1日版)22頁の個人関連情報に関する注(※)はつぎのように説明しています。
(※) 個人情報に該当する場合は、個人関連情報に該当しないことになる。例えば、一般的に、ある個人の位置情報それ自体のみでは個人情報には該当しないが、個人に関する位置情報が連続的に蓄積される等して特定の個人を識別することができる場合には、個人情報に該当し、個人関連情報には該当しない。(個人情報保護法ガイドライン通則編(2022年4月1日版)22頁より)

個人情報保護法ガイドライン22ページ
(個人情報保護法ガイドライン通則編(2022年4月1日版)22頁より)

すなわち、PPCのガイドライン22頁の注は、CookieやIPアドレス、閲覧履歴、位置情報、移動履歴なども「連続的に蓄積」されると、それぞれがお互いに差異のあるユニークなデータとなり、たとえ個人名を識別できないとしても、「あの人のデータ、この人のデータ」と、ある個人(特定の個人)を識別できるデータになるから、それは個人情報でありもはや個人関連情報ではないと明記しています。

(参考)
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?

個人関連情報などの図

したがって、④「お客様登録情報と関連付けないで収集するご利用履歴情報」であっても、「連続的に蓄積」されたデータは個人情報であり、これも一律に個人関連情報であるとしている本プライバシーポリシーは正しくありません。

(2)個人情報の容易照合性
さらに、個人情報は、生存する(a)「個人に関する情報であって」かつ(b)「特定の個人を識別できるもの」です(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁)。そしてさらに(c)「(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」(=容易照合性)と定義されています(法2条1項1号)。

この(c)の容易照合性について、PPCの個人情報保護法ガイドラインQA1-18は、「事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合において…双方の取扱部門の間で、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができる状態である場合は、「容易に照合することができ」る状態であると考えられます。」としています。

個人情報ガイドライン1-18の1
個人情報ガイドライン1-18の2
(個人情報保護法ガイドラインQA(2022年4月1日版)より)

日経新聞社の社内の個人情報関係のデータベースの仕組みやアクセス制御、社内規程などを私は知りませんが、しかし一般論としては、同一の企業内のある部門のもつデータベースと別の部門のもつデータベースはお互いに職員が情報を照会して照合することが可能であると思われます。そうでなければ利用できず、社内でリソースを使って収集・保存する意味がないからです。

そう考えると、日経新聞社内のご利用履歴情報のデータベースとお客様登録情報のデータベースは容易に照合が可能であるといえるのではないでしょうか。すると、④「お客様登録情報と関連付けないで収集するご利用履歴情報」であっても、お客様登録情報と容易に照合してある個人を識別できる個人情報であるといえる情報・データも存在するものと思われ、この点からも日経の本プライバシーポリシーは正しくないと思われます。

3.第三者提供について
第二に、気になる個人情報の第三者提供について、本プライバシーポリシーをみると、「3.個人情報の提供など」の部分は、本人同意による第三者提供(法27条1項(改正前法23条1項))についてはそれなりに記載がありますが、広告業者、DMP業者などへの第三者提供のオプトアウト方式(法27条2項(改正前法23条2項))の記載がないことが気になります。
日経プライバシーポリシー6
(「(改正後)日経IDプライバシーポリシー」より)

従来は50も100もオプトアウト先が列挙されており、ネット上では「オプトアウトが事実上不可能」と批判されていました。その日経新聞の個人データの提供先にはGoogleやFacebook、Twitter、ヤフーや楽天、LINE、セールスフォースなどのIT企業が列挙されていましたが、あれはどうなってしまったのでしょうか?

アクセスデータの共有先1
アクセスデータの共有先2
オーディエンスワン概要図
(日経新聞社サイトより。2022年3月5日現在)

また、上でみた個人関連情報は、個人情報ではありませんが、国民・消費者保護のため、第三者提供には本人の同意が必要となっています(法31条)。にもかかわらず、日経の本プライバシーポリシーが、④「お客様登録情報と関連付けないで収集するご利用履歴情報」の提供について本人同意について何も書いていないのは大丈夫なのでしょうか?不安が残ります。

4.「広告業者等に単体では個人を識別できない情報を提供する」
第三に、利用目的の「(5)個人情報の共同利用について」は「広告業者等に単体では個人を識別できない情報を提供する」との記載があります。この「単体では個人を識別できない情報」とは匿名加工情報のことなのでしょうか?しかし、データを潰してならして個人が識別できないようにした匿名加工情報を提供されても、広告企業やDMP業者などは業務には使えないのではないでしょうか?

この点、個人データから氏名や住所などの個人データの一部を削除した仮名加工情報が今回の令和2年の個人情報保護法の改正で新設されました(法2条5項、法41条)。しかし仮名加工情報は他の情報と照合して本人を識別することは禁止され(同条7項)、本人に電話や郵便・メールなどでアクセスすることも禁止され(同条8項)、そしてさらに仮名加工情報の利用は社内に限られ、第三者提供は禁止されています(同条6項、同42条1項)。したがって、もし万が一、日経新聞社が「単体では個人を識別できない情報」として仮名加工情報を広告業者やDMP業者などに提供しようとしているとしたら、それは個人情報保護法41条6項および法42条1項違反です。

5.「外国にある第三者」など
第四に、保有する個人情報に講じた安全管理措置の記載などがないことも気になります(法27条1項)。また、本プライバシーポリシーの共同利用の事業者一覧には、中国法人なども含まれていますが、LINEの個人情報問題で注目を集めた「外国にある第三者」(法28条)に関して、外国の個人情報保護法制などの情報に関する記載がないことも気になります。「外国にある第三者」に関しては、委託や事業承継、共同利用は対象外となっていないからです(法28条1項後段、宇賀克也『新・個人情報保護法の逐条解説』285頁)。
共同利用1
(「(改正後)日経IDプライバシーポリシー」より)

6.まとめ
Twitterなどで拝見していると、日経新聞記者は個人情報保護法に強い方が多いのに、本プライバシーポリシーはいろいろと大丈夫なのだろうかと心配になる点が多々あります。日経新聞社内の法務部などは事前にリーガルチェックなどをしっかり実施しているのでしょうか。「日本の企業・国は国民の個人情報をますます利活用して日本の経済発展を!」と「個人情報の利活用」を熱心に主張している日経新聞のプライバシーポリシーがこれでは、今後の日本のデジタル庁などの政府やIT企業、製薬会社、自動車メーカーなどの個人情報の取り扱いが心配になります。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・宇賀克也『新・個人情報保護法の逐条解説』285頁
・佐脇紀代志『一問一答令和2年改正個人情報保護法』24頁、54頁、62頁、71頁
・鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁

■関連する記事
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム

















タグ :
#日経新聞
#プライバシーポリシー
#個人情報
#個人関連情報
#仮名加工情報
#匿名加工情報
#外国にある第三者
#LINE
#これはひどい
#security
このエントリーをはてなブックマークに追加 mixiチェック

PPCトップ画面
1.令和2年改正個人情報保護法ガイドラインのパブコメ結果が公表
8月2日に個人情報保護委員会(PPC)が令和2年改正個人情報保護法ガイドラインのパブコメ結果を公表していたので、気になる部分をざっと見てみました。

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集の結果について|個人情報保護委員会

2.個人関連情報(改正法26条の2第1項)とGoogleのFLoC
令和2年改正の個人情報保護法26条の2第1項は、「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」を「個人関連情報」と定義し、事業者が個人関連情報を第三者提供し、提供先においてそれが個人データとして利用されることが想定される場合には、本人の同意が必要であるとしています。

これは2019年の就活生の内定辞退予測データの販売を行っていたリクナビ事件を踏まえて、個人情報保護法を潜脱して、本人関与のない個人情報の収集方法が広まることを防止するためのものです(佐脇紀代志『一問一答令和2年改正個人情報保護法』60頁)。

この個人関連情報は、具体的には、氏名などと結びついていないインタネットの閲覧履歴、位置情報、Cookieなどが該当するとされています(佐脇・前掲62頁)。

この点、今回の改正個人情報保護法ガイドライン(通則編)の個人関連情報に関するパブコメ結果308は、「Cookieなどだけでなく、Googleが最近、Cookieに代わり導入を開始したFLoCなどの新しい収集方法で取得されたデータについても個人関連情報に含まれることを明記すべきではないか」との意見(不肖な私の意見なのですが)に対して、PPCは「個人関連情報の定義にあてはまるものは個人関連情報に該当する。個別の判断になるが、収集の方法によって判断がかわるものではない。」と回答しています。

GoogleのFLoCなど

GoogleなどのIT事業者が、個人情報保護法を潜脱するためにFLoCなどの新しい手法を導入することは、個人関連情報の新設の趣旨に反するので、このPPCの回答は国民個人の権利利益の保護・人権保障の観点(法1条、3条、憲法13条)から、非常にグッジョブ!!であると考えられます。

今後、GoogleなどのIT企業がCookieやFLoCなどに代わるさらに新しいデータの収集方法を開始したとしても、それで収集されるデータが「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」にあたるのであれば、個人関連情報に該当し、第三者提供の際に本人の同意が必要になるとPPCは考えていると思われます。

3.個人関連情報と図書館の貸出履歴など
また、改正個人情報保護法ガイドライン(通則編)の個人関連情報に関するパブコメ結果315は、「ある個人の図書館の貸出履歴・利用履歴(利用事実)も個人関連情報や個人情報に該当しうることを明記すべきではないか」との意見(不肖・私の意見ですが)に対して、PPCは「個別の事案ごとに判断することになるが、図書館の利用履歴について、特定の個人を識別することができる場合(他の情報と容易に照合して特定の個人を識別できる場合を含む)には個人情報(法2条1項)に該当し、個人情報に該当しない場合には、「ある個人に関する情報」である限り、個人関連情報に該当する」と明快に回答しています。これもPPC超グッジョブ!!と言わざるをえません。

図書館の貸出履歴1
図書館の貸出履歴2


この点、現在の、平成27年(2015年)改正の個人情報保護法ガイドライン(通則編)は、要配慮個人情報(法2条3項)に関する2-3(要配慮個人情報)の部分のなお書きとして、「なお、次に掲げる情報(=要配慮個人情報))を「推知させる情報」にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない。」との記述を置いており、宗教に関する書籍の購買や貸出しに係る情報等などのような要配慮個人情報を「推知させる情報」は重要でないどうでもよい情報・データであるとの誤解が社会に広まってしまったような気がします(一種の「個人情報保護法による過剰反応」。なお令和2年改正の個人情報保護法ガイドラインにおいても、このなお書き自体は残っている。)。

しかし今回のこの個人情報保護法ガイドライン(通則編)パブコメ結果315は、図書館の貸出履歴・利用履歴なども個人情報に該当し、個人情報に該当しなくても、「ある個人に関する情報」である場合は個人関連情報に該当すると明確に回答していることは非常に重要な意味があると思われます。

貸出履歴・閲覧履歴などの個人情報・個人関連情報の該当性の図2

つまり、図書館の貸出履歴データ・利用履歴データをさまざまな用途に利活用しようとしてる法政大学、国会図書館などや、ツタヤ図書館などを運営するCCCなどのデータマーケティング企業やIT企業、さらに警察からの令状によらない照会に安易に応じ回答を行っている図書館、学校図書館の貸出履歴データ・利用履歴データなど図書館の利用以外に転用している学校・教育委員会・国などは、それらの業務が個人情報保護法など法令に違反してないか再検討が必要であると思われます。

■関連する記事
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?

同時に、今回のパブコメ結果を踏まえたPPCの令和2年改正個人情報保護法ガイドライン(通則編)の2-3-1-1(個人関連情報)の部分は、つぎのとおり、「Cookieなどで収集されたある個人のウェブサイトの閲覧履歴」、「メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等」、「個人の商品購買履歴・サービス利用履歴事例」、「ある個人の位置情報事例」、「ある個人の興味・関心を示す情報」などのデータ・情報も、それが連続して蓄積された場合には個人情報に該当し、個人情報に該当しない場合は個人関連情報に該当すると明記しています。

個人関連情報に該当する事例
(令和2年改正個人情報保護法ガイドライン(通則編)の2-3-1-1(個人関連情報)の部分より)

そのため、ヤフージャパン、LINEなどのIT企業、ターゲティング広告などの広告事業者、共通ポイントなどを運営するCCCや楽天などのデータマーケティング事業者、通信事業者・プロバイダ(ISP)やSuicaなどを運営するJR各社などの鉄道事業者・運輸事業者、コネクテッドカー・プラットフォームを運営する自動車メーカー、ネット上の通販を行うAmazonや楽天、メルカリや、ネットバンクや電子マネーやQRコード決済などの電子決済を行う金融関係の事業者、銀行・保険・証券、信用スコアや情報銀行などの業務を行う金融機関、テレビの閲覧履歴などを利用しているテレビ局、電気・ガス・水道などの利用履歴・ライフログなどを利用しているインフラ事業者、ネット閲覧履歴や移動履歴・購買履歴などを利用しているリクルート・LAPRASなどの人材企業やHRテックの事業者、タブレット端末などの操作履歴などを利用してEdTechやGIGAスクール構想などを推進しているベネッセや学校・教育委員会、文科省などは、今一度、自らの業務が個人情報保護法などの法令に違反していないか、再検討が必要であると思われます。この個人関連情報の新設は、影響範囲が非常に大きいと思われます。

4.AIやコンピュータによるプロファイリングについて
さらに、前述のリクナビ事件の問題や、2018年に施行されたEUのGDPR(EU一般データ保護規則)22条が「プロファイリング拒否権」(コンピュータやAIの個人データの自動処理のみによる法的決定・重要な決定の拒否権)を規定していることや、本年4月にEUがAI規制法案を公表したことなどから、AIやコンピュータによる人間のプロファイリングの危険(データによる人の選別の危険)に関する関心が日本社会でも高まっています。(最近の一部の情報法の学者の先生方は、個人データ保護法制の本当の立法目的は、プロファイリング拒否権であるとのご見解を示しておられるようです。)

この点、個人情報保護法ガイドライン(通則編)のパブコメ結果57は、「プロファイリングによる個人データの収集・利用などが個人の権利・利益を侵害するおそれがあるような場合については、これが個人情報の不適正利用の禁止条項(法16条の2)に該当し違法なものとなることを明記すべきではないか」との質問(不肖・私の質問ですが)に対して、PPCは「「プロファイリングの目的や得られたデータの利用方法など個別の判断が必要であるが、プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合は、不適正利用に該当する場合があり得る。」と回答しています。

プロファイリング2

このように、AIやコンピュータによるプロファイリングの法規制に関して、PPCはEUやアメリカの一部の州などの個人データ保護法の先進国・地域と異なり、慎重な姿勢を示しています。

しかし少なくとも、リクナビ事件のような、就活生などの求職者のネット閲覧履歴などのデータを収集し、AIで内定辞退予測データなどの就活生などに大きな不利益をもたらすおそれのあるデータを生成し、求人を行っているトヨタなどの企業にそのデータを販売・第三者提供するような行為は、「プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合に該当し、不適正利用であり違法であるとPPCに判断される可能性があると思われます。

そのため、AIを求職者の採用活動などに利用している雇用分野やHRtechの企業・人材会社・事業会社の人事部門や、AIを教育に利用している教育業界や学校・教育委員会・文科省、AIや顔認証システムを搭載した防犯カメラ・監視カメラ・商用カメラなどを利用や開発・販売している警備業界・警察・小売業・電気メーカーや、AIを信用スコアやローンの審査・保険の引受審査・保険金支払査定などに利用している銀行・保険などの金融機関、出入国管理など行政上の審査にAIを利用している行政庁などは、自らの業務が令和2年改正の個人情報保護法に抵触しないか、今一度再検討が必要であると思われます。

■関連する記事
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR

5.その他・委託の「まぜるな危険」の問題、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当のパブコメ意見!?
(1)委託の「まぜるな危険」の問題
その他にも、この令和2年改正個人情報保護法ガイドラインパブコメ結果は、通則編のパブコメ結果351に、経営法友会からの「委託の「まぜるな危険の問題」」の質問へのPPCの回答が載っているなど、個人情報保護法や情報セキュリティなどに関係する人にとって見どころが満載です。(委託の「まぜるは危険の問題」がPPCの公式文書に掲載されたのは、これがおそらく初めてではないでしょうか。)

委託のまぜるな危険の問題

(2)「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のパブコメ意見!?
また、このパブコメ結果で異様なのは、法人・個人や各種団体などからの意見にまじって、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」からのパブコメ意見が大量に提出されていることです。PDFファイル上で検索するとなんと31件もあるようです。しかも、他の個人・法人のほとんどが、PPCのパブコメ要綱を遵守して「意見」・「理由」を分けて丁寧な文言で意見や質問などを提出しているのに、この内閣府の担当者は意見・理由を分けずに、上から目線のあまり上品でないだらだらとした言葉使いで31件もの意見を書いています。

さらにパブコメ結果を読んでいて驚くことは、この内閣府健康・医療戦略推進事務局の担当者は、個人情報保護法の条文の文言上の理解すらできておらず、おそらく実務上も個人情報の取扱を経験したことがないような、官僚というよりまるで大学法学部の1年生かのような素人質問をPPCに対して、まるで顧客が企業のコールセンターに電話で質問するかのように、カジュアルに投げつけていることです。
内閣府5
(ガイドライン(通則編)のパブコメ結果275。内閣府の担当者は法23条2項のオプトアウトによる第三者提供に関して「いちいち事業者が本人に対して通知を行わねばならないことは面倒である」という趣旨の意見を述べていますが、PPCも回答しているように、法23条2項は「通知または公表」と規定しており、事業者に「通知」を義務付けていません。)

「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」は、国民のカルテや処方箋データなどのセンシティブな個人情報である医療データを国が一元的に収集し、IT企業や製薬会社などに利活用させる次世代医療基盤法などの担当所管のはずですが、個人情報保護法の素人のような人間が担当者で本当に大丈夫なのでしょうか?   国民としては非常に心配です。

くわえて、この内閣府健康・医療戦略推進事務局次世代医療基盤法担当の担当者の意見は、個人情報取扱事業者の法的義務を削減することを要求する内容のものが多く含まれています。この点は、内閣府や個人情報保護委員会の行政の公平性・中立性(国家公務員法96条1項、憲法15条2項など)が損なわれるおそれがあるだけでなく、国の個人情報保護行政デジタル行政などがゆがめられてしまうおそれがあるのではないでしょうか。

■関連する記事
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・2020年の個人情報保護法改正に関するガイドライン改正に関するパブコメについて意見を書いてみた-FLoC・プロファイリング・貸出履歴・推知情報・データによる人の選別
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権















タグ :
#個人情報
#ガイドライン
#パブコメ
#security
#privacy
#個人関連情報
#貸出履歴
#閲覧履歴
#購買履歴
#プロファイリング
このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ