なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:AI

display_monitor_computer
2020年(令和2年)の個人情報保護法改正に関するガイドライン改正に関するパブコメを、2021年6月18日まで個人情報保護委員会が実施していたため、意見を少しだけ書いて提出してみました。

■関連する記事
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集について|e-GOV

1.個人関連情報に関してGoogleの「FLoC」などについて
(該当箇所)
個人情報保護法ガイドライン(通則編)89頁

(意見)
「【個人関連情報に該当する事例】」の「事例1)Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴」に、最近、GoogleがCookieに代わり導入を開始した「FLoC」などの新しい手法により収集された、ある個人のウェブサイトの閲覧履歴等も含まれることを明記すべきである。

(理由)
個人情報保護法26条の2は、2019年のいわゆるリクナビ事件を受けて、個人情報保護法を潜脱するような、本人関与のない個人情報の収集方法が広まることを防止するために、ユーザーの閲覧履歴、属性履歴、移動履歴などのデータを第三者に提供する場合に、提供先で個人データとなることが想定される場合には、個人データの第三者提供に準じる規制を課すことにより、個人のプライバシーなどの権利利益を保護(法1条、3条)するものである。

そのため、個人情報保護法を潜脱するように、CookieでなくGoogleの「FLoC」などの新しい手法を利用することにより、本人関与のない個人情報の収集方法が広がることを防止し、国民の個人の尊重、個人のプライバシー、人格権(憲法13条)などの個人の権利利益を保護(法1条、3条)するために、Cookie等だけでなく、「FLoC」などの新しい手法も個人関連情報に該当することを、包括的に個人情報保護法ガイドライン等に明記すべきである。

2.不適正利用の禁止(法16条の2)とAI・コンピュータによるプロファイリングについて
(該当箇所)
個人情報保護法ガイドライン(通則編)30頁

(意見)
不適正利用の禁止(法16条の2)に関する個人情報保護法ガイドライン(通則編)30頁の「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に、「AI・コンピュータの個人データ等の自動処理(プロファイリング)の行為のうち、個人の権利利益の侵害につながるもの」を明示すべきである。

(理由)
本人の認識や同意なく、ネット閲覧履歴、購買履歴、位置情報・移動履歴やSNSやネット上の書き込みなどの情報をAI・コンピュータにより収集・分析・加工・選別等を行うことは、2019年のいわゆるリクナビ事件や、近年のAI人材会社を標ぼうするネット系人材紹介会社等の実務のように、本人が予想もしない不利益を被る危険性がある。このような不利益は、差別を助長するようなデータベースや、違法な事業者に個人情報を第三者提供するような行為の不利益と実質的に同等であると考えられる。

また、日本が十分性認定を受けているEUのDGPR22条1項は、「コンピュータによる自動処理のみによる法的決定・重要な決定の拒否権」を定め、EUが2021年4月に公表したAI規制法案も、雇用分野の人事評価や採用のAI利用、教育分野におけるAI利用、信用スコアなどに関するAI利用、出入国管理などの行政へのAI利用などへの法規制を定めている。

この点、日本の2000年労働省「労働者の個人情報保護の行動指針」第2、6(6)や厚労省の令和元年6月27日労働政策審議会労働政策基本部会報告書「~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」9頁10頁および、いわゆるリクナビ事件に関する厚労省の通達(職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運営について」)等も、電子機器による個人のモニタリング・監視に対する法規制や、AI・コンピュータのプロファイリングに対する法規制およびその必要性を規定している。

日本が今後もEUのGDPRの十分性認定を維持し、「自由で開かれた国際データ流通圏」政策を推進するためには、国民の個人の尊重やプライバシー、人格権(憲法13条)などの個人の権利利益を保護するため、AI・コンピュータによるプロファイリングに法規制を行うことは不可欠である。

したがって、「AI・コンピュータの個人データ等の自動処理(プロファイリング)の行為のうち、個人の権利利益の侵害につながるもの」を「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に明示すべきである(「不適正利用の禁止義務への対応」『ビジネス法務』2020年8月号25頁参照)。

3.要配慮個人情報と図書館の図書の貸出履歴・本の購買履歴などの推知情報について
(該当箇所)
個人情報保護法ガイドライン(通則編)12頁

(意見)
「次に掲げる情報を推知させる情報にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない」を、「次に掲げる情報を推知させる情報(例:宗教に関する書籍の購買や貸出しに係る情報等)も、要配慮個人情報に該当する」と変更すべきである。

(理由)
令和元年12月13日付個人情報保護委員会「個人情報保護法いわゆる3年ごと見直し制度改正大綱」16頁が「昨今の急速なデータ分析技術の向上等を背景に、潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用の携帯がみられ、個人の懸念が高まりつつある」と指摘するように、近年のAI・コンピュータ等によるプロフィリングの分析技術等の向上は、2019年のいわゆるリクナビ事件などにもみられるとおり、ネット閲覧履歴、購買履歴、位置情報・移動履歴などの「要配慮個人情報を推知させる情報」のデータを分析・加工することにより、本人の内定辞退予測データなど、個人の思想・信条などの要配慮個人情報や内心の自由(憲法19条)などに関する情報を取得することを可能にしており、国民の個人の尊重やプライバシー権の保護、人格権の保護(憲法13条)などの個人の権利利益の保護(個人情報保護法1条、3条)の観点から、「要配慮個人情報を推知させる情報」を法的に放置しておくべきではない(平成30年第196国会・衆議院『衆議院議員松平浩一君提出プロファイリングに関する質問に対する答弁書』参照)。

とくに図書館の図書等の貸出履歴や商品購入履歴・サービス利用履歴などについては、図書館や共通ポイント運営事業者などに対して、警察による捜査関係事項照会による提出要請などが広く行われており、個人の側の懸念が強まっている(2020年12月23日札幌弁護士会「捜査関係事項照会に対する公立図書館等の対応に関する意見」参照)。

したがって、国民の個人の権利利益の保護(法1条、3条)のために、「要配慮個人情報を推知させる情報」についても要配慮個人情報に含めるために、「次に掲げる情報を推知させる情報(例:宗教に関する書籍の購買や貸出しに係る情報等)も、要配慮個人情報に該当する」と変更すべきである。

4.個人関連情報と図書館の図書の貸出履歴・利用履歴などについて
(該当箇所)
個人情報保護法ガイドライン(通則編)90頁

(意見)
「個人関連情報に該当する事例」の「事例3)ある個人の商品購買履歴・サービス利用履歴」に、「ある個人の公共図書館、学校図書館、専門図書館および私設図書館などの図書館等の図書等の貸出履歴を含む図書館の利用履歴(利用事実)」も「個人関連情報に該当する事例」として明記すべきである。

(理由)
個人情報保護法26条の2は、2019年のいわゆるリクナビ事件を受けて、個人情報保護法を潜脱するような、本人関与のない個人情報の収集方法が広まることを防止するために、ユーザーの閲覧履歴、属性履歴、移動履歴などのデータを第三者に提供する場合に、提供先で個人データとなることが想定される場合には、個人データの第三者提供に準じる規制を課すことにより、個人のプライバシーなどの権利利益を保護(法1条、3条)するものである。

図書館の貸出履歴は、ある個人の思想・信条、趣味・嗜好、関心事など個人の内心に関する要配慮個人情報を推知させる重要な情報である。そのため、「商品購入履歴・サービス利用履歴」「位置情報」などとともに、個人関連情報に該当することをガイドライン等に明示すべきである。

図書館の図書等の貸出履歴等を含む利用履歴(利用事実)については、日本図書館協会の「図書館の自由に関する宣言」が「図書館は利用者の秘密を守る」として「憲法第35条にもとづく令状」による照会以外の場合には照会への回答を拒否することを明示しているが、近年の新聞報道や札幌弁護士会の2020年12月23日「捜査関係事項照会に対する公立図書館等の対応に関する意見」等によると、近年、警察の捜査関係事項照会(刑事訴訟法197条2項)など令状によらない任意の照会が図書館に多く実施され、一部の図書館がそれに対して回答を実施しているとのことである。

また、共通ポイントのTポイントによる個人データのデータマーケティングビジネスを運営するCCCカルチュア・コンビニエンス・クラブ株式会社は、指定管理者として武雄市図書館などのいわゆるツタヤ図書館を運営しているが、このツタヤ図書館などにおいては、利用者の貸出履歴などの個人情報・個人データが個人情報保護法を潜脱してCCC社により同社のデータマーケティングビジネスに利用されているのではないかと疑われている。そしてCCC社など大量の国民の個人情報・個人データを保有する企業に対しても、警察が捜査関係事項照会などの令状によらない任意の方法で情報の提供を求めている実態がある(日経新聞2019年1月20日「Tカード情報令状なく提供 規約明記せず、会員6千万人超」参照)。

さらに最近、法政大学などの一部大学が、同大学の図書館の貸出履歴・利用履歴等のデータを、利用者の貸出等が終了した後も保存し、さまざまな用途に利活用する方針を発表し、教職員や学生などの関係者や有識者、国民から大きな批判を受けている。

この点、法26条の2は、個人情報保護法を潜脱するような、本人関与のない個人情報の収集方法が広まることを防止するために、ユーザーの閲覧履歴、属性履歴、移動履歴などを個人関連情報と定義し、個人データの第三者提供に準じる規制を課すことにより、個人の尊重・個人のプライバシー・人格権など(憲法13条)の個人の権利利益を保護(法1条、3条)するものである。

したがって、閲覧履歴、属性履歴、位置情報・移動履歴などと同様に、個人の思想・信条・内心などの要配慮個人情報や、個人のプライバシーのとりわけ重要な部分を推知させる情報である、図書館の図書等の貸出履歴を含む図書館の利用履歴(利用事実)も、個人の権利利益を保護するために「個人関連情報」に該当することを明示すべきである。

5.本人からの開示請求や利用停止等の請求への対応が難しいデータについて、仮名加工情報に加工するなど、個人情報保護法を潜脱する目的で仮名加工情報を取扱ってはならないことについて
(該当箇所)
個人情報保護法ガイドライン匿名加工情報編11頁・個人情報保護法ガイドライン(通則編)17頁


(意見)
ガイドライン匿名加工情報編11頁「仮名加工情報の取扱いに係る義務の考え方」の部分またはガイドライン通則編17頁の「2-10匿名加工情報」の部分などに、「本人からの開示請求や利用停止等の請求への対応が難しいデータについて、仮名加工情報に加工して保有・利用するなど、個人情報保護法を潜脱する目的で仮名加工情報を取扱ってはならない」と明示すべきである。

(理由)
一部の有識者の見解に、「仮名加工情報は、法15条2項、法27条から34条までの規定は適用されないため、本人からの開示請求や利用停止等の請求への対応が難しいデータについて、仮名加工情報に加工して保有・利用することが有力な解決策となる」と指南しているものが見られる(「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号34頁参照)。

このような仮名加工情報の取扱は、仮名加工情報の新設の趣旨を没却し、個人情報保護法を潜脱する脱法的なものであるから、このような行為を禁止する注意書きをガイドライン等に明示すべきである。

6.AI・コンピュータなどのプロファイリングにより取得したデータも個人情報に該当することについて
(該当箇所)
個人情報保護法ガイドライン(通則編)11頁

(意見)
「【個人情報に該当する事例】」の部分に、「AI・コンピュータなどのプロファイリングにより取得した情報・データも法2条1項の個人情報の定義に当てはまる場合は、個人情報に該当する」ことを明示すべきである。

(理由)
最近、「日本の個人情報保護法上、プロファイリングによって取得した情報は「個人情報」には該当しない」などの誤った見解が日本の公的機関の文書などに散見されるため(日銀ワーキングペーパー論文『プライバシーの経済学入門』(2021年6月3日)16頁など)。

■関連する記事
・個人情報保護委員会は図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?ーAI・プロファイリング・データによる人の選別
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・Github利用規約や厚労省通達などからSNSなどをAI分析するネット系人材紹介会社を考えた
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・データによる人の選別
・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた
・苫小牧市立中央図書館が警察の任意の要請により貸出履歴等を提供したことを考える
・Tポイントの個人情報がCCCから任意の照会で警察に提供されていたことを考える

■参考文献
・佐脇紀代志『一問一答令和2年改正個人情報保護法』34頁、62頁
・田中浩之・北山昇「不適正利用の禁止義務への対応」『ビジネス法務』2020年8月号25頁
・「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号34頁
・労働政策審議会労働政策基本部会 報告書 ~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~|厚労省
・厚労省通達・職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運営について」
・令和元年12月13日付個人情報保護委員会「個人情報保護法いわゆる3年ごと見直し制度改正大綱」16頁
・平成30年第196国会・衆議院『衆議院議員松平浩一君提出プロファイリングに関する質問に対する答弁書』|衆議院
・札幌弁護士会「捜査関係事項照会に対する公立図書館等の対応に関する意見」
・日経新聞2019年1月20日「Tカード情報令状なく提供 規約明記せず、会員6千万人超」
・Googleが進める代替技術「FLoC」が問題視されている理由とは?|マイナビニュース













このエントリーをはてなブックマークに追加 mixiチェック

日銀サイト
1.日銀の『プライバシーの経済学入門』
本年6月に日本銀行がウェブサイト上で公表した論文『プライバシーの経済学入門』16頁が、日本個人情報保護法上、「プロファイリングによって取得した情報は「個人情報」には該当しないと記述していることがネット上で大きく注目されています。

この論文『プライバシーの経済学入門』は、2021年6月3日付で日本銀行ウェブサイトに公開された日本銀行決済機構局の方々によるものとされています。

すなわち、『プライバシーの経済学入門』16頁は、つぎのように記述しています。
(日本の個人情報保護法において、)『学説上解釈の余地があるとされているものの、推論(プロファイリング)によって取得した情報は、「個人情報」には該当しないと解されているためである(宇賀2018)。この前提によった場合、プラットフォーマーが人々の個人情報を類推した結果を第三者に提供したとしても、個人情報保護法には違反していないと考えられる』(日本銀行『プライバシーの経済学入門』16頁)

日銀『プライバシーの経済学入門』16頁
(日本銀行『プライバシーの経済学入門』16頁より)
・「プライバシーの経済学入門」|日本銀行

つまり、日銀の本論文においては、日本の個人情報保護法上、「推論(プロファイリング)によって取得した情報は、「個人情報」には該当しないと解されているためである(宇賀2018)』としています。

そして、本論文の文末の脚注をみると、「(宇賀2018)」とは、個人情報保護法の著名な学者であり最高裁判事の宇賀克也先生の『個人情報保護法の逐条解説 第6版』であることが示されていますが、具体的には宇賀先生のこの本のどの部分であるかは示されていません。(執筆者の方々は、あまり学術的な論文に親しくないのかもしれません。)

私も宇賀先生のこの『個人情報保護法の逐条解説 第6版』を見直してみたのですが、よくわからなかったため、日銀に問い合わせてみたところ、回答をいただきました。

2.日銀の回答
日銀の回答の概要はつぎのとおりでした。

1.宇賀克也『個人情報保護法の逐条解説 第6版』の個人情報保護法2条の定義における「個人情報」の定義の解説にあるとおり、プロファイリング(推論)によって得られた情報は、個人情報に該当するかは明示されていない。

2.同書143頁は、『本人の同意なしにプロファイリングによって要配慮個人情報を新たに生み出すことは、要配慮個人情報の「取得」に当たると解すべきかという重要な解釈問題が存在する』と、論点であると指摘している。

3.プロファイリングにより取得した情報が要配慮個人情報に該当するか否かについては、平成30年の衆議院の質問主意書に対する政府回答が、「「個人情報保護法ガイドライン(通則編)」2-3が、同ガイドライン2―3(1)から(11)までに掲げる情報を推知させる情報にすぎないものについては、要配慮個人情報に含まれないとしており、個人情報取扱事業者が同ガイドライン2―3(1)から(11)までに掲げる情報を推知させる情報にすぎないものを取得することは、同法第十七条第二項の規定により制限されるものではない」と否定している。

4.そのため、『プライバシーの経済学入門』16頁は、プロファイリングで取得した情報に対する法的保護に不明確性があることを簡潔に記載し、個人情報保護法について概括的に扱った参考図書として宇賀先生の教科書を挙げたものである。

3.検討
(1)プロファイリングによって得られた情報は個人情報に該当しないのか?
まず、日銀の回答の1.については、個人情報保護法2条1項1号は、「個人情報」の定義について、「個人情報」とは、生存する個人に関する情報であって、(略)当該情報に含まれる氏名、生年月日その他の記述等(略)により特定の個人を識別することができるもの」としています。

そして、宇賀克也『個人情報保護法の逐条解説 第6版』(以下「宇賀・前掲」とする)37頁は、『「個人に関する情報」とは、個人の属性・行動、個人に関する評価、個人が創作した表現等、当該個人と関係するすべての情報が含まれる。公知の情報であるか否かを問わないし、情報の存在形式も、文字情報に限られ』ないと解説しています。

つまり、個人の属性・行動、個人に関する評価情報などの、当該個人と関係するすべての情報が「個人に関する情報」です。

そして、宇賀・前掲37頁は、「特定の個人を識別することができるもの」について、「誰か一人の情報であることが分かることを意味し、特定の個人を識別できるとは、識別される個人が誰か分かることを意味する」と解説しています。

この点、これも著名な個人情報保護法の実務書・解説書である、岡村道久『個人情報保護法 第3版』70頁は、「「特定の個人を識別」について、「防犯カメラ画像等によって特定の個人の顔が、いわば「この人」であると識別しうる場合には、当該個人の実名等が不明であっても、本要件を満たす」としています。

そのため、「個人の属性・行動、個人に関する評価情報などの、「個人に関する情報」(当該個人と関係するすべての情報)」であって、実名等が不明でも「この人、あの人」であると「特定の個人を識別できる情報」は、個人情報保護法上の「個人情報」です(法2条1項、鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』18頁)。
個人情報の定義『ニッポンの個人情報』
鈴木正朝・高木浩光・山本一郎「「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編)」EnterpriseZineより

すなわち、「プロファイリング(推論)によって得られた情報」が、「個人の属性・行動、個人に関する評価などの、当該個人と関係するすべての情報」、つまり「個人に関する情報」であり、かつ、「実名等が不明でも「この人、あの人」であると「特定の個人を識別できる情報」である場合は、当該情報は個人情報保護法上の「個人情報」に該当します(法2条1項1号)。

したがって、「プロファイリング(推論)によって得られた情報は、個人情報に該当するかは明らかでない」とする日銀の見解は正しくないのではないかと思われます。

(2)平成30年の衆議院の「プロファイリングに関する質問に対する答弁書」について
つぎに、日銀の回答の2.の、平成30年の衆議院の「プロファイリングに関する質問に対する政府答弁書」とは、衆議院サイトなどで調べてみると、平成30年の第196国会の『衆議院議員松平浩一君提出プロファイリングに関する質問に対する答弁書』(以下「本政府答弁書」とする)であると思われます。
・平成30年第196国会『衆議院議員松平浩一君提出プロファイリングに関する質問に対する答弁書』|衆議院

この本政府答弁書に先立つ衆院議員の松平浩一氏の質問書によると、松平氏は、おおむね、「個人情報保護委員会のガイドライン等を参照すると、個人情報保護委員会は、ある情報が要配慮個人情報について推知させるものであっても、推知情報にとどまる限り、あらかじめの本人の同意なく当該情報を取得・利用することは法17条2項との関係で問題がないという整理をしていると思われるが、そのような理解でよいか。」という質問と、「「推知された情報が要配慮個人情報に準ずるもの」および「推知された情報が、推知のレベルを超えて、ある個人の要配慮個人情報と実質的に同等と評価できる情報」の場合には、やはり本人の同意が必要ではないか」という質問をしています。

これに対して政府答弁書は、前者の質問については、個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」2-3が、「なお、次に掲げる情報(=要配慮個人情報)を推知させる情報にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない。」としていることを受けて、「要配慮個人情報を推知させる情報にすぎないもの(推知情報)は要配慮個人情報ではないから、個人情報取扱事業者が推知情報を取得することは、個人情報保護法17条2項違反とならない」と答弁しています。

そして後者の質問について本政府答弁書は、「お尋ねの「一定の場合には推知された情報が要配慮個人情報に準ずる」こと及び「推知される情報が、推知のレベルを超えて、ある個人の要配慮個人情報と実質的に同等と評価できる場合」の意味するところが明らかではないため、お答えすることは困難である」と答弁しています。つまり政府はこの点をうまく回答を避けています。

すなわち、本政府答弁書は、「推知情報は要配慮個人情報ではないので、推知情報を個人情報取扱事業者が本人の同意を得ずに取得することは、法17条2項との関係では問題ない」と言っているだけであり、日銀の回答の2.のように「プロファイリングにより取得した情報が要配慮個人情報に該当」することを「否定」しているわけではありません。

この点は、日銀の『プライバシーの経済学入門』は、松平浩一・衆院議員のプロファイリングに関する質問書とそれに対する政府答弁書における、要配慮個人情報と、「推知情報」と、「「推知された情報」が要配慮個人情報に準ずる場合」および「「推知された情報」が「要配慮個人情報と実質的に同等となる場合」」の3つの用語・概念を混同しているのではないかと思われますが、いずれにしても、本政府答弁書は「推知された情報」が「要配慮個人情報と実質的に同等となる場合」等については回答を避けています。

したがって、わが国の政府は「「プロファイリングにより取得した情報が要配慮個人情報に該当」することを「否定」している」との日銀の理解は、これも正しくないと思われます。

なお、この点、岡本・前掲191頁は、要配慮個人情報の取得や利用について、法17条2項5号の「本人が自分のTwitterブログなどで自ら公開していた場合」などにおいても、「本人以外の第三者が、本人の同意を得ることなく、当該本人がインターネット上で公開している情報から本人の信条犯罪歴等に関する情報を取得し、既に保有している当該本人に関する情報の一部として、自己のデータベース等に登録することは、本17条2項違反となる」としています。

さらに、要配慮個人情報を合理的な理由なく事業者等が取り扱うことは、個人情報保護法以外にも、プライバシー権侵害として不法行為(民法709条)による損害賠償責任が成立する可能性があることも指摘されています(岡村・前掲191頁)。

4.結論
このように、「日本の学説上、プロファイリングによって得られた情報は個人情報保護法上の「個人情報」に該当するか否かは明確でない」という点は正しくなく、また、わが国の政府は、「「プロファイリングにより取得した情報が要配慮個人情報に該当」することを「否定」している」という点も正しくありません。

そのため、そのような日銀のわが国の個人情報保護法に関する理解を前提とした、日銀『プライバシーの経済学入門』16頁の、「日本の学説上、推論(プロファイリング)によって取得した情報は、「個人情報」には該当しないと解されている(宇賀 2018)」という記述は誤りであると思われます。

同時に、それを前提とした、本日銀論文の『この前提によった場合、プラットフォーマーが人々の個人情報を類推した結果を第三者に提供したとしても、個人情報保護法には違反していないと考えられる』も、やはり誤りであると思われます。

上で検討したように、日本の個人情報保護法においても、プラットフォーマー等が、プロファイリングして類推した情報も、個人の属性・行動、個人に関する評価などの、当該個人と関係するすべての情報が「個人に関する情報」であり、かつ、実名等が不明でも「この人、あの人」であると識別できる情報は、やはり「個人情報」に該当するので、そのような「個人情報」に該当する「プロファイリングにより類推した情報」を、当該プラットフォーマーなどの個人情報取扱事業者が第三者に提供する場合には、やはり法23条1項により、当該情報の本人の同意が必要となり、本人の同意のない第三者提供は個人情報保護法違反となります。

そして、そのようなそのような「個人情報」に該当する「プロファイリングにより類推した情報」が、「要配慮個人情報」(法2条3項)に該当する場合には、やはり法17条2項が規定するとおり、「法令に基づく場合」(法17条2項1号)などの例外規定に該当する場合以外は、やはり「あらかじめ本人の同意」を得て取得することが必要となります。また、要配慮個人情報をオプトアウト方式で第三者提供することは禁止されていますので(法23条2項かっこ書き)、やはり要配慮個人情報を第三者提供する場合には、個人情報取扱事業者は本人の同意が必要となります(法23条1項)。

本論文は、わが国の中央銀行である日本銀行が公表した、個人情報・プライバシーとプロファイリングなどの先端分野に関する論文として、ITやDX、情報セキュリティなどの関係者の方々や関係する政府機関や金融機関の方々、個人情報保護法や情報法などに関する学者・研究者の方々から注目されている論文であると思われ、ITやデジタル化などに関する専門サイト等もすでに取り上げているところです。そのため、日銀は本論文の該当部分の訂正などを行うべきではないでしょうか。

■補足
AIやコンピュータのプロファイリングについては、最近、EUのGDPR22条の「コンピュータによる個人データの自動処理(プロファイリング)による法的決定・重要な決定の拒否権」(プロファイリング拒否権)や同じくEUが本年4月に公表したAI規制法案などが注目されています。

この考え方は、コンピュータの発展を受けた1970年代頃からの、「コンピュータのデータによる人間の選別・差別の危険」への問題意識を受けたものですが(高木浩光「個人情報保護から個人データ保護へ」『情報法制研究』2巻75頁)、日本においても、2000年の労働省「労働者の個人情報保護に関する行動指針」第2、6(6)で規定が置かれ、その後も2019年6月の厚労省の『労働政策審議会労働政策基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~』9頁以下も同様の問題を指摘しており、リクナビ事件を受けた2019年9月の厚労省の通達「募集情報等提供事業等の適正な運営について」「学生等の他社を含めた就職活動や情報収集、関心の持ち方などに関する状況を、本人があずかり知らない形で募集企業に提供することは…学生等の就職活動に不利に働くおそれが高い。…このような事業は行わないこと」とし、「収集した個人情報の内容及び提供先について、あらかじめ明示された基準によらずに、事業者の判断により選別又は加工を行うこと」を明確に禁止しているように、欧州だけでなく日本でも受け継がれています。そしてこの「AIやコンピュータによる人間の選別の拒否権」は、日本の憲法においても、「個人の尊重」や人格権、自己情報コントロール権(憲法13条)、適正手続の原則(憲法31条)などから導き出されると解されています(山本龍彦『AIと憲法』101頁)。

したがって、AIやコンピュータなどによるプロファイリングを行う事業者等は、個人情報保護法や同ガイドライン等だけでなく、憲法や職業安定法、関連する厚労省の指針や通達などをも遵守することが求められます。

■追記
日銀は7月9日付で、この『プライバシーの経済学入門』16頁の修正を行っています。
・プライバシーの経済学入門|日本銀行

『さらに、やや逆説的だが、こうした状況は、わが国の個人情報保護法によっても対処できない可能性がある。なぜなら、推論(プロファイリング)による要配慮個人情報の生成が要配慮個人情報の「取得」に該当するかは解釈問題とされているためである(宇賀2018)。該当しないとの解釈によった場合には、プラットフォーマーが要配慮個人情報に該当しない個人情報をオプトアウト方式により第三者に提供し、その第三者が推論を行ったとしても、個人情報保護法には違反していないと考えられる。

修正版プライバシーの経済学入門16頁
(日銀「プライバシーの経済学入門」(7月9日版)16頁より)

上でもふれたとおり、プロファイリングという手法による/よらないに関係なく、「個人に関する情報」であって、かつ、「特定の個人を識別できるもの(容易照合性を含む)」は個人情報保護法の条文上、個人情報に該当します(法2条1項)。そして、その個人情報が「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実」などに該当する場合は、当該情報は要配慮個人情報(法2条3項)に該当します。

この点、最近公表された、PPCの令和2年改正個人情報保護法ガイドライン(通則編)のパブコメ結果308は、「Cookieなどだけでなく、GoogleのFLoCなどの新しい収集方法で取得されたデータについても個人関連情報などに含まれることを明記すべき」との意見に対して、PPCは「収集の方法によって判断がかわるものではない。」と回答しています。

また、オプトアウト方式による個人情報の第三者提供は、個人情報保護委員会への届出などが必要です(個人情報保護法23条2項)。さらに、この日銀の新しいスキームも、個人情報の第三者提供先でのプロファイリングなどの個人情報の取扱の目的ややり方など次第では、個人情報保護法を潜脱する手法を規制するために令和2年改正で新設され2022年4月施行予定の不適正利用の禁止(改正法16条の2)に抵触し違法となるおそれがあると思われます。

この点、PPCの令和2年改正個人情報保護法ガイドライン(通則編)のパブコメ結果57でPPCは、「プロファイリングの目的や得られたデータの利用方法など個別の判断が必要であるが、プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合は、不適正利用に該当する場合があり得る。」と明確に回答しています。

■関連
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集の結果について|個人情報保護委員会・e-GOV

■関連する記事
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・Github利用規約や厚労省通達などからAIを利用したネット系人材紹介会社を考えた
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・AIによる自動処理決定拒否権
・ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権

■参考文献
・宇賀克也『個人情報保護法の逐条解説 第6版』37頁、143頁
・岡村道久『個人情報保護法 第3版』70頁、191頁
・鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』18頁
・山本龍彦『AIと憲法』101頁
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁
・厚労省職業安定局・職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運用について」(PDF)
・「労働政策審議会労働政策基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」|厚労省















このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family
1.警察庁がSNSをAI解析して人物相関図を作成する捜査システムを導入
2021年5月29日の共同通信などの報道によると、警察庁がSNSをAI解析して人物相関図を作成する捜査システムを導入することを決定したとのことです。年内に警察庁と警視庁などの5都府県警で運用を始め、全国の警察に広げる方針とのことです。SNSを利用して行われる特殊詐欺などの犯罪を捜査するためのAIシステムの導入と警察関係者は説明しているようです。

・警察庁SNS解析システム導入へ AI捜査で人物相関図作成|共同通信・ヤフージャパン

しかしこのような捜査は、特殊詐欺の捜査のためという必要性が肯定されるとしても、国民のプライバシーやSNSなどにおける国民の表現の自由などとの関係、あるいは、憲法や刑事訴訟法の定める令状主義や強制処分法定主義との関係で、法的に許容されるものなのでしょうか?

以下、①プライバシー権、②表現の自由、③刑事訴訟法(とくにGPS捜査)、④個人情報保護法制における「自動処理決定拒否権」などの観点から検討してみてみたいと思います。

2.プライバシー権
警察庁のSNSをAI解析して人物相関図を作成する捜査システムにおいて、警察当局がもっとも取得しようと考えているのは、SNSの利用者・ユーザーの人物相関図であるようです。つまり、利用者のSNS上における友人関係(あるいは友人でない関係、ブロックしている関係など)、SNS上の社会関係のようです。

この「個人の自律的な社会関係」は、憲法上、プライバシー権あるいは自己情報コントロール権(憲法13条)の保障のもとにあります。

つまり、憲法の基本原理のひとつである、「すべての国民は(それぞれ個性を持った人間として)個人として尊重される」という「個人の尊重」原理(憲法13条)から、国や企業、第三者などに対して個人の自律的な社会関係は、尊重することが要求されてるものです。

すなわち、国民個人が自律的に形成する社会関係などの私的な領域は、個人の尊重原理に基づいて、国などの公権力や企業、第三者などによって干渉されてはならない領域であるため、国民個人の自律的な社会関係などの私的領域の情報については、国などは立入が許されないということになります。これが現代の情報化社会におけるプライバシー権であり、あるいは「自己に関する情報をコントロールする権利」(自己情報コントロール権)として憲法の学説上、通説として説明されるものです(野中俊彦・中村睦男・高橋和之・高見勝利『憲法Ⅰ 第5版』275頁)。

日本の裁判例も、1964年の「宴のあと」事件判決が「私生活をみだりに公開されない権利」として認めたことを始まりとして(東京地裁昭和39年9月28日)、プライバシーの権利が判例により認められています(最高裁平成15年9月12日・早大講演会名簿提出事件など)。

3.表現の自由などの問題
また、国民のSNSなどのインターネット上の書き込みなどの情報発信などの表現行為も、憲法の表現の自由(憲法21条1項)の保障のもとにあります。また、国民がSNSなどのインターネットによりさまざまな情報を受け取る自由も、国民の「知る権利」として表現の自由の保障のもとにあります(芦部信喜・高橋和之補訂『憲法 第7版』194頁)。

4.精神的自由と刑事法との関係
このように、SNSなどネット上の国民個人の社会関係・人間関係・人物相関図は、プライバシー権あるいは自己情報コントロール権(憲法13条)による保障のもとにあり、また、SNSなどネット上の国民の情報の発信や情報の授受なども表現の自由(21条1項)の保障のもとにあるわけですが、これらの精神的自由(人権)と、警察当局や刑罰法規がぶつかり合う場合に、それをどう解決するかが問題となります。

この点、裁判例は、国民の表現行為を規制・侵害する刑罰法規が「通常の判断能力を有する一般人の理解」において、具体的場合に当該表現行為がその刑罰法規の適用を受けるかどうかの基準が読み取れないような場合には、その刑罰法規は漠然とした不明確な法令であり違憲・無効となるとしています(「明確性の基準」「適正手続きの原則」(憲法31条)・最高裁昭和50年9月10日判決・徳島市公安条例事件)。

今回問題となっている、警察庁のSNSをAI解析して人物相関図を作成する捜査システムは、報道をみるかぎり、従来、捜査員が目や手をもとに行っていた捜査手法をAIシステムに置き換えるだけであると警察庁は考えているようであって、警察庁の内部規則があるとしても、そもそも法律上の根拠なしに警察当局が導入し使用を開始するようです。

つまり、この明確性の基準を適用する法律すら存在しないようなので、そのような捜査システムを使用して国民のプライバシー権や表現の自由などを侵害することは、それだけで違憲・無効となると思われます(13条、21条1項、31条)。

5.刑事訴訟法
防犯カメラ、電話の盗聴、GPS捜査など、新しい科学技術を用いた警察の捜査は、刑事訴訟法の分野で裁判で争われてきました。つまり、そのような新しい捜査手法により収集した証拠などが、刑事裁判において有効な証拠となるかが争われてきました(違法収集証拠排除の原則)。

このなかで、従来、警察の捜査員が見張りや尾行などを行っていたところ、それに代えて、警察が令状をとらずに被疑者・容疑者の自動車などにひそかにGPS機器を取り付け、その被疑者の位置情報・移動履歴を収集する手法が裁判で争われ、最高裁はそのような捜査手法は令状主義や強制処分法定主義(憲法35条、刑事訴訟法197条1項)に違反するものであり、また、GPS捜査については国会で立法を行うべきであると判示しています(最高裁平成29年3月15日判決、宍戸常寿『新・判例ハンドブック情報法』231頁)。

すなわち、最高裁は、GPS捜査は①公道上だけでなくプライバシーが保護されるべき場所・空間をも捜査対象としており、②個人の行動を継続的・網羅的把握しプライバシーを侵害すること、③個人に秘密で機器を着けて行う点で公道上の見張りや尾行などと異なるため、令状が不要な任意捜査の限界を超えており、強制捜査というべきであり、違法な捜査であるとしています。

また、最高裁は、現行の刑事訴訟法上の検証などの令状でGPS捜査を適切に限定することは困難であり、また、裁判官が多様な選択肢のなかから実施条件を選んで令状を交付することは強制処分法定主義に反するとして、GPS捜査について、国会立法を行うべきであると判示しています。

■GPS捜査事件最高裁判決について詳しくはこちら
・【最高裁】令状なしのGPS捜査は違法で立法的措置が必要とされた判決(最大判平成29年3月15日)

この判決を警察庁のSNSをAI解析して人物相関図を作成する捜査システムについてあてはめると、 上でみたように、SNS上の友好関係・社会関係などの人物相関図などは、利用者個人のプライバシーあるいは自己情報コントロール権による保障の対象であるので、①のプライバシーが保護されるべき空間などに該当します。また、AIによる分析というその捜査手法の性質上、利用者個人のSNS上の表現・行動などを継続的・網羅的に把握し、大量の個人データ・プライバシーに関する情報を迅速に収集してしまうことから、②のように継続的・網羅的に利用者のプライバシーに関する膨大な情報を収集してしまうことに該当します。

加えて、SNSの利用者には秘密裡にAI捜査が行われると思われ、さらに、AIによる人物相関図の分析という捜査の性質上、その捜査対象がSNSの利用者全員におよぶおそれがあり、たとえば日本のTwitterの利用者が約4500万人、LINEの利用者が約8600万人、Facebookの利用者が約2600万人などとされていることから(echoes「2021年2月更新 データからみるTwitterユーザー実態まとめ」)、単純に計算しても日本の国民の大多数が警察庁のAI捜査システムの捜査対象となってしまう危険性があるため、③のように令状なしに警察等が実施できる任意捜査の限界を大きく超えています。

AIやコンピュータなどによるこのようなネット上の網羅的・継続的な捜査により収集された大量の個人データなどによれば、友好関係だけでなく、利用者・個人の思想・信条、政治的見解、趣味・嗜好、性的嗜好、病歴、犯罪歴などを把握することにより、「国家の前で国民が丸裸になる」状況が生み出されてしまいます。

これは国家による国民の監視・モニタリングであり、しかも上でみたように、その警察によるモニタリング・監視の対象が国民の大多数におよぶ危険があることから、これは国民の個人の尊重や基本的人権の確立という目的のために国などの統治機構は手段として存在する(憲法11条、97条)というわが国の近代立憲主義憲法の根幹すら揺るがしなけない、極めて深刻な状況であるといえます。

したがって、GPS捜査事件について最高裁判決が判示するように、警察庁のSNSをAI解析システムについては、国会で慎重な議論を行い、そのような捜査手法が本当に許容されるのか、許容されるとしてどのような基準をもとに警察が実施・運用するのか等を検討し、本当に必要であれば立法を行うべきです。

6.AI・コンピュータの自動処理による人間の選別
1960年代からのコンピュータの発展による人権侵害のおそれを受けて、世界で個人情報保護法(個人データ保護法)が検討されてきています。

さまざまな目的で収集されたさまざまな個人データが国などに収集され、それがコンピュータなどにより迅速に機械的に処理されるようになると、それぞれの個人データがある目的のためには適切であるとしても、別の目的のためには利用することが適切でない個人データが名寄せにより連結され、コンピュータが極端な結果や間違った結果を生み出してしまうおそれがあります。

また、データの誤りの混入によっても間違った結論が出されてしまうおそれがあります。これらの極端な結論や間違った結論について、人間がチェックすればその結論に疑問を持ち再確認が行えるはずなのに、コンピュータであるとその間違い等に気が付けないリスクが存在します。

さらに近年急速に発展しているAIは、大量のデータを自ら学習することにより自らを高度化させてゆきますが、その機械学習が進んでいくと、AIの専門家ですら、AIがどのような理由でそのような結論を導き出したか説明できないとされています(ブラックボックス化)。しかも人間は、人間よりも機械やコンピュータなどを過信してしまう傾向があります(自動化バイアス)。(山本龍彦『AIと憲法』63頁。)

このような問題意識をもとに、とくに西側自由主義諸国(近代立憲主義的憲法をもつ諸国)の個人情報保護法(個人データ保護法)においては、プライバシー権、自己情報コントロール権と並んで、「コンピュータ・AIによる人間の選別・差別を拒否する権利」(自動処理決定拒否権)がその重要な立法目的とされてきています。

つまり、「コンピュータ・AIによる人間の選別・差別を拒否する権利」(自動処理決定拒否権)とは、上でみたようなさまざまなリスクのあるコンピュータ・AIによる個人データの自動処理のみによる法的決定・重要な決定を個人・国民が拒否する権利であり、言ってみれば人間について、工場などのベルトコンベアーに載せられたモノではなく、人間による人間らしい対応を求める権利であり、つまり、個人の尊重人格権に基づく権利であるといえます(憲法13条、山本・前掲101頁)。

この「コンピュータ・AIによる人間の選別・差別を拒否する権利」は、1996年のILO「労働者の労働者の個人情報保護に関する行動準則」で明文化され、欧州では1995年のEUデータ保護指令15条から2018年のGDPR22条に受け継がれています。そして、EUでは本年4月に「AI規制法案」が公表されました。

この自動処理決定拒否権は、日本でも2000年の労働省「労働者に関する個人情報の保護に関する行動指針」第2(個人情報の収集)6(6)に、「使用者は、原則として、個人情報のコンピュータ等による自動処理又はビデオ等によるモニタリングの結果のみに基づいて労働者に対する評価又は雇用上の決定を行ってはならない。」と明文規定があるとおり、日本の個人情報保護・個人データ保護法制にも存在する考え方です。

そして、EUのAI規制法案は、AIの人間に対する危険度から①禁止②高リスク③限定的なリスク④最小限のリスクと、4つのカテゴリに分類しています。

このうち、①禁止のカテゴリには、AIによる信用スコア事業や、公共の場所における警察などによる防犯カメラの顔認証などによる国民の常時監視・モニタリングが該当するとされ、また、②高リスクのカテゴリには、AIを利用した運輸・ガス・水道などのインフラ、教育、医療、企業などの採用・人事考査、公的部門の移民・難民の審査、司法、社会保障など公共機関におけるAIの利用などが該当するとされています。

そのため、今回報道された警察庁のAIを利用したSNSの捜査システムは、「司法」に準じた警察・検察の行政作用であるという点で少なくとも②高リスクに該当しそうですし、AIによる国民の常時監視・モニタリングという行為を考えると、①禁止のカテゴリに該当してしまいそうです。

したがって、日本を含む西側自由主義諸国(近代立憲主義憲法を持つ諸国)の個人データ保護の基本的な考え方の一つの「コンピュータ・AIによる人間の選別・差別を拒否する権利」からは、警察庁のAIを利用したSNSの捜査システムは、①禁止、あるいは②高リスクのカテゴリに該当するとして、平成11年の通信傍受法などのように、警察の捜査システムとして本当に必要であるのか、必要であるとしてどのような基準で実施すべきなのか等を国会で慎重に審議して、必要であれば新しい法律を制定した上で実施すべきなのではないでしょうか(法律による行政の原則)。

■関連する記事
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・【最高裁】令状なしのGPS捜査は違法で立法的措置が必要とされた判決(最大判平成29年3月15日)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件-個人情報・公務の民間化

■参考文献
・野中俊彦・中村睦男・高橋和之・高見勝利『憲法Ⅰ 第5版』275頁
・芦部信喜・高橋和之補訂『憲法 第7版』194頁
・宍戸常寿『新・判例ハンドブック情報法』231頁
・山本龍彦『AIと憲法』63頁
・田口守一『刑事訴訟法 第4版補正版』46頁
・小向太郎・石井夏生利『概説GDPR』94頁
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁
・EUのAI規制案、リスク4段階に分類 産業界は負担増警戒|日経新聞














このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family
1.Githubの利用規約とネット系人材紹介会社
ある方が、Twitter上で「「Githubをみてメールしました」との人材紹介会社からのメールが来るけれど、これはGithubの利用規約違反ではないか?」という趣旨の投稿をされているのを見かけました。

以前より、私もGithubやSNSなどネット上で個人情報を収集している最近のネット系人材紹介会社(LAPRASHackerBase Jobsなど)に関心があったので、Githubの利用規約をみてみました。

すると、Github利用規約「5.情報利用の制限」はつぎのように規定しており、たしかに、ユーザーの個人情報を、人事採用担当者、ヘッドハンター、求人掲示板など販売することなどの目的で、Githubのサービスから取得して利用することはできないとはっきり禁止規定が存在します。

Github利用規約
5.情報利用の制限
「ユーザ個人情報」を、ユーザに対して未承諾メールを送信する、人事採用担当者ヘッドハンター求人掲示板など販売するといった目的を含め、スパム目的で本「サービス」から取得 (スクレイピング、APIを介した情報収集、その他の手段による取得) した情報利用することはできません。


github利用規約5情報の利用制限
(Githubより)

・Github利用規約

また、Github企業向け利用規約「3.プライバシー」も次のように規定し、企業(「お客様」)はGithubから「外部ユーザー」(=当該企業の顧客には未だなっていないユーザー)個人情報を収集して使用するには、当該ユーザー「利用目的」への「承認」が必要であると明記しています。

つまり、ここでも企業がユーザーの個人情報を取得し利用するためには、ユーザー本人の同意が必要であると明記されています。

「お客様がGitHubから「ユーザ個人情報」を収集した場合、お客様は「外部ユーザ」承認した目的にのみその個人情報を使用するものとします。


github企業向け利用規約
(Githubより)

このようにみてみると、人材紹介会社が、Github上のユーザーの本人の同意なしに、ユーザーの個人情報を収集し、分析、加工するなどして求人を行っている企業の人事部やヘッドハンターなどに第三者提供することは、Githubの利用規約に違反していることになります。

もし、Github上のユーザーの個人情報の企業などによる違法・不当な収集・利用があった場合、「GitHubはGitHubまたは「外部ユーザ」からの苦情、削除要請、および連絡拒否の要請速やかに対応する」と規定されており(Github企業向け利用規約「5.情報利用の制限」)、また、企業などは「当社やその他ユーザからの苦情、削除要請、および連絡拒否の要請速やかに対応する」(Github利用規約「6.プライバシー」)ことが義務付けられています。

2.ネット系人材紹介会社と職業安定法5条の4・2019年の厚労省通達
また、2019年に就活生のネット閲覧履歴などのAI分析に基づく内定辞退予測データの販売が大きな社会的問題となったリクナビ事件を受けて、厚労省職業安定局は2019年9月6日付で「募集情報等提供事業者等の適正な運営について」(職発0906第3号令和元年9月6日)との通達を発出しています。

・厚労省職業安定局「募集情報等提供事業者等の適正な運営について」(職発0906第3号令和元年9月6日)|厚労省(PDF)

厚労省通達職発0906第3号

この2019年の通達では、人材紹介会社や求人企業などは、求職者の個人情報を収集する際には、「本人から直接収集」するか、あるいは「本人の同意」の下に収集をしなければならないと明記されており、職業安定法5条の4および指針通達平成11年第141号第4「法5条の4に関する求職者等の個人情報の取扱い」の規定が再確認されています。(なお、本人同意は形式的なものであってはならないこと、人材会社等のサービスを利用するために本人の同意を条件とするなど同意を事実上強制してはならないこと等も明記されていることも注目されます。)

また、この2019年の通達では、「人材会社などの事業者の判断により求職者の個人情報選別または加工を行うことの禁止」を明記していることも大いに注目されます。(これは、EUのGDPR22条や、2000年の労働省「労働者の個人情報保護に関する行動指針」第2、6(6)などの「コンピュータによる個人データの自動処理のみによる法的決定・重要な決定の拒否権」と同じ趣旨の考え方であると思われ注目されます。平成28年の個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」制定後は、日本の官庁はこの自動処理拒否権を無視・否定しているかに見えたのですが、この考え方は現在も日本で有効であるようです。すなわち、現在の日本政府は、AIやコンピュータによる個人情報の無制限な利活用を許容していないことになります。

ネット系人材会社LAPRASなどは、サイトの説明によると、転職を希望している「転職顕在層」だけでなく、「転職潜在層」のGithubなどネット上の個人データを収集・加工して求人企業の人事部などに提供を行うビジネスを業務を行っているようです。また、同社サイトはオプトアウト手続きのための入力フォームを現在も設置しており、やはり本人の同意を得ていない個人の個人データをネット上で収集し加工するビジネスを現在も行っているようです。

LAPRAS宣伝
(LAPRAS社サイトより)

そのため、LAPRASなどネット系人材紹介会社の業務は、(LAPRASの場合は「転職潜在層」に関して)個人の個人情報について、「本人から直接取得」あるいは「本人の同意」を得て収集しておらず、また、それらの個人情報・個人データを事業者の判断で選別・加工して、その個人データを求人企業などに提供しているようです。

したがって、Githubなどネットで個人情報を収集してるネット系人材会社のLAPRASなどのビジネスモデルは、やはり、Githubの利用規約に違反してると共に、職安法5条の4や厚労省の通達平成11年第141号、2019年の厚労省通達職発0906第3号などに違反しているのではないかと思われます。

■参考文献
・菅野和夫『労働法 第12版』69頁、262頁
・小向太郎・石井夏生利『概説GDPR』93頁
・山本龍彦『AIと憲法』101頁

■関連する記事
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件-個人情報・公務の民間化
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた











このエントリーをはてなブックマークに追加 mixiチェック

school_class_woman (1)
1.はじめに
2020年12月16日に、フジテレビ系のFNNなどが、文科省が小中学生の学校の成績や学習履歴などの教育データ・個人データをマイナンバーカード(個人番号カード)で紐付けして一元管理することを検討中であり、早ければ2023年にもその一部が実施の方針であると報道し、大きな反響を呼んでいます。

・マイナカードに学校の「成績」対象小中学生 2023年度にも|FNN

FNNの記事によると、文科省は、教育データの利活用(EduTech)を進めていて、児童・生徒の個人の学習意欲の変化や理解度などの教育に関するビッグデータを収集・分析し、生徒1人ひとりに合った効果的な学習や指導の実現(「教育の個別最適化」)が目的であるとのことです。

この点、文科省は、平成30年6月に「Society 5.0に向けた人材育成~社会が変わる、学びが変わる~」との諮問会議による報告書を公表しています。

・Society 5.0に向けた人材育成~社会が変わる、学びが変わる~|文科省

同報告書の第3章「新たな時代に向けた学びの変革、取り組むべき施策」では、「(1)「公正に個別最適化された学び」を実現する多様な学習の機会と場の提供」のなかで、「①学習の個別最適化や異年齢・異学年など多様な協働学習のためのパイロット事業の展開 【全国の小中高等学校○校程度で実施(学校数は今後検討)】」との方針が示されています。

そして、「公正に個別最適化された学び」について、「児童生徒一人一人の能力や適性に応じて個別最適化された学びの実現に向けて、スタディ・ログ等を蓄積した学びのポートフォリオ(後述)を活用しながら、個々人の学習傾向や活動状況(スポーツ、文化、特別活動、部活動、ボランティア等を含む)、各教科・単元の特質等を踏まえた実践的な研究・開発を行う(例:基礎的読解力、数学的思考力の確実な習得のための個別最適化された学習)。」「ICT 環境の整備、ビッグデータ活用に係る個人情報保護の在り方についての整理等の条件整備や、強みと限界を踏まえた効果的な導入方法など、EdTech の一層の活用に向けた課題の整理及び対応策について官民を挙げた総合的な検討を行った上で、一定の方針を示す。また、データの収集、共有、活用のためのプラットフォームの構築に関する検討を行う。」などの説明がなされています。

教育の個別化の図
(文科省「Society 5.0に向けた人材育成~社会が変わる、学びが変わる~(概要)」より)

ITやAIの発達による「教育の個別化」など、一見、バラ色の未来のようにも読めますが、我われ国民はこれをどう受け止めるべきなのでしょうか。憲法26条は「国民の教育を受ける権利」「教育の機会均等」などについて規定していますので、これらの点から見てみたいと思います。

2.教育の機会均等(公平性・公正性)
憲法26条1項は、「すべて国民は、法律の定めるところにより、その能力に応じて、ひとしく教育を受ける権利を有する。」と規定しています。

それを受けて、教育基本法4条1項は、「すべて国民は、ひとしく、その能力に応じた教育を受ける機会を与えられなければならず、人種、信条、性別、社会的身分、経済的地位又は門地によって、教育上差別されない。」と規定しています。また、同16条1項は、「教育は、不当な支配に服することなく、(略)公平かつ適正に行われなければならない。」と教育行政の原則を定めています。つまり、教育そして教育行政には、公平性と公正性が憲法および法令上要請されています。

ところで、文科省は、小中学生の「公正に個別最適化された学び」「教育の個別化」を行うために、小中学生の成績や学習履歴などの学習データ・個人データを収集したビッグデータをAIで分析し、個々の生徒に「公正に個別最適化された教育」を提供する方針のようです。

しかし、AIによるこのようなデータ処理が「公正」あるいは「適正」である保障はあるのでしょうか。AIはビッグデータを自律的に機械学習することにより、統計的にさまざまな事実の相関関係を発見するなどして、自らのアルゴリズムを高度化させてゆきます。

ところが、このビッグデータ解析を通して、AIは、人間なら避けられるような差別的な選考を行ってしまうリスクがあります。ビッグデータの元となる過去のデータに過去の社会的状況や差別などに基づく「偏り」があれば、AIはその過去の偏ったデータを元に機械学習を進めてしまいます。しかも、AIは自律的に機械学習を行ってゆくため、そのアルゴリズムは開発者ですら理解のできないブラックボックスとなってしまいます。

この点、2018年には、アマゾンがAIによる採用活動を打ち切ったと報道されました。アマゾンは、ソフトウェア開発の技術職に関する過去10年間の履歴書・職務経歴書をAIに機械学習させたところ、これらの過去のデータの多くが男性のものであったことから、女性の求職者を差別するアルゴリズムを生成してしまったとのことです。

・アマゾンがAI採用打ち切り、「女性差別」の欠陥露呈で|ロイター

このようなビッグデータやAIなどの先端技術の負の側面を見ると、教育データ・個人データなどのビッグデータをAIに分析させて、生徒・児童の「教育の個別化」を推進するという文科省の方針には疑問が残ります。このような文科省の施策は、学校教育や教育行政に求められる「公平性」「公正性」「適正性」が保障されておらず、憲法26条1項、教育基本法4条などに抵触する違法なものであるおそれがあります。

3.教育を受ける権利-自分で選択した道を歩む権利
また、文科省が推進しようとしている、「公正に個別最適化された学び」「教育の個別化」は、たとえば平均的な学力から大きく劣った学力の生徒・児童が現在よりもより自分の学力に応じた教育を受けられるかもしれないという点はメリットであるように思われます。

しかし、学校において生徒・児童が学ぶ場面において、生徒・児童は教育を受ける権利として、自分も他の生徒達と同じベースで同じ教育を受ける権利(ないし自由)、つまり、たとえ自分にとって厳しい教育・環境であったとしても、それに奮闘して自分自身を成長させる権利、すなわち「不自由を選ぶ自由」「自分自身で選んだ道を歩む権利」を有しています(堀口悟郎「AIと教育制度」『AIと憲法』(山本龍彦)264頁)。

この問題が法律学の分野で深刻な形で顕在化しているのは、障害者・障害児の進学や教育が裁判所で争われた場面です。障害者・障害児も養護学校などではなく、できるだけ一般の学校で教育が行われるべきであるとの「インクルーシブ教育」の理念が、日本社会においても2000年頃より社会に広まるようになっています。

このようななか、筋ジストロフィー症の生徒が一般の公立高校に進学を希望したところ、市当局が「当該生徒は養護学校に通うべきである」と拒否した事件について、裁判所はつぎのように判示し、市当局の主張を斥け、生徒側の主張を認容しています(神戸地裁平成4年3月13日判決・市立尼崎高校事件)。

『障害を有する児童、生徒も、国民として、社会生活上あらゆる場面で一人の人格の主体として尊重され、健常児となんら異なることなく学習し発達する権利を保障されている。』『たとえ施設、設備の面で、原告にとって養護学校が望ましかったとしても、少なくとも、普通高等学校において教育を望んでいる原告について、普通高等学校への入学の途が閉ざされることは許されるものではない。』(神戸地裁平成4年3月13日判決・市立尼崎高校事件)

この裁判例は、生徒の教育を受ける権利を憲法26条(教育を受ける権利)、14条(平等原則)だけでなく、国民の幸福追求権・自己決定権や「個人の尊厳」(憲法13条)の観点から捉えているように思われます。また、教育基本法2条各号は、教育の目標を規定していますが、そのなかには、「個人の価値を尊重し」「自主及び自律の精神を養う」(2号)ことが掲げられていることも見落とすわけにはゆきません。

同様に、障害をもつ児童が普通学校等へ進学を希望したにもかかわらず、行政当局に拒否された事件においては、当該拒否は違法であるとする同種の裁判例が複数現れています(徳島地裁平成17年6月7日判決、奈良地裁平成21年6月26日判決、東京地裁平成18年1月25日判決など)。

このような一連の裁判例をみると、憲法や教育基本法の定める「教育を受ける権利」には、「自分で選択した道を歩む権利」「不自由を選ぶ権利」が含まれているといえます。そのため、文科省など国が生徒・児童に対して、「AIやビッグデータによれば、あなたにふさわしい教育はこれだから、あなたはこれを学習しなくてはならない」と押し付けることは、ある程度はパターナリズムとして許容される余地があるとしても、強要することは、国民の自己決定権や教育を受ける権利、平等原則に抵触する違法なものとなるおそれがあります。

4.まとめ
以前のブログ記事で取り上げたように、わが国の旧労働省の2000年の「労働者の個人情報に関する行動指針」6(6)や、EUのGDPR(一般データ保護規則)22条1項は、「コンピュータ等による個人データの自動処理の結果のみによる法的決定を下されない権利」の原則を規定しています。

これは、言ってみれば、情報社会において国民がベルトコンベヤーに載せられたモノのように扱われるのではなく、人間として人間らしく扱われることを求める権利です(個人の尊重・基本的人権の確立、憲法11条、13条、97条)。

今回報道された、小中学校の成績などのビッグデータにより「教育の個別化」を推進しようという文科省の施策は、憲法26条、14条などだけでなく、13条の観点からも今一度、慎重に再検討が行われるべきです。

また、最近、「AIと労働者(就活生)」「AIと結婚(婚活)」「AIと教育」などの目新しい科学技術による政策を国が推進しようとしていることがニュースとなることが増えていますが、このような国の政策は、上でみたように国民の個人の尊重や自己決定権など、国民の権利利益と衝突する難しい問題です。

このような問題については、内閣・中央官庁があらかじめ諮問員会に図り産業界等と意見を調整して法案を作成するだけではなく、主権者たる国民の代表による、国会における慎重な議論・討論が望まれます。

■関連するブログ記事
・人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・調布市の障害児などの「i-ファイル」(iファイル)について-個人情報保護の観点から

■参考文献
・堀口悟郎「AIと教育制度」『AIと憲法』(山本龍彦)253頁
・植木淳「障害のある生徒の教育を受ける権利」『憲法判例百選Ⅱ 第6版』304頁
・芦部信喜『憲法 第7版』283頁
・堀部政男『プライバシー・個人情報保護の新課題』(高野一郎)163頁
・「ヤフーの信用スコアはなぜ知恵袋スコアになってしまったのか」|高木浩光@自宅の日記

















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ