なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:第三者提供

三菱銀行トップページ
(三菱UFJ銀行サイトより)

1.はじめに
2022年5月8日の読売新聞の報道によると、三菱UFJ銀行はサイバーエージェントと提携し、年度内に自社の個人・法人の顧客の金融資産などの個人データを利用した広告事業を年度内に開始するとのことです。記事によると三菱UFJ銀行はこの新しい広告事業を同銀行本体で実施するようですが、これは2021年の銀行法改正で可能になったスキームのようです。銀行の広告事業などには関心があったため、2021年の銀行法改正や個人情報保護法上の「本人の同意」について少し調べてみました。

・三菱UFJ銀、サイバーエージェントと提携し広告事業参入…同意得て匿名化の顧客情報活用|読売新聞

2.三菱UFJ銀行の広告のスキーム
まず、本記事によると、「三菱UFJ銀は約3400万人の預金口座や約120万社の取引データの活用を想定している。顧客の事前の同意を前提に、口座所有者の年齢や性別、住所に加え、預金額や運用資産・住宅ローンの有無といった金融データを匿名化した上で利用する。広告主は宣伝したい対象として、例えば「預金1000万円以上の女性」や「資産運用している40歳代男性」などに絞る。対象に合った個人や法人が、スマホやパソコンなどの端末でSNSやアプリ、検索サイトなどを利用すると、広告が表示される仕組み」とのことです。

三菱銀行の広告スキーム図
(三菱UFJ銀行の広告事業のスキーム図。読売新聞より)

3.2021年の銀行法改正
(1)2021年の銀行法改正の趣旨
令和3年の第204国会で5月19日に成立した「新型コロナウイルス感染症等の影響による社会経済情勢の変化に対応して金融の機能の強化及び安定の確保を図るための銀行法等の一部を改正する法律」は新型コロナの社会的影響を受けて、日本経済の回復・再生を力強く支える金融機能を確立するため、規制緩和や環境整備を推進するために、銀行に対してはデジタル化や地方創生への貢献を強化するための銀行法改正が行われています。

概要2
(2021年銀行法改正の概要。金融庁サイトより)

(2)銀行法改正の具体的内容
①銀行業高度化会社の他業業務の認可の要件の緩和
広告事業などの関係をみると、まず、2017年に制度が開始した銀行の子会社としての「銀行業高度化等会社」は、ITを活用した銀行業務の高度化などを認めるための制度ですが、従来「他業」とされていたFintechや地域商社業務などを金融庁の他業の認可を受けて実施するものでした。この認可には収入依存度規制などの厳格な規制が存在していました。これに対して2021年の改正銀行法は、銀行高度化等会社の業務に「地域の活性化、産業の生産性の向上その他の持続可能な社会の構築に資する業務」が新たに追加されました。この業務の個別列挙は行われず、各銀行の創意工夫で幅広い業務を行うことが可能となります。具体的には、デジタル、地域創生、持続可能な社会の構築などに関する業務が想定されています。この業務は、収入依存度規制はなくなり銀行の負担を減らして金融庁の認可が取得できることになっています。(改正銀行法16条の2第1項15号など。)

②特例銀行業高度化等業務を行う銀行業高度化等会社の新設
つぎに、銀行業高度化等会社の他業認可よりも基準が緩い「特例銀行業高度化等業務」のみを行う高度化等会社というカテゴリが新設されました。この高度化等会社の業務は個別列挙されていますが、具体的には、①Fintech、②地域商社、③登録型人材派遣、④自行アプリやシステムの販売、⑤データ分析・マーケティング・広告、⑥ATM保守点検、⑦障害者雇用促進の特例子会社、⑧成年後見業務などが想定されています。そしてこれらの他業の金融庁の認可については収入度依存度規制などの厳格な規制はなくなり、銀行の負担が緩和されています。(改正銀行法52条の23の2第6項など。)

③銀行本体の付随業務
さらに、金融システムの潜在的なリスク(優越的な地位の濫用等)に配慮しつつ、銀行本体の付随業務に銀行業に係る経営資源を主として活用して営む業務であって、デジタル化や地方創生などの持続可能な社会の構築に資するものが個別列挙され認められることになりました。具体的には、①自行アプリやシステムの販売、②データ分析・マーケティング・広告、③登録型人材派遣、④コンサルティングなどが個別列挙されます。そして従来、銀行本体の付随業務には「銀行業との機能的な親近性」などの要件が課されていましたが、個別列挙された業務にはその制約がなくなります。(改正銀行法10条2項21号など。)

4.改正銀行法10条2項21号および金融分野における個人情報保護に関するガイドライン
(1)改正銀行法10条2項21号
読売新聞の本記事を読むと、三菱UFJ銀行が行おうとしているデータ分析・マーケティング・広告事業は③の銀行本体における業務であると思われます。そこで、個人情報に関する顧客の本人の同意についてはどうなっているのかと改正銀行法10条2項21号をみると、ここには特に規定がありません。

銀行法

(業務の範囲)
第十条 銀行は、次に掲げる業務を営むことができる。
 預金又は定期積金等の受入れ
 資金の貸付け又は手形の割引
 為替取引
 銀行は、前項各号に掲げる業務のほか、次に掲げる業務その他の銀行業に付随する業務を営むことができる。
(略)
二十一 当該銀行の保有する人材、情報通信技術、設備その他の当該銀行の営む銀行業に係る経営資源を主として活用して営む業務であつて、地域の活性化、産業の生産性の向上その他の持続可能な社会の構築に資する業務として内閣府令で定めるもの

(2)主要行等向けの総合的な監督指針
つぎに、金融分野個人情報保護ガイドライン(金融分野における個人情報保護に関するガイドライン)14条(個人関連情報の第三者提供の制限等(法第31条関係))1項 はつぎのように規定しています。

金融分野個人情報保護ガイドライン

第14条1項

金融分野における個人情報取扱事業者は、個人関連情報取扱事業者から法第31条第1項の規定による個人関連情報の提供を受けて個人データとして取得するに当たり、同項第1号の本人の同意を得る(提供元の個人関連情報取扱事業者に同意取得を代行させる場合を含む。)際には、原則として、書面によることとし、当該書面における記載を通じて、

① 対象となる個人関連情報の項目
② 個人関連情報の提供を受けて個人データとして取得した後の利用目的

本人に認識させた上で同意を得ることとする。

すなわち、個人情報保護法31条と同様に金融分野個人情報保護ガイドライン14条1項も、銀行が顧客の顧客番号、PCやスマートフォン等の端末ID、Cookie、閲覧履歴などの個人関連情報を広告会社などに第三者提供する際には、本人の同意を得ることが必要であるとしています。

5.まとめ
したがって、仮に三菱UFJ銀行が広告事業を行うにあたり、顧客の属性や金融資産情報などを匿名加工情報にしたとしても、顧客番号、PCやスマートフォン等の端末ID、Cookie、閲覧履歴などの個人関連情報を第三者提供する限りはやはり本人の同意の取得が必要となります。

なお、この銀行法改正に関連して、例えば野村総合研究所は銀行の広告事業を支援するサービスを開始したそうです(野村総合研究所「野村総合研究所、銀行の広告事業への進出を支援する「バンクディスプレイ」サービスを開始」)。

概要3
(野村総合研究所「野村総合研究所、銀行の広告事業への進出を支援する「バンクディスプレイ」サービスを開始」より)

このスキームは銀行と広告主の間に野村総研が入り、銀行の個人データなどの第三者提供などを媒介するスキームであるようです。この野村総研のスキームにおいては、銀行は個人関連情報だけでなく、金融資産や属性データ、閲覧履歴、行動履歴などの個人データの第三者提供のための顧客の本人の同意をあらかじめ取得することが必要であると思われます(個人情報保護法27条1項)。

■参考文献
・荒井伴介・脇裕司・杉本陽・豊永康史「2021年銀行法等の一部を改正する法律の概要」『金融法務事情』2170号(2021年9月25日号)14頁
・家森信善「業務範囲規制の緩和を生かして顧客支援の充実を」『銀行実務』2021年8月号12頁
・松本亮孝・今拓久真・椎名沙彩・赤井啓人「金融分野における個人情報保護に関するガイドライン改正の概要」『『金融法務事情』2183号(2022年4月10日号)9頁

■関連する記事
・情報銀行ビジネス開始を発表した三菱UFJ信託銀行の個人情報保護法の理解が心配な件
・みずほ銀行のみずほマイレージクラブの改正を考える-J.Score・信用スコア・個人情報
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・コロナの緊急事態宣言をうけ、代表取締役が招集通知後に取締役会決議を経ずに株主総会の日時場所を変更したことが違法でないとされた裁判例-大阪地決令2.4.22
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

















このエントリーをはてなブックマークに追加 mixiチェック

doctor_isya_warui
1.はじめに
NHKの5月14日のニュースによると、帯広中央病院、済衆館病院、JA広島総合病院、福井赤十字病院、府中病院(大阪)の5か所の病院の眼科医5名が、米医療機器会社の日本法人「スター・ジャパン」社に対して、患者の白内障手術をスター・ジャパン社のカメラで撮影した画像データを3年間にわたり繰り返し第三者提供し現金(40万円~105万円)を受け取っていたことが発覚したとのことです。

・“手術動画”無断で外部提供か 病院側「再発防止に努めたい」|NHKニュース

本事件は、センシティブ情報の要配慮個人情報である医療データについて、①取得にあたり「本人の同意」は適正に取得されていたのか、②医療機器メーカーに販売するという利用目的での本人の同意は取得されていたのか、あるいは目的外利用に本人の同意はあったのか、③医療機器メーカーに販売するという第三者提供について本人の同意は得られていたのか、④各病院の安全管理措置、⑤医師の守秘義務などが主に問題になると思われます。

2.要配慮個人情報
白内障手術の画像データは、「医師等により心身の状態の改善のための指導又は診療」に該当する「診察情報」(個人情報保護法施行令2条3項)に該当するので、要配慮個人情報に該当します(個人情報保護法2条3項)。そして要配慮個人情報の収集にあたっては原則として「本人の同意」が必要となります(法20条2項)。(岡村久道『個人情報保護法 第4版』237頁、91頁。)

3.「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」における「本人の同意」
この「本人の同意」について、平成29年4月29日・個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の「Ⅳ 医療・介護関係事業者の義務等」の「9.個人データの第三者提供(法第27条)」の「(3)本人の同意が得られていると考えられる場合」は、つぎのような場合は本人の同意は得られているとしています(黙示の同意)。

「(略)このため、第三者への情報の提供のうち、患者の傷病の回復等を含めた患者への医療の提供に必要であり、かつ、個人情報の利用目的として院内掲示等により明示されている場合は、原則として黙示による同意が得られているものと考えられる。(後略)」
病院の本人の同意
(個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」より)

つまり、①患者への医療の提供に必要であり、かつ、②個人情報の利用目的として院内掲示板等により明示されている場合、には、患者本人からの明確な本人同意がなくても黙示の同意が得られており、「本人の同意」は適法に取得されていると本ガイダンスはしています。

この点、例えば今回問題となった帯広協会病院は、同病院サイトでプライバシーポリシーのなかで利用目的を表示しています。

帯広病院1
帯広病院2
(帯広協会病院サイトより)

しかしこの帯広協会病院のプライバシーポリシーの利用目的には、「外部の医療機器メーカーなどの医療機器の研究開発に協力する」であるとか、「外部の医療機器メーカーなどに患者の医療データを販売(第三者提供)する」などの利用目的は記載されていません。(個人情報保護委員会等の本ガイダンスに記載されている利用目的の例をみると、他の4つの病院にも記載はないものと思われます。)

4.小括
(1)そのため、本事件において、5つの病院は本人の同意なしに要配慮個人情報の患者の白内障手術の画像データを取得している点で法20条2項違反であり、また本人の同意なしに患者の個人データを目的外利用し、またスター・ジャパン社に第三者提供しているので、法18条1項違反および法27条1項違反であると思われます。さらに、所属する眼科医がこのような違法な行為をしていたことを見逃していた帯広協会病院など5つの病院は、病院内の個人情報に関する安全管理措置に重大な落ち度があったといえると思われます(法23条、24条)。

(2)加えて、今回違法に提供された白内障手術の画像データの全部または一部をスター・ジャパン社に提供し、現金を受け取っていた5名の医師および病院は、1年以下の懲役又は50万円以下の罰金の個人情報データベース等提供罪に該当する可能性があるのではないでしょうか(法174条)。同時にこの医師らは守秘義務違反として刑事責任を問われる可能性があります(刑法134条)。

5.被害にあった患者の方などについて
本事件では、白内障手術の画像データという個人データが本人の同意なしに目的外利用され、また第三者提供されているので、被害にあった患者の方は、各病院に対して、個人データの利用の停止または消去と、第三者提供の停止請求を行うことができます(法35条1項、3項)。また、被害にあった患者の方々は、各病院および各医師に対してプライバシー権の侵害として不法行為に基づく損害賠償責任を請求することができます(民法709条、715条)。

6.個人情報保護委員会など
本事件は個人情報漏洩事故といえるので、各病院は個人情報保護委員会および厚労省に対して報告をし、被害者に通知するとともに公表することが義務付けられています(法26条)。

一方、個人情報保護委員会および厚労省は、各病院に対して報告を徴求し立入検査を行い(法143条)、指導・助言や勧告・命令などの行政指導・行政処分を出すことができます(法144条、145条)。

7.まとめ
このように本事件は、センシティブ情報の要配慮個人情報である医療データについて、①取得にあたり「本人の同意」が適正に取得されておらず違法であり、②医療機器メーカーに販売するという利用目的での本人の同意は取得されておらず違法な目的外利用であり、③個人データの医療機器メーカーへの第三者提供について本人の同意は得られておらず違法であり、④各病院の安全管理措置は尽くされておらず、⑤医師の守秘義務違反による刑事責任やプライバシー侵害による不法行為に基づく損害賠償請求権が問題となる事案であると思われます。

■追記(5月17日)
NHKのニュースによると、本事件について、厚労省はスター・ジャパン社に聞き取りをするなどの調査を開始したとのことです。また、業界団体の「医療機器業公正取引協議会」も調査を開始したとのことです。今後の展開が気になるところです。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・岡村久道『個人情報保護法 第4版』237頁、91頁、400頁、405頁
・平成29年4月29日・個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」

■関連する記事
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム













このエントリーをはてなブックマークに追加 mixiチェック

smartphone_blank_police_man

このブログ記事の概要
本判決は、警察から民間企業への住民の個人情報を違法として高額な損害賠償を認定した画期的な判決である。しかし警察による住民・国民の個人情報の収集・保管などについてはほぼ自由に実施することを容認している点に問題が残っている。警察の保有する個人情報について、原告側からの削除請求を退けている点も問題である。警察や行政による国民・住民の個人情報の収集については国会による立法が必要であると思われる。

1.警察が電力会社に個人情報を提供したことを違法とした裁判例が岐阜地裁で出される
新聞報道などによると、岐阜県大垣市での風力発電施設建設をめぐり、県警大垣署に個人情報を収集され中部電力の子会社に提供されたのは違法として、住民4人が国家賠償などを求めた訴訟の判決が2022年2月21日、岐阜地裁で出されたとのことです。岐阜地裁は「プライバシー情報を積極的かつ意図的、継続的に提供した態様は悪質」として原告全員に計220万円を支払うよう県に命じたとのことです。警察が個人情報を第三者提供したことを違法とした判決はこれが初めてとのことで、画期的な判決です。

・警察が個人情報提供は「違法」 岐阜地裁判決「意図的で悪質」|朝日新聞

2.事案の概要
判決によると、2013年から2014年にかけて、大垣署警備課の警察官3人が4回にわたり、大垣市で風力発電施設を計画していた中部電力子会社シーテックの社員と署で情報交換したとのことです。風力発電の勉強会を開くなどしていた原告らの氏名や学歴、市民運動歴、病歴などの個人情報を提供していたとのことです。

3.判決の概要(岐阜地裁令和4年2月22日判決)
岐阜地裁判決はおおむねつぎのように判示しています。

(1)大垣署が第三者提供した原告の個人情報について
『風力発電事業に反対する活動や過去に関与した市民運動の情報は、思想信条に関連する情報であり、プライバシーに関する情報の中でも要保護性が高い』

(2)警察の情報収集について
『必要性はそれほど高いものではなかったが、原告らの活動が市民運動に発展した場合、抽象的には危険性はないとはいえない』として違法性を否定した。

(3)個人情報の削除請求について
原告側の国と県に対する個人情報の削除請求については、『対象となる情報の特定性を欠く』として退けた。

(4)大垣署がシーテック社に個人情報を提供したことの判断
判決は『目的や必要性、態様、情報の秘匿性』などの点で検討。原告らは風力発電の勉強会を行っていたにすぎず、『公共の安全や秩序の維持に危害が及ぶ危険性は生じていなかった』と述べ、提供する必要性はなく、態様も悪質だとして、国家賠償法上違法と判断し、原告全員に計220万円の損害賠償を認めた。

4.検討
(1)玉蟲由樹教授のコメント
朝日新聞の取材に対して日大の憲法の玉蟲由樹教授はつぎのようにコメントしておられます。
日本大学の玉蟲由樹教授(憲法学)の話
個人情報保護において、非常に重要な判決だ。警察の調査能力は大きく、ささいな情報でも、大量に集めることで個人の人格全体が把握できてしまう。第三者への情報提供を、憲法が保護する個人の自由の侵害だと認めたことは、警察が私企業に対し、意見交換を口実にむやみやたらと情報を提供する歯止めとなる。一方、収集の必要性を低いハードルで認めたことは課題だ。市民の行動を萎縮させる効果があるのに、法律の根拠や第三者の監視がないという構造的な問題に触れていない。警察による情報収集や提供を監視する、プライバシーに配慮した枠組みが必要だ。

(2)實原隆志教授のコメント
NHKの取材に対して福岡大学の實原隆志教授(憲法)はつぎのようにコメントしておられます。
・警察官が個人情報を企業に提供 プライバシー権の侵害で違法|NHK

福岡大学の實原隆志教授のコメント
「憲法で保障されたプライバシーを、みだりに第三者に提供されない権利が原告のおかれたさまざまな状況を踏まえて審査された判決で、警察による情報提供を違法としたのは画期的な判決だ。警察も無制限な情報提供ができなくなるのではないか」
また、實原隆志先生(@t_jitsuhara)はTwitterでも本判決につき、つぎのようにコメントしておられます。
記事の方でコメントを掲載していただきました。「あんまり褒めるな」と言いつつ、褒めたコメントになっていますが、情報の収集・保存面での検討は不十分だと思います。また、公文書があるかわからないのに、削除を求める情報を特定せよというのも無理筋な要求だと思います。
實原先生ツイッター
(實原隆志先生(@t_jitsuhara)のTwitterより)
https://twitter.com/t_jitsuhara/status/1496012407873114114

(3)大垣警察市民監視違憲訴訟・原告弁護団の声明
さらに本件訴訟の原告弁護団(大垣警察市民監視違憲訴訟・原告弁護団)は2月21日付で声明を出しています。

・一審判決弁護団声明|大垣警察市民監視違憲訴訟・原告弁護団

第一審弁護団声明

同声明は、警察からシーテック社への個人情報の第三者提供について『警察は「公共の安全と秩序の維持」のために必要な活動であると主張していたが、判決はこの主張を退けて原告らのプライバシー侵害を認め、国民の権利を守る正当な判断を下した。』と本判決を評価しています。

しかし同声明は、『公安警察が個人情報を提供できたのは、目星を付けた特定の個人の情報を集め、保有し続けているからに他ならないが、この点について、判決が、収集・保有の必要性がないとはいえないと判断し違法性を認めなかった点は問題である。警察が個人情報を収集・保有する明確な法的根拠は存在しない。公安警察は警察法2条1項を根拠として主張しているが、同条項は、「公共の安全と秩序の維持」という行政事務を警察組織に委ねるという組織規範であって、権限規範ではない。国民は、法的な根拠なく、公安警察に個人情報を収集・保有されているのであり、プライバシーを侵害されているというべきである。』と指摘していますが、この指摘は正当であると思われます。

さらに同声明は、『判決は、原告らが切望している個人情報の抹消請求について、請求が特定されていないとして却下の判断をした。司法救済の道を閉ざすものであり重大な問題である。』と指摘していますが、この主張も正当であると思われます。

(4)検討
(a)プライバシー権侵害
玉蟲教授、實原教授が指摘されているように、本判決が警察の中部電力子会社へ風力発電に関する勉強会をしている住民の個人情報を提供したことをプライバシー権(憲法13条)の侵害であるとして一人約50万円の損害賠償を認定したことは画期的であると思われます。

個人情報の第三者提供については、大学が学内で行われた講演会の出席者の氏名・学籍番号・住所などのリストを本人同意なしに警察に提供したことについて、氏名・住所などの個人情報であっても、ある講演会に参加したという情報と組み合わさるなどすると、「他者にみだりに公開されたくないと思うことは自然なことであり、そのことへの期待は保護されるべき」とし、「このようなプライバシーに係る情報は、取扱い方によっては個人の人格的な権利利益を損なうおそれがあるものであるから慎重に取り扱う必要がある」として大学側に損害賠償責任を認めた著名な判決があります(最高裁平成15年9月12日判決・早稲田大学講演会名簿提供事件)。その後も個人情報とプライバシーに関する裁判所の考え方は、Yahoo!BB個人情報漏洩事件(大阪地裁平成18年3月19日判決)、ベネッセ個人情報漏洩事件(最高裁平成29年10月23日判決)に引き継がれています。

(b)高額な損害賠償
また、本判決は原告1人に約50万円と個人情報に関する事件としては異例の高額な損害賠償を認定していますが、これは警察から中部電力子会社に違法に提供された個人情報が、病歴や市民運動の活動歴などの要配慮個人情報(個人情報保護法2条3項)や本人の思想信条や内心の自由(憲法19条)に密接に関連する情報であることや、中部電力の風力発電の勉強会に参加していたという情報に関連するものであり、他者にみだりに公開されたくないとと思われる法的保護に値する情報のなかでも、本判決が指摘するように「プライバシーに関する情報の中でも要保護性が高い」、特に重要な情報であるからだと思われます。

この点、ある自治体が弁護士会照会に対して漫然と住民の前科の情報を回答・提供したことが争われた前科照会事件(最高裁昭和56年4月14日判決)は被害者の住民に対して25万円の損害賠償を認めており、また女性のスリーサイズなどの個人情報が漏洩したTBC個人情報漏洩事件(東京地裁平成19年2月8日判決)では裁判所は被害者1人3万5千円の損害賠償を認めており、裁判所は漏洩や提供された個人情報がセンシティブな情報であるか、どの程度法的保護に値する情報であるか、また被害の様態などを考慮して損害額を認定していると思われます。

(c)警察の住民の個人情報の収集の根拠法令の問題について
本裁判の原告弁護団の声明が指摘するとおり、本事件においては、警察が電力会社子会社に住民の個人情報の第三者提供が可能であったのは、「目星を付けた特定の個人の情報を集め、保有し続けているから」ですが、この点について、本判決が「収集・保有の必要性がないとはいえない」と判断し違法性を認めなかった点は問題が残ります。

テロなど治安上の危険や暴力団などの組織犯罪などに対して警察当局が情報収集活動を行うべきことは当然ですが、今回問題となったのは風力発電に関する勉強会をしていただけの住民です。これでは社会問題に興味・関心を持ち自分であるいは複数で勉強や情報収集しているあらゆる国民・住民を警察が調査し情報収集することを裁判所が容認するということになってしまいますが、その結論が妥当とは思えません。

また本判決は『必要性はそれほど高いものではなかったが、原告らの活動が市民運動に発展した場合、抽象的には危険性はないとはいえない』と判示していますが、1995年の阪神淡路大震災以降、国民・住民が社会問題や環境問題などに関するボランティア、NPOやNGOなどの市民活動や市民運動をする動きは広まりをみせています。学校でもボランティア活動に関する授業が実施されるなど、政府もこれを奨励しているのであり、「市民運動に発展した場合、抽象的には危険性はないとはいえない」との本判決の裁判官の考え方は1960年代、70年代の極左過激派の活動と普通の市民活動・市民運動などとの区別がついていないのではないかと疑問が残ります。

さらに本事件の原告団の声明によると、警察側は本事件の住民の個人情報の収集や保存などについて「警察法2条1項を根拠として主張」し、裁判所もそれを容認したようです。

たしかに警察法2条1項は「公共の安全と秩序の維持」に関する行政活動を警察は行うと定めていますが、警察法は組織法に過ぎず、警察がどのような捜査などを行うことができるのか、その捜査を行う場合の基準などを定めた権限法ではありません。

そのため、警察法2条1項を根拠に警察が住民の個人情報を自由に情報収集できるとする本判決のこの部分は、強制分法定主義(刑事訴訟法197条1項ただし書き)や罪刑法定主義(憲法31条、39条)に抵触する違法・違憲なものであるおそれがあるのではないでしょうか。

この点については、警察のNシステムに関しても、2009年の裁判例(東京高裁平成21年1月29日判決)は、「わが国においては警察法2条1項の規定により任意の捜査は許容されており、公道上の何人でも確認し得る車両データを収集・利用することは適法」としています。

しかし日本と同じ西側世界のドイツ連邦憲法裁判所は2008年、ドイツ版の警察のNシステムについて情報自己決定権(ドイツ基本法1条1項、2条1項、日本の自己情報コントロール権(憲法13条)に相当する)を根拠に違憲との判断をしています(ドイツ連邦憲法裁判所第一法廷判決2008年3月11日・BVerfGE 120.378[407.427])。

また、警察が内規に基づいて実施していたGPS捜査について、最高裁はGPS捜査が継続的・網羅的に被疑者の個人情報やプライバシーに関する事柄を収集する性質の捜査であることから、個別の令状を取得して実施することも罪刑法定主義の観点から違法であり、国会の立法が必要であると判示しています(最高裁平成29年3月15日判決)。

さらに警察や民間企業による防犯カメラ・商用カメラの利用について、2021年8月の市民講演会で慶応大学の山本龍彦教授(憲法・情報法)は、『警察による防犯カメラの利用は根拠法の立法が必要である。民間企業によるカメラ利用は、防犯やマーケティングなど利用目的が複数存在するので一律の法規制は難しいが、少なくとも国会の枠組み立法は必要であろう』と述べておられます。そして2022年1月からは、個人情報保護委員会において「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」が開催されています。(EUでは2021年4月に警察の防犯カメラ利用を禁止などとするAI規制法案が公表され、2022年後半に成立する予定です。)
・第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会|個人情報保護委員会

このように考えると、警察による国民・住民の個人情報の収集・保存などに関しては、警察法2条1項と警察の内部規則ではなく、通信傍受法などのように国会による根拠法の立法が必要なのではないでしょうか。そうでなければ強制処分法定主義や「法律による行政の原則」「法律による行政の民主的コントロールの原則」を守り、国民の人権保障を貫徹することができません。

(d)個人情報の削除請求について
本判決は原告からの国と県警に対する自身の個人情報の削除請求に対して「対象となる情報の特定性を欠く」という理由で退けています。

そこで岐阜県の個人情報保護条例をみると、全国の自治体の個人情報保護条例と同様に、実施機関(行政機関や部局など)は、個人情報取扱事務登録簿(個人情報ファイル)を作成しなくてはならないと規定されており(12条1項)、保有する個人情報の項目、利用目的などを記載しなければならないと規定されています(12条2項)。しかし、「犯罪の予防、鎮圧又は捜査、公訴の維持、刑の執行その他の公共の安全と秩序の維持に関する個人情報取扱事務」についてはこの個人情報取扱事務登録簿(個人情報ファイル)の規定の適用の対象外となってしまっています(12条3項2号)。

つまり、本事件で原告らが自らの個人情報の削除などを請求する際に「対象となる情報の特定性を欠く」状況であったのは、岐阜県の個人情報保護条例がそのような規定となっていたからであって、少なくとも原告らの責任ではありません。にもかかわらず本判決が「対象となる情報の特定性を欠く」として原告らの個人情報の削除請求を退けたことには疑問が残ります。

個人情報保護法制の一般法にあたる個人情報保護法においては、2022年4月から施行される改正法において、利用停止・消去・第三者への提供の停止の要件が緩和され、個人情報漏洩が発生した場合(法22条の2)についても、本人は個人情報の利用停止・消去などを事業者に請求することが可能となります(30条)。

本判決は警察から中部電力子会社への個人情報の提供は違法であると判断したのですからこれは漏洩であり、改正個人情報保護法30条の趣旨をも考慮して、本判決でも原告らの個人情報の削除を容認すべきだったのではないかと思われます。

5.まとめ
本判決は、警察から民間企業への住民の個人情報を違法として高額な損害賠償を認定した画期的な判決です。しかし警察による住民・国民の個人情報の収集・保管などについてはほぼ自由に実施することを容認している点に問題が残っています。また個人情報の削除請求を退けた点も問題です。警察や行政による国民・住民の個人情報の収集については国会による立法が必要であると思われます。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・芦部信喜『憲法 第7版』123頁
・渡辺康行・宍戸常寿・松本和彦・工藤達朗『憲法Ⅰ基本権』120頁
・岡村久道『個人情報保護法 第3版』32頁、515頁、518頁
・佐脇紀代志『一問一答令和2年改正個人情報保護法』83頁
・田口守一『刑事訴訟法 第4版補正版』42頁、96頁
・小山剛「なぜ「情報自己決定権」か」『日本国憲法の継承と発展』320頁
・石村修「コンピュータ基本権-オンライン監視事件」『ドイツの憲法判例Ⅳ』50頁
・藤原静雄「西ドイツの国勢調査判決における「情報の自己決定権」」一橋論叢94巻5号138頁
・影島広泰「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号34頁



























このエントリーをはてなブックマークに追加 mixiチェック

トヨタのコネクテッドカー・サービスの概要図
(コネクテッドカー・サービスの概要の図。トヨタ社サイトより)

1.トヨタのコネクテッドカー・サービス
官民が"未来のクルマ"のコネクテッドカー・コネクテッドサービスの開発を推進しているなか、トヨタの「車外画像データの収集・活用について」というサイトの、まるで木で鼻をくくったような"塩対応"ぶりが、ネット上で話題を呼んでいます。

・車外画像データの収集・活用について|トヨタ

結論を先取りしてしまうと、トヨタのコネクテッドカーの車外カメラの画像データや個人情報・個人データの利用・管理・保存は、個人情報保護法(とくに利用目的の特定・第三者提供)、肖像権・プライバシー権および独占禁止法の観点からさまざまな問題があります。

この「車外画像データの収集・活用について」は、トヨタがプリウスなどのコネクテッドカーの車載カメラが収集した画像データを、クルマの安全な運転のためなど以外に、トヨタのサーバーに保管し、同社が「自動運転・先進安全システム」や同ソフトウェアの開発に利用することについてQA形式で解説しています。

トヨタQA

ところが、このQAを読むと、例えば、トヨタのコネクテッドカーの所有者の家の近隣住民が、そのクルマ所有者に対して、自分や家族の顔が写っているので画像データを削除してほしいと要望した場合に対するトヨタの回答は次のような拒否の対応となっています。

『画像データは、トヨタ自動車がお客様のお車を通じて取得させて頂くものであり、ドライバー様が取得しているものではありませんので、ドライバー様に取得を止めてほしいとお申し出いただいても、取得は止められません。自動運転・先進安全システムの開発のためにトヨタ自動車が画像データを取得することについてご理解のほどお願いします。』


トヨタQA1

さらに、トヨタがこの画像データをどのくらいの期間保存し続けるのかについても、次のように 自動運転・先進安全システムのための車両制御ソフトウェア開発には10年から20年かかるので、「20年間程度の期間、画像データを保存する」という驚くべき回答が示されています。

『自動運転・先進安全システムのための車両制御ソフトウェア開発のためには、長期間にわたっての検証や品質保証が必要であるため、取得から10年から20年程度の期間、画像データを保存することを予定しております。今後、法改正等により、保存期間を変更する必要がある場合は、法律に従い対応いたします。』


トヨタQA保存期間


2.画像データは個人データか個人情報なのか?
個人情報保護法は、第4章の15条以下で、個人情報取扱事業者の義務を定めています。この事業者の義務は、対象が個人情報である場合の比較的軽めの義務(法15条~18条、35条)と、対象が個人データである場合の比較的重めの義務(法19条~34条)とに分かれます。

そのため、トヨタの自動運転・先進安全システム開発に利用される画像データが「個人情報」なのか「個人データ」なのかが問題となりますが、「車外画像データの収集・活用について」のQAの本人からの開示・削除などの請求に対するトヨタの回答は、次のように「画像データは、人の顔(略)、映り込んでしまう対象物に関して検索可能な状態では保存しておりません。」となっています。

『個人情報およびプライバシーの保護のため、画像データは、人の顔や他の車のナンバープレート等、映り込んでしまう対象物に関して検索可能な状態では保存しておりません。したがって、お客様からご自身が映っているかもしれない画像の開示・訂正・利用停止をご請求いただいたとしても、当社は該当するデータを検索・特定することができないため、そのようなご請求に対応することはできません。何卒ご容赦ください。』


トヨタQA検索可能ではない削除請求に応じない

つまり、「画像データは検索可能な状態となっていない」ということは、トヨタのサーバー内の画像データは、「特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの」である個人情報データベース(個人情報保護法2条4項1号)でないため、結果として「個人情報データベース等を構成する個人情報」である「個人データ」(法2条6項)には該当しないということになります。

ただし、「個人に関する情報」であって、「当該情報に含まれる(略)その他の記述等(画像若しくは電磁的記録を含む(略))」により「特定の個人を識別することができる」ものは「個人情報」(法2条1項1号)なので、「あの人、この人」と特定の個人を識別できるのであれば、氏名等が特定できないとしても、顔などの写っている画像データは「個人情報」に該当します。

そのため、トヨタが収集している画像データは、「個人データ」ではないが「個人情報」であるということになります。

なお、個人情報保護委員会の個人情報保護法ガイドラインQA1-11は、店舗などに設置された防犯カメラにより収集された画像データは個人情報であり、その画像データを顔認証システムで処理した顔認証データは個人データであるとしています。

・個人情報保護委員会の個人情報保護法ガイドラインQA1-11

3.クルマ所有者の利用停止・消去などの請求にトヨタは応じる法的責任を負わないのか?
個人情報保護法は28条以下で、個人から事業者に対して保有する個人データについて、その個人データの収集が不正な手段による場合や、本人の同意のない個人データの目的外利用・第三者提供が行われた場合などは、開示訂正・利用停止・消去(利用停止等)を請求できると規定しています(法28条~33条)。そして同34条は、個人が事業者にこれらの利用停止等の請求をしてから2週間後に、裁判所に民事訴訟として利用停止等の請求を提起できるとしています。

ところが、この利用停止等の請求は、事業者が保有する「個人データ」を対象としているので、個人情報保護法上はトヨタはこの利用停止等の請求に応じる法的責任を負わないということになってしまっています。上でみたようなトヨタの塩対応は、個人情報保護法上は間違っていないということになります。

4.契約データ・車両データなど個人情報・個人データの利用目的・第三者提供
ところで、トヨタのコネクテッドカーおよびコネクテッドサービスについては、トヨタおよびトヨタコネクテッド社の「T-Connect利用規約」が契約データおよび車両データ等の個人情報・個人データの取扱などを規定しています。

・T-Connect利用規約|トヨタ

この利用規約をみると、第12条が「契約データおよび車両データ等の利用目的」について規定しており、そのなかに「車両・商品・サービス等の企画・開発および品質向上ならびにマーケティング分析」(第12条1項4号)、「次条に定める第三者提供の目的に基づく処理・分析」(第12条1項8号)などの規定があるのは当然ですが、データの第三者提供に関する第13条は、2項5号で「提携機関および企業(社会・交通・生活インフラの提供・整備を行う企業等)」などの提供先に対して、「よりよい社会・交通・生活環境の創出を目的とした、車両データの分析・活用」という利用目的で、契約データおよび車両データを第三者提供すると規定しています(ただし契約データ・車両データは統計化または特定の個人を識別できないように加工して提供)。

(「契約データ」は、氏名、住所、生年月日、電話番号、メールアドレスおよび性別等などの購入者に関するデータと定義されている。第11条1項1号①)

この点、個人情報保護法15条は個人情報の利用目的を「できる限り特定」しなくてはならないと規定しています。これは、事業者に対して個人情報の収集を業務目的のために必要最低限とさせることにより本人の同意のない目的外利用を禁止して、個人の個人情報を守るためです(宇賀克也『個人情報保護法の逐条解説 第6版』131頁)。

その観点からみると、トヨタのこの規定は、「よりよい社会・交通・生活環境の創出を目的」とあまりにも漠然とした抽象的なものであり、個人情報の利用目的を「できる限り特定」したものといえず、法15条に抵触しているおそれがあります。

また、この第三者提供の提供先も、「社会・交通・生活インフラの提供・整備を行う企業等」と非常に漠然としておりあいまいです。これでは、トヨタのクルマ購入者などの顧客は、自分の契約データ・車両データなどの個人情報が、どのような業種、官庁、自治体、企業などに第三者提供されるか予測することができず、顧客・個人の本人の同意が得られたものとはいえないとして、そのような利用規約・プライバシーポリシーの公表や交付などは、法15条や法23条に実質的に抵触しているおそれがあるのではないでしょうか。

どうもトヨタは、「自動運転・先進安全システムの開発」や、「よりよい社会・交通・生活環境の創出」などを個人情報の利用目的に持ち出せば、顧客や近隣住民などは感動にうち震え、もろ手を挙げて同意・賛同してくれると思い込んでいるふしがあります。

しかし、「自動運転・先進安全システムの開発」や先進的な自動車の開発による「よりよい社会・交通・生活環境の創出」が、トヨタなどの自動車業界やIT業界の重大な関心事であるとしても、それらの業界以外の多くの顧客や一般国民にとっては、それらは正直どうでもよい他人事にすぎないでしょう。

そして「自動運転・先進安全システムの開発」等が、自動車メーカー・IT企業などによる多くの顧客・国民の個人情報やプライバシーの侵害や犠牲のもとに成り立つものであるのなら、むしろ多くの顧客・消費者・国民は「自動運転・先進安全システムの開発」・「よりよい社会・交通・生活環境の創出」に反対するのではないでしょうか。

さらに、この利用規約の第13条2項7号は「国土交通省」を第三者提供先として、「(i)新たな車両安全対策の検討、(ii)事故自動通報システムおよび先進事故自動通報システム導入にかかわる検討、(iii)その他交通安全対策に資する研究」を利用目的として、車両データなどを提供するとしていますが、この場合は上の「社会・交通・生活インフラの提供・整備を行う企業等」に対するものとは異なり、統計化や匿名加工情報となっていない、生データがそのまま国土交通省に提供されるようです。

しかし、個人情報保護法は、「個人情報の有用性に配慮」しつつも「個人の権利利益を保護」(法1条)し、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない」(法3条)と規定しています。

そのため、トヨタのような巨大企業が大量の顧客から収集した大量の個人情報・個人データを、安易に国・政府に提供することには慎重であるべきなのではないでしょうか。日本は中国のような国家主義・全体主義の国ではなく、個人の尊重を重視する近代憲法に基づく民主主義・自由主義の国(憲法11条、97条)なのですから。

5.画像データの保存期間が20年という問題
画像データの保存期間を20年とトヨタはしています。保存期間について個人情報保護法19条後段は、事業者は、「利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。」と規定しています。

この個人情報保護法19条は、「個人データ」に関するものであり、トヨタの画像データに直接適用することはできません。しかし、長期間、不要な個人データを事業者が保存することは、情報漏洩などのリスクがあるので、不要となった個人データは廃棄・削除すべきである(宇賀・前掲156頁)という法19条の趣旨を、トヨタは車外カメラにより収集した画像データの保存期間にも十分斟酌すべきなのではないでしょうか。

センシティブ情報の医者のカルテ情報の保存期間も医師法上5年であり(医師法24条2項)、税務関係の書類の保存期間もおおむね7年間、最長で10年間と法定されています(法人税法施行規則 59条など)。トヨタの画像データの保存期間は、これらの法律上定められた情報・データの保存期間とのバランスもとれていないのではないでしょうか。

そもそも、トヨタはこの画像データを、「自動運転・先進安全システムの開発」のために利用するとしていますが、IT業界は生き馬の目を抜くような日進月歩の世界のはずであり、本当に20年間も個人情報・データを保存しておく必要があるのか大いに疑問です。また、後述の2015年の東京地裁判決が触れているとおり、カメラで収集したデータがどのように保存されるかもプライバシー権侵害の訴訟では裁判所は判断材料の一つにしています。あまりに長期間の保存は、事業者側にとってマイナスに判断されると思われます。

6.新しい商品・サービスについて社内で十分な法的検討を行わないことは安全管理措置違反となる
このようにトヨタの車外カメラによる画像データの取扱は、個人情報保護法上、利用目的の特定(法15条、16条)、第三者提供(法23条)、個人情報の保存期間(法19条)などの面で複数の問題があるといえます。

2019年のリクルートキャリア社が就活生の内定辞退予測データを求人企業に販売していた「リクナビ事件」においては、個人情報保護委員会は、「新しいサービスについて、社内で組織的な個人情報保護法上の法的検討が十分に行われていなかった」ことは安全管理措置違反(法20条)に該当するとして、リクルートキャリア社だけでなく、内定辞退予測データを購入した、トヨタをはじめとする20社以上の求人企業に対しても勧告・指導を行っています(法41条、42条)。(個人情報保護委員会令和元年12月4日「個人情報の保護に関する法律に基づく行政上の対応について」)

・「個人情報の保護に関する法律に基づく行政上の対応について」令和元年12月4日・個人情報保護委員会

新しい商品・サービスの提供にあたってあらかじめ社内で個人情報保護法などを含む法令の法的検討を十分に行わないことは、安全管理措置違反になると個人情報保護委員会は明示しているのですから、トヨタはコネクテッドカー・コネクテッドサービスに関して、今一度社内で十分に法的検討を行うべきではないでしょうか。

7.プライバシー権・肖像権
さらに、個人情報保護法とは別に、個人・国民は肖像権やプライバシー権を持っています。

プライバシー権は、アメリカの判例で「ひとりでほっておいてもらう権利」として発展してきたものです。日本においては1964年の「宴のあと」事件地裁判決が、「私生活をみだりに公開されない法的保障ないし権利」として、憲法13条の個人の尊重と幸福追求を保障するために必要不可欠な人格権(私法上の権利)であるとして、プライバシー権の侵害は不法行為であり損害賠償責任を成立させる(民法709条)と認定しました(東京地裁昭和39年9月28日判決・「宴のあと」事件)。

また、肖像権については、最高裁は、「個人の私生活上の自由の一つとして、何人もその承諾なしに、みだりにその容ぼう、姿態を撮影されない自由を有する。…正当な理由がないのに、個人の容ぼう等を撮影することは、憲法13条の趣旨に反し許されない」として、プライバシー権の一つとして肖像権を認めています(最高裁昭和44年12月24日判決・京都府学連事件)。

この点について2015年には、アパートの防犯カメラが周辺の道路に対して設置されていたところ、近隣住民がプライバシー権の侵害であるとしてアパート所有者に訴訟を提起した事案において、裁判所は防犯カメラによる近隣住民のプライバシー侵害を認め、①慰謝料とともに②防犯カメラの撤去を認める判決を出しています(東京地裁平成27年11月5日判決・判タ1425号318頁)。

人は、みだりに自己の容ぼう等を撮影されないということについて法律上保護されるべき人格的利益を有する(最高裁昭和40年(あ)第1187号同44年12月24日大法廷判決・刑集23巻12号1625頁、(略))。
  もっとも、ある者の容ぼう等をその承諾なく撮影することが不法行為法上違法となるかどうかは,撮影の場所,撮影の範囲,撮影の態様,撮影の目的、撮影の必要性、撮影された画像の管理方法等諸般の事情を総合考慮して、被撮影者の上記人格的利益の侵害が社会生活上受忍すべき限度を超えるものといえるかどうかを判断して決すべきであると解する。』

(中略)

『このように、本件カメラ1の撮影が、常に行われており、原告らの外出や帰宅等という日常生活が常に把握されるという原告らのプライバシー侵害としては看過できない結果となっていること、(略)その他上記の種々の事情を考慮すると、本件カメラ1の設置及びこれによる撮影に伴う原告らのプライバシーの侵害は社会生活上受忍すべき限度を超えているというべきである。
 以上から、本件カメラ1の設置及びこれによる撮影は、原告らのプライバシーを違法に侵害するものといえる。』

したがって、トヨタのコネクテッドカーの車載カメラの画像データについて、トヨタがかりに個人情報保護法をクリアできたとしても、車載カメラによる画像データの収集の手段・方法・様態や、撮影の場所,撮影の範囲,撮影の態様,撮影の目的、撮影の必要性、撮影された画像の管理方法等などによっては、トヨタはクルマ所有者やその家族、近隣住民などの肖像権またはプライバシー権の侵害があるとして、損害賠償や車載カメラの撤去あるいは画像データの削除などを裁判所に命じられる民事上の法的リスクがあることになります(民法709条、憲法13条)。

8.独占禁止法の「優越的地位の濫用」の問題
独占禁止法2条9項5号は、事業者が相手方に対して優越的地位の濫用を行うことを禁止しています。そして、2019年に公正取引委員会は、デジタル・プラットフォーム事業者の消費者の個人情報の取扱に関するガイドライン(考え方)を公表しています。

・「デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方」の公表について|公正取引委員会

この「考え方」は、デジタル・プラットフォーム事業者を、「情報通信技術やデータを活用して第三者にオンラインのサービスの「場」を提供し,そこに異なる複数の利用者層が存在する多面市場を形成し,いわゆる間接ネットワーク効果が働くという特徴を有する「デジタル・プラットフォーム」を提供する事業者」と定義しています。

トヨタ・モビリティ・プラットフォーム概要図
(トヨタ・モビリティ・プラットフォームの説明。トヨタ・コネクテッド社サイトより)

トヨタのコネクテッドカーおよびコネクテッドサービスは、ウェザーニュース、ぐるなび等と提携した天気情報や飲食店の情報、交通情報などの情報提供サービス、東京海上日動やあいおいニッセイ同和損保などと提携した自動車保険サービスの提供、パナソニックと提携した家庭のエアコン・洗濯機などの動作の管理などのサービス提供等々、さまざまな事業・サービスと多面市場が形成されるデジタル・プラットフォームに該当すると考えられるため、コネクテッドサービスを提供するトヨタには、この公取委のデジタル・プラットフォーム事業者への独禁法上の「考え方」がおよぶ可能性があります。

そして、この公取委の「考え方」は、例えば、「利用目的の達成に必要な範囲を超えて,消費者の意に反して個人情報を利用すること」が独禁法2条9項5項の「優越的な地位の濫用」に該当するとしています。

公取委デジタルプラットフォーム事業者
(公取委「デジタル・プラットフォーム事業者の消費者の個人情報の取扱に関する考え方」より)

上でみたように、トヨタの車外カメラから取得した画像データの保存期間は20年と非常に長期間であり、トヨタのコネクテッドカーの所有者が、当該コネクテッドカーを手放して利用を止め、コネクテッドサービスの利用を止めた後も、トヨタが当該所有者のクルマの利用に関連して収集した画像データを保存し利用し続けることは、「利用目的の達成に必要な範囲を超えて,消費者の意に反して個人情報を利用すること」に該当し、独禁法2条9項5項の「優越的な地位の濫用」に該当するおそれがあるのではないでしょうか。

9.まとめ
このように、トヨタのコネクテッドカーの車外カメラの画像データの利用・管理・保存は、個人情報保護法、肖像権・プライバシー権および独占禁止法の観点からさまざまな問題があるといえます。

トヨタに画像データの個人情報保護法上の利用停止等の法的義務がないとしても、トヨタが顧客などからの申出に対して、もともと個人の保護に関してはザル法の個人情報保護法を盾にとって拒否など視野狭窄な対応を行うことは、顧客や近隣住民など一般人の理解が得られず、トヨタのブランド価値を低下させるおそれがあります。同時に、そのようにトヨタが対応を行うことは、政府が国策の一つに掲げる「コネクテッドカー」「つながるクルマ」に対する消費者・国民の支持や理解を遠ざけてしまうのではないでしょうか。

とくに、欧州のGDPR(一般データ保護規則)は、企業の個人情報の利用を重視する日本の個人情報保護法と異なり、国民・個人の人権を重視する個人データ保護法であり、世界の個人データ保護法の流れに大きな影響力がありますが、世界的な自動車メーカーであるトヨタは、コネクテッドカー・コネクテッドサービスを日本以外の欧州などの海外に展開する予定はないのでしょうか。

さらに、トヨタのサイトをみると同社は、『内外の法およびその精神を遵守し、オープンでフェアな企業活動を通じて、国際社会から信頼される企業市民をめざす』などの条文のある、コンプライアンス精神にあふれた大変立派な「トヨタ基本理念」を掲げているようです。この「内外の法およびその精神」には、当然、憲法やGDPRなども含まれるものと思われます。車外カメラの画像データの件は、この「トヨタ基本理念」が、ただの建前でないかどうかが問われているのかもしれません。

・基本理念|トヨタ

個人情報保護法上の法的義務がないとしても、トヨタが個社の判断として、顧客や近隣住民などからの申出に柔軟に対応して、画像データなどの顧客や近隣住民の個人情報等を廃棄・削除することはもちろん自由です。

トヨタは良き企業市民として、先端技術の研究開発を含む自社の経済上の利益の追求ばかりでなく、クルマの購入者などの顧客や近隣住民などステークホルダーのプライバシー権などの基本的人権をも重視した業務運営や会社経営を行うべきではないでしょうか。

■関連するブログ記事
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・共有建物に設置された防犯カメラの一部が近隣住民のプライバシー侵害と認定された裁判例
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える

■参考文献
・宇賀克也『個人情報保護法の逐条解説 第6版』131頁、156頁
・『判例タイムズ』1425号318頁
・宍戸常寿『新・判例ハンドブック情報法』86頁、87頁
・芦部信喜『憲法 第7版』121頁、123頁
・内田貴『民法Ⅱ 第2版』353頁















このエントリーをはてなブックマークに追加 mixiチェック

computer_server
1.CCCがT会員規約などを改定
Tポイントやツタヤ図書館などを運営するCCC(カルチュア・コンビニエンス・クラブ株式会社)の1月15日付のプレスリリースによると、同社はTポイントの個人情報・個人データの利用規約・プライバシーポリシーなどを一部変更したとのことです。

・T会員規約等、各種規約の改訂について|CCC

2.「他社データと組み合わせた個人情報の利用」の明確化
そのプレスリリースでは、CCCが個人情報・個人データの利用方法として新たにプライバシーポリシーなどに明確化したという使い方が説明されています(T会員規約4条6項)。

・T会員規約 改訂前後比較表|CCC

これは、おおざっぱにいうと、CCCが他社から他社の個人データを受け取り、CCCの持つ個人データと突合して分析・加工した個人データまたは統計データを生成して利用するというものですが、これは個人情報保護法上の委託スキームの、いわゆるデータセンター等における「混ぜるな危険の問題」に抵触してないでしょうか。

T会員規約4条6項
6.他社データと組み合わせた個人情報の利用
当社は、提携先を含む他社から、他社が保有するデータ(以下「他社データ」といいます)を、他社が当該規約等で定める利用目的の範囲内でお預かりした上で、本条第2項で定める会員の個人情報の一部と組み合わせるために一時的に提供を受け、本条第 3 項で定める利用目的の範囲内で、統計情報等の個人に関する情報に該当しない情報に加工する利用および当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供(以下あわせて「本件利用」といいます)を行う場合があります。
なお、当社は、本件利用のための他社データを明確に特定して分別管理し、本件利用後に他社データを破棄するものとし、本件利用のための、前述、当該他社から当社への一時的な提供を除いては、それぞれの利用目的を超えて利用することも、当該他社その他第三者に対して会員の個人情報の一部または全部を提供することもありません。

CCC他社データと組み合わせた個人情報の利用
(CCCサイトより)

3.飲料メーカーA社の事例(統計データ)
CCCのプレスリリースは、このT会員規約4条6項について、「飲料メーカーA社の事例(統計データ)」と「旅行代理店B社の事例(個人データ)」の二つの図を用意しているので、この二つの図で考えてみます。

飲料メーカーA社
(CCCサイトより)

まず一つ目の、飲料メーカーA社の事例では、飲料メーカーA社(他社)の他社個人データAをCCCがデータの分析・加工のために受取り(「委託」、個人情報保護法23条5項1号)、その他社個人データAとCCCの個人データを突合し、CCCの個人データに該当する個人の属性・嗜好などを分析した統計データ等を作成し、A社に渡すとなっています。

しかし、この事例のような個人データの委託元A社と委託先のCCCの個人データを混ぜて取り扱うことは禁止されています。

これは、たとえば、A社の個人データAとCCCの個人データを個人個人で本人同士突合し分析などを行うことがそれに該当します。つまり、個人データAとCCCの個人データの突合は、例えばD社、E社等などからCCCが本人同意の基に第三者提供を受けた個人データÐ・Eなどの合成されたCCCの個人データとの突合ということになります。委託のスキームをとらない本来の場合であれば、A社はD社、E社などから本人同意に基づく第三者提供を受けた上で個人データの突合が許されるわけですが、委託というスキームは、この第三者提供における本人同意の取得の省略を許すものではありません。(田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁)

そもそも個人情報保護法における個人データの「委託」とは、契約の種類・形態を問わず、委託元の個人情報取扱事業者が自らの個人データの取扱の業務を委託先に行わせることであるから、委託元が自らやろうと思えばできるはずのことを委託先に依頼することです。したがって、委託元は自らが持っている個人データを委託先に渡すなどのことはできても、委託先が委託の前にすでに保有していた個人データや、委託先が他の委託元から受け取った個人データと本人ごとに突合させることはできないのです。そしてこれは、突合の結果、作成されるのが匿名加工情報等であっても同様であるとされています。(田中・北山・前掲『ビジネス法務』2020年8月号30頁)

この点は、個人情報保護委員会の個人情報保護法ガイドラインQ&A5-26-2の事例(2)にも明示されています。また、個人データを本人ごとに突合して作成するデータが匿名加工情報などであっても、これは同様であると同QA11-13-2に明記されています。

個人情報QA5
(個人情報保護委員会サイトより)

したがって、CCCの明確化した新しい個人情報の取扱である、T会員規約4条6項の「飲料メーカーA社の事例(統計データ)」については、個人情報保護法23条1項、個人情報保護法ガイドラインQ&A5-26-2・11-13-2に違反しており、許されないものであると思われます。また、このような個人データの取扱は、法16条の定める目的外利用の禁止に抵触するおそれもあります(岡村久道『個人情報保護法 第3版』262頁)。

4.旅行代理店Bの事例(個人データ)
つぎに、二つ目のT会員規約4条6項の「旅行代理店Bの事例(個人データ)」は、旅行代理店Bから受け取った個人データBをCCCの個人データと本人同士で突合し、加工した結果の「個人データ」を「CCC」が自社のマーケティングや販売促進等に利用するようです。

旅行代理店B社
(CCCサイトより)

つまり、こちらも、上の飲料メーカーAの事例と同様に、突合してはいけない個人データBとCCCの個人データを本人同士で突合していますし、作成するのは統計データや匿名加工データ等ではなく、個人データのようであり、さらに当該個人データを販売促進などに利用するのはCCCのようです。

すなわち、個人データの委託というより、CCCの主導による他社の個人データの突合による個人データの利用のようです。したがって、これはそもそも個人情報保護法23条5項1号の委託のスキームを踏み越えているので、CCCは、原則に戻って、B社から本人同意に基づく第三者提供(法23条1項)によって個人データBを受け取っていない限り、この取り扱いは許されないことになると思われます。

5.まとめ
最近の世の中は、ビッグデータやAI、DX、官民のデジタル化という用語をニュースなどで聞かない日はないような状況ですが、CCCはデジタル化に少し浮かれ過ぎているのではないかと心配になります。

2019年の就活生の内定辞退予測データに関するリクナビ事件においては、リクナビだけでなくトヨタ等の採用企業側に対しても、個人情報保護委員会と厚労省から、「社内において個人情報保護法などの法令を十分に検討していない」として安全管理措置違反(法20条)があったとして行政処分・行政指導が出されたことを、個人情報取扱事業者の大手のCCCは失念しているのではないでしょうか(個人情報保護委員会・令和元年12月4日付「個人情報の保護に関する法律に基づく行政上の対応について」)。

CCCによるとTポイントの会員は約6900万人、提携企業数は188社、店舗数は1,052,092店舗(2019年3月現在)であるとのことであり、CCCの個人情報のデータベースには日本国民の50%を超える人間の個人データが集積されていることになります。そのような莫大な個人データを預かる企業市民としてのCCCの社会的責任、法的責任は重大であると思われます。

■関連するブログ記事
・CCCがT会員6千万人の購買履歴等を利用してDDDを行うことを個人情報保護法的に考える
・Tポイントのツタヤ(CCC)がプライバシーマークを返上/個人情報保護法の安全管理措置
・海老名市立中央“ツタヤ”図書館に行ってみた/#公設ツタヤ問題
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える

■参考文献
・田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁
・岡村久道『個人情報保護法 第3版』262頁














このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ