個人情報保護委員会が『個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理』のパブコメを2024年7月29日まで実施しているので、つぎのとおり意見を書いて送ってみました。

１．生体データについて
（該当箇所）
「要保護性の高い個人情報の取扱いについて（生体データ）」（中間整理３頁～４頁）
（意見）
生体データも要配慮個人情報に含め、その取得には本人同意を必要とすべきである。
（理由）
個人情報のなかでも生体データの要保護性は高いと考えられるから、自己情報コントロール権（情報自己決定権、憲法13条）の観点からは、生体データについても要配慮個人情報（個情法２条３項）に含め、その取得には本人同意を必要とするべきである。かりにそれができない場合には、柔軟なオプトアウト制度の導入など、本人関与の仕組みを強化すべきである。

２．従業員の生体データのモニタリング
（該当箇所）
「不適正な利用の禁止」「適正な取得」の規律の明確化（「中間整理」４頁～６頁）
（意見）
使用者がパソコンやプログラム等を利用して従業員の生体データや集中度などを監視・モニタリングすることは個情法19条、20条違反であることを明確化すべきである。
（理由）
近年、使用者がパソコンやプログラム等を利用して従業員の脳波や集中度などを監視・モニタリングしている事例が増えているが（「東急不動産の新本社、従業員は脳波センサー装着」日本経済新聞2019年10月1日付、日立の「ハピネス」事業など参照）、このような従業員の監視・モニタリングは労働安全衛生法104条違反であるだけでなく、これがもしEUであればGDPR22条違反であり、さらに従業員の「自らの自律的な意思により選択をすることが期待できない場合」に該当するので、個情法19条、20条に抵触して違法であることをガイドライン等で明確化すべきである。

３．生徒・子どもの生体データのモニタリング
（該当箇所）
「不適正な利用の禁止」「適正な取得」の規律の明確化（「中間整理」４頁～６頁）
（意見）
学校・教育委員会等がパソコン・タブレットやウェアラブル端末等を利用して生徒・子どもの生体データや集中度などを監視・モニタリングすることは個情法19条、20条違反であることを明確化すべきである。
（理由）
近年、学校・教育委員会等がタブレット・パソコンやウェアラブル端末等を利用して生徒・子どもの生体データ等から集中度などを監視・モニタリングしている事例が増えているが（「「聞いてるふり」は通じない？　集中しない生徒をリアルタイムで把握　教員からは期待、「管理強化」に懸念も」共同通信2023年6月21日付、デジタル庁「教育データ利活用ロードマップ」など参照）、このような生徒・子どもの生体データの監視・モニタリングは、これがもしEUであればGDPR22条違反であり、さらに生徒・子どもの「自らの自律的な意思により選択をすることが期待できない場合」に該当するので、個情法19条、20条に抵触して違法であることをガイドライン等で明確化すべきである。

４．電話番号、メールアドレス、Cookieなどの個人関連情報について
（該当箇所）
「不適正な利用の禁止」「適正な取得」の規律の明確化（「中間整理」４頁～６頁）
（意見）
電話番号、メールアドレス、Cookieなどの情報も個人関連情報とするのではなく、個人情報に該当するとすべきである。
（理由）
電話番号、メールアドレス、Cookieなどの情報も、多くの場合、特定の個人を追跡可能であり、ターゲティング広告等により当該個人の自由な意思決定に影響を及ぼし得るのであるから、電話番号、メールアドレス、Cookieなどの情報も個人関連情報とするのではなく、個人情報に該当するとすべきである。

５．プロファイリングと不適正利用
（該当箇所）
「不適正な利用の禁止」「適正な取得」の規律の明確化（「中間整理」４頁～６頁）
（意見）
不適正利用の禁止（法19条）に関する個人情報保護法ガイドライン（通則編）の「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に、「AI・コンピュータの個人データ等のプロファイリングの行為のうち、個人の権利利益の侵害につながるもの」を明示すべきである。
（理由）
本人の認識や同意なく、ネット閲覧履歴、購買履歴、位置情報・移動履歴やSNSやネット上の書き込みなどの情報をAI・コンピュータにより収集・分析・加工・選別等を行うことは、2019年のいわゆるリクナビ事件等のように、本人が予想もしない不利益を被る危険性がある。このような不利益は、差別を助長するようなデータベースや、違法な事業者に個人情報を第三者提供するような行為の不利益と実質的に同等であると考えられる。
また、日本が十分性認定を受けているEUのDGPR22条１項は、「コンピュータによる自動処理のみによる法的決定・重要な決定の拒否権」を定め、さらにEUで成立したAI法も、雇用分野の人事評価や採用のAI利用、教育分野におけるAI利用、信用スコアなどに関するAI利用、出入国管理などの行政へのAI利用などへの法規制を定めている。
この点、厚労省の令和元年６月27日労働政策審議会労働政策基本部会報告書「～働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために～」９頁・10頁および、いわゆるリクナビ事件に関する厚労省の通達（職発0906第３号令和元年9月6日「募集情報等提供事業等の適正な運営について」）等も、電子機器による個人のモニタリング・監視に対する法規制や、AI・コンピュータのプロファイリングに対する法規制およびその必要性を規定している。
日本が今後もEUのGDPRの十分性認定を維持し、「自由で開かれた国際データ流通圏」政策を推進するためには、国民の個人の尊重やプライバシー、人格権（憲法13条）などの個人の権利利益を保護するため（個情法１条、３条）、AI・コンピュータによるプロファイリングに法規制を行うことは不可欠である。
したがって、「AI・コンピュータの個人データ等のプロファイリングの行為のうち、個人の権利利益の侵害につながるもの」を「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に明示すべきである（「不適正利用の禁止義務への対応」『ビジネス法務』2020年8月号25頁、『AIプロファイリングの法律問題』（2023年）50頁参照）。

６．こどもの個人情報等に関する規律の新設
（該当箇所）
こどもの個人情報等に関する規律の在り方（中間整理8頁～11頁）
（意見）
こどもの個人情報等に関する規律を新設することに賛成します。
（理由）
こどもは大人に比べて脆弱性・敏感性及びこれらに基づく要保護性があるにもかかわらず、近年、学校・教育委員会などが、生徒・子どもにウェアラブル端末をつけさせて生体データを収集し集中力や「ひきこもり」の予兆などを監視・モニタリングする事例などが野放しで増加しているが、このような学校等による生徒・子どもの監視・モニタリングは子どもの内心の自由やプライバシー、人格権を侵害しかねないものであり、子どもの権利利益を侵害している（個情法１条、３条、憲法13条、19条）。
したがって16歳未満の子どもの個人情報については収集等に法定代理人の同意を必要とし、また厳格な安全管理措置を要求するなどの法規制を新設することに賛成します。

７．課徴金制度・団体訴訟制度
（該当箇所）
課徴金、勧告・命令等の行政上の監視・監督手段の在り方（中間整理11頁）および団体による差止請求制度及び被害回復制度の導入（中間整理12頁）
（意見）
課徴金制度の導入などおよび団体請求制度の導入等に賛成します。
（理由）
国民・消費者の個人の権利利益のさらなる保護のため（個情法１条、３条）に賛成します。経済界は団体による差止請求にも反対しているようであるが、差止請求は違法な行為にしかなされないところ、経済界は違法行為がしたいのだろうかと疑問である。

８．漏えい等報告・本人通知の在り方
（該当箇所）
漏えい等報告・本人通知の在り方（中間整理18頁）
（意見）
現行の漏えい等報告・本人通知の在り方を緩和することに反対。
（理由）
二次被害・類似事案の防止が漏えい等報告及び本人通知の趣旨・目的なのであるから、たとえば事業者がセキュリティインシデントに対応中でマルウェア等の犯人を泳がせて調査しているような場合は別として、原則として個人情報漏えい事故が発生した場合は、迅速に漏えい等報告・本人通知を事業者に行わせるべきである。現行の漏えい等報告・本人通知の在り方を緩和することには反対。 また、漏えい等に関する義務が生じる「おそれ」要件についても、「おそれ」が発生している以上は安全管理措置義務違反が発生していることは事実なのであるから、事業者は違法であるのであって、「おそれ」要件を緩和することには反対である。

９．医療データの収集・目的外利用・第三者提供の規制緩和
（該当箇所）
社会のニーズ及び公益性を踏まえた例外規定の新設並びに明確化（中間整理23頁）
（意見）
医療データにつき例外規定を設け、取得や目的外利用、第三者提供等に本人同意やオプトアウトを不要とする議論に反対。
（理由）
現在の情報法・憲法の学説上、個人情報保護法（個人データ保護法）の趣旨・目的は自己情報コントロール権説（情報自己決定権説）が通説であり、ドイツやEUなど多くの西側自由諸国でも同様である（曽我部真裕・林秀弥・栗田昌裕『情報法概説第２版』209頁、渡辺康行・宍戸常寿・松本和彦・工藤達朗『憲法Ⅰ基本権』121頁、山本龍彦『個人データ保護のグローバル・マップ』247頁、359頁等参照）。
そして自己情報コントロール権説からは、個人情報保護法が目的外利用や第三者提供をする場合、医療データなどの要配慮個人情報を収集する場合において、事業者や行政機関等が患者などの本人の同意を取得することが必要と規定されていることは当然のことと考えられる。
そのため、この目的外利用や第三者提供をする場合、医療データなどの要配慮個人情報を収集する場合に本人の同意の取得を不要とする有識者ヒアリング等における森田朗名誉教授や鈴木正朝教授、高木浩光氏などの主張は自己情報コントロール権説に反し、つまり個人情報保護法（個人データ保護法）の趣旨・目的に反している。
また、法律論を離れても、たとえば4月3日の個人情報保護委員会の有識者ヒアリングでは、横野恵准教授の「医療・医学系研究における個人情報の保護と利活用」との資料13頁の「ゲノムデータの利活用と信頼」においては、一般大衆の考えとして、ゲノムデータの利活用に関する「信頼の醸成に寄与する要素」の２番目に「オプトアウト制度」が上がっている。
したがって、医療データの利用等に関して、患者の本人の同意やオプトアウト制度などの本人関与を廃止する考え方は、一般国民の支持を得られないと思われる。
また、森田名誉教授や鈴木正朝教授、高木浩光氏など、医療データの製薬会社やIT企業などによる利活用を推進する立場の人々は、「日本国民はすべて医療データを製薬会社などに提供し、医療や社会に貢献すべきだ」との考え方を前提としているように思われる。
たしかに患者が医療に貢献することは一般論としては「善」である。しかし、日本は個人の自由意思を原則とする自由主義・民主主義国である（憲法１条、13条）。患者個人が医療や社会に貢献すべきか否かは個人のモラルにゆだねるべき問題であり、ことさら法律で強制する問題ではない。すなわち、患者の医療への貢献などは、自由主義社会においては自由な討論・議論によって検討されるべきものであり、最終的には個人の内心や自己決定にゆだねられるべきものである（憲法19条、13条）。
「日本国民はすべて医療データを製薬会社などに提供し、医療や社会に貢献すべきだ」「そのような考え方を個人情報保護法の改正や新法を制定し、国民に強制すべきだ」「そのような考え方に反対する国民は非国民、反日だ」との考え方は、中国やロシアなど全体主義・国家主義国家の考え方であり、自由主義・民主主義国家の日本にはなじまないものである。
さらに、患者の疾病・傷害にはさまざまなものがある。風邪などの軽い疾病のデータについては、製薬会社などに提供することを拒む国民は少ないであろう。しかし、がんやHIVなど社会的差別のおそれのある疾病や、精神疾患など患者個人の内心（憲法19条）にもかかわる疾病など、疾病・傷害にはさまざまな種類がある。それらをすべて統一的に本人同意を不要とする政府の議論は乱暴である。
したがって、憲法の立憲主義に係る基本的な考え方からも、医療データの一時利用・二次利用について患者の本人の同意を原則として不要とする議論は、個人情報保護法（個人データ保護法）の趣旨・目的に反しているだけでなく、わが国の憲法の趣旨にも反している。以上のような理由から、私は医療データの一時利用・二次利用について患者の本人の同意やオプトアウト等の本人関与の仕組みを原則として不要とする個人情報保護委員会や政府の議論に反対である。

10．その他：プロファイリング・AI法
（該当箇所）
その他（中間整理26頁）
（意見）
プロファイリングによる要配慮個人情報の「推知」を要配慮個人情報の「取得」として法規制すべきである。本人同意または本人関与の仕組みを導入すべきである。また、日本も早期にEUのようなAI法を制定すべきである。
（理由）
2016年のケンブリッジ・アナリティカ事件、最近のイスラエルの軍事AI「ラベンダー」など、プロファイリングの問題は個人情報保護の本丸である。個人情報保護法20条２項は要配慮個人情報の取得については本人同意を必要としているが、プロファイリングによる要配慮個人情報の「推知」、すなわち要配慮個人情報の迂回的取得は法規制が存在しない。これでは本人同意は面倒だと、事業者はプロファイリングによる推知を利用してしまう。
この点、世界的には、EUのGDPR21条はプロファイリングに異議を述べる権利を定め、同22条は完全自動意思決定に服さない権利を規定している。またアメリカのいくつかの州も同様の法規制を置いている。
このように世界的な法規制の動向をみると、日本もプロファイリングによる要配慮個人情報の「推知」を要配慮個人情報の「取得」として法規制すべきである。すなわち、本人同意または本人関与の仕組みを導入すべきである。
また、日本も早期にEUのようなAI法を制定すべきである。

11．顔識別機能付き防犯カメラ（１）
（該当箇所）
「要保護性の高い個人情報の取扱いについて（生体データ）」（中間整理３頁～４頁）
（意見）
生体データに関連し、個人情報保護法16条４項や施行令５条の法改正を行い、顔データは保有個人データであると改正すべきである。
（理由）
生体データに関連し、顔識別機能付き防犯カメラシステムによる誤登録の問題に関して、現行法上、顔識別機能付き防犯カメラシステムによる顔データは、個人情報保護法施行令５条のいずれかの号に該当し、当該顔データは保有個人データではないということになり（個人情報保護法16条４項）、結局、顔識別機能付き防犯カメラを運用する個人情報取扱事業者は個人情報保護法を守る必要がないということになってしまうが、そのような結論は誤登録の被害者の権利利益の保護（法１条、３条、憲法13条）との関係で妥当とは思えない。
そのため個人情報保護法16条４項や施行令５条の法改正を行い、顔データは保有個人データであると改正すべきである。

12．顔識別機能付き防犯カメラ（２）
（該当箇所）
「要保護性の高い個人情報の取扱いについて（生体データ）」（中間整理３頁～４頁）
（意見）
生体データの問題に関連し、顔識別機能付きカメラシステムによる顔データの共同利用については、全国レベルや複数の県をまたがる等の広域利用を行う場合には、個人情報保護委員会に事前に相談を求めることを個情法上に明記すべきではないか。そのために個人情報保護法の法改正等を行うべきでないか。
（理由）
「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会第６回」の議事録５頁に、「そういった観点から、一つ地域というのがメルクマールになると理解している。広域利用に関しては相当の必要性がなければできないとしつつ、個人情報保護委員会に相談があったような場合に対応していくのが１つの落としどころかと感じた。」等との議論がなされているから。 また、宇賀克也『新・個人情報保護法の逐条解説』275頁、園部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』187頁などにおいても、共同利用が許される外延・限界は「一つの業界内」、「一つの地域内」などと解説されており、全国レベルの共同利用や県をまたぐ広域利用、業界をまたぐ共同利用などは個人情報保護法が予定しておらず、本人が自分の個人情報がどこまで共同利用されるのか合理的に判断できないと思われるから。

13．顔識別機能付き防犯カメラ（３）
（該当箇所）
「要保護性の高い個人情報の取扱いについて（生体データ）」（中間整理３頁～４頁）
（意見）
開示・訂正等請求を求める一般人（顔識別機能付き防犯カメラの誤登録の被害者等）が個人情報保護法などにおいて取りうる法的手段（例えば個人情報取扱事業者のウェブサイト上のプライバシーポリシー上の開示・訂正等請求の手続きに従って請求を行う、民事訴訟を提起する等）に関して、個人情報法保護法ガイドライン（通則編）や「個人情報の保護に関する法律についてのガイドラインに関するQ&A」等に一般人にもわかりやすい解説を用意するべきではないか。
（理由）
生体データの問題に関連し、顔識別機能付きカメラシステムの誤登録の被害者が個人情報取扱事業者に顔データの削除などを請求しても事業者から拒否される場合が多い。また誤登録の被害者等は法律のプロではないことが一般的である。
そのため、開示・訂正等請求を求める一般人（防犯カメラの誤登録の被害者等）が個人情報保護法などにおいて取りうる法的手段（例えば個人情報取扱事業者のウェブサイト上のプライバシーポリシー上の開示・訂正等請求の手続きに従って請求を行う、開示・訂正等請求の民事訴訟を提起する等）に関して、個人情報法保護法ガイドライン（通則編）や「個人情報の保護に関する法律についてのガイドラインに関するQ&A」等に一般人にもわかりやすい解説を用意するべきではないか。あるいは一般人向けに開示・訂正等手続きについて解説した「自治会・同窓会等向け会員名簿をつくるときの注意事項ハンドブック」のようなパンフレットを作成すべきではないか。

以上

■関連するブログ記事
・MyData Japan 2024の「George's Bar ～個人情報保護法3年ごと見直しに向けて～」の聴講メモ
・個情委の「３年ごと見直し」における医療データの取扱いに本人同意を不要とする議論に反対する



PR

タグ ：

#個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理

#パブコメ

#個人情報保護委員会

#個人情報

#privacy

#プロファイリング

#こども

#医療データ

#防犯カメラ

#AI

（Microsoftのdesignerで生成）

１．はじめに

つぎの個人情報保護法改正にむけて、個人情報保護委員会が2024年3月6日付で「個人情報保護法いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方①）」（以下「本資料」）を公表しているので、個人的に興味深いと思った部分をまとめてみたいと思います。

本資料は大きく分けて、①生体データの取扱いに係る規律の在り方、②代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方、③不適正取得・不適正利用に係る規律の在り方、④個人関連情報の適正な取扱いに係る規律の在り方、の４つの部分に分かれています。

２．生体データの取扱いに係る規律の在り方

（１）犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について
本資料ではまず、犯罪予防や安全確保のための顔識別機能付きカメラシステム（防犯カメラ）について大きく取り上げられています。


（本資料２頁）

つまり、個情委は「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」（以下「本検討会」）を開催し、2023年3月に報告書「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」（以下「本報告書」）を公表し、個人情報保護法ガイドラインQAの一部改正を行ったとして、同報告書や個情法ガイドラインQAの改正部分について簡単にまとめています。

■関連するブログ記事


本報告書の柱の一つは、"顔識別機能付きカメラシステムはそれだけでは個人が顔識別が行われていると合理的に判断できないため、事業者は店舗等につぎのような「顔識別機能付きカメラシステム作動中」などの掲示等が望ましい"ということだったと思います。


（個人情報保護委員会「個人情報保護法いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方①）」３頁より）

しかし、JRや私鉄のホームや列車内などをみても、このような「顔識別機能付きカメラシステム作動中」との掲示は見たことがありません。やはり、個情法ガイドラインQAなどで「のぞましい」と書くレベルでは不十分であり、個情委は個人情報保護法や同施行規則などに根拠規定をおいて、掲示を事業者に義務付ける必要があるのではないでしょうか。

また、本検討会では顔識別機能付きカメラシステムの「誤登録」の問題（いわゆる「防犯カメラの万引き冤罪被害者の問題」）について、ごくわずかながら触れられていたのですが、それが本報告書にはほとんど盛り込まれていないことは問題だと思います。

そもそもこのような万引き犯DBなどのブラックリストについては、一律で個人情報保護法施行令５条が保有個人データの対象外としてしまっているわけですが（個情法16条４項参照）、そのような法令の規定のあり方は、誤登録された人々の権利利益の保護の観点から大きな問題であり、つぎの個人情報保護法改正の機会に見直しを行ってほしいと思われます。（また、個情法ガイドラインQAにも誤登録の問題に関するQAを追加する等の対応が必要と思われます。）

さらに、本検討会では、万引き犯などに関するブラックリストの個人データを小売業などが全国レベルでデータの共同利用（個情法27条５項３号）を行うことはさすがに共同利用の趣旨目的から行き過ぎであり、そのような共同利用を行うためには事前に個人情報保護委員会への相談を必要とするべきとの議論もなされていたところです。

しかし、本報告書ではそのような記載はなくなってしまっています。この点は、共同利用制度を不当に拡大解釈するものであり、次の個人情報保護法改正で、法令に法的根拠を置いた上で、全国レベルなどの共同利用について個人情報保護委員会への事前申請制度などを新設すべきだと思われます。

（２）生体データの取扱いに関する外国制度等
つぎに本資料では、生体データにかかわる、EUのGDPRやAI規制法などの規定ぶりや、データ保護当局による執行事例が紹介されています。韓国におけるFacebookによる本人同意のない顔識別テンプレートの収集などの事例が掲載されています（９頁）。

（３）生体データの取扱いに関する社会的反響の大きかった事例等
本資料が興味深いのは、「社会的反響の大きかった事例」についても掲載しているところだと思います。生体データに関しては、①2014年のJR大阪駅のカメラ事件、②2021年のJR東日本が駅構内に顔識別機能付き防犯カメラを設置し刑務所からの出所者や不審者等を監視しようとした事件、③渋谷100台AIカメラ設置プロジェクト事件、の３つが掲載されています（本資料10頁）。


（本資料10頁）

■関連するブログ記事

３．代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方

（１）国内の他法令等における主な規律
本資料11頁以下では、「代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方」について取り上げられています。まず本資料11頁では、①独禁法２条９項５号ロや公取委「「デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方」、②金融分野の個人情報保護ガイドラインの与信業務に関する部分、とともに、③職業安定法５条の５および平成11年労働省告示141号、④労働安全衛生法104条、が取り上げられているのが興味深いです。


（本資料11頁より）

とくに労安法104条が、事業者に対して、「労働者の健康の確保に必要な範囲を超えて、労働者の心身の状態に関する情報を収集・保管・使用すること」を原則禁止していることは注目されます。

最近、新型コロナの流行などによりリモートワークが広まっていますが、それと同時に企業側がPCなどにより従業者の集中度合いなどをモニタリングする事例が増えていますが、そのような事例はこの労安法104条との関係で違法とされる可能性があるのではないでしょうか。企業の人事・労務部門や法務部門の方々は今一度確認が必要なように思われます。

■関連するブログ記事


また、本資料12頁は裁判例が掲載されており、①企業が外回りの営業担当者にGPSシステムをつけさせたことが違法とされた事例（東京地判平24.5.31）、②受刑者を７か月にわたり天井に監視カメラのある独房に入れたことが違法とされた熊本刑務所の事例（福岡高判平31.2.21）、の概要が載っています。

さらに、本資料13頁は、①市営住宅の自治会の役員を決めるにあたり、知的障害者の方に自分の病状などを詳細に紙に書かせる等したことが違法とされた裁判例（大阪高判令4.9.2）、②会社の元役員を告訴しようとした従業員に対して人事担当者がその詳細を問いただしたことが違法とされた裁判例（東京地判令5.4.10）、の２つの裁判例が「代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方」に関する裁判例として掲載されていることが興味深いです。このような事例は、これまではあまり個人情報法制に関する問題とは考えられてこなかったと思われますが、個情委は個人情報保護に関する問題ととらえていることがうかがわれます。

本資料に先立つ、令和6年2月21日付の個情委の「個人情報保護法いわゆる３年ごと見直し規定に基づく検討項目」３頁では、個情委の委員の意見の一つに「本人同意があれば何でもよいということではなく、当事者の従属関係等も考慮して、実体的な権利利益保護の在り方を検討すべき」との意見が掲載されていますが、本資料の「代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方」の部分は、このような個情委の問題意識を反映したものと考えられます。


（個情委2024年2月21日付「個人情報保護法いわゆる３年ごと見直し規定に基づく検討項目」３頁より）

現状の日本の個人情報保護法においては、本人の同意さえあれば個人情報の目的外利用や第三者提供、要配慮個人情報の収集や第三者提供等が合法となっており、さらに「同意」についても口頭でもよく、さらに医療分野においては「黙示の同意」も許されるなどと非常にゆるい規律がなされているわけですが、次の個人情報保護法改正では、個人の権利利益保護のため、これらの部分の規律が強まるのかもしれません。

（２）代替困難と評価し得る者による個人情報の取扱いに関する海外における主な執行事例等
この部分においては、GoogleやFacebookなどの、本人同意のない個人データのターゲティング広告などへの利用などに対する各国のデータ保護当局による執行事例などが掲載されています（本資料14頁、15頁）。

（３）代替困難と評価し得る者による個人情報の取扱いに関連する個人情報保護法に基づくこれまでの行政上の対応
この部分については１ページを丸々使って2019年の就活生の内定辞退予測データに関するリクナビ事件を取り上げています。まさにAIとプロファイリング、そして個人関連情報や個人情報の不適正利用に関する重要な事件といえます（本資料16頁）。


（本資料16頁）

■関連するブログ記事

４．不適正取得・不適正利用に係る規律の在り方

（１）不適正取得・不適正利用に係る個人情報保護法に基づくこれまでの行政上の対応
この部分においては、①破産者マップ事件、②名簿屋への個人情報の第三者提供に関する有限会社ビジネスプランニング事件、などが掲載されています（19頁）。

（２）個人情報の取扱いの適正性に関連する国内の主な他法令の規律（概要）
この部分については、①公益通報者保護法11条２項、②障害者差別解消法８条１項、③特定商取引法7条１項５号、などが掲載されています（20頁）。ただ、③についてはいわゆる適合性原則に関するものなので、金融商品取引法40条なども掲載したほうがよかったのではと思いました。

（３）個人情報の取扱いの適正性に関連する主な裁判例
この部分においては、①トランスジェンダーの方が経営する会社が会員制ゴルフクラブに入会しようとしたところ入会を拒否されたことは違法であるとされた裁判例（東京地判平27.7.1）、②東京医大など医学部不正入試事件（東京高判5.5.30）、などが掲載されています（21頁、22頁）。

これらの事件は、従来はあまり個人情報保護法制上の論点とはされていなかったと思われますが、「データによる個人の選別・差別」の問題ということはできます。近年、「関連性のないデータによる個人の選別・差別」が個人情報保護法（個人データ保護法）の趣旨・目的であるとする情報法制研究所の高木浩光氏などの学説が影響しているのかもしれません。

なお、本資料24頁には、アメリカ・イギリスにおける選挙・民主政との関係で大きな問題となった、ケンブリッジ・アナリティカ事件も掲載されています。

いずれにせよ、現状の不適正利用禁止の条文は抽象的で個情委としても執行しにくいと思われますが、つぎの個人情報保護法改正では、不適正利用禁止の条文をより具体化し、AIやプロファイリングの問題などに対して発動しやすくしていただきたいと思います。

５．個人関連情報の適正な取扱いに係る規律の在り方

「個人関連情報の取扱いに起因する個人の権利利益の侵害に関連する主な裁判例」（本資料27頁）の部分では、さいたま市の公立学校の体罰事故報告書の開示請求に関する裁判例（東京高判令4.9.15）などが掲載されています。報告書のなかの自己の状況などが非開示情報となるか否かが争点となっています。


（本資料27頁）

個人関連情報の話とはややずれますが、この東京高判令4.9.15については、「「特定の個人を識別することはできないが、公にすることにより、なお個人の権利利益を害するおそれがあるもの」とは、本人の財産権等の正当な権利利益が害されるおそれのあるものや、個人の人格と密接に関連しており、当該個人がその流通をコントロールすることが可能であるべきであり、本人の同意なしに第三者に流通されることが適切でないものなどの社会通念上秘匿性の高い法的保護に値する情報をいう」と判示しているところ、下線部分が日本の憲法上のプライバシーの趣旨・目的の通説的立場である自己情報コントロール権的である点が興味深いと思いました。

■このブログ記事が面白かったらシェアやブックマークをお願いします！



PR

タグ ：

#AI

#プロファイリング

#security

#privacy

#個人情報

#個人情報保護法いわゆる3年ごと見直し規定に基づく検討

#PPC

#防犯カメラ

#不適正利用の禁止

#個人関連情報

１．「渋谷100台AIカメラ設置プロジェクト」
最近、X（Twitter）上で「渋谷100台AIカメラ設置プロジェクト」というものが話題となっています。これは、報道によると、Intelligence Design株式会社が、一般社団法人渋谷未来デザイン、一般社団法人渋谷再開発協会と共に、渋谷駅周辺に100台のAIカメラを設置して、リアルタイムで人流データなどの取得・解析を行い、それらのデータをオープンデータ化するものであると説明されています。本プロジェクト開始は、2023年7月開始を予定しているとのことです（exciteニュース「渋谷駅周辺にAIカメラ100台設置！人流データを解析し、イベント混雑時の警備問題の解決へ」より）。

つまり本プロジェクトは、防犯対策や事業者のマーケティングのために幹線道路の交通量や各種商業施設への入店客数などのリアルタイムの利用者の属性情報や滞在時間などの人流データを複合的に分析・可視化したデータを利用するものであり、このデータを各協賛事業者が利用できる形で渋谷の事業者や商店街などに還元するものであるそうです。

２．これは個人情報・個人データなのでは？
個人情報保護委員会（PPC）の個人情報保護法ガイドラインQ&A1-12は、人流データについて「特定の個人を識別することができる情報と容易に照合することができる場合を除き、個人情報には該当しません。 」と規定しています。そのため人流データは原則として個人情報ではありません。

しかし「渋谷100台AIカメラ設置プロジェクト」サイトをみるとつぎのような図が掲げられています。

（「渋谷100台AIカメラ設置プロジェクト」サイトより）

つまり、「オフライン顧客の見える化」として「カメラ100台（による）通年の行動データがリアルタイムで蓄積」とあり、ある男性の画像の下に「40代男性、同席者有り（30代女性）、ブランドAを着用/所持、休日12時より渋谷に銀座線で到着、ヒカリエでランチ、明治通りを通り宮下パークへ低速で移動（ショッピング目的を想定）、月３回目・・・」等と記述があります。

このようにAIカメラにより、属性情報が連続的に蓄積されれば、たとえその本人の氏名などは分からないとしても、「あの人、この人」と特定の個人を識別できるので、これは個人情報であるといえます（個情法2条１項１号）。またこの属性情報には顔画像も添付されているので、これも特定の個人を識別できるといえます。（なおID社サイトをみるとAIカメラで取得した顔画像はすぐに廃棄するとありますが、そうであるとしてもAIカメラで顔画像から取得された顔識別データは個人情報・個人データです。）

ところが「渋谷100台AIカメラ設置プロジェクト」サイトのあるIntelligence Design社（ID社）のプライバシーポリシーの「利用目的」の部分をみると、「渋谷100台AIカメラ設置プロジェクト」で収集されたデータについては何の記載もありません。
（ID社のプライバシーポリシーより）

つまり、ID社はこれを個人情報と認識していないのではないかと思われます。しかしこれは上でみたように個人情報であり、体系的に構成されたDBに収録された場合には個人データです。個人データであるとした場合、ID社には安全管理措置の責務（法23条）やデータを第三者提供する際の本人同意の取得の義務（法27条１項）などが課されます。この点、ID社の認識には誤りがあるのではないかと思われます。

また、このAIカメラは顔識別機能付きカメラシステムであり、マーケティング目的および防犯目的であることからPPCの個人情報保護法ガイドラインQ&A1-14や経産省・総務省の商用カメラ向けの「カメラ画像利活用ガイドブックver3.0」に準拠して、「利用目的、運用主体、同システムで取り扱われる個人情報の利用目的、問い合わせ先、さらに詳細な情報を掲載したWebサイトのURL又はQRコード等を店舗の入口や、カメラの設置場所等に掲示すること」等が要請されますが（個情法21条１項）、少なくとも「渋谷100台AIカメラ設置プロジェクト」サイトを見る限りは、ID社はこれらの責務を果たしていないようです。

３．カメラやAIに関する立法措置などが必要なのではないか
この渋谷100台AIカメラ設置プロジェクトについてX（Twitter）上では「まるで中国のようだ」「もう渋谷には行きたくない」などの声が多く寄せられています。

この点EUはAI規制法案で、警察などの行政機関による公共空間でのAIを用いた防犯カメラの利用を原則禁止の「禁止のAI」の分類にカテゴライズしています。また欧州評議会は2021年に「顔認証に関するガイドライン」を策定・公表しましたが、同ガイドラインは「顔認証は、管理された環境下でのみ行われるべきであり、マーケティング目的や私的なセキュリティ目的のために、ショッピングモールのような管理されていない環境では、顔認証技術を使用すべきではない」としています（個人情報保護委員会「顔識別機能付き防犯カメラの利用に関する国内外動向」より）。

日本では上でみたように防犯カメラ・商用カメラはPPCおよび経産省・総務省のガイドラインを遵守すれば合法な状況ですが、この「渋谷100台AIカメラ設置プロジェクト」などにみられるような現在の状況に合っていないのではないでしょうか。日本でもEUのようなAIやカメラに関する立法やガイドライン・指針の策定が求められるように思われます。

このブログ記事が面白かったらシェアやブックマークをお願いします！

■追記（9月6日）
Intelligence Design社（ID社）が9月5日付で「HP記載内容の修正について」とのリリースを公表しています。同リリースは「当社が収集するデータは、総務省の定める「カメラ画像利活用ガイドブック」に従った人流に関する属性情報およびこれに基づく統計情報となります。よって、個人情報保護法の定義する個人情報には該当しないものと認識しております。」等と記載されており、同社は自社が収集しているデータは個人情報ではないとの考えのようです。

・HP記載内容の修正について｜Intelligence Design

ところでID社は同社のシステムは経産省・総務省の「カメラ画像利活用ガイドブックver3.0」に準拠していると主張しているわけですが、にもかかわらず同社サイトを見る限り、「カメラ画像利活用ガイドブックver3.0」が求めている、”商用カメラの利用にあたっては事業者はつぎのような事項を掲示やウェブサイトなどで通知・公表せよ”としている事項の通知・公表を行っていないことは、同ガイドブック違反であると思われます。


（経産省・総務省「カメラ画像利活用ガイドブックver3.0」35頁より）

なお、上の9月5日付のリリースではID社は同社のAIカメラによる取組みはあくまでも商用が目的であると主張しています。しかし、9月6日のFNNプライムオンラインの「【物議】渋谷に“AIカメラ”100台設置し行動を検知　防犯に期待の一方“懸念”も…若狭弁護士「個人情報保護法違反になりかねない」」では、同社の取引先である渋谷センター商店街振興組合の幹部の方は、「（繁華街は）騒動が起きやすい場所なので、そういう点では防犯上の抑止力になるのではないかと。」と防犯が目的でもあると発言しています。

この点は矛盾であり、ID社のこの渋谷のAIカメラを利用した取組みは法的に大丈夫なのか疑問が残ります。

■関連するブログ記事
・防犯カメラ・顔識別機能付きカメラシステムに関する個人情報保護法ガイドラインQAの一部改正について
・個人情報保護委員会の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書（案）」に関するパブコメ結果を読んでみた
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた（追記あり）

■関連するニュース記事
・渋谷に「AIカメラ」100台設置→通行人の行動履歴監視？　IT企業施策に「完全にストーカーやん」と物議　サイト表記訂正



PR

タグ ：

#渋谷100台AIカメラ設置プロジェクト

#IntelligenceDesign

#個人情報

#security

#privacy

#AI

#顔識別

#カメラ

#防犯カメラ

#これはひどい