なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:行政機関個人情報保護法

デジタル庁トップページ
1.デジタル庁のウェブサイト
9月1日から正式に発足したデジタル庁は、サイト作成や運用にSTUDIO株式会社というベンチャー企業の「コード不要」というSTUDIOというサービスを利用して同庁サイトの作成や運用を行っていますが、STUDIO社のプライバシーポリシーは個人情報保護法違反の部分があり、また同社の利用規約は「当社システムは高度な安全性はない」と明示しています。つまり、デジタル庁(および内閣IT戦略室)は厚労省のCOCOAの件などと同様に、委託先の選定等の安全確保措置を十分に実施していない行政機関個人情報保護法6条違反の可能性があります。

2.STUDIO社の利用規約
ITmediaニュースなどの報道によると、デジタル庁のサイトは、ベンチャー企業のSTUDIO株式会社のSTUDIOという「コード不要」なシステムで作成されているようです。同社サイトをみると、主に個人事業主や中小企業向けのサービスのようですが。「コード不要」とは、いかにも新しいものがお好きな平井大臣が好みそうなサービスですが、共同入札などの正式な手続きは経ているのでしょうか?
・デジタル庁発足 公式サイトにITエンジニアから反応続々「シンプル」「重い」「ロゴが丁寧」「苦労が見える」|ITmediaニュース

この点、ある方の9月1日のツイッターの投稿によると、デジタル庁のサイトの利用者のログやブラウザ情報、端末データなどの個人データはやはりSTUDIO社のサーバーに送信されているようであり、STUDIO社がデジタル庁サイトの運営を委託されていることは間違いないようです。

デジタル庁のサイトのサーバー

また、サイトを作成さえすればドメイン、サーバなどはS社が一括管理と説明されていますが、中央官庁サイトの安全管理措置などには十分対応できるのでしょうか。

スタジオ社
(STUDIO社サイトより)
https://studio.inc/

そこでSTUDIO社の利用規約をみると、IT企業の利用規約のよくあるパターンで、利用規約9条(保障・免責)の各号では「本サービスの利用による保障はしないし、責任も負わない」旨を明示しています。
・利用規約・プライバシーポリシー・特定商取引法上の表記|STUDIO

スタジオ1

とくに利用規約9条4項は、STUDIOのサービス・システムは「本サービスは高度の安全性が要求され…重大な損害が発生する用途には設計しておりません」と明示しています。中央官庁であるデジタル庁のサイトは、「高度な安全性」が必要だと思うのですが、これはまずいのではないでしょうか?
スタジオ社利用規約9条4項

この点、デジタル庁などの行政機関に適用される行政機関個人情報保護法6条は行政機関とその委託先に個人データの滅失・毀損・漏洩などが発生しないように安全確保措置を講じることを要求しています。

行政機関個人情報保護法6条
これを受けて、総務省総管情第84 号・平成 16 年9月14 日通知「行政機関の保有する個人情報の適切な管理のための措置に関する指針について(通知)」「第8 保有個人情報の提供及び業務の委託等」4項は、行政機関が委託を行う際は、委託先が安全確保の能力があることを事前に確認し、年1回以上の立入検査の実施、個人データの利用の制限や障害対応、秘密保持条項、障害対応、損害賠償、再委託の制限などを明記した契約書を締結しなければならない等と規定しています(岡村久道『個人情報保護法 第3版』430頁)。

総務省安全確保指針
・「行政機関の保有する個人情報の適切な管理のための措置に関する指針」及び「独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針」の改正|総務省

にもかかわらず、利用規約において「当社のサービスは高度の安全性が要求される用途のためには設計されていない」と明記しているSTUDIO社にサービスやシステムの運用を委託しているということは、デジタル庁およびその前身の内閣IT戦略室は、個人データを取り扱う情報システムの委託について、委託先が安全確保の能力があることを事前に確認するなどの安全確保措置を十分に講じておらず、行政機関個人情報保護法6条および総務省「「行政機関の保有する個人情報の適切な管理のための措置に関する指針」第8第4項などに違反しているのではないでしょうか?

この点に関しては、コロナの接触確認アプリCOCOAのシステム開発の委託においても厚労省や内閣IT戦略室が杜撰な委託を行っていたことが発覚したばかりであり、また、今年春にはLINE社のLINEが個人情報や通信の秘密の杜撰な安全管理を行っており、かつLINE社が国・自治体に対して繰り返し「LINEの日本の個人データは日本のサーバーに保存されている」等と虚偽の説明を行い、国・自治体がこの説明を鵜呑みにして立入検査・実地検査などをしてLINE社が安全管理措置を本当に講じているかどうか確認を行わず、安全確保措置を講じていないという行政機関個人情報保護法6条などの違反などを行っていたことが発覚したばかりなのにです。

デジタル庁や内閣IT戦略室などは、高度な法令順守・コンプライアンスが要求される国の機関であるにもかかわらず、このような度重なる行政機関個人情報保護法6条の違反を漫然と繰り返していることは、「法の支配」や法治主義、「法律による行政の原則」、「法律による行政の民主的コントロールの原則」(憲法41条、65条、76条)の観点から非常に問題なのではないでしょうか。国・行政がコンプライアンス意識を無くし、憲法や法律を無視するようになっては、国民から選挙で選ばれた国会の法律で行政を民主的にコントロールしようという議会制民主主義が破綻してしまいます。

総務省や個人情報保護委員会などは、デジタル庁や内閣IT戦略室などに対して法律を守れと指導・勧告等を実施すべきではないでしょうか。

3.STUDIO社のプライバシーポリシー
なお、STUDIO社のプライバシーポリシーについても簡単にみてみると、利用者のcookieや端末情報、操作ログなどの個人データを収集・利用するとあるのはある意味当然ですが、STUDIO社はプライバシーポリシー6条で、それらの個人データの共同利用(個人情報保護法23条5項3号)を行うとしているのに、共同利用を行う者の範囲、利用される個人データの項目、共同利用の利用目的などが同社サイトにどこにも明示されてないのは個人情報保護法23条5項3号違反です(岡村久道『個人情報保護法 第3版』264頁)。

スタジオプライバシーポリシー共同利用

また、STUDIO社のプライバシーポリシー9条は、開示・削除・利用停止等の請求の手続や手数料などについては「当社が別途定める所定の方式により」としていますが、肝心のこの別記がサイト上にどこにも掲載されてないのは、個人情報保護法27条1項3号違反です(岡村・前掲295頁)。個人情報保護委員会はSTUDIO社やデジタル庁などに対して指導・勧告などを実施すべきではないでしょうか(法40条、41条、42条)。

このようにSTUDIO社は、プライバシーポリシーについても個人情報保護法違反が複数存在します。同社にサイトの作成や運用を委託したデジタル庁・内閣IT戦略室が委託先の選定などの安全確保措置に関していかに杜撰であるかがここにも見受けられます。

デジタル庁は日本の国・自治体のデジタル行政を所管する官庁のはずなのに、行政機関個人情報保護法や個人情報保護法などの法律の素人しか存在しないのでしょうか?それ以前に国の官庁なのに法令を遵守して業務を行おうというコンプライアンス意識が非常に低いように見受けられるのは非常に心配です。

個人情報保護法は「個人情報の有用性に配慮しつつ、個人の権利利益を保護」(法1条)とし、また「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべき」(法3条)との立法目的・趣旨を明記しています。

国・自治体のデジタル化は重要です。しかし、国民の個人の尊重と基本的人権の確立(憲法13条)と、「個人の権利利益を保護」、「個人の人格尊重の理念」(個人情報保護法1条、3条)、つまり国民の人権保障という憲法や個人情報保護法の基本理念を大原則として、デジタル庁はコンプライアンス意識を持ってデジタル行政を企画立案、実施していただきたいと思います。

デジタル庁は民間のITスタートアップ企業ではなく、国の行政官庁であり、その大臣や職員は公務の中立性・公平性とともに法令順守が要求され(国家公務員法96条1項、98条1項、憲法15条2項)、憲法尊重擁護義務(憲法99条)を負うのですから。

■追記(9月4日)
9月3日のマスメディア各社の報道によると、デジタル庁デジタル監の石倉洋子氏が、画像素材サイト「PIXTA」の複数の画像を、同サイトから購入せずに自身のウェブサイトに勝手に掲載していたとのことです。同サイトからの申し出に対して石倉氏はこの事実を認め、自身のサイトを閉鎖したとのことです。これにはさすがに呆れてしまいました。

1630756714318
(石倉洋子氏のTwitterより)

石倉氏は経営学者であり、ITや情報法などの専門家ではないが、2000年代からTwitterやFacebookなどを利用しておりITリテラシーの高い人物である」と、石倉氏を高く評価する投稿が9月になってからTwitter上で多く見られたところですが、画像素材サイトの画像を購入せずに勝手にパクって自分のサイトに掲載するとは、石倉氏の「ITリテラシー」は最低です。

デジタル庁は国・自治体のデジタル政策を担う官庁であり、その業務のためには、ITの知識やノウハウだけでなく、著作権法などの知的財産権法や個人情報保護法制や憲法、行政法、独禁法や消費者法などの法律知識は必須のはずですが、事務方トップの石倉氏はこのような素人レベルな法律知識で、デジタル庁の役職員の業務に違法・不当がないか監督できるのでしょうか? 多いに疑問です。

平井大臣の特定企業との癒着の問題や、NECを「徹底的に干せ」「脅せ」などとヤクザのような暴言を吐いていた問題や、アメリカの性犯罪者の富豪から多額の寄付金を受けていた伊藤譲一氏のデジタル監の人事の問題など、デジタル庁や菅政権はとにかく憲法や法律・モラルを遵守しようというコンプライアンス意識が致命的に欠落しています。

デジタル庁は、デジタル行政の業務を始める前に、まずは大臣やデジタル監をはじめとする全役職員が、憲法や国家公務員法、国家公務員倫理法や、個人情報保護法、知的財産権法、独占禁止法などの法令の基礎に関する全庁的なコンプライアンス研修を実施すべきではないでしょうか。

このままでは、デジタル庁は、役職員が「法令を守っていては日本は潰れる」などと嘯いて官民のデジタル利権を牛耳って、中抜きで私腹を肥やす経済マフィアのような組織になっていまいます。

■追記・デジタル庁ナンバー3の岡下昌平・デジタル大臣政務官が違法Youtuberであることが発覚(9月30日)
nukalumix様「畳之下新聞」の9月30日付の記事「(逃走中) 違法Youtuber が #デジタル庁 ナンバー3 の大臣政務官 という地獄」によると、デジタル庁ナンバー3岡下昌平・デジタル大臣政務官が、自身のYouTubeチャンネル「おかしょうちゃんねる堺」において、ABEMAなどの動画を切り取り、自身のYouTubeチャンネルにアップロードするなどの著作権法違反の行為を繰り返していたことが発覚したとのことです(自動公衆送信権(著作権法23条1項)の侵害)。
・(逃走中) 違法Youtuber が #デジタル庁 ナンバー3 の大臣政務官 という地獄|畳之下新聞

おかしょうちゃんねる堺
(岡下昌平氏の「おかしょうちゃんねる堺」より)

デジタル庁は、上から下まで法令無視のアウトローの人間しかいないのでしょうか。呆れてしまいます。このような無法者集団がデジタル行政を行っては、日本の官民のデジタル部門やIT業界などは、法律無視が当たり前で、腕力や発言力、経済力、政治力が強い人間が幅を利かす原始時代のような世界になってしまうような気がします。

■関連する記事
・デジタル庁の事務方トップに伊藤穣一氏との人事を考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・西村大臣の酒類販売事業者や金融機関に酒類提供を続ける飲食店との取引停止を求める方針を憲法・法律的に考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関する有識者委員会の第一次報告書をZホールディンクスが公表
・新型コロナの接触確認(感染追跡)アプリ(COCOA)の内閣府の仕様書を読んでみた
・コロナ禍の緊急事態宣言で国民の私権制限をできないのは憲法に緊急事態条項がないからとの主張を考えた

■参考文献
・岡村久道『個人情報保護法 第3版』264頁、295頁、430頁
・宇賀克也『個人情報保護法の逐条解説 第6版』179頁、432頁



















このエントリーをはてなブックマークに追加 mixiチェック

デジタル庁トップ
5月12日にデジタル関連法案が参議院で可決・成立したことを受けて、デジタル庁が早々とウェブサイトを作成したようです。また、デジタル庁が最近いろいろと物議を醸しているnoteを使った宣伝活動を開始したことが早くも炎上しているようです。

・デジタル庁サイト

・デジタル庁「noteはじめました」→ドメインが「.go.jp」であることの問題点を高木浩光先生が指摘|togetter

そこで、デジタル庁のサイトを私もみてみました。

ざっとみると、現在のデジタル庁サイトは、①情報発信の業務と、②国民からの意見・要望募集の業務、③新卒・中途の職員の採用業務の3つをメインに行っているようです。

そこで、プライバシーポリシーを見てみると・・・

デジタル庁プラポリ1

条文形式にすらなっていないのが気になります。どこかのオシャレなITベンチャー企業のプレスリリースをコピペしてきたのでしょうか?文章も素人臭い感じで、本当に内閣IT推進室などの霞が関の個人情報保護法や情報セキュリティの専門家のエリート官僚達が作っているのか少し心配になってきます。

プライバシーポリシー(プラポリ)の内容としても、気になる点がいくつかあります。
第一に、このデジタル庁サイトは上でみた①から③までの業務・サービスを行っているのですが、「2.収集する情報の範囲」は、収集する個人情報を、「お問い合わせの種別、お名前、メールアドレス」と、「ご意見・ご要望」に関する個人情報しか記載されていません。

デジタル庁プラポリ2

しかし、デジタル庁サイトは新卒・中途の職員採用業務も実施しており、またプラポリの「3.利用目的」では、「当ウェブサイトが提供するサービスを円滑に運営するための参考として利用」するとも記載されています。

そのため、採用活動でやり取りする、就活生・求職者の氏名、試験区分、参加希望日時、参加希望形式などの個人情報・個人データなども「収集する情報の範囲」に明記するべきです。

デジタル庁プラポリ3

また、「当ウェブサイト運営の参考」のための、ウェブサイト閲覧者のIPアドレス、デバイスの種類、OSの詳細、ブラウザの詳細、サイト閲覧履歴などの個人情報・個人データ・個人関連情報も収集していることを明記すべきです。

第二に、プラポリ「3.利用目的」には、個人情報は、①「当ウェブサイト運営の参考のため」と②「ご意見・ご要望」を今後の政策立案の参考にし、関係府省に第三者提供することの2点しか明記されていません。

しかしデジタル庁サイトは採用活動も行っているのですから、「3.利用目的」に「新卒・中途の採用活動」に関しても個人情報・個人データを利用していることを明記すべきです。

第三に、「4.利用及び提供の制限」やっつけ仕事というか、いい加減です。

デジタル庁プラポリ5

まず冒頭が「当室では」とありますが、主体はデジタル庁であって内閣IT推進室ではないのですから、これは明らかに誤字脱字でしょう。(世の中に公開するプライバシーポリシーなのに、しかも官庁のプライバシーポリシーなのにダブルチェックや上の人の決裁などを受けていない文章なのでしょうか?)

また、法令に基づく開示要請があった場合、不正アクセス脅迫等の違反行為があった場合その他特別の理由のある場合を除き…3の利用目的外に自ら利用し、又は第三者に提供しません」とあります。(ここは完全に素人臭い文章で、官僚なら職場で叩き込まれているはずの法律知識や法令用語の使い方を無視しているので、おそらくどこかの零細ITベンチャー企業などのプラポリをコピペしているのだろうと思われます。)

この部分については、例えば現在はまだデジタル庁に適用される行政機関個人情報保護法の8条1項はつぎの各号の場合には、行政機関は個人情報を目的外利用・第三者提供することができると規定しています。

・「本人の同意があるとき」(1号)
・「行政機関が法令の定める所掌事務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当な理由のあるとき」(2号)
・「他の行政機関(略)に保有個人情報を提供する場合において、保有個人情報の提供を受ける者が、法令の定める事務又は業務の遂行に必要な限度で提供に係る個人情報を利用し、かつ、当該個人情報を利用することについて相当な理由のあるとき」(3号)
・「学術研究の目的・統計利用の目的」(4号)

しかしデジタル庁のプライバシーポリシーが「4.利用及び提供の制限」でまったくこれらに触れていないのは、デジタル庁がIT・デジタル化や個人情報・マイナンバーや情報セキュリティが所管業務であるのに、その役職員が個人情報保護法制などのまったくのド素人なのか、あるいは最初から法律や社会常識などをはなから守るつもりがないのか、よくわからないところです。

第四に、せっかくプライバシーポリシーを作ったのに、国民・利用者が開示・訂正・削除などの請求をするための手続きやそのための手数料などを明記していない点も非常に疑問です。この点も、完全にド素人の作成したプライバシーポリシーであることを伺わせます。(なお、行政機関は必ず手数料を設定しなければならないと規定されています(行個法28条)。)

第五に、「5.安全確保の措置」では、ここでも冒頭の「当室」が誤字脱字で、その内容も、デジタル庁自身の安全確保措置と、個人データの取扱の委託先に対する監督については一応明記がありますが、デジタル庁の役職員に対する監督や、役職員の守秘義務が記載されていないのも法的にどうなのかと思います(行個法6条、7条)。

また、デジタル庁のプライバシーポリシーにおいては、個人情報の事務の委託先や、第三者提供先がまったく明らかになっていません。これでは国民・利用者は、自分の個人情報がどこに行くのか予測することがまったくできません。

少し前には、LINEの個人情報の問題が大炎上しました。しかしデジタル庁のプライバシーポリシーは、LINEのプライバシーポリシーの足元にもおよばないレベルです。またデジタル庁はnoteでしきりに「透明性」を宣伝しているようですが、自庁の個人情報の取扱の段階で「透明性」がまったく看板倒れとなっています。

これはITやデジタルに関する中央官庁なのに本当に許されるのでしょうか?日本は民主主義国家であり、行政部門の暴走や独断専行を防ぐために、国民から選択された議員による国会で作られた法律を、行政は守らなければなりません(「法律による行政の原則」「行政の法律による民主的統制の原則」)。内閣IT推進室でデジタル庁設立のために働いている官僚の人々は、たとえ理系の方であったとしても、国家公務員試験の憲法・政治学などの科目でこれくらいは勉強しているはずなのに、デジタル庁のプラポリのグデグデな状況は非常に謎です。

5月12日のデジタル関連法案の成立により、今後はデジタル庁などの行政機関についても、個人情報に関する事柄については、個人情報保護委員会の監督下になるそうなので、個人情報保護委員会は、一足早く、このデジタル庁のツッコミどころ満載のプライバシーポリシーと、同庁の情報管理の実務について行政指導などを実施すべきなのではないでしょうか?

なお、Twitterでみかけた次のようなIT企業の社長さんらしき方のツイートによると、デジタル庁に採用されたIT企業の従業員は、出向などでなく、デジタル庁とその民間企業に両方勤務する掛け持ち状態になるようです。しかしそのような状態は、利益相反やデジタル庁職員としての守秘義務、さらにはデジタル庁と特定企業との癒着などの問題は大丈夫なのでしょうか?

デジタル庁は組織や人員という観点からも非常に「ブラックボックス」的であって「透明性」がまったく欠如しているように思われます。

E1NCzW1VEAAlx9q

行政庁や公務員は憲法に定められた国民福祉(25条)基本的人権(11条)などの実現のために働く機関であり、そこで働く人々です。そのためその業務には公共性・公平性・中立性が要求されます。つまり公務員は一部の国民や特定の業界・業種のために働くのではなく、日本の全ての国民のために働く職業(15条2項・「公務員は一部の奉仕者でなく全体の奉仕者」)なのですから、デジタル庁やその役職員がIT企業や製薬会社、自動車メーカーなど特定の企業・業界のために便宜を図ることは許されません。

国家公務員法も、「すべて職員は、国民全体の奉仕者として、公共の利益のために勤務」しなければならないと規定(96条1項)し、国家公務員は業務に関して守秘義務を負い(100条)、さらに国家公務員は営利企業の職員を兼務したり、営利企業を経営することが禁止されています(103条・私企業からの隔離

デジタル関連法案などの法改正で、これらの点の手当が一応なされているのかもしれませんが、「日本社会をデジタル化する」「そのために民間企業などのITエンジニアを大量にデジタル庁に中途採用する」というデジタル庁そのものが、本当に公共機関である国が主体となって行うべきものなのか、あるいは民間の職員を大量に採用して公務員に代用するという手法が、公共機関である官庁のやり方として本当に正しいのか、大いに疑問です。

2000年頃から日本でも始まった、新自由主義の政府・与党による「政治主導」「行政改革」「規制緩和」「官から民へ」の政策は、国・自治体の職員の削減・非正規化、指定管理者制度、PFIなどさまざまな形でわが国の公の部門をやせ細らせ、憲法が国民に保障する、本来国民が享受できたはずのさまざまな「福利」、つまり社会保障や社会権をやせ細らせてきました(晴山一穂『現代国家と行政法学の課題』161頁)。今回のコロナ禍における日本全国の医療崩壊、1万人を超える死者などはその典型例であると思われます。

「日本社会をデジタル化」するために、それを主導する公的機関を、民間の人員を動員して行政庁ではなく「スタートアップ企業」的な「民間IT企業的な組織」とすることは、このような「官から民へ」の新たな形態であるように思えます。しかしそれは、上でみたような憲法や国家公務員法の趣旨や基本原則を大きく逸脱しているのではないかと思われます。

■追記(9月1日)
9月1日となり、デジタル庁の発足を受け、同庁サイトもリニューアルされています。そこでプライバシーポリシーをざっと読んでみたのですが、「当室」との単語が「デジタル庁」に変わった以外は変更はないようです。デジタル行政を所管するデジタル庁には、個人情報保護法制の素人しかいないのでしょうか? 国民の一人としては非常に心配です。

■関連する記事
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・海老名市立中央“ツタヤ”図書館に行ってみた/#公設ツタヤ問題
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・AIによる自動処理決定拒否権

■参考文献
・岡村久道『個人情報保護法 第3版』423頁、434頁
・晴山一穂『現代国家と行政法学の課題』161頁















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ