なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人関連情報

PPCトップ画面
1.令和2年改正個人情報保護法ガイドラインのパブコメ結果が公表
8月2日に個人情報保護委員会(PPC)が令和2年改正個人情報保護法ガイドラインのパブコメ結果を公表していたので、気になる部分をざっと見てみました。

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集の結果について|個人情報保護委員会

2.個人関連情報(改正法26条の2第1項)とGoogleのFLoC
令和2年改正の個人情報保護法26条の2第1項は、「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」を「個人関連情報」と定義し、事業者が個人関連情報を第三者提供し、提供先においてそれが個人データとして利用されることが想定される場合には、本人の同意が必要であるとしています。

これは2019年の就活生の内定辞退予測データの販売を行っていたリクナビ事件を踏まえて、個人情報保護法を潜脱して、本人関与のない個人情報の収集方法が広まることを防止するためのものです(佐脇紀代志『一問一答令和2年改正個人情報保護法』60頁)。

この個人関連情報は、具体的には、氏名などと結びついていないインタネットの閲覧履歴、位置情報、Cookieなどが該当するとされています(佐脇・前掲62頁)。

この点、今回の改正個人情報保護法ガイドライン(通則編)の個人関連情報に関するパブコメ結果308は、「Cookieなどだけでなく、Googleが最近、Cookieに代わり導入を開始したFLoCなどの新しい収集方法で取得されたデータについても個人関連情報に含まれることを明記すべきではないか」との意見(不肖な私の意見なのですが)に対して、PPCは「個人関連情報の定義にあてはまるものは個人関連情報に該当する。個別の判断になるが、収集の方法によって判断がかわるものではない。」と回答しています。

GoogleのFLoCなど

GoogleなどのIT事業者が、個人情報保護法を潜脱するためにFLoCなどの新しい手法を導入することは、個人関連情報の新設の趣旨に反するので、このPPCの回答は国民個人の権利利益の保護・人権保障の観点(法1条、3条、憲法13条)から、非常にグッジョブ!!であると考えられます。

今後、GoogleなどのIT企業がCookieやFLoCなどに代わるさらに新しいデータの収集方法を開始したとしても、それで収集されるデータが「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」にあたるのであれば、個人関連情報に該当し、第三者提供の際に本人の同意が必要になるとPPCは考えていると思われます。

3.個人関連情報と図書館の貸出履歴など
また、改正個人情報保護法ガイドライン(通則編)の個人関連情報に関するパブコメ結果315は、「ある個人の図書館の貸出履歴・利用履歴(利用事実)も個人関連情報や個人情報に該当しうることを明記すべきではないか」との意見(不肖・私の意見ですが)に対して、PPCは「個別の事案ごとに判断することになるが、図書館の利用履歴について、特定の個人を識別することができる場合(他の情報と容易に照合して特定の個人を識別できる場合を含む)には個人情報(法2条1項)に該当し、個人情報に該当しない場合には、「ある個人に関する情報」である限り、個人関連情報に該当する」と明快に回答しています。これもPPC超グッジョブ!!と言わざるをえません。

図書館の貸出履歴1
図書館の貸出履歴2


この点、現在の、平成27年(2015年)改正の個人情報保護法ガイドライン(通則編)は、要配慮個人情報(法2条3項)に関する2-3(要配慮個人情報)の部分のなお書きとして、「なお、次に掲げる情報(=要配慮個人情報))を「推知させる情報」にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない。」との記述を置いており、宗教に関する書籍の購買や貸出しに係る情報等などのような要配慮個人情報を「推知させる情報」は重要でないどうでもよい情報・データであるとの誤解が社会に広まってしまったような気がします(一種の「個人情報保護法による過剰反応」。なお令和2年改正の個人情報保護法ガイドラインにおいても、このなお書き自体は残っている。)。

しかし今回のこの個人情報保護法ガイドライン(通則編)パブコメ結果315は、図書館の貸出履歴・利用履歴なども個人情報に該当し、個人情報に該当しなくても、「ある個人に関する情報」である場合は個人関連情報に該当すると明確に回答していることは非常に重要な意味があると思われます。

貸出履歴・閲覧履歴などの個人情報・個人関連情報の該当性の図2

つまり、図書館の貸出履歴データ・利用履歴データをさまざまな用途に利活用しようとしてる法政大学、国会図書館などや、ツタヤ図書館などを運営するCCCなどのデータマーケティング企業やIT企業、さらに警察からの令状によらない照会に安易に応じ回答を行っている図書館、学校図書館の貸出履歴データ・利用履歴データなど図書館の利用以外に転用している学校・教育委員会・国などは、それらの業務が個人情報保護法など法令に違反してないか再検討が必要であると思われます。

■関連する記事
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?

同時に、今回のパブコメ結果を踏まえたPPCの令和2年改正個人情報保護法ガイドライン(通則編)の2-3-1-1(個人関連情報)の部分は、つぎのとおり、「Cookieなどで収集されたある個人のウェブサイトの閲覧履歴」、「メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等」、「個人の商品購買履歴・サービス利用履歴事例」、「ある個人の位置情報事例」、「ある個人の興味・関心を示す情報」などのデータ・情報も、それが連続して蓄積された場合には個人情報に該当し、個人情報に該当しない場合は個人関連情報に該当すると明記しています。

個人関連情報に該当する事例
(令和2年改正個人情報保護法ガイドライン(通則編)の2-3-1-1(個人関連情報)の部分より)

そのため、ヤフージャパン、LINEなどのIT企業、ターゲティング広告などの広告事業者、共通ポイントなどを運営するCCCや楽天などのデータマーケティング事業者、通信事業者・プロバイダ(ISP)やSuicaなどを運営するJR各社などの鉄道事業者・運輸事業者、コネクテッドカー・プラットフォームを運営する自動車メーカー、ネット上の通販を行うAmazonや楽天、メルカリや、ネットバンクや電子マネーやQRコード決済などの電子決済を行う金融関係の事業者、銀行・保険・証券、信用スコアや情報銀行などの業務を行う金融機関、テレビの閲覧履歴などを利用しているテレビ局、電気・ガス・水道などの利用履歴・ライフログなどを利用しているインフラ事業者、ネット閲覧履歴や移動履歴・購買履歴などを利用しているリクルート・LAPRASなどの人材企業やHRテックの事業者、タブレット端末などの操作履歴などを利用してEdTechやGIGAスクール構想などを推進しているベネッセや学校・教育委員会、文科省などは、今一度、自らの業務が個人情報保護法などの法令に違反していないか、再検討が必要であると思われます。この個人関連情報の新設は、影響範囲が非常に大きいと思われます。

4.AIやコンピュータによるプロファイリングについて
さらに、前述のリクナビ事件の問題や、2018年に施行されたEUのGDPR(EU一般データ保護規則)22条が「プロファイリング拒否権」(コンピュータやAIの個人データの自動処理のみによる法的決定・重要な決定の拒否権)を規定していることや、本年4月にEUがAI規制法案を公表したことなどから、AIやコンピュータによる人間のプロファイリングの危険(データによる人の選別の危険)に関する関心が日本社会でも高まっています。(最近の一部の情報法の学者の先生方は、個人データ保護法制の本当の立法目的は、プロファイリング拒否権であるとのご見解を示しておられるようです。)

この点、個人情報保護法ガイドライン(通則編)のパブコメ結果57は、「プロファイリングによる個人データの収集・利用などが個人の権利・利益を侵害するおそれがあるような場合については、これが個人情報の不適正利用の禁止条項(法16条の2)に該当し違法なものとなることを明記すべきではないか」との質問(不肖・私の質問ですが)に対して、PPCは「「プロファイリングの目的や得られたデータの利用方法など個別の判断が必要であるが、プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合は、不適正利用に該当する場合があり得る。」と回答しています。

プロファイリング2

このように、AIやコンピュータによるプロファイリングの法規制に関して、PPCはEUやアメリカの一部の州などの個人データ保護法の先進国・地域と異なり、慎重な姿勢を示しています。

しかし少なくとも、リクナビ事件のような、就活生などの求職者のネット閲覧履歴などのデータを収集し、AIで内定辞退予測データなどの就活生などに大きな不利益をもたらすおそれのあるデータを生成し、求人を行っているトヨタなどの企業にそのデータを販売・第三者提供するような行為は、「プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合に該当し、不適正利用であり違法であるとPPCに判断される可能性があると思われます。

そのため、AIを求職者の採用活動などに利用している雇用分野やHRtechの企業・人材会社・事業会社の人事部門や、AIを教育に利用している教育業界や学校・教育委員会・文科省、AIや顔認証システムを搭載した防犯カメラ・監視カメラ・商用カメラなどを利用や開発・販売している警備業界・警察・小売業・電気メーカーや、AIを信用スコアやローンの審査・保険の引受審査・保険金支払査定などに利用している銀行・保険などの金融機関、出入国管理など行政上の審査にAIを利用している行政庁などは、自らの業務が令和2年改正の個人情報保護法に抵触しないか、今一度再検討が必要であると思われます。

■関連する記事
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR

5.その他・委託の「まぜるな危険」の問題、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当のパブコメ意見!?
(1)委託の「まぜるな危険」の問題
その他にも、この令和2年改正個人情報保護法ガイドラインパブコメ結果は、通則編のパブコメ結果351に、経営法友会からの「委託の「まぜるな危険の問題」」の質問へのPPCの回答が載っているなど、個人情報保護法や情報セキュリティなどに関係する人にとって見どころが満載です。(委託の「まぜるは危険の問題」がPPCの公式文書に掲載されたのは、これがおそらく初めてではないでしょうか。)

委託のまぜるな危険の問題

(2)「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のパブコメ意見!?
また、このパブコメ結果で異様なのは、法人・個人や各種団体などからの意見にまじって、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」からのパブコメ意見が大量に提出されていることです。PDFファイル上で検索するとなんと31件もあるようです。しかも、他の個人・法人のほとんどが、PPCのパブコメ要綱を遵守して「意見」・「理由」を分けて丁寧な文言で意見や質問などを提出しているのに、この内閣府の担当者は意見・理由を分けずに、上から目線のあまり上品でないだらだらとした言葉使いで31件もの意見を書いています。

さらにパブコメ結果を読んでいて驚くことは、この内閣府健康・医療戦略推進事務局の担当者は、個人情報保護法の条文の文言上の理解すらできておらず、おそらく実務上も個人情報の取扱を経験したことがないような、官僚というよりまるで大学法学部の1年生かのような素人質問をPPCに対して、まるで顧客が企業のコールセンターに電話で質問するかのように、カジュアルに投げつけていることです。
内閣府5
(ガイドライン(通則編)のパブコメ結果275。内閣府の担当者は法23条2項のオプトアウトによる第三者提供に関して「いちいち事業者が本人に対して通知を行わねばならないことは面倒である」という趣旨の意見を述べていますが、PPCも回答しているように、法23条2項は「通知または公表」と規定しており、事業者に「通知」を義務付けていません。)

「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」は、国民のカルテや処方箋データなどのセンシティブな個人情報である医療データを国が一元的に収集し、IT企業や製薬会社などに利活用させる次世代医療基盤法などの担当所管のはずですが、個人情報保護法の素人のような人間が担当者で本当に大丈夫なのでしょうか?   国民としては非常に心配です。

くわえて、この内閣府健康・医療戦略推進事務局次世代医療基盤法担当の担当者の意見は、個人情報取扱事業者の法的義務を削減することを要求する内容のものが多く含まれています。この点は、内閣府や個人情報保護委員会の行政の公平性・中立性(国家公務員法96条1項、憲法15条2項など)が損なわれるおそれがあるだけでなく、国の個人情報保護行政デジタル行政などがゆがめられてしまうおそれがあるのではないでしょうか。

■関連する記事
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・2020年の個人情報保護法改正に関するガイドライン改正に関するパブコメについて意見を書いてみた-FLoC・プロファイリング・貸出履歴・推知情報・データによる人の選別
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権















このエントリーをはてなブックマークに追加 mixiチェック


サーバー群

1.図書館の貸出履歴なども連続的に蓄積されて特定の個人を識別できる場合は個人情報になる
(1)令和2年個人情報保護法ガイドライン改正パブコメ
令和2年個人情報保護法ガイドライン改正パブコメが6月18日まで実施されていました。
・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集について|e-GOV

ここで個人情報保護委員会(PPC)が示した個人情報保護法ガイドラインの案を読んで、個人的にPPCの一番のファインプレーだと思ったのは、個人情報保護法ガイドライン(通則編)90頁の、「3-7-1-1個人関連情報」(個人情報保護法26条の2)のところの注意書きに、次のようにと明示し、"図書館貸出履歴等「連続的に蓄積」されて特定の個人を識別できる場合は個人情報に該当し、さらにそれがある個人の思想・信条などに該当する場合は要配慮個人情報に該当すること"を明確化したことではないかと思われます。

個人情報に該当する場合は個人関連情報には該当しないことになる。例えば、ある個人の位置情報それ自体のみでは個人情報には該当しないものではあるが、個人に関する位置情報が連続的蓄積される等して特定の個人を識別することができる場合には、個人情報該当」する(個人情報保護委員会「個人情報保護法ガイドライン(通則編)」90頁「3-7-1-1個人関連情報」(個人情報保護法26条の2)注意書き)。
つまり、例えば、図書館等の貸出履歴や書店での本・DVD・CD等の購入履歴等が「連続的に蓄積」されて「特定の個人を識別できる場合」(=実名等がわからなくても「あの人、この人」と識別できる場合)には当該情報・データは「個人情報」に該当し、さらにそれが個人の「思想・信条」「病歴」などに該当すれば「要配慮個人情報」に該当するとPPCは考えていると思われます。

貸出履歴・閲覧履歴などの個人情報・個人関連情報の該当性の図2

すなわち、図書館の連続的に蓄積されて特定の個人を識別できる貸出履歴・利用履歴等は個人情報であり、それが思想・信条等に該当する場合には要配慮個人情報であると個人情報保護委員会が認めたことになります。

(2)これまでの個人情報保護委員会の「要配慮個人情報を推知させる情報」の考え方
もちろん、個人情報保護法2条1項の個人情報の定義は、「個人に関する情報」であって、電磁的記録などを含むさまざまな情報・記述などで「特定の個人を識別できるもの」は個人情報に該当するとしているので、この個人情報保護委員会の考え方は当然といえば当然です(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁)。
個人情報の定義『ニッポンの個人情報』
鈴木正朝・高木浩光・山本一郎「「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編)」EnterpriseZineより

しかし、2017年法改正を受けたこれまでの個人情報保護法ガイドライン(通則編)の「2-3 要配慮個人情報」は、「なお、次に掲げる情報(=要配慮個人情報)を推知させる情報にすぎないもの(例:宗教に関する書籍購買貸出しに係る情報等)は、要配慮個人情報には含まない」という塩対応な注意書きを明示していました(岡村久道『個人情報保護法 第3版』87頁)。

そのため、「本人の思想・信条などの内心を推知させる情報も要配慮個人情報に含めて扱うべき」と、宮下紘・中大教授(憲法・情報法)などの学者の方々から批判されてきたところです(宮下紘「図書館と個人情報保護」『時の法令』平成28年1月15日号50頁)。

(3)図書館の貸出履歴などの情報の利活用の推進派は、個人情報保護法などの再検討が必要となる
もし、図書館の貸出履歴・利用履歴などが個人関連情報でしかないとすると、第三者提供の際の本人同意が必要なだけにとどまりますが(法26条の2)、個人情報であるとなると、利用目的の特定(法15条)や、本人同意のない目的外利用の禁止(法16条)、不適正な収集の禁止(法17条)、安全管理措置(法20条~22条)、第三者提供の本人同意(法23条1項)、開示・訂正・利用停止等の請求への対応(法28条~34条)などの各義務が事業者に要求されることになります。

そしてさらに図書館の貸出履歴・利用履歴などが要配慮個人情報に該当するとなると、原則として収集の際に事前の本人の同意が必要(法17条2項)となり、また、オプトアウト方式による第三者提供も禁止(法23条2項かっこ書き)されることになり、さらに事業者の義務が重くなります。

また、個人情報、要配慮個人情報、その他個人に関する情報を事業者などが不適正に取り扱った場合、個人情報保護法とは別に、事業者などが当該個人からプライバシー権侵害などを主張され、不法行為に基づく損害賠償責任を負う可能性もあります(民法709条、憲法13条)。

この点、最近も、法政大学の大学図書館の貸出履歴などを保存する方針に対して教職員、有識者などから反対の声が上がっていることが話題となっています。
・広がる図書館の履歴保存 脅かされる秘密、懸念の声も|朝日新聞

2021年4月から学長の廣瀬克哉総長は、同大学の学部横断型科目の学生の履修データなどの教育データ「見える化」を推進するなど、「大学のDX(デジタル・トランスフォーメーション)」の推進に熱心な学長のようです。

もし廣瀬氏などが、大学図書館の貸出履歴・利用履歴などのデータもDX化し、教育データの一つとしてさまざまな用途に利用・分析・加工・第三者提供などをすることを考えているとしたら、法令や日本図書館協会の「図書館の自由に関する宣言」などに基づいて、今一度慎重な再検討が必要であると思われます。

同様に、全国の自治体の公立図書館国立国会図書館などにおいても、貸出履歴・利用履歴などのデータを保存する図書館が増えているようですが、そのような図書館・自治体なども、同様に個人情報保護法・行政機関個人情報保護法・独法個人情報保護法・自治体の個人情報保護条例などや「図書館の自由に関する宣言」などに基づいて慎重な再検討が必要になるものと思われます。

*追記
なお、2017年の個人情報保護法改正では、いわゆる2号個人識別符号として、スマホの端末ID、携帯電話番号、IPアドレス、会員証番号なども個人識別符号(法2条2項2号)として個人情報に含まれることが明確化されようとしました。これは当時の政府のパーソナルデータ保護に関する検討会議の委員の森亮二弁護士や、産業技術総合研究所の高木浩光氏などが主張していたものです。しかしこれは楽天やヤフージャパンなどの経済界、経産省や与党などの強い圧力により頓挫してしまいました。
・携帯電話・スマホ等のIDやIPアドレスは個人情報に含まれない?/個人情報保護法改正法案
・【プレゼン】2月4日、自民党で、三木谷代表理事が 個人情報保護法改正案について意見を述べました|新経済連盟
・個人情報定義は新経連の意向で米国定義から乖離しガラパゴスへ(パーソナルデータ保護法制の行方 その16)|高木浩光@自宅の日記
o0800055513265690722
(新経済連盟サイトより)

とはいえ、今回、個人情報保護委員会がガイドラインで貸出履歴・閲覧履歴・購入履歴・位置情報・移動履歴なども一定の場合、個人情報に含まれると明確化したことは、2017年改正のこの2号個人識別符号の考え方の事実上の復活であり、国民の個人情報の保護つまり個人の尊重個人の権利利益の保護(個人情報保護法1条、3条、憲法13条)の観点からは画期的です。

2.「ある個人の興味・関心を示す情報」も個人関連情報となる
(1)「ある個人の興味・関心を示す情報」
また、令和2年個人情報保護法ガイドライン改正パブコメで、ガイドライン(通則編)89頁の個人関連情報の具体例に、閲覧履歴・購買履歴・位置情報とともに「ある個人の興味・関心を示す情報」も明示している点も、個人情報保護委員会のファインプレーでないかと思われます。

個人情報保護法ガイドライン個人関連情報の具体例
つまり、2019年のリクナビ事件における就活生・求職者等の、「どの企業に入社したいか/どのような企業には入社したくないかなどに関する情報」や、内定辞退予測データなども、「ある個人の興味・関心を示す情報」なので、個人に紐付かない、特定の個人を識別できるものでない状態であったとしても、それらの情報は個人関連情報に該当することが個人情報保護委員会により明確化されたのです。

したがって、リクナビなどの人材紹介会社などは、個人情報保護法の法の網をかいくぐるような個人情報・個人データなどの脱法的な利用が今回の法改正で新設された、不適正利用の禁止条項(法16条の2)で規制されるだけでなく、取り扱う情報が「ある個人の興味・関心を示す情報」に該当する場合には個人関連情報に該当するので、第三者提供する際のあらかじめの本人同意の取得の法規制がここでもかかることになります。「PPC、グッジョブ!」としか言いようがありません。

(2)CCCなどのデータマーケティング企業など
同様に、TSUTAYAや武雄市図書館等のツタヤ図書館などを運営し、また共通ポイントのTポイントの運営で約7000万件の国民の個人情報と年間50億件のトランザクション・データを保有するCCCカルチュア・コンビニエンス・クラブ株式会社などのデータマーケティング企業などは、自社のビジネスモデルが個人情報保護法などを遵守しているか、今一度、慎重な再検討が必要なのではないでしょうか。

(3)ネット系人材紹介会社など
また、SNSやGithubなどからさまざまな情報をコンピュータで網羅的に収集し、AIによる分析・加工などを行っているLAPRASHackerBase Jobsなどのネット系人材紹介会社や、それらの人材会社を就活生や転職者などの採用選考に利用しているトヨタ、日産、サイバーエージェント、GMOなどの企業なども、自社のビジネスモデルや人事労務の業務が個人情報保護法制や職業安定法や関連する厚労省通達・指針などの労働法制に抵触していないか、今一度慎重な再検討が必要がなのではないでしょうか。

LAPRASを採用している企業
(LAPRASを利用している企業。LAPRAS社サイトより)

2019年のリクナビ事件では、個人情報保護委員会と厚労省は、リクルートキャリアだけでなく、トヨタなどの企業についても、「社内で個人情報保護法などを十分に検討していなかった」ことは安全管理措置(法20条)違反であると認定し、行政指導・行政処分を実施しています。
・個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について(PDF)|個人情報保護委員会

3.まとめ
このように、個人情報保護委員会は令和2年個人情報保護法改正対応の個人情報保護法ガイドライン改正で、図書館の貸出履歴なども一定の場合に個人情報または要配慮個人情報保護法に該当することを明確化し、「興味・関心」も個人関連情報に該当することを明確化しました。

採用選考・人事評価、PCや監視カメラ・スマホ・センサーなどによる従業員のモニタリングなどの労働分野、GIGAスクール構想や「教育の個別最適化」が推進されている教育分野、信用スコア事業、融資や保険引受審査などに関する金融・保険業、ターゲティング広告などの広告事業、顔認証システムや防犯カメラなどによる防犯事業、SNSのAI分析システムを導入しようとしている警察などは、業務を法的に再検討する必要があると思われます。

■関連する記事
・2020年の個人情報保護法改正に関するガイドライン改正に関するパブコメについて意見を書いてみた-FLoC・プロファイリング・貸出履歴・推知情報・データによる人の選別
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・データによる人の選別
・Github利用規約や厚労省通達などからSNSなどをAI分析するネット系人材紹介会社を考えた















このエントリーをはてなブックマークに追加 mixiチェック

display_monitor_computer
2020年(令和2年)の個人情報保護法改正に関するガイドライン改正に関するパブコメを、2021年6月18日まで個人情報保護委員会が実施していたため、意見を少しだけ書いて提出してみました。

■関連する記事
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集について|e-GOV

1.個人関連情報に関してGoogleの「FLoC」などについて
(該当箇所)
個人情報保護法ガイドライン(通則編)89頁

(意見)
「【個人関連情報に該当する事例】」の「事例1)Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴」に、最近、GoogleがCookieに代わり導入を開始した「FLoC」などの新しい手法により収集された、ある個人のウェブサイトの閲覧履歴等も含まれることを明記すべきである。

(理由)
個人情報保護法26条の2は、2019年のいわゆるリクナビ事件を受けて、個人情報保護法を潜脱するような、本人関与のない個人情報の収集方法が広まることを防止するために、ユーザーの閲覧履歴、属性履歴、移動履歴などのデータを第三者に提供する場合に、提供先で個人データとなることが想定される場合には、個人データの第三者提供に準じる規制を課すことにより、個人のプライバシーなどの権利利益を保護(法1条、3条)するものである。

そのため、個人情報保護法を潜脱するように、CookieでなくGoogleの「FLoC」などの新しい手法を利用することにより、本人関与のない個人情報の収集方法が広がることを防止し、国民の個人の尊重、個人のプライバシー、人格権(憲法13条)などの個人の権利利益を保護(法1条、3条)するために、Cookie等だけでなく、「FLoC」などの新しい手法も個人関連情報に該当することを、包括的に個人情報保護法ガイドライン等に明記すべきである。

2.不適正利用の禁止(法16条の2)とAI・コンピュータによるプロファイリングについて
(該当箇所)
個人情報保護法ガイドライン(通則編)30頁

(意見)
不適正利用の禁止(法16条の2)に関する個人情報保護法ガイドライン(通則編)30頁の「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に、「AI・コンピュータの個人データ等の自動処理(プロファイリング)の行為のうち、個人の権利利益の侵害につながるもの」を明示すべきである。

(理由)
本人の認識や同意なく、ネット閲覧履歴、購買履歴、位置情報・移動履歴やSNSやネット上の書き込みなどの情報をAI・コンピュータにより収集・分析・加工・選別等を行うことは、2019年のいわゆるリクナビ事件や、近年のAI人材会社を標ぼうするネット系人材紹介会社等の実務のように、本人が予想もしない不利益を被る危険性がある。このような不利益は、差別を助長するようなデータベースや、違法な事業者に個人情報を第三者提供するような行為の不利益と実質的に同等であると考えられる。

また、日本が十分性認定を受けているEUのDGPR22条1項は、「コンピュータによる自動処理のみによる法的決定・重要な決定の拒否権」を定め、EUが2021年4月に公表したAI規制法案も、雇用分野の人事評価や採用のAI利用、教育分野におけるAI利用、信用スコアなどに関するAI利用、出入国管理などの行政へのAI利用などへの法規制を定めている。

この点、日本の2000年労働省「労働者の個人情報保護の行動指針」第2、6(6)や厚労省の令和元年6月27日労働政策審議会労働政策基本部会報告書「~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」9頁10頁および、いわゆるリクナビ事件に関する厚労省の通達(職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運営について」)等も、電子機器による個人のモニタリング・監視に対する法規制や、AI・コンピュータのプロファイリングに対する法規制およびその必要性を規定している。

日本が今後もEUのGDPRの十分性認定を維持し、「自由で開かれた国際データ流通圏」政策を推進するためには、国民の個人の尊重やプライバシー、人格権(憲法13条)などの個人の権利利益を保護するため、AI・コンピュータによるプロファイリングに法規制を行うことは不可欠である。

したがって、「AI・コンピュータの個人データ等の自動処理(プロファイリング)の行為のうち、個人の権利利益の侵害につながるもの」を「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に明示すべきである(「不適正利用の禁止義務への対応」『ビジネス法務』2020年8月号25頁参照)。

3.要配慮個人情報と図書館の図書の貸出履歴・本の購買履歴などの推知情報について
(該当箇所)
個人情報保護法ガイドライン(通則編)12頁

(意見)
「次に掲げる情報を推知させる情報にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない」を、「次に掲げる情報を推知させる情報(例:宗教に関する書籍の購買や貸出しに係る情報等)も、要配慮個人情報に該当する」と変更すべきである。

(理由)
令和元年12月13日付個人情報保護委員会「個人情報保護法いわゆる3年ごと見直し制度改正大綱」16頁が「昨今の急速なデータ分析技術の向上等を背景に、潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用の携帯がみられ、個人の懸念が高まりつつある」と指摘するように、近年のAI・コンピュータ等によるプロフィリングの分析技術等の向上は、2019年のいわゆるリクナビ事件などにもみられるとおり、ネット閲覧履歴、購買履歴、位置情報・移動履歴などの「要配慮個人情報を推知させる情報」のデータを分析・加工することにより、本人の内定辞退予測データなど、個人の思想・信条などの要配慮個人情報や内心の自由(憲法19条)などに関する情報を取得することを可能にしており、国民の個人の尊重やプライバシー権の保護、人格権の保護(憲法13条)などの個人の権利利益の保護(個人情報保護法1条、3条)の観点から、「要配慮個人情報を推知させる情報」を法的に放置しておくべきではない(平成30年第196国会・衆議院『衆議院議員松平浩一君提出プロファイリングに関する質問に対する答弁書』参照)。

とくに図書館の図書等の貸出履歴や商品購入履歴・サービス利用履歴などについては、図書館や共通ポイント運営事業者などに対して、警察による捜査関係事項照会による提出要請などが広く行われており、個人の側の懸念が強まっている(2020年12月23日札幌弁護士会「捜査関係事項照会に対する公立図書館等の対応に関する意見」参照)。

したがって、国民の個人の権利利益の保護(法1条、3条)のために、「要配慮個人情報を推知させる情報」についても要配慮個人情報に含めるために、「次に掲げる情報を推知させる情報(例:宗教に関する書籍の購買や貸出しに係る情報等)も、要配慮個人情報に該当する」と変更すべきである。

4.個人関連情報と図書館の図書の貸出履歴・利用履歴などについて
(該当箇所)
個人情報保護法ガイドライン(通則編)90頁

(意見)
「個人関連情報に該当する事例」の「事例3)ある個人の商品購買履歴・サービス利用履歴」に、「ある個人の公共図書館、学校図書館、専門図書館および私設図書館などの図書館等の図書等の貸出履歴を含む図書館の利用履歴(利用事実)」も「個人関連情報に該当する事例」として明記すべきである。

(理由)
個人情報保護法26条の2は、2019年のいわゆるリクナビ事件を受けて、個人情報保護法を潜脱するような、本人関与のない個人情報の収集方法が広まることを防止するために、ユーザーの閲覧履歴、属性履歴、移動履歴などのデータを第三者に提供する場合に、提供先で個人データとなることが想定される場合には、個人データの第三者提供に準じる規制を課すことにより、個人のプライバシーなどの権利利益を保護(法1条、3条)するものである。

図書館の貸出履歴は、ある個人の思想・信条、趣味・嗜好、関心事など個人の内心に関する要配慮個人情報を推知させる重要な情報である。そのため、「商品購入履歴・サービス利用履歴」「位置情報」などとともに、個人関連情報に該当することをガイドライン等に明示すべきである。

図書館の図書等の貸出履歴等を含む利用履歴(利用事実)については、日本図書館協会の「図書館の自由に関する宣言」が「図書館は利用者の秘密を守る」として「憲法第35条にもとづく令状」による照会以外の場合には照会への回答を拒否することを明示しているが、近年の新聞報道や札幌弁護士会の2020年12月23日「捜査関係事項照会に対する公立図書館等の対応に関する意見」等によると、近年、警察の捜査関係事項照会(刑事訴訟法197条2項)など令状によらない任意の照会が図書館に多く実施され、一部の図書館がそれに対して回答を実施しているとのことである。

また、共通ポイントのTポイントによる個人データのデータマーケティングビジネスを運営するCCCカルチュア・コンビニエンス・クラブ株式会社は、指定管理者として武雄市図書館などのいわゆるツタヤ図書館を運営しているが、このツタヤ図書館などにおいては、利用者の貸出履歴などの個人情報・個人データが個人情報保護法を潜脱してCCC社により同社のデータマーケティングビジネスに利用されているのではないかと疑われている。そしてCCC社など大量の国民の個人情報・個人データを保有する企業に対しても、警察が捜査関係事項照会などの令状によらない任意の方法で情報の提供を求めている実態がある(日経新聞2019年1月20日「Tカード情報令状なく提供 規約明記せず、会員6千万人超」参照)。

さらに最近、法政大学などの一部大学が、同大学の図書館の貸出履歴・利用履歴等のデータを、利用者の貸出等が終了した後も保存し、さまざまな用途に利活用する方針を発表し、教職員や学生などの関係者や有識者、国民から大きな批判を受けている。

この点、法26条の2は、個人情報保護法を潜脱するような、本人関与のない個人情報の収集方法が広まることを防止するために、ユーザーの閲覧履歴、属性履歴、移動履歴などを個人関連情報と定義し、個人データの第三者提供に準じる規制を課すことにより、個人の尊重・個人のプライバシー・人格権など(憲法13条)の個人の権利利益を保護(法1条、3条)するものである。

したがって、閲覧履歴、属性履歴、位置情報・移動履歴などと同様に、個人の思想・信条・内心などの要配慮個人情報や、個人のプライバシーのとりわけ重要な部分を推知させる情報である、図書館の図書等の貸出履歴を含む図書館の利用履歴(利用事実)も、個人の権利利益を保護するために「個人関連情報」に該当することを明示すべきである。

5.本人からの開示請求や利用停止等の請求への対応が難しいデータについて、仮名加工情報に加工するなど、個人情報保護法を潜脱する目的で仮名加工情報を取扱ってはならないことについて
(該当箇所)
個人情報保護法ガイドライン匿名加工情報編11頁・個人情報保護法ガイドライン(通則編)17頁


(意見)
ガイドライン匿名加工情報編11頁「仮名加工情報の取扱いに係る義務の考え方」の部分またはガイドライン通則編17頁の「2-10匿名加工情報」の部分などに、「本人からの開示請求や利用停止等の請求への対応が難しいデータについて、仮名加工情報に加工して保有・利用するなど、個人情報保護法を潜脱する目的で仮名加工情報を取扱ってはならない」と明示すべきである。

(理由)
一部の有識者の見解に、「仮名加工情報は、法15条2項、法27条から34条までの規定は適用されないため、本人からの開示請求や利用停止等の請求への対応が難しいデータについて、仮名加工情報に加工して保有・利用することが有力な解決策となる」と指南しているものが見られる(「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号34頁参照)。

このような仮名加工情報の取扱は、仮名加工情報の新設の趣旨を没却し、個人情報保護法を潜脱する脱法的なものであるから、このような行為を禁止する注意書きをガイドライン等に明示すべきである。

6.AI・コンピュータなどのプロファイリングにより取得したデータも個人情報に該当することについて
(該当箇所)
個人情報保護法ガイドライン(通則編)11頁

(意見)
「【個人情報に該当する事例】」の部分に、「AI・コンピュータなどのプロファイリングにより取得した情報・データも法2条1項の個人情報の定義に当てはまる場合は、個人情報に該当する」ことを明示すべきである。

(理由)
最近、「日本の個人情報保護法上、プロファイリングによって取得した情報は「個人情報」には該当しない」などの誤った見解が日本の公的機関の文書などに散見されるため(日銀ワーキングペーパー論文『プライバシーの経済学入門』(2021年6月3日)16頁など)。

■関連する記事
・個人情報保護委員会は図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?ーAI・プロファイリング・データによる人の選別
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・Github利用規約や厚労省通達などからSNSなどをAI分析するネット系人材紹介会社を考えた
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・データによる人の選別
・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた
・苫小牧市立中央図書館が警察の任意の要請により貸出履歴等を提供したことを考える
・Tポイントの個人情報がCCCから任意の照会で警察に提供されていたことを考える

■参考文献
・佐脇紀代志『一問一答令和2年改正個人情報保護法』34頁、62頁
・田中浩之・北山昇「不適正利用の禁止義務への対応」『ビジネス法務』2020年8月号25頁
・「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号34頁
・労働政策審議会労働政策基本部会 報告書 ~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~|厚労省
・厚労省通達・職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運営について」
・令和元年12月13日付個人情報保護委員会「個人情報保護法いわゆる3年ごと見直し制度改正大綱」16頁
・平成30年第196国会・衆議院『衆議院議員松平浩一君提出プロファイリングに関する質問に対する答弁書』|衆議院
・札幌弁護士会「捜査関係事項照会に対する公立図書館等の対応に関する意見」
・日経新聞2019年1月20日「Tカード情報令状なく提供 規約明記せず、会員6千万人超」
・Googleが進める代替技術「FLoC」が問題視されている理由とは?|マイナビニュース













このエントリーをはてなブックマークに追加 mixiチェック

いらすとや個人情報
1.改正個人情報保護法
『週刊東洋経済』2021年3月6日号64頁に、2020年に改正のあった個人情報保護法についての解説記事(「22年施行 情報の「利用」を重視する 個人情報保護の規制強化」)が掲載されていたので読んでみたところ、いくつか気になる点がありました。

本記事は、新卒の就活生の採用において、リクルートキャリア社が分析し販売した就活生の「内定辞退予測データ」をトヨタなどの採用企業が購入して利用していたことが2019年に発覚し、大きな社会問題となったいわゆる「リクナビ事件」やDMP(Data Management Platform)業務を中心的な題材として改正個人情報保護法の解説を行っています。

2.個人関連情報
本記事は、DMPベンダー企業(C社)のサーバーに、A社、B社などさまざまな企業のサイトを閲覧したユーザー・顧客の閲覧履歴が顧客のcookieなどの顧客IDごとに蓄積されてゆき、DMPベンダー企業C社がこの蓄積された閲覧履歴のデータを分析してゆくと、それぞれの顧客がその顧客IDごとに、例えば「40代であり、男性で、自動車に興味がある」などと推測・プロファイリングすることができるとしています(分析結果データ)。

週刊東洋経済閲覧履歴
(「週刊東洋経済」2021年3月6日号65頁より)

そして、C社からこれらの分析結果データを購入したB社は、B社のサーバーに蓄積されたCookieなどの顧客IDや自社の顧客DBなとと情報を突合・名寄せを行い、顧客の実名等を割り出し、マーケティング活動などを行うとしています。

その上で、本記事は、(顧客IDが)「1234のユーザーが40代男性で自動車に興味があるという情報は、まさに個人関連情報だ」としています。

ところで、今回の法改正で新設された、個人関連情報とは、「生存する個人に関する情報であって個人情報、匿名加工情報および仮名加工情報のいずれにも該当しないもの」と定義されています(改正個人情報保護法26条の2第1項かっこ書き)。解説書は、個人関連情報について、「氏名等と結びついていないインターネットの閲覧履歴、位置情報、Cookieなど」が個人関連情報の具体例であるとしています(佐脇紀代志『一問一答令和2年改正個人情報保護法』62頁)。

この点、本記事の説明における、DMPベンダー企業のC社のサーバーに収集された、ユーザーのCookieなどの顧客IDやサイト閲覧履歴などのデータは、まさに個人関連情報ですが、それらの情報・データをC社が分析した結果である、「1234のユーザーが40代男性で自動車に興味があるという情報・データ」は、個人関連情報ではなく、個人情報(個人情報保護法2条1項1号)なのではないでしょうか。

つまり、個人情報とは、「生存する個人に関する情報」であって、「特定の個人を識別することができるもの」です(法2条1項1号)。ここでいう「特定の個人を識別することができる」とは、「生存する具体的な人物と情報との間に同一性を認めることができること」(個人情報保護委員会・個人情報ガイドラインQ&A1-1)であり、特定の個人の「実名」等を識別できることまでは要件とされていません。すなわち、例えば防犯カメラの映像データにおいて、映っている人物の顔や身体的特徴などの「識別のための情報」によって、特定の個人がいわば「この人」であると識別できる場合には、当該個人の実名等が不明であっても、その情報は個人情報となります(岡本久道『個人情報保護法 第3版』72頁)。また、事実そのものを示す情報(事実情報)だけでなく、人事考課のような判断・評価を表す情報(評価情報)も個人情報に該当します(岡本・前掲69頁)。

そのため、DMPベンダー企業C社において、Cookieなどの顧客IDによって特定の個人を「この人」と識別できるうえに、閲覧履歴などを評価・分析した評価情報である「顧客ID1234のユーザーが40代男性で自動車に興味があるという情報・データ」はやはり個人情報であると考えられます。したがって、これらの分析結果の情報を個人関連情報としている本記事は不正確ではないかと思われます。

なお、本記事65頁は、Cookieについて「ブラウザに保存されるテキスト形式の情報のことであり、顧客IDなどを保存するのに使われる」と解説していますが、Cookieが保存されるのは正確にはブラウザではなくパソコンやスマホのストレージ(記憶装置)であると思われます。

(DMPの事業については、従来、Cookieなどは個人ではなくブラウザに付番された情報であるので個人情報ではないという説明がなされてきたようです。しかし、共用のパソコンなどであればともかく、個人のスマートフォンなどは「一人一端末」であることがほとんでであると思われ、その場合、Cookie等の情報は限りなく個人情報そのものと考えられます。)

3.仮名加工情報
本記事66頁は、仮名加工情報とは、「個人情報から、①氏名等、②個人識別符号(生体認証情報やマイナンバー等)、③クレジットカード番号や銀行口座番号など、を削除した情報である」と解説しています。

この点、仮名加工情報について、改正法2条9項は
改正個人情報保護法
2条9項
この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(後略)
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(後略)

と規定しています。つまり、個人情報については個人情報の記述の一部を削除し、個人識別符号に該当する個人情報については個人識別符号の全部を削除したもので他の情報と照合しない限り特定の個人を識別できないよう加工されたものが仮名加工情報です。「クレジットカード番号や銀行口座番号など」は、個人情報(個人識別符号)の一部として明確化がなされるように前回(平成27年)の個人情報保護法改正の際に盛り込まれようとしたものの、経済界の一部の強い反対によりお蔵入りとなったものです。そのため、「個人情報から、③クレジットカード番号や銀行口座番号などを削除した情報」としている本記事は、③の部分については正確でないように思われます。(この点は今後制定される、個人情報保護委員会の施行令・施行規則で明らかになると思われます。)

また、本記事66頁は、「仮名加工情報に加工しておけば、(略)本人からの開示や利用停止等の請求の対象にならない」ことが「企業にとって前向きな改正」と解説しています。

この点、本記事の筆者である影島広泰弁護士は、「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号38頁においても、「仮名加工情報については、15条2項(利用目的の変更)、22条の2(漏えい等の報告)、27条から34条まで(開示・利用停止等の保有個人データに関する本人の権利)の規定は適用されないとされている(改正法35条の2第9項)。したがって、本稿で述べてきた開示請求や利用停止等の請求への対応が難しいデータについては、仮名加工情報に加工して保有・利用するというのが、有力な解決策の1つとなると考えられる。」と解説しておられます。

しかし、仮名加工情報は、例えば製薬会社などの製薬の研究開発のため、企業内部におけるデータ利用などを想定し、企業などの個人情報取扱事業者としての義務を緩和するものです。そのため、仮名加工情報を利用する際に当該企業が他の情報と照合するなどして本人を識別するは禁止されますし(識別行為禁止義務)、第三者提供も禁止されています(改正法35条の2第7項)。また、仮名加工情報のなかの連絡先などの情報を利用することも禁止されています(改正法35条の2第8項)。

もし影島氏が、企業からみて好ましくない顧客のリスト表などの個人情報・個人データを匿名加工情報にすべきだと考えておられるのであれば、しかしそのような個人情報は匿名加工情報に加工しても、個人を特定する用途には利用できませんし、第三者提供もできませんし、さらに連絡先を利用することも禁止されているので、結局、このような各種の用途には利用できず無意味なデータとなってしまうのではないでしょうか。

あるいは、「顧客から隠すために保有個人データを匿名加工情報に加工する」という行為は、今回新設された不適正利用の禁止規定(改正法16条の2)に抵触するのではないでしょうか。

4.閲覧履歴などを採用選考に利用できるのか?
さらに、本記事は、就活生からの本人の同意さえ取れば、リクナビ事件のようなネット閲覧履歴等も企業が採用選考に利用できることを前提として書かれているようです。

しかし、就活生本人から同意を取得すれば、たしかに個人情報保護法はクリアできるかもしれませんが、「採用選考に思想信条や内心等に関連する情報の取得はしてはならない」「社会的差別のもととなる情報を取得してはならない」「本人の仕事をする能力についてのみ採用選考をすること」等としている職業安定法などの労働法に抵触し、やはりネット閲覧履歴等を採用選考に企業などが利用することは許されないのではないでしょうか(職安法5条の4、同法3条、厚労省指針通達労働省平成11年第141号第4、厚労省「公正な採用選考の基本」、浜辺陽一郎『労働法実務相談シリーズ10 個人情報・営業秘密・公益通報』98頁、100頁)。

・厚労省指針通達(平成11年労働省告示第141号)|厚労省
・公正な採用選考の基本|厚労省

厚労省指針通達平成11年労働省第141号

第4 法第5条の4に関する事項(求職者等の個人情報の取扱い)
1 個人情報の収集、保管及び使用
(1) 職業紹介事業者等は、その業務の目的の範囲内で求職者等の個人情報(以下単に「個人情報」という。)を収集することとし、次に掲げる個人情報を収集してはならないこと。ただし、特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合はこの限りでないこと。
 人種、民族、社会的身分、門地、本籍、出生地その他社会的差別の原因となるおそれのある事項
 思想及び信条
 労働組合への加入状況
(2) 職業紹介事業者等は、個人情報を収集する際には、本人から直接収集し、又は本人の同意の下で本人以外の者から収集する等適法かつ公正な手段によらなければならないこと。
(以下略)

つまり、DMP事業者は数千、数万のサイトから情報を収集し、分析したデータをターゲティング広告などに利用しています。そして収集されたネットの閲覧履歴などは、就活生の就職活動に関するデータだけでなく、就活生の趣味嗜好や思想信条、政治的傾向、愛読書や好きなアーティスト等などの情報や、あるいは本人の人種、性別、出身地などのさまざまな情報が含まれます。

しかし、企業等が採用選考にあたり、「思想信条、趣味嗜好、政治的傾向、労働組合歴、愛読書、尊敬する人物」などの情報や、「人種、性別、肌の色、出身地、親の職業・資産状況」などの情報で選考してはならないと職業安定法などが規定しているのは、日本が「個人の尊重」(憲法13条)や内心の自由(19条)や平等原則(14条)などの基本的人権の確立(11条、97条)を掲げる自由主義、民主主義の国家だからです。企業などは、個別の国民から本人同意を取得することはできても、国会による改正などを経ない限り、職業安定法や憲法あるいはわが国の国家のあり方を変えることはできないからです。

そのため、採用側の企業が就活生などから本人の同意を取得することで、かりに個人情報保護法をクリアすることができたとしても、閲覧履歴などの個人の内心に関する情報や社会的差別の原因となるおそれのある情報を、企業が採用選考のために収集し利用することはやはり許されないことになります。

(そのことは、ネット上の情報を収集して業務を行っている、LAPRASなどのネット系人材紹介会社にも同様にあてはまると思われます。)

■参考文献
・佐脇紀代志『一問一答令和2年改正個人情報保護法』62頁
・岡村久道『個人情報保護法 第3版』72頁、69頁
・浜辺陽一郎『労働法実務相談シリーズ10 個人情報・営業秘密・公益通報』98頁、100頁
・高木浩光「個人データ保護とは何だったのか」『世界』2019年11月号55頁
・影島広泰「情報の「利用」を重視する 個人情報保護の規制強化」『週刊東洋経済』2021年3月6日号64頁
・影島広泰「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号34頁
・厚労省指針通達(平成11年労働省告示第141号)|厚労省
・公正な採用選考の基本|厚労省

■関連するブログ記事
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える




週刊東洋経済 2021年3/6号 [雑誌]

一問一答 令和2年改正個人情報保護法 (一問一答シリーズ)

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

個人情報保護法〔第3版〕

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ