なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:LINEスコア

LINEスコア
1.個人情報保護法24条の「外国」に国名の明示は必要か?
LINEの個人情報漏洩事件では、LINEの個人情報が中国・韓国に移転していたことが大きな問題となっています。

■これまでのブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの中国・韓国へのLINEペイに関する個人情報漏洩や個人データの外国への越境を考えた


個人情報保護法24条は、①「外国」が個人情報保護法が個人情報保護レベルが日本と同等で安全と認定(日本版十分性認定)した国であれば個人データの第三者提供可能であること、あるいは②外国の「事業者」が個人情報保護委員会の定める安全管理の基準をクリアしていれば第三者提供可能であること、しかし①②を満たしていない場合はそのような安全でない「外国の第三者」に個人データが第三者提供などされることの「本人の同意」が必要であると規定しています。

この点、①については、個人情報保護委員会が安全とお墨付きをした国は、2019年現在、EUとイギリスのみです(平成31年個人情報保護委員会告示第1号)。つぎに、②についても、LINEがそのように主張していない以上、安全管理の体制を満たす事業者ではないようです。そのため、LINEの件では③の安全でない「外国の第三者」に個人データが第三者提供などされることの「本人の同意」が必要になります。

しかし、LINEは「LINEプライバシーポリシー」の「5.パーソナルデータの提供」において、「当社は、お客様から同意を得た場合(略)、お客様のお住まいの国や地域と同等のデータ保護法制を持たない第三国にパーソナルデータを移転する場合があります」と、国名を具体的に明示していません。

2.「外国」は国名を明示しなくてよいのか?
そこで、法24条の「外国」について、③の本人の同意を取得するにあたって、あらかじめプライバシーポリシーなどで国名を明示する必要がないのかが問題となります。

この点について、改正法案の立案担当者が執筆した、日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』は、「原則として国レベル」の表示が必要としています。

この点、個人情報保護委員会の個人情報ガイドラインQA9-2、9-3は、「事業の性質及び個人データの取扱状況に応じ、当該本人が当該同意に係る判断を行うために必要と考えられる適切かつ合理的な」な情報提供が必要であるとした上で、国名を明示しなくてもよい3つの具体例を例示しています。(薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁も同旨。)

法24条の国名を明示しなくてよい3つの具体例
①提供先の国又は地域名(例:米国、EU 加盟国)を個別に示す方法

②実質的に本人からみて提供先の国名等を特定できる方法(例:本人がサービスを受ける際に実質的に本人自身が個人データの提供先が所在する国等を決めている場合)

③国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法など(例えば、本人が日本の旅行会社に外国旅行を申し込んだ場合に、当該旅行会社が当該国の宿泊先に当該本人の情報を提供する場合)

LINEのプライバシーポリシーについては、具体例の②③が問題となります。具体例②についてみると、日本のLINEユーザーは、自分がLINEのサービスを受ける際に、自分自身の個人データの提供先を中国・韓国に決めていることはまずないと思われますので、具体例②は該当しません。つぎに、具体例③についても、日本の大半のLINEユーザーは、中国・韓国に旅行をするためにLINEを利用する等の事情はないと思われ、やはり具体例③も該当しません。

したがって、国名を明示しなくてもよい具体例のいずれにもあてはまらないので、やはり外国の国名を明示していないLINEのプライバシーポリシーは、個人情報保護法24条に違反しているのではないでしょうか。

一般人の理解に照らして「「外国の事業者」に自分の個人データが移転することがある」とのプライバシーポリシーを読んで、自分のセンシティブ情報の医療データや、マイナンバー等の重要な個人データが、韓国や中国に移転するとは合理的に判断できないのですから、やはりLINEの外国の国名を明示していないプライバシーポリシーは個人情報保護法24条違反であるとともに、消費者にとって騙し討ち的であり、消費者契約法10条や民法548条の2第2項(定型約款)に抵触しているのではないでしょうか。

3.民事上のリスク・風評リスクなど
また、LINEは法的トラブルとなったとき(現に今なっていますが)、法24条の条文が「国名を明示しろ」とは書いていないからと、かりに対行政庁のリスクはぎりぎりしのげたとしても、顧客との民事上のリスク(損害賠償請求のリスク)や風評リスク・レピュテーションリスクなどは回避できるのでしょうか?

プライバシーポリシーに明示もせずに、顧客の重要なデータを含む個人データを、日本の友好国とはいえない中国・韓国の事業者に勝手に移転していたということで、LINE・ヤフージャパン・Zホールディングスの日本の顧客や投資家、取引先、従業員などからの信頼は大きく低下するのではないでしょうか。そしてそれは、LINEをプラットフォームとしてビジネスや業務を展開していた、損保ジャパン、ライフネット生命、エン・ジャパン、総務省、厚労省、神奈川県、大阪府などの自治体なども同様と思われます。

4.個人情報のごった煮状態
それにLINEの問題は法24条だけでなく、LINE上でさまざまなサービスを展開することで結果として法15条、16条個人情報の利用目的を必要最小限に特定せず、幅広な個人情報を収集・利用していることや、法20条、22条の委託先の監督など安全管理措置がボロボロだったことにあるのではないでしょうか。

LINEは個人情報保護法がザル法であることをいいことに、多様な利用目的で多種多様な個人情報を収集し、「情報のごった煮状態」で個人情報の管理・分析・利用を行い、LINEスコアなどの、多種多様な個人データで個人の信用スコアを算定するというビジネスさえも実施しています。

(多種多様な業種・業界の企業と業務提携して個人データを収集し、「情報のごった煮状態」でデータマーケティングを運営しているTポイントのCCC(カルチュア・コンビニエンス・クラブ)に対しても、そのビジネスモデルに対して社会的批判が寄せられています。)

本人が把握しきれないような個人に関する多種多様な膨大な情報を事業者が保有している状況で、LINEスコアのような信用スコア事業を実施するのは、「コンピュータによる個人データの自動処理のみで法的決定や重大な決定を行ってはならない」という1980年代以降の世界の個人データ保護法制の立法目的や流れに反してるのではないでしょうか。(例えば、2019年のAIと労働者に関する厚労省労政審報告書、1996年ILO「労働者の個人情報保護に関する行動基準 一般原則5-6」、労働省「労働者の個人情報保護の基本方針」6(6)やGDPR22条など。)

コンピュータ自動処理拒否権の歴史の図1
コンピュータ自動処理拒否権の歴史の図2


また、LINEはこの個人情報のごった煮状態で、LINEキャリアなどの人材ビジネスをも実施しています。これも、就活生が想像もできない方法でネット閲覧履歴などを収集・分析し、就活生の内心に関するデータを採用企業に販売するなど、就活生を裏切るビジネスモデルが大きな社会的非難を招いたリクナビ事件などのような法的リスクを含んでいるのではないでしょうか。(なお、この問題は、ネット系人材会社LAPRASなどにおいても同様と思われます。)

2020年改正の個人情報保護法は16条の2に、リクナビ事件などのような個人情報の不適正な利用を禁止する条文を新設しました。同改正法は2022年4月から施行ですが、LINEの各ビジネスは、法16条の2をクリアできるのかが問題となると思われます。

■関連するブログ記事
・人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか?
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える

■参考文献
・岡村久道『個人情報保護法 第3版』267頁
・日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』140頁、143頁
・薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁



個人情報保護法のしくみ [ 日置 巴美 ]

個人情報保護法〔第3版〕 [ 岡村 久道 ]

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じている [ 鈴木正朝 ]

このエントリーをはてなブックマークに追加 mixiチェック

tatemono_bank_money

1.みずほマイレージクラブが改正となる
みずほ銀行のプレスリリースによると、来年(2020年)3月1日から、ATMの料金などに関する優待制度の「みずほマイレージクラブ」が大きく改悪となり、全体的に利用者にとって厳しいものとなるようです。

・「みずほマイレージクラブ」のサービス内容の変更について|みずほ銀行

みずほマイレージクラブ改正図
(みずほ銀行サイトより)

このみずほマイレージクラブでは利用者を、Bステージ、Aステージ、Sステージ と三段階のステージに分けて条件を設定しています。

今回の改正では、投資信託など資産運用商品について、現在は「残高あり」の条件を満たすとSステージとなったものが、来年3月からは「合計100万円以上」に条件が変更になるようです。

また、預金などの「預かり資産」について、現在は「50万円以上」の条件を満たすと、Aステージとなったものが、来年3月からはこの条件が廃止となるようです。

さらに、コンビニATMについては、イーネットATM(ファミリーマート等)での手数料の一部無料は継続するようですが、セブン銀行およびローソン銀行は一部無料を完全に廃止するようです。

加えて、Bステージ・Aステージは、他行宛振込手数料の一部無料がこれも完全に廃止となるようです。

このように、みずほ銀行の制度改正により、全体的に顧客の利便性、みずほ銀行に口座を持っているメリットは大きく後退しそうです。

2.信用スコア「J.Score」の登場
ところで、今回のみずほマイレージクラブの改正においては、一番エントリーレベルのBステージに、「J.Score を利用し、スコアをみずほ銀行に提供すること」という条件を新たに創設していることが、この改正の一番のポイントといえるのではないでしょうか。

AI、フィンテック(Fintech)、「個人情報の利活用」、「データ経済」などの言葉がもてはやされる時代に、メガバンクの一角であるみずほ銀行が、数年前からJ.Scoreという信用スコア事業を行っているのが気味が悪いと思っていたのですが、今回のみずほマイレージクラブの改正で、ついにJ.Scoreがみずほの正面に出てきてしまいました。

Sステージ、Aステージの、いわば富裕層に対しては、J.Scoreによる個人情報を寄越せとは言わないが、Bステージのあまりお金のない人に対しては、「ATMの時間外手数料やコンビニATM手数料をちょっと無料にしてほしければ、個人情報の山である信用スコアをよこせ」と言うみずほ銀行の姿勢は、控えめにいっても、銀行、とくにわが国を代表するメガバンクの一つとしての品格がある姿勢とは思えません。(日銀のマイナス金利政策など、みずほ銀行側の事情は理解できますが。)

今はまだ、みずほマイレージクラブのエントリーレベルの条件のみにJ.Score を限定していますが、近い将来、みずほ銀行のすべてのサービスの条件になってしまうのではと、昔からの利用者としては不安になります。

あるいはもし今後、三菱UFJ銀行や三井住友銀行も、信用スコアを自社サービスの前提条件とするようになったら、メガバンクによる、信用スコアの国民への事実上の強制が始まってしまいます。中国のような監視社会を連想させるものがあります。

3.個人情報保護法
このような、みずほ銀行の、圧力営業的あるいは強要・脅迫的な手法で個人情報を取得するという手法は、「偽りその他不正な手段で個人情報を取得してはならない」という個人情報保護法17条に抵触しないのか、気になるところです。

また、少し前に炎上した、ヤフースコア(Yahoo!スコア)、LINEスコアなどと同様に、J.Scoreについても、「これまで利用者・顧客が各銀行サービスを利用する目的で各取引においてみずほ銀行に提供してきた個人情報・個人データの山を、みずほ銀行が信用スコア事業という別の事業の目的に使用してよいのか?」という目的外利用(同法15条、16条)の問題がやはり発生するように思われます。

あるいは、社会一般の事業会社、例えば自動車メーカー、百貨店・スーパー・コンビニなどの小売業などと比較して、銀行・金融機関は、利用者・国民に対して、時間的スパンの長い、継続的な取引とさまざまな種類の金融商品の取引により、時間的にも質的・量的にも非常に多い、顧客の個人データの山を保有しているように思えます。

「相手は銀行だから」と信頼してデリケートな内容を相談する顧客も多いでしょうし、資産情報そのものがデリケートな個人情報です。近年は銀行も保険の販売等を扱っているので、顧客やその家族の傷病の情報など、センシティブな個人情報を保有する度合いは高くなっていると思われます。

このような機微で大量の個人情報を保有する銀行・金融機関と、一般の事業会社を同列に扱い、一般の事業会社と同じように銀行・金融機関に簡単に信用スコア事業をさせてしまってよいのか、それが国民個人の権利利益や福利にかなうのか、大いに疑問です(同法3条)。

このような問題について、個人情報保護委員会や公取委はどう考えているのか、一国民として気になるところです。

■関連するブログ記事
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか?


人気ブログランキング





このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ