なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:PPC

kojinjouhou_businessman (1)
1.はじめに
2023年11月15日付で個人情報保護委員会(PPC)が「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」を公表していたので読んでみました。今回の「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」(以下「本検討」)は、大きく、①個人の権利利益のより実質的な保護の在り方、②実効性のある監視・監督の在り方、③データ利活用に向けた取組に対する支援等の在り方、の3つを次回の個人情報保護法改正の柱として掲げています。(なお本ブログ記事の意見の部分は、あくまで筆者の個人的な意見にすぎません。)
・第261回個人情報保護委員会

2.「検討の方向性① 個人の権利利益のより実質的な保護の在り方」について
検討の方向性1
(PPC「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」より)

この「検討の方向性① 個人の権利利益のより実質的な保護の在り方」では、PPCは「概要」として、「破産者等情報のインターネット掲載事案や、犯罪者グループ等に名簿を提供する悪質な「名簿屋」事案等、個人情報が不適正に利用される事案も発生している。こうした状況に鑑み、技術的な動向等を十分に踏まえた、実質的な個人の権利利益の保護の在り方を検討する。」等としています。

そしてその下の「検討の視点(例)」は、とくにつぎの①~③をあげています。

①技術発展に伴って、多様な場面で個人情報の利活用が進み、その有用性が認められる一方で、こうした技術による個人の権利利益の侵害を防ぐためには、どのような規律を設定すべきか。

②個人情報を取り扱う様々なサービス等が生まれる中、個人の権利利益の保護の観点から、本人の関与の在り方を検討すべきではないか。その際、その年齢及び発達の程度に応じた配慮が必要なこども等の関与の在り方はどうあるべきか、併せて検討すべきではないか。

③個人の権利利益保護のための手段を増やし、個々の事案の性質に応じて効果的な救済の在り方を検討すべきではないか。
この点、①に関しては、本検討3頁の「施行状況に係る委員会における主な意見」において、「生成AI、認証技術の普及等」を踏まえて「不適正利用の禁止」に関する規律(法19条)を「実効ある形になるよう…その考え方を検討すべき」との意見が出されています。

主な意見
(PPC「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」より)

最近はchatGPTなど生成AIや画像生成AIが製造開発され普及しつつありますが、AIによる個人のプロファイリングなどについては日本の個情法には法19条の不適正利用の禁止の条文しか存在せず、しかもその条文は抽象的で謙抑的です。この不適正利用の禁止規定の具体化・積極化は個人の権利利益の保護に資するものとして、次の個人情報保護法改正において大きな目玉になるのではないかと思われます。(あくまで個人的な予想ですが。)

つぎに②に関しては、「本人関与の在り方」を検討すべきとされていますが、これは現行の個情法の開示・利用停止等の請求権のさらなる拡大を意味しているのでしょうか。ところでその後の「その年齢及び発達の程度に応じた配慮が必要なこども等の関与」を検討すべきとの記述が注目されます。

EUのGDPR(一般データ保護規則)は原則16歳未満の子どもの個人データの収集等に規制を設け、アメリカの児童オンラインプライバシー保護法(COPPA)も同様に13歳未満の子どもの個人データの収集等に規制を設けているところ、日本の個情法は子どもの個人データ・個人情報を保護するための明文規定を置いていません。そのため、次の個人情報保護法改正では、遅ればせながらもわが国の子どもの個人データへの規律が新設されるのかもしれません。

さらに③に関しては、本検討3頁の「施行状況に係る委員会における主な意見」において、「個人の権利利益保護のための手段を増やす観点から」「集団訴訟」を「検討すべき」との意見が出されています。現状の裁判例では、個人情報漏洩について民事訴訟が提起されても認められる損害額が数千円程度であり、被害を受けた個人が訴訟をためらう現状があるように思われます。消費者契約法にある消費者団体訴訟制度のような制度が個人情報保護法の分野にも創設されたら、そのような被害を受けた国民個人の救済に資するように思われます。(一方、もし集団訴訟制度が個情法に創設された場合、事業者側に対するインパクトは大きいものがあると思われます。)

3.「検討の方向性② 実効性のある監視・監督の在り方」について
検討の方向性2
(PPC「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」より)

この部分の「検討の視点(例)」はつぎのようになっています。
①ヒューマンエラーのような過失による漏えい等事案が多い一方で、非常に大規模な漏えい等事案等、重大な個人の権利利益の侵害に繋がるケースも発生しているところ、従来の指導を中心とした対応にとらわれない、より実効性のある監視・監督の在り方を検討すべきではないか。

②重大な事案や、故意犯による悪質な事案を抑止するための方策を検討すべきではないか。また、そのための関係省庁等との連携の在り方を検討すべきではないか。

③個人の権利利益の保護のため、重大な漏えい等事案の状況をどのように把握し、適切な執行につなげていくべきか検討すべきではないか。
まず、①に関しては、本検討3頁の「施行状況に係る委員会における主な意見」は、現行の事業者に対する行政指導中心の監視・監督だけでなく、「緊急命令」(法148条3項)をも利用した監視・監督を提言する意見が出されています。そのため今後のPPCの監視・監督においては、報告徴求や立入検査、行政指導などだけでなく積極的に緊急命令が発動される実務が行われる可能性があります。

つぎに②に関しては、公正取引委員会、総務省、消費者庁、厚労省、金融庁、デジタル庁、こども家庭庁等の関係行政庁とのさらなる連携が行われるのかもしれません。また本検討3頁の「施行状況に係る委員会における主な意見」は、「課徴金制度」を導入することに関する意見も出されているので、次の個人情報保護法改正においては、個人情報データベース等提供罪などの罰則強化だけでなく、独禁法に規定がある課徴金減免制度のような制度が盛り込まれるのかもしれません。さらに公取委などのように内部通報窓口(内部告発窓口)などがPPCに用意されるかもしれません。加えて、個人情報データベース等提供罪などの罰則強化の改正があるかもしれません。

4.「検討の方向性③ データ利活用に向けた取組に対する支援等の在り方」について
検討の方向性3
(PPC「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」より)

この部分に関しては、本検討3頁の「施行状況に係る委員会における主な意見」には、「個票データの利活用」の検討があげられています。「個票データ」というものの概念がはっきりしませんが、ひょっとしたら匿名加工情報、仮名加工情報につぐ個人データの利活用のための新たなカテゴリーが創設される可能性があるのでしょうか。

また、同「主な意見」には、「健康・医療データ、子どもデータ等の公共性の高い分野」の個人データのさらなる利活用のために関係官庁とさらなる連携を行うべきであるとの意見も出されています。これらの個人データに関しては良い悪いは別として、国策としてさらなる利活用が検討・実施されるように思われます。

5.その他・スケジュールなど
今後のスケジュールに関しては、11月下旬以降に関係団体等のヒアリングを順次実施とあり、その後、2024年春頃に「委員会「中間整理」公表」とあります。この段階でパブコメが実施されるのでしょうか。

また、同「主な意見」では、いわゆる「クラウド例外」の見直しも議論の対象となっているようです。

なお、上の本検討3頁の「施行状況に係る委員会の主な意見」を読んでも、個人情報保護法の立法目的に自己情報コントロール権あるいは「自らの個人情報を適正に取扱われる権利」(曽我部真裕説)、「関連性のない個人データで個人が選別・差別されない権利」(高木浩光説)などを盛り込むべきといった議論はなされていないようでした。また、EUのGDPR22条のプロファイリング拒否権のような規定や、コントローラー・プロセッサー等の概念を盛り込むべきとの議論もなされていないようです。カメラ規制法やEUのようなAI規制法などの立法化の議論もなされていないようです。

このように次回の個人情報保護法改正は、これまでの法改正に比べて小ぶりな改正に留まるのかもしれません。

このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

car_sports_man
1.車載機ID、車台番号、位置情報等が個人情報として認識されてなかった?
個人情報保護委員会(PPC)の7月12日付のプレスリリースによると、トヨタ自動車は、同社のコネクテッドカー(つながる自動車)の「T-Connect」「G-Link」サービス利用者の車両から収集した約230万人分の個人情報が約10年間に渡り外部から閲覧できる状態にあり、個人データの漏えいが発生したおそれがあることが発覚したとのことです。
・トヨタ自動車株式会社による個人データの漏えい等事案に対する個人情報の保護に関する法律に基づく行政上の対応について(令和5年7月12日)|個人情報保護委員会

ところでこのPPCのプレスリリースでひときわ目を引くのは、トヨタが「社内研修が不十分であったため…車載機ID、車台番号、位置情報等が個人情報として認識されてなかった」と記載されていることではないでしょうか。日本を代表する大企業のトヨタがこれとは驚いてしまいました。

トヨタ1
(PPCのプレスリリースより)

2.個人情報とは
トヨタは、車載機IDなどは「モノに関する番号だから個人情報ではない」とでも誤解したのでしょうか?

そもそも「個人情報」とは、①生存する「個人に関する情報」であって、②「氏名、生年月日その他…の一切の記述」により、③「特定の個人を識別できるもの」です。そしてさらに④「他の情報と容易に照合できるもの」(容易照合性)もこれに含まれます(法2条1項1号)。

個人情報の定義

ここでいう「個人に関する情報」とは、「個人の内心、外観、活動等の状況のみならず個人の属性に関する情報のすべてをいう」ものであり、「個人に関する判断・評価…人格権的又は財産権的に価値ある情報、その他個人と関係づけられるすべての情報を意味する」もので「極めて幅広い概念」と解説されています(園部逸夫・藤原静雄『個人情報保護法の解説(第三次改訂版)』65頁)。そのため車載機IDなどモノに結び付く番号は個人情報ではないと考えるのは正しくありません。

また、「他の情報と容易に照合できるもの」(容易照合性)とは、例えばPPCの個人情報保護法ガイドラインQA1-18は、「事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合において、ある取扱部門のデータベースと他の取扱部門のデータベースの双方を取り扱うことができるとき」には「他の情報と容易に照合できる」と解説しています。さらに、PPCの同QA1-25は、携帯電話番号やクレジットカード番号なども容易照合性を満たして特定の個人を識別できる場合には個人情報に該当すると解説しています。

QA1-18
(個人情報保護法ガイドラインQA1-18)

QA1-25
(個人情報保護法ガイドラインQA1-25)

トヨタは車載機IDなどに関してデータベース等で管理していたものと思われ、これはコネクテッドカーの顧客個人情報のデータベースなどと容易に照合できるものであったと思われるので、容易照合性があり、やはり車載機IDなどは個人情報であるといえます。

(なおこれらのデータベースは情報を検索できるように体系的に構成されていることが通常であると思われ、すると車載機IDなどのデータベースは個人情報データベース等に該当し、車載機IDなどの情報は個人情報であると共に「個人データ」となります(法16条1項、3項)。)

3.まとめ
このように個人情報保護法の条文をみてみると、やはり車載機ID、車台番号、位置情報等は個人情報・個人データであり、これを個人情報でないとしてきたトヨタは正しくありません。

このブログ記事が面白かったらシェアやブックマークをお願いします!

■関連するブログ記事
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた

人気ブログランキング

PR




このエントリーをはてなブックマークに追加 mixiチェック

ai_shigoto

1.はじめに
2023年6月2日付で個人情報保護委員会(PPC)はchatGPTなどに関する「生成AIサービスの利用に関する注意喚起等について」を発出しました。この文書の「【別添1】生成AIサービスの利用に関する注意喚起等」の(1)の部分は個人情報取扱事業者(=民間企業等)に対する注意喚起ですが、やや包括的な書きぶりで疑問点があったため、PPCに電話にて確認してみました。PPCの担当者の方のご回答はおおむね次の通りでした。
・生成AIサービスの利用に関する注意喚起等について(2023年6月2日)|個人情報保護委員会

2.質問とPPCの回答
(1)個情法の何条違反となるのか
質問:「【別添1】生成AIサービスの利用に関する注意喚起等」(1)②は「あらかじめ本人の同意を得ることなく生成AIサービスに個人データを含むプロンプトを入力し、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該個人情報取扱事業者は個人情報保護法の規定に違反することとなる可能性がある」とのことであるが、これは具体的には法何条に違反する可能性があるのであろうか?目的外利用あるいは第三者提供などとご教示いただきたい。」

PPCの回答:「とにかくchatGPTなど生成AIサービスについてはまだ分からないことが多い。そのため、個情法の何条に違反するというよりも、個人情報取扱事業者の義務を規定した法第4章の事業者のすべての義務に違反するような個人データの入力や利用は止めてもらいたいという趣旨である。」

(2)「応答結果の出力」ー委託の「混ぜるな危険」の問題
質問:「(1)②の「応答結果の出力以外の目的で取り扱われる場合…個人情報保護法の規定に違反する可能性」とあるということは、「応答結果の出力」の目的の範囲内であれば適法であると読めるが、「応答結果の出力」の目的の範囲内であっても、例えば個人情報保護法ガイドラインQA7-41等の委託の「混ぜるな危険の問題」に抵触するような場合、つまりopenAI社が他社から委託を受けた個人データと突合・名寄せする等して応答結果を出力するような場合は法27条5項1号違反となる可能性があるのではないか?」

PPCの回答:「たしかにその場合には違法の可能性がある。とにかく個情法第4章の個人情報取扱事業者の義務に抵触するような個人データの入力や利用は止めてもらいたいという趣旨である。」

(3)個人情報保護法ガイドラインQA7-39の「委託元から提供された個人データを委託先は自社の分析技術の改善のために利用することができる」について
質問:「(1)②の最後の部分に、「当該生成AIサービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること」とあるが、個人情報保護法ガイドラインQA7 -39は「委託に伴って提供された個人データを、委託業務を処理するための一環として、委託先が自社の分析技術の改善のために利用することはできるか」との問いに「委託先は、委託元の利用目的の達成に必要な範囲内である限りにおいて、委託元から提供された個人データを、自社の分析技術の改善のために利用することができる」と説明しているが、このQA7-39との関係をどう理解すればよいのだろうか?」

PPCの回答:「委託元の利用目的の範囲内であれば、委託先は自社の分析技術の改善つまり業務効率化に利用できるということであるが、業務効率化を超えるような利用があるとしたら、そのような個人データの利用は止めてもらいたい。とにかく当委員会としても生成AIサービスについてはまだよく分かってないことが多いので、個人情報取扱事業者においては個情法第4章の義務全般に違反する生成AIサービスの利用は止めてもらいたいという趣旨である。」

3.まとめ
PPCのご担当者の方が、「当委員会としても生成AIサービスについてはまだよく分かってないことが多い」ので、「個人情報取扱事業者においては個情法第4章の義務全般に違反する生成AIサービスの利用は止めてもらいたい」と繰り返し回答されていることが印象に残りました。

PPCがこのようなスタンスであるということは、民間企業など個人情報取扱事業者においては、chatGPTなどの生成AIサービスの利用については慎重の上に慎重に検討した上で個人データの入力などの利用を行う必要があると思われます。

(また、上の(2)では委託のスキームを前提とした質問を行い、PPCのご担当者もそれに沿った回答をしていただいていますが、生成AIサービスを利用する事業者の個人データの入力は、PPCが「当委員会としても生成AIサービスについてはまだよく分かってないことが多い」と繰り返し回答していることからも、委託というよりは第三者提供と考えたほうが安全なように思われました。)

このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR






このエントリーをはてなブックマークに追加 mixiチェック

bouhan_camera
1.防犯カメラ・顔識別機能付きカメラシステムに関する個人情報保護法ガイドラインQAの一部改正
個人情報保護委員会(PPC)は、本年3月30日に有識者委員会報告書「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」を公表したこと等を踏まえて、5月25日に個人情報保護法ガイドラインQ&Aについて、防犯カメラや顔識別機能付きカメラシステムに関して一部改正等を行ったことをウェブサイトで公表しています。このブログ記事ではこの一部改正を見てみたいと思います。

・令和5年5月25日 個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&Aの更新」(PDF)

2.従来型防犯カメラ(QA1-13)
01
02
改正個人情報保護法ガイドラインQ&A(以下「QA」)は、防犯カメラを「従来型防犯カメラ」(QA1-13等)と「顔識別機能付きカメラシステム」(QA1-14等)の2つに分けて解説しています。

顔識別機能付きカメラシステムとは、「顔識別機能付きカメラシステムは、検知対象者の顔画像12 及び顔特徴データをあらかじめ照合用データベースに登録しておき、カメラにより取得した画像から抽出した被撮影者の顔特徴データと照合し、被撮影者がデータベースに登録された者と同一人物である可能性が高いと検知した場合にアラート通知等がなされるシステムである。 」と解説されています(PPC「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(令和5年3月)」8頁)。

そしてPPCは従来型防犯カメラについて「防犯目的で設置されているカメラのうち、撮影した画像から顔特徴データの抽出を行わないもの」と定義しています(QA1-13)。この顔識別機能付きカメラシステムについて大きく取り上げたことが、今回のQAの改正の大きな目玉であるといえます。

QA1-13は、従来型の防犯カメラについて個人情報保護法上の留意点を解説しています。すなわち、従来型防犯カメラの設置状況などから個人情報の「取得の状況からみて利用目的が明らか」な場合には個人情報保護法21条4項4号により国民個人への利用目的の通知・公表は不要とする一方で、「偽りその他不正の手段」による個人情報の取得を禁止する法20条1項との関係で、「カメラの設置状況等から、カメラにより自らの個人情報が取得されていることを本人において容易に認識可能といえない場合には、容易に認識可能とするための措置を講じなければなりません」として、「例えば、防犯カメラが作動中であることを店舗や駅・空港等の入口や、カメラの設置場所等に掲示する等の措置を講じることが考えられます。」としています。

さらに、「「カメラの設置状況等から、カメラにより自らの個人情報が取得されていることを本人において容易に認識可能」な場合であっても、同様の措置をとることが望ましいとしています。

3.顔識別機能付きカメラシステムによる防犯カメラ(QA1-14)
05
06

QA1-14は顔識別機能付きカメラシステムによる防犯カメラについて解説しています。この点、顔識別機能付きカメラシステムは顔画像だけでなく顔識別データを取得していることが「取得の状況からみて利用目的が明らか」な場合には該当しないので(法21条4項4号)、事業者は「従来型防犯カメラの場合と異なり、犯罪防止目的であることだけではなく、顔識別機能を用いていることも明らかに」しなければならないと明記されていることは非常に重要であると思われます。またQA1-14は、事業者は顔識別機能付きカメラシステムを設置する場合は、保有個人データに関する事項の公表等(法32条)などの義務も果たさなくてはならないとしています。その上で法20条1項(不正な個人情報の取得の禁止)に関する部分はQA1-13を参照のこととしています。

さらにQA1-14は、本人へ分かりやすく情報提供を行うために、①顔識別機能付きカメラシステムの運用主体、②同システムで取り扱われる個人情報の利用目的、③問い合わせ先、④さらに詳細な情報、を掲載したサイトのURLまたはQRコード等を店舗や駅・空港等の入り口やカメラの設置場所に掲示することが望ましいとしています。この点に関しては上述の有識者検討会報告書33頁以下に詳しい解説があります。(ただ、この部分に関しては、書面等に上の事項を列挙して掲示するのではなく、サイトのURLやQRコードなどの掲示としてしまうことは、本人への分かりやすさとして大丈夫なのかと個人的に疑問です。)

03

04
(PPC有識者委員会報告書「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」35頁、36頁より)

加えて、QA1-14は、顔識別機能付きカメラシステムによる防犯カメラを設置・運用するにあたっては、同システムの濫用を防止するために、事業者は「登録基準」や運用の「文書化された統一的な基準」を制定し、それらを運用するための組織内の「体制を整備」しなくてはならないと明記していることも非常に重要であると思われます。

4.カメラ画像・顔特徴データの共同利用
07
08

QA7-50は、顔識別機能付きカメラシステムの防犯カメラによるカメラ画像・顔特徴データの共同利用について解説していますが、「組織的な窃盗の防止」などを例に挙げて、「全国的」な共同利用も「利用目的に照らして真に必要」な場合には許容されると記述したことが大きな改正点であろうと思われます。(有識者検討会の会議では、全国レベルでの共同利用を行う場合には「事業者に事前にPPCに相談させるべきである」趣旨の議論も行われていたのですが、報告書の段階ではカットされたようです。)

この点に関してはこのブログでも取り上げてきた通り、個人情報保護法に関する教科書は、共同利用の最大限度・外延は県などの一つの地域や一つの業界と解説するものが一般的であると思われ(宇賀克也『新・個情法の逐条解説』275頁、園部逸夫・藤原静雄『個情法の解説 第二次改訂版』187頁など)、このQA7-50の改正は大きく踏み込んだものであるといえます。

このQA7-50も指摘するとおり、事業者あるいは事業団体等は、かりに全国レベルで顔識別機能付きカメラシステムの防犯カメラによるカメラ画像・顔特徴データの共同利用を行うとしても、利用目的の達成に必要な最低限度の慎重な運用が必要であると思われます。

この点、QA7-50においてPPCは、QA1-14の登録基準などに加えて、事業者・事業団体に「共同利用する全ての者が同様の取扱いを行うための統一的な運用基準(登録基準や保存期間等)を作成すること」等を求めています。

5.顔識別機能付きカメラシステムのカメラ画像や顔特徴データ等は個人情報データベース等に該当しないのか?(QA1-41)
09

QA1-41は「防犯カメラ等で収集されたカメラ画像等は個人情報データベース等に該当しますか?」というQに対して、「個人情報に該当し得るが、特定の個人を検索できない状態であれば「体系的に構成」されたと言えないので、個人情報データベース等には該当しない」とのみ解説してしまっています。しかしこれはやや説明が足りないのではないでしょうか。

すなわち仮に個人情報データベース等に該当しない場合には、当該データベースに含まれるデータは保有個人データではなく、事業者は本人からの開示・利用停止等の請求に応じる必要がなくなってしまいます。

この点、従来型防犯カメラで収集されたカメラ画像などは個人情報データベース等に該当しないとしても、顔識別機能付きカメラシステムで収集されたカメラ画像や顔特徴データは個人情報データベース等(および保有個人データ)に該当すると思われます。

すなわち、PPCの有識者委員会報告書「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」30頁以下には顔識別機能付きカメラシステムの仕組み等が解説されていますが、同システムの照合用データベースは、例えば①ID、②顔画像、③顔特徴データ、④発生日時、⑤犯行の状況(ドアをこじ開け立入禁止地区に侵入など)、⑥犯人の特徴(男性/40代/スーツ姿など)などの情報で構成されていると解説されています。

照合用データベースの図
(PPCの有識者委員会報告書「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」31頁より)

つまり、日時などだけでなく、顔写真、犯行の状況、犯人の特徴などさまざまな項目から照合用データベースは検索可能なのですから、これは「体系的に構成」されており、照合用データベースつまり顔識別機能付きカメラシステムは個人情報データベース等に該当します。したがってそれを運用している事業者は、本人からの開示等の請求に応じる法的義務があります(法33条以下)。

6.開示・利用停止等の開示請求
10

QA9-13は、防犯カメラに関する保有個人データの開示について説明しています。すなわち「顔識別機能付きカメラシステム等に登録された顔特徴データ等が保有個人データに該当する場合、法令に基づき開示請求等に適切に対応しなければなりません。」と解説しています。

しかしその次の1行は、「すなわち、開示請求がなされた場合には、保有個人データの開示義務の例外事由に該当しない限り、開示請求に適切に対応しなければなりません。」と説明しています。

この点、防犯カメラに関するいわゆるブラックリストについては、個人情報保護法施行令5条1号などの「本人又は第三者の生命、身体または財産に危害がおよぶおそれがあるもの」に該当し、保有個人データの開示義務の除外事由に該当する可能性があります。

施行令5条
(PPCのパブコメ「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」より)

ここについてはPPCの有識者委員会報告書「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」のパブコメでも多くの見直しを求める意見が寄せられていました。これらの意見に対してPPCはパブコメ結果において、「施行令第5条の該当性は個別の事案に応じて慎重に判断されるべきものであり、防犯目的であれば直ちに施行令第5条に該当するということを述べるものではありません。」等と回答しています(パブコメ結果45など)

そのため、事業者は誤登録の被害者などから開示等の請求があった場合には、例外事由に該当するからと一律に請求への対応を拒否するのではなく、開示等の請求に誠実に対応する姿勢が求められます。(PPCはこのパブコメ結果45の回答の趣旨をQA1-13にも盛り込むべきだったのではないでしょうか。疑問が残ります。)

なお、PPCは今回のQA改正において、誤登録されてしまった本人が読んで分かりやすい開示・利用停止等の請求のやり方をもQAに載せるべきだったのではないでしょうか(例えば、誤登録していると思われる小売店や警備会社のウェブサイトに掲載されているプライバシーポリシーの開示等の請求手続きに従って書面で請求を行う等)。

このブログ記事が面白かったらシェアやブックマークをお願いします!

■関連するブログ記事
・個人情報保護委員会の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関するパブコメ結果を読んでみた
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた(追記あり)
・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで

人気ブログランキング

PR




このエントリーをはてなブックマークに追加 mixiチェック

tatemono_kaigo_shisetsu
1.老人ホームなどで施設職員が入居者に「誕生日おめでとうございます」と声を掛けることは許されない?
5月20日付でYahoo!ニュースに、「「誕生日おめでとうございます」は禁止? 過剰な「高齢者の個人情報保護」がもたらすデメリット|オトナンサー」という興味深い記事が掲載されていました。この記事によると、個人情報保護法を遵守する目的で、施設職員が入居者に「誕生日おめでとうございます」と声を掛けるのを禁じている高齢者住宅や高齢者施設があるとのことです。これはいわゆる「個人情報保護法の過剰反応」と呼ばれる問題ですが、これはなかなかまずい問題だなと思いました。

2.個人情報保護委員会・厚労省の個人情報保護法ガイドラインQA
この点、例えば個人情報保護委員会(PPC)の個人情報保護法ガイドラインQA1-35を見ると、「Q1-35 障害福祉サービス事業者等において個人情報を取り扱う際に、留意すべきことはありますか。 」というQに対して、「施設利用者の特性に応じて、個人情報の取扱いについて分かりやすい説明を行うことが望ましい」等の趣旨のAが解説されているだけで、別に福祉施設等に対して一律に利用者本人の氏名・生年月日などを声にだすことを禁止する等のことは記載されていません。

QA1-35
(PPCの個人情報保護法ガイドラインQA1-35より)

あるいは個人情報保護委員会・厚労省の「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」 に関するQ&A(事例集)」の各論3-10は、「外来患者を氏名で呼び出したり、病室における入院患者の氏名を掲示したりする場合の留意点は何ですか。(後略)」というQに対して、「患者から、他の患者に聞こえるような氏名による呼び出しをやめて欲しい旨の要望があった場合には、医療機関は、誠実に対応する必要がある」とのAを解説していますが、一律に氏名で呼び出すことは禁止などとはしていません。

3-10
(医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスQA各論3-10より)

このように個人情報保護委員会や厚労省のQAを見てみると、やはり冒頭の記事にあった、施設職員が入居者に「誕生日おめでとうございます」と声を掛けるのを禁じている高齢者住宅や高齢者施設があるということは過剰な対応であり、望ましくないと思われます。

3.個人情報保護法の立法目的
なお、個人情報保護法の立法目的については日本の多数説的な見解は自己情報コントロール権としますが、その伝統的な見解は、その立法目的の核心部分は個人の思想・信条や内心などが保護されるべきものであると考えています。この考え方からは老人ホームなどの福祉施設や医療機関などで誕生日や氏名などを呼ぶことは一律禁止にすることは「個人情報保護法の過剰反応」であり的外れであると思われます。

あるいは、産業技術総合研究所主任研究員の高木浩光先生などは近年、個人情報保護法の立法目的はAIやコンピュータの「個人データによる人間の選別」の防止であるとの見解(つまり個人情報保護法が真に保護しようとしているのは「個人」であって、「氏名・住所・生年月日」などの個人情報ではない)を主張されておられますが、この見解にたてば、福祉施設や医療機関などで利用者本人の氏名や誕生日などを声に出すことを一律に禁止することなどは、これも完全に的外れになると思われます。

このブログ記事が面白かったらシェアやブックマークをお願いします!



PR




このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ