なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:PPC

読売新聞記事
(読売新聞サイトより)

1.JR東日本が駅構内等で防犯カメラと顔認識システムを利用して、刑務所からの出所者や不審者を監視する防犯対策を実施しているとの読売新聞のスクープ記事
読売新聞の9月21日付の午前の記事で、「JR東日本が7月から、防犯カメラと顔認識システムを利用して、刑務所からの出所者と仮出所者や、不審者を駅構内などで検知する防犯対策を実施していることがわかった」とする記事がネット上で大きな注目を集めています。具体的には、①過去にJR東の駅構内などで重大犯罪を犯し服役した人(出所者や仮出所者)、②指名手配中の容疑者、③うろつくなどの不審な行動をとった人、を防犯カメラ・顔認証システムで監視し、必要に応じて警察と連携した対応を行うとしています。
・【独自】駅の防犯対策、顔認識カメラで登録者を検知…出所者の一部も対象に|読売新聞

JR東日本の2021年7月6日付のプレスリリース「東京2020オリンピック・パラリンピック競技大会に向けた鉄道セキュリティ向上の取り組み について」や、国土交通省のプレスリリース「鉄道の警戒警備の強化に関するお知らせ」によると、JR東日本は、東京オリンピック・パラリンピックの開催に合わせて、不審者、不審物などを監視するセキュリティの強化のために、新幹線や在来線の約110駅に約5800台の防犯カメラを設置し、変電所や車両基地などに約8350台の防犯カメラなどを設置し、さらに駅員にウェアラブル端末式の防犯カメラを装着させるなどして、収集したデータをセキュリティセンターで集中管理して監視を行うとされています。また、JR東日本のプレスリリースには「顔認証技術の導入に当たっては、個人情報保護委員会にも相談の上、法令に則った措置を講じています。」と書かれていることも気になる点です。
・東京2020オリンピック・パラリンピック競技大会に向けた鉄道セキュリティ向上の取り組み について|JR東日本
・鉄道の警戒警備の強化に関するお知らせ|国土交通省

ところが、この読売新聞のスクープ記事が報道された同日の夜には、新聞各社の報道によると、JR東日本は「顔認証システムで刑務所の出所者・仮出所者を監視する取組は撤回する」と発表したとのことです。
・駅で出所者の「顔」検知、JR東が取りやめ…「社会の合意不十分」と方針転換|読売新聞

JR東日本は、監督官庁である国土交通省や個人情報保護委員会などと調整した上で、この鉄道セキュリティ対策を企画・立案し実施したはずなのに、読売新聞のスクープ報道を受けてたった1日でその一部を撤回したのは不可解な話です。本ブログ記事では、このJR東日本の防犯カメラ・顔認証システムによる駅構内などにおける刑務所の出所者や不審者などの監視を、個人情報保護法などから問題点を検討してみたいと思います。

2.防犯カメラ・顔認証システム
顔認証システム(顔認証カメラ)とは、防犯カメラが収集した個人の顔の画像から、目、鼻、口といった顔の特徴をシステム的に数値化し、その「特徴点のデータ」(=「顔データ」、「顔認証データ」・「テンプレート」等と呼ばれる)を作成しデータベース(DB)に登録し、DB登録されている顔データとカメラで撮影し抽出した顔データを照合することで、特定の個人を識別するシステムのことをいいます。顔認証システムは、自動的に特定の個人を識別できることが、従来のただの画像という「生データ」しか取得しない従来の防犯カメラと大きく異なる点です。

そして、顔認証システムは特定の個人を識別するための「一対一の本人確認」のみならず、不特定多数の人間から特定の個人を識別する「一対nの識別」にも利用ができるため、警察や、今回話題となったJR東日本などのように民間企業でも利用が広がっています。

このような顔認証システムは、警察や民間企業などにとって有用性が高い一方で、撮影された個人の容貌の保護の問題(肖像権)、撮影方法や撮影画像の利用方法の問題(プライバシー権)、撮影された画像および顔データの保護の問題(個人情報の適切な取扱い)などについてさまざまな法的問題が発生します(新保史生「監視・追跡技術の利用と公法的側面における課題」『プライバシー・個人情報保護の新課題』(堀部政男編)201頁)。

3.個人情報保護法
(1)個人情報・個人データ
防犯カメラが撮影した生データとしての個人の顔や容貌などは、「個人に関する情報」であって、電磁的記録などを含むさまざまな情報・記述などにより、「あの人、この人」と「特定の個人を識別できるもの」は個人情報保護法上の「個人情報」に該当します(法2条1項1号)。そして民間企業などがコンピュータで体系的に処理する個人情報は「個人データ」に該当します(法2条6項)。

なお、従来、6か月以内に消去されるデータは個人データに該当しないと規定されていましたが、この規定は令和2年の個人情報保護法改正で改正され、改正法が施行される2022年4月以降は、6か月以内に消去されるデータも個人データに該当します(改正法2条7項)。

(2)顔データ・個人識別符号
今回問題となっている顔認証システムによる顔データ(顔認証データ)や遺伝子データ、声帯認証データ、歩行認証データ、指紋・掌紋認証データなどは、「個人に関する情報」であって「特定の個人を識別できるもの」である限り個人情報・個人データですが、平成27年の個人情報保護法改正で、これが個人情報・個人データに該当することを明確化するために、「個人識別符号」(いわゆる1号個人識別符号)という名称で、個人情報・個人データに該当することが条文上、明示されました(法2条2項1号、法2条1項2号)。

顔認証システムによる顔データは、個人情報保護法施行令1条1項ロの「顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌」に該当し、法2条2項1号の「特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの」である「個人識別符号」に該当するので、やはり個人情報・個人データに該当することになり、民間企業などは個人情報保護法第4章の規定する個人情報取扱事業者の義務を負うことになります。

(3)犯罪歴・要配慮個人情報
EUが1995年に制定したEUデータ保護指令は、病歴、犯罪歴、思想・信条、人種など社会的差別の原因になるおそれのある情報をセンシティブ情報(機微情報)として、個人情報のなかでも特に厳格な取扱いが必要であるとしました。しかし2003年に成立した日本の個人情報保護法は経済界の個人情報の利活用を重視するいわゆる「ザル法」であるため、このセンシティブ情報に関する規定はなく、金融庁などの個人情報保護ガイドラインなどにセンシティブ情報の規定が存在するにとどまっていました。しかし平成27年の法改正で日本の個人情報保護法にも、このセンシティブ情報は「要配慮個人情報」という名称でようやく取り入れられました(法2条3項)。

今回のJR東日本の防犯カメラ・顔認証システムで問題となる刑務所から出所や仮出所した人々を監視するということは、個人の犯罪歴に関わる情報の取扱ですので、この要配慮個人情報の取扱の問題となります。

要配慮個人情報について、個人情報保護法は、その収集には原則として本人の同意が必要であると規定し(法17条2項)、また要配慮個人情報の第三者提供については、オプトアウト方式による第三者提供を禁止しています(法23条2項かっこ書き)。

4.JR東日本の犯罪歴などの要配慮個人情報の取扱に法的問題はないのか?
このように、社会的差別をまねくおそれがあるために、犯罪歴、病歴、思想・信条、人種などの要配慮個人情報を民間企業などが収集するためには、原則として本人の同意が必要とされていますが、法はいくつかの例外を設けています。その一つが「法令に基づく場合」です。

個人情報保護法

(適正な取得)

第17条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
 法令に基づく場合
(略)
 当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
(後略)

読売新聞の記事によると、JR東日本は、「事件の被害者や目撃者、現場管理者らに加害者の出所や仮出所を知らせる「被害者等通知制度」に基づき、従来より検察庁から情報提供を受けている。出所者や仮出所者については情報が提供された際、JR東や乗客が被害者となるなどした重大犯罪に限って氏名や罪名、逮捕時に報道されるなどした顔写真をデータベースに登録する。」という取扱いを行うとされています。

つまり、"刑務所からの出所者、仮出所者などの情報は犯罪歴であり要配慮個人情報(法2条3項)に該当するが、「被害者等通知制度」という「法令に基づく場合」(法17条2項1号)の例外規定に該当するので、JR東日本が出所者などの個人の犯罪歴や氏名・住所などの要配慮個人情報や個人情報を本人の同意なしに収集することは合法である"とJR東日本は考えているようです。

(そして、この「被害者等通知制度」により法務省・検察庁から出所者等の氏名・住所・犯罪歴などの情報を収集し、その情報をもとにテレビや新聞などの報道機関の報道から出所者等の顔写真などの情報を収集することは、法17条2項5号の「当該要配慮個人情報が、…第76条第1項各号に掲げる者…により公開されている場合」の例外規定に該当し合法であるとJR東日本は考えていると思われます。)

しかし、このようなJR東日本の考え方は法的に正しくないと思われます。

JR東日本が出所者等の犯罪歴や氏名・住所などの情報を収集するための「被害者等通知制度」は、内閣府男女共同参画局や法務省のウェブサイトなどで調べると、法務省の制定した「平成28年5月27日法務省刑総第741号 被害者等通知制度実施要領」を根拠として運用されていると解説されています。

犯罪被害者通知制度
(法務省サイトより)
・被害者等通知制度実施要領|法務省

このような国会でなく、官庁の制定した「実施要領」(=通達)が、個人情報保護法17条2項が要配慮個人情報の本人の同意なしに例外的に収集を許す「法令」に該当するか否かが問題となります。

この点、個人情報保護法は、要配慮個人情報の収集、個人情報の目的外利用、個人情報の第三者提供の3つの場面においては、本人の承知しないところで本人の個人情報が不当に利用、保存、突合、連結、分析などが行われ勝手にプロファイリングに利用されてしまうリスクや、本人の承知しないまま本人の個人情報がある事業者から別の事業者へと転々と流通するなどのリスクを防止するため、本人に自らの個人情報をコントロールできるように、原則として本人の同意が必要であるとしています。

しかしこの三か所の場面には、例外として本人の同意が不要な場合として「法令に基づく場合」が規定されています(法17条2項1号、法16条3項1号、法23条1項1号)。

この「法令に基づく場合」が例外として許されている趣旨は、それぞれの法令は国会審議において、当該個人情報の収集等の必要性が立法意思として明らかにされ、当該法令により保護されるべき権利利益が明確であって、当該法令に照らして合理的範囲に限り取り扱われるものであることから適用除外とされていると解説されています(岡村久道『個人情報保護法 第3版』183頁、園部逸夫『個人情報保護法の解説(改正版)』124頁)。

つまり侵害されるおそれのある国民本人の基本的人権や権利利益の侵害の可否やその程度、それに対する法令の個人情報の収集の必要性などが、国民の信託を受けた国会議員による国会で十分審議された上で立法化される(はずな)ので、「法令に基づく場合」は例外として本人の同意が不要とされるのです。

そのため、この3つの場面の「法令に基づく場合」の「法令」とは、国会や地方自治体の議会の定める法律や条例、法律に基づいて制定される政令、府省令は含まれますが、官庁や自治体など行政機関が制定する訓令・通達含まれないとされています(個人情報保護法ガイドラインQ&A1-59、岡村・前掲183頁、園部・前掲124頁)。

この点、上でみたように、法務省・検察庁の「被害者等通知制度」は、国会などが立法した刑事訴訟法などの法律に根拠がある制度ではなく、行政機関である法務省の制定した「平成28年5月27日法務省刑総第741号 被害者等通知制度実施要領」という通達(要綱通達)を根拠として運用されているものであり、個人情報保護法17条2項1号の定める「法令に基づく場合」には該当しません。

したがって、法務省・検察庁の「被害者等通知制度」により出所者等の犯罪歴などの要配慮個人情報を収集することは個人情報保護法17条2項1号の「法令に基づく場合」に該当するので合法であるとするJR東日本の説明は法的に正しくありません。このようなJR東日本の犯罪歴などの要配慮個人情報の収集は違法といえます(法17条2項1号)。

5.プライバシー権や肖像権侵害による不法行為に基づく損害賠償責任の法的リスク
なお、上でも触れたとおり、事業者などがある個人の個人情報を違法・不当に取り扱った場合、個人情報保護法上違法となるだけでなく、当該個人の肖像権やプライバシー権の侵害であるとして不法行為に基づく損害賠償責任を負う法的リスクも発生することになります(民法709条、憲法13条)。

この点、ある自治体が弁護士会からの弁護士会照会(弁護士法23条の2)に対して、ある個人の前科を漫然と回答した事件に関して、1981年の最高裁は、当該自治体に対して不法行為に基づく損害賠償責任を認めています(前科照会事件・最高裁昭和56年4月14日判決)。

また、JR東日本の経営陣や法務・コンプライアンス部門などは、このような個人情報保護法など法令を十分に社内で検討せずに顔認証システム等の運用の企画・実施を行ったことを反省する必要があります。2019年の就活生の内定辞退予測データの販売が行われた、いわゆる「リクナビ事件」においては、個人情報保護委員会は、リクルートやトヨタなどに対して、「社内で個人情報保護法など法律を十分に検討せぬままに新しい業務を行ったこと」を理由として行政処分を行っているからです。
・個人情報の保護に関する法律に基づく行政上の対応について|個人情報保護委員会

同様に、監督官庁である国土交通省や個人情報保護委員会なども、JR東日本と事前にどのようなやり取りや法的判断を行ったのか等が問われる状況ではないでしょうか。

6.挙動不審者への対応について
しかしJR東日本は、出所者・仮出所者に関する対応は撤回した一方で、「うろつくなどの不審な行動をとった人」を防犯カメラ・顔認証システムで監視する取扱いは継続する方針であるそうです。

防犯カメラ・顔認証システムに関しては、従来、個人情報保護委員会などは個人情報保護法18条4項4号の「取得の状況からみて利用目的が明らかであると認められる場合」に該当するので、防犯カメラや顔認証システムを店舗などに設置している民間企業などは、個人情報の収集にあたって利用目的を通知・公表しなければならない(法18条1項)とする原則は適用されないと、極めて消極的な立場をとっていました。

しかし、2013年には独立行政法人情報通信研究機構がJR西日本の大阪駅構内に約90台の防犯カメラ・顔認証システムを設置して災害時の安全対策などの実証実験などを実施する計画を公表したところ、大きな社会的批判を受けた事件や、2016年にジュンク堂書店などにおける防犯カメラ・顔認証システムの利用が社会的に大きな賛否両論の議論を巻き起こしたことなどを受けて、平成27年の個人情報保護法改正に伴い、個人情報保護委員会は個人情報保護法ガイドラインQ&Aに規定を置きました。

すなわち、「防犯カメラが作動中であることを店舗の入口に掲示する等、本人に対して自身の個人情報が取得されていることを認識させるための措置を講ずることが望ましいと考えられます。また、カメラ画像や顔認証データを体系的に構成して個人情報データベース等を構築した場合、個々のカメラ画像や顔認証データを含む情報は個人データに該当するため、個人情報保護法に基づく適切な取扱いが必要です。」などの個人情報保護法ガイドラインQ&Aを追加するなどの対応を行っています(個人情報保護法ガイドラインQ&A1-11)。

また、民間企業などが防犯カメラではなく、店舗にカメラを設置して顧客の行動をモニタリング・監視してマーケティング活動など商用目的でカメラや顔認証システムを利用することについても、経産省と総務省が2018年3月に『カメラ画像利活用ガイドブックver2.0』を作成し公表しています。
・「カメラ画像利活用ガイドブックver2.0」の公表|総務省

このカメラ画像利活用ガイドブックは、個人情報保護法を遵守した上で、商用カメラの付近や店舗などの入り口などに、個人情報の利用目的や商用カメラの実施運用主体の名称及び連絡先などを記載した書面などを掲示することなどを求めています。

さらに、個人情報保護委員会は本年9月令和2年個人情報保護法改正に対応した同ガイドラインQ&Aを公表しましたが、同Q&Aにおいても、防犯カメラ・顔認証システムに関するQAがさらに追加されています。

とくに、同ガイドラインQ&A((令和2年改正法関係)の7-50は、防犯カメラ・顔認証システムにより収集された顔データの共同利用に関するものですが、次のように、①共同利用する顔データなどは防犯の利用目的のために「真に必要な範囲に限定」し、②「データベースへの登録条件を整備し、犯罪行為などに関係ない者の情報を登録しないこと」、③「個人データの開示等の請求及び苦情を受け付け、その処理に尽力するとともに、個人データの開示、訂正、利用停止等の対応に、管理責任者を明確に定めて必要な対応を行うこと」などを事業者側に要求し、防犯カメラ・顔認証システムに関して事業者側に厳格な運用を行うことを求めています。

個人情報保護法ガイドラインQ&A(令和2年改正法関係)7-50

(前略)『防犯目的のために取得したカメラ画像・顔認証データを共同利用しようとする場合には、共同利用されるカメラ画像・顔認証データ、共同利用する者の範囲を目的の達成に照らして真に必要な範囲に限定することが適切であると考えられます。』
(中略)
『例えば共同利用するデータベースへの登録条件を整備して犯罪行為や迷惑行為に関わらない者の情報については登録・共有しないことが必要です。』
(中略)
『さらに、個人データの開示等の請求及び苦情を受け付けその処理に尽力するとともに個人データの内容等について開示、訂正、利用停止等の権限を有し安全管理等個人データの管理について責任を有する管理責任者を明確に定めて、必要な対応を行うことが求められます。』

PPC個人情報QA7-50
・個人情報保護法ガイドラインQ&A(令和2年改正法関係)|個人情報保護委員会

このように個人情報保護委員会が事業者に対して防犯カメラ・顔認証システムの厳格な運用を求めるのは、近年、防犯カメラ・顔認証システムの警察や民間企業などによる利用が増加するに伴い、店舗の従業員などのミスや悪意、あるいは恣意的な運用などで、本当は万引きなどをしていないのに、「万引き犯人」として事業者の万引き犯人のブラックリストのデータベースに誤登録されてしまい、その情報が他の店舗や他の事業者などと共有化され、当該万引き犯人と誤登録された人が、誤登録された店舗だけでなく、他の店舗や他の業種・業界の店舗でも「万引き犯」や「万引き犯予備軍」などとして違法・不当な取扱いを受け、多くの小売店で買い物をすることが事実上できなくなってしまう等の、いわゆる「万引き犯罪の冤罪被害者の問題」が存在します。

もちろんスーパー、コンビニ、書店、ドラッグストアなどの小売業において万引き犯罪は死活問題であり、犯罪である万引き犯罪は撲滅されるべきですが、しかしそのための防犯カメラ・顔認証システムの運用において、一般の国民に「万引き犯の冤罪被害者」が発生してしまうことは、これも当該被害者の方々の平穏な生活を営むなどの基本的人権を侵害する重大な問題です。

■関連する記事
・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで|なか2656のブログ
(万引き犯罪の冤罪被害者の方々が取りうる対処方法については、このブログ記事の「4.顔認証データの共有」の部分をご参照ください。)

このように防犯カメラ・顔認証システムは「もろ刃の剣」であるため、それを運用する事業者は、上でみた新しい個人情報保護法ガイドラインQ&A7-50が説明するとおり、①顔データなどは防犯の利用目的のために「真に必要な範囲に限定」し、②「データベースへの登録条件を整備し、犯罪行為などに関係ない者の情報を登録しないこと」、③開示・訂正・利用停止請求や苦情の申出などには真摯に対応すること、などが要求されます。

また、個人情報保護法15条は事業者は「個人情報の利用目的をできるだけ特定」することを要求していますが、これは事業者に個人情報の利用目的をできるだけ特定させることにより、事業者が個人から収集する個人情報を利用目的の達成のために必要最低限にさせる趣旨であるとされています(宇賀克也『個人情報保護法の逐条解説 第6版』131頁)。

この点、JR東日本は21日夜に、「うろつくなどの不審な行動をとった人」に対しては防犯カメラ・顔認証システムによる監視・モニタリングを継続する方針を公表したとのことですが、新しい個人情報保護法ガイドラインQ&A7-50などが説明するとおり、「うろつくなどの不審な行動をとった人」について、「データベースへの登録条件を整備」「関係のない者の情報を登録しないこと」を徹底すること、開示・訂正・利用停止等の請求や苦情申出などに対して誠実に対応することなどが求められます。

ところが、JR東日本のウェブサイトを見る限り、同社は防犯カメラ・顔認証システムの運営基準・規則などを制定し公表していないようです。「うろつくなどの不審な行動をとった人」という文言だけでは非常に不明確であり、JR東日本の従業員などによるミスや恣意的な運用などが行われる危険性があります。また個人情報保護法15条が事業者が収集することが許される個人情報は、利用目的の達成のために必要最低限のものに限られ、漫然と広範な個人情報を収集することは許さない趣旨であることを考えると、同社は早急に防犯カメラ・顔認証システムの運営基準・規則などを制定し公表すべきではないでしょうか。

また、万引き犯罪と防犯カメラ・顔認証システムに関しては、「特定非営利法人 全国万引犯罪防止機構」が本年2月に個人情報保護委員会より、個人情報保護法47条に基づく認定個人情報保護団体に認定されました。
・万防機構が『認定個人情報保護団体』になりました|全国万引犯罪防止機構

認定個人情報保護団体とは、主に業界・業種ごとに設置され、当該業界・業種の事業者の個人情報の適正な取扱いの確保や苦情対応などのために、当該業界・業種の事業者が遵守すべき「個人情報保護指針」などを制定し、当該業界などの事業者に当該個人情報保護指針などを遵守させなければならないと規定されています(法53条)。

ところが全国万引犯罪防止機構のウェブサイトを見る限り、同機構は万引き犯罪と防犯カメラ・顔認証システムに関する個人情報保護指針などを制定・公表していないようです。同機構も小売業界などの防犯カメラなどの運用などに関する個人情報保護指針などを早急に制定・公表することが望まれます。

7.学者の先生方の見解
なお、冒頭でみた9月21日午前の読売新聞のスクープ記事は複数の有識者の方のコメントを掲載していますが、警察官僚OBの刑事政策学者の方や情報システムの専門家と思われる方のコメントは、「安全・安心な社会のためには出所者などを監視するシステムも必要」などの一面的な残念な内容となっているようです。

そのなかで刑事訴訟法の神奈川大教授の白取祐司先生『出所後も監視対象とし、行動を制限しようとすることは差別にあたる。刑期を終えた人の更生を支えるという我が国の刑事政策の基本理念にも反するのではないか』とのご見解がまさに正論であるように思われます。犯罪を侵した人も、刑事裁判を受け、刑務所で刑期を終えれば刑罰は終了するのであり、刑期が終わった後も防犯カメラなどで監視せよとすることは、少なくとも現在の刑法や刑事訴訟法などの法律が予定する事態ではありません。

またこの点、読売新聞が肝心の個人情報保護法など情報法の学者の先生方に取材していないことは疑問です。1960年代からのコンピュータの発達は、とくに西側の自由主義諸国でコンピュータの発達が人間の個人の尊厳や基本的人権を侵害するのではないかという問題意識を発生させ、1974年の国連事務総長報告書『科学の発展と人権』は、コンピュータの発達により個人のプライバシーが侵害される危険や、国家権力の前で国民が丸裸のごとき状態にされる危険(監視社会・監視国家の危険)、国家が個人情報を収集・保管・分析などを行うことにより国民が行動や表現行為に委縮効果が発生する危険、そして本人の承知しないうちにさまざまな個人情報が国や大企業などにより収集、突合、結合、分析され、勝手に本人がコンピュータにより「個人データによる人間の選別」(プロファイリング)が行われてしまう危険などが示されています(奥平康弘・戸松秀典「国連事務総長報告書(抄)人権と科学技術の開発」『ジュリスト』589号105頁、高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁)。

上でみた「万引き犯罪の冤罪被害者」の問題のように、現代急速に普及しているコンピュータやAIによる防犯カメラ・顔認証システムは、まさに人間がAIやコンピュータによって勝手に「個人データによる人間の選別・差別」が行われてしまう危険をはらんでいます。

この「個人データによる人間の選別」(プロファイリング)への拒否権(プロファイリング拒否権)はその後、プライバシー権、情報自己決定権、自己情報コントロール権などの考え方とともに、西側自由主義諸国の個人データ保護法の趣旨・目的の一つとなってきました。

この考え方は、1996年のILO「労働者の労働者の個人情報保護に関する行動準則」などに受け継がれ、EUにおいては1995年のEUデータ保護指令15条から2018年のGDPR22条となり、さらに本年4月に公表されたEUのAI規制法案に受け継がれています(高野一彦「従業者の監視とプライバシー保護」『プライバシー・個人情報保護の新課題』(堀部政男編)163頁)。

このEUのAI規制法案は、AIの人間の生命や基本的人権などへの危険をもとに、AIがもたらすリスクを①原則禁止、②高リスク、③限定的なリスク、④最小限のリスク、という4段階に分類したしています。

そしてこのAI規制法案においては、警察などが公共の場所・空間で顔認証の技術を使い、市民を「常時監視」することを一番上の類型の「原則禁止」に分類しています。

ところが、日本においては防犯カメラ・顔認証システムに関しては警察など公的機関による利用を規制するための国会の制定した法律は存在せず、警察の内規(要綱通達)で運用が行われています。また、民間企業などによる防犯カメラ・顔認証システムの運用も、「杉並区防犯カメラの設置及び利用に関する条例」など一部の自治体の条例以外には、個人情報保護法ガイドラインQ&Aや経産省等の「カメラ画像利活用ガイドブック」などの行政機関の通達レベルの規定があるにとどまり、これも歯止めをかけるための国会の制定した法律が存在しません(石村修「コンビニ店舗内で撮影されたビデオ記録の警察への提供とプライバシー」『専修ロージャーナル』3号19頁)。(これは2017年に違憲判決(最高裁平成29年3月15日判決)の出された警察のGPS捜査なども同様です。)

この点、憲法・情報法の山本龍彦・慶応大学教授は、本年8月の朝日新聞社の公開講座「世界発・デジタル化社会は民主主義を壊すか」において、『警察による防犯カメラ・顔認証技術の運用には国会の立法が必要である。民間企業などによる顔認証技術等の運用は、防犯目的だけでなく商用目的など利用目的が複数存在するので一律の法規制は難しいが、少なくとも事業者や業界団体などが制定した自主ルールの個人情報保護方針を事業者などに遵守させるための枠組み立法は必要であろう。』との趣旨のご見解を述べておられます。

今回明らかとなったJR東日本の防犯カメラ・顔認証システムによる駅構内の出所者や不審者などの監視・モニタリングの問題や、警察や民間企業による防犯カメラ・顔認証システムの野放しともいえる利用に歯止めをかけ、国民の権利利益の保護や個人の人格権の尊重、国民の個人の尊重や基本的人権の確立(個人情報保護法1条、3条、憲法13条)などを守るために、国会は防犯カメラ・顔認証に関する立法を早急に行うべきであると思われます。

■追記(10月8日)日本における「プロファイリング拒否権」や「AI・コンピュータのデータによる人間の選別・差別」の考え方について
日本においても労働分野・雇用分野では、EUのGDPR22条1項などのような「プロファイリング拒否権」の考え方が、2000年の労働省「労働者の個人情報保護の行動指針」の「第2 個人情報の処理に関する原則」の6(6)や、2019年6月の厚労省『労政審基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~』9頁、10頁に示されており、国会の制定した法律レベルではないものの、「プロファイリング拒否権」や「AI・コンピュータのデータによる人間の選別・差別」への問題意識は日本においても存在します。詳しくは次のブログ記事をご参照ください。
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング

■追記(10月9日)個人情報保護委員会のJR東日本への対応が非常に杜撰だったことが発覚
10月8日付の朝日新聞の(社説)顔認識データ 明確なルール作り急げは、『ところが今回、その委員会(=個人情報保護委員会)が、とりわけ慎重な扱いが求められる出所者情報の利用を、詳細な検討をせずに認めていたことがわかった。法の不備があるとはいえ、委員会の認識が甘かったのは明らかだ。』と報道しています。
(社説)顔認識データ 明確なルール作り急げ|朝日新聞

この報道が本当なら大問題です。現在、9月に正式発足したデジタル庁が「国民の個人情報やマイナンバーを国・大企業がますます利活用して日本の経済成長を!そのためには法律や国民の人権保障などどうでもいい!」とアクセル全開で業務を開始していますが、それに対するブレーキ役の、個人情報保護法やマイナンバー法の所轄の官庁である個人情報保護委員会が、個人情報保護法や行政法などの基本的理解が欠落しているということでは、政府のデジタル行政や個人情報保護行政は、国・大企業の個人情報の利活用ばかりがますます推進され、国民の人権保障がますます軽視されることになりかねません。

(2016年に個人情報保護委員会が設置された頃から、同委員会に自分達の被害を申出て、問題解決のための対応を請願し続けてきた「万引き犯罪の冤罪被害者」の方々は、今回の同委員会の杜撰な対応をどう考えているでしょうか。)

もし日本社会が今後も官民あげて国民の個人情報保護を軽視し続ける状況が継続すると、国民の人権保障を重視するEUが、GDPR(EU一般データ保護規則)の日本に対する十分性認定を取消すなどという事態にも発展しかねません。

個人情報保護委員会は、今回のJR東日本への一連の対応の不祥事について、有識者による第三者委員会を設置して調査を行い、再発防止策の策定や関係者の懲戒処分などを行い、一連の経緯を国民に公表すべきではないでしょうか。なあなあに事を済ませては、国民の政府の個人情報保護行政やデジタル行政への信頼感はますます低下するばかりであると思われます。

■関連する記事
・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで
・ジュンク堂書店が防犯カメラで来店者の顔認証データを撮っていることについて
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権
・コロナ禍の就活のウェブ面接での「部屋着を見せて」などの要求を労働法・個人情報保護法から考えた
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)

■参考文献
・新保史生「監視・追跡技術の利用と公法的側面における課題」『プライバシー・個人情報保護の新課題』(堀部政男編)201頁
・岡村久道『個人情報保護法 第3版』183頁
・園部逸夫『個人情報保護法の解説(改正版)』124頁
・宇賀克也『個人情報保護法の逐条解説 第6版』131頁
・日置巴美「「顔」情報の活用と個人情報保護」『ビジネス法務』2017年4月号87頁
・奥平康弘・戸松秀典「国連事務総長報告書(抄)人権と科学技術の開発」『ジュリスト』589号105頁
・高野一彦「従業者の監視とプライバシー保護」『プライバシー・個人情報保護の新課題』(堀部政男編)163頁
・石村修「コンビニ店舗内で撮影されたビデオ記録の警察への提供とプライバシー」『専修ロージャーナル』3号19頁
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁
・EUのAI規制案、リスク4段階に分類 産業界は負担増警戒|日経新聞
・加藤尚徳「あまりにも未熟な日本の「顔」画像利用の議論」|一般社団法人次世代基盤政策研究所

































このエントリーをはてなブックマークに追加 mixiチェック

CCC委託の混ぜるな危険の問題1
(CCCサイトより)

1.個人情報保護委員会が令和2年改正に対応した個人情報保護法ガイドラインQ&Aを公表
個人情報保護委員会(PPC)が、2021年9月10日に令和2年改正に対応した個人情報保護法ガイドラインQ&Aをサイトで公表しました。
・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(令和2年改正法関係)|個人情報保護委員会

今回公表された令和2年改正対応の個人情報保護法ガイドラインQ&Aをみると、QA7-38からQA7-43までの5つのQAが、個人情報の第三者提供の「委託」(法23条5項1号)に関するものであり、とくにいわゆる「委託の混ぜるな危険の問題」について詳しく解説を行っていることが注目されます。

このブログでは、以前、2021年1月15日にTポイントを運営するCCC カルチュア・コンビニエンス・クラブがT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行ったところ(T会員規約4条6項)、その明確化された「他社データと組み合わせた個人情報の利用」が、個人情報の第三者提供の委託の「混ぜるな危険の問題」に抵触する違法なものであることを取り上げました(法23条5項1号違反、改正前の個人情報保護法ガイドラインQ&A5-26-2の事例(2)違反)。
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」-なか2656のblog

今回の本ブログ記事では、9月10日にPPCが公表した令和2年法改正に対応した個人情報保護法ガイドラインQ&Aの個人情報の第三者提供の委託に関する解説をみて、CCCの1月15日のT会員規約4条6項の「他社データと組み合わせた個人情報の利用の明確化」がやはり「委託の混ぜるな危険の問題」に抵触し違法であることを確認してみてみたいと思います。

2.委託の「混ぜるな危険の問題」
(1)個人情報保護法の本人の同意の必要な第三者提供の例外としての「委託」
1970年代以降のコンピュータやAIなどの発達により、個人情報・個人データが本人の同意なしに無制限にある事業者から第三者へ提供された場合、本人に関する他の種類のさまざまな個人データとの突合・結合・加工が容易に行われ、第三者提供後に当該個人データがどのように利用され、流通するかなどが不明の状態におかれ、個人データの主体である本人のプライバシーが侵害されるおそれや、本人がそれらの個人データで勝手にプロファイリング(=コンピュータ・AIによる個人データの自動処理により法的決定や重要な決定が行われること)されるおそれなど、本人に不測の権利利益の侵害や個人の尊重や基本的人権の侵害が行われる危険が増大しています。

そこで個人情報保護法は、事業者が保有する個人データを第三者提供することを特に注意すべき行為と位置づけ、本人が自らの個人データの流通をコントロールすることができるように、個人データの第三者提供には原則として本人の同意が必要であるとする規制を設けています(個人情報保護法23条1項、岡村久道『個人情報保護法 第3版』241頁)。

一方、近年は企業などの業務の外部委託(アウトソーシング)が普及しており、例えばある企業におけるPCへの紙データの入力作業などの情報処理関係の業務を外部の事業者に委託する場面が増えています。このような「委託」については、個人データの提供先の事業者は提供元の事業者とは別の主体として形式的には第三者に該当するものの、委託のたびに本人の同意を取得することは煩雑であるなど、委託先の事業者を個人データの主体の本人との関係において委託元の事業者と一体のものとして取り扱うことに合理性があるため、第三者提供における「第三者」に該当しないものと個人情報保護法はしています。

そのため、個人情報保護法は、事業者が「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴って当該個人データが提供される場合」、つまり「委託」の場合には第三者提供に該当しないので本人の同意やオプトアウト手続きは不要であるとしています(法23条5項1号、岡村・前掲262頁)。

(2)委託の混ぜるな危険の問題
しかし、「委託」とは上のように委託元の「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託すること」であるため、「委託された業務以外に当該個人データを取扱う」ことは「委託」に該当せず、これを本人の同意やオプトアウト手続きなしに行うことは原則に戻って本人の同意のない第三者提供として違法となります(法23条1項)。またこれは本人の同意のない個人データの目的外利用としても違法であり(法16条)、さらに委託元の事業者は個人データの安全管理措置に関する委託先の監督の義務違反にもなります(法22条)。

この違法となる「委託された業務以外に当該個人データを取扱うこと」の具体例として、個人情報保護法ガイドラインQ&A7-37の事例2(=旧ガイドラインQ&AQ&A5-26-2の事例(2))は、「複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合」をあげていますが、これがデータセンターなどにおける、いわゆる「委託の混ぜるな危険の問題」と呼ばれる事例です。

この「委託の混ぜるな危険の問題」が違法となるのは、そもそも個人情報保護法における個人データの「委託」とは、契約の種類・形態を問わず、委託元の個人情報取扱事業者が自らの個人データの取扱の業務を委託先に行わせることであるから、委託元が自らやろうと思えばできるはずのことを委託先に依頼することであり、したがって、委託元は自らが持っている個人データを委託先に渡すなどのことはできても、委託先が委託の前にすでに保有していた個人データや、委託先が他の委託元から受け取った個人データと本人ごとに突合させることはできないからであると解されています。そしてこれは、突合の結果、作成されるのが匿名加工情報等であっても同様であるとされています(田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁)。

3.CCCのT会員規約の改正による「他社データと組み合わせた個人情報の利用の明確化」
この点、2021年1月15日付でTポイントを運営するCCC カルチュア・コンビニエンス・クラブはT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行いました(T会員規約4条6項)。

T会員規約4条
6.他社データと組み合わせた個人情報の利用
当社は、提携先を含む他社から、他社が保有するデータ(以下「他社データ」といいます)を、他社が当該規約等で定める利用目的の範囲内でお預かりした上で、本条第2項で定める会員の個人情報の一部と組み合わせるために一時的に提供を受け、本条第 3 項で定める利用目的の範囲内で、統計情報等の個人に関する情報に該当しない情報に加工する利用および当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供(以下あわせて「本件利用」といいます)を行う場合があります。 なお、当社は、本件利用のための他社データを明確に特定して分別管理し、本件利用後に他社データを破棄するものとし、本件利用のための、前述、当該他社から当社への一時的な提供を除いては、それぞれの利用目的を超えて利用することも、当該他社その他第三者に対して会員の個人情報の一部または全部を提供することもありません。

CCC会員規約4条6項
(CCCサイトより)
・T会員規約等、各種規約の改訂について|CCC
・T会員規約 新旧比較表|CCC

つまり、CCCが2021年1月に規約改正を行って新設した、T会員規約4条6項は、①後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」と、②前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」の2つを行うことを明確化する内容となっています。

4.CCCのT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」(旅行代理店Bの事例)について
(1)CCCのT利用規約4条6項後段・「旅行代理店Bの事例」
このT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」について、CCCのプレスリリースはつぎのような具体例と図で説明しています。

CCC旅行代理店の事例
(CCCのプレスリリースより)

このT会員規約4条6項後段「旅行代理店Bの事例」は、旅行代理店Bが、「まだハワイに旅行していない人にハワイ旅行を販売促進したい」という意図で、旅行代理店Bが、「自社の保有するハワイに旅行したことのある人の顧客リスト」(B社の他社データ)をCCCに預け(委託、個人情報保護法23条5項1号)、CCCは「B社の他社データである顧客リストと、CCCの保有するT会員の個人データを突合し、「旅行代理店Bを利用してハワイ旅行をした人の趣味・嗜好・社会的属性などの特徴を分析」し、「ハワイ旅行に興味がありそうな人」を把握し、T会員の個人データの個人から、旅行代理店Bの顧客リストのハワイ旅行に行ったことのある人を除外し、その除外されたハワイ旅行に興味がありそうなT会員の個人(見込み客)に対して、ダイレクトメールなどでハワイ旅行の販売促進を行うという内容になっています。

(2)個人情報保護法ガイドラインQ&A7-41
しかしこの点、令和3年9月追加として、個人情報保護委員会が9月10日に公開した、令和2年改正法関係の個人情報保護法ガイドラインQ&A7-41はこのような「委託の混ぜるな危険の問題」について、つぎのように解説しています。

Q7-41 委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか。

A7-41 個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1)既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること

事例2)既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること

これらの取扱いをする場合には、①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。(令和3年9月追加)

PPC個人情報ガイドラインQA7-41
(個人情報保護委員会サイトより)
・個人情報保護法ガイドラインQ&A(令和2年改正法関係)|個人情報保護委員会

つまり、個人情報保護法ガイドラインQ&A7-41が解説するとおり、CCCなど共通ポイント制度により複数の委託元の企業から個人データの管理などの委託を受けている事業者や、複数の委託元から個人データの管理などの委託を受けているデータセンターなど、独自に収集した個人データを保有している事業者は、「個人データの取扱いの委託(法第23条第5項第1号)において、委託先(=CCCなど)は、委託に伴って委託元(=旅行代理店Bなど)から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはでき」ないのです。

そして、同Q&A7-41の事例2は、「委託」として行うことができない具体例として、「既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること」と、CCCのT会員規約4条6項後段の旅行代理店Bのそっくりそのままの事例をあげています。

したがって、このCCCの旅行代理店Bの事例、つまりT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」は個人データの「委託」として行うことは違法であり、許されないことになります(法23条5項1号・法23条1項・法22条・法16条の違反)。

そのため、CCCや旅行代理店Bは、この違法状態を回避するためには、個人情報保護法ガイドラインQ&A7-41が解説するとおり、「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要」があることになります。

(3)CCCマーケティングの「ハワイ州観光局」の事例
この点、CCCカルチュア・コンビニエンス・クラブ株式会社の子会社であるCCCマーケティング株式会社のサイトの「事例」をみると、CCCマーケティングがデータビジネスとして実施した「ハワイ州観光局」の事例が掲載されています。
・事例 ハワイ州観光局 CCCグループアセットの結集が実現する「五感に訴える観光地マーケティング」|CCCマーケティング

CCCマーケティングハワイ州観光局
(CCCマーケティング社サイトより)

このハワイ州観光局の事例は、上のT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」つまり「旅行代理店B」の事例と非常によく似ており、CCCはこの事例を念頭にT会員規約4条6号後段を新設したのであろうと思われます。

このCCCマーケティングのハワイ州観光局の事例の解説を読むと、「ハワイ州観光局では、ハワイ諸島のひとつであるハワイ島の渡航者数増加のために、2019年11月~12月にかけ、CCCマーケティングをパートナーとしてキャンペーンを実施した」とあります。

同サイトの解説によると、ハワイ州観光局の担当者は、「今回の施策では、リーチするべきターゲットを『海外旅行には行くが、ハワイには行ったことがない』、『ハワイには行ったことがあるが、ハワイ島には行ったことがない』というお客さまと設定したのですが、課題となったのが、アプローチするべきターゲットの顧客データでした」。「私たちでも、CRMや会員制公式ポータルサイト『allhawaii(オールハワイ)』、さらにソーシャルメディアなどで保有しているデータは、数十万件あります。ただ、その多くは、すでにハワイのファンとなっている顧客のデータであり、今回のキャンペーンのターゲットとは異なります。

そのため、ハワイ州観光局は、同局が保有する「すでにハワイのファンとなっている顧客のデータ」などの数十万件の個人データをCCCマーケティングに委託し、CCCはその他社データをCCCの保有するT会員の個人データと突合し分析を行い、ハワイ旅行に行きそうな見込み客の趣味・嗜好・社会的属性などの特徴を分析し、その特徴に合致する個人データを持つT会員から、すでにハワイ旅行に行ったことのあるT会員の個人データを除外し、残りの見込み客のT会員に対してDMを送信したり、蔦屋書店でハワイ旅行のキャンペーンを実施するなどの販売促進を、ハワイ州観光局とともに実施したようです。

このCCCマーケティングのハワイ州観光局の事例は、上でみた個人情報保護法ガイドラインQ&A7-41の事例2に該当するので、これをCCCが「委託」のスキームで行った場合は、それはガイドラインQ&A7-41などが施行となる2022年4月以降は完全に違法となります。

CCCおよびハワイ州観光局は違法状態を回避するためには、同ガイドラインQ&A7-41が解説するように「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要」があることになります。

5.CCCのT利用規約4条6項前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」(健康飲料メーカーAの事例)について
(1)健康飲料メーカーAの自社の顧客の趣味・嗜好や社会的属性などを分析するための委託
T利用規約4条6項前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」(健康飲料メーカーAの事例)について、CCCのプレスリリースはつぎのような具体例と図で説明しています。
CCC健康飲料メーカーの事例
(CCCのプレスリリースより)

つまり、「自社の青汁を飲んでくれている顧客はどんな人々なのだろう?」と顧客の趣味嗜好や社会的属性などを知りたい健康飲料メーカーAが、自社の青汁を飲んでくれる顧客の個人データ(他社データ)をCCCに委託し、CCCはCCCの保有するT会員の個人データと健康飲料メーカーAの他社データを突合し、A社の青汁を飲んでいるT会員の個人データを分析し、その趣味・嗜好や社会的属性などを割り出し、それを統計データなどにした上でA社に戻し、A社は自社商品のマーケティングなどに当該データを利用すると説明されています。

(2)個人情報保護法ガイドラインQ&A7-42
しかしこの点、令和3年9月追加として、個人情報保護委員会が9月10日に公開した、令和2年改正法関係の個人情報保護法ガイドラインQ&A7-42はこのような「委託の混ぜるな危険の問題」について、つぎのように解説しています。

Q7-42 委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合し、新たな項目を付加して又は内容を修正して委託元に戻すことはできますか。

A7-42 個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1) (略)
事例2) 顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと

これらの取扱いをする場合には、委託先において本人の同意を取得する等、付加・修正する情報を委託元に適法に提供するための対応を行う必要があります。(後略)(令和3年9月追加)

PPC個人情報QA7-42の1
PPC個人情報QA7-42の2
(個人情報保護委員会サイトより)

このように、個人情報保護法ガイドラインQ&A7-42は、「個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。」としています。

そしてその具体例として、事例2は、「顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと」をあげています。

したがって、CCCのT会員規約6条の4前段の「「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」つまり健康飲料メーカーAの事例も、健康飲料メーカーAが自社の顧客情報をCCCに委託に伴い提供し、CCCが自社の保有するT会員の個人データと突合し、CCCにおいてA社の青汁の顧客の趣味・嗜好や社会的属性などを分析し、それらの新たな項目を付加したデータをA社に戻しているので、個人情報保護法ガイドラインQ&A7-42の事例2と同様のことを行っているので、この健康飲料メーカーAの事例も個人情報の委託として違法です(法23条5項1号・法23条1項・法22条・法16条の違反)。

そのため、この健康飲料メーカーAの事例も、CCCおよび健康飲料メーカーAが違法状態を回避するためには、CCCにおいて本人の同意を取得することなどが必要となります。

(3)CCCマーケティングの「タケシダ醤油」の事例
この点、CCCマーケティング株式会社のサイトの「事例」をみると、CCCマーケティングがデータビジネスとして実施した「タケシゲ醤油」の事例が掲載されています。

CCCマーケティングタケシゲ醤油
(CCCマーケティング社サイトより)
・事例 タケシゲ醤油 購買データの分析でヒット商品のさらなる価値向上を実現|CCCマーケティング

CCCマーケティング社サイトの解説によると、タケシゲ醤油はもともと食品会社など法人向けに製造販売していた「博多ニワカそうす」という調味料を一般消費者向けにも販売を行ったところ売上が好調であったため、「博多ニワカそうす」を購入する一般消費者の趣味嗜好や社会的属性などを分析してマーケティングを行いたいと、CCCに委託を行い、CCCは自社のT会員の個人データで「博多ニワカそうす」の顧客の個人データの突合を行い、同商品の顧客の趣味嗜好や社会的属性、人物像などを分析し、CCCはその分析データをタケシゲ醤油に戻し、そのデータをもとにタケシゲ醤油は「博多ニワカそうす」のレシピ本を作成するなどして、さらに同商品の売り上げの増加を行ったとされています。

博多ニワカそうすの顧客の人物像
(CCCマーケティング社サイトより)

しかしこのタケシゲ醤油の事例も、タケシゲ醤油の「博多ニワカそうす」の顧客の個人データをCCCに委託に伴い提供し、CCCが自社の保有するT会員の個人データと突合し、CCCにおいて「博多ニワカそうす」の顧客の趣味・嗜好や社会的属性、モデルとなる人物像などを分析し、それらの新たな項目を付加したデータをタケシゲ醤油に戻しているので、個人情報保護法ガイドラインQ&A7-42の事例2と同様のことを行っているので、このタケシゲ醤油の事例も個人情報の委託として違法であると思われます(法23条5項1号・法23条1項・法22条・法16条の違反)。

(4)CCCマーケティングの「チューリッヒ保険」の事例
また、CCCマーケティングのサイトの「事例」をみると、通販型の傷害保険などの損害保険会社のチューリッヒ保険の事例も掲載されています。
・事例 チューリッヒ保険 ユニークデータと徹底分析で実現する長期・安定的な顧客獲得|CCCマーケティング

CCCマーケティングチューリッヒ保険
(CCCマーケティング社サイトより)

このチューリッヒ保険の事例は、サイトの解説によると、チューリッヒ保険がもつ優良な見込み客のセグメント(集団)などの情報・データの改善のための分析をCCCに委託し、CCCはその見込み客のセグメントのデータをCCCのT会員の個人データで分析・加工し、CCCはよりよい見込み客のセグメントのデータを作成し、チューリッヒ保険に戻しているようです。このチューリッヒ保険の事例も、もしその過程でチューリッヒ保険が保有する既存顧客の個人データをCCCに委託などしてCCCがT会員の個人データと突合などをしていた場合は、個人情報保護法ガイドラインQ&A7-42などに抵触する違法な「委託」スキームの利用である可能性があります。

6.まとめ
本年1月15日にCCCカルチュア・コンビニエンス・クラブがT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行ったところ(T会員規約4条6項)、その明確化された「他社データと組み合わせた個人情報の利用」が、個人情報の委託の「混ぜるな危険の問題」に抵触する違法(法23条5項1号違反、改正前の個人情報保護法ガイドラインQ&A5-26-2の事例(2)違反)なものであることは、本ブログで取り上げただけでなく、ネット上でも大きな社会的注目を受けました。

・CCCがT会員規約等を改訂→改訂後規約が想定する事例の違法性及び問題点が指摘される。|togetter

そして本年9月10日に個人情報保護委員会が公表した、令和2年法改正対応の個人情報保護法ガイドラインQ&A7-41、7-42など追加された個人情報の「委託」に関する解説は、上でみたように、CCCのT会員規約6条4項の「他社データと組み合わせた個人情報の利用」が個人情報の「委託」スキームとしてやはり違法であることを明確に示しています。

今回公表された、令和2年法改正対応の個人情報保護法ガイドラインQ&Aは2022年4月から施行予定であるそうなので、CCCやCCCと個人データのやり取りを行っている事業会社などは、それまでに自社のデータビジネスが個人情報保護法などの法令に抵触していないか、今一度再検討が必要であると思われます。

また、今回公表された、令和2年法改正対応の個人情報保護法ガイドラインQ&Aの「委託」に関する解説は、ネットやSNSにおける行動ターゲティング広告やDMP(Data Management Platform)などの事業に与える影響も大きいと思われます。これらの業務を行う企業の実務担当者の方々も、自社のビジネスモデルが個人情報保護法など法令に抵触していないか、今一度再検討が必要であると思われます。

■関連する記事
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・河野太郎大臣がTwitterで批判的なユーザーをブロックすることをトランプ氏の裁判例や憲法から考えたー表現の自由・全国民の代表(追記あり)
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権

■参考文献
・岡村久道『個人情報保護法 第3版』241頁、262頁
・田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁
・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(令和2年改正法関係)|個人情報保護委員会





















このエントリーをはてなブックマークに追加 mixiチェック

健康医療戦略本部トップ画面
(政府の健康・医療戦略推進本部サイトより)

1.「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」から個人情報保護委員会へのパブコメ意見!?
このブログで少し前に、個人情報保護委員会(PPC)の、本年5月から6月にかけて実施された、令和2年改正の個人情報保護法ガイドラインのパブコメの結果について取り上げました。
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集の結果について|個人情報保護委員会・e-GOV

このブログ記事の最後にも追記したのですが、このこのパブコメ結果でひときわ異様なのは、法人・個人や各種団体などからの意見にまじって、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」からのパブコメ意見が大量に提出されていることです。PDFファイル上で検索するとなんと31件もあるようです。

しかも、他の個人・法人のほとんどが、PPCのパブコメ要綱を遵守して「意見」・「理由」を分けて丁寧な文言で意見や質問などを提出しているのに、この内閣府健康・医療戦略推進事務局の担当者は、意見・理由を分けずに、上から目線のあまり上品でないだらだらとした言葉使いで31件もの意見を提出しています。

さらにパブコメ結果を読んで驚くことは、この内閣府健康・医療戦略推進事務局の担当者は、個人情報保護法の法律の条文の文言上の理解すらまともにできておらず、おそらく個人情報の取扱を実務上も経験したことがないような、官僚というよりまるで大学の法学部1年生か何かのような素人質問をPPCに対して、まるで顧客が企業の無料ヘルプデスクに電話で質問するかのように、カジュアルに投げつけていることです。
内閣府5
ガイドライン(通則編)のパブコメ結果275。内閣府の担当者は法23条2項のオプトアウトによる第三者提供に関して「いちいち事業者が本人に対して通知を行わねばならないことは面倒である」という趣旨の意見を述べていますが、PPCも回答しているように、法23条2項は「通知または公表」と規定しており、事業者に「通知」を義務付けていません。)

内閣府1
ガイドライン(通則編)のパブコメ結果15。内閣府の担当者は、「6か月未満で消去する情報は個人情報でないのに、ガイドライン案が個人情報としているのは何故か?」との趣旨の質問をしていますが、これは令和2年の個人情報保護法の改正法の条文をまったく読まずに個情法ガイドラインのパブコメ意見を書いているとしか思えません。こんないいかげんな仕事ぶりでも内閣府の官僚は務まるのでしょうか?)

加えて一番驚くべきことは、この内閣府の担当者の質問の多くが、「現場の負担の軽減のために」などを理由に、ひたすらに個人情報取扱事業者サイドに立って、事業者側の義務の削減を要求する内容であることです。
内閣府4
ガイドライン(通則編)のパブコメ結果260個人情報漏洩が発生・発覚した場合の事業者の本人への通知(=漏洩の事実の報告や謝罪など)について、内閣府の担当者は、「現場の負担の軽減のため」として、事業者側に金銭的余裕がない場合などは、本人への通知をしなくてよいようにせよ等と驚くべき要求をしています。事業者が本人から個人情報を収集しておきならが漏洩事故を発生させたのに、「現場の負担の軽減のため」に、被害を受けた本人に漏洩した事実の報告や謝罪などをしなくてもよいようにせよとは、内閣府は国民を国・大企業のために個人情報を生成する家畜か何かだと思っているのでしょうか?

そもそも次世代医療基盤法とは、国民個人のカルテや処方箋、各種検査結果などのセンシティブな個人情報である医療データを国が一元的に収集し、当該医療データをIT企業(NTTデータ等)や製薬企業などに第三者提供し、AI分析などで研究開発等を行わせて、日本の経済発展の起爆剤にしようという内容の法律です。(なお、次世代医療基盤法は、センシティブ情報である患者の医療データの収集や第三者提供を行うものなのに、患者本人の同意は「黙示の同意」でよいとしているなど、さまざまな問題をはらんでいます。)

次世代医療基盤法の全体像2
(次世代医療基盤法の概要図、内閣府サイトより)

■関連する記事
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた

しかし、国民個人のセンシティブな個人情報である医療データを利活用する以上、個人情報の取扱に関しては厳格なスタンスが要求されるはずですが、その監督部署である内閣府健康・医療戦略推進事務局次世代医療基盤法担当の担当者が個人情報保護法の素人レベルで、かつ非常にIT企業や製薬会社などの事業者寄りの姿勢丸出しであることは、本当に大丈夫なのでしょうか?

このようないい加減な国の体制で、次世代医療基盤法などへの国民・患者の信頼は確保できるのでしょうか?大いに心配です。

2.内閣府が個人情報保護委員会のパブコメにカジュアルに意見を提出してよいのか?
また、そもそも内閣府がPPCのパブコメにカジュアルに意見を提出してよいのだろうか?とも疑問になります。

この点、国など行政機関のパブコメ制度(意見公募手続の制度)について規定する行政手続法39条1項は、規則案などに対して、広く一般の意見を求めなければならない」と規定しており、この「広く一般の意見」とは、「意見を提出できるのは、国民一般に限らず、外国人や外国政府なども含まれる」(櫻井敬子・橋本博之『行政法 第6版』209頁)とされており、法律上は内閣府などが意見を提出することも許されるようです。

しかし、首相直下の大きな権力を握る内閣府が大量に意見を提出することは、パブコメを行う官庁への不当な介入となってしまい、当該パブコメの公平性・中立性が阻害されるのではないでしょうか。それはひいては、国の個人情報保護行政や、デジタル行政などの公平性・中立性を害するのではないでしょうか。

3.法治主義・「法律による行政の原則」
現にこのパブコメ結果を見ると、内閣府の担当者は個人情報取扱事業者ばかりに有利になるような質問・意見を大量に寄せていますが、これは個人情報に関して、個人の権利利益・人権保障と利用する事業者とのバランスを取ろうとする個人情報保護法の趣旨・目的(法1条、3条)に反しているばかりでなく、事業者の利益だけでなく国民個人の権利利益や人権保障をも重視しなければならないという、内閣府などの国・行政・公務員の中立性・公平性(国家公務員法96条1項、憲法15条2項「公務員は全体の奉仕者であり一部の奉仕者ではない」)が損なわれている憲法・法令上、危険な状態なのではないでしょうか?

このように、この令和2年改正の個人情報保護法ガイドラインのパブコメ結果にあるような、内閣府健康・医療戦略推進事務局次世代医療基盤法担当の行動は、憲法や、国家公務員法などの行政法の趣旨を不当に軽視するものであり、法治主義や「法律による行政の原則」(憲法41条、65条など)などの観点から非常に危ういものであり、大いに疑問です。

7月上旬には新型コロナ対応に関連して、西村康稔経済担当大臣酒類販売事業者や金融機関などに対して特措法などの法令を逸脱した無茶苦茶な要請を行い、「法の支配」法治主義「法律による行政の原則」(憲法41条、65条など)などの近代民主主義国家の大原則を軽視するものだと大きな社会的批判を浴び、西村大臣ら政府は要請の撤回に追い込まれたばかりです。(また最近、菅首相らは、コロナ患者の入院制限の方針を公表しましたが、これも国民の生存権の保障や公衆衛生などを国の任務とする、憲法25条や厚労省設置法、特措法などに抵触する違法・不当なものであり、法治主義の原則に反すると思われます。)

同様に、内閣府の担当者達も、自分達は国家権力の中枢にいるのだから、憲法や法律はどうとでもできるといった、戦前の日本やドイツなどのような、国家主義・全体主義的な形式的法治主義・外見的法治主義の考えに陥ってしまっているのではないでしょうか。第二次世界大戦が招いた国内外の甚大な犠牲をみるように、政府の中枢がそのような状態に陥っていることは、国民や国家にとって非常に危険な状態です。

■追記(2021年8月27日)
本ブログ記事で取り上げた、個人情報保護委員会の令和2年個人情報保護法ガイドライン改正のパブコメへの「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」から大量のパブコメ意見が提出されている件については、8月27日午後に、私より内閣府健康・医療戦略推進事務局に電話で照会し、同事務局より、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当より個人情報保護委員会のパブコメに意見を提出したことは間違いない」との回答を得ています。

■関連する記事
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング
・「法の支配」と「法治主義」-ぱうぜ先生と池田信夫先生の論争(?)について考えた
・西村大臣の酒類販売事業者や金融機関に酒類提供を続ける飲食店との取引停止を求める方針を憲法・法律的に考えた
・コロナ対策のために患者の入院制限を行う菅内閣の新方針について考えた
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・2020年の個人情報保護法改正に関するガイドライン改正に関するパブコメについて意見を書いてみた-FLoC・プロファイリング・貸出履歴・推知情報・データによる人の選別
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権















このエントリーをはてなブックマークに追加 mixiチェック

kojinjouhou_rouei_businessman
1.事案の概要
1か月以上たっても公表・通知などを実施していない?
「プレジデントオンライン」サイトの7月13日付の記事「人材派遣のアスカが最大3万件の個人情報を流出」などによると、人材派遣業の株式会社アスカは、自社システムに仮登録されていた派遣社員の個人情報が最大3万件分が本年5月中旬にサイバー攻撃により漏洩したにもかかわらず、1か月以上経過しても公表、被害者本人への連絡などを行っていないそうです(7月16日現在)。

取材に対して、アスカ側は「調査を行っている途中」などと回答しているそうですが、1か月以上も個人情報の大規模な漏洩事故があったのに公表などを行わないことは法的に許されるのかが問題となります。

・人材派遣のアスカが最大3万件の個人情報を流出…1カ月以上も周知せず|プレジデントオンライン

2.法的に考えてみる
(1)労働者派遣法
労働者派遣法24条の3は、派遣元事業者の個人情報保護について規定しています。そして、「派遣元事業主が講ずべき措置に関する指針」(平成11年労働省告示第137号・平成30年厚生労働省告示第427号)の「11 個人情報等の保護」は、個人情報の収集、利用、保管、安全管理などともに、「(3)個人情報の保護に関する法律の遵守等」において、個人情報保護法「第4章第1節に規定する義務を遵守しなければならない」と規定しています。

(2)個人情報保護法
個人情報保護法第4章第1節は、個人情報を取り扱う事業者の義務を定めていますが、同法20条から22条までは、事業者の安全管理措置、従業員への監督、委託先への監督を規定しています。そして、個人情報保護委員会の個人情報保護法ガイドライン(通則編)は安全管理措置について規定しています。その上で、同委員会の「個人データの漏えい等の事案が発生した場合等の対応について」は、個人データの漏洩などの事故が発生した場合の対応についてつぎのように規定しています。

■個人データ漏洩事故が発覚した場合の対応(概要)
①事業者内部における報告及び被害の拡大防止
②事実関係の調査及び原因の究明
③影響範囲の特定
④再発防止策の検討及び実施
⑤影響を受ける可能性のある本人への連絡
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、 事実関係等について、「速やかに」本人へ連絡し、又は本人が容易に知り得る状態に置く。
⑥事実関係及び再発防止策等の公表
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、 事実関係及び再発防止策等について、「速やかに」公表する。
⑦個人情報保護委員会または監督官庁への報告
扱事業者は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、個人情報保護委員会等に対し、「速やかに」報告する
このように個人情報保護委員会の「個人データの漏えい等の事案が発生した場合等の対応について」は、個人データ漏洩事故が発生した場合には「速やかに」、⑤本人に連絡し、⑥事実関係などを自社サイトや記者会見などで公表し、⑦個人情報保護委員会や監督官庁に報告することを事業者に求めています。

ここで、「速やかに」の文言の意味が問題となりますが、多くの業法・行政法規が個人情報漏洩事故が発生した場合に、その発覚から1か月以内の報告を求めていることとの整合性から、少なくとも1か月以内に⑤本人に連絡し、⑥記者会見などで公表し、⑦個人情報保護委員会や監督官庁に報告しないと、事業者は同委員会の通達の趣旨に違反していることになると思われます(例えば保険業法127条など)。当該事業者は、個人情報保護法の趣旨に違反しているおそれがあることになります。

そもそも、このように個人情報漏洩事故が発生した場合にスピード感をもった本人への連絡や公表、監督官庁などへの報告の対応を事業者に法令が求めて趣旨・目的は、「二次被害の防止、類似事案の発生の防止」です。つまり例えば、顧客の個人情報が拡散してしまうことやクレジットカード情報などが第三者に利用されてしまうリスクの防止や、同じ業界で類似のサイバー犯罪が行われてしまうようなリスクの防止です。そうすると、個人情報漏洩事故が発覚したのに漫然と事業者が何週間も、あるいは何か月も対応を行わないことは、個人情報保護法の趣旨にも反しますし、顧客の信頼を裏切ることにもなります。

もし事業者が事実確認などに何週間もかかってしまうということになったら、当該事業者は「第一報」や「暫定版」などの連絡・報告・公表などを随時行うべきです(段階的な報告)。

こう考えると、個人情報漏洩事故が発覚してから1か月以上も顧客への連絡などを行っていない株式会社アスカは、個人情報保護法に違反しているおそれがあります。

(なお、EUのGDPR(一般データ保護規則)33条は、個人データ漏洩事故が発覚した事業者に対して72時間以内の個人データ保護当局への報告を義務付けています。EU国籍の顧客の個人データなどを取扱っている事業者はより迅速な対応が求められます。)

(3)個人情報保護法上の違反があった場合
上でみたように、労働者派遣法23条の3などは派遣元事業者に対して個人情報保護法上の事業者の義務を遵守することを求めています。

そして、同法などの違反があった場合について、労働者派遣法50条、51条は厚労大臣は派遣元事業者に対して報告徴求と立入検査を行う権限があることを定めています。さらに同法48条、49条は、厚労大臣は派遣元事業者に対して、指導・助言および改善命令・業務停止命令などを発出する権限があることを規定しています。 また、個人情報保護法も、同法40条以下において個人情報保護委員会は事業者に対して報告徴求、立入検査を行う権限があり、また個人情報保護に関して指導・助言を行う権限があることを規定しています。

(4)まとめ
つまり、個人情報漏洩事故を起こし、漫然と顧客への連絡や事実の公表などを1か月以上実施していない株式会社アスカは、監督官庁である厚労省だけでなく個人情報保護委員会から報告徴求、指導・助言などの行政指導等を受ける行政上の法的リスクが存在することになります。

(5)個人情報漏洩の場合の対応の法的義務化
なお、7月15日付の日経新聞によると、政府は2022年にも一定規模以上の個人情報漏洩事故が発生した場合に、事業者に対して顧客への連絡・通知を行うことを義務付ける方針であるとのことです(日経新聞「サイバー被害、全員に通知 個人情報漏洩で企業に義務」2020年7月15日付)。

■参考文献
・岡村久道『個人情報保護法 第3版』235頁
・小向太郎・石井夏生利『概説GDPR』106頁









このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ