なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人関連情報

display_monitor_computer
1.電気通信事業法の改正
2022年2月に総務省の「電気通信事業ガバナンス検討会報告書」(以下「本報告書」という)が公表されたことを受けて、第208回国会の衆議院に「電気通信事業法の一部を改正する法律案」が上程されました(以下「改正法案」という)。改正法案は5月13日に衆議院で可決され、現在、参議院で審議が行われています。本改正法案は、①電気通信事業者などに対して利用者情報の外部への送信に関する規律を新設したこと、②新たにSNSや検索サービスの事業者を届出の対象としたこと、③大規模な電気通信事業者等に対して利用者情報の適切な取扱に関する規律を新設したことなどが注目されています。このブログ記事では、とくに利用者情報に関する部分について見てみたいと思います。

・「電気通信事業ガバナンス検討会報告書」及び意見募集の結果の公表|総務省
・電気通信事業ガバナンス検討会報告書(PDF)|総務省
・第208回閣法48号 電気通信事業法の一部を改正する法律案|衆議院
・新旧対照表(PDF)|総務省

図1
(電気通信事業法の具体的な規律。総務省「電気通信事業ガバナンス検討会報告書」70頁より)

2.電気通信事業法の適用対象-「電気通信事業を営む者」・「第3号事業」
本報告書は、電気通信事業法の対象になるかどうかについて、まず「電気通信事業を営む者」に該当するか否かで判断するとしています。この「電気通信事業を営む者」とは、電気通信役務(電気通信設備(光ファイバーなど)を用いて「他人の」通信を媒介し、その他電気通信設備を「他人の」通信の用に供すること)を反復継続して(「業」として)行い、利益を得ようとしている(「営む」)者のことです。(そのため、例えば企業が自社商品等を掲載するウェブサイトなどは「自分のため」(自己の需要のため)であるので対象外となります。)

図2
(「『電気通信事業を営む者』とは」。総務省「電気通信事業ガバナンス検討会報告書」70頁より)

つぎに、「電気通信事業を営む者」のうち、電気通信回線設備を設置する、または、他人の通信を媒介する者は登録・届出が必要な「電気通信事業者」であるとします(法9条の登録、16条1項の届出)。この電気通信事業者の具体例は、固定電話・携帯電話の事業者、インターネット接続サービス(ISP)、利用者間のメッセージ媒介サービス、ウェブ会議システムなどです。この登録・届出が必要な「電気通信事業者」には、①検閲の禁止(法3条)・通信の秘密の保護(法4条)、②利用の公平(法6条)、③登録・届出、④提供条件の説明などの消費者保護、⑤事故が発生したときの報告、などの義務が課されています。

さらに、「電気通信事業を営む者」のうち、登録・届出が不要な「電気通信事業者」(「電気通信事業を営む者」のうち、電気通信回線設備を設置せず、かつ、他人の通信を媒介しない者)の具体例は、SNS、検索サービス、オンラインでの情報提供サービス、オンラインストレージ、電子掲示板、オンラインのショッピングモールなどですが、これを本報告書と本改正法案は「第3号事業」と呼んでいます(法164条1項3号)。この「第3号事業」については、これまでは、検閲の禁止(法3条)、通信の秘密の保護(法4条)などの義務が課されているだけでした。

しかし本改正法案は、この「第3号事業」のうち、①検索サービスと②SNS、については次の3.のように、規模の大きな事業者を届出の対象とするとしています(改正法案164条2項4号(検索情報電気通信役務)、5号(媒介相当電気通信役務))。

図3
(「電気通信事業法の規律対象の整理」。総務省「電気通信事業ガバナンス検討会報告書」71頁より)

3.「利用者に関する情報についての規制」の新設
本改正法案は、届出・登録が必要な電気通信事業者と、検索サービス、SNSのうち規模の大きな電気通信事業者について、「利用者に関する情報」(「特定利用者情報」)を適正に取扱う義務を新設することとなっています(改正法案27条の5)。(本報告書はこの大規模な電気通信事業者の目安を、「例えば、国内…1000万人以上」の利用者がある事業者としています(本報告書48頁注65)。)

この「特定利用者情報」とは、①「通信の秘密に該当する情報」、②「利用者を識別することができる情報であって総務省令で定めるもの」、の2つとされています(改正法案27条の5第1号、2号)。また、この「利用者」とは、①「電気通信事業者又は第3号事業を営む者との間に電気通信役務の提供を受ける契約を締結する者その他これに準じる者として総務省令で定める者」と②「電気通信事業者又は第3号事業を営む者から電気通信役務の提供を受ける者」の2つの者を指すとされています(改正法案2条7号イ、ロ)。そのためこの「利用者」には自然人だけでなく法人も含まれます。

そして、届出・登録が必要な電気通信事業者と、検索サービス、SNSのうち規模の大きな電気通信事業者について、「特定利用者情報」を適正に取扱う義務とは、具体的にはつぎの4つとなっています。

「特定利用者情報」を適正に取扱う義務

①特定利用者情報の適正な取扱いに関する規定(「情報取扱規程」)の策定・届出(改正法案27条の6)
②特定利用者情報の適正な取扱いに係る方針(「情報取扱方針」)の策定および公表(27条の8)
特定利用者情報の適正な取扱い状況に関する評価と対策への反映(27条の9)
特定利用者情報統括管理者の選任(27条の10)

4.「利用者情報の外部送信」に関する規律の新設
(1)「利用者情報の外部送信」に関する規律
また、改正法案は、電気通信事業者または第三号事業を営む者、つまり「電気通信事業を営む者」のうち総務省令で定める者に対して、新たに利用者情報の送信に関する規律が新設されています(改正法案27条の11(情報送信指令通信に係る通知等))。すなわち、利用者がウェブサイトやアプリを利用する際に、利用者の意思によらず、利用者に関する情報である利用者の端末情報(例えば端末に保存された閲覧履歴、システムログ、Cookieなど)がウェブサイト運営者またはアプリ提供事業者またはそれ以外の第三者に外部送信される際に、利用者に確認の機会を与えるための規律です。

この規律は具体的には、電気通信事業を営む者が、利用者のPCやスマートフォン等に記録された利用者に関する端末情報を外部に送信させようとする際には、その情報の内容、送信先等を利用者に通知または利用者が容易に知りうる状態に置かなければならない(自社サイトへの表示など)とするものです。ただし、利用者への通知等はつぎの4つの場合には例外的に不要とされています(田中浩之・蔦大輔・北山昇「改正対応!個人情報保護法の基礎 第22回 電気通信事業法改正法案は個人情報保護に関係ある?」『会社法務A2Z』2022年5月号52頁)。

利用者への通知等が例外的に不要とされる4つの場合

①適正表示のために必要な情報
(例)文字や画像を適正に表示するためのOS情報、画像設定、言語設定情報など

②利用者の識別符号
(例)ウェブサイトの管理者・運営者が発行している1st Party Cookieなど

③利用者が外部送信に同意している情報

④外部送信についてオプトアウト措置がなされている情報
(田中・蔦・北山・前掲53頁より)

(2)「利用者情報の外部送信」に関する規律と個人情報保護法の個人関連情報との異同
なお、この改正法案の利用者に関する情報の規制と個人情報保護法31条の個人関連情報との異同が問題となりますが、まず個人関連情報は自然人(個人)が対象ですが、改正法案は自然人と法人の両方が対象となります。つぎに個人関連情報は、第三者提供を行い、かつ提供先が当該情報を個人データとして取得する場合に適用されますが、改正法案は利用者に関する情報が外部送信される時点で適用となります。さらに個人関連情報は本人の同意のみしか正当化の根拠がありませんが、改正法案は、本人の同意、通知・公表、オプトアウトと正当化の根拠が複数存在します(田中・蔦・北山・前掲53頁)。

5.その他
その他、改正法案は、①サイバー攻撃への対応の強化、②光ファイバー回線のユニバーサルサービス化のための対応、などの改正が盛り込まれています。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・田中浩之・蔦大輔・北山昇「改正対応!個人情報保護法の基礎 第22回 電気通信事業法改正法案は個人情報保護に関係ある?」『会社法務A2Z』2022年5月号50頁
・総務省「電気通信事業ガバナンス検討会報告書」
・第208回閣法48号 電気通信事業法の一部を改正する法律案|衆議院













このエントリーをはてなブックマークに追加 mixiチェック

三菱銀行トップページ
(三菱UFJ銀行サイトより)

1.はじめに
2022年5月8日の読売新聞の報道によると、三菱UFJ銀行はサイバーエージェントと提携し、年度内に自社の個人・法人の顧客の金融資産などの個人データを利用した広告事業を年度内に開始するとのことです。記事によると三菱UFJ銀行はこの新しい広告事業を同銀行本体で実施するようですが、これは2021年の銀行法改正で可能になったスキームのようです。銀行の広告事業などには関心があったため、2021年の銀行法改正や個人情報保護法上の「本人の同意」について少し調べてみました。

・三菱UFJ銀、サイバーエージェントと提携し広告事業参入…同意得て匿名化の顧客情報活用|読売新聞

2.三菱UFJ銀行の広告のスキーム
まず、本記事によると、「三菱UFJ銀は約3400万人の預金口座や約120万社の取引データの活用を想定している。顧客の事前の同意を前提に、口座所有者の年齢や性別、住所に加え、預金額や運用資産・住宅ローンの有無といった金融データを匿名化した上で利用する。広告主は宣伝したい対象として、例えば「預金1000万円以上の女性」や「資産運用している40歳代男性」などに絞る。対象に合った個人や法人が、スマホやパソコンなどの端末でSNSやアプリ、検索サイトなどを利用すると、広告が表示される仕組み」とのことです。

三菱銀行の広告スキーム図
(三菱UFJ銀行の広告事業のスキーム図。読売新聞より)

3.2021年の銀行法改正
(1)2021年の銀行法改正の趣旨
令和3年の第204国会で5月19日に成立した「新型コロナウイルス感染症等の影響による社会経済情勢の変化に対応して金融の機能の強化及び安定の確保を図るための銀行法等の一部を改正する法律」は新型コロナの社会的影響を受けて、日本経済の回復・再生を力強く支える金融機能を確立するため、規制緩和や環境整備を推進するために、銀行に対してはデジタル化や地方創生への貢献を強化するための銀行法改正が行われています。

概要2
(2021年銀行法改正の概要。金融庁サイトより)

(2)銀行法改正の具体的内容
①銀行業高度化会社の他業業務の認可の要件の緩和
広告事業などの関係をみると、まず、2017年に制度が開始した銀行の子会社としての「銀行業高度化等会社」は、ITを活用した銀行業務の高度化などを認めるための制度ですが、従来「他業」とされていたFintechや地域商社業務などを金融庁の他業の認可を受けて実施するものでした。この認可には収入依存度規制などの厳格な規制が存在していました。これに対して2021年の改正銀行法は、銀行高度化等会社の業務に「地域の活性化、産業の生産性の向上その他の持続可能な社会の構築に資する業務」が新たに追加されました。この業務の個別列挙は行われず、各銀行の創意工夫で幅広い業務を行うことが可能となります。具体的には、デジタル、地域創生、持続可能な社会の構築などに関する業務が想定されています。この業務は、収入依存度規制はなくなり銀行の負担を減らして金融庁の認可が取得できることになっています。(改正銀行法16条の2第1項15号など。)

②特例銀行業高度化等業務を行う銀行業高度化等会社の新設
つぎに、銀行業高度化等会社の他業認可よりも基準が緩い「特例銀行業高度化等業務」のみを行う高度化等会社というカテゴリが新設されました。この高度化等会社の業務は個別列挙されていますが、具体的には、①Fintech、②地域商社、③登録型人材派遣、④自行アプリやシステムの販売、⑤データ分析・マーケティング・広告、⑥ATM保守点検、⑦障害者雇用促進の特例子会社、⑧成年後見業務などが想定されています。そしてこれらの他業の金融庁の認可については収入度依存度規制などの厳格な規制はなくなり、銀行の負担が緩和されています。(改正銀行法52条の23の2第6項など。)

③銀行本体の付随業務
さらに、金融システムの潜在的なリスク(優越的な地位の濫用等)に配慮しつつ、銀行本体の付随業務に銀行業に係る経営資源を主として活用して営む業務であって、デジタル化や地方創生などの持続可能な社会の構築に資するものが個別列挙され認められることになりました。具体的には、①自行アプリやシステムの販売、②データ分析・マーケティング・広告、③登録型人材派遣、④コンサルティングなどが個別列挙されます。そして従来、銀行本体の付随業務には「銀行業との機能的な親近性」などの要件が課されていましたが、個別列挙された業務にはその制約がなくなります。(改正銀行法10条2項21号など。)

4.改正銀行法10条2項21号および金融分野における個人情報保護に関するガイドライン
(1)改正銀行法10条2項21号
読売新聞の本記事を読むと、三菱UFJ銀行が行おうとしているデータ分析・マーケティング・広告事業は③の銀行本体における業務であると思われます。そこで、個人情報に関する顧客の本人の同意についてはどうなっているのかと改正銀行法10条2項21号をみると、ここには特に規定がありません。

銀行法

(業務の範囲)
第十条 銀行は、次に掲げる業務を営むことができる。
 預金又は定期積金等の受入れ
 資金の貸付け又は手形の割引
 為替取引
 銀行は、前項各号に掲げる業務のほか、次に掲げる業務その他の銀行業に付随する業務を営むことができる。
(略)
二十一 当該銀行の保有する人材、情報通信技術、設備その他の当該銀行の営む銀行業に係る経営資源を主として活用して営む業務であつて、地域の活性化、産業の生産性の向上その他の持続可能な社会の構築に資する業務として内閣府令で定めるもの

(2)主要行等向けの総合的な監督指針
つぎに、金融分野個人情報保護ガイドライン(金融分野における個人情報保護に関するガイドライン)14条(個人関連情報の第三者提供の制限等(法第31条関係))1項 はつぎのように規定しています。

金融分野個人情報保護ガイドライン

第14条1項

金融分野における個人情報取扱事業者は、個人関連情報取扱事業者から法第31条第1項の規定による個人関連情報の提供を受けて個人データとして取得するに当たり、同項第1号の本人の同意を得る(提供元の個人関連情報取扱事業者に同意取得を代行させる場合を含む。)際には、原則として、書面によることとし、当該書面における記載を通じて、

① 対象となる個人関連情報の項目
② 個人関連情報の提供を受けて個人データとして取得した後の利用目的

本人に認識させた上で同意を得ることとする。

すなわち、個人情報保護法31条と同様に金融分野個人情報保護ガイドライン14条1項も、銀行が顧客の顧客番号、PCやスマートフォン等の端末ID、Cookie、閲覧履歴などの個人関連情報を広告会社などに第三者提供する際には、本人の同意を得ることが必要であるとしています。

5.まとめ
したがって、仮に三菱UFJ銀行が広告事業を行うにあたり、顧客の属性や金融資産情報などを匿名加工情報にしたとしても、顧客番号、PCやスマートフォン等の端末ID、Cookie、閲覧履歴などの個人関連情報を第三者提供する限りはやはり本人の同意の取得が必要となります。

なお、この銀行法改正に関連して、例えば野村総合研究所は銀行の広告事業を支援するサービスを開始したそうです(野村総合研究所「野村総合研究所、銀行の広告事業への進出を支援する「バンクディスプレイ」サービスを開始」)。

概要3
(野村総合研究所「野村総合研究所、銀行の広告事業への進出を支援する「バンクディスプレイ」サービスを開始」より)

このスキームは銀行と広告主の間に野村総研が入り、銀行の個人データなどの第三者提供などを媒介するスキームであるようです。この野村総研のスキームにおいては、銀行は個人関連情報だけでなく、金融資産や属性データ、閲覧履歴、行動履歴などの個人データの第三者提供のための顧客の本人の同意をあらかじめ取得することが必要であると思われます(個人情報保護法27条1項)。

■参考文献
・荒井伴介・脇裕司・杉本陽・豊永康史「2021年銀行法等の一部を改正する法律の概要」『金融法務事情』2170号(2021年9月25日号)14頁
・家森信善「業務範囲規制の緩和を生かして顧客支援の充実を」『銀行実務』2021年8月号12頁
・松本亮孝・今拓久真・椎名沙彩・赤井啓人「金融分野における個人情報保護に関するガイドライン改正の概要」『『金融法務事情』2183号(2022年4月10日号)9頁

■関連する記事
・情報銀行ビジネス開始を発表した三菱UFJ信託銀行の個人情報保護法の理解が心配な件
・みずほ銀行のみずほマイレージクラブの改正を考える-J.Score・信用スコア・個人情報
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・コロナの緊急事態宣言をうけ、代表取締役が招集通知後に取締役会決議を経ずに株主総会の日時場所を変更したことが違法でないとされた裁判例-大阪地決令2.4.22
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

















このエントリーをはてなブックマークに追加 mixiチェック

display_monitor_computer
1.日経のプライバシーポリシーが改正される
日本経済新聞社から最近来たメールによると、令和2年・令和3年に改正された個人情報保護法が今年4月1日から施行されることを受けて、同社のプライバシーポリシー(日経IDプライバシーポリシー)が4月1日に改正されるとのことです。ところがこの改正後の日経IDプライバシーポリシーをざっと見たところ、個人情報保護法的に突っ込みどころが満載で驚いてしまいました。

・(改正後)日経IDプライバシーポリシー|日本経済新聞

2.Cookie、IPアドレスおよびサイト閲覧履歴などは個人情報ではない?
(1)個人情報と個人関連情報
第一に、改正後の日経IDプライバシーポリシー(以下「本プライバシーポリシー」とする)の「はじめに」を読むと、日経新聞が取扱う情報を4つ(あるいは3つ)に分類するようです。

日経プライバシーポリシー1
(「(改正後)日経IDプライバシーポリシー」より)

つまり、まず情報を①氏名、住所、職業などの「お客様登録情報」、②Cookie、サイト閲覧履歴、IPアドレス、OSなどの環境情報などの「ご利用履歴情報」の2つに分類しています。

日経プライバシーポリシー3
(「(改正後)日経IDプライバシーポリシー」より)

そしてさらに、②のご利用履歴情報について、お客様登録情報と関連付けて収集するか否かで場合分けし、③「お客様登録情報と関連付けて収集するご利用履歴情報」と、④「お客様登録情報と関連付けないで収集するご利用履歴情報」の2つに分けています。③の具体例としては「日経ID登録されたお客さまの日経電子版閲覧履歴や閲覧状況など」があげられており、④の具体例としては「日経ID登録されていないお客さまの日経電子版閲覧履歴や閲覧状況など」があげられています。

その上で本プライバシーポリシーは、①と②は個人情報であり、④は個人関連情報(個人情報保護法2条7項)であるとしています。

しかし、④に関するこの説明は正しいといえるのでしょうか。個人関連情報(法2条7項)は令和2年の個人情報保護法改正で新設されたもので、具体例としてはCookieやIPアドレス、サイトの閲覧履歴、位置情報などのことであり、条文上は「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう」と定義されています(法2条7項)。

そして、個人情報保護委員会(PPC)の個人情報保護法ガイドライン通則編(2022年4月1日版)22頁の個人関連情報に関する注(※)はつぎのように説明しています。
(※) 個人情報に該当する場合は、個人関連情報に該当しないことになる。例えば、一般的に、ある個人の位置情報それ自体のみでは個人情報には該当しないが、個人に関する位置情報が連続的に蓄積される等して特定の個人を識別することができる場合には、個人情報に該当し、個人関連情報には該当しない。(個人情報保護法ガイドライン通則編(2022年4月1日版)22頁より)

個人情報保護法ガイドライン22ページ
(個人情報保護法ガイドライン通則編(2022年4月1日版)22頁より)

すなわち、PPCのガイドライン22頁の注は、CookieやIPアドレス、閲覧履歴、位置情報、移動履歴なども「連続的に蓄積」されると、それぞれがお互いに差異のあるユニークなデータとなり、たとえ個人名を識別できないとしても、「あの人のデータ、この人のデータ」と、ある個人(特定の個人)を識別できるデータになるから、それは個人情報でありもはや個人関連情報ではないと明記しています。

(参考)
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?

個人関連情報などの図

したがって、④「お客様登録情報と関連付けないで収集するご利用履歴情報」であっても、「連続的に蓄積」されたデータは個人情報であり、これも一律に個人関連情報であるとしている本プライバシーポリシーは正しくありません。

(2)個人情報の容易照合性
さらに、個人情報は、生存する(a)「個人に関する情報であって」かつ(b)「特定の個人を識別できるもの」です(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁)。そしてさらに(c)「(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」(=容易照合性)と定義されています(法2条1項1号)。

この(c)の容易照合性について、PPCの個人情報保護法ガイドラインQA1-18は、「事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合において…双方の取扱部門の間で、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができる状態である場合は、「容易に照合することができ」る状態であると考えられます。」としています。

個人情報ガイドライン1-18の1
個人情報ガイドライン1-18の2
(個人情報保護法ガイドラインQA(2022年4月1日版)より)

日経新聞社の社内の個人情報関係のデータベースの仕組みやアクセス制御、社内規程などを私は知りませんが、しかし一般論としては、同一の企業内のある部門のもつデータベースと別の部門のもつデータベースはお互いに職員が情報を照会して照合することが可能であると思われます。そうでなければ利用できず、社内でリソースを使って収集・保存する意味がないからです。

そう考えると、日経新聞社内のご利用履歴情報のデータベースとお客様登録情報のデータベースは容易に照合が可能であるといえるのではないでしょうか。すると、④「お客様登録情報と関連付けないで収集するご利用履歴情報」であっても、お客様登録情報と容易に照合してある個人を識別できる個人情報であるといえる情報・データも存在するものと思われ、この点からも日経の本プライバシーポリシーは正しくないと思われます。

3.第三者提供について
第二に、気になる個人情報の第三者提供について、本プライバシーポリシーをみると、「3.個人情報の提供など」の部分は、本人同意による第三者提供(法27条1項(改正前法23条1項))についてはそれなりに記載がありますが、広告業者、DMP業者などへの第三者提供のオプトアウト方式(法27条2項(改正前法23条2項))の記載がないことが気になります。
日経プライバシーポリシー6
(「(改正後)日経IDプライバシーポリシー」より)

従来は50も100もオプトアウト先が列挙されており、ネット上では「オプトアウトが事実上不可能」と批判されていました。その日経新聞の個人データの提供先にはGoogleやFacebook、Twitter、ヤフーや楽天、LINE、セールスフォースなどのIT企業が列挙されていましたが、あれはどうなってしまったのでしょうか?

アクセスデータの共有先1
アクセスデータの共有先2
オーディエンスワン概要図
(日経新聞社サイトより。2022年3月5日現在)

また、上でみた個人関連情報は、個人情報ではありませんが、国民・消費者保護のため、第三者提供には本人の同意が必要となっています(法31条)。にもかかわらず、日経の本プライバシーポリシーが、④「お客様登録情報と関連付けないで収集するご利用履歴情報」の提供について本人同意について何も書いていないのは大丈夫なのでしょうか?不安が残ります。

4.「広告業者等に単体では個人を識別できない情報を提供する」
第三に、利用目的の「(5)個人情報の共同利用について」は「広告業者等に単体では個人を識別できない情報を提供する」との記載があります。この「単体では個人を識別できない情報」とは匿名加工情報のことなのでしょうか?しかし、データを潰してならして個人が識別できないようにした匿名加工情報を提供されても、広告企業やDMP業者などは業務には使えないのではないでしょうか?

この点、個人データから氏名や住所などの個人データの一部を削除した仮名加工情報が今回の令和2年の個人情報保護法の改正で新設されました(法2条5項、法41条)。しかし仮名加工情報は他の情報と照合して本人を識別することは禁止され(同条7項)、本人に電話や郵便・メールなどでアクセスすることも禁止され(同条8項)、そしてさらに仮名加工情報の利用は社内に限られ、第三者提供は禁止されています(同条6項、同42条1項)。したがって、もし万が一、日経新聞社が「単体では個人を識別できない情報」として仮名加工情報を広告業者やDMP業者などに提供しようとしているとしたら、それは個人情報保護法41条6項および法42条1項違反です。

5.「外国にある第三者」など
第四に、保有する個人情報に講じた安全管理措置の記載などがないことも気になります(法27条1項)。また、本プライバシーポリシーの共同利用の事業者一覧には、中国法人なども含まれていますが、LINEの個人情報問題で注目を集めた「外国にある第三者」(法28条)に関して、外国の個人情報保護法制などの情報に関する記載がないことも気になります。「外国にある第三者」に関しては、委託や事業承継、共同利用は対象外となっていないからです(法28条1項後段、宇賀克也『新・個人情報保護法の逐条解説』285頁)。
共同利用1
(「(改正後)日経IDプライバシーポリシー」より)

6.まとめ
Twitterなどで拝見していると、日経新聞記者は個人情報保護法に強い方が多いのに、本プライバシーポリシーはいろいろと大丈夫なのだろうかと心配になる点が多々あります。日経新聞社内の法務部などは事前にリーガルチェックなどをしっかり実施しているのでしょうか。「日本の企業・国は国民の個人情報をますます利活用して日本の経済発展を!」と「個人情報の利活用」を熱心に主張している日経新聞のプライバシーポリシーがこれでは、今後の日本のデジタル庁などの政府やIT企業、製薬会社、自動車メーカーなどの個人情報の取り扱いが心配になります。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・宇賀克也『新・個人情報保護法の逐条解説』285頁
・佐脇紀代志『一問一答令和2年改正個人情報保護法』24頁、54頁、62頁、71頁
・鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁

■関連する記事
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム

















このエントリーをはてなブックマークに追加 mixiチェック

PPCトップ画面
1.令和2年改正個人情報保護法ガイドラインのパブコメ結果が公表
8月2日に個人情報保護委員会(PPC)が令和2年改正個人情報保護法ガイドラインのパブコメ結果を公表していたので、気になる部分をざっと見てみました。

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集の結果について|個人情報保護委員会

2.個人関連情報(改正法26条の2第1項)とGoogleのFLoC
令和2年改正の個人情報保護法26条の2第1項は、「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」を「個人関連情報」と定義し、事業者が個人関連情報を第三者提供し、提供先においてそれが個人データとして利用されることが想定される場合には、本人の同意が必要であるとしています。

これは2019年の就活生の内定辞退予測データの販売を行っていたリクナビ事件を踏まえて、個人情報保護法を潜脱して、本人関与のない個人情報の収集方法が広まることを防止するためのものです(佐脇紀代志『一問一答令和2年改正個人情報保護法』60頁)。

この個人関連情報は、具体的には、氏名などと結びついていないインタネットの閲覧履歴、位置情報、Cookieなどが該当するとされています(佐脇・前掲62頁)。

この点、今回の改正個人情報保護法ガイドライン(通則編)の個人関連情報に関するパブコメ結果308は、「Cookieなどだけでなく、Googleが最近、Cookieに代わり導入を開始したFLoCなどの新しい収集方法で取得されたデータについても個人関連情報に含まれることを明記すべきではないか」との意見(不肖な私の意見なのですが)に対して、PPCは「個人関連情報の定義にあてはまるものは個人関連情報に該当する。個別の判断になるが、収集の方法によって判断がかわるものではない。」と回答しています。

GoogleのFLoCなど

GoogleなどのIT事業者が、個人情報保護法を潜脱するためにFLoCなどの新しい手法を導入することは、個人関連情報の新設の趣旨に反するので、このPPCの回答は国民個人の権利利益の保護・人権保障の観点(法1条、3条、憲法13条)から、非常にグッジョブ!!であると考えられます。

今後、GoogleなどのIT企業がCookieやFLoCなどに代わるさらに新しいデータの収集方法を開始したとしても、それで収集されるデータが「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」にあたるのであれば、個人関連情報に該当し、第三者提供の際に本人の同意が必要になるとPPCは考えていると思われます。

3.個人関連情報と図書館の貸出履歴など
また、改正個人情報保護法ガイドライン(通則編)の個人関連情報に関するパブコメ結果315は、「ある個人の図書館の貸出履歴・利用履歴(利用事実)も個人関連情報や個人情報に該当しうることを明記すべきではないか」との意見(不肖・私の意見ですが)に対して、PPCは「個別の事案ごとに判断することになるが、図書館の利用履歴について、特定の個人を識別することができる場合(他の情報と容易に照合して特定の個人を識別できる場合を含む)には個人情報(法2条1項)に該当し、個人情報に該当しない場合には、「ある個人に関する情報」である限り、個人関連情報に該当する」と明快に回答しています。これもPPC超グッジョブ!!と言わざるをえません。

図書館の貸出履歴1
図書館の貸出履歴2


この点、現在の、平成27年(2015年)改正の個人情報保護法ガイドライン(通則編)は、要配慮個人情報(法2条3項)に関する2-3(要配慮個人情報)の部分のなお書きとして、「なお、次に掲げる情報(=要配慮個人情報))を「推知させる情報」にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない。」との記述を置いており、宗教に関する書籍の購買や貸出しに係る情報等などのような要配慮個人情報を「推知させる情報」は重要でないどうでもよい情報・データであるとの誤解が社会に広まってしまったような気がします(一種の「個人情報保護法による過剰反応」。なお令和2年改正の個人情報保護法ガイドラインにおいても、このなお書き自体は残っている。)。

しかし今回のこの個人情報保護法ガイドライン(通則編)パブコメ結果315は、図書館の貸出履歴・利用履歴なども個人情報に該当し、個人情報に該当しなくても、「ある個人に関する情報」である場合は個人関連情報に該当すると明確に回答していることは非常に重要な意味があると思われます。

貸出履歴・閲覧履歴などの個人情報・個人関連情報の該当性の図2

つまり、図書館の貸出履歴データ・利用履歴データをさまざまな用途に利活用しようとしてる法政大学、国会図書館などや、ツタヤ図書館などを運営するCCCなどのデータマーケティング企業やIT企業、さらに警察からの令状によらない照会に安易に応じ回答を行っている図書館、学校図書館の貸出履歴データ・利用履歴データなど図書館の利用以外に転用している学校・教育委員会・国などは、それらの業務が個人情報保護法など法令に違反してないか再検討が必要であると思われます。

■関連する記事
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?

同時に、今回のパブコメ結果を踏まえたPPCの令和2年改正個人情報保護法ガイドライン(通則編)の2-3-1-1(個人関連情報)の部分は、つぎのとおり、「Cookieなどで収集されたある個人のウェブサイトの閲覧履歴」、「メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等」、「個人の商品購買履歴・サービス利用履歴事例」、「ある個人の位置情報事例」、「ある個人の興味・関心を示す情報」などのデータ・情報も、それが連続して蓄積された場合には個人情報に該当し、個人情報に該当しない場合は個人関連情報に該当すると明記しています。

個人関連情報に該当する事例
(令和2年改正個人情報保護法ガイドライン(通則編)の2-3-1-1(個人関連情報)の部分より)

そのため、ヤフージャパン、LINEなどのIT企業、ターゲティング広告などの広告事業者、共通ポイントなどを運営するCCCや楽天などのデータマーケティング事業者、通信事業者・プロバイダ(ISP)やSuicaなどを運営するJR各社などの鉄道事業者・運輸事業者、コネクテッドカー・プラットフォームを運営する自動車メーカー、ネット上の通販を行うAmazonや楽天、メルカリや、ネットバンクや電子マネーやQRコード決済などの電子決済を行う金融関係の事業者、銀行・保険・証券、信用スコアや情報銀行などの業務を行う金融機関、テレビの閲覧履歴などを利用しているテレビ局、電気・ガス・水道などの利用履歴・ライフログなどを利用しているインフラ事業者、ネット閲覧履歴や移動履歴・購買履歴などを利用しているリクルート・LAPRASなどの人材企業やHRテックの事業者、タブレット端末などの操作履歴などを利用してEdTechやGIGAスクール構想などを推進しているベネッセや学校・教育委員会、文科省などは、今一度、自らの業務が個人情報保護法などの法令に違反していないか、再検討が必要であると思われます。この個人関連情報の新設は、影響範囲が非常に大きいと思われます。

4.AIやコンピュータによるプロファイリングについて
さらに、前述のリクナビ事件の問題や、2018年に施行されたEUのGDPR(EU一般データ保護規則)22条が「プロファイリング拒否権」(コンピュータやAIの個人データの自動処理のみによる法的決定・重要な決定の拒否権)を規定していることや、本年4月にEUがAI規制法案を公表したことなどから、AIやコンピュータによる人間のプロファイリングの危険(データによる人の選別の危険)に関する関心が日本社会でも高まっています。(最近の一部の情報法の学者の先生方は、個人データ保護法制の本当の立法目的は、プロファイリング拒否権であるとのご見解を示しておられるようです。)

この点、個人情報保護法ガイドライン(通則編)のパブコメ結果57は、「プロファイリングによる個人データの収集・利用などが個人の権利・利益を侵害するおそれがあるような場合については、これが個人情報の不適正利用の禁止条項(法16条の2)に該当し違法なものとなることを明記すべきではないか」との質問(不肖・私の質問ですが)に対して、PPCは「「プロファイリングの目的や得られたデータの利用方法など個別の判断が必要であるが、プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合は、不適正利用に該当する場合があり得る。」と回答しています。

プロファイリング2

このように、AIやコンピュータによるプロファイリングの法規制に関して、PPCはEUやアメリカの一部の州などの個人データ保護法の先進国・地域と異なり、慎重な姿勢を示しています。

しかし少なくとも、リクナビ事件のような、就活生などの求職者のネット閲覧履歴などのデータを収集し、AIで内定辞退予測データなどの就活生などに大きな不利益をもたらすおそれのあるデータを生成し、求人を行っているトヨタなどの企業にそのデータを販売・第三者提供するような行為は、「プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合に該当し、不適正利用であり違法であるとPPCに判断される可能性があると思われます。

そのため、AIを求職者の採用活動などに利用している雇用分野やHRtechの企業・人材会社・事業会社の人事部門や、AIを教育に利用している教育業界や学校・教育委員会・文科省、AIや顔認証システムを搭載した防犯カメラ・監視カメラ・商用カメラなどを利用や開発・販売している警備業界・警察・小売業・電気メーカーや、AIを信用スコアやローンの審査・保険の引受審査・保険金支払査定などに利用している銀行・保険などの金融機関、出入国管理など行政上の審査にAIを利用している行政庁などは、自らの業務が令和2年改正の個人情報保護法に抵触しないか、今一度再検討が必要であると思われます。

■関連する記事
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR

5.その他・委託の「まぜるな危険」の問題、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当のパブコメ意見!?
(1)委託の「まぜるな危険」の問題
その他にも、この令和2年改正個人情報保護法ガイドラインパブコメ結果は、通則編のパブコメ結果351に、経営法友会からの「委託の「まぜるな危険の問題」」の質問へのPPCの回答が載っているなど、個人情報保護法や情報セキュリティなどに関係する人にとって見どころが満載です。(委託の「まぜるは危険の問題」がPPCの公式文書に掲載されたのは、これがおそらく初めてではないでしょうか。)

委託のまぜるな危険の問題

(2)「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のパブコメ意見!?
また、このパブコメ結果で異様なのは、法人・個人や各種団体などからの意見にまじって、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」からのパブコメ意見が大量に提出されていることです。PDFファイル上で検索するとなんと31件もあるようです。しかも、他の個人・法人のほとんどが、PPCのパブコメ要綱を遵守して「意見」・「理由」を分けて丁寧な文言で意見や質問などを提出しているのに、この内閣府の担当者は意見・理由を分けずに、上から目線のあまり上品でないだらだらとした言葉使いで31件もの意見を書いています。

さらにパブコメ結果を読んでいて驚くことは、この内閣府健康・医療戦略推進事務局の担当者は、個人情報保護法の条文の文言上の理解すらできておらず、おそらく実務上も個人情報の取扱を経験したことがないような、官僚というよりまるで大学法学部の1年生かのような素人質問をPPCに対して、まるで顧客が企業のコールセンターに電話で質問するかのように、カジュアルに投げつけていることです。
内閣府5
(ガイドライン(通則編)のパブコメ結果275。内閣府の担当者は法23条2項のオプトアウトによる第三者提供に関して「いちいち事業者が本人に対して通知を行わねばならないことは面倒である」という趣旨の意見を述べていますが、PPCも回答しているように、法23条2項は「通知または公表」と規定しており、事業者に「通知」を義務付けていません。)

「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」は、国民のカルテや処方箋データなどのセンシティブな個人情報である医療データを国が一元的に収集し、IT企業や製薬会社などに利活用させる次世代医療基盤法などの担当所管のはずですが、個人情報保護法の素人のような人間が担当者で本当に大丈夫なのでしょうか?   国民としては非常に心配です。

くわえて、この内閣府健康・医療戦略推進事務局次世代医療基盤法担当の担当者の意見は、個人情報取扱事業者の法的義務を削減することを要求する内容のものが多く含まれています。この点は、内閣府や個人情報保護委員会の行政の公平性・中立性(国家公務員法96条1項、憲法15条2項など)が損なわれるおそれがあるだけでなく、国の個人情報保護行政デジタル行政などがゆがめられてしまうおそれがあるのではないでしょうか。

■関連する記事
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・2020年の個人情報保護法改正に関するガイドライン改正に関するパブコメについて意見を書いてみた-FLoC・プロファイリング・貸出履歴・推知情報・データによる人の選別
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権















このエントリーをはてなブックマークに追加 mixiチェック


サーバー群

1.図書館の貸出履歴なども連続的に蓄積されて特定の個人を識別できる場合は個人情報になる
(1)令和2年個人情報保護法ガイドライン改正パブコメ
令和2年個人情報保護法ガイドライン改正パブコメが6月18日まで実施されていました。
・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集について|e-GOV

ここで個人情報保護委員会(PPC)が示した個人情報保護法ガイドラインの案を読んで、個人的にPPCの一番のファインプレーだと思ったのは、個人情報保護法ガイドライン(通則編)90頁の、「3-7-1-1個人関連情報」(個人情報保護法26条の2)のところの注意書きに、次のようにと明示し、"図書館貸出履歴等「連続的に蓄積」されて特定の個人を識別できる場合は個人情報に該当し、さらにそれがある個人の思想・信条などに該当する場合は要配慮個人情報に該当すること"を明確化したことではないかと思われます。

個人情報に該当する場合は個人関連情報には該当しないことになる。例えば、ある個人の位置情報それ自体のみでは個人情報には該当しないものではあるが、個人に関する位置情報が連続的蓄積される等して特定の個人を識別することができる場合には、個人情報該当」する(個人情報保護委員会「個人情報保護法ガイドライン(通則編)」90頁「3-7-1-1個人関連情報」(個人情報保護法26条の2)注意書き)。
つまり、例えば、図書館等の貸出履歴や書店での本・DVD・CD等の購入履歴等が「連続的に蓄積」されて「特定の個人を識別できる場合」(=実名等がわからなくても「あの人、この人」と識別できる場合)には当該情報・データは「個人情報」に該当し、さらにそれが個人の「思想・信条」「病歴」などに該当すれば「要配慮個人情報」に該当するとPPCは考えていると思われます。

貸出履歴・閲覧履歴などの個人情報・個人関連情報の該当性の図2

すなわち、図書館の連続的に蓄積されて特定の個人を識別できる貸出履歴・利用履歴等は個人情報であり、それが思想・信条等に該当する場合には要配慮個人情報であると個人情報保護委員会が認めたことになります。

(2)これまでの個人情報保護委員会の「要配慮個人情報を推知させる情報」の考え方
もちろん、個人情報保護法2条1項の個人情報の定義は、「個人に関する情報」であって、電磁的記録などを含むさまざまな情報・記述などで「特定の個人を識別できるもの」は個人情報に該当するとしているので、この個人情報保護委員会の考え方は当然といえば当然です(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁)。
個人情報の定義『ニッポンの個人情報』
鈴木正朝・高木浩光・山本一郎「「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編)」EnterpriseZineより

しかし、2017年法改正を受けたこれまでの個人情報保護法ガイドライン(通則編)の「2-3 要配慮個人情報」は、「なお、次に掲げる情報(=要配慮個人情報)を推知させる情報にすぎないもの(例:宗教に関する書籍購買貸出しに係る情報等)は、要配慮個人情報には含まない」という塩対応な注意書きを明示していました(岡村久道『個人情報保護法 第3版』87頁)。

そのため、「本人の思想・信条などの内心を推知させる情報も要配慮個人情報に含めて扱うべき」と、宮下紘・中大教授(憲法・情報法)などの学者の方々から批判されてきたところです(宮下紘「図書館と個人情報保護」『時の法令』平成28年1月15日号50頁)。

(3)図書館の貸出履歴などの情報の利活用の推進派は、個人情報保護法などの再検討が必要となる
もし、図書館の貸出履歴・利用履歴などが個人関連情報でしかないとすると、第三者提供の際の本人同意が必要なだけにとどまりますが(法26条の2)、個人情報であるとなると、利用目的の特定(法15条)や、本人同意のない目的外利用の禁止(法16条)、不適正な収集の禁止(法17条)、安全管理措置(法20条~22条)、第三者提供の本人同意(法23条1項)、開示・訂正・利用停止等の請求への対応(法28条~34条)などの各義務が事業者に要求されることになります。

そしてさらに図書館の貸出履歴・利用履歴などが要配慮個人情報に該当するとなると、原則として収集の際に事前の本人の同意が必要(法17条2項)となり、また、オプトアウト方式による第三者提供も禁止(法23条2項かっこ書き)されることになり、さらに事業者の義務が重くなります。

また、個人情報、要配慮個人情報、その他個人に関する情報を事業者などが不適正に取り扱った場合、個人情報保護法とは別に、事業者などが当該個人からプライバシー権侵害などを主張され、不法行為に基づく損害賠償責任を負う可能性もあります(民法709条、憲法13条)。

この点、最近も、法政大学の大学図書館の貸出履歴などを保存する方針に対して教職員、有識者などから反対の声が上がっていることが話題となっています。
・広がる図書館の履歴保存 脅かされる秘密、懸念の声も|朝日新聞

2021年4月から学長の廣瀬克哉総長は、同大学の学部横断型科目の学生の履修データなどの教育データ「見える化」を推進するなど、「大学のDX(デジタル・トランスフォーメーション)」の推進に熱心な学長のようです。

もし廣瀬氏などが、大学図書館の貸出履歴・利用履歴などのデータもDX化し、教育データの一つとしてさまざまな用途に利用・分析・加工・第三者提供などをすることを考えているとしたら、法令や日本図書館協会の「図書館の自由に関する宣言」などに基づいて、今一度慎重な再検討が必要であると思われます。

同様に、全国の自治体の公立図書館国立国会図書館などにおいても、貸出履歴・利用履歴などのデータを保存する図書館が増えているようですが、そのような図書館・自治体なども、同様に個人情報保護法・行政機関個人情報保護法・独法個人情報保護法・自治体の個人情報保護条例などや「図書館の自由に関する宣言」などに基づいて慎重な再検討が必要になるものと思われます。

*追記
なお、2017年の個人情報保護法改正では、いわゆる2号個人識別符号として、スマホの端末ID、携帯電話番号、IPアドレス、会員証番号なども個人識別符号(法2条2項2号)として個人情報に含まれることが明確化されようとしました。これは当時の政府のパーソナルデータ保護に関する検討会議の委員の森亮二弁護士や、産業技術総合研究所の高木浩光氏などが主張していたものです。しかしこれは楽天やヤフージャパンなどの経済界、経産省や与党などの強い圧力により頓挫してしまいました。
・携帯電話・スマホ等のIDやIPアドレスは個人情報に含まれない?/個人情報保護法改正法案
・【プレゼン】2月4日、自民党で、三木谷代表理事が 個人情報保護法改正案について意見を述べました|新経済連盟
・個人情報定義は新経連の意向で米国定義から乖離しガラパゴスへ(パーソナルデータ保護法制の行方 その16)|高木浩光@自宅の日記
o0800055513265690722
(新経済連盟サイトより)

とはいえ、今回、個人情報保護委員会がガイドラインで貸出履歴・閲覧履歴・購入履歴・位置情報・移動履歴なども一定の場合、個人情報に含まれると明確化したことは、2017年改正のこの2号個人識別符号の考え方の事実上の復活であり、国民の個人情報の保護つまり個人の尊重個人の権利利益の保護(個人情報保護法1条、3条、憲法13条)の観点からは画期的です。

2.「ある個人の興味・関心を示す情報」も個人関連情報となる
(1)「ある個人の興味・関心を示す情報」
また、令和2年個人情報保護法ガイドライン改正パブコメで、ガイドライン(通則編)89頁の個人関連情報の具体例に、閲覧履歴・購買履歴・位置情報とともに「ある個人の興味・関心を示す情報」も明示している点も、個人情報保護委員会のファインプレーでないかと思われます。

個人情報保護法ガイドライン個人関連情報の具体例
つまり、2019年のリクナビ事件における就活生・求職者等の、「どの企業に入社したいか/どのような企業には入社したくないかなどに関する情報」や、内定辞退予測データなども、「ある個人の興味・関心を示す情報」なので、個人に紐付かない、特定の個人を識別できるものでない状態であったとしても、それらの情報は個人関連情報に該当することが個人情報保護委員会により明確化されたのです。

したがって、リクナビなどの人材紹介会社などは、個人情報保護法の法の網をかいくぐるような個人情報・個人データなどの脱法的な利用が今回の法改正で新設された、不適正利用の禁止条項(法16条の2)で規制されるだけでなく、取り扱う情報が「ある個人の興味・関心を示す情報」に該当する場合には個人関連情報に該当するので、第三者提供する際のあらかじめの本人同意の取得の法規制がここでもかかることになります。「PPC、グッジョブ!」としか言いようがありません。

(2)CCCなどのデータマーケティング企業など
同様に、TSUTAYAや武雄市図書館等のツタヤ図書館などを運営し、また共通ポイントのTポイントの運営で約7000万件の国民の個人情報と年間50億件のトランザクション・データを保有するCCCカルチュア・コンビニエンス・クラブ株式会社などのデータマーケティング企業などは、自社のビジネスモデルが個人情報保護法などを遵守しているか、今一度、慎重な再検討が必要なのではないでしょうか。

(3)ネット系人材紹介会社など
また、SNSやGithubなどからさまざまな情報をコンピュータで網羅的に収集し、AIによる分析・加工などを行っているLAPRASHackerBase Jobsなどのネット系人材紹介会社や、それらの人材会社を就活生や転職者などの採用選考に利用しているトヨタ、日産、サイバーエージェント、GMOなどの企業なども、自社のビジネスモデルや人事労務の業務が個人情報保護法制や職業安定法や関連する厚労省通達・指針などの労働法制に抵触していないか、今一度慎重な再検討が必要がなのではないでしょうか。

LAPRASを採用している企業
(LAPRASを利用している企業。LAPRAS社サイトより)

2019年のリクナビ事件では、個人情報保護委員会と厚労省は、リクルートキャリアだけでなく、トヨタなどの企業についても、「社内で個人情報保護法などを十分に検討していなかった」ことは安全管理措置(法20条)違反であると認定し、行政指導・行政処分を実施しています。
・個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について(PDF)|個人情報保護委員会

3.まとめ
このように、個人情報保護委員会は令和2年個人情報保護法改正対応の個人情報保護法ガイドライン改正で、図書館の貸出履歴なども一定の場合に個人情報または要配慮個人情報保護法に該当することを明確化し、「興味・関心」も個人関連情報に該当することを明確化しました。

採用選考・人事評価、PCや監視カメラ・スマホ・センサーなどによる従業員のモニタリングなどの労働分野、GIGAスクール構想や「教育の個別最適化」が推進されている教育分野、信用スコア事業、融資や保険引受審査などに関する金融・保険業、ターゲティング広告などの広告事業、顔認証システムや防犯カメラなどによる防犯事業、SNSのAI分析システムを導入しようとしている警察などは、業務を法的に再検討する必要があると思われます。

■関連する記事
・2020年の個人情報保護法改正に関するガイドライン改正に関するパブコメについて意見を書いてみた-FLoC・プロファイリング・貸出履歴・推知情報・データによる人の選別
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・データによる人の選別
・Github利用規約や厚労省通達などからSNSなどをAI分析するネット系人材紹介会社を考えた















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ