なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:総務省

tatemono_yuubinkyoku
総務省が「郵便局データの活用とプライバシー保護の在り方に関する検討会」報告書(案)等」に関するパブコメを7月15日まで実施していたので、つぎのような意見を提出しました。

1.地方公共団体や地図会社等に日本郵便が収集した公道の街路データ・外観データ・空き家情報やデジタル地図などの情報を販売・第三者提供するとのことについて(報告書(案)13頁4.(2)アなど)
(1)地方公共団体や地図会社等に日本郵便が収集した公道の街路データ・外観データ・空き家情報やデジタル地図などの情報を販売・第三者提供するとのことであるが、2022年4月に施行された個人情報保護法は「二重オプトアウトの禁止」を明示している(個人情報保護法27条2項ただし書き、佐脇紀代志『一問一答令和2年改正個人情報保護法』48頁参照)。

この点、表札等や人物等が映り込んでいない街頭データ・外観データ・空き家情報であっても、日本郵便が保有する配達原簿システムなどの国民・住民の居宅の住所データベースを照会すれば、街頭データに居住する特定の個人を容易に照合できるのであるから、個人の居宅などが写っている街頭データも個人情報・個人データである(個人情報保護法2条1項1号、16条3項)。

また、一般の地図会社はオプトアウト方式で本人同意をとり地図を作製していることを考えると、日本郵政グループも同様にオプトアウト方式により街頭データ・外観データ・空き家情報や「デジタル地図」等を収集・作成すると思われ、日本郵政がオプトアウト方式で作成した街頭データやデジタル地図等の個人データを地図会社が購入などすることは、個人情報の第三者提供のオプトアウトに該当し、「二重オプトアウト」(個人情報保護法23条2項ただし書き)に該当してしまうので、地図会社などは日本郵政のデジタル地図の個人データを購入することは違法となる。

そのため、本報告書13頁が提言している、日本郵政が郵便配達員などの目視やバイク、ドローンなどに設置されたカメラ・センサーなどの情報から居住者情報などの個人データの添付されたデジタル地図や街頭データ等を収集・作製し、地方自治体や地図会社などに販売・第三者提供しようというスキームは個人情報保護法との関係で違法であり許容されない(なお本報告書案は本スキームを「委託」と整理しているようであるが、「委託」とは委託元の事業者が保有する個人情報をIT企業にPCにデータ入力させるような、委託元ができる範囲の事柄を委託するスキームを指すのであり、街頭データの提供やデジタル地図のデータの提供などは委託ではなく第三者提供であると考えられる。)。

さらに、GPS捜査事件判決(最高裁平成29年3月15日判決)は、公道上の情報であっても継続的・網羅的に収集される場合にはプライバシー権の侵害となるとしていることから、郵便局の配達車やバイクなどの車載カメラやドローン、配達員の目視などによる継続的・網羅的な住民・国民の居宅の居住データやデジタル地図の収集・作成はプライバシー権との関係で違法の危険性があり慎重な検討がなされるべきである(民法709条、憲法13条、憲法35条)。

(2)地方公共団体や地図会社等に日本郵便が収集した公道上の街頭データ・街路データ・外観データ・空き家情報やデジタル地図などの情報を販売・第三者提供するとのことであるが、郵便法8条および憲法21条2項の定める「通信の秘密」・「信書の秘密」との関係で違法・違憲であり許容されないと考えられる。

なぜなら「通信の秘密」とは通信内容・信書の内容そのものだけでなく、通信の送信者・受信者、宛先、電話番号、住所、通信の個数や通信日時、通信の有無などの「通信の外形的事項」も含まれると解されている(曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁、大阪高裁昭和41年2月26日判決、賽原隆志『新・判例ハンドブック情報法』(宍戸常寿編)140頁)。郵便配達車やバイク等の車載カメラやドローン、郵便配達員などにより収集される街頭データやデジタル地図にはそれら通信の外形的事項も混入されざるを得ないから、それらの通信の秘密や信書の秘密に関する情報・データを地方自治体や地図業者などに第三者提供・販売等することは郵便法8条・憲法21条2項との関係で違法・違憲であり許容されない。

(3)地方公共団体や地図会社等に日本郵便が収集した公道上の街頭データ・街路データ・外観データ・空き家情報やデジタル地図などの情報を販売・第三者提供するとのことであるが、かりに地方自治体などと日本郵便との関係を個人情報保護法における「委託」(法27条5項1号)と整理した場合、いわゆる「委託の「混ぜるな危険」の問題」の規制があるため(令和2年改正の個人情報保護法ガイドラインQA15-18(2022年4月より施行)、田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁、田中浩之・北山昇『令和2年改正個人情報保護法Q&A』182頁)、日本郵便は地方自治体等の委託元から委託された範囲の個人データを収集・利用できるにとどまる。そのため、日本郵便は委託元ごとに街頭データやデジタル地図等を分別管理する必要があり、それらの複数のデータを「混ぜて」利用することは違法であり許容されない(法27条5項1号)。

また同様に日本郵便が、委託元から預かった個人データを自社が保有する個人データと名寄せ・突合して分析や加工などをした個人データを委託元に渡すなどの業務を行うことも違法であり許容されない。(「委託の「混ぜるな危険」の問題」を回避するためには、原則に戻り、日本の全国民のオプトイン方式による事前の個別の同意が必要である(法27条1項))。

2.カメラ画像の利用について(郵便局データの活用とプライバシー保護の在り方に関する検討会報告書(案)15頁ア)
総務省・経産省の「カメラ画像利活用ガイドブックver3.0」の遵守が提言されているが、カメラ画像の利用に関する事柄であり、郵便局のカメラは商用カメラだけではなく防犯カメラも存在するため、個人情報保護委員会で現在審議中の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」の作成する報告書やガイドライン等も遵守すべき旨を追記すべきである。

3.情報銀行について(郵便局データの活用とプライバシー保護の在り方に関する検討会報告書(案)24頁の「情報銀行」の部分)
郵便局の配達員などが配達業務に関連して目視や配送バイクに設置されたカメラ、ドローンのカメラなどで収集された顧客の個人情報・個人データを顧客本人の同意なく情報銀行や「デジタル地図」などに利用することは(あるいはオプトアウト方式の本人同意により利用することは)、本人同意なしに個人情報の目的外利用を禁止し、また第三者提供を禁止する個人情報保護法に抵触する違法なものであるだけでなく(法19条、27条1項)、郵便法8条や憲法21条2項の規定する「信書の秘密」「通信の秘密」や国民のプライバシー権(民法709条、憲法13条)をも侵害する違法・違憲のおそれがあり、許容されないのではないか。

また、日本郵政グループのかんぽ生命は生命保険の引き受けの告知や保険金・給付金支払い業務のために、国民の被保険者の医療データ・傷病データ・職業データ等を収集・保存しており、ゆうちょ銀行は国民・顧客の金融資産情報を保有しているが、それらのセンシティブな要配慮個人情報や機微な情報を「情報銀行」に利活用することは、金融庁の「金融分野の個人情報保護に関するガイドライン」第5条(機微(センシティブ)情報)が「機微(センシティブ)情報」という。)については、次に掲げる場合を除くほか、取得、利用又は第三者提供を行わないことと」と利用目的を限定列挙している規定に違反し許されないのではないか。

さらに、日本郵政グループが保有するセンシティブ情報・要配慮個人情報・金融資産などに関する機微情報を情報銀行に利活用することは、本人の明確な同意がないままに銀行など金融機関が保有するセンシティブ情報を保険営業に利用することを禁止する、保険業法や銀行法が定める「銀行窓販規制」に抵触し許容されないのではないか(保険業法300条1項9号、同施行規則212条3項1号等、中原健夫・山本啓太・関秀忠・岡本大毅『保険業務のコンプライアンス 第4版』260頁、経済法令研究会『保険コンプライアンスの実務』227頁)。

4.郵便局データなどの「データビジネスの段階的な展開」について(報告書(案)24頁の「データビジネスの段階的な展開」の部分)
日本郵政グループが情報銀行など、郵便局データなどの「データビジネスの段階的な展開」を実施することは、日本郵便が個人情報保護法上の個人情報取扱事業者(法16条2項)となることである。

すなわち、郵便局・日本郵便に信書や郵便物などの配達を委託する全国の中小企業を含む法人(個人情報取扱事業者)は、日本郵便に対して安全管理措置に関する「委託先の監督」(法25条)を実施することが法的に要求され、郵便物の配達の委託に際して日本郵便が十分な安全管理措置を講じているか事前のチェックや年1回の立入検査の実施、業務委託契約書の締結、秘密保持契約書の締結などが法的に要求されることになるが、これは現実的ではない。

日本郵便は「データビジネスの段階的な展開」を実施するとの計画は撤回し、郵便事業に専念すべきである。(産業技術総合研究所サイバーフィジカルセキュリティ研究センター主任研究員の高木浩光氏の「郵便事業がコモンキャリアを逸脱すれば郵便物を差し出す事業者が個人情報保護法に抵触する」『高木浩光@自宅の日記』参照。)

日本郵便が本業たる郵便事業だけでは経営が成り立たず、「データビジネス」という「副業」を行う必要があるということは、「郵政民営化」は失敗したということであり、国民の信書の自由(憲法21条2項)の基本的人権のための郵便局・日本郵便の事業は再び国が運営すべきである。

5.スマートシティについて(郵便局データの活用とプライバシー保護の在り方に関する検討会報告書(案)21頁の「スマートシティ」の部分)
「スマートシティ」(「デジタル田園都市構想」)は、当該地域の行政、商業施設、学校、医療機関などの個人データを収集し、住民の「共通ID」を基にそれらの個人データを突合・名寄せ・分析・加工し、行政・民間・病院・学校などがそれらの個人データを共有するスキームであるが、これは個人情報保護法17条(利用目的の特定)やOECD8原則の「1.目的明確化の原則 (Purpose Specification Principle)」の背景となっている「個人データの必要最低限度の原則」に反しており、許容されない。

海外の例をみても、中国など国家主義諸国においては一定の実績があるものの、国民の個人の尊重と基本的人権を重視する西側自由主義諸国では失敗している。そのため、公的機関である日本郵便や日本郵政がスマートシティ構想に参加することは控えるべきである。

■関連する記事
・日本郵政がデジタル地図事業や情報銀行等に参入することを個人情報保護法などから考えた
・情報銀行ビジネス開始を発表した三菱UFJ信託銀行の個人情報保護法の理解が心配な件
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?



[広告]












このエントリーをはてなブックマークに追加 mixiチェック

tatemono_yuubinkyoku
このブログ記事の概要
総務省が検討している、日本郵政グループがデジタル地図の個人データを地図業者に販売・第三者提供などすることは個人情報保護法違反のおそれが高く、また、総務省の本報告書が提言しているさまざまな個人データビジネスも個人情報保護法、郵便法、保険業法、銀行法、憲法などとの関係で違法・違憲のおそれが強いものと思われます。総務省は本報告書の内容について、一から見直す必要があるのではないでしょうか。

1.日本郵政がデジタル地図事業に参入?
2022年1月25日の読売新聞記事によると、郵便局・ゆうちょ銀行・かんぽ生命の日本郵政グループがデジタル地図事業への参入の計画をしているそうです。
・【独自】日本郵政、デジタル地図事業に参入へ…変化を随時反映する「生きた地図」作り|読売新聞

記事によると、郵便局は全国に約2万4000局が存在し、約10万人の配達員がいるそうであり、この配達員の目視やカメラ、センサーを搭載した郵便用バイクなどで詳細な情報を収集し、道路状況の変化、店舗の開店・閉店などの情報を収集しデジタル地図に反映させる計画であるとのことです。

また、将来的には郵便事業で得た個人情報を基に、デジタル地図に居住者の人数なども盛り込む計画であるとのことです。

この郵便局の個人情報の利活用については、総務省は昨年7月に、「「デジタル時代における郵政事業の在り方に関する懇談会」最終報告書(案)に対する意見募集の結果及び最終報告書の公表」というプレスリリースを出しています。しかし本報告書は、総務省とは思えないくらい個人情報保護法などの理解の間違いが散見されて読んでいる国民の一人としていろいろと心配になってきます。

・「デジタル時代における郵政事業の在り方に関する懇談会」最終報告(案)に対する意見募集の結果及び最終報告書の公表

2.情報資産の洗い出し
「デジタル時代における郵政事業の在り方に関する懇談会」最終報告書(以下「本報告書」とする)4頁は、日本郵政グループの「現状」として各社が保有する個人データの情報資産の一覧を図表にしています。

日本郵政情報資産の洗い出し
(総務省「デジタル時代における郵政事業の在り方に関する懇談会」最終報告書より)

しかしゆうちょ銀行は融資などの関係から国民個人の職業、勤務先、収入、負債、他社の金融資産などの情報をもっているはずですがこの表にのっていません。また、かんぽ生命は保険の引き受けや保険金・給付金支払いに関連して、顧客の健康・医療データ、職業、勤務先などの情報をもっているはずですが、これも図に記載がありません。情報資産の洗い出しすら満足にできない日本郵政グループや総務省は大丈夫なのかと心配になります。

3.仮名加工情報
また、本報告書5頁は、郵便局において郵便物の引き受け時に得られる「配達先情報」「配達原簿情報」などを「仮名加工情報」にして、配達ルートの最適化や局内作業のスリム化を推進するとあります。さらに配達先情報などを仮名加工情報にして、EC事業者と連携し、両社が保有するデータのより高度な活用などによるEC物流の競争力強化」を行うとしています。

たしかに「仮名加工情報」は、企業などによる個人情報の利活用の推進のために令和2年改正個人情報保護法で新設された新しい概念ですが、これは元となる生の個人データの氏名などを削除するなどして、当該企業内で利用するための、「他の情報と照合しない限り特定の個人を識別できない情報」です。第三者提供は禁止されていますし(法36条の2第6項)、社内で利用する際も再び個人を識別する行為は禁止されています(法35条の2第7講)。加えて本人への電話やメールなどによる営業やダイレクトメールなどの到達行為も禁止されています(法35条の2第8講、佐脇紀代志『一問一答令和2年改正個人情報保護法』13頁。)

そのため、郵便局などが保有する個人データを仮名加工情報にしたからといって、EC事業者との連携がよりうまくゆくとは思えません。むしろプライバシーポリシーの利用目的にそのような趣旨で個人情報を利用することを明示して通知・公表を行い、生データとしての個人情報・個人データの活用をすべきではないでしょうか?氏名などが削除されていたり仮IDに変更されているデータを利用してEC事業者が業務をできるとは思えません。またそもそも個人情報保護法は仮名加工情報の第三者提供を禁止しています。

4.委託の「混ぜるな危険の問題」
なお、かりに郵便局とEC事業者との関係が第三者提供でなく委託であった場合、個人データの委託は可能ですが、しかし令和2年改正個人情報保護法ガイドラインQAはいわゆる委託の「混ぜるな危険の問題」において、個人データのデータセンターなどが、委託元から預かった個人データを自社が保有する個人データと名寄せ・突合して分析や加工などをすることなどを禁止しています。

この点、令和2年改正の個人情報保護法ガイドラインQA15-18(2022年4月より施行)は、「複数の会社から匿名加工情報の作成の委託を受けることは可能です。ただし、委託を受けた各個人情報の取扱い及び匿名加工情報の作成については、各委託者の指示に基づきその範囲内で独立した形で行う必要があります。異なる委託者から委託された個人情報を突合したり、組み合わせたりすることはできません。」と明確化しています(委託の「混ぜるな危険の問題」、田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁)。

そのため、もし日本郵便がなどが、委託元から預かった個人データを自社が保有する個人データと名寄せ・突合して分析や加工などをした個人データを委託元に渡すなどの業務を行うことは違法であり許されません。

(参考)
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」


5.「個人データには本人同意なく利用できる類型がある」?
本報告書6頁は、「個人データには本人同意なく利用できる類型がある」としてNTTドコモ「モバイル空間統計データ」を例示しています。しかしドコモのスマホの位置情報データはオプトアウト方式(法23条2項)で本人同意を取って利用してるので、総務省はこの点を完全に間違っています。(NTTドコモの説明ページはオプトアウト手続を明示しています。) ドコモモバイル空間統計データオプトアウト手続き
(NTTドコモサイトより)
・モバイル空間統計ガイドライン|NTTドコモ

6.郵便局が教育業界に参入?
本報告書7頁は、個人データの利活用のために日本郵政はデジタル・プラットフォーム事業者になるべきでありその具体例の一つに「教育」分野をあげています。様々な分野と連携すべきとの提言は分からなくもありません。しかしだからと言って郵便局などの日本郵政グループが「教育」分野に参入してでやることがあるのでしょうか。疑問です。

7.顔認証技術つき防犯カメラ
本報告書8頁は、顔認識技術などAIなどの先端技術を利用するように提言しています。しかしEUで2018年に施行されたGDPR(EU一般データ規則)22条プロファイリング拒否権を定め、またEUは2021年4月に「AI規制法案」を公表しましたが、同法案はAIの危険性を4段階で分類して法規制を行うところ、警察などによる顔認識技術・防犯カメラは一番危険な「禁止」の類型に分類し、全面的な法規制を行う方針です。さらに日本の個人情報保護委員会も2022年1月より顔認識技術と防犯カメラに関する検討会議を始めています。このような日本および西側世界の情勢を考えると、これから顔認証技術などを利活用しようという本報告書は時代遅れなのではないでしょうか。

・第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会|個人情報保護委員会

8.共通ID、共通客データベース
(1)銀行窓販規制
本報告書9頁は、郵便局、ゆうちょ銀行、かんぽ生命の「共通ID」「共通顧客データベース」を作成すべきとしています。しかし保険業法、銀行法は、銀行の優越的地位の濫用防止のため、銀行が持つ個人データは顧客の本人の同意がないと保険の募集に利用できないと規定しています(銀行窓販規制、保険業法300条1項9号、同施行規則212条3項1号等、中原健夫・山本啓太・関秀忠・岡本大毅『保険業務のコンプライアンス 第3版』264頁、経済法令研究会『保険コンプライアンスの実務』227頁)。

したがって、そのような顧客の本人の同意を確認せぬままに郵便局・ゆうちょ銀行・かんぽ生命の3社の顧客の個人情報データベースを構築し、3社の顧客を共通のデータベースで管理することは、保険業法違反、銀行法違反の法的リスクがあります。

また、保険業法施行規則53条の8は、保険会社に対して顧客の個人情報に対して安全管理を講じることを義務付け、また金融庁・個人情報保護委員会の「金融分野における個人情報保護に関するガイドライン(平成29年2月28日個人情報保護委員会・金融庁告示第1号)」も、銀行や保険会社などの金融機関に対して、顧客の個人情報を厳格に取り扱うことを要求しており、もし日本郵政グループが顧客の個人情報の管理を杜撰に行った場合、郵便局・ゆうちょ銀行・かんぽ生命は総務省だけでなく金融庁、個人情報保護委員会からも行政指導や行政処分を受ける法的リスクを負うことになります。

(2)マイナンバー法の「裏番号」「広義の個人番号」
本報告書4頁によると、郵便局・日本郵便は日本のほぼ全ての世帯の個人データを保有し、ゆうちょ銀行も約1億2000万件の個人データを保有してるとあり、日本郵政グループの「共通ID」はマイナンバーと同様に悉皆性・唯一無二性の法的性質を持つことになり、「裏番号」、「広義の個人番号」(マイナンバー法2条8項かっこ書き)に該当してマイナンバー(個人番号)と同等の取り扱いが要求されるため、これを税・社会保障・災害対策以外に利用することはマイナンバー法9条違反のおそれがあるのではないでしょうか。

2021年秋には官民サービスの共通IDを発行するxID社の「xID」がこのマイナンバー法2条8項かっこ書きの定める「裏番号」「広義の個人番号」に該当し、当該共通番号を税・社会保障・災害対応以外の利用目的に利用することは同法9条に抵触し違法なのではないかと炎上しました。これに対して個人情報保護委員会はマイナンバー法2条8項かっこ書きの「広義の個人番号」を同法9条の定める税・社会保障・災害対応以外の利用目的に利用することは法9条違反のおそれがあるとの注意喚起のプレスリリースを出したばかりです。

・番号法第2条第8項に定義される個人番号の範囲について(周知)(令和3年10月22日)|個人情報保護委員会
(参考)
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)


9.情報銀行
本報告書10頁は日本郵政グループに情報銀行を実施せよと提言しています。

総務省情報銀行
(総務省の懇談会の報告書より)

しかし、郵便局の配達員などが配達業務に関連して目視や配送バイクに設置されたカメラ、ドローンのカメラなどで収集された顧客の個人情報・個人データを顧客本人の同意なく情報銀行や冒頭の読売記事にある「デジタル地図」などに利用することは、本人同意なしに個人情報の目的外利用を禁止し、また第三者提供を禁止する個人情報保護法に抵触する違法なものであるだけでなく、郵便法8条や憲法21条2項の規定する「信書の秘密」「通信の秘密」や国民のプライバシー権(民法709条、憲法13条)をも侵害する違法・違憲のおそれがあるのではないでしょうか。

郵便法
(秘密の確保)
第8条 会社の取扱中に係る信書の秘密は、これを侵してはならない。
 郵便の業務に従事する者は、在職中郵便物に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。

なぜなら、この「信書の秘密」は、「郵便物の発送元や宛先が知られると、思想・表現の自由が抑制されるおそれがある」ため、「開封の書状や葉書の発信人、宛先の住所・氏名等も含まれる」と、通信の時や主体、相手方の秘匿など広範囲におよぶと解されているからです(大阪高裁昭和41年2月26日判決・賽原隆志『新・判例ハンドブック情報法』(宍戸常寿編)140頁)。また、郵便法8条2項は郵便局の職員に対して「郵便物に関して知りえた他人の秘密」に関する守秘義務を定めています。

郵便法に隣接する分野の法律である電気通信事業法4条や憲法21条2項の定める「通信の秘密」も、例えば手紙の本文やメールの本文などの通信内容そのものだけでなく、通信の発信者・受信者、通信の有無、通信の日時、通信にかかわる住所、メールやウェブサイトのヘッダー情報など通信の外形的事項(「通信の構成要素」「メタデータ」とも呼ばれる)をも広く含むと解されています(曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁)。

そのため、郵便局の配達員などが配達業務に関連して目視やカメラ・センサーなどで収集した居住者情報などの個人データなども「信書の秘密」に該当し、また郵便局職員の「郵便物に関して知りえた他人の秘密」なので、これをみだりに日本郵政など日本郵政グループが利活用することは、信書の秘密・通信の秘密侵害郵便局職員の守秘義務違反として違法・違憲と評価されるおそれがあるのではないでしょうか。

そもそも郵便局やかんぽ生命などの日本郵政グループは数年おきに重大な個人情報漏洩事故を起こし、最近も顧客の個人情報の政治活動への目的外利用などの杜撰な情報管理が大きな問題となっています。「情報銀行」の業務を行うには、まずは日本郵政グループ内の情報管理が徹底されないことには、国民・住民は怖くて自らの個人情報を日本郵政グループに利活用させようと思わないのではないでしょうか。

(関連)
・かんぽ生命・日本郵便の3000件の個人情報漏洩事故/ブラック企業

10.個人情報保護法の「二重オプトアウトの禁止」
本報告書13頁は、地図会社に郵便局やかんぽ生命など日本郵政グループの職員が収集した個人データを第三者提供・販売することを提言しています。この部分を読むと、上でみた「顧客の本人同意が不要な類型」という個人情報の第三者提供は、はオプトアウト方式(個人情報保護法23条2項)のことらしいのですが、2022年4月から施行される令和2年改正の個人情報保護法は「二重オプトアウトの禁止」を明示しています(個人情報保護法23条2項ただし書き、佐脇『一問一答令和2年改正個人情報保護法』48頁)。

この点、一般の地図会社はオプトアウト方式で本人同意をとり地図を作製していることを考えると、日本郵政グループも同様にオプトアウト方式により「デジタル地図」を作成すると思われ、日本郵政がオプトアウト方式で作成したデジタル地図の個人データを地図会社が購入などすることは、個人情報の第三者提供のオプトアウトに該当し、「二重オプトアウト」(個人情報保護法23条2項ただし書き)に該当してしまうので、地図会社などは日本郵政のデジタル地図の個人データを購入することは違法となります(法23条2項ただし書き)。

そのため、本報告書13頁が提言している、日本郵政が郵便配達員などの目視やバイク、ドローンなどに設置されたカメラ・センサーなどの情報から居住者情報などの個人データの添付されたデジタル地図を作製し、地図会社などに販売・第三者提供しようというスキームは個人情報保護法との関係で違法であり許容されないものと考えられます。

11.政府からの給付金の支払口座?
本報告書13頁は、災害対応、自治体の統計調査への協力だけでなく、「国の給付金の支払い」についてもゆうちょ銀行の口座などを利用することを提言しています。しかし、災害対応・自治体の統計調査などへの協力は国民・住民に対して説明がつくかもしれませんが、国の給付金の支給に郵便局の顧客個人情報をオプトアウトで利用したら、国民・住民から「なぜ国は私の口座を知っているのか?」「プライバシー侵害」「国に私達の口座の個人情報を漏洩した日本郵政は許せない!」等との大きな苦情リスクが発生するのではないでしょうか。

12.転居の有無に居住者データの有効利用
本報告書13頁は、「転居の有無に居住者データの有効利用」を提言しています。しかし「転居の有無に居住者データの有効利用」というのは、これもオプトアウト方式で探偵屋や名簿屋、受信料を徴収するNHK、DV加害者などに顧客本人の現住所の個人データを販売するものになってしまうのではないでしょうか。これは顧客の国民・住民のプライバシー侵害(民法709条、憲法13条)ですし、勝手に本人の現住所を第三者に知らせることは個人データの本人同意のない第三者提供(個人情報保護法23条1項)に該当する違法なものであるようにも思えます。もし実施した場合、日本郵政や総務省などは、国民・住民からの大きな苦情リスクに耐えられるのでしょうか?

13.まとめ
このように、総務省が検討している、日本郵政グループがデジタル地図の個人データを地図業者に販売・第三者提供などすることは個人情報保護法違反のおそれが高く、また、総務省の本報告書が提言しているさまざまな新しい個人データビジネスも個人情報保護法、郵便法、保険業法、銀行法、憲法などとの関係で違法・違憲のおそれが強いものと思われます。総務省は本報告書の内容について、一から見直す必要があるのではないでしょうか。

日本郵政グループは個人情報の問題だけでなく、2019年には日本郵便・かんぽ生命が地域の高齢者の生命保険契約の乗換を繰り替えさせるなどの組織ぐるみの保険募集の重大な違法行為が発覚し、現在、日本郵政グループは全社をあげた再発防止、コンプライアンスやガバナンスの徹底に取り組んでいる時期のはずです。にもかかわらず総務省がこの時期に個人情報の利活用など会社経営のアクセルを踏ませる提言を行うことには大きな違和感があります。

(関連)
・かんぽ生命・日本郵便の不正な乗換契約・「乗換潜脱」を保険業法的に考える

日本郵政グループやその監督官庁の総務省は、現在はまずは日本郵政グループ各社のコンプライアンス・ガバナンスの徹底に全力をあげて取り組むべきなのではないでしょうか。

(なお、情報セキュリティや情報法の専門家で産業技術総合研究所主任研究員の高木浩光先生は、もし日本郵便・郵便局が葉書・手紙などの配達業務というコモンキャリア、いわゆる「土管屋」の業務だけでなく、個人情報に関するビジネスを開始すると、郵便局は個人情報取扱事業者となり、郵便局に手紙・葉書などの郵送を頼む日本全国の法人は日本郵便・郵便局に対して安全管理措置の一つである「委託先の管理」(個人情報保護法22条)の義務を負うことになるがそのような結果は現実的ではないとブログ記事で総務省の報告書を批判されています。)

・郵便事業がコモンキャリアを逸脱すれば郵便物を差し出す事業者が個人情報保護法に抵触する|高木浩光@自宅の日記

このブログ記事が面白かったらブックマークやシェアをお願いします!

■関連する記事
・かんぽ生命・日本郵便の不正な乗換契約・「乗換潜脱」を保険業法的に考える
・かんぽ生命・日本郵便の3000件の個人情報漏洩事故/ブラック企業
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)
・コロナにより自宅療養等した場合、生損保の医療保険の入院給付金は支払われないのか?(追記あり)
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

■参考文献
・佐脇紀代志『一問一答令和2年改正個人情報保護法』13頁、48頁
・田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁
・中原健夫・山本啓太・関秀忠・岡本大毅『保険業務のコンプライアンス 第3版』264頁
・経済法令研究会『保険コンプライアンスの実務』227頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁
・郵便事業がコモンキャリアを逸脱すれば郵便物を差し出す事業者が個人情報保護法に抵触する|高木浩光@自宅の日記
・番号法第2条第8項に定義される個人番号の範囲について(周知)(令和3年10月22日)|個人情報保護委員会





















このエントリーをはてなブックマークに追加 mixiチェック

LINE
4月26日に総務省は、LINEに対する行政指導に関するプレスリリースを公表しました。

・LINE株式会社に対する指導|総務省

このリリースを読むと、委託先のアクセス権の設定に一部不明確な部分があったことや、モニタリングシステムの本人確認が厳格でないこと等の事実を総務省は認定してるのに、「「通信の秘密」侵害は認められなかった」と結論づけているのは、LINEに厳しい行政処分・行政指導を行わないでおこうという、性善説に立った結論ありきで物事が進められたようで疑問です。

リリースの文中には、「LINEからの報告書をみる限りでは」という表現もあるので、総務省はLINE社に対して立入検査すら実施しなかったようです。

また、画像・動画データのすべてが現在もLINE社の韓国の関連会社のサーバーに保存されていることについて、総務省の今回のプレスリリースはまったく触れていません。

「通信の秘密」(憲法21条2項)は、国民のプライバシー(憲法13条)や内心の自由(19条)、表現の自由(21条1項)に関連する重要な人権です。そのため、電気通信事業法は4条で「通信の秘密」を規定し、同179条はその侵害に対する罰則を用意しています。

この「通信の秘密」は、LINEでいえばトークなどのメッセージや画像データ・動画データなどの通信内容が保護対象となるのは当然として、メッセージの相手である友達などの通信の宛先、通信の日時、通信の有無、などの外形的事項も保護対象となるとされている幅広なものです。

LINEなどの電気通信事業者は、「通信の秘密」については、「緊急避難」、「正当業務行為」あるいは利用者の「本人の同意」などがあった場合には、通信の秘密の侵害は例外的に許容されるとされています(曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁)。

しかし、LINEの事件では、中国・韓国などに個人データが海外移転していたことについては、問題が発覚し、3月末にLINE社がプライバシーポリシーを改正する前は、プライバシーポリシーに明示されておらず、利用者の「本人の同意」があったとはいえません。

なんらかのアクシデントに対する緊急避難的対応として中国・韓国などに個人データが移転したという事実はないようですし、日本のユーザーのすべての画像データ・動画データを韓国に移転していたことが正当業務行為といえるのかも大いに疑問です(しかも画像データ・動画データには、個人の医療データ、金融データなどセンシティブ情報も含まれています。)。しかし、これらの論点についてLINE社からの説明はなく、今回の総務省のプレスリリースもこれらの問題に関してはまったく触れていません。

LINEの日本の利用者は8600万人を超えるそうで、個人だけでなく、国・自治体や大企業もさまざまな場面で利用を行っています。個人のプライバシーに関する情報とともに、企業の営業秘密・機微情報や、国などの安全保障にかかわる情報(例えば国の要人のスケジュールや移動・位置情報に関する情報等)もやり取りされている可能性があります。

総務省がLINE社に対して立入検査すら実施せずに、提出された報告書だけで性善説的な観点で行政指導を行い、事件を終わりにしようとしている点には、「通信の秘密」や個人情報保護法上の問題、情報セキュリティ上の問題だけでなく、国の安全保障の観点からも疑問を感じます。

■関連するブログ記事
・LINEの個人情報の問題に対して個人情報保護委員会が行政指導を実施
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた

■参考文献
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ