なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:要配慮個人情報

doctor_isya_warui
1.はじめに
NHKの5月14日のニュースによると、帯広中央病院、済衆館病院、JA広島総合病院、福井赤十字病院、府中病院(大阪)の5か所の病院の眼科医5名が、米医療機器会社の日本法人「スター・ジャパン」社に対して、患者の白内障手術をスター・ジャパン社のカメラで撮影した画像データを3年間にわたり繰り返し第三者提供し現金(40万円~105万円)を受け取っていたことが発覚したとのことです。

・“手術動画”無断で外部提供か 病院側「再発防止に努めたい」|NHKニュース

本事件は、センシティブ情報の要配慮個人情報である医療データについて、①取得にあたり「本人の同意」は適正に取得されていたのか、②医療機器メーカーに販売するという利用目的での本人の同意は取得されていたのか、あるいは目的外利用に本人の同意はあったのか、③医療機器メーカーに販売するという第三者提供について本人の同意は得られていたのか、④各病院の安全管理措置、⑤医師の守秘義務などが主に問題になると思われます。

2.要配慮個人情報
白内障手術の画像データは、「医師等により心身の状態の改善のための指導又は診療」に該当する「診察情報」(個人情報保護法施行令2条3項)に該当するので、要配慮個人情報に該当します(個人情報保護法2条3項)。そして要配慮個人情報の収集にあたっては原則として「本人の同意」が必要となります(法20条2項)。(岡村久道『個人情報保護法 第4版』237頁、91頁。)

3.「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」における「本人の同意」
この「本人の同意」について、平成29年4月29日・個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の「Ⅳ 医療・介護関係事業者の義務等」の「9.個人データの第三者提供(法第27条)」の「(3)本人の同意が得られていると考えられる場合」は、つぎのような場合は本人の同意は得られているとしています(黙示の同意)。

「(略)このため、第三者への情報の提供のうち、患者の傷病の回復等を含めた患者への医療の提供に必要であり、かつ、個人情報の利用目的として院内掲示等により明示されている場合は、原則として黙示による同意が得られているものと考えられる。(後略)」
病院の本人の同意
(個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」より)

つまり、①患者への医療の提供に必要であり、かつ、②個人情報の利用目的として院内掲示板等により明示されている場合、には、患者本人からの明確な本人同意がなくても黙示の同意が得られており、「本人の同意」は適法に取得されていると本ガイダンスはしています。

この点、例えば今回問題となった帯広協会病院は、同病院サイトでプライバシーポリシーのなかで利用目的を表示しています。

帯広病院1
帯広病院2
(帯広協会病院サイトより)

しかしこの帯広協会病院のプライバシーポリシーの利用目的には、「外部の医療機器メーカーなどの医療機器の研究開発に協力する」であるとか、「外部の医療機器メーカーなどに患者の医療データを販売(第三者提供)する」などの利用目的は記載されていません。(個人情報保護委員会等の本ガイダンスに記載されている利用目的の例をみると、他の4つの病院にも記載はないものと思われます。)

4.小括
(1)そのため、本事件において、5つの病院は本人の同意なしに要配慮個人情報の患者の白内障手術の画像データを取得している点で法20条2項違反であり、また本人の同意なしに患者の個人データを目的外利用し、またスター・ジャパン社に第三者提供しているので、法18条1項違反および法27条1項違反であると思われます。さらに、所属する眼科医がこのような違法な行為をしていたことを見逃していた帯広協会病院など5つの病院は、病院内の個人情報に関する安全管理措置に重大な落ち度があったといえると思われます(法23条、24条)。

(2)加えて、今回違法に提供された白内障手術の画像データの全部または一部をスター・ジャパン社に提供し、現金を受け取っていた5名の医師および病院は、1年以下の懲役又は50万円以下の罰金の個人情報データベース等提供罪に該当する可能性があるのではないでしょうか(法174条)。同時にこの医師らは守秘義務違反として刑事責任を問われる可能性があります(刑法134条)。

5.被害にあった患者の方などについて
本事件では、白内障手術の画像データという個人データが本人の同意なしに目的外利用され、また第三者提供されているので、被害にあった患者の方は、各病院に対して、個人データの利用の停止または消去と、第三者提供の停止請求を行うことができます(法35条1項、3項)。また、被害にあった患者の方々は、各病院および各医師に対してプライバシー権の侵害として不法行為に基づく損害賠償責任を請求することができます(民法709条、715条)。

6.個人情報保護委員会など
本事件は個人情報漏洩事故といえるので、各病院は個人情報保護委員会および厚労省に対して報告をし、被害者に通知するとともに公表することが義務付けられています(法26条)。

一方、個人情報保護委員会および厚労省は、各病院に対して報告を徴求し立入検査を行い(法143条)、指導・助言や勧告・命令などの行政指導・行政処分を出すことができます(法144条、145条)。

7.まとめ
このように本事件は、センシティブ情報の要配慮個人情報である医療データについて、①取得にあたり「本人の同意」が適正に取得されておらず違法であり、②医療機器メーカーに販売するという利用目的での本人の同意は取得されておらず違法な目的外利用であり、③個人データの医療機器メーカーへの第三者提供について本人の同意は得られておらず違法であり、④各病院の安全管理措置は尽くされておらず、⑤医師の守秘義務違反による刑事責任やプライバシー侵害による不法行為に基づく損害賠償請求権が問題となる事案であると思われます。

■追記(5月17日)
NHKのニュースによると、本事件について、厚労省はスター・ジャパン社に聞き取りをするなどの調査を開始したとのことです。また、業界団体の「医療機器業公正取引協議会」も調査を開始したとのことです。今後の展開が気になるところです。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・岡村久道『個人情報保護法 第4版』237頁、91頁、400頁、405頁
・平成29年4月29日・個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」

■関連する記事
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム













このエントリーをはてなブックマークに追加 mixiチェック

大阪市サイト
(大阪市サイトより)

1.大阪市がコロナ患者の管理システム「HER-SYS」への個人データ入力を契約書の締結などを経ずに委託し、さらに委託先企業が勝手に再委託の事実が発覚
新聞報道などによると、大阪市は市議会で2月17日、新型コロナウイルスの感染者情報の管理システム「HER-SYS(ハーシス)」に個人データなどをデータ入力する業務について、契約書を作成せずに民間企業の言い値で約1億円で委託していたことを明らかにし、陳謝したとのことです。
・コロナ業務委託、業者の言い値「1億円」で口頭契約|読売新聞

さらに大阪市議会議員の前田和彦氏(@kazuhikomaeda)の2月17日のTwitterの投稿によると、大阪市から個人データの入力の委託を受けた委託先企業は、なんと大阪市の承諾を取らずに当該入力業務を別の企業に再委託してしまったのだそうです。これには驚いてしまいました。

『さらに本件はもう1つ重大な問題がある。先日大阪市のワクチン配送が委託先から再委託されていた。この再委託は事前の大阪市の承諾がなく大変問題となった。本件ハーシス入力業務委託もさらに別事業者に再委託されている事実が判明。この再委託は大阪市の事前の承諾どころか未だ承諾が行われていない。(前田和彦・大阪市議のTwitterより)
前田市議3再委託
再委託の書面
https://twitter.com/kazuhikomaeda/status/1494308685656752131
(前田和彦・大阪市議のTwitterより)

2.個人情報保護法制から考える
(1)大阪市個人情報保護条例
今回の事件は大阪市健康局が「実施者」としてHER-SYS(ハーシス)へのコロナ感染者の個人データの入力業務を民間企業に委託しているので、大阪市個人情報保護条例が適用されることになります。

(2)要配慮個人情報
大阪市個人情報条例(以下「本条例」とする)は、「要配慮個人情報」とは「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして市規則で定める記述等が含まれる個人情報をいう。」と定義しています。

つまり「病歴」は要配慮個人情報(いわゆるセンシティブ情報)なので、コロナ感染者の個人情報は要配慮個人情報に該当します。要配慮個人情報は機微な情報であるため、原則は収集禁止であり、「本人の同意のある場合」や「法令等に定めがある場合」などに限り例外的に収集が許される(本条例6条2項)とされているなど、とりわけ厳重な取扱いが要求される個人情報です。

(3)適正管理措置・委託
本条例13条2項は、「実施機関は、保有個人情報の保護に関する責任体制を明確にし、保有個人情報の漏えい、滅失、き損及び改ざんの防止その他の保有個人情報の適正な管理のために必要な措置を講じなければならない。」と、個人情報の適正管理措置(=安全管理措置)を講じることを大阪市の実施機関に求めています。

そして本条例14条は、大阪市の実施機関が個人情報に係る業務を委託する場合には、「委託に関する契約書個人情報の漏えい、滅失、き損及び改ざん等の防止に関する事項、契約に違反したときの契約解除及び損害賠償に関する事項等を明記するなど」の適正管理措置を講じなければならないと規定しています。また、本条例15条2項は、委託先(受託者)は実施機関の承認を受けずに受託した業務を第三者に再委託してはならないと規定しています。

大阪市個人情報保護条例

(事務処理の委託)
第14条 実施機関は、個人情報を取り扱う事務の全部又は一部の処理を委託しようとするときは、委託に関する契約書個人情報の漏えい、滅失、き損及び改ざん等の防止に関する事項、契約に違反したときの契約解除及び損害賠償に関する事項等を明記するなど、個人情報の適正な管理のために必要な措置を講じなければならない。

(受託者等の義務)
第15条 実施機関から個人情報を取り扱う事務の全部又は一部の処理を受託している者又は受託していた者(以下「受託者」という。)は、次に掲げる行為をしてはならない。
(1) (略)
(2) 実施機関の承認を受けずに、受託した事務を第三者に委託すること
(後略)
・大阪市個人情報保護条例

つまり、本条例上、大阪市の各部門や機関などの実施機関は、保有する個人情報の滅失、棄損、漏洩などが発生しないように個人情報について適正管理措置を講じることが求められています(本条例13条2項)。

そして個人情報に係る業務を民間企業などに委託する場合には、個人情報の漏洩、滅失、棄損などの防止のために委託先が講じなければならない事項や、もし問題が発生した場合の契約解除や損害賠償に関する事項を委託契約書に規定して委託契約を締結などしなければならないところ(本条例14条)、大阪市健康局は実施機関として委託契約書を締結などせずに口約束で本委託契約を結んでおり、本条例14条に違反しています。

また、実施機関である大阪市健康局の承諾なしに再委託を実施したこの委託先企業本条例15条2項違反しています。

(4)委託基準
さらに、大阪府は個人情報に係る業務の委託に関する内部規則として「個人情報取扱事務委託基準」を制定しサイトで公表しています。

この大阪府の委託基準をみると、「3.委託にあたっての留意事項」(2)(3)は、「契約に先立ち、委託事務の内容や取り扱う個人情報の内容、記録媒体の実態等に応じ、委託先が個人情報の保護について遵守すべき事項を十分に検討し、別紙「個人情報取扱特記事項(例)」を参考に、当該委託事務における個人情報保護のための特記事項(以下「個人情報取扱特記事項」という。)を定めること。」「委託先は、個人情報取扱特記事項を遵守できるものを慎重に選定すること。」と規定しています。

委託にあたっての留意事項
大阪府「個人情報取扱事務委託基準」の「3.委託にあたっての留意事項」より。)

おそらく大阪市にも大阪府の「個人情報取扱事務委託基準」と同様の内部規則があるであろうことを考えると、事前に個人情報の安全管理措置を講じるための個人情報取扱特記事項を遵守できる委託先を慎重に選定せず、委託契約書や特記事項などすら作成せずに委託契約を締結している大阪市健康局は、委託基準などの内部規則にも違反しているものと思われます。

3.まとめ
現在、コロナの第6波が襲来しており、大阪市も新規陽性者が4293人、現在陽性者数が59104人(2月18日現在。大阪市サイトより。)と、大阪市が大変逼迫した業務の状況であることはよくわかります。 しかし、上でもみたようにコロナの感染者に関する個人情報はセンシティブな個人情報の要配慮個人情報であり、特に厳重な取扱いが必要であることをも考えると、大阪市健康局が委託契約書や個人情報取扱特記事項などを作成・締結せずに、委託先企業を決定し、相手方の言い値で約1億円の委託契約を締結したことは大阪市個人情報保護条例14条などに違反する違法な行政行為です。本件は事務監査請求や住民監査請求、住民訴訟などの対象になりうる事件なのではないでしょうか。

本事件については、大阪市健康局は、本件の委託について、他の業務を一旦止めてでも、あらかじめ十分に委託先企業を選定し、委託契約書や個人情報取扱特記事項などの書面を作成し、委託契約を締結すべきだったのではないでしょうか。

地方公務員法32条は法令遵守を地方公務員に求めており、一般の会社員などよりも自治体や公務員はより高いコンプライアンス意識やガバナンスが要求されるのですから。

大阪市はトラブルシューティングと再発防止に取り組むべきですし、野党やマスメディアはこの問題を追及するべきです。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・岡村久道『個人情報保護法 第3版』512頁、516頁、517頁

■関連する記事
・コロナにより自宅療養・自主療養等した場合、生損保の医療保険の入院給付金は支払われないのか?(追記あり)
・茅ヶ崎市の小学校が生徒のGoogle Workspace For Educationのパスワードの提出を求めていることを情報セキュリティ・個人情報保護法制から考えた(追記あり)
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・新型コロナの接触確認(感染追跡)アプリ(COCOA)の内閣府の仕様書を読んでみた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング















このエントリーをはてなブックマークに追加 mixiチェック

読売新聞記事
(読売新聞サイトより)

1.JR東日本が駅構内等で防犯カメラと顔認識システムを利用して、刑務所からの出所者や不審者を監視する防犯対策を実施しているとの読売新聞のスクープ記事
読売新聞の9月21日付の午前の記事で、「JR東日本が7月から、防犯カメラと顔認識システムを利用して、刑務所からの出所者と仮出所者や、不審者を駅構内などで検知する防犯対策を実施していることがわかった」とする記事がネット上で大きな注目を集めています。具体的には、①過去にJR東の駅構内などで重大犯罪を犯し服役した人(出所者や仮出所者)、②指名手配中の容疑者、③うろつくなどの不審な行動をとった人、を防犯カメラ・顔認証システムで監視し、必要に応じて警察と連携した対応を行うとしています。
・【独自】駅の防犯対策、顔認識カメラで登録者を検知…出所者の一部も対象に|読売新聞

JR東日本の2021年7月6日付のプレスリリース「東京2020オリンピック・パラリンピック競技大会に向けた鉄道セキュリティ向上の取り組み について」や、国土交通省のプレスリリース「鉄道の警戒警備の強化に関するお知らせ」によると、JR東日本は、東京オリンピック・パラリンピックの開催に合わせて、不審者、不審物などを監視するセキュリティの強化のために、新幹線や在来線の約110駅に約5800台の防犯カメラを設置し、変電所や車両基地などに約8350台の防犯カメラなどを設置し、さらに駅員にウェアラブル端末式の防犯カメラを装着させるなどして、収集したデータをセキュリティセンターで集中管理して監視を行うとされています。また、JR東日本のプレスリリースには「顔認証技術の導入に当たっては、個人情報保護委員会にも相談の上、法令に則った措置を講じています。」と書かれていることも気になる点です。
・東京2020オリンピック・パラリンピック競技大会に向けた鉄道セキュリティ向上の取り組み について|JR東日本
・鉄道の警戒警備の強化に関するお知らせ|国土交通省

ところが、この読売新聞のスクープ記事が報道された同日の夜には、新聞各社の報道によると、JR東日本は「顔認証システムで刑務所の出所者・仮出所者を監視する取組は撤回する」と発表したとのことです。
・駅で出所者の「顔」検知、JR東が取りやめ…「社会の合意不十分」と方針転換|読売新聞

JR東日本は、監督官庁である国土交通省や個人情報保護委員会などと調整した上で、この鉄道セキュリティ対策を企画・立案し実施したはずなのに、読売新聞のスクープ報道を受けてたった1日でその一部を撤回したのは不可解な話です。本ブログ記事では、このJR東日本の防犯カメラ・顔認証システムによる駅構内などにおける刑務所の出所者や不審者などの監視を、個人情報保護法などから問題点を検討してみたいと思います。

2.防犯カメラ・顔認証システム
顔認証システム(顔認証カメラ)とは、防犯カメラが収集した個人の顔の画像から、目、鼻、口といった顔の特徴をシステム的に数値化し、その「特徴点のデータ」(=「顔データ」、「顔認証データ」・「テンプレート」等と呼ばれる)を作成しデータベース(DB)に登録し、DB登録されている顔データとカメラで撮影し抽出した顔データを照合することで、特定の個人を識別するシステムのことをいいます。顔認証システムは、自動的に特定の個人を識別できることが、従来のただの画像という「生データ」しか取得しない従来の防犯カメラと大きく異なる点です。

そして、顔認証システムは特定の個人を識別するための「一対一の本人確認」のみならず、不特定多数の人間から特定の個人を識別する「一対nの識別」にも利用ができるため、警察や、今回話題となったJR東日本などのように民間企業でも利用が広がっています。

このような顔認証システムは、警察や民間企業などにとって有用性が高い一方で、撮影された個人の容貌の保護の問題(肖像権)、撮影方法や撮影画像の利用方法の問題(プライバシー権)、撮影された画像および顔データの保護の問題(個人情報の適切な取扱い)などについてさまざまな法的問題が発生します(新保史生「監視・追跡技術の利用と公法的側面における課題」『プライバシー・個人情報保護の新課題』(堀部政男編)201頁)。

3.個人情報保護法
(1)個人情報・個人データ
防犯カメラが撮影した生データとしての個人の顔や容貌などは、「個人に関する情報」であって、電磁的記録などを含むさまざまな情報・記述などにより、「あの人、この人」と「特定の個人を識別できるもの」は個人情報保護法上の「個人情報」に該当します(法2条1項1号)。そして民間企業などがコンピュータで体系的に処理する個人情報は「個人データ」に該当します(法2条6項)。

なお、従来、6か月以内に消去されるデータは個人データに該当しないと規定されていましたが、この規定は令和2年の個人情報保護法改正で改正され、改正法が施行される2022年4月以降は、6か月以内に消去されるデータも個人データに該当します(改正法2条7項)。

(2)顔データ・個人識別符号
今回問題となっている顔認証システムによる顔データ(顔認証データ)や遺伝子データ、声帯認証データ、歩行認証データ、指紋・掌紋認証データなどは、「個人に関する情報」であって「特定の個人を識別できるもの」である限り個人情報・個人データですが、平成27年の個人情報保護法改正で、これが個人情報・個人データに該当することを明確化するために、「個人識別符号」(いわゆる1号個人識別符号)という名称で、個人情報・個人データに該当することが条文上、明示されました(法2条2項1号、法2条1項2号)。

顔認証システムによる顔データは、個人情報保護法施行令1条1項ロの「顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌」に該当し、法2条2項1号の「特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの」である「個人識別符号」に該当するので、やはり個人情報・個人データに該当することになり、民間企業などは個人情報保護法第4章の規定する個人情報取扱事業者の義務を負うことになります。

(3)犯罪歴・要配慮個人情報
EUが1995年に制定したEUデータ保護指令は、病歴、犯罪歴、思想・信条、人種など社会的差別の原因になるおそれのある情報をセンシティブ情報(機微情報)として、個人情報のなかでも特に厳格な取扱いが必要であるとしました。しかし2003年に成立した日本の個人情報保護法は経済界の個人情報の利活用を重視するいわゆる「ザル法」であるため、このセンシティブ情報に関する規定はなく、金融庁などの個人情報保護ガイドラインなどにセンシティブ情報の規定が存在するにとどまっていました。しかし平成27年の法改正で日本の個人情報保護法にも、このセンシティブ情報は「要配慮個人情報」という名称でようやく取り入れられました(法2条3項)。

今回のJR東日本の防犯カメラ・顔認証システムで問題となる刑務所から出所や仮出所した人々を監視するということは、個人の犯罪歴に関わる情報の取扱ですので、この要配慮個人情報の取扱の問題となります。

要配慮個人情報について、個人情報保護法は、その収集には原則として本人の同意が必要であると規定し(法17条2項)、また要配慮個人情報の第三者提供については、オプトアウト方式による第三者提供を禁止しています(法23条2項かっこ書き)。

4.JR東日本の犯罪歴などの要配慮個人情報の取扱に法的問題はないのか?
このように、社会的差別をまねくおそれがあるために、犯罪歴、病歴、思想・信条、人種などの要配慮個人情報を民間企業などが収集するためには、原則として本人の同意が必要とされていますが、法はいくつかの例外を設けています。その一つが「法令に基づく場合」です。

個人情報保護法

(適正な取得)

第17条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
 法令に基づく場合
(略)
 当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
(後略)

読売新聞の記事によると、JR東日本は、「事件の被害者や目撃者、現場管理者らに加害者の出所や仮出所を知らせる「被害者等通知制度」に基づき、従来より検察庁から情報提供を受けている。出所者や仮出所者については情報が提供された際、JR東や乗客が被害者となるなどした重大犯罪に限って氏名や罪名、逮捕時に報道されるなどした顔写真をデータベースに登録する。」という取扱いを行うとされています。

つまり、"刑務所からの出所者、仮出所者などの情報は犯罪歴であり要配慮個人情報(法2条3項)に該当するが、「被害者等通知制度」という「法令に基づく場合」(法17条2項1号)の例外規定に該当するので、JR東日本が出所者などの個人の犯罪歴や氏名・住所などの要配慮個人情報や個人情報を本人の同意なしに収集することは合法である"とJR東日本は考えているようです。

(そして、この「被害者等通知制度」により法務省・検察庁から出所者等の氏名・住所・犯罪歴などの情報を収集し、その情報をもとにテレビや新聞などの報道機関の報道から出所者等の顔写真などの情報を収集することは、法17条2項5号の「当該要配慮個人情報が、…第76条第1項各号に掲げる者…により公開されている場合」の例外規定に該当し合法であるとJR東日本は考えていると思われます。)

しかし、このようなJR東日本の考え方は法的に正しくないと思われます。

JR東日本が出所者等の犯罪歴や氏名・住所などの情報を収集するための「被害者等通知制度」は、内閣府男女共同参画局や法務省のウェブサイトなどで調べると、法務省の制定した「平成28年5月27日法務省刑総第741号 被害者等通知制度実施要領」を根拠として運用されていると解説されています。

犯罪被害者通知制度
(法務省サイトより)
・被害者等通知制度実施要領|法務省

このような国会でなく、官庁の制定した「実施要領」(=通達)が、個人情報保護法17条2項が要配慮個人情報の本人の同意なしに例外的に収集を許す「法令」に該当するか否かが問題となります。

この点、個人情報保護法は、要配慮個人情報の収集、個人情報の目的外利用、個人情報の第三者提供の3つの場面においては、本人の承知しないところで本人の個人情報が不当に利用、保存、突合、連結、分析などが行われ勝手にプロファイリングに利用されてしまうリスクや、本人の承知しないまま本人の個人情報がある事業者から別の事業者へと転々と流通するなどのリスクを防止するため、本人に自らの個人情報をコントロールできるように、原則として本人の同意が必要であるとしています。

しかしこの三か所の場面には、例外として本人の同意が不要な場合として「法令に基づく場合」が規定されています(法17条2項1号、法16条3項1号、法23条1項1号)。

この「法令に基づく場合」が例外として許されている趣旨は、それぞれの法令は国会審議において、当該個人情報の収集等の必要性が立法意思として明らかにされ、当該法令により保護されるべき権利利益が明確であって、当該法令に照らして合理的範囲に限り取り扱われるものであることから適用除外とされていると解説されています(岡村久道『個人情報保護法 第3版』183頁、園部逸夫『個人情報保護法の解説(改正版)』124頁)。

つまり侵害されるおそれのある国民本人の基本的人権や権利利益の侵害の可否やその程度、それに対する法令の個人情報の収集の必要性などが、国民の信託を受けた国会議員による国会で十分審議された上で立法化される(はずな)ので、「法令に基づく場合」は例外として本人の同意が不要とされるのです。

そのため、この3つの場面の「法令に基づく場合」の「法令」とは、国会や地方自治体の議会の定める法律や条例、法律に基づいて制定される政令、府省令は含まれますが、官庁や自治体など行政機関が制定する訓令・通達含まれないとされています(個人情報保護法ガイドラインQ&A1-59、岡村・前掲183頁、園部・前掲124頁)。

この点、上でみたように、法務省・検察庁の「被害者等通知制度」は、国会などが立法した刑事訴訟法などの法律に根拠がある制度ではなく、行政機関である法務省の制定した「平成28年5月27日法務省刑総第741号 被害者等通知制度実施要領」という通達(要綱通達)を根拠として運用されているものであり、個人情報保護法17条2項1号の定める「法令に基づく場合」には該当しません。

したがって、法務省・検察庁の「被害者等通知制度」により出所者等の犯罪歴などの要配慮個人情報を収集することは個人情報保護法17条2項1号の「法令に基づく場合」に該当するので合法であるとするJR東日本の説明は法的に正しくありません。このようなJR東日本の犯罪歴などの要配慮個人情報の収集は違法といえます(法17条2項1号)。

5.プライバシー権や肖像権侵害による不法行為に基づく損害賠償責任の法的リスク
なお、上でも触れたとおり、事業者などがある個人の個人情報を違法・不当に取り扱った場合、個人情報保護法上違法となるだけでなく、当該個人の肖像権やプライバシー権の侵害であるとして不法行為に基づく損害賠償責任を負う法的リスクも発生することになります(民法709条、憲法13条)。

この点、ある自治体が弁護士会からの弁護士会照会(弁護士法23条の2)に対して、ある個人の前科を漫然と回答した事件に関して、1981年の最高裁は、当該自治体に対して不法行為に基づく損害賠償責任を認めています(前科照会事件・最高裁昭和56年4月14日判決)。

また、JR東日本の経営陣や法務・コンプライアンス部門などは、このような個人情報保護法など法令を十分に社内で検討せずに顔認証システム等の運用の企画・実施を行ったことを反省する必要があります。2019年の就活生の内定辞退予測データの販売が行われた、いわゆる「リクナビ事件」においては、個人情報保護委員会は、リクルートやトヨタなどに対して、「社内で個人情報保護法など法律を十分に検討せぬままに新しい業務を行ったこと」を理由として行政処分を行っているからです。
・個人情報の保護に関する法律に基づく行政上の対応について|個人情報保護委員会

同様に、監督官庁である国土交通省や個人情報保護委員会なども、JR東日本と事前にどのようなやり取りや法的判断を行ったのか等が問われる状況ではないでしょうか。

6.挙動不審者への対応について
しかしJR東日本は、出所者・仮出所者に関する対応は撤回した一方で、「うろつくなどの不審な行動をとった人」を防犯カメラ・顔認証システムで監視する取扱いは継続する方針であるそうです。

防犯カメラ・顔認証システムに関しては、従来、個人情報保護委員会などは個人情報保護法18条4項4号の「取得の状況からみて利用目的が明らかであると認められる場合」に該当するので、防犯カメラや顔認証システムを店舗などに設置している民間企業などは、個人情報の収集にあたって利用目的を通知・公表しなければならない(法18条1項)とする原則は適用されないと、極めて消極的な立場をとっていました。

しかし、2013年には独立行政法人情報通信研究機構がJR西日本の大阪駅構内に約90台の防犯カメラ・顔認証システムを設置して災害時の安全対策などの実証実験などを実施する計画を公表したところ、大きな社会的批判を受けた事件や、2016年にジュンク堂書店などにおける防犯カメラ・顔認証システムの利用が社会的に大きな賛否両論の議論を巻き起こしたことなどを受けて、平成27年の個人情報保護法改正に伴い、個人情報保護委員会は個人情報保護法ガイドラインQ&Aに規定を置きました。

すなわち、「防犯カメラが作動中であることを店舗の入口に掲示する等、本人に対して自身の個人情報が取得されていることを認識させるための措置を講ずることが望ましいと考えられます。また、カメラ画像や顔認証データを体系的に構成して個人情報データベース等を構築した場合、個々のカメラ画像や顔認証データを含む情報は個人データに該当するため、個人情報保護法に基づく適切な取扱いが必要です。」などの個人情報保護法ガイドラインQ&Aを追加するなどの対応を行っています(個人情報保護法ガイドラインQ&A1-11)。

また、民間企業などが防犯カメラではなく、店舗にカメラを設置して顧客の行動をモニタリング・監視してマーケティング活動など商用目的でカメラや顔認証システムを利用することについても、経産省と総務省が2018年3月に『カメラ画像利活用ガイドブックver2.0』を作成し公表しています。
・「カメラ画像利活用ガイドブックver2.0」の公表|総務省

このカメラ画像利活用ガイドブックは、個人情報保護法を遵守した上で、商用カメラの付近や店舗などの入り口などに、個人情報の利用目的や商用カメラの実施運用主体の名称及び連絡先などを記載した書面などを掲示することなどを求めています。

さらに、個人情報保護委員会は本年9月令和2年個人情報保護法改正に対応した同ガイドラインQ&Aを公表しましたが、同Q&Aにおいても、防犯カメラ・顔認証システムに関するQAがさらに追加されています。

とくに、同ガイドラインQ&A((令和2年改正法関係)の7-50は、防犯カメラ・顔認証システムにより収集された顔データの共同利用に関するものですが、次のように、①共同利用する顔データなどは防犯の利用目的のために「真に必要な範囲に限定」し、②「データベースへの登録条件を整備し、犯罪行為などに関係ない者の情報を登録しないこと」、③「個人データの開示等の請求及び苦情を受け付け、その処理に尽力するとともに、個人データの開示、訂正、利用停止等の対応に、管理責任者を明確に定めて必要な対応を行うこと」などを事業者側に要求し、防犯カメラ・顔認証システムに関して事業者側に厳格な運用を行うことを求めています。

個人情報保護法ガイドラインQ&A(令和2年改正法関係)7-50

(前略)『防犯目的のために取得したカメラ画像・顔認証データを共同利用しようとする場合には、共同利用されるカメラ画像・顔認証データ、共同利用する者の範囲を目的の達成に照らして真に必要な範囲に限定することが適切であると考えられます。』
(中略)
『例えば共同利用するデータベースへの登録条件を整備して犯罪行為や迷惑行為に関わらない者の情報については登録・共有しないことが必要です。』
(中略)
『さらに、個人データの開示等の請求及び苦情を受け付けその処理に尽力するとともに個人データの内容等について開示、訂正、利用停止等の権限を有し安全管理等個人データの管理について責任を有する管理責任者を明確に定めて、必要な対応を行うことが求められます。』

PPC個人情報QA7-50
・個人情報保護法ガイドラインQ&A(令和2年改正法関係)|個人情報保護委員会

このように個人情報保護委員会が事業者に対して防犯カメラ・顔認証システムの厳格な運用を求めるのは、近年、防犯カメラ・顔認証システムの警察や民間企業などによる利用が増加するに伴い、店舗の従業員などのミスや悪意、あるいは恣意的な運用などで、本当は万引きなどをしていないのに、「万引き犯人」として事業者の万引き犯人のブラックリストのデータベースに誤登録されてしまい、その情報が他の店舗や他の事業者などと共有化され、当該万引き犯人と誤登録された人が、誤登録された店舗だけでなく、他の店舗や他の業種・業界の店舗でも「万引き犯」や「万引き犯予備軍」などとして違法・不当な取扱いを受け、多くの小売店で買い物をすることが事実上できなくなってしまう等の、いわゆる「万引き犯罪の冤罪被害者の問題」が存在します。

もちろんスーパー、コンビニ、書店、ドラッグストアなどの小売業において万引き犯罪は死活問題であり、犯罪である万引き犯罪は撲滅されるべきですが、しかしそのための防犯カメラ・顔認証システムの運用において、一般の国民に「万引き犯の冤罪被害者」が発生してしまうことは、これも当該被害者の方々の平穏な生活を営むなどの基本的人権を侵害する重大な問題です。

■関連する記事
・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで|なか2656のブログ
(万引き犯罪の冤罪被害者の方々が取りうる対処方法については、このブログ記事の「4.顔認証データの共有」の部分をご参照ください。)

このように防犯カメラ・顔認証システムは「もろ刃の剣」であるため、それを運用する事業者は、上でみた新しい個人情報保護法ガイドラインQ&A7-50が説明するとおり、①顔データなどは防犯の利用目的のために「真に必要な範囲に限定」し、②「データベースへの登録条件を整備し、犯罪行為などに関係ない者の情報を登録しないこと」、③開示・訂正・利用停止請求や苦情の申出などには真摯に対応すること、などが要求されます。

また、個人情報保護法15条は事業者は「個人情報の利用目的をできるだけ特定」することを要求していますが、これは事業者に個人情報の利用目的をできるだけ特定させることにより、事業者が個人から収集する個人情報を利用目的の達成のために必要最低限にさせる趣旨であるとされています(宇賀克也『個人情報保護法の逐条解説 第6版』131頁)。

この点、JR東日本は21日夜に、「うろつくなどの不審な行動をとった人」に対しては防犯カメラ・顔認証システムによる監視・モニタリングを継続する方針を公表したとのことですが、新しい個人情報保護法ガイドラインQ&A7-50などが説明するとおり、「うろつくなどの不審な行動をとった人」について、「データベースへの登録条件を整備」「関係のない者の情報を登録しないこと」を徹底すること、開示・訂正・利用停止等の請求や苦情申出などに対して誠実に対応することなどが求められます。

ところが、JR東日本のウェブサイトを見る限り、同社は防犯カメラ・顔認証システムの運営基準・規則などを制定し公表していないようです。「うろつくなどの不審な行動をとった人」という文言だけでは非常に不明確であり、JR東日本の従業員などによるミスや恣意的な運用などが行われる危険性があります。また個人情報保護法15条が事業者が収集することが許される個人情報は、利用目的の達成のために必要最低限のものに限られ、漫然と広範な個人情報を収集することは許さない趣旨であることを考えると、同社は早急に防犯カメラ・顔認証システムの運営基準・規則などを制定し公表すべきではないでしょうか。

また、万引き犯罪と防犯カメラ・顔認証システムに関しては、「特定非営利法人 全国万引犯罪防止機構」が本年2月に個人情報保護委員会より、個人情報保護法47条に基づく認定個人情報保護団体に認定されました。
・万防機構が『認定個人情報保護団体』になりました|全国万引犯罪防止機構

認定個人情報保護団体とは、主に業界・業種ごとに設置され、当該業界・業種の事業者の個人情報の適正な取扱いの確保や苦情対応などのために、当該業界・業種の事業者が遵守すべき「個人情報保護指針」などを制定し、当該業界などの事業者に当該個人情報保護指針などを遵守させなければならないと規定されています(法53条)。

ところが全国万引犯罪防止機構のウェブサイトを見る限り、同機構は万引き犯罪と防犯カメラ・顔認証システムに関する個人情報保護指針などを制定・公表していないようです。同機構も小売業界などの防犯カメラなどの運用などに関する個人情報保護指針などを早急に制定・公表することが望まれます。

7.学者の先生方の見解
なお、冒頭でみた9月21日午前の読売新聞のスクープ記事は複数の有識者の方のコメントを掲載していますが、警察官僚OBの刑事政策学者の方や情報システムの専門家と思われる方のコメントは、「安全・安心な社会のためには出所者などを監視するシステムも必要」などの一面的な残念な内容となっているようです。

そのなかで刑事訴訟法の神奈川大教授の白取祐司先生『出所後も監視対象とし、行動を制限しようとすることは差別にあたる。刑期を終えた人の更生を支えるという我が国の刑事政策の基本理念にも反するのではないか』とのご見解がまさに正論であるように思われます。犯罪を侵した人も、刑事裁判を受け、刑務所で刑期を終えれば刑罰は終了するのであり、刑期が終わった後も防犯カメラなどで監視せよとすることは、少なくとも現在の刑法や刑事訴訟法などの法律が予定する事態ではありません。

またこの点、読売新聞が肝心の個人情報保護法など情報法の学者の先生方に取材していないことは疑問です。1960年代からのコンピュータの発達は、とくに西側の自由主義諸国でコンピュータの発達が人間の個人の尊厳や基本的人権を侵害するのではないかという問題意識を発生させ、1974年の国連事務総長報告書『科学の発展と人権』は、コンピュータの発達により個人のプライバシーが侵害される危険や、国家権力の前で国民が丸裸のごとき状態にされる危険(監視社会・監視国家の危険)、国家が個人情報を収集・保管・分析などを行うことにより国民が行動や表現行為に委縮効果が発生する危険、そして本人の承知しないうちにさまざまな個人情報が国や大企業などにより収集、突合、結合、分析され、勝手に本人がコンピュータにより「個人データによる人間の選別」(プロファイリング)が行われてしまう危険などが示されています(奥平康弘・戸松秀典「国連事務総長報告書(抄)人権と科学技術の開発」『ジュリスト』589号105頁、高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁)。

上でみた「万引き犯罪の冤罪被害者」の問題のように、現代急速に普及しているコンピュータやAIによる防犯カメラ・顔認証システムは、まさに人間がAIやコンピュータによって勝手に「個人データによる人間の選別・差別」が行われてしまう危険をはらんでいます。

この「個人データによる人間の選別」(プロファイリング)への拒否権(プロファイリング拒否権)はその後、プライバシー権、情報自己決定権、自己情報コントロール権などの考え方とともに、西側自由主義諸国の個人データ保護法の趣旨・目的の一つとなってきました。

この考え方は、1996年のILO「労働者の労働者の個人情報保護に関する行動準則」などに受け継がれ、EUにおいては1995年のEUデータ保護指令15条から2018年のGDPR22条となり、さらに本年4月に公表されたEUのAI規制法案に受け継がれています(高野一彦「従業者の監視とプライバシー保護」『プライバシー・個人情報保護の新課題』(堀部政男編)163頁)。

このEUのAI規制法案は、AIの人間の生命や基本的人権などへの危険をもとに、AIがもたらすリスクを①原則禁止、②高リスク、③限定的なリスク、④最小限のリスク、という4段階に分類したしています。

そしてこのAI規制法案においては、警察などが公共の場所・空間で顔認証の技術を使い、市民を「常時監視」することを一番上の類型の「原則禁止」に分類しています。

ところが、日本においては防犯カメラ・顔認証システムに関しては警察など公的機関による利用を規制するための国会の制定した法律は存在せず、警察の内規(要綱通達)で運用が行われています。また、民間企業などによる防犯カメラ・顔認証システムの運用も、「杉並区防犯カメラの設置及び利用に関する条例」など一部の自治体の条例以外には、個人情報保護法ガイドラインQ&Aや経産省等の「カメラ画像利活用ガイドブック」などの行政機関の通達レベルの規定があるにとどまり、これも歯止めをかけるための国会の制定した法律が存在しません(石村修「コンビニ店舗内で撮影されたビデオ記録の警察への提供とプライバシー」『専修ロージャーナル』3号19頁)。(これは2017年に違憲判決(最高裁平成29年3月15日判決)の出された警察のGPS捜査なども同様です。)

この点、憲法・情報法の山本龍彦・慶応大学教授は、本年8月の朝日新聞社の公開講座「世界発・デジタル化社会は民主主義を壊すか」において、『警察による防犯カメラ・顔認証技術の運用には国会の立法が必要である。民間企業などによる顔認証技術等の運用は、防犯目的だけでなく商用目的など利用目的が複数存在するので一律の法規制は難しいが、少なくとも事業者や業界団体などが制定した自主ルールの個人情報保護方針を事業者などに遵守させるための枠組み立法は必要であろう。』との趣旨のご見解を述べておられます。

今回明らかとなったJR東日本の防犯カメラ・顔認証システムによる駅構内の出所者や不審者などの監視・モニタリングの問題や、警察や民間企業による防犯カメラ・顔認証システムの野放しともいえる利用に歯止めをかけ、国民の権利利益の保護や個人の人格権の尊重、国民の個人の尊重や基本的人権の確立(個人情報保護法1条、3条、憲法13条)などを守るために、国会は防犯カメラ・顔認証に関する立法を早急に行うべきであると思われます。

■追記(10月8日)日本における「プロファイリング拒否権」や「AI・コンピュータのデータによる人間の選別・差別」の考え方について
日本においても労働分野・雇用分野では、EUのGDPR22条1項などのような「プロファイリング拒否権」の考え方が、2000年の労働省「労働者の個人情報保護の行動指針」の「第2 個人情報の処理に関する原則」の6(6)や、2019年6月の厚労省『労政審基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~』9頁、10頁に示されており、国会の制定した法律レベルではないものの、「プロファイリング拒否権」や「AI・コンピュータのデータによる人間の選別・差別」への問題意識は日本においても存在します。詳しくは次のブログ記事をご参照ください。
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング

■追記(10月9日)個人情報保護委員会のJR東日本への対応が非常に杜撰だったことが発覚
10月8日付の朝日新聞の(社説)顔認識データ 明確なルール作り急げは、『ところが今回、その委員会(=個人情報保護委員会)が、とりわけ慎重な扱いが求められる出所者情報の利用を、詳細な検討をせずに認めていたことがわかった。法の不備があるとはいえ、委員会の認識が甘かったのは明らかだ。』と報道しています。
(社説)顔認識データ 明確なルール作り急げ|朝日新聞

この報道が本当なら大問題です。現在、9月に正式発足したデジタル庁が「国民の個人情報やマイナンバーを国・大企業がますます利活用して日本の経済成長を!そのためには法律や国民の人権保障などどうでもいい!」とアクセル全開で業務を開始していますが、それに対するブレーキ役の、個人情報保護法やマイナンバー法の所轄の官庁である個人情報保護委員会が、個人情報保護法や行政法などの基本的理解が欠落しているということでは、政府のデジタル行政や個人情報保護行政は、国・大企業の個人情報の利活用ばかりがますます推進され、国民の人権保障がますます軽視されることになりかねません。

(2016年に個人情報保護委員会が設置された頃から、同委員会に自分達の被害を申出て、問題解決のための対応を請願し続けてきた「万引き犯罪の冤罪被害者」の方々は、今回の同委員会の杜撰な対応をどう考えているでしょうか。)

もし日本社会が今後も官民あげて国民の個人情報保護を軽視し続ける状況が継続すると、国民の人権保障を重視するEUが、GDPR(EU一般データ保護規則)の日本に対する十分性認定を取消すなどという事態にも発展しかねません。

個人情報保護委員会は、今回のJR東日本への一連の対応の不祥事について、有識者による第三者委員会を設置して調査を行い、再発防止策の策定や関係者の懲戒処分などを行い、一連の経緯を国民に公表すべきではないでしょうか。なあなあに事を済ませては、国民の政府の個人情報保護行政やデジタル行政への信頼感はますます低下するばかりであると思われます。

■関連する記事
・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで
・ジュンク堂書店が防犯カメラで来店者の顔認証データを撮っていることについて
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権
・コロナ禍の就活のウェブ面接での「部屋着を見せて」などの要求を労働法・個人情報保護法から考えた
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)

■参考文献
・新保史生「監視・追跡技術の利用と公法的側面における課題」『プライバシー・個人情報保護の新課題』(堀部政男編)201頁
・岡村久道『個人情報保護法 第3版』183頁
・園部逸夫『個人情報保護法の解説(改正版)』124頁
・宇賀克也『個人情報保護法の逐条解説 第6版』131頁
・日置巴美「「顔」情報の活用と個人情報保護」『ビジネス法務』2017年4月号87頁
・奥平康弘・戸松秀典「国連事務総長報告書(抄)人権と科学技術の開発」『ジュリスト』589号105頁
・高野一彦「従業者の監視とプライバシー保護」『プライバシー・個人情報保護の新課題』(堀部政男編)163頁
・石村修「コンビニ店舗内で撮影されたビデオ記録の警察への提供とプライバシー」『専修ロージャーナル』3号19頁
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁
・EUのAI規制案、リスク4段階に分類 産業界は負担増警戒|日経新聞
・加藤尚徳「あまりにも未熟な日本の「顔」画像利用の議論」|一般社団法人次世代基盤政策研究所





















このエントリーをはてなブックマークに追加 mixiチェック


サーバー群

1.図書館の貸出履歴なども連続的に蓄積されて特定の個人を識別できる場合は個人情報になる
(1)令和2年個人情報保護法ガイドライン改正パブコメ
令和2年個人情報保護法ガイドライン改正パブコメが6月18日まで実施されていました。
・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集について|e-GOV

ここで個人情報保護委員会(PPC)が示した個人情報保護法ガイドラインの案を読んで、個人的にPPCの一番のファインプレーだと思ったのは、個人情報保護法ガイドライン(通則編)90頁の、「3-7-1-1個人関連情報」(個人情報保護法26条の2)のところの注意書きに、次のようにと明示し、"図書館貸出履歴等「連続的に蓄積」されて特定の個人を識別できる場合は個人情報に該当し、さらにそれがある個人の思想・信条などに該当する場合は要配慮個人情報に該当すること"を明確化したことではないかと思われます。

個人情報に該当する場合は個人関連情報には該当しないことになる。例えば、ある個人の位置情報それ自体のみでは個人情報には該当しないものではあるが、個人に関する位置情報が連続的蓄積される等して特定の個人を識別することができる場合には、個人情報該当」する(個人情報保護委員会「個人情報保護法ガイドライン(通則編)」90頁「3-7-1-1個人関連情報」(個人情報保護法26条の2)注意書き)。
つまり、例えば、図書館等の貸出履歴や書店での本・DVD・CD等の購入履歴等が「連続的に蓄積」されて「特定の個人を識別できる場合」(=実名等がわからなくても「あの人、この人」と識別できる場合)には当該情報・データは「個人情報」に該当し、さらにそれが個人の「思想・信条」「病歴」などに該当すれば「要配慮個人情報」に該当するとPPCは考えていると思われます。

貸出履歴・閲覧履歴などの個人情報・個人関連情報の該当性の図2

すなわち、図書館の連続的に蓄積されて特定の個人を識別できる貸出履歴・利用履歴等は個人情報であり、それが思想・信条等に該当する場合には要配慮個人情報であると個人情報保護委員会が認めたことになります。

(2)これまでの個人情報保護委員会の「要配慮個人情報を推知させる情報」の考え方
もちろん、個人情報保護法2条1項の個人情報の定義は、「個人に関する情報」であって、電磁的記録などを含むさまざまな情報・記述などで「特定の個人を識別できるもの」は個人情報に該当するとしているので、この個人情報保護委員会の考え方は当然といえば当然です(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁)。
個人情報の定義『ニッポンの個人情報』
鈴木正朝・高木浩光・山本一郎「「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編)」EnterpriseZineより

しかし、2017年法改正を受けたこれまでの個人情報保護法ガイドライン(通則編)の「2-3 要配慮個人情報」は、「なお、次に掲げる情報(=要配慮個人情報)を推知させる情報にすぎないもの(例:宗教に関する書籍購買貸出しに係る情報等)は、要配慮個人情報には含まない」という塩対応な注意書きを明示していました(岡村久道『個人情報保護法 第3版』87頁)。

そのため、「本人の思想・信条などの内心を推知させる情報も要配慮個人情報に含めて扱うべき」と、宮下紘・中大教授(憲法・情報法)などの学者の方々から批判されてきたところです(宮下紘「図書館と個人情報保護」『時の法令』平成28年1月15日号50頁)。

(3)図書館の貸出履歴などの情報の利活用の推進派は、個人情報保護法などの再検討が必要となる
もし、図書館の貸出履歴・利用履歴などが個人関連情報でしかないとすると、第三者提供の際の本人同意が必要なだけにとどまりますが(法26条の2)、個人情報であるとなると、利用目的の特定(法15条)や、本人同意のない目的外利用の禁止(法16条)、不適正な収集の禁止(法17条)、安全管理措置(法20条~22条)、第三者提供の本人同意(法23条1項)、開示・訂正・利用停止等の請求への対応(法28条~34条)などの各義務が事業者に要求されることになります。

そしてさらに図書館の貸出履歴・利用履歴などが要配慮個人情報に該当するとなると、原則として収集の際に事前の本人の同意が必要(法17条2項)となり、また、オプトアウト方式による第三者提供も禁止(法23条2項かっこ書き)されることになり、さらに事業者の義務が重くなります。

また、個人情報、要配慮個人情報、その他個人に関する情報を事業者などが不適正に取り扱った場合、個人情報保護法とは別に、事業者などが当該個人からプライバシー権侵害などを主張され、不法行為に基づく損害賠償責任を負う可能性もあります(民法709条、憲法13条)。

この点、最近も、法政大学の大学図書館の貸出履歴などを保存する方針に対して教職員、有識者などから反対の声が上がっていることが話題となっています。
・広がる図書館の履歴保存 脅かされる秘密、懸念の声も|朝日新聞

2021年4月から学長の廣瀬克哉総長は、同大学の学部横断型科目の学生の履修データなどの教育データ「見える化」を推進するなど、「大学のDX(デジタル・トランスフォーメーション)」の推進に熱心な学長のようです。

もし廣瀬氏などが、大学図書館の貸出履歴・利用履歴などのデータもDX化し、教育データの一つとしてさまざまな用途に利用・分析・加工・第三者提供などをすることを考えているとしたら、法令や日本図書館協会の「図書館の自由に関する宣言」などに基づいて、今一度慎重な再検討が必要であると思われます。

同様に、全国の自治体の公立図書館国立国会図書館などにおいても、貸出履歴・利用履歴などのデータを保存する図書館が増えているようですが、そのような図書館・自治体なども、同様に個人情報保護法・行政機関個人情報保護法・独法個人情報保護法・自治体の個人情報保護条例などや「図書館の自由に関する宣言」などに基づいて慎重な再検討が必要になるものと思われます。

*追記
なお、2017年の個人情報保護法改正では、いわゆる2号個人識別符号として、スマホの端末ID、携帯電話番号、IPアドレス、会員証番号なども個人識別符号(法2条2項2号)として個人情報に含まれることが明確化されようとしました。これは当時の政府のパーソナルデータ保護に関する検討会議の委員の森亮二弁護士や、産業技術総合研究所の高木浩光氏などが主張していたものです。しかしこれは楽天やヤフージャパンなどの経済界、経産省や与党などの強い圧力により頓挫してしまいました。
・携帯電話・スマホ等のIDやIPアドレスは個人情報に含まれない?/個人情報保護法改正法案
・【プレゼン】2月4日、自民党で、三木谷代表理事が 個人情報保護法改正案について意見を述べました|新経済連盟
・個人情報定義は新経連の意向で米国定義から乖離しガラパゴスへ(パーソナルデータ保護法制の行方 その16)|高木浩光@自宅の日記
o0800055513265690722
(新経済連盟サイトより)

とはいえ、今回、個人情報保護委員会がガイドラインで貸出履歴・閲覧履歴・購入履歴・位置情報・移動履歴なども一定の場合、個人情報に含まれると明確化したことは、2017年改正のこの2号個人識別符号の考え方の事実上の復活であり、国民の個人情報の保護つまり個人の尊重個人の権利利益の保護(個人情報保護法1条、3条、憲法13条)の観点からは画期的です。

2.「ある個人の興味・関心を示す情報」も個人関連情報となる
(1)「ある個人の興味・関心を示す情報」
また、令和2年個人情報保護法ガイドライン改正パブコメで、ガイドライン(通則編)89頁の個人関連情報の具体例に、閲覧履歴・購買履歴・位置情報とともに「ある個人の興味・関心を示す情報」も明示している点も、個人情報保護委員会のファインプレーでないかと思われます。

個人情報保護法ガイドライン個人関連情報の具体例
つまり、2019年のリクナビ事件における就活生・求職者等の、「どの企業に入社したいか/どのような企業には入社したくないかなどに関する情報」や、内定辞退予測データなども、「ある個人の興味・関心を示す情報」なので、個人に紐付かない、特定の個人を識別できるものでない状態であったとしても、それらの情報は個人関連情報に該当することが個人情報保護委員会により明確化されたのです。

したがって、リクナビなどの人材紹介会社などは、個人情報保護法の法の網をかいくぐるような個人情報・個人データなどの脱法的な利用が今回の法改正で新設された、不適正利用の禁止条項(法16条の2)で規制されるだけでなく、取り扱う情報が「ある個人の興味・関心を示す情報」に該当する場合には個人関連情報に該当するので、第三者提供する際のあらかじめの本人同意の取得の法規制がここでもかかることになります。「PPC、グッジョブ!」としか言いようがありません。

(2)CCCなどのデータマーケティング企業など
同様に、TSUTAYAや武雄市図書館等のツタヤ図書館などを運営し、また共通ポイントのTポイントの運営で約7000万件の国民の個人情報と年間50億件のトランザクション・データを保有するCCCカルチュア・コンビニエンス・クラブ株式会社などのデータマーケティング企業などは、自社のビジネスモデルが個人情報保護法などを遵守しているか、今一度、慎重な再検討が必要なのではないでしょうか。

(3)ネット系人材紹介会社など
また、SNSやGithubなどからさまざまな情報をコンピュータで網羅的に収集し、AIによる分析・加工などを行っているLAPRASHackerBase Jobsなどのネット系人材紹介会社や、それらの人材会社を就活生や転職者などの採用選考に利用しているトヨタ、日産、サイバーエージェント、GMOなどの企業なども、自社のビジネスモデルや人事労務の業務が個人情報保護法制や職業安定法や関連する厚労省通達・指針などの労働法制に抵触していないか、今一度慎重な再検討が必要がなのではないでしょうか。

LAPRASを採用している企業
(LAPRASを利用している企業。LAPRAS社サイトより)

2019年のリクナビ事件では、個人情報保護委員会と厚労省は、リクルートキャリアだけでなく、トヨタなどの企業についても、「社内で個人情報保護法などを十分に検討していなかった」ことは安全管理措置(法20条)違反であると認定し、行政指導・行政処分を実施しています。
・個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について(PDF)|個人情報保護委員会

3.まとめ
このように、個人情報保護委員会は令和2年個人情報保護法改正対応の個人情報保護法ガイドライン改正で、図書館の貸出履歴なども一定の場合に個人情報または要配慮個人情報保護法に該当することを明確化し、「興味・関心」も個人関連情報に該当することを明確化しました。

採用選考・人事評価、PCや監視カメラ・スマホ・センサーなどによる従業員のモニタリングなどの労働分野、GIGAスクール構想や「教育の個別最適化」が推進されている教育分野、信用スコア事業、融資や保険引受審査などに関する金融・保険業、ターゲティング広告などの広告事業、顔認証システムや防犯カメラなどによる防犯事業、SNSのAI分析システムを導入しようとしている警察などは、業務を法的に再検討する必要があると思われます。

■関連する記事
・2020年の個人情報保護法改正に関するガイドライン改正に関するパブコメについて意見を書いてみた-FLoC・プロファイリング・貸出履歴・推知情報・データによる人の選別
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・データによる人の選別
・Github利用規約や厚労省通達などからSNSなどをAI分析するネット系人材紹介会社を考えた















このエントリーをはてなブックマークに追加 mixiチェック

display_monitor_computer
2020年(令和2年)の個人情報保護法改正に関するガイドライン改正に関するパブコメを、2021年6月18日まで個人情報保護委員会が実施していたため、意見を少しだけ書いて提出してみました。

■関連する記事
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集について|e-GOV

1.個人関連情報に関してGoogleの「FLoC」などについて
(該当箇所)
個人情報保護法ガイドライン(通則編)89頁

(意見)
「【個人関連情報に該当する事例】」の「事例1)Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴」に、最近、GoogleがCookieに代わり導入を開始した「FLoC」などの新しい手法により収集された、ある個人のウェブサイトの閲覧履歴等も含まれることを明記すべきである。

(理由)
個人情報保護法26条の2は、2019年のいわゆるリクナビ事件を受けて、個人情報保護法を潜脱するような、本人関与のない個人情報の収集方法が広まることを防止するために、ユーザーの閲覧履歴、属性履歴、移動履歴などのデータを第三者に提供する場合に、提供先で個人データとなることが想定される場合には、個人データの第三者提供に準じる規制を課すことにより、個人のプライバシーなどの権利利益を保護(法1条、3条)するものである。

そのため、個人情報保護法を潜脱するように、CookieでなくGoogleの「FLoC」などの新しい手法を利用することにより、本人関与のない個人情報の収集方法が広がることを防止し、国民の個人の尊重、個人のプライバシー、人格権(憲法13条)などの個人の権利利益を保護(法1条、3条)するために、Cookie等だけでなく、「FLoC」などの新しい手法も個人関連情報に該当することを、包括的に個人情報保護法ガイドライン等に明記すべきである。

2.不適正利用の禁止(法16条の2)とAI・コンピュータによるプロファイリングについて
(該当箇所)
個人情報保護法ガイドライン(通則編)30頁

(意見)
不適正利用の禁止(法16条の2)に関する個人情報保護法ガイドライン(通則編)30頁の「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に、「AI・コンピュータの個人データ等の自動処理(プロファイリング)の行為のうち、個人の権利利益の侵害につながるもの」を明示すべきである。

(理由)
本人の認識や同意なく、ネット閲覧履歴、購買履歴、位置情報・移動履歴やSNSやネット上の書き込みなどの情報をAI・コンピュータにより収集・分析・加工・選別等を行うことは、2019年のいわゆるリクナビ事件や、近年のAI人材会社を標ぼうするネット系人材紹介会社等の実務のように、本人が予想もしない不利益を被る危険性がある。このような不利益は、差別を助長するようなデータベースや、違法な事業者に個人情報を第三者提供するような行為の不利益と実質的に同等であると考えられる。

また、日本が十分性認定を受けているEUのDGPR22条1項は、「コンピュータによる自動処理のみによる法的決定・重要な決定の拒否権」を定め、EUが2021年4月に公表したAI規制法案も、雇用分野の人事評価や採用のAI利用、教育分野におけるAI利用、信用スコアなどに関するAI利用、出入国管理などの行政へのAI利用などへの法規制を定めている。

この点、日本の2000年労働省「労働者の個人情報保護の行動指針」第2、6(6)や厚労省の令和元年6月27日労働政策審議会労働政策基本部会報告書「~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」9頁10頁および、いわゆるリクナビ事件に関する厚労省の通達(職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運営について」)等も、電子機器による個人のモニタリング・監視に対する法規制や、AI・コンピュータのプロファイリングに対する法規制およびその必要性を規定している。

日本が今後もEUのGDPRの十分性認定を維持し、「自由で開かれた国際データ流通圏」政策を推進するためには、国民の個人の尊重やプライバシー、人格権(憲法13条)などの個人の権利利益を保護するため、AI・コンピュータによるプロファイリングに法規制を行うことは不可欠である。

したがって、「AI・コンピュータの個人データ等の自動処理(プロファイリング)の行為のうち、個人の権利利益の侵害につながるもの」を「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に明示すべきである(「不適正利用の禁止義務への対応」『ビジネス法務』2020年8月号25頁参照)。

3.要配慮個人情報と図書館の図書の貸出履歴・本の購買履歴などの推知情報について
(該当箇所)
個人情報保護法ガイドライン(通則編)12頁

(意見)
「次に掲げる情報を推知させる情報にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない」を、「次に掲げる情報を推知させる情報(例:宗教に関する書籍の購買や貸出しに係る情報等)も、要配慮個人情報に該当する」と変更すべきである。

(理由)
令和元年12月13日付個人情報保護委員会「個人情報保護法いわゆる3年ごと見直し制度改正大綱」16頁が「昨今の急速なデータ分析技術の向上等を背景に、潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用の携帯がみられ、個人の懸念が高まりつつある」と指摘するように、近年のAI・コンピュータ等によるプロフィリングの分析技術等の向上は、2019年のいわゆるリクナビ事件などにもみられるとおり、ネット閲覧履歴、購買履歴、位置情報・移動履歴などの「要配慮個人情報を推知させる情報」のデータを分析・加工することにより、本人の内定辞退予測データなど、個人の思想・信条などの要配慮個人情報や内心の自由(憲法19条)などに関する情報を取得することを可能にしており、国民の個人の尊重やプライバシー権の保護、人格権の保護(憲法13条)などの個人の権利利益の保護(個人情報保護法1条、3条)の観点から、「要配慮個人情報を推知させる情報」を法的に放置しておくべきではない(平成30年第196国会・衆議院『衆議院議員松平浩一君提出プロファイリングに関する質問に対する答弁書』参照)。

とくに図書館の図書等の貸出履歴や商品購入履歴・サービス利用履歴などについては、図書館や共通ポイント運営事業者などに対して、警察による捜査関係事項照会による提出要請などが広く行われており、個人の側の懸念が強まっている(2020年12月23日札幌弁護士会「捜査関係事項照会に対する公立図書館等の対応に関する意見」参照)。

したがって、国民の個人の権利利益の保護(法1条、3条)のために、「要配慮個人情報を推知させる情報」についても要配慮個人情報に含めるために、「次に掲げる情報を推知させる情報(例:宗教に関する書籍の購買や貸出しに係る情報等)も、要配慮個人情報に該当する」と変更すべきである。

4.個人関連情報と図書館の図書の貸出履歴・利用履歴などについて
(該当箇所)
個人情報保護法ガイドライン(通則編)90頁

(意見)
「個人関連情報に該当する事例」の「事例3)ある個人の商品購買履歴・サービス利用履歴」に、「ある個人の公共図書館、学校図書館、専門図書館および私設図書館などの図書館等の図書等の貸出履歴を含む図書館の利用履歴(利用事実)」も「個人関連情報に該当する事例」として明記すべきである。

(理由)
個人情報保護法26条の2は、2019年のいわゆるリクナビ事件を受けて、個人情報保護法を潜脱するような、本人関与のない個人情報の収集方法が広まることを防止するために、ユーザーの閲覧履歴、属性履歴、移動履歴などのデータを第三者に提供する場合に、提供先で個人データとなることが想定される場合には、個人データの第三者提供に準じる規制を課すことにより、個人のプライバシーなどの権利利益を保護(法1条、3条)するものである。

図書館の貸出履歴は、ある個人の思想・信条、趣味・嗜好、関心事など個人の内心に関する要配慮個人情報を推知させる重要な情報である。そのため、「商品購入履歴・サービス利用履歴」「位置情報」などとともに、個人関連情報に該当することをガイドライン等に明示すべきである。

図書館の図書等の貸出履歴等を含む利用履歴(利用事実)については、日本図書館協会の「図書館の自由に関する宣言」が「図書館は利用者の秘密を守る」として「憲法第35条にもとづく令状」による照会以外の場合には照会への回答を拒否することを明示しているが、近年の新聞報道や札幌弁護士会の2020年12月23日「捜査関係事項照会に対する公立図書館等の対応に関する意見」等によると、近年、警察の捜査関係事項照会(刑事訴訟法197条2項)など令状によらない任意の照会が図書館に多く実施され、一部の図書館がそれに対して回答を実施しているとのことである。

また、共通ポイントのTポイントによる個人データのデータマーケティングビジネスを運営するCCCカルチュア・コンビニエンス・クラブ株式会社は、指定管理者として武雄市図書館などのいわゆるツタヤ図書館を運営しているが、このツタヤ図書館などにおいては、利用者の貸出履歴などの個人情報・個人データが個人情報保護法を潜脱してCCC社により同社のデータマーケティングビジネスに利用されているのではないかと疑われている。そしてCCC社など大量の国民の個人情報・個人データを保有する企業に対しても、警察が捜査関係事項照会などの令状によらない任意の方法で情報の提供を求めている実態がある(日経新聞2019年1月20日「Tカード情報令状なく提供 規約明記せず、会員6千万人超」参照)。

さらに最近、法政大学などの一部大学が、同大学の図書館の貸出履歴・利用履歴等のデータを、利用者の貸出等が終了した後も保存し、さまざまな用途に利活用する方針を発表し、教職員や学生などの関係者や有識者、国民から大きな批判を受けている。

この点、法26条の2は、個人情報保護法を潜脱するような、本人関与のない個人情報の収集方法が広まることを防止するために、ユーザーの閲覧履歴、属性履歴、移動履歴などを個人関連情報と定義し、個人データの第三者提供に準じる規制を課すことにより、個人の尊重・個人のプライバシー・人格権など(憲法13条)の個人の権利利益を保護(法1条、3条)するものである。

したがって、閲覧履歴、属性履歴、位置情報・移動履歴などと同様に、個人の思想・信条・内心などの要配慮個人情報や、個人のプライバシーのとりわけ重要な部分を推知させる情報である、図書館の図書等の貸出履歴を含む図書館の利用履歴(利用事実)も、個人の権利利益を保護するために「個人関連情報」に該当することを明示すべきである。

5.本人からの開示請求や利用停止等の請求への対応が難しいデータについて、仮名加工情報に加工するなど、個人情報保護法を潜脱する目的で仮名加工情報を取扱ってはならないことについて
(該当箇所)
個人情報保護法ガイドライン匿名加工情報編11頁・個人情報保護法ガイドライン(通則編)17頁


(意見)
ガイドライン匿名加工情報編11頁「仮名加工情報の取扱いに係る義務の考え方」の部分またはガイドライン通則編17頁の「2-10匿名加工情報」の部分などに、「本人からの開示請求や利用停止等の請求への対応が難しいデータについて、仮名加工情報に加工して保有・利用するなど、個人情報保護法を潜脱する目的で仮名加工情報を取扱ってはならない」と明示すべきである。

(理由)
一部の有識者の見解に、「仮名加工情報は、法15条2項、法27条から34条までの規定は適用されないため、本人からの開示請求や利用停止等の請求への対応が難しいデータについて、仮名加工情報に加工して保有・利用することが有力な解決策となる」と指南しているものが見られる(「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号34頁参照)。

このような仮名加工情報の取扱は、仮名加工情報の新設の趣旨を没却し、個人情報保護法を潜脱する脱法的なものであるから、このような行為を禁止する注意書きをガイドライン等に明示すべきである。

6.AI・コンピュータなどのプロファイリングにより取得したデータも個人情報に該当することについて
(該当箇所)
個人情報保護法ガイドライン(通則編)11頁

(意見)
「【個人情報に該当する事例】」の部分に、「AI・コンピュータなどのプロファイリングにより取得した情報・データも法2条1項の個人情報の定義に当てはまる場合は、個人情報に該当する」ことを明示すべきである。

(理由)
最近、「日本の個人情報保護法上、プロファイリングによって取得した情報は「個人情報」には該当しない」などの誤った見解が日本の公的機関の文書などに散見されるため(日銀ワーキングペーパー論文『プライバシーの経済学入門』(2021年6月3日)16頁など)。

■関連する記事
・個人情報保護委員会は図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?ーAI・プロファイリング・データによる人の選別
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・Github利用規約や厚労省通達などからSNSなどをAI分析するネット系人材紹介会社を考えた
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・データによる人の選別
・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた
・苫小牧市立中央図書館が警察の任意の要請により貸出履歴等を提供したことを考える
・Tポイントの個人情報がCCCから任意の照会で警察に提供されていたことを考える

■参考文献
・佐脇紀代志『一問一答令和2年改正個人情報保護法』34頁、62頁
・田中浩之・北山昇「不適正利用の禁止義務への対応」『ビジネス法務』2020年8月号25頁
・「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号34頁
・労働政策審議会労働政策基本部会 報告書 ~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~|厚労省
・厚労省通達・職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運営について」
・令和元年12月13日付個人情報保護委員会「個人情報保護法いわゆる3年ごと見直し制度改正大綱」16頁
・平成30年第196国会・衆議院『衆議院議員松平浩一君提出プロファイリングに関する質問に対する答弁書』|衆議院
・札幌弁護士会「捜査関係事項照会に対する公立図書館等の対応に関する意見」
・日経新聞2019年1月20日「Tカード情報令状なく提供 規約明記せず、会員6千万人超」
・Googleが進める代替技術「FLoC」が問題視されている理由とは?|マイナビニュース













このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ