なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:貸出履歴

PPCトップ画面
1.令和2年改正個人情報保護法ガイドラインのパブコメ結果が公表
8月2日に個人情報保護委員会(PPC)が令和2年改正個人情報保護法ガイドラインのパブコメ結果を公表していたので、気になる部分をざっと見てみました。

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集の結果について|個人情報保護委員会

2.個人関連情報(改正法26条の2第1項)とGoogleのFLoC
令和2年改正の個人情報保護法26条の2第1項は、「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」を「個人関連情報」と定義し、事業者が個人関連情報を第三者提供し、提供先においてそれが個人データとして利用されることが想定される場合には、本人の同意が必要であるとしています。

これは2019年の就活生の内定辞退予測データの販売を行っていたリクナビ事件を踏まえて、個人情報保護法を潜脱して、本人関与のない個人情報の収集方法が広まることを防止するためのものです(佐脇紀代志『一問一答令和2年改正個人情報保護法』60頁)。

この個人関連情報は、具体的には、氏名などと結びついていないインタネットの閲覧履歴、位置情報、Cookieなどが該当するとされています(佐脇・前掲62頁)。

この点、今回の改正個人情報保護法ガイドライン(通則編)の個人関連情報に関するパブコメ結果308は、「Cookieなどだけでなく、Googleが最近、Cookieに代わり導入を開始したFLoCなどの新しい収集方法で取得されたデータについても個人関連情報に含まれることを明記すべきではないか」との意見(不肖な私の意見なのですが)に対して、PPCは「個人関連情報の定義にあてはまるものは個人関連情報に該当する。個別の判断になるが、収集の方法によって判断がかわるものではない。」と回答しています。

GoogleのFLoCなど

GoogleなどのIT事業者が、個人情報保護法を潜脱するためにFLoCなどの新しい手法を導入することは、個人関連情報の新設の趣旨に反するので、このPPCの回答は国民個人の権利利益の保護・人権保障の観点(法1条、3条、憲法13条)から、非常にグッジョブ!!であると考えられます。

今後、GoogleなどのIT企業がCookieやFLoCなどに代わるさらに新しいデータの収集方法を開始したとしても、それで収集されるデータが「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」にあたるのであれば、個人関連情報に該当し、第三者提供の際に本人の同意が必要になるとPPCは考えていると思われます。

3.個人関連情報と図書館の貸出履歴など
また、改正個人情報保護法ガイドライン(通則編)の個人関連情報に関するパブコメ結果315は、「ある個人の図書館の貸出履歴・利用履歴(利用事実)も個人関連情報や個人情報に該当しうることを明記すべきではないか」との意見(不肖・私の意見ですが)に対して、PPCは「個別の事案ごとに判断することになるが、図書館の利用履歴について、特定の個人を識別することができる場合(他の情報と容易に照合して特定の個人を識別できる場合を含む)には個人情報(法2条1項)に該当し、個人情報に該当しない場合には、「ある個人に関する情報」である限り、個人関連情報に該当する」と明快に回答しています。これもPPC超グッジョブ!!と言わざるをえません。

図書館の貸出履歴1
図書館の貸出履歴2


この点、現在の、平成27年(2015年)改正の個人情報保護法ガイドライン(通則編)は、要配慮個人情報(法2条3項)に関する2-3(要配慮個人情報)の部分のなお書きとして、「なお、次に掲げる情報(=要配慮個人情報))を「推知させる情報」にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない。」との記述を置いており、宗教に関する書籍の購買や貸出しに係る情報等などのような要配慮個人情報を「推知させる情報」は重要でないどうでもよい情報・データであるとの誤解が社会に広まってしまったような気がします(一種の「個人情報保護法による過剰反応」。なお令和2年改正の個人情報保護法ガイドラインにおいても、このなお書き自体は残っている。)。

しかし今回のこの個人情報保護法ガイドライン(通則編)パブコメ結果315は、図書館の貸出履歴・利用履歴なども個人情報に該当し、個人情報に該当しなくても、「ある個人に関する情報」である場合は個人関連情報に該当すると明確に回答していることは非常に重要な意味があると思われます。

貸出履歴・閲覧履歴などの個人情報・個人関連情報の該当性の図2

つまり、図書館の貸出履歴データ・利用履歴データをさまざまな用途に利活用しようとしてる法政大学、国会図書館などや、ツタヤ図書館などを運営するCCCなどのデータマーケティング企業やIT企業、さらに警察からの令状によらない照会に安易に応じ回答を行っている図書館、学校図書館の貸出履歴データ・利用履歴データなど図書館の利用以外に転用している学校・教育委員会・国などは、それらの業務が個人情報保護法など法令に違反してないか再検討が必要であると思われます。

■関連する記事
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?

同時に、今回のパブコメ結果を踏まえたPPCの令和2年改正個人情報保護法ガイドライン(通則編)の2-3-1-1(個人関連情報)の部分は、つぎのとおり、「Cookieなどで収集されたある個人のウェブサイトの閲覧履歴」、「メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等」、「個人の商品購買履歴・サービス利用履歴事例」、「ある個人の位置情報事例」、「ある個人の興味・関心を示す情報」などのデータ・情報も、それが連続して蓄積された場合には個人情報に該当し、個人情報に該当しない場合は個人関連情報に該当すると明記しています。

個人関連情報に該当する事例
(令和2年改正個人情報保護法ガイドライン(通則編)の2-3-1-1(個人関連情報)の部分より)

そのため、ヤフージャパン、LINEなどのIT企業、ターゲティング広告などの広告事業者、共通ポイントなどを運営するCCCや楽天などのデータマーケティング事業者、通信事業者・プロバイダ(ISP)やSuicaなどを運営するJR各社などの鉄道事業者・運輸事業者、コネクテッドカー・プラットフォームを運営する自動車メーカー、ネット上の通販を行うAmazonや楽天、メルカリや、ネットバンクや電子マネーやQRコード決済などの電子決済を行う金融関係の事業者、銀行・保険・証券、信用スコアや情報銀行などの業務を行う金融機関、テレビの閲覧履歴などを利用しているテレビ局、電気・ガス・水道などの利用履歴・ライフログなどを利用しているインフラ事業者、ネット閲覧履歴や移動履歴・購買履歴などを利用しているリクルート・LAPRASなどの人材企業やHRテックの事業者、タブレット端末などの操作履歴などを利用してEdTechやGIGAスクール構想などを推進しているベネッセや学校・教育委員会、文科省などは、今一度、自らの業務が個人情報保護法などの法令に違反していないか、再検討が必要であると思われます。この個人関連情報の新設は、影響範囲が非常に大きいと思われます。

4.AIやコンピュータによるプロファイリングについて
さらに、前述のリクナビ事件の問題や、2018年に施行されたEUのGDPR(EU一般データ保護規則)22条が「プロファイリング拒否権」(コンピュータやAIの個人データの自動処理のみによる法的決定・重要な決定の拒否権)を規定していることや、本年4月にEUがAI規制法案を公表したことなどから、AIやコンピュータによる人間のプロファイリングの危険(データによる人の選別の危険)に関する関心が日本社会でも高まっています。(最近の一部の情報法の学者の先生方は、個人データ保護法制の本当の立法目的は、プロファイリング拒否権であるとのご見解を示しておられるようです。)

この点、個人情報保護法ガイドライン(通則編)のパブコメ結果57は、「プロファイリングによる個人データの収集・利用などが個人の権利・利益を侵害するおそれがあるような場合については、これが個人情報の不適正利用の禁止条項(法16条の2)に該当し違法なものとなることを明記すべきではないか」との質問(不肖・私の質問ですが)に対して、PPCは「「プロファイリングの目的や得られたデータの利用方法など個別の判断が必要であるが、プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合は、不適正利用に該当する場合があり得る。」と回答しています。

プロファイリング2

このように、AIやコンピュータによるプロファイリングの法規制に関して、PPCはEUやアメリカの一部の州などの個人データ保護法の先進国・地域と異なり、慎重な姿勢を示しています。

しかし少なくとも、リクナビ事件のような、就活生などの求職者のネット閲覧履歴などのデータを収集し、AIで内定辞退予測データなどの就活生などに大きな不利益をもたらすおそれのあるデータを生成し、求人を行っているトヨタなどの企業にそのデータを販売・第三者提供するような行為は、「プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合に該当し、不適正利用であり違法であるとPPCに判断される可能性があると思われます。

そのため、AIを求職者の採用活動などに利用している雇用分野やHRtechの企業・人材会社・事業会社の人事部門や、AIを教育に利用している教育業界や学校・教育委員会・文科省、AIや顔認証システムを搭載した防犯カメラ・監視カメラ・商用カメラなどを利用や開発・販売している警備業界・警察・小売業・電気メーカーや、AIを信用スコアやローンの審査・保険の引受審査・保険金支払査定などに利用している銀行・保険などの金融機関、出入国管理など行政上の審査にAIを利用している行政庁などは、自らの業務が令和2年改正の個人情報保護法に抵触しないか、今一度再検討が必要であると思われます。

■関連する記事
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR

5.その他・委託の「まぜるな危険」の問題、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当のパブコメ意見!?
(1)委託の「まぜるな危険」の問題
その他にも、この令和2年改正個人情報保護法ガイドラインパブコメ結果は、通則編のパブコメ結果351に、経営法友会からの「委託の「まぜるな危険の問題」」の質問へのPPCの回答が載っているなど、個人情報保護法や情報セキュリティなどに関係する人にとって見どころが満載です。(委託の「まぜるは危険の問題」がPPCの公式文書に掲載されたのは、これがおそらく初めてではないでしょうか。)

委託のまぜるな危険の問題

(2)「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のパブコメ意見!?
また、このパブコメ結果で異様なのは、法人・個人や各種団体などからの意見にまじって、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」からのパブコメ意見が大量に提出されていることです。PDFファイル上で検索するとなんと31件もあるようです。しかも、他の個人・法人のほとんどが、PPCのパブコメ要綱を遵守して「意見」・「理由」を分けて丁寧な文言で意見や質問などを提出しているのに、この内閣府の担当者は意見・理由を分けずに、上から目線のあまり上品でないだらだらとした言葉使いで31件もの意見を書いています。

さらにパブコメ結果を読んでいて驚くことは、この内閣府健康・医療戦略推進事務局の担当者は、個人情報保護法の条文の文言上の理解すらできておらず、おそらく実務上も個人情報の取扱を経験したことがないような、官僚というよりまるで大学法学部の1年生かのような素人質問をPPCに対して、まるで顧客が企業のコールセンターに電話で質問するかのように、カジュアルに投げつけていることです。
内閣府5
(ガイドライン(通則編)のパブコメ結果275。内閣府の担当者は法23条2項のオプトアウトによる第三者提供に関して「いちいち事業者が本人に対して通知を行わねばならないことは面倒である」という趣旨の意見を述べていますが、PPCも回答しているように、法23条2項は「通知または公表」と規定しており、事業者に「通知」を義務付けていません。)

「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」は、国民のカルテや処方箋データなどのセンシティブな個人情報である医療データを国が一元的に収集し、IT企業や製薬会社などに利活用させる次世代医療基盤法などの担当所管のはずですが、個人情報保護法の素人のような人間が担当者で本当に大丈夫なのでしょうか?   国民としては非常に心配です。

くわえて、この内閣府健康・医療戦略推進事務局次世代医療基盤法担当の担当者の意見は、個人情報取扱事業者の法的義務を削減することを要求する内容のものが多く含まれています。この点は、内閣府や個人情報保護委員会の行政の公平性・中立性(国家公務員法96条1項、憲法15条2項など)が損なわれるおそれがあるだけでなく、国の個人情報保護行政デジタル行政などがゆがめられてしまうおそれがあるのではないでしょうか。

■関連する記事
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・2020年の個人情報保護法改正に関するガイドライン改正に関するパブコメについて意見を書いてみた-FLoC・プロファイリング・貸出履歴・推知情報・データによる人の選別
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権















このエントリーをはてなブックマークに追加 mixiチェック


サーバー群

1.図書館の貸出履歴なども連続的に蓄積されて特定の個人を識別できる場合は個人情報になる
(1)令和2年個人情報保護法ガイドライン改正パブコメ
令和2年個人情報保護法ガイドライン改正パブコメが6月18日まで実施されていました。
・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集について|e-GOV

ここで個人情報保護委員会(PPC)が示した個人情報保護法ガイドラインの案を読んで、個人的にPPCの一番のファインプレーだと思ったのは、個人情報保護法ガイドライン(通則編)90頁の、「3-7-1-1個人関連情報」(個人情報保護法26条の2)のところの注意書きに、次のようにと明示し、"図書館貸出履歴等「連続的に蓄積」されて特定の個人を識別できる場合は個人情報に該当し、さらにそれがある個人の思想・信条などに該当する場合は要配慮個人情報に該当すること"を明確化したことではないかと思われます。

個人情報に該当する場合は個人関連情報には該当しないことになる。例えば、ある個人の位置情報それ自体のみでは個人情報には該当しないものではあるが、個人に関する位置情報が連続的蓄積される等して特定の個人を識別することができる場合には、個人情報該当」する(個人情報保護委員会「個人情報保護法ガイドライン(通則編)」90頁「3-7-1-1個人関連情報」(個人情報保護法26条の2)注意書き)。
つまり、例えば、図書館等の貸出履歴や書店での本・DVD・CD等の購入履歴等が「連続的に蓄積」されて「特定の個人を識別できる場合」(=実名等がわからなくても「あの人、この人」と識別できる場合)には当該情報・データは「個人情報」に該当し、さらにそれが個人の「思想・信条」「病歴」などに該当すれば「要配慮個人情報」に該当するとPPCは考えていると思われます。

貸出履歴・閲覧履歴などの個人情報・個人関連情報の該当性の図2

すなわち、図書館の連続的に蓄積されて特定の個人を識別できる貸出履歴・利用履歴等は個人情報であり、それが思想・信条等に該当する場合には要配慮個人情報であると個人情報保護委員会が認めたことになります。

(2)これまでの個人情報保護委員会の「要配慮個人情報を推知させる情報」の考え方
もちろん、個人情報保護法2条1項の個人情報の定義は、「個人に関する情報」であって、電磁的記録などを含むさまざまな情報・記述などで「特定の個人を識別できるもの」は個人情報に該当するとしているので、この個人情報保護委員会の考え方は当然といえば当然です(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁)。
個人情報の定義『ニッポンの個人情報』
鈴木正朝・高木浩光・山本一郎「「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編)」EnterpriseZineより

しかし、2017年法改正を受けたこれまでの個人情報保護法ガイドライン(通則編)の「2-3 要配慮個人情報」は、「なお、次に掲げる情報(=要配慮個人情報)を推知させる情報にすぎないもの(例:宗教に関する書籍購買貸出しに係る情報等)は、要配慮個人情報には含まない」という塩対応な注意書きを明示していました(岡村久道『個人情報保護法 第3版』87頁)。

そのため、「本人の思想・信条などの内心を推知させる情報も要配慮個人情報に含めて扱うべき」と、宮下紘・中大教授(憲法・情報法)などの学者の方々から批判されてきたところです(宮下紘「図書館と個人情報保護」『時の法令』平成28年1月15日号50頁)。

(3)図書館の貸出履歴などの情報の利活用の推進派は、個人情報保護法などの再検討が必要となる
もし、図書館の貸出履歴・利用履歴などが個人関連情報でしかないとすると、第三者提供の際の本人同意が必要なだけにとどまりますが(法26条の2)、個人情報であるとなると、利用目的の特定(法15条)や、本人同意のない目的外利用の禁止(法16条)、不適正な収集の禁止(法17条)、安全管理措置(法20条~22条)、第三者提供の本人同意(法23条1項)、開示・訂正・利用停止等の請求への対応(法28条~34条)などの各義務が事業者に要求されることになります。

そしてさらに図書館の貸出履歴・利用履歴などが要配慮個人情報に該当するとなると、原則として収集の際に事前の本人の同意が必要(法17条2項)となり、また、オプトアウト方式による第三者提供も禁止(法23条2項かっこ書き)されることになり、さらに事業者の義務が重くなります。

また、個人情報、要配慮個人情報、その他個人に関する情報を事業者などが不適正に取り扱った場合、個人情報保護法とは別に、事業者などが当該個人からプライバシー権侵害などを主張され、不法行為に基づく損害賠償責任を負う可能性もあります(民法709条、憲法13条)。

この点、最近も、法政大学の大学図書館の貸出履歴などを保存する方針に対して教職員、有識者などから反対の声が上がっていることが話題となっています。
・広がる図書館の履歴保存 脅かされる秘密、懸念の声も|朝日新聞

2021年4月から学長の廣瀬克哉総長は、同大学の学部横断型科目の学生の履修データなどの教育データ「見える化」を推進するなど、「大学のDX(デジタル・トランスフォーメーション)」の推進に熱心な学長のようです。

もし廣瀬氏などが、大学図書館の貸出履歴・利用履歴などのデータもDX化し、教育データの一つとしてさまざまな用途に利用・分析・加工・第三者提供などをすることを考えているとしたら、法令や日本図書館協会の「図書館の自由に関する宣言」などに基づいて、今一度慎重な再検討が必要であると思われます。

同様に、全国の自治体の公立図書館国立国会図書館などにおいても、貸出履歴・利用履歴などのデータを保存する図書館が増えているようですが、そのような図書館・自治体なども、同様に個人情報保護法・行政機関個人情報保護法・独法個人情報保護法・自治体の個人情報保護条例などや「図書館の自由に関する宣言」などに基づいて慎重な再検討が必要になるものと思われます。

*追記
なお、2017年の個人情報保護法改正では、いわゆる2号個人識別符号として、スマホの端末ID、携帯電話番号、IPアドレス、会員証番号なども個人識別符号(法2条2項2号)として個人情報に含まれることが明確化されようとしました。これは当時の政府のパーソナルデータ保護に関する検討会議の委員の森亮二弁護士や、産業技術総合研究所の高木浩光氏などが主張していたものです。しかしこれは楽天やヤフージャパンなどの経済界、経産省や与党などの強い圧力により頓挫してしまいました。
・携帯電話・スマホ等のIDやIPアドレスは個人情報に含まれない?/個人情報保護法改正法案
・【プレゼン】2月4日、自民党で、三木谷代表理事が 個人情報保護法改正案について意見を述べました|新経済連盟
・個人情報定義は新経連の意向で米国定義から乖離しガラパゴスへ(パーソナルデータ保護法制の行方 その16)|高木浩光@自宅の日記
o0800055513265690722
(新経済連盟サイトより)

とはいえ、今回、個人情報保護委員会がガイドラインで貸出履歴・閲覧履歴・購入履歴・位置情報・移動履歴なども一定の場合、個人情報に含まれると明確化したことは、2017年改正のこの2号個人識別符号の考え方の事実上の復活であり、国民の個人情報の保護つまり個人の尊重個人の権利利益の保護(個人情報保護法1条、3条、憲法13条)の観点からは画期的です。

2.「ある個人の興味・関心を示す情報」も個人関連情報となる
(1)「ある個人の興味・関心を示す情報」
また、令和2年個人情報保護法ガイドライン改正パブコメで、ガイドライン(通則編)89頁の個人関連情報の具体例に、閲覧履歴・購買履歴・位置情報とともに「ある個人の興味・関心を示す情報」も明示している点も、個人情報保護委員会のファインプレーでないかと思われます。

個人情報保護法ガイドライン個人関連情報の具体例
つまり、2019年のリクナビ事件における就活生・求職者等の、「どの企業に入社したいか/どのような企業には入社したくないかなどに関する情報」や、内定辞退予測データなども、「ある個人の興味・関心を示す情報」なので、個人に紐付かない、特定の個人を識別できるものでない状態であったとしても、それらの情報は個人関連情報に該当することが個人情報保護委員会により明確化されたのです。

したがって、リクナビなどの人材紹介会社などは、個人情報保護法の法の網をかいくぐるような個人情報・個人データなどの脱法的な利用が今回の法改正で新設された、不適正利用の禁止条項(法16条の2)で規制されるだけでなく、取り扱う情報が「ある個人の興味・関心を示す情報」に該当する場合には個人関連情報に該当するので、第三者提供する際のあらかじめの本人同意の取得の法規制がここでもかかることになります。「PPC、グッジョブ!」としか言いようがありません。

(2)CCCなどのデータマーケティング企業など
同様に、TSUTAYAや武雄市図書館等のツタヤ図書館などを運営し、また共通ポイントのTポイントの運営で約7000万件の国民の個人情報と年間50億件のトランザクション・データを保有するCCCカルチュア・コンビニエンス・クラブ株式会社などのデータマーケティング企業などは、自社のビジネスモデルが個人情報保護法などを遵守しているか、今一度、慎重な再検討が必要なのではないでしょうか。

(3)ネット系人材紹介会社など
また、SNSやGithubなどからさまざまな情報をコンピュータで網羅的に収集し、AIによる分析・加工などを行っているLAPRASHackerBase Jobsなどのネット系人材紹介会社や、それらの人材会社を就活生や転職者などの採用選考に利用しているトヨタ、日産、サイバーエージェント、GMOなどの企業なども、自社のビジネスモデルや人事労務の業務が個人情報保護法制や職業安定法や関連する厚労省通達・指針などの労働法制に抵触していないか、今一度慎重な再検討が必要がなのではないでしょうか。

LAPRASを採用している企業
(LAPRASを利用している企業。LAPRAS社サイトより)

2019年のリクナビ事件では、個人情報保護委員会と厚労省は、リクルートキャリアだけでなく、トヨタなどの企業についても、「社内で個人情報保護法などを十分に検討していなかった」ことは安全管理措置(法20条)違反であると認定し、行政指導・行政処分を実施しています。
・個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について(PDF)|個人情報保護委員会

3.まとめ
このように、個人情報保護委員会は令和2年個人情報保護法改正対応の個人情報保護法ガイドライン改正で、図書館の貸出履歴なども一定の場合に個人情報または要配慮個人情報保護法に該当することを明確化し、「興味・関心」も個人関連情報に該当することを明確化しました。

採用選考・人事評価、PCや監視カメラ・スマホ・センサーなどによる従業員のモニタリングなどの労働分野、GIGAスクール構想や「教育の個別最適化」が推進されている教育分野、信用スコア事業、融資や保険引受審査などに関する金融・保険業、ターゲティング広告などの広告事業、顔認証システムや防犯カメラなどによる防犯事業、SNSのAI分析システムを導入しようとしている警察などは、業務を法的に再検討する必要があると思われます。

■関連する記事
・2020年の個人情報保護法改正に関するガイドライン改正に関するパブコメについて意見を書いてみた-FLoC・プロファイリング・貸出履歴・推知情報・データによる人の選別
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・データによる人の選別
・Github利用規約や厚労省通達などからSNSなどをAI分析するネット系人材紹介会社を考えた















このエントリーをはてなブックマークに追加 mixiチェック

display_monitor_computer
2020年(令和2年)の個人情報保護法改正に関するガイドライン改正に関するパブコメを、2021年6月18日まで個人情報保護委員会が実施していたため、意見を少しだけ書いて提出してみました。

■関連する記事
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集について|e-GOV

1.個人関連情報に関してGoogleの「FLoC」などについて
(該当箇所)
個人情報保護法ガイドライン(通則編)89頁

(意見)
「【個人関連情報に該当する事例】」の「事例1)Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴」に、最近、GoogleがCookieに代わり導入を開始した「FLoC」などの新しい手法により収集された、ある個人のウェブサイトの閲覧履歴等も含まれることを明記すべきである。

(理由)
個人情報保護法26条の2は、2019年のいわゆるリクナビ事件を受けて、個人情報保護法を潜脱するような、本人関与のない個人情報の収集方法が広まることを防止するために、ユーザーの閲覧履歴、属性履歴、移動履歴などのデータを第三者に提供する場合に、提供先で個人データとなることが想定される場合には、個人データの第三者提供に準じる規制を課すことにより、個人のプライバシーなどの権利利益を保護(法1条、3条)するものである。

そのため、個人情報保護法を潜脱するように、CookieでなくGoogleの「FLoC」などの新しい手法を利用することにより、本人関与のない個人情報の収集方法が広がることを防止し、国民の個人の尊重、個人のプライバシー、人格権(憲法13条)などの個人の権利利益を保護(法1条、3条)するために、Cookie等だけでなく、「FLoC」などの新しい手法も個人関連情報に該当することを、包括的に個人情報保護法ガイドライン等に明記すべきである。

2.不適正利用の禁止(法16条の2)とAI・コンピュータによるプロファイリングについて
(該当箇所)
個人情報保護法ガイドライン(通則編)30頁

(意見)
不適正利用の禁止(法16条の2)に関する個人情報保護法ガイドライン(通則編)30頁の「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に、「AI・コンピュータの個人データ等の自動処理(プロファイリング)の行為のうち、個人の権利利益の侵害につながるもの」を明示すべきである。

(理由)
本人の認識や同意なく、ネット閲覧履歴、購買履歴、位置情報・移動履歴やSNSやネット上の書き込みなどの情報をAI・コンピュータにより収集・分析・加工・選別等を行うことは、2019年のいわゆるリクナビ事件や、近年のAI人材会社を標ぼうするネット系人材紹介会社等の実務のように、本人が予想もしない不利益を被る危険性がある。このような不利益は、差別を助長するようなデータベースや、違法な事業者に個人情報を第三者提供するような行為の不利益と実質的に同等であると考えられる。

また、日本が十分性認定を受けているEUのDGPR22条1項は、「コンピュータによる自動処理のみによる法的決定・重要な決定の拒否権」を定め、EUが2021年4月に公表したAI規制法案も、雇用分野の人事評価や採用のAI利用、教育分野におけるAI利用、信用スコアなどに関するAI利用、出入国管理などの行政へのAI利用などへの法規制を定めている。

この点、日本の2000年労働省「労働者の個人情報保護の行動指針」第2、6(6)や厚労省の令和元年6月27日労働政策審議会労働政策基本部会報告書「~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」9頁10頁および、いわゆるリクナビ事件に関する厚労省の通達(職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運営について」)等も、電子機器による個人のモニタリング・監視に対する法規制や、AI・コンピュータのプロファイリングに対する法規制およびその必要性を規定している。

日本が今後もEUのGDPRの十分性認定を維持し、「自由で開かれた国際データ流通圏」政策を推進するためには、国民の個人の尊重やプライバシー、人格権(憲法13条)などの個人の権利利益を保護するため、AI・コンピュータによるプロファイリングに法規制を行うことは不可欠である。

したがって、「AI・コンピュータの個人データ等の自動処理(プロファイリング)の行為のうち、個人の権利利益の侵害につながるもの」を「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に明示すべきである(「不適正利用の禁止義務への対応」『ビジネス法務』2020年8月号25頁参照)。

3.要配慮個人情報と図書館の図書の貸出履歴・本の購買履歴などの推知情報について
(該当箇所)
個人情報保護法ガイドライン(通則編)12頁

(意見)
「次に掲げる情報を推知させる情報にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない」を、「次に掲げる情報を推知させる情報(例:宗教に関する書籍の購買や貸出しに係る情報等)も、要配慮個人情報に該当する」と変更すべきである。

(理由)
令和元年12月13日付個人情報保護委員会「個人情報保護法いわゆる3年ごと見直し制度改正大綱」16頁が「昨今の急速なデータ分析技術の向上等を背景に、潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用の携帯がみられ、個人の懸念が高まりつつある」と指摘するように、近年のAI・コンピュータ等によるプロフィリングの分析技術等の向上は、2019年のいわゆるリクナビ事件などにもみられるとおり、ネット閲覧履歴、購買履歴、位置情報・移動履歴などの「要配慮個人情報を推知させる情報」のデータを分析・加工することにより、本人の内定辞退予測データなど、個人の思想・信条などの要配慮個人情報や内心の自由(憲法19条)などに関する情報を取得することを可能にしており、国民の個人の尊重やプライバシー権の保護、人格権の保護(憲法13条)などの個人の権利利益の保護(個人情報保護法1条、3条)の観点から、「要配慮個人情報を推知させる情報」を法的に放置しておくべきではない(平成30年第196国会・衆議院『衆議院議員松平浩一君提出プロファイリングに関する質問に対する答弁書』参照)。

とくに図書館の図書等の貸出履歴や商品購入履歴・サービス利用履歴などについては、図書館や共通ポイント運営事業者などに対して、警察による捜査関係事項照会による提出要請などが広く行われており、個人の側の懸念が強まっている(2020年12月23日札幌弁護士会「捜査関係事項照会に対する公立図書館等の対応に関する意見」参照)。

したがって、国民の個人の権利利益の保護(法1条、3条)のために、「要配慮個人情報を推知させる情報」についても要配慮個人情報に含めるために、「次に掲げる情報を推知させる情報(例:宗教に関する書籍の購買や貸出しに係る情報等)も、要配慮個人情報に該当する」と変更すべきである。

4.個人関連情報と図書館の図書の貸出履歴・利用履歴などについて
(該当箇所)
個人情報保護法ガイドライン(通則編)90頁

(意見)
「個人関連情報に該当する事例」の「事例3)ある個人の商品購買履歴・サービス利用履歴」に、「ある個人の公共図書館、学校図書館、専門図書館および私設図書館などの図書館等の図書等の貸出履歴を含む図書館の利用履歴(利用事実)」も「個人関連情報に該当する事例」として明記すべきである。

(理由)
個人情報保護法26条の2は、2019年のいわゆるリクナビ事件を受けて、個人情報保護法を潜脱するような、本人関与のない個人情報の収集方法が広まることを防止するために、ユーザーの閲覧履歴、属性履歴、移動履歴などのデータを第三者に提供する場合に、提供先で個人データとなることが想定される場合には、個人データの第三者提供に準じる規制を課すことにより、個人のプライバシーなどの権利利益を保護(法1条、3条)するものである。

図書館の貸出履歴は、ある個人の思想・信条、趣味・嗜好、関心事など個人の内心に関する要配慮個人情報を推知させる重要な情報である。そのため、「商品購入履歴・サービス利用履歴」「位置情報」などとともに、個人関連情報に該当することをガイドライン等に明示すべきである。

図書館の図書等の貸出履歴等を含む利用履歴(利用事実)については、日本図書館協会の「図書館の自由に関する宣言」が「図書館は利用者の秘密を守る」として「憲法第35条にもとづく令状」による照会以外の場合には照会への回答を拒否することを明示しているが、近年の新聞報道や札幌弁護士会の2020年12月23日「捜査関係事項照会に対する公立図書館等の対応に関する意見」等によると、近年、警察の捜査関係事項照会(刑事訴訟法197条2項)など令状によらない任意の照会が図書館に多く実施され、一部の図書館がそれに対して回答を実施しているとのことである。

また、共通ポイントのTポイントによる個人データのデータマーケティングビジネスを運営するCCCカルチュア・コンビニエンス・クラブ株式会社は、指定管理者として武雄市図書館などのいわゆるツタヤ図書館を運営しているが、このツタヤ図書館などにおいては、利用者の貸出履歴などの個人情報・個人データが個人情報保護法を潜脱してCCC社により同社のデータマーケティングビジネスに利用されているのではないかと疑われている。そしてCCC社など大量の国民の個人情報・個人データを保有する企業に対しても、警察が捜査関係事項照会などの令状によらない任意の方法で情報の提供を求めている実態がある(日経新聞2019年1月20日「Tカード情報令状なく提供 規約明記せず、会員6千万人超」参照)。

さらに最近、法政大学などの一部大学が、同大学の図書館の貸出履歴・利用履歴等のデータを、利用者の貸出等が終了した後も保存し、さまざまな用途に利活用する方針を発表し、教職員や学生などの関係者や有識者、国民から大きな批判を受けている。

この点、法26条の2は、個人情報保護法を潜脱するような、本人関与のない個人情報の収集方法が広まることを防止するために、ユーザーの閲覧履歴、属性履歴、移動履歴などを個人関連情報と定義し、個人データの第三者提供に準じる規制を課すことにより、個人の尊重・個人のプライバシー・人格権など(憲法13条)の個人の権利利益を保護(法1条、3条)するものである。

したがって、閲覧履歴、属性履歴、位置情報・移動履歴などと同様に、個人の思想・信条・内心などの要配慮個人情報や、個人のプライバシーのとりわけ重要な部分を推知させる情報である、図書館の図書等の貸出履歴を含む図書館の利用履歴(利用事実)も、個人の権利利益を保護するために「個人関連情報」に該当することを明示すべきである。

5.本人からの開示請求や利用停止等の請求への対応が難しいデータについて、仮名加工情報に加工するなど、個人情報保護法を潜脱する目的で仮名加工情報を取扱ってはならないことについて
(該当箇所)
個人情報保護法ガイドライン匿名加工情報編11頁・個人情報保護法ガイドライン(通則編)17頁


(意見)
ガイドライン匿名加工情報編11頁「仮名加工情報の取扱いに係る義務の考え方」の部分またはガイドライン通則編17頁の「2-10匿名加工情報」の部分などに、「本人からの開示請求や利用停止等の請求への対応が難しいデータについて、仮名加工情報に加工して保有・利用するなど、個人情報保護法を潜脱する目的で仮名加工情報を取扱ってはならない」と明示すべきである。

(理由)
一部の有識者の見解に、「仮名加工情報は、法15条2項、法27条から34条までの規定は適用されないため、本人からの開示請求や利用停止等の請求への対応が難しいデータについて、仮名加工情報に加工して保有・利用することが有力な解決策となる」と指南しているものが見られる(「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号34頁参照)。

このような仮名加工情報の取扱は、仮名加工情報の新設の趣旨を没却し、個人情報保護法を潜脱する脱法的なものであるから、このような行為を禁止する注意書きをガイドライン等に明示すべきである。

6.AI・コンピュータなどのプロファイリングにより取得したデータも個人情報に該当することについて
(該当箇所)
個人情報保護法ガイドライン(通則編)11頁

(意見)
「【個人情報に該当する事例】」の部分に、「AI・コンピュータなどのプロファイリングにより取得した情報・データも法2条1項の個人情報の定義に当てはまる場合は、個人情報に該当する」ことを明示すべきである。

(理由)
最近、「日本の個人情報保護法上、プロファイリングによって取得した情報は「個人情報」には該当しない」などの誤った見解が日本の公的機関の文書などに散見されるため(日銀ワーキングペーパー論文『プライバシーの経済学入門』(2021年6月3日)16頁など)。

■関連する記事
・個人情報保護委員会は図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?ーAI・プロファイリング・データによる人の選別
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・Github利用規約や厚労省通達などからSNSなどをAI分析するネット系人材紹介会社を考えた
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・データによる人の選別
・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた
・苫小牧市立中央図書館が警察の任意の要請により貸出履歴等を提供したことを考える
・Tポイントの個人情報がCCCから任意の照会で警察に提供されていたことを考える

■参考文献
・佐脇紀代志『一問一答令和2年改正個人情報保護法』34頁、62頁
・田中浩之・北山昇「不適正利用の禁止義務への対応」『ビジネス法務』2020年8月号25頁
・「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号34頁
・労働政策審議会労働政策基本部会 報告書 ~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~|厚労省
・厚労省通達・職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運営について」
・令和元年12月13日付個人情報保護委員会「個人情報保護法いわゆる3年ごと見直し制度改正大綱」16頁
・平成30年第196国会・衆議院『衆議院議員松平浩一君提出プロファイリングに関する質問に対する答弁書』|衆議院
・札幌弁護士会「捜査関係事項照会に対する公立図書館等の対応に関する意見」
・日経新聞2019年1月20日「Tカード情報令状なく提供 規約明記せず、会員6千万人超」
・Googleが進める代替技術「FLoC」が問題視されている理由とは?|マイナビニュース













このエントリーをはてなブックマークに追加 mixiチェック

三郷市図書館
(media.housecomより)

・・・・・・・・・
■追記2(2018.07.18)
つぎのブログ記事を書きました。
・学校図書館の貸出記録を学校が読書指導等に利用することはできるか-埼玉県三郷市小学校図書館

■追記1(2018.07.03)
本日、つぎのニュース記事に接しました。
・三郷市の小学校の読書促進策に批判殺到「担任が児童の読んだ本を把握し個別指導」って本当? 学校「誤解を招いて申し訳ない」|キャリコネニュース

しかし、ツイッター上では、media.housecomのライターと思われる人物が、「録音をとってインタビューしたので記事に間違いはない」旨の反論を行っており、混沌とした状況です。
・・・・・・・・・

この週末あたりから、あるウェブサイトで紹介されている、埼玉県三郷市の市立彦郷小学校図書館の取り組みがひどいとネット上で話題になっています。

「前述の三郷市立彦郷小学校の鈴木勉校長によると、データベース化を行うことによって、児童ごとの読書傾向を学校側が把握できるようになり、今どんな本を読んでいるのか、あるいは1ヶ月で何冊の本を読んでいるかなどを的確に把握できると言います。」
(media.housecom「1年間で1人あたり142冊もの本を読む埼玉県三郷市立彦郷小学校「社会問題の根幹にあるのは読書不足」」より)

・「1年間で1人あたり142冊もの本を読む埼玉県三郷市立彦郷小学校「社会問題の根幹にあるのは読書不足」」|media.housecom

たしかに市や小学校が生徒の読書の推進に取り組み、成果を出していることはすばらしいことであると思います。しかしその方法として、図書館の貸出履歴を、図書の貸出管理だけでなく、個々の生徒の読書傾向などを教師等が把握するためにコンピュータでデータベース化し、その情報を司書や教師らが共有することは、生徒の個人情報保護やプライバシー保護の観点から許容されるのでしょうか?

図書館の貸出履歴は、それにより利用者本人の趣味・嗜好や思想・信条などが推知されてしまう、デリケートな個人情報であることから、その取り扱いが問題となります。

この三郷市立小学校図書館について考えるに、まず、図書館法に関する解説書は、”学校図書館も公立図書館と同様に個人情報保護法制、プロフェッショナルコードである「図書館の自由に関する宣言」に従う”としています(塩見昇・山口源治郎『新図書館法と現代の図書館』82頁、坂東司朗・羽成守『<新版>学校生活の法律相談』346頁)。

また、この図書館は市立小学校なので、図書館職員は地方公務員法34条の守秘義務も負うことになります。

三郷市の図書館に関する条例をみると、個人情報保護に関する個別の条文はないので、やはり三郷市個人情報保護条例に準拠して考えることになります。同条例3条2項は守秘義務を定め、同35条、36条は懲役刑を含む罰則を定めています。同7条1号は、「思想・信条」に関する情報の収集の原則禁止を定めています。同10条は「適正管理」(=安全管理措置)を定めています。

・三郷市個人情報保護条例|三郷市

ところで、同15条は、目的外利用の制限を規定していますが、同2項4号は、“審議会の意見を聞き市長がとくに必要と認めるときは本人の同意なしに個人情報の目的外利用が可能”となっています。この条文で三郷市は生徒の読書履歴や読書傾向のコンピュータによるデータベース管理を正当化しているのでしょうか?

個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」は、”図書館の貸出履歴等は要配慮個人情報(センシティブ情報)ではない”としてしまいました(12頁)。しかし、図書館の貸出記録は個人情報およびそのデータベースである個人情報ファイル(条例2条1号、4号)や利用者の内心に関するプライバシー(憲法13条)に係る情報であることは間違いありません。

同条例は、9条1項で「実施機関は、個人情報を収集するときは、収集の目的を明らかにして、当該個人情報によって識別される特定の個人(以下「本人」という。)から直接これを収集しなければならない。」と規定しています。

三郷市の小学校が図書館利用にあたり、生徒に対して書面やウェブサイトなどにより、「図書館の貸出履歴は図書の管理だけでなく、生徒の読書傾向の分析やその後の教員等による指導等に利用する」旨の利用目的を通知・公表していれば問題は少ないですが、三郷市の小学校はこれを実施しているのでしょうか。

もしそのような実務取扱いを行っていないのであれば、個人情報保護に関する一般法である個人情報保護法18条4項4号の「取得の状況からみて利用目的が明らかであると認められる場合(には利用目的の通知・公表は不要)」の条文でその実務の当否を考えることになります。

しかし図書館利用者たる生徒が図書館の窓口で図書の貸出を願い出る際に、「図書館の貸出履歴は図書の管理のために個人情報を利用する」ことは利用目的が明らかといえますが、「生徒の読書傾向の分析やその後の教員等による指導等に利用する」ことは利用目的から明らかとはいえないのではないでしょうか。

そのため、図書館職員らは地方公務員法34条および同条例3条、9条により、図書の管理以外の目的で貸出履歴や読書傾向を分析する目的で情報システムを設置運用し、担任教諭などにその個人情報ファイルのコピー等を提供することは許されないのではないでしょうか。

そもそもこのような取り組みは、戦前の国や図書館等による「思想善導への反省」を明記し「図書館は利用者の秘密を守る」と規定し、図書館利用者に積極的には働きかけないスタンスを示す図書館の自由に関する宣言にも抵触しているのではないでしょうか(宣言前文4項、宣言3条)。

・図書館の自由に関する宣言|日本図書館協会

(なお、このサイトの後半には、「ビンゴゲーム」などを用いて、図書館や学校が生徒の読書傾向の「ゆがみ」を”矯正”する手法も掲載されています。)

■参考文献
・塩見昇・山口源治郎『新図書館法と現代の図書館』82頁
・鑓水三千男『図書館と法』183頁
・宇賀克也『個人情報保護法の逐条解説 第3版』144頁
・坂東司朗・羽成守『<新版>学校生活の法律相談』346頁

新図書館法と現代の図書館

個人情報保護法の逐条解説--個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法 第6版

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ