1.車載機ID、車台番号、位置情報等が個人情報として認識されてなかった?
個人情報保護委員会(PPC)の7月12日付のプレスリリースによると、トヨタ自動車は、同社のコネクテッドカー(つながる自動車)の「T-Connect」「G-Link」サービス利用者の車両から収集した約230万人分の個人情報が約10年間に渡り外部から閲覧できる状態にあり、個人データの漏えいが発生したおそれがあることが発覚したとのことです。
・トヨタ自動車株式会社による個人データの漏えい等事案に対する個人情報の保護に関する法律に基づく行政上の対応について(令和5年7月12日)|個人情報保護委員会
ところでこのPPCのプレスリリースでひときわ目を引くのは、トヨタが「社内研修が不十分であったため…車載機ID、車台番号、位置情報等が個人情報として認識されてなかった」と記載されていることではないでしょうか。日本を代表する大企業のトヨタがこれとは驚いてしまいました。
(PPCのプレスリリースより)
2.個人情報とは
トヨタは、車載機IDなどは「モノに関する番号だから個人情報ではない」とでも誤解したのでしょうか?
そもそも「個人情報」とは、①生存する「個人に関する情報」であって、②「氏名、生年月日その他…の一切の記述」により、③「特定の個人を識別できるもの」です。そしてさらに④「他の情報と容易に照合できるもの」(容易照合性)もこれに含まれます(法2条1項1号)。
ここでいう「個人に関する情報」とは、「個人の内心、外観、活動等の状況のみならず個人の属性に関する情報のすべてをいう」ものであり、「個人に関する判断・評価…人格権的又は財産権的に価値ある情報、その他個人と関係づけられるすべての情報を意味する」もので「極めて幅広い概念」と解説されています(園部逸夫・藤原静雄『個人情報保護法の解説(第三次改訂版)』65頁)。そのため車載機IDなどモノに結び付く番号は個人情報ではないと考えるのは正しくありません。
また、「他の情報と容易に照合できるもの」(容易照合性)とは、例えばPPCの個人情報保護法ガイドラインQA1-18は、「事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合において、ある取扱部門のデータベースと他の取扱部門のデータベースの双方を取り扱うことができるとき」には「他の情報と容易に照合できる」と解説しています。さらに、PPCの同QA1-25は、携帯電話番号やクレジットカード番号なども容易照合性を満たして特定の個人を識別できる場合には個人情報に該当すると解説しています。
(個人情報保護法ガイドラインQA1-18)
(個人情報保護法ガイドラインQA1-25)
トヨタは車載機IDなどに関してデータベース等で管理していたものと思われ、これはコネクテッドカーの顧客個人情報のデータベースなどと容易に照合できるものであったと思われるので、容易照合性があり、やはり車載機IDなどは個人情報であるといえます。
(なおこれらのデータベースは情報を検索できるように体系的に構成されていることが通常であると思われ、すると車載機IDなどのデータベースは個人情報データベース等に該当し、車載機IDなどの情報は個人情報であると共に「個人データ」となります(法16条1項、3項)。)
3.まとめ
このように個人情報保護法の条文をみてみると、やはり車載機ID、車台番号、位置情報等は個人情報・個人データであり、これを個人情報でないとしてきたトヨタは正しくありません。
このブログ記事が面白かったらシェアやブックマークをお願いします!
■関連するブログ記事
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた
PR
