１．消費者金融の主戦場がスマートフォンに
最近の日経新聞の記事（「消費者金融、スマホ申し込み９割 LINEはペイ借り入れも」）によると、消費者金融の主戦場が店舗からスマートフォンに移行しているそうです。同記事はLINE子会社の消費者金融「LINEクレジット」の「LINEポケットマネー」とその前提となる信用スコアリングの「LINEスコア」について解説しています。

ところで同記事によると、LINEスコアではAI分析により、LINEの利用において「１か月前より友だち（連絡先）が減少した場合には、延滞や貸し倒れの確率（リスク）が２倍になった」等の分析結果を割り出し信用スコアリングを行っていることに、ネット上では「LINEの「友だち」が減ると信用スコアが減ってしまうのか！？」等と驚きや困惑の声が広がっています。


（LINEクレジットの与信判断の例。「消費者金融、スマホ申し込み９割 LINEはペイ借り入れも」日経新聞記事より）

２．プロファイリングと差別の問題
2022年４月に公表された、商事法務の「パーソナルデータ＋α研究会」の「プロファイリングに関する最終提言」４頁によると、AI等によるプロファイリングとは「パーソナルデータとアルゴリズムを用いて、特定の個人の趣味嗜好、能力、信用力、知性、振る舞いなどを分析・予測すること」と定義されています。そしてプロファイリングの具体例は「融資の場面におけるAIを用いた個人の信用力の測定」などであるとされています。つまりLINEポケットマネーおよびLINEスコアはAIによるプロファイリングの問題といえます。

そしてプロファイリングにおいては差別のおそれが重要なリスクです。つまり、AIに学習させた個人データのデータセットに、もし人種や性別などの個人の属性に関するバイアス（偏り）が存在していた場合、そのバイアスが含まれた評価結果が生成され、結果として審査等の対象となる個人が不当な差別を受けるおそれがあります。

例えば2018年に米アマゾンがAIを用いた人事採用システムを導入した後、女性の評価が不当に低い欠陥が発覚し当該システムの利用を取りやめた事例は注目を集めました。このように不当な差別が意図せず生じてしまうことに、AIによるプロファイリングの恐ろしさがあります。また、AIを活用した機械的な審査では、対象者のスキルや実績などを十分に評価できず、特定の属性を持つ者に対して不当に厳しい条件が出力されてしまうおそれもあり、人間による判断が介在しないことは危険であると考えられます（久保田真悟「プロファイリングのリスクと実務上の留意点」『銀行法務21』890号（2022年10月号）45頁、47頁）。

この点、LINEポケットマネー・LINEスコアの「１か月前より友だち（連絡先）が減少した場合には、延滞や貸し倒れの確立（リスク）が２倍になった」等のAIの機械学習による評価結果には本当に不当な差別を招くバイアスが含まれていないかには疑問が残ります。（なおLINEポケットマネーのサイトを読むと「10分で融資可能か審査します」等と記載されており、人間の判断が介在していないのではと思われます。）

３．プロファイリングにおける要配慮個人情報の推知と取得の問題
プロファイリングによる個人データの生成行為（あるいは推知）が要配慮個人情報の「取得」に該当するかについては重要な解釈問題として議論されています（宇賀克也『新・個人情報保護法の逐条解説』215頁）。

しかしプライバシー権（憲法13条）との関係上、プロファイリングは要配慮個人情報やセンシティブ情報について、直接これらの情報を取得せずとも高い確率でこれらの情報を推知可能です。つまりプロファイリングによる要配慮個人情報の推知は取得とほぼ異ならないため、実務上は要配慮個人情報やセンシティブ情報の推知を取得とみなして業務対応を行うべきとの指摘がなされています（久保田・前掲46頁）。

この点、要配慮個人情報の取得については「本人の同意」が必要であるところ（個人情報保護法20条２項）、LINEポケットマネー（同クレジット）およびLINEスコアのプライバシーポリシーを読むと、「与信・融資の審査のために要配慮個人情報を取得・利用する」等との明示はなされておらず、本人の同意は十分に取得されていないのではないかとの疑問が残ります。（「本人の同意」については後述。）

（なお、LINE社のプレスリリース「【LINE】「LINE」、スペインの登録ユーザー数がヨーロッパ圏で初めて1,000万人を突破」などによると、LINEのスペインのユーザーは1000万人を超えているそうです。欧州のGDPR（一般データ保護規則）22条１項は、コンピュータやAIによる個人データの自動処理の結果のみをもって法的決定や重要な決定を下されない権利を規定し、同条２項はそのような処理のためには本人の明確な同意が必要であると規定しています。そのため、もしLINEポケットマネーのサービスがスペイン等の欧州のユーザーに提供されていた場合、LINEはGDPR22条２項違反のおそれがあります。）

４．「本人の同意」の方式をLINEは満たしているか？
個人情報保護法は上でみた法20条２項だけでなく、法18条（利用目的の制限）、法27条（第三者提供の制限）、法28条（外国にある第三者への提供の制限）および法31条（個人関連情報の提供の制限）などの場面で本人の同意の取得を事業者に義務付けています。この本人の同意の方法については、「事業の性質および個人情報の取得状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法」によらなければならないと解されています（岡村久道『個人情報保護法 第４版』119頁）。

そして金融業や信用業務に関しては一般の事業よりもデリケートな個人情報を扱うため、それぞれの分野の個人情報保護に関するガイドラインが制定されています。「金融分野における個人情報保護に関するガイドライン」３条は、金融機関に対して、本人の同意を得る場合には、原則として書面（電磁的記録を含む）によるとした上で、事業者が事前に作成した同意書面を用いる場合には、文字の大きさ及び文書の表現を変える等の措置を講じることが望ましいとしています。

また「信用分野における個人情報保護に関するガイドライン」Ⅱ.１.（３）は、与信事業者は本人の同意を得る場合には、原則として書面（電磁的記録を含む）によることとし、文字の大きさ、文章の表現その他の消費者の理解に影響する事項について消費者の理解を容易にするための講じることを義務付けています。債権管理回収業ガイドラインもほぼ同様の規定を置いています（岡村・前掲121頁）。

この点、LINEポケットマネーのユーザーの申込み画面をみると、つぎの画像のように、LINEクレジット（LINEポケットマネー）やLINEスコアの利用規約やプライバシーポリシーへのリンク一覧が貼られ、そのリンク横にチェックを入れる画面があるだけで「次へ」と進むボタンがあるだけとなっています。


（LINEポケットマネーの申込みの際の同意画面）

それぞれのプライバシーポリシーを個別に見ても、プロファイリングや要配慮個人情報を取得（または推知）することを明示した条項はありません。（LINEポケットマネーのプライバシーポリシーの「３．機微（センシティブ情報の取扱い）」には、「（７）保険業その他金融分野の事業のため」との条項があるが、「与信」、「融資」または「信用」などの明示はなく、文字の大きさや文章の表現などの工夫もなされていない。）

したがってLINEポケットマネーのサービスは、「文字の大きさ、文章の表現その他の消費者の理解に影響する事項について消費者の理解を容易にするための講じる」等の信用分野個人情報保護ガイドラインⅡ.１.（３）などの規定への違反があるといえます。

また、LINEポケットマネーのプライバシーポリシーを見ると、韓国の関連会社（決済・バンキングシステムのLINE Biz Plus等）に業務委託を行っているとありますが、外国にある第三者（韓国の関連会社）への業務委託があるにもかかわらず、上でみたようにユーザーの本人の同意を明確に得ていないことは、これも個人情報保護法28条や信用分野個人情報保護ガイドラインⅡ.１.（３）などの規定への違反であると思われます。（法28条（外国にある第三者への提供の制限）の「提供」には、「委託」や「共同利用」なども含むため。）

５．まとめ
このように、LINEポケットマネーおよびLINEスコアのサービスは、プロファイリングについて不当な差別のおそれがあり、また特に要配慮個人情報の推知・取得について個人情報保護法20条２項などの違反の可能性があり、さらにユーザーの本人の同意の取得について法28条や信用分野個人情報保護ガイドラインⅡ.１.（３）等の違反の可能性があると思われます。

このブログ記事が面白かったらブックマークやシェアをお願いします！

■参考文献
・宇賀克也『新・個人情報保護法の逐条解説』215頁
・岡村久道『個人情報保護法 第４版』119頁、121頁
・山本龍彦「AIと個人の尊重、プライバシー」『AIと憲法』59頁
・久保田真悟「プロファイリングのリスクと実務上の留意点」『銀行法務21』890号（2022年10月号）44頁
・ヤフーの信用スコアはなぜ知恵袋スコアになってしまったのか｜高木浩光＠自宅の日記
・「消費者金融、スマホ申し込み９割 LINEはペイ借り入れも」｜日本経済新聞
・「プロファイリングに関する最終提言」｜商事法務「パーソナルデータ＋α研究会」

■関連する記事
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた（追記あり）
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの改正プライバシーポリシーがいろいろとひどいー委託の「混ぜるな危険」の問題・外国にある第三者
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか？



［広告］

タグ ：

#security

#privacy

#個人情報

#LINE

#LINEポケットマネー

#LINEスコア

#GDPR

#プロファイリング

#要配慮個人情報

#出澤剛

東京都調布市が「調布市個人情報保護法施行条例(案)の概要」のパブコメ手続きを行っていたので、私も次のような意見を作成して送ってみました（2022年10月11日まで）。

・「(仮称)調布市個人情報保護法施行条例(案)の概要」へのご意見をお寄せください｜調布市

１．「個人情報」の定義についてー改正調布市個人情報保護条例（以下「改正条例」とする）3条２号
個人情報の定義が「生存する」をつけない「個人に関する情報（以下略）」となっているが、死者の個人情報も含むのか、生存する個人に関する情報に限るのか、規定を明確化すべきではないか。

２．条例要配慮個人情報についてー改正条例３条
改正条例３条に要配慮個人情報の定義が存在せず、個人情報保護法にすでに要配慮個人情報の定義規定があるので条例要配慮個人情報の規定は改正条例に設けない方針とのことであるが、改正条例５条２項各号には要配慮個人情報に類する事項の規定があるところ、同２項２号の「社会的差別の原因となる個人情報」には、調布市の実務において個人情報保護法２条３項が列挙する事項以外の事項が存在しないか調査は行われているのであろうか（例えば信仰、病歴、障害歴、ワクチン接種等の履歴、本籍地、資産情報、金融情報など）。もし存在するのであれば、条例要配慮個人情報として明文で定義規定を置くべきではないか。

３．安全管理措置についてー改正条例８条の条文名、２項、４項、同10条１項
改正条例8条、10条の「適正管理」または「適正な管理」は、個人情報保護法66条にそろえて「安全管理」または「安全な管理」に用語をそろえては如何でしょうか。

４．オンライン結合の制限規定についてー改正条例13条
改正条例13条に現行条例13条と同様のオンライン結合の制限規定があることに賛成いたします。

国や企業等による個人情報の利活用だけでなく、主権者たる市民・国民の「個人の権利利益の保護」（個人情報保護法１条）と、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべき」（法３条）との個人情報保護法制の趣旨・目的に照らすと、市民・国民個人の個人情報とプライバシー権の保護を重視する調布市の姿勢に賛成します。

５．開示請求手続きにおける実施機関以外のものとの協議についてー改正条例16条５項
2021年11月に発覚した調布市つつじが丘のNEXCO東日本による陥没事故の被害者住民の情報公開請求に係る個人情報漏洩事件を踏まえ、改正条例16条５項に「ただし、当該開示決定等に係る保有個人情報の安全管理を徹底し、当該実施機関以外のものに当該保有個人情報の漏洩等が発生しないようにして、開示請求者の権利利益を保護しなければならない。」等のただし書きを設けるべきではないか。

６．利用停止・外部提供の停止についてー改正条例26条１号、２号
改正条例26条１号の利用停止又は消去の要件の部分に、「個人情報保護法63条の定める不適正利用が行われたとき」を追加すべきではないか。また改正条例26条２号の外部提供の停止の要件の部分に、「個人情報保護法68条の定める個人情報の漏洩等が発生した場合その他本人の権利または正当な利益が害されるおそれがあるとき」を追記すべきではないか。

７．行政機関等匿名加工情報についてー「調布市個人情報保護法施行条例（案）の概要について（説明資料）」２頁の図表３の「ウ行政機関等匿名加工情報（改正法第109条等）の作成・提供」
改正条例に行政機関等匿名加工情報の規定を設けないとの調布市の判断に賛成いたします。

国や企業等による個人情報の利活用だけでなく、主権者たる市民・国民の「個人の権利利益の保護」（個人情報保護法１条）と、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべき」（法３条）との個人情報保護法制の趣旨・目的に照らすと、市民・国民個人の個人情報とプライバシー権の保護を重視する調布市の姿勢に賛成します。

（注：今回の令和３年改正対応の個人情報保護法改正では、市区町村に対しては行政機関等匿名加工情報の規定の設置は義務とはなっていない。）

■関連する記事
・調布市の陥没事故の被害者住民の情報公開請求に係る個人情報の漏洩事件について考えた（追記あり）
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた（追記あり）－貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか？－デジタル・ファシズム
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか？



［広告］

タグ ：

#個人情報保護条例

#調布市

#個人情報

#要配慮個人情報

#安全管理措置

#開示請求

#オンライン結合

#匿名加工情報

#security

#privacy

１．はじめに
NHKの5月14日のニュースによると、帯広中央病院、済衆館病院、JA広島総合病院、福井赤十字病院、府中病院（大阪）の５か所の病院の眼科医５名が、米医療機器会社の日本法人「スター・ジャパン」社に対して、患者の白内障手術をスター・ジャパン社のカメラで撮影した画像データを３年間にわたり繰り返し第三者提供し現金（40万円～105万円）を受け取っていたことが発覚したとのことです。

・“手術動画”無断で外部提供か 病院側「再発防止に努めたい」｜NHKニュース

本事件は、センシティブ情報の要配慮個人情報である医療データについて、①取得にあたり「本人の同意」は適正に取得されていたのか、②医療機器メーカーに販売するという利用目的での本人の同意は取得されていたのか、あるいは目的外利用に本人の同意はあったのか、③医療機器メーカーに販売するという第三者提供について本人の同意は得られていたのか、④各病院の安全管理措置、⑤医師の守秘義務などが主に問題になると思われます。

２．要配慮個人情報
白内障手術の画像データは、「医師等により心身の状態の改善のための指導又は診療」に該当する「診察情報」（個人情報保護法施行令２条３項）に該当するので、要配慮個人情報に該当します（個人情報保護法2条3項）。そして要配慮個人情報の収集にあたっては原則として「本人の同意」が必要となります（法20条２項）。（岡村久道『個人情報保護法 第４版』237頁、91頁。）

３．「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」における「本人の同意」
この「本人の同意」について、平成29年4月29日・個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の「Ⅳ 医療・介護関係事業者の義務等」の「９．個人データの第三者提供（法第２７条）」の「（３）本人の同意が得られていると考えられる場合」は、つぎのような場合は本人の同意は得られているとしています（黙示の同意）。

「（略）このため、第三者への情報の提供のうち、患者の傷病の回復等を含めた患者への医療の提供に必要であり、かつ、個人情報の利用目的として院内掲示等により明示されている場合は、原則として黙示による同意が得られているものと考えられる。（後略）」

（個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」より）

つまり、①患者への医療の提供に必要であり、かつ、②個人情報の利用目的として院内掲示板等により明示されている場合、には、患者本人からの明確な本人同意がなくても黙示の同意が得られており、「本人の同意」は適法に取得されていると本ガイダンスはしています。

この点、例えば今回問題となった帯広協会病院は、同病院サイトでプライバシーポリシーのなかで利用目的を表示しています。



（帯広協会病院サイトより）

しかしこの帯広協会病院のプライバシーポリシーの利用目的には、「外部の医療機器メーカーなどの医療機器の研究開発に協力する」であるとか、「外部の医療機器メーカーなどに患者の医療データを販売（第三者提供）する」などの利用目的は記載されていません。（個人情報保護委員会等の本ガイダンスに記載されている利用目的の例をみると、他の４つの病院にも記載はないものと思われます。）

４．小括
（１）そのため、本事件において、５つの病院は本人の同意なしに要配慮個人情報の患者の白内障手術の画像データを取得している点で法20条２項違反であり、また本人の同意なしに患者の個人データを目的外利用し、またスター・ジャパン社に第三者提供しているので、法18条1項違反および法27条1項違反であると思われます。さらに、所属する眼科医がこのような違法な行為をしていたことを見逃していた帯広協会病院など５つの病院は、病院内の個人情報に関する安全管理措置に重大な落ち度があったといえると思われます（法23条、24条）。

（２）加えて、今回違法に提供された白内障手術の画像データの全部または一部をスター・ジャパン社に提供し、現金を受け取っていた５名の医師および病院は、１年以下の懲役又は50万円以下の罰金の個人情報データベース等提供罪に該当する可能性があるのではないでしょうか（法174条）。同時にこの医師らは守秘義務違反として刑事責任を問われる可能性があります（刑法134条）。

５．被害にあった患者の方などについて
本事件では、白内障手術の画像データという個人データが本人の同意なしに目的外利用され、また第三者提供されているので、被害にあった患者の方は、各病院に対して、個人データの利用の停止または消去と、第三者提供の停止請求を行うことができます（法35条1項、３項）。また、被害にあった患者の方々は、各病院および各医師に対してプライバシー権の侵害として不法行為に基づく損害賠償責任を請求することができます（民法709条、715条）。

６．個人情報保護委員会など
本事件は個人情報漏洩事故といえるので、各病院は個人情報保護委員会および厚労省に対して報告をし、被害者に通知するとともに公表することが義務付けられています（法26条）。

一方、個人情報保護委員会および厚労省は、各病院に対して報告を徴求し立入検査を行い（法143条）、指導・助言や勧告・命令などの行政指導・行政処分を出すことができます（法144条、145条）。

７．まとめ
このように本事件は、センシティブ情報の要配慮個人情報である医療データについて、①取得にあたり「本人の同意」が適正に取得されておらず違法であり、②医療機器メーカーに販売するという利用目的での本人の同意は取得されておらず違法な目的外利用であり、③個人データの医療機器メーカーへの第三者提供について本人の同意は得られておらず違法であり、④各病院の安全管理措置は尽くされておらず、⑤医師の守秘義務違反による刑事責任やプライバシー侵害による不法行為に基づく損害賠償請求権が問題となる事案であると思われます。

■追記（5月17日）
NHKのニュースによると、本事件について、厚労省はスター・ジャパン社に聞き取りをするなどの調査を開始したとのことです。また、業界団体の「医療機器業公正取引協議会」も調査を開始したとのことです。今後の展開が気になるところです。

追記（2022年11月2日）
本事件について個人情報保護委員会が行政指導を行った旨のプレスリリースと、注意喚起のページを公開しています。
・手術動画提供事案に対する個人情報の保護に関する法律に基づく行政上の対応について｜個人情報保護委員会
・「医療機関における個人情報の取扱い」に関する注意喚起（PDF）｜個人情報保護委員会

このブログ記事が面白かったらブックマークやシェアをお願いします！

■参考文献
・岡村久道『個人情報保護法 第４版』237頁、91頁、400頁、405頁
・平成29年4月29日・個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」

■関連する記事
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか？
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか？－デジタル・ファシズム

タグ ：

#要配慮個人情報

#目的外利用

#第三者提供

#個人情報データベース等提供罪

#不法行為

#損害賠償

#privacy

#security

#個人情報

#医療データ