１．消費者金融の主戦場がスマートフォンに
最近の日経新聞の記事（「消費者金融、スマホ申し込み９割 LINEはペイ借り入れも」）によると、消費者金融の主戦場が店舗からスマートフォンに移行しているそうです。同記事はLINE子会社の消費者金融「LINEクレジット」の「LINEポケットマネー」とその前提となる信用スコアリングの「LINEスコア」について解説しています。

ところで同記事によると、LINEスコアではAI分析により、LINEの利用において「１か月前より友だち（連絡先）が減少した場合には、延滞や貸し倒れの確率（リスク）が２倍になった」等の分析結果を割り出し信用スコアリングを行っていることに、ネット上では「LINEの「友だち」が減ると信用スコアが減ってしまうのか！？」等と驚きや困惑の声が広がっています。


（LINEクレジットの与信判断の例。「消費者金融、スマホ申し込み９割 LINEはペイ借り入れも」日経新聞記事より）

２．プロファイリングと差別の問題
2022年４月に公表された、商事法務の「パーソナルデータ＋α研究会」の「プロファイリングに関する最終提言」４頁によると、AI等によるプロファイリングとは「パーソナルデータとアルゴリズムを用いて、特定の個人の趣味嗜好、能力、信用力、知性、振る舞いなどを分析・予測すること」と定義されています。そしてプロファイリングの具体例は「融資の場面におけるAIを用いた個人の信用力の測定」などであるとされています。つまりLINEポケットマネーおよびLINEスコアはAIによるプロファイリングの問題といえます。

そしてプロファイリングにおいては差別のおそれが重要なリスクです。つまり、AIに学習させた個人データのデータセットに、もし人種や性別などの個人の属性に関するバイアス（偏り）が存在していた場合、そのバイアスが含まれた評価結果が生成され、結果として審査等の対象となる個人が不当な差別を受けるおそれがあります。

例えば2018年に米アマゾンがAIを用いた人事採用システムを導入した後、女性の評価が不当に低い欠陥が発覚し当該システムの利用を取りやめた事例は注目を集めました。このように不当な差別が意図せず生じてしまうことに、AIによるプロファイリングの恐ろしさがあります。また、AIを活用した機械的な審査では、対象者のスキルや実績などを十分に評価できず、特定の属性を持つ者に対して不当に厳しい条件が出力されてしまうおそれもあり、人間による判断が介在しないことは危険であると考えられます（久保田真悟「プロファイリングのリスクと実務上の留意点」『銀行法務21』890号（2022年10月号）45頁、47頁）。

この点、LINEポケットマネー・LINEスコアの「１か月前より友だち（連絡先）が減少した場合には、延滞や貸し倒れの確立（リスク）が２倍になった」等のAIの機械学習による評価結果には本当に不当な差別を招くバイアスが含まれていないかには疑問が残ります。（なおLINEポケットマネーのサイトを読むと「10分で融資可能か審査します」等と記載されており、人間の判断が介在していないのではと思われます。）

３．プロファイリングにおける要配慮個人情報の推知と取得の問題
プロファイリングによる個人データの生成行為（あるいは推知）が要配慮個人情報の「取得」に該当するかについては重要な解釈問題として議論されています（宇賀克也『新・個人情報保護法の逐条解説』215頁）。

しかしプライバシー権（憲法13条）との関係上、プロファイリングは要配慮個人情報やセンシティブ情報について、直接これらの情報を取得せずとも高い確率でこれらの情報を推知可能です。つまりプロファイリングによる要配慮個人情報の推知は取得とほぼ異ならないため、実務上は要配慮個人情報やセンシティブ情報の推知を取得とみなして業務対応を行うべきとの指摘がなされています（久保田・前掲46頁）。

この点、要配慮個人情報の取得については「本人の同意」が必要であるところ（個人情報保護法20条２項）、LINEポケットマネー（同クレジット）およびLINEスコアのプライバシーポリシーを読むと、「与信・融資の審査のために要配慮個人情報を取得・利用する」等との明示はなされておらず、本人の同意は十分に取得されていないのではないかとの疑問が残ります。（「本人の同意」については後述。）

（なお、LINE社のプレスリリース「【LINE】「LINE」、スペインの登録ユーザー数がヨーロッパ圏で初めて1,000万人を突破」などによると、LINEのスペインのユーザーは1000万人を超えているそうです。欧州のGDPR（一般データ保護規則）22条１項は、コンピュータやAIによる個人データの自動処理の結果のみをもって法的決定や重要な決定を下されない権利を規定し、同条２項はそのような処理のためには本人の明確な同意が必要であると規定しています。そのため、もしLINEポケットマネーのサービスがスペイン等の欧州のユーザーに提供されていた場合、LINEはGDPR22条２項違反のおそれがあります。）

４．「本人の同意」の方式をLINEは満たしているか？
個人情報保護法は上でみた法20条２項だけでなく、法18条（利用目的の制限）、法27条（第三者提供の制限）、法28条（外国にある第三者への提供の制限）および法31条（個人関連情報の提供の制限）などの場面で本人の同意の取得を事業者に義務付けています。この本人の同意の方法については、「事業の性質および個人情報の取得状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法」によらなければならないと解されています（岡村久道『個人情報保護法 第４版』119頁）。

そして金融業や信用業務に関しては一般の事業よりもデリケートな個人情報を扱うため、それぞれの分野の個人情報保護に関するガイドラインが制定されています。「金融分野における個人情報保護に関するガイドライン」３条は、金融機関に対して、本人の同意を得る場合には、原則として書面（電磁的記録を含む）によるとした上で、事業者が事前に作成した同意書面を用いる場合には、文字の大きさ及び文書の表現を変える等の措置を講じることが望ましいとしています。

また「信用分野における個人情報保護に関するガイドライン」Ⅱ.１.（３）は、与信事業者は本人の同意を得る場合には、原則として書面（電磁的記録を含む）によることとし、文字の大きさ、文章の表現その他の消費者の理解に影響する事項について消費者の理解を容易にするための講じることを義務付けています。債権管理回収業ガイドラインもほぼ同様の規定を置いています（岡村・前掲121頁）。

この点、LINEポケットマネーのユーザーの申込み画面をみると、つぎの画像のように、LINEクレジット（LINEポケットマネー）やLINEスコアの利用規約やプライバシーポリシーへのリンク一覧が貼られ、そのリンク横にチェックを入れる画面があるだけで「次へ」と進むボタンがあるだけとなっています。


（LINEポケットマネーの申込みの際の同意画面）

それぞれのプライバシーポリシーを個別に見ても、プロファイリングや要配慮個人情報を取得（または推知）することを明示した条項はありません。（LINEポケットマネーのプライバシーポリシーの「３．機微（センシティブ情報の取扱い）」には、「（７）保険業その他金融分野の事業のため」との条項があるが、「与信」、「融資」または「信用」などの明示はなく、文字の大きさや文章の表現などの工夫もなされていない。）

したがってLINEポケットマネーのサービスは、「文字の大きさ、文章の表現その他の消費者の理解に影響する事項について消費者の理解を容易にするための講じる」等の信用分野個人情報保護ガイドラインⅡ.１.（３）などの規定への違反があるといえます。

また、LINEポケットマネーのプライバシーポリシーを見ると、韓国の関連会社（決済・バンキングシステムのLINE Biz Plus等）に業務委託を行っているとありますが、外国にある第三者（韓国の関連会社）への業務委託があるにもかかわらず、上でみたようにユーザーの本人の同意を明確に得ていないことは、これも個人情報保護法28条や信用分野個人情報保護ガイドラインⅡ.１.（３）などの規定への違反であると思われます。（法28条（外国にある第三者への提供の制限）の「提供」には、「委託」や「共同利用」なども含むため。）

５．まとめ
このように、LINEポケットマネーおよびLINEスコアのサービスは、プロファイリングについて不当な差別のおそれがあり、また特に要配慮個人情報の推知・取得について個人情報保護法20条２項などの違反の可能性があり、さらにユーザーの本人の同意の取得について法28条や信用分野個人情報保護ガイドラインⅡ.１.（３）等の違反の可能性があると思われます。

このブログ記事が面白かったらブックマークやシェアをお願いします！

■参考文献
・宇賀克也『新・個人情報保護法の逐条解説』215頁
・岡村久道『個人情報保護法 第４版』119頁、121頁
・山本龍彦「AIと個人の尊重、プライバシー」『AIと憲法』59頁
・久保田真悟「プロファイリングのリスクと実務上の留意点」『銀行法務21』890号（2022年10月号）44頁
・ヤフーの信用スコアはなぜ知恵袋スコアになってしまったのか｜高木浩光＠自宅の日記
・「消費者金融、スマホ申し込み９割 LINEはペイ借り入れも」｜日本経済新聞
・「プロファイリングに関する最終提言」｜商事法務「パーソナルデータ＋α研究会」

■関連する記事
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた（追記あり）
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの改正プライバシーポリシーがいろいろとひどいー委託の「混ぜるな危険」の問題・外国にある第三者
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか？



［広告］

タグ ：

security

privacy

個人情報

LINE

LINEポケットマネー

LINEスコア

GDPR

プロファイリング

要配慮個人情報

出澤剛

このブログ記事の概要
アメリカ・日本のプライバシーに関する自己情報コントロール権に対応する欧州の「情報自己決定権」は、アメリカで生まれた自己情報コントロール権をもとにドイツの1983年の国勢調査判決で「新しい基本権」（新しい人権）として生まれました（国勢調査法違憲判決・1983年12月15日連邦憲法裁判所第１法定判決・BVerfGE 65,1, Urteil v.15.12.1983）。

このブログ記事では、国勢調査事件判決と欧州の情報自己決定権、日本の自己情報コントロール権の発展と、これらの権利への高木浩光先生の批判などについて簡単に説明したいと思います。

１．ドイツ国勢調査事件の事案の概要
ドイツの1982年の国勢調査法に基づき、1983年４月に実施が予定されていた人口、職業、住宅、事業所の国勢調査について、原告は、国勢調査法は西ドイツ基本法１条１項（人間の尊厳）に関連づけられた２条１項（人格の自由な発展の権利）などの基本権（人権）を侵害しているとして、連邦憲法裁判所に対して憲法異議の申し立てを行った。

主な争点となった、国勢調査法９条は、国勢調査の調査事項の利用について規定していたが、同法９条１項は届出記録簿（＝日本の住民票に相当する）との照合を認め、同法同条２項は連邦およびラント（州）の所管の最上級行政庁への提供を可能とし、同法同条３項は一定の行政執行上の利用目的のために市町村等の利用を認める規定となっていた。

これに対して連邦憲法裁判所は、1983年12月15日に本判決を出した。

２．判旨

（１）一般的人格権について
（a）まず、審査の基準となるのは、基本法１条１項に関係づけられた２条１項によって保護された一般的人格権である。基本法的秩序の中核となるのは、自由な社会の要としての自由な自己決定において作用する個人の価値と尊厳である。これまでの判例によって具体化されてきた人格権の内容は、完結的ではない。それは、これまでの判決が示しているように、自己決定の思想から引き出される、個人的生活実態をいつ、どこまで公開するかを、基本的に自身で決定する個人の権能を含むのである。

　個人の自己決定は、現代の情報処理技術の諸条件の下でも、個人にこれから行うか中止しようとしている行動について、実際にその決定に従って行動する可能性を含めて、決定の自由が与えられていることが前提となる。自己に関するどのような情報が自分を取り巻く一定範囲の社会的環境において知られているのかについて十分な確実性をもって見通すことができない者や、コミュニケーションの相手方となりうる者がどのような知識を持っているかをある程度評価査定することができない者は、自分自身の自己決定を基にして計画を立て、判断を下す自己の自由を著しく阻まれることもある。逸脱した行動が、常に記録され、情報として永続的に蓄積され、利用され、伝達されることに不安を抱く者は、そのような行動によって目立つことを控えようとするであろう。このことは、個人のそれぞれの発展の機会を妨げるだけでなく、公共の福祉をも害する。なぜなら、自己決定は、市民の行動及び協業能力に基づく自由で民主的な国家共同体の基本的な機能条件であるからである。

（b）この情報自己決定権は、無制限に保障されているのではない。個人は、共同体の中で発展し、コミュニケーションに依存している人格である。情報は、個人に関係していても、社会的事実の描写であり、当該個人だけのものではない。基本法は、個人の共同関係性及び共同体被拘束性という意味において個人対共同体の緊張関係について決定してきたのであるから、個人は、その情報自己決定権について、原則として優越する公益による制限を受忍しなければならない。 　この制限は、基本法２条１項に従い、その制限の要件と範囲が明らかで市民が認識することができ、それにより規範の明確性という法治国家の要請に応える（憲法に適合した）法律の根拠を必要とする。その規制に際して、立法者は、さらに比例原則を遵守しなければならない。このような憲法上の原則は、基本権が国家に対する市民の一般的自由権の表現として、公益を保護するための不可欠な限度においてのみ、その都度公権力によって制限できるという、基本権自体の本質から引き出されるものである。

　自動的データ処理の利用による既述の危険に鑑み、立法者は、人格権の侵害の危険に対抗できる組織的及び手続的な予防措置を講じなければならない。データが人格権法上有する意味を確認するためには、その利用可能性に関する知識を必要とする。申告が何の目的のために要求され、どんな結合及び利用の可能性があるのかが明らかになって初めて、許容しうる情報自己決定権の制限の問題に答えることができる。その際、個別化され、匿名化されていない形式で調査され、処理される個人に関連するデータと、統計目的用に確定されたそれとの間の区別が必要である。　

（c）個別化され、匿名化されていない個人に関連するデータの申告を強制するには、立法者が、領域を特定し、かつ、正確にその利用目的を規定すること、この目的のために申告項目が適切かつ必要であることが前提となる。匿名化されないデータを、不特定の又は特定することができない目的のために取集し、蓄積することは、このことと相いれないであろう。データの利用は、法律で規定された目的に制限される。自動データ処理の危険に関しては、伝達禁止及び利用禁止により、目的転用に対する保護が必要である。手続的予防措置としては、説明義務、情報提供義務及び消去義務が必要である。

（d）統計目的のためのデータの調査と処理は、憲法判断にとって軽視することができない特殊性を有する。データが様々な、予め規定することができない任務のために利用されることは、統計の本質に属する。統計の性質上、様々な利用及び結合の可能性を予め特定することができない以上、情報システムの内部において、情報の調査及び処理に、これを保障するだけの制限を設けなければならない。個人に関する申告の自動的な調査及び処理については、個人が、単なる情報客体として扱われないようにするための明確に定義された処理要件が定められなければならない。データ処理の多機能性に鑑み、あらゆる申告が求められてはならず、公的任務を充足する補助としてのみなされなければならない。立法者は、申請義務を定めるに際しても、それが該当者に社会的なレッテル（例えば、麻薬常習者、前科者、精神病者、はみだし人間）を貼ることにならないか、調査の目的が、匿名の調査によって達成することができないかどうかを吟味しなければならない。（後略）

（２）1983年国勢調査法９条の違憲性
（a）1983年国勢調査法9条1項は「２条１号及び２号に基づく国勢調査の申告は、届出記録簿と照合し、その訂正に利用することができる。この申告から得られる知識は、個々の申告義務者への対抗措置のために利用してはならない」とし、市町村にそのような利用権限を認めているが、この規定は、基本法1条1項に関連付けられた２条1項で保障される情報自己決定権を侵害する。なぜなら、1983年国勢調査から選び出される個人データは、統計目的だけでなく、具体的な目的拘束を受けない行政執行のためにも利用することができるし、さらに届出記録と照合する官庁は、届出法大綱法などによってその任務上、そうしたデータを他の官庁に伝達することができるから、どの官庁がどんな目的のためにデータを利用するかを予測することができないからである。（後略）

（b）国勢調査法９条２項も、基本法１条１項に関係づけられた２条１項に違反している。この規定は、個人に関係する個別的申告を連邦及び州の統計局から専門的権限を有する最上級の連邦及び州官庁並びにそれらに指定された機関に、これらの機関がその権限に属する任務を合法的に遂行するために必要である限り、伝達することを認めている。この規定は、連邦統計法11条５項（匿名化された個別事項の伝達を許容している）・６項を逸脱している。なぜなら、この規定によると、データは、単に氏名と９条２項２文による宗教団体への所属・非所属を削除すれば伝達することができるから、当該者を容易に識別することができるからである。伝達は単に統計目的のためにだけなのか、それとも行政執行のためにも許されるのかを、規定から認識することができない。この規定から、行政目的のための伝達が予定されているのか、匿名化されていないデータが提供される場合に必要なように、どのような具体的に明確に定義された目的が問題となるのかを、明確に認識することができない以上、それは市民の情報自己決定権を侵害している。

（c）国勢調査法9条３項は、基本法１条１項に関係づけられた２条１項に違反している。９条３項１文によれば、市町村の助けを借りて調査された個人関係項目は、名前を付すことなく、地方自治体の領域において特定の行政目的のために利用することができる。すなわち所得の額と宗教法人への所属・非所属を除く、国勢調査法２条ないし４条によって把握された個人に関係する個々の申告は、広域地方計画、測量業務、市町村の計画及び環境保護の目的のために、伝達することができる。しかしデータがどのような具体的目的のために伝達されるのか、特に統計目的のためだけなのか、行政執行目的も含まれるのか、その場合どのような具体的に明確に定義された目的が問題となるのかを、十分に認識することができない。規定された目的の不明瞭性についていえば、連邦及び州の統計庁も、それぞれの目的を達するための市町村又は市町村連合への伝達が、匿名化された項目でも十分でないのかどうかも確定することができない。（後略）

３．検討
（１）情報自己決定権
当時の西ドイツ基本法（現在のドイツ基本法）の２条１項（人格の自由な発展の権利）は、「何人も、…自らの人格の自由な発展を求める権利を有する。」と日本の憲法13条後段の幸福追求権のような規定を置いています。この基本権２条１項により、国民は他人の権利を侵害せず、憲法的秩序（＝基本権（＝基本的人権）など、憲法に適合した法秩序）または道徳律に違反しない限り、国民は一般的行動の自由を保障されるという「一般的行動の自由」が認められてきました。

ドイツ基本法
第1条 [人間の尊厳、基本権による国家権力の拘束]
(1) 人間の尊厳は不可侵である。これを尊重し、および保護することは、すべての国家権力の義務である。

第2条 [人格の自由]
(1) 何人も、他人の権利を侵害せず、かつ憲法的秩序または道徳律に違反しない限り、自らの人格の自由な発展を求める権利を有する。

日本国憲法
第13条　すべて国民は、個人として尊重される。生命、自由及び幸福追求に対する国民の権利については、公共の福祉に反しない限り、立法その他の国政の上で、最大の尊重を必要とする。

また、基本法１条１項（人間の尊厳）は「人間の尊厳は不可侵である。これを尊重し、および保護することは、すべての国家権力の義務である。」と日本の憲法13条前段の「すべて国民は個人として尊重される」に似た規定を置いています。そしてドイツ連邦憲法裁判所は、基本権１条１項の価値内容（人間の尊厳）を２条１項（人格の自由な発展の権利）で補充することにより、一般の行動の自由とは区別された、より限定された人格領域を「一般的人格権」として保障しているとしました。

一般的人格権の具体的な保障対象は、私的・秘密・内密領域、個人の名誉、個人の人格的表現、自己の肖像・発言に関する権利などであるとされています。個人はその私的な問題を自分で決定することができますが、これが一般的人格権に由来する「自己決定権」です。国勢調査事件判決は、この自己決定権と一般的人格権から、個人に自己の個人情報に対する自己決定権を「情報自己決定権」として認めたものです。

この情報自己決定権において重要なのは、個人情報の有用性と利用可能性であり、これらが永続性を有し、同質的に組み立てられた情報の集積として処理される点です。本判決はこの点を「些末な情報はもはや存在しない」と表現しています。そのため、個人情報保護の目的は、これまでなかった方法で個人の行動が監視・観察され、影響を与えられる方法が拡大されたことによる心理的圧迫を阻止することであるとされています。

（２）情報自己決定権の内容やその制約
この国勢調査判決においてドイツ連邦憲法裁判所は、情報自己決定権を「自己の個人データの放棄および使用について、原則として自ら決定する権限」と定義し、その制約については、①優越した一般的利益、②規範の明確性の要請を満たした法律上の根拠、③比例原則、④人格権侵害を予防するための組織的・手続的予防措置を要求しました。また、⑤統計目的のデータ取得については、統計目的で取得したデータを法執行目的で利用する場合には、限定的で具体的な利用目的による拘束が不可欠であり、規範の明確性の要請が特に重要であるとしました。

ドイツ憲法裁判所は国勢調査判決において、個人情報・個人データについて「（公権力からの）申告の性質だけに照準を合わせることはできない。決定的であるのは、（個人情報・個人データの）その有用性や利用可能性である。これらは、一方における取得の目的、他方における情報技術に固有の処理可能性および結合可能性に左右される。それにより、それだけを見れば些末な情報が、新たな位置・価値を取得する。その限りで、自動化されたデータ処理という前提のもとでは、「些末な」情報はもはや存在しない。」と述べ、情報自己決定権の必要性を説明しています（小山剛「なぜ「情報自己決定権」か」『日本国憲法の継承と発展』320頁）。

日米の自己情報コントロール権とヨーロッパの情報自己決定権との違いは、情報自己決定権に対する公権力などからの制約には、上の①から⑤までの要件・歯止めがある一方で、自己情報コントロール権にはそのような公権力からの制約に関する要件・歯止めが不十分であることにあるとされています。

例えば、警察のNシステムによる自動車のナンバープレート情報や、公道に設置された防犯カメラ・監視カメラによる人の容貌や顔などの情報など、それ自体は外部に公開されている情報の、法的強制を伴わない取得・保存・利用において顕著に表れるとされています。

Nシステムについて2009年の日本の裁判例（東京高裁平成21年1月29日判決）は、「わが国においては警察法２条１項の規定により任意の捜査は許容されており、公道上の何人でも確認し得る車両データを収集・利用することは適法」としています。

一方、ドイツ連邦裁判所は「自動車ナンバープレートの自動記録に関する法律は、法律による授権の特定性および明確性という法治国家の要請を充足しなければならない。」「不特定の広範さゆえに、この法律の規定は憲法上の比例原則の要請も満たしていない」として違憲としています（2008年3月11日ドイツ連邦憲法裁判所第一法廷判決・BVerfGE 120.378[407.427]、小山・前掲）。

このドイツをはじめとするヨーロッパの情報自己決定権は、アメリカの自己情報コントロール権に影響されてドイツ等で生み出されたものとされています（藤原静雄「「西ドイツの国勢調査判決における「情報の自己決定権」」一橋論叢94巻5号728頁）。

（３）欧州基本権憲章・GDPRなど
欧州の基本権憲章（いわゆるEU憲法）は、欧州各国の2007年のリスボン条約批准で成立し、2009年より発効し法的拘束力を持つものとなっています。この欧州基本権憲章は７条で古典的プライバシー権や通信の秘密などについて規定し、８条は個人情報保護に関する規定を置いています。この８条の個人情報保護の土台となるのが上でみた情報自己決定権であり、欧州は個人情報保護の問題について、古典的プライバシー権と情報自己決定権を組み合わせて問題を処理しているとされています。そして情報自己決定権、欧州基本権憲章７条・８条を土台としてGDPR（EU一般データ保護規則）などが制定されています。

（４）日本の自己情報コントロール権の状況
日本においては、プライバシー権と個人情報保護法（個人データ保護法）については、アメリカで「ひとりで放っておいてもらう権利」として生まれた従来からの古典的なプライバシー権を包含する形で自己情報コントロール権が生まれ、佐藤幸治教授などにより日本に輸入され、日本においては自己情報コントロール権が通説的な見解とされています。

つまり、個人の私的領域に他者を無断で立ち入らせないという自由権的なプライバシー権は、情報化社会の進展に伴い、「自己に関する情報をコントロールする権利」（自己情報コントロール権）としてとらえられ、自由権的側面だけでなく、プライバシーの保護を公権力に対して積極的に要求してゆく側面が重視されるようになってきているとされています。すなわち、個人に関する情報（個人情報）が行政機関などに集中的に管理されるようになった現代社会においては、個人が自己に関する情報を自らコントロールし、自己に関する情報についての閲覧・訂正ないし抹消請求を求めることが必要であると考えられています（芦部信喜・高橋和之補訂『憲法 第７版』123頁）。そしてこの考え方は、棟居快行教授の「自己イメージコントロール権」や、山本龍彦教授の「構造審査とコミュニケーションの相手方や媒体などにより自己の情報を出し入れする自己情報コントロール権」などに発展しています。

このような日本の自己情報コントロール権に状況について、宍戸常寿教授らの『憲法１基本権』121頁は、自己情報コントロール権は「漠然としている」などの問題点を指摘しつつも、個人情報の開示・訂正等の請求権は基本権（人権）であるとしています。

一方、情報セキュリティやITの専門家である情報法制研究所の高木浩光氏（工学博士）は、個人情報保護法の立法目的は「データによる人の選別」を防ぐことであるとして、日米の自己情報コントロール権や欧州の情報自己決定権を批判しています。
・高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱｜JILIS

このブログ記事が面白かったら、ブックマークやシェアをお願いします！

■関連する記事
・ドイツ・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権について
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた（追記あり）－個人情報・プライバシー・労働法・GDPR・プロファイリング

■参考文献
・平松毅「自己情報決定権と国勢調査－国勢調査法一部違憲判決」『ドイツの憲法判例（第２版）』60頁
・小山剛「なぜ「情報自己決定権」か」『日本国憲法の継承と発展』320頁
・藤原静雄「西ドイツ国勢調査判決における「情報の自己決定権」」『一橋論叢第』94巻第５号728頁
・渡辺康行・宍戸常寿・松本和彦・工藤達郎『憲法１基本権』121頁
・山本龍彦・横大道聡『憲法学の現在地』139頁
・曽我部真裕「自己情報コントロールは基本権か?」『憲法研究』2018年11月号71頁
・高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱｜JILIS

タグ ：

情報自己決定権

国勢調査事件

ドイツ

欧州

自己情報コントロール権

高木浩光

GDPR

個人情報

security

privacy

（Yahoo!Japanより）

このブログ記事の概要
Yahoo!JapanなどのEU域内に事業所等のない日本企業であっても、EU域内の個人へのネット上のサービスなどを提供している場合、GDPRの直接適用を受け、万一違反をした場合には罰則・制裁金を科されるリスクがある。

１．Yahoo!Japanが2022年4月6日よりEUおよびイギリスでサービスを終了
Yuta Kashino様（@yutakashino）のTwitterの投稿などによると、Yahoo!Japan（ヤフージャパン）が2022年4月6日よりEUおよびイギリスでサービスを終了するとのことです。「ビッグテックのCookie利用で，仏政府が今月頭にGDPRを根拠に巨大制裁金を課した」からであろうとYuta Kashino様はしておられます。


（Yuta Kashino様（@yutakashino）のTwitterより）
https://twitter.com/yutakashino/status/1488355581148737537

Yahoo!Japanもプレスリリースを出しています。
・重要なお知らせ　2022年4月6日 (水)よりYahoo! JAPANは欧州経済領域（EEA）およびイギリスからご利用いただけなくなります｜Yahoo!Japan

２．4月６日以降に欧州から個人がYahoo!Japanサイトへアクセスして、その上でGDPR違反が問われたら、YJは巨額制裁金を支払うことになるのだろうか？
このYahoo!Japanの対応に関しては、Twitter上で「4月６日以降に欧州から個人がYahoo!Japanサイトへアクセスして、その上でGDPR違反が問われたら、YJは巨額制裁金を支払うことになるのだろうか？」などの疑問を提起されています。この問題に関しては、GDPRの解説書などを読む限り、そのリスクがあるのではないかと思われます。

３．EU域内に拠点のない企業でも、EU域内の個人に対するサービスの提供等を行う場合、GDPRが直接適用される
（１）EUのGDPR（EU一般データ保護規則）3条２項
この点、小向太郎・石井夏生利『概説GDPR』33頁は、

「EU域内に拠点のない企業でも、EU域内の個人に対するサービスの提供などを行う場合、GDPRが直接適用される」

と解説しています。

そして、EUのGDPR（EU一般データ保護規則）3条２項はつぎのように規定しています。

「取扱活動が以下と関連する場合、本規則は、EU域内に拠点のない管理者又は処理者によるEU域内のデータ主体の個人データの取扱いに適用される」

「（a）データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品又はサービスの提供。又は」

「（b）データ主体の行動がEU域内で行われるものである限り、その行動の監視」

（GDPR3条２項の日本語訳。個人情報保護委員会サイトより。）
・GDPR仮日本語訳｜個人情報保護委員会

つまり、「（a）EU域内のデータ主体（＝個人）に対する物品又はサービスの提供」をする場合、または「（b）データ主体の行動がEU域内で行われるものであり、その行動の監視」をする場合のいずれかのときは、EU域内に拠点のない事業者に対してもGDPRが直接適用されることになり、もし万一当該事業者がGDPR違反をした場合には、GDPRに基づく罰則・制裁金などが科されるリスクがあることになります（最大2000万ユーロまたは前会計年度の世界売上の４％のいずれか高い方の金額の制裁金。同83条）。

（２）どのような場合にGDPRが直接適用されるのか？
どのような場合にGDPRが直接適用されるのかについて、小向・石井・前掲35頁以下は、"オンラインサービス提供者の意思が問題となるが、英語でサイトを作成しているだけでなく、ユーロやポンドなどを決済通貨にしてる場合はGDPR3条2項でGDPRが直接適用されるだろう”としています。

また同書は、「.eu」や「.de」などのドメインをサイトに利用してる場合や、『euのお客様へ』などの説明文がある場合、さらにEUの個人の行動ターゲティング広告や位置情報の把握などを実施していたり、cookieなどでeu域内の個人を追跡してる場合などは、GDPR3条2項(b)が適用されるだろうとしています。

この点、冒頭のYuta Kashino様が指摘されているように、Yahoo!JapanはおそらくこのGDPR3条2項(b)が適用され、GDPRの直接適用があるので、GDPRによる罰則・制裁金などのリスクを回避するために４月からEUとイギリスでのサービス提供を終了するのではないかと思われます。

なぜなら、Yahoo!Japanは行動ターゲティング広告などを提供する等のために、Cookieなどにより国内外のユーザーのネット上の行動を追跡・監視しているからです。

この点、Yahoo!Japanの「プライバシーセンター」の「パーソナルデータの取得」のページは、

●Yahoo! JAPANのウェブページへのアクセスに伴って送信された「IPアドレス」を取得する場合
●Yahoo! JAPANのウェブページの閲覧履歴を取得する場合
●Yahoo! JAPANの検索機能を利用する際に入力された検索キーワードを取得する場合
●Yahoo! JAPANのショッピングサービスでの購買履歴を取得する場合
●「Yahoo!防災速報」「Yahoo!天気」「Yahoo! MAP」などをインストールされている端末に対して、所在地に応じた災害情報などをお知らせするために、端末の位置情報を取得する場合
●Yahoo! JAPANの広告主や広告配信先などのウェブページやアプリを利用した場合に、そのパートナーのウェブページやアプリにYahoo! JAPANの「ウェブビーコン」などを設置して「クッキー」や端末情報を参照することで、お客様がご利用の端末を識別するための情報を取得する場合

・パーソナルデータを取得する場合｜Yahoo!Japan


などの場合に、Yahoo!JapanはユーザーのIPアドレス、サイト閲覧履歴、検索キーワード、位置情報、Cookieや端末ID、端末情報などを収集するとしています。

つまり、Yahoo!Japanは同社サイトの各種のサービスを利用しているユーザー・顧客のIPアドレス、サイト閲覧履歴、検索キーワード、位置情報、Cookieや端末ID、端末情報などを収集し、それぞれのユーザーのネット上の行動や位置情報などを監視・追跡しているので、GDPR3条２項（b）が適用され、Yahoo!Japanの事業所等が仮にEUになく、EUの域外にしかないとしても、GDPRが直接適用されることになります。そのため、万一Yahoo!JapanがGDPR違反をした場合には、罰則・制裁金などが科されるリスクがあることになります。

４．そもそもGDPRの罰則が日本企業に科されるのか？
ところでネット上をみていると、「そもそもEUのGDPRの罰則が日本企業に科されるはおかしいのではないか？」との意見をみかけます。

この点、たしかに日本の刑法は原則として属地主義であり、日本国内で起きた犯罪を処罰するものです（刑法１条）。しかし、刑法２条から５条までが規定するとおり、日本国民が殺人や強盗など海外で重大な犯罪被害を受けたような場合には、日本の刑法は海外にも適用されます（属人主義）。また、内乱罪や通貨偽造罪など日本の国家的利益を損なう犯罪に対しても日本の刑法が海外に適用されるほか（保護主義）、例えばハイジャックなど世界的な利益に対する犯罪にも日本の刑法が適用されることがあります（世界主義）。

このように、法律は国内だけでなく国外にも適用される場合があります。法律は国をまたいで適応の範囲が重なりあう場合があるのです（小向・石井・前掲38頁、大塚裕史・十河太朗・塩谷毅・豊田兼彦『基本刑法Ⅰ総論 第２版』449頁）。

例えば、日本の個人情報保護法75条も、匿名加工情報に関しては国外の事業者にも日本の個人情報保護法が適用されるとの条文を置いています。

個人情報保護法
（適用範囲）
第７５条　第十五条、第十六条、第十八条（第二項を除く。）、第十九条から第二十五条まで、第二十七条から第三十六条まで、第四十一条、第四十二条第一項、第四十三条及び次条の規定は、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。

５．GDPRの十分性認定とは？
また、「日本はEUからGDPRの十分性認定を受けているので、GDPRの罰則が適用されるのはおかしいのでは？」という疑問もネット上でみかけます。

この点、EUのGDPRは原則として、EU域内の個人データがEU域外に移転することを禁止しています。しかし、①十分性認定（45条）、②拘束的企業準則（BCR（Binding Corporate Rules）46条２項（ｂ）、47条）、③標準データ保護条項（SCC（Standard Contractual Clauses）46条２項（c）（ｄ））、④行動規範（46条２項（e））、⑤認証（46条２項（f））などがある場合には、EU域内の個人データがEU域外に移転することを認めています。

日本は2019年１月にEUからGDPR45条に基づき十分性認定を受けているため、上の拘束的企業準則や標準データ保護条項などの法的手続きを経ずに企業などがEU域内の個人データがEU域外に移転することができることになっています（越境データ移転の問題）。

しかしこれはあくまでも拘束的企業準則や標準データ保護条項などの法的手続きを経ずに企業などがEU域内の個人データがEU域外に移転することができるという越境データ移転の問題であり、日本の企業などがEU域内の個人データに関してGDPR違反をした場合には、上でみたように同３条２項によりGDPRが直接適用され、罰則や制裁金が科されるリスクがあることになります。

６．まとめ
このように、日本はEUからGDPRの十分性認定を受けていますが、しかしEU域内に事業所がある企業や（GDPR３条１項）、EU域内に事業所がない企業でも、例えばECやスマホアプリやゲームの開発などで、EU域内の個人にネットのオンラインサービスなどを提供している事業者などは（同３条２項）、GDPRの適用を受け、万が一GDPR違反をした場合には、罰則や制裁金などが科されるリスクがあることになります。

この点、日本の個人情報保護委員会は、GDPRの日本語訳や各種のガイドラインの日本語訳などをサイトに掲載しています。また、個人情報保護委員会は、「個人情報の保護に関する法律に係るＥＵ及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」等も準備しています。そのため、EU域内に事業所のある企業や、EU域内の個人などにネット上のサービスを提供している企業などは、日本の個人情報保護法だけでなく、これらのEUなどの各種の法律やガイドライン、ルール等の法令遵守も必要になると思われます。

・日EU間・日英間のデータ越境移転について｜個人情報保護委員会
・GDPR（General Data Protection Regulation：一般データ保護規則）｜個人情報保護委員会
・個人情報の保護に関する法律に係るＥＵ及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール｜個人情報保護委員会

このブログ記事が面白かったらブックマークやシェアをお願いします！

■参考文献
・小向太郎・石井夏生利『概説GDPR』33頁、38頁、41頁、141頁
・大塚裕史・十河太朗・塩谷毅・豊田兼彦『基本刑法Ⅰ総論 第２版』449頁

■関連記事
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか？
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか？－プロファイリング拒否権・デジタル荘園・「デジタル・ファシズム」
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・文科省が小中学生の成績等を一元管理することを考える－ビッグデータ・AIによる「教育の個別最適化」
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた－AI・教育の平等・データによる人の選別
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた（追記あり）－貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた（追記あり）－個人情報・プライバシー・労働法・GDPR・プロファイリング
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)－個人情報・公務の民間化
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・飲食店の予約システムサービス「オートリザーブ」について独禁法から考えた
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか？

タグ ：

Yahoo!Japan

ヤフージャパン

GDPR

EU

一般データ保護規則

十分性認定

越境データ

LINE

個人情報保護委員会

PPC