なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:PPC

bouhan_camera
2022年にはいってから、個人情報保護委員会(PPC)で「防犯予防や安全確保のためのカメラ画像利用に関する有識者検討会」が開催されています。そこで、PPCサイトで公表されている同検討会の資料を読み、気がついたところを簡単にまとめてみました。

・犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会(第1回)
・犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会(第2回)
・犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会(第3回)

Ⅰ.資料2「顔識別機能付き防犯カメラの利用に関する法的整理と検討課題」について
1.2頁の3.カメラ画像の提供の(3)共同利用について
(1)防犯カメラの個人データが際限なくどんどん広範囲に共同利用されてしまうおそれへの歯止めが必要ではないか。学者の先生方の教科書をみると、共同利用の限界は「書店業界」など「〇〇業界」のなかが限界(外延)であるように読めるが(園部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』187頁)、もし防犯カメラの個人データが「日本の小売業全体」で共同利用されてしまったら、それは範囲が広すぎではないか。立法などで歯止めをかけるべきではないか。

(2)また第三者提供の例外である委託、事業承継、共同利用のなかで、共同利用は一番抽象的で事業者にいかようにも利用されてしまうリスクが高い。(例、TポイントのCCCの個人データの管理が当初、共同利用とされていたことなど)この点は、今後の個人情報保護法の改正などで明確化を図るべきではないか。

2.2頁の開示等請求について
(1)いわゆる「防犯カメラの冤罪被害者」の方々がスーパーや警備会社などに開示等請求をしても、一番多い対象は「うちはそういうことはやってない」「そういうデータは保存していない」と対応を断られることである。この場合、個人情報保護法上は開示等請求の民事訴訟を提起するしか対応方法がないが、これは一般市民にはハードルが高すぎる。例えば個人情報保護委員会(PPC)への相談、申告などの手続きを経て、PPCから事業者に対して助言・指導を行わせるなど、PPCが関与して紛争解決をするための手続きがあったほうがよいのではないか。

3.3頁の(1)利用目的の特定について
(1)PPCの個人情報保護法QA1-12は、ただの防犯カメラは個人情報保護法21条4項4号との関係で事業者は「防犯カメラ作動中」との掲示・表示さえすればよしとされているが、顔識別機能付き防犯カメラの場合は「防犯のために顔識別技術を用いた顔識別データの取扱が行われていること」を示す掲示・表示が必要としているが、現状ではほとんどの事業者が後者を遵守していない。遵守させるために、ガイドラインやQAだけでなく立法が必要なのではないか。

4.12頁のカメラ画像の提供の(3)共同利用、個人情報保護法ガイドラインQA7-50について
(1)共同利用する個人データは「真に必要な範囲に限定」、「データベースへの登録条件を整備」とあるが、特にいわゆる「防犯カメラの冤罪被害者」の人々が被る権利利益の侵害、個人の尊重と基本的人権(プライバシー権など)の侵害は重大であるため、この部分を事業者や認定個人情報保護団体のブラックボックスとさせないように、登録条件・基準や保存期間、開示等請求の手続き、問合せ窓口などを事業者に制定させ公開させ遵守を義務付けるための立法が必要なのではないか。ガイドラインやQAなどでは足りないのではないか。個人情報保護法は事業者による個人情報の利用と国民の権利利益の保護や人権保障のバランスをとる法律であることを考えると、PPCは国民の個人の尊重と基本的人権を守るための行政活動や立法活動がより必要なのではないか(個人情報保護法1条、3条)。

5.13頁の開示等請求の施行令5条各号について
(1)一般論としては、事業者側の対犯罪対応、反社対策、警察などの対テロ対応、安全保障対策のためにこのような除外規定があることは理解できるが、しかしいわゆる「防犯カメラの冤罪被害者」のように間違ってデータベースに登録された人々の権利救済のためには、施行令5条にも、本人が異議申し立てをできる場合を明記するような方向で、個人情報保護法を改正すべきではないか。施行令5条が事業者の免罪符になっている現状は問題である。(例えば施行令5条に該当する場合でも、冤罪被害のおそれが高い場合には、PPCや裁判所の関与のもとにインカメラ手続きなどを利用して本人の権利救済を図るなど。)

個人情報保護法施行令5条
(個人情報保護法施行令5条。PPCの資料2より)

6.企業の特定分野を対象とする団体を認定する認定個人情報保護団体の創設について
(1)この法改正により、あまりにも広い範囲で個人データの共同利用がなされてしまった場合、本人の合理的な予測ができず、本人の権利利益の侵害となってしまうのではないか。(例えば業界をまたぐ個人データの共同利用などは認めるべきではないのでは。)認定個人情報保護団体や事業者の利便性とは別に、本人・国民の側の権利利益の保護も図られるべきではないか。

7.17頁の事業者の自主的な取り組みについて
(1)これらの事業者の自主的な取り組みを事業者に実施させるために、自主的な取り組みの制定・公表を事業者や認定個人情報保護団体に義務付け、遵守させるために、枠組み立法が必要なのではないか。

Ⅱ.資料3「顔識別機能付き防犯カメラの利用に関する国内外動向」について
(1)EUのGDPR22条だけでなく、同22条のプロファイリング拒否権やAI規制法案も検討すべきではないか。また、GDPR22条については、日本の2000年の旧労働省の「労働者の個人情報保護のための行動指針」第2第6(6)もプロファイリング拒否権を明記していたことをもっと注目すべきではないか。

(2)ドイツは憲法擁護庁など諜報機関の防犯カメラなどの統制のために「テロ対策データベース法」などを制定して諜報機関の防犯カメラなどの運用を第三者機関などがチェックしているそうなので、日本も同法を検討してはどうか(日弁連『監視社会をどうする』95頁以下に概要あり。)。また、米オレゴン州ポートランドは2020年9月に、民間企業も公共空間での防犯カメラの利用を禁止する法律を制定し、2020年8月にはアメリカの連邦裁判所が警察による防犯カメラの利用に違憲判決を出しているので、個人情報保護委員会は本検討会でこれらの法律や判決を検討すべきではないか。

Ⅲ.第1回議事録について
1.5頁開示請求について
(1)万引き犯などのブラックリストは施行令5条により保有個人データに該当しないとなると、事業者側は一切開示等請求に応じなくてよいことになってしまい、いわゆる防犯カメラの冤罪被害者の人権侵害を救済できない。施行令5条で一律に保有個人データに該当しないのではなく、ブラックリストに載せられた人を救済できるための何らかの手当が必要ではないか。

2.5頁GDPRについて
(1)DGPR9条だけでなく、同22条やAI規制法案も検討すべき。また、例えばドイツの憲法擁護庁など諜報機関に関する対テロ法など、諜報機関の情報管理を第三者がチェックするための法律なども検討すべき。本検討会の射程に収まるかは別として、PPCはプロファイリング拒否権やAI規制法を日本にも導入するために検討をすべきではないか。また、欧米は2000年代に制定した遺伝子差別禁止法なども日本も早く立法化すべきではないか。

Ⅳ.第2回議事録について
1.2頁目の真ん中の〇の部分
(1)「制定当初の個人情報保護法は…個人情報の中に機微性における区別はなかった」は、事実誤認である。制定当初の個人情報保護法に基づいて制定された、金融庁の金融分野における個人情報保護ガイドラインなどは、センシティブ情報に関する規定を置いている。また、2000年の旧労働省の「労働者の個人情報保護の行動指針」もプロファイリング拒否権の条文を置いている。

(2)3頁目の3番目の〇の「立法者意思説でなく法律意思説でいくべき」について 賛成である。立法者の意思も重要であるが、現在の社会情勢や判例・学説の動向を勘案の上、機動的に個人情報保護(個人データ保護)、個人の尊重や基本的人権の確立のための行政活動・立法活動を行うべきである。

2.6頁の顔識別機能付きカメラについて
(1)顔識別機能付きカメラにより個人のプロファイリングがなされてしまうとの問題意識に賛成である。この点をさらに深堀りし、国民の個人の尊重と基本的人権を守る方向で議論をすすめていただきたい。

3.7頁目の「検討すべき事項」について
(1)経産省・総務省の商用カメラに関する「カメラ画像利活用ガイドブック」と個人情報保護法や同ガイドラインの防犯カメラに関する部分との統一化が必要ではないか。カメラを利用し個人の顔識別やプロファイリングなどを行う面では同じ問題なのであるから。また、国民の個人の尊重と基本的人権の保護のために、これらを規制する枠組み立法が必要である。

(2)8頁目の「カメラ画像の第三者提供や共同利用」を広げていく議論に関しては、慎重な議論が必要である。個人情報保護法17条(利用目的の特定)の背後にある、「必要最低限の原則」に180度反する可能性が高いので、慎重な議論が必要である。同様に、デジタル庁等が現在推進している、「学習データ利活用ロードマップ」や「行政の保有する子供の個人データの共有化」「スーパーシティ構想・デジタル田園都市構想」などの政策も、この「必要最低限の原則」に180度反しているので、PPCは個人情報保護法の所管官庁として、しかるべき対応をすべきではないか。

(3)その他、就活生のSNSの「裏アカウント」を採用企業や調査会社などが調査し分析している問題や、ネット系人材紹介会社が本人の承諾なしに勝手にSNSやGithubなどの個人データを収集・分析して人材紹介ビジネスを行っている問題など、労働法(職安法など)と個人情報保護法が交錯する分野についても、PPCは厚労省と共担でしかるべき対応を行うべきではないか。また、最近、警察庁が国民のSNSをAIで捜査するシステムを導入したとのことであるが、これらについてもPPCは個人情報保護法(個人データ保護法)の担当所管としてしかるべき対応をすべきではないか。

(参考)
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた(追記あり)
・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで
・ジュンク堂書店が防犯カメラで来店者の顔認証データを撮っていることについて
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・Github利用規約や労働法、個人情報保護法などからSNSなどをAI分析するネット系人材紹介会社を考えた
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・データによる人の選別
・遺伝子検査と個人情報・差別・生命保険/米遺伝子情報差別禁止法(GINA)
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)













このエントリーをはてなブックマークに追加 mixiチェック

ラインのアイコン

1.LINEがプライバシーポリシーを改正
LINE社が3月31日付でLINEのプライバシーポリシーを改正するようです。その内容は、①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用、②統計情報の作成・提供、③越境移転に関する情報の追加、の3点となっています。

このなかで①②はどちらも他社データをLINEの保有する個人データに突合・名寄せをして該当するユーザーに広告やメッセージ等を表示する等となっておりますが、これは委託の「混ぜるな危険の問題」に該当し、本年4月施行の個人情報保護委員会(PPC)の個人情報保護法ガイドラインQA7-41、42、43から違法の可能性があると思われます。また、この改正がLINEのプライバシーポリシー本体に記載されていないこと、昨年3月に炎上した「外国にある第三者」の外国の個人情報保護の制度等の情報の部分が「準備中」となっていることも個人情報保護法上問題であると思われます。

・プライバシーポリシー改定のお知らせ|LINE
・LINEプライバシーポリシー|LINE

2.①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用
LINE社の「LINEプライバシーポリシー変更のご案内」によると、「①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用」は、「ユーザーの皆さまへ提携事業者が「公式アカウントメッセージ送信」や「広告配信」などを行う際、当該提携事業者から取得した情報(ユーザーの皆さまを識別するIDなど)をLINEが保有する情報と組み合わせて実施することがあります。」と説明されています。

ラインプライバシーポリシー変更のご案内2
(LINE社の「LINEプライバシーポリシー変更のご案内」より)

そして、この点を詳しく説明した「LINEプライバシーポリシー改正のご案内」は①についてつぎのように説明しています。

情報の流れ
1.A社(提携事業者)が、商品の購入履歴のあるユーザー情報(ユーザーに関する識別子、ハッシュ化されたメールアドレス、電話番号、IPアドレス、OS情報など)を加工してLINEに伝える
   ↓
2.LINEが、A社から受け取ったユーザー情報の中からLINEのユーザー情報だけを抽出する
   ↓
3.抽出されたユーザーに対して、A社の保有するLINE公式アカウントからのメッセージ送信や、広告の配信を実施する
ライン1
ライン2
(LINE社の「LINEプライバシーポリシー変更のご案内」より)

この「情報の流れ」によると、LINE社の提携事業者A社は、ユーザーを識別するためのハッシュ化されたメールアドレス、電話番号、IPアドレスなどのユーザー情報をLINE社に提供し、当該ユーザー情報をLINE社は同社が保有する個人データ(個人情報データベース)と突合・名寄せし(=混ぜる)、LINEのユーザー情報だけを抽出し、当該抽出されたユーザーに対して、A社の保有するLINE公式アカウントからのメッセージ送信や、広告の配信を実施するとなっています。

3.委託の「混ぜるな危険」の問題
しかしこのプロセス中の、「提携事業者A社は、ユーザーを識別するためのユーザー情報をLINE社に提供し、当該ユーザー情報をLINE社は同社が保有する個人データ(個人情報データベース)と突合・名寄せし、LINEのユーザー情報だけを抽出する」というプロセスは、いわゆる委託の「混ぜるな危険の問題」そのものです。

この点、PPCの「個人情報保護法ガイドライン(通則編)」(2022年4月1日施行版)3-6-3(1)は、委託の「委託先は、委託された業務の範囲内でのみ本人との関係において委託元である個人情報取扱事業者と一体のものと取り扱われることに合理性があるため、委託された業務以外に当該個人データを取り扱うことはできない」と規定しています(個人情報保護法ガイドライン(通則編)3-6-3 第三者に該当しない場合(法第27条第5項・第6項関係)(1)委託(法第27条第5項第1号関係))。

そして改正前のPPCの個人情報保護法ガイドラインQA5-26-2は、「委託先が委託元から提供された個人データを他社の個人データと区別せずに混ぜて取り扱う場合(いわゆる「混ぜるな危険」の問題)について、委託として許されない」としています(田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁)。

すなわち、委託(改正個人情報保護法27条5項1号・改正前法23条第5項第1号)とは、コンピュータへの個人情報のデータ入力業務などのアウトソーシング(外部委託)のことですが、委託元がすることができる業務を委託先に委託できるにとどまるものであることから、委託においては、委託元の個人データを委託先の保有する個人データと突合・名寄せなどして「混ぜて」、利用・加工などすることは委託を超えるものとして許されないとされているのです。

そして、2022年4月1日施行の改正版のPPCの個人情報保護法ガイドラインQA7-41はこの点を次のように明確化しています。
Q7-41
委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか。

A7-41
個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1)既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること

事例2)既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること

これらの取扱いをする場合には、①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。(令和3年9月追加)

QA7-41
(個人情報保護法ガイドラインQA7-41より)

したがって、委託先であるLINE社が委託元の提携事業者A社から商品の購入履歴のあるユーザー情報を受け取り、LINE社が自社が保有する個人データと当該A社の他社データを突合・名寄せしてユーザーを抽出し、当該ユーザーに広告やダイレクトメールを送信するなどの行為は、PPCの個人情報保護法ガイドラインQA7ー41の事例1、事例2にあてはまる行為であるため許されません。

この点、PPCの個人情報保護法ガイドラインQA7ー41はこの委託の「混ぜるな危険」の問題をクリアするためには、「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要がある」としています。

そのため、LINE社が第三者提供としての本人の同意を取得しないと、今回のLINE社のプライバシーポリシーの改正の①の部分は違法となります。

4.「本人の同意」について
なおこの場合は、法27条5項1号の「委託」に該当しないことになり、原則に戻るため、法27条1項の本人の同意が必要となるため、法27条2項のオプトアウト方式による本人の同意では足りないことになります(岡村久道『個人情報保護法 第3版』263頁)。

また、個人情報保護法ガイドライン(通則編)3-4-1は、本人の同意の「同意」について、「同意取得の際には、事業の規模、性質、個人データの取扱状況等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなくてはならない」と規定しています。

しかし、LINE社のスマホアプリ版のLINEを確認すると、冒頭でみたように、①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用、②統計情報の作成・提供、③越境移転に関する情報の追加、の3点が簡単に表示されているだけで、①②が委託の「混ぜるな危険の問題」に関するものであることの明示もなく、プライバシーポリシーの改正への「同意」ボタンしか用意されていません。これではPPCのガイドラインの要求する「本人の同意」に関する十分な説明がなされていないのではないかと大いに疑問です。

5.プライバシーポリシーに記載がない?
さらに気になるのは、LINE社の改正版のプライバシーポリシーをみると、上の①②に関する事項が「パーソナルデータの提供」の部分にまったく記載されていないようなことです。さすがにこれはひどいのではないでしょうか。たしかに「LINEプライバシーポリシー変更のご案内」には最低限の記載は存在し、これやプライバシーポリシーを両方とも一体のものとして読めばいいのかもしれませんが、これで通常の判断能力を持つ一般人のユーザーは合理的にLINEのプライバシーポリシーの改正を理解できるのでしょうか?

パーソナルデータの提供
(LINEプライバシーポリシーより)

LINE社の経営陣や法務部、情報システム部などは、昨年、情報管理の問題が国・自治体を巻き込んで大炎上したにもかかわらず、あまりにも情報管理を軽視しすぎなのではないでしょうか。

6.「②統計情報の作成・提供」について
LINE社のプライバシーポリシーの改正点の2つ目の「②統計情報の作成・提供」は、「LINEプライバシーポリシー変更のご案内」によると、広告主等の提携事業者から情報(ユーザーの皆さまを識別するIDや購買履歴など)を受領し、LINEが保有する情報と組み合わせて統計情報を作成することがあります。提携事業者には統計情報のみを提供し、ユーザーの皆さまを特定可能な情報は提供しません。」と説明されています。

ライン3
ライン4
(「LINEプライバシーポリシー変更のご案内」より)

つまり、「②統計情報の作成・提供」も①と同様に広告主などの提携事業者の他社データをLINE社が自社の個人データと突合・名寄せして、ユーザーの行動傾向や趣味・指向などを分析・作成等するものであるようです。LINE社は分析・作成した成果物は統計情報であるとしていますが、4月1日施行のPPCの個人情報保護法ガイドラインQA7ー38は、成果物が統計情報であったとしても、委託元の利用目的を超えて委託先が当該統計情報を利用等することはできないと規定しており、同時に同QA7ー43も、統計情報を作成するためであったとしても、委託の「混ぜるな危険の問題」を回避することはできないと規定しています。したがって、②の場合についても、第三者提供として本人の同意を取得しない限りは、同取扱いは違法となります。

7.「外国にある第三者」の外国の個人情報保護の制度等の情報の部分が「準備中」?
さらに、今回のLINE社のプライバシーポリシー改正の三番目の「③越境移転に関する情報の追加」の部分については、プライバシーポリシーの該当部分の「外国のパーソナルデータ保護の制度等の情報はこちら」の部分をクリックして開いても、「ただいま準備中てす」との文言しか表示されませんでした(2022年3月28日現在)。この「外国にある第三者」に係る外国の個人情報保護の制度等の情報については、あらかじめ本人に提供しなければならないと改正個人情報保護法28条2項が明記しているのにです。PPCや総務省からみて、LINE社のこのような仕事ぶりが許容されるのか大いに疑問です。

(なお、プライバシーポリシーも民法の定型約款の一種ですが、民法548条の2第2号の規定から、事業者は契約締結や契約が改正された場合はあらかじめ約款の表示が必要と解されています。PPCサイトにはすでに事業者が参考になる外国の制度等の情報が掲載されていることも考えると、3月下旬ごろからプライバシーポリシー改正の本人同意の取得をはじめているLINE社のプライバシーポリシーの一部が未完成なのは、民法や消費者保護の観点からもやはり大問題です。)

ただいま準備中です
(LINE社のプライバシーポリシーより)

8.まとめ
このように、今回、LINE社がプライバシーポリシーを改正した①②は、委託の「混ぜるな危険」の問題に関するものであり、LINE社は第三者提供の本人の同意を取得しなければ違法となります。この「本人の同意」について、PPCの個人情報保護法ガイドライン(通則編)は、「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示す」ことが必要としているにもかかわらず、LINE社の説明はオブラートにくるんだようなものであり、これで通常の一般人のユーザーがプライバシーポリシーの改正内容を十分理解をした上で「本人の同意」をできるのか非常に疑問です。とくに今回の改正内容がプライバシーポリシー本体に盛り込まれていないことは非常に問題なのではないでしょうか。

また、「外国にある第三者」の外国の個人情報保護法制などの制度の情報に関する部分が「準備中」となっているのも、昨年3月にこの部分が大炎上したことに鑑みても非常に問題です。

LINEの日本のユーザー数は約8900万人(2021年11月現在)であり、日本では最大級のSNSであり、またLINE社は2021年3月に朝日新聞の峰村健司氏などのスクープ記事により、個人情報の杜撰な管理が大炎上したのに、LINE社の経営陣や法務部門、情報システム部門、リスク管理部門などの管理部門は、社内の情報管理をあいかわらず非常に軽視しているのではないでしょうか。大いに疑問です。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・宇賀克也『新・個人情報保護法の逐条解説』245頁、277頁
・岡村久道『個人情報保護法 第3版』246頁、125頁
・佐脇紀代志『一問一答令和2年改正個人情報保護法』52頁、54頁
・田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁
・児玉隆晴・伊藤元『改正民法(債権法)の要点解説』108頁

■関連する記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・個人情報保護法改正対応の日経新聞の日経IDプライバシーポリシーの改正版がいろいろとひどい
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・ドイツ・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権について
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園・「デジタル・ファシズム」
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?





















このエントリーをはてなブックマークに追加 mixiチェック

ヤフーデータは大切に守ります
(Yahoo!Japanより)

このブログ記事の概要
Yahoo!JapanなどのEU域内に事業所等のない日本企業であっても、EU域内の個人へのネット上のサービスなどを提供している場合、GDPRの直接適用を受け、万一違反をした場合には罰則・制裁金を科されるリスクがある。

1.Yahoo!Japanが2022年4月6日よりEUおよびイギリスでサービスを終了
Yuta Kashino様(@yutakashino)のTwitterの投稿などによると、Yahoo!Japan(ヤフージャパン)が2022年4月6日よりEUおよびイギリスでサービスを終了するとのことです。「ビッグテックのCookie利用で,仏政府が今月頭にGDPRを根拠に巨大制裁金を課した」からであろうとYuta Kashino様はしておられます。

ヤフージャパンEU
(Yuta Kashino様(@yutakashino)のTwitterより)
https://twitter.com/yutakashino/status/1488355581148737537

Yahoo!Japanもプレスリリースを出しています。
・重要なお知らせ 2022年4月6日 (水)よりYahoo! JAPANは欧州経済領域(EEA)およびイギリスからご利用いただけなくなります|Yahoo!Japan

2.4月6日以降に欧州から個人がYahoo!Japanサイトへアクセスして、その上でGDPR違反が問われたら、YJは巨額制裁金を支払うことになるのだろうか?
このYahoo!Japanの対応に関しては、Twitter上で「4月6日以降に欧州から個人がYahoo!Japanサイトへアクセスして、その上でGDPR違反が問われたら、YJは巨額制裁金を支払うことになるのだろうか?」などの疑問を提起されています。この問題に関しては、GDPRの解説書などを読む限り、そのリスクがあるのではないかと思われます。

3.EU域内に拠点のない企業でも、EU域内の個人に対するサービスの提供等を行う場合、GDPRが直接適用される
(1)EUのGDPR(EU一般データ保護規則)3条2項
この点、小向太郎・石井夏生利『概説GDPR』33頁は、

「EU域内に拠点のない企業でも、EU域内の個人に対するサービスの提供などを行う場合、GDPRが直接適用される」
と解説しています。

そして、EUのGDPR(EU一般データ保護規則)3条2項はつぎのように規定しています。

「取扱活動が以下と関連する場合、本規則は、EU域内に拠点のない管理者又は処理者によるEU域内のデータ主体の個人データの取扱いに適用される」

「(a)データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品又はサービスの提供。又は」

「(b)データ主体の行動がEU域内で行われるものである限り、その行動の監視」


GDPR3条2項
(GDPR3条2項の日本語訳。個人情報保護委員会サイトより。)
・GDPR仮日本語訳|個人情報保護委員会

つまり、「(a)EU域内のデータ主体(=個人)に対する物品又はサービスの提供」をする場合、または「(b)データ主体の行動がEU域内で行われるものであり、その行動の監視」をする場合のいずれかのときは、EU域内に拠点のない事業者に対してもGDPRが直接適用されることになり、もし万一当該事業者がGDPR違反をした場合には、GDPRに基づく罰則・制裁金などが科されるリスクがあることになります(最大2000万ユーロまたは前会計年度の世界売上の4%のいずれか高い方の金額の制裁金。同83条)。

(2)どのような場合にGDPRが直接適用されるのか?
どのような場合にGDPRが直接適用されるのかについて、小向・石井・前掲35頁以下は、"オンラインサービス提供者の意思が問題となるが、英語でサイトを作成しているだけでなく、ユーロやポンドなどを決済通貨にしてる場合はGDPR3条2項でGDPRが直接適用されるだろう”としています。

また同書は、「.eu」や「.de」などのドメインをサイトに利用してる場合や、『euのお客様へ』などの説明文がある場合、さらにEUの個人の行動ターゲティング広告や位置情報の把握などを実施していたり、cookieなどでeu域内の個人を追跡してる場合などは、GDPR3条2項(b)が適用されるだろうとしています。

この点、冒頭のYuta Kashino様が指摘されているように、Yahoo!JapanはおそらくこのGDPR3条2項(b)が適用され、GDPRの直接適用があるので、GDPRによる罰則・制裁金などのリスクを回避するために4月からEUとイギリスでのサービス提供を終了するのではないかと思われます。

なぜなら、Yahoo!Japanは行動ターゲティング広告などを提供する等のために、Cookieなどにより国内外のユーザーのネット上の行動を追跡・監視しているからです。

この点、Yahoo!Japanの「プライバシーセンター」の「パーソナルデータの取得」のページは、

●Yahoo! JAPANのウェブページへのアクセスに伴って送信された「IPアドレス」を取得する場合
●Yahoo! JAPANのウェブページの閲覧履歴を取得する場合
●Yahoo! JAPANの検索機能を利用する際に入力された検索キーワードを取得する場合
●Yahoo! JAPANのショッピングサービスでの購買履歴を取得する場合
●「Yahoo!防災速報」「Yahoo!天気」「Yahoo! MAP」などをインストールされている端末に対して、所在地に応じた災害情報などをお知らせするために、端末の位置情報を取得する場合
●Yahoo! JAPANの広告主や広告配信先などのウェブページやアプリを利用した場合に、そのパートナーのウェブページやアプリにYahoo! JAPANの「ウェブビーコン」などを設置して「クッキー」や端末情報を参照することで、お客様がご利用の端末を識別するための情報を取得する場合
・パーソナルデータを取得する場合|Yahoo!Japan
ヤフーのプライバシーセンター

などの場合に、Yahoo!JapanはユーザーのIPアドレス、サイト閲覧履歴、検索キーワード、位置情報、Cookieや端末ID、端末情報などを収集するとしています。

つまり、Yahoo!Japanは同社サイトの各種のサービスを利用しているユーザー・顧客のIPアドレス、サイト閲覧履歴、検索キーワード、位置情報、Cookieや端末ID、端末情報などを収集し、それぞれのユーザーのネット上の行動や位置情報などを監視・追跡しているので、GDPR3条2項(b)が適用され、Yahoo!Japanの事業所等が仮にEUになく、EUの域外にしかないとしても、GDPRが直接適用されることになります。そのため、万一Yahoo!JapanがGDPR違反をした場合には、罰則・制裁金などが科されるリスクがあることになります。

4.そもそもGDPRの罰則が日本企業に科されるのか?
ところでネット上をみていると、「そもそもEUのGDPRの罰則が日本企業に科されるはおかしいのではないか?」との意見をみかけます。

この点、たしかに日本の刑法は原則として属地主義であり、日本国内で起きた犯罪を処罰するものです(刑法1条)。しかし、刑法2条から5条までが規定するとおり、日本国民が殺人や強盗など海外で重大な犯罪被害を受けたような場合には、日本の刑法は海外にも適用されます(属人主義)。また、内乱罪や通貨偽造罪など日本の国家的利益を損なう犯罪に対しても日本の刑法が海外に適用されるほか(保護主義)、例えばハイジャックなど世界的な利益に対する犯罪にも日本の刑法が適用されることがあります(世界主義)。

このように、法律は国内だけでなく国外にも適用される場合があります。法律は国をまたいで適応の範囲が重なりあう場合があるのです(小向・石井・前掲38頁、大塚裕史・十河太朗・塩谷毅・豊田兼彦『基本刑法Ⅰ総論 第2版』449頁)。

例えば、日本の個人情報保護法75条も、匿名加工情報に関しては国外の事業者にも日本の個人情報保護法が適用されるとの条文を置いています。

個人情報保護法
(適用範囲)
第75条 第十五条、第十六条、第十八条(第二項を除く。)、第十九条から第二十五条まで、第二十七条から第三十六条まで、第四十一条、第四十二条第一項、第四十三条及び次条の規定は、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。

5.GDPRの十分性認定とは?
また、「日本はEUからGDPRの十分性認定を受けているので、GDPRの罰則が適用されるのはおかしいのでは?」という疑問もネット上でみかけます。

この点、EUのGDPRは原則として、EU域内の個人データがEU域外に移転することを禁止しています。しかし、①十分性認定(45条)、②拘束的企業準則(BCR(Binding Corporate Rules)46条2項(b)、47条)、③標準データ保護条項(SCC(Standard Contractual Clauses)46条2項(c)(d))、④行動規範(46条2項(e))、⑤認証(46条2項(f))などがある場合には、EU域内の個人データがEU域外に移転することを認めています。

日本は2019年1月にEUからGDPR45条に基づき十分性認定を受けているため、上の拘束的企業準則や標準データ保護条項などの法的手続きを経ずに企業などがEU域内の個人データがEU域外に移転することができることになっています(越境データ移転の問題)。

しかしこれはあくまでも拘束的企業準則や標準データ保護条項などの法的手続きを経ずに企業などがEU域内の個人データがEU域外に移転することができるという越境データ移転の問題であり、日本の企業などがEU域内の個人データに関してGDPR違反をした場合には、上でみたように同3条2項によりGDPRが直接適用され、罰則や制裁金が科されるリスクがあることになります。

6.まとめ
このように、日本はEUからGDPRの十分性認定を受けていますが、しかしEU域内に事業所がある企業や(GDPR3条1項)、EU域内に事業所がない企業でも、例えばECやスマホアプリやゲームの開発などで、EU域内の個人にネットのオンラインサービスなどを提供している事業者などは(同3条2項)、GDPRの適用を受け、万が一GDPR違反をした場合には、罰則や制裁金などが科されるリスクがあることになります。

この点、日本の個人情報保護委員会は、GDPRの日本語訳や各種のガイドラインの日本語訳などをサイトに掲載しています。また、個人情報保護委員会は、「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」等も準備しています。そのため、EU域内に事業所のある企業や、EU域内の個人などにネット上のサービスを提供している企業などは、日本の個人情報保護法だけでなく、これらのEUなどの各種の法律やガイドライン、ルール等の法令遵守も必要になると思われます。

・日EU間・日英間のデータ越境移転について|個人情報保護委員会
・GDPR(General Data Protection Regulation:一般データ保護規則)|個人情報保護委員会
・個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール|個人情報保護委員会

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・小向太郎・石井夏生利『概説GDPR』33頁、38頁、41頁、141頁
・大塚裕史・十河太朗・塩谷毅・豊田兼彦『基本刑法Ⅰ総論 第2版』449頁

■関連記事
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園・「デジタル・ファシズム」
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・文科省が小中学生の成績等を一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・飲食店の予約システムサービス「オートリザーブ」について独禁法から考えた
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか?























このエントリーをはてなブックマークに追加 mixiチェック

読売新聞記事
(読売新聞サイトより)

1.JR東日本が駅構内等で防犯カメラと顔認識システムを利用して、刑務所からの出所者や不審者を監視する防犯対策を実施しているとの読売新聞のスクープ記事
読売新聞の9月21日付の午前の記事で、「JR東日本が7月から、防犯カメラと顔認識システムを利用して、刑務所からの出所者と仮出所者や、不審者を駅構内などで検知する防犯対策を実施していることがわかった」とする記事がネット上で大きな注目を集めています。具体的には、①過去にJR東の駅構内などで重大犯罪を犯し服役した人(出所者や仮出所者)、②指名手配中の容疑者、③うろつくなどの不審な行動をとった人、を防犯カメラ・顔認証システムで監視し、必要に応じて警察と連携した対応を行うとしています。
・【独自】駅の防犯対策、顔認識カメラで登録者を検知…出所者の一部も対象に|読売新聞

JR東日本の2021年7月6日付のプレスリリース「東京2020オリンピック・パラリンピック競技大会に向けた鉄道セキュリティ向上の取り組み について」や、国土交通省のプレスリリース「鉄道の警戒警備の強化に関するお知らせ」によると、JR東日本は、東京オリンピック・パラリンピックの開催に合わせて、不審者、不審物などを監視するセキュリティの強化のために、新幹線や在来線の約110駅に約5800台の防犯カメラを設置し、変電所や車両基地などに約8350台の防犯カメラなどを設置し、さらに駅員にウェアラブル端末式の防犯カメラを装着させるなどして、収集したデータをセキュリティセンターで集中管理して監視を行うとされています。また、JR東日本のプレスリリースには「顔認証技術の導入に当たっては、個人情報保護委員会にも相談の上、法令に則った措置を講じています。」と書かれていることも気になる点です。
・東京2020オリンピック・パラリンピック競技大会に向けた鉄道セキュリティ向上の取り組み について|JR東日本
・鉄道の警戒警備の強化に関するお知らせ|国土交通省

ところが、この読売新聞のスクープ記事が報道された同日の夜には、新聞各社の報道によると、JR東日本は「顔認証システムで刑務所の出所者・仮出所者を監視する取組は撤回する」と発表したとのことです。
・駅で出所者の「顔」検知、JR東が取りやめ…「社会の合意不十分」と方針転換|読売新聞

JR東日本は、監督官庁である国土交通省や個人情報保護委員会などと調整した上で、この鉄道セキュリティ対策を企画・立案し実施したはずなのに、読売新聞のスクープ報道を受けてたった1日でその一部を撤回したのは不可解な話です。本ブログ記事では、このJR東日本の防犯カメラ・顔認証システムによる駅構内などにおける刑務所の出所者や不審者などの監視を、個人情報保護法などから問題点を検討してみたいと思います。

2.防犯カメラ・顔認証システム
顔認証システム(顔認証カメラ)とは、防犯カメラが収集した個人の顔の画像から、目、鼻、口といった顔の特徴をシステム的に数値化し、その「特徴点のデータ」(=「顔データ」、「顔認証データ」・「テンプレート」等と呼ばれる)を作成しデータベース(DB)に登録し、DB登録されている顔データとカメラで撮影し抽出した顔データを照合することで、特定の個人を識別するシステムのことをいいます。顔認証システムは、自動的に特定の個人を識別できることが、従来のただの画像という「生データ」しか取得しない従来の防犯カメラと大きく異なる点です。

そして、顔認証システムは特定の個人を識別するための「一対一の本人確認」のみならず、不特定多数の人間から特定の個人を識別する「一対nの識別」にも利用ができるため、警察や、今回話題となったJR東日本などのように民間企業でも利用が広がっています。

このような顔認証システムは、警察や民間企業などにとって有用性が高い一方で、撮影された個人の容貌の保護の問題(肖像権)、撮影方法や撮影画像の利用方法の問題(プライバシー権)、撮影された画像および顔データの保護の問題(個人情報の適切な取扱い)などについてさまざまな法的問題が発生します(新保史生「監視・追跡技術の利用と公法的側面における課題」『プライバシー・個人情報保護の新課題』(堀部政男編)201頁)。

3.個人情報保護法
(1)個人情報・個人データ
防犯カメラが撮影した生データとしての個人の顔や容貌などは、「個人に関する情報」であって、電磁的記録などを含むさまざまな情報・記述などにより、「あの人、この人」と「特定の個人を識別できるもの」は個人情報保護法上の「個人情報」に該当します(法2条1項1号)。そして民間企業などがコンピュータで体系的に処理する個人情報は「個人データ」に該当します(法2条6項)。

なお、従来、6か月以内に消去されるデータは個人データに該当しないと規定されていましたが、この規定は令和2年の個人情報保護法改正で改正され、改正法が施行される2022年4月以降は、6か月以内に消去されるデータも個人データに該当します(改正法2条7項)。

(2)顔データ・個人識別符号
今回問題となっている顔認証システムによる顔データ(顔認証データ)や遺伝子データ、声帯認証データ、歩行認証データ、指紋・掌紋認証データなどは、「個人に関する情報」であって「特定の個人を識別できるもの」である限り個人情報・個人データですが、平成27年の個人情報保護法改正で、これが個人情報・個人データに該当することを明確化するために、「個人識別符号」(いわゆる1号個人識別符号)という名称で、個人情報・個人データに該当することが条文上、明示されました(法2条2項1号、法2条1項2号)。

顔認証システムによる顔データは、個人情報保護法施行令1条1項ロの「顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌」に該当し、法2条2項1号の「特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの」である「個人識別符号」に該当するので、やはり個人情報・個人データに該当することになり、民間企業などは個人情報保護法第4章の規定する個人情報取扱事業者の義務を負うことになります。

(3)犯罪歴・要配慮個人情報
EUが1995年に制定したEUデータ保護指令は、病歴、犯罪歴、思想・信条、人種など社会的差別の原因になるおそれのある情報をセンシティブ情報(機微情報)として、個人情報のなかでも特に厳格な取扱いが必要であるとしました。しかし2003年に成立した日本の個人情報保護法は経済界の個人情報の利活用を重視するいわゆる「ザル法」であるため、このセンシティブ情報に関する規定はなく、金融庁などの個人情報保護ガイドラインなどにセンシティブ情報の規定が存在するにとどまっていました。しかし平成27年の法改正で日本の個人情報保護法にも、このセンシティブ情報は「要配慮個人情報」という名称でようやく取り入れられました(法2条3項)。

今回のJR東日本の防犯カメラ・顔認証システムで問題となる刑務所から出所や仮出所した人々を監視するということは、個人の犯罪歴に関わる情報の取扱ですので、この要配慮個人情報の取扱の問題となります。

要配慮個人情報について、個人情報保護法は、その収集には原則として本人の同意が必要であると規定し(法17条2項)、また要配慮個人情報の第三者提供については、オプトアウト方式による第三者提供を禁止しています(法23条2項かっこ書き)。

4.JR東日本の犯罪歴などの要配慮個人情報の取扱に法的問題はないのか?
このように、社会的差別をまねくおそれがあるために、犯罪歴、病歴、思想・信条、人種などの要配慮個人情報を民間企業などが収集するためには、原則として本人の同意が必要とされていますが、法はいくつかの例外を設けています。その一つが「法令に基づく場合」です。

個人情報保護法

(適正な取得)

第17条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
 法令に基づく場合
(略)
 当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
(後略)

読売新聞の記事によると、JR東日本は、「事件の被害者や目撃者、現場管理者らに加害者の出所や仮出所を知らせる「被害者等通知制度」に基づき、従来より検察庁から情報提供を受けている。出所者や仮出所者については情報が提供された際、JR東や乗客が被害者となるなどした重大犯罪に限って氏名や罪名、逮捕時に報道されるなどした顔写真をデータベースに登録する。」という取扱いを行うとされています。

つまり、"刑務所からの出所者、仮出所者などの情報は犯罪歴であり要配慮個人情報(法2条3項)に該当するが、「被害者等通知制度」という「法令に基づく場合」(法17条2項1号)の例外規定に該当するので、JR東日本が出所者などの個人の犯罪歴や氏名・住所などの要配慮個人情報や個人情報を本人の同意なしに収集することは合法である"とJR東日本は考えているようです。

(そして、この「被害者等通知制度」により法務省・検察庁から出所者等の氏名・住所・犯罪歴などの情報を収集し、その情報をもとにテレビや新聞などの報道機関の報道から出所者等の顔写真などの情報を収集することは、法17条2項5号の「当該要配慮個人情報が、…第76条第1項各号に掲げる者…により公開されている場合」の例外規定に該当し合法であるとJR東日本は考えていると思われます。)

しかし、このようなJR東日本の考え方は法的に正しくないと思われます。

JR東日本が出所者等の犯罪歴や氏名・住所などの情報を収集するための「被害者等通知制度」は、内閣府男女共同参画局や法務省のウェブサイトなどで調べると、法務省の制定した「平成28年5月27日法務省刑総第741号 被害者等通知制度実施要領」を根拠として運用されていると解説されています。

犯罪被害者通知制度
(法務省サイトより)
・被害者等通知制度実施要領|法務省

このような国会でなく、官庁の制定した「実施要領」(=通達)が、個人情報保護法17条2項が要配慮個人情報の本人の同意なしに例外的に収集を許す「法令」に該当するか否かが問題となります。

この点、個人情報保護法は、要配慮個人情報の収集、個人情報の目的外利用、個人情報の第三者提供の3つの場面においては、本人の承知しないところで本人の個人情報が不当に利用、保存、突合、連結、分析などが行われ勝手にプロファイリングに利用されてしまうリスクや、本人の承知しないまま本人の個人情報がある事業者から別の事業者へと転々と流通するなどのリスクを防止するため、本人に自らの個人情報をコントロールできるように、原則として本人の同意が必要であるとしています。

しかしこの三か所の場面には、例外として本人の同意が不要な場合として「法令に基づく場合」が規定されています(法17条2項1号、法16条3項1号、法23条1項1号)。

この「法令に基づく場合」が例外として許されている趣旨は、それぞれの法令は国会審議において、当該個人情報の収集等の必要性が立法意思として明らかにされ、当該法令により保護されるべき権利利益が明確であって、当該法令に照らして合理的範囲に限り取り扱われるものであることから適用除外とされていると解説されています(岡村久道『個人情報保護法 第3版』183頁、園部逸夫『個人情報保護法の解説(改正版)』124頁)。

つまり侵害されるおそれのある国民本人の基本的人権や権利利益の侵害の可否やその程度、それに対する法令の個人情報の収集の必要性などが、国民の信託を受けた国会議員による国会で十分審議された上で立法化される(はずな)ので、「法令に基づく場合」は例外として本人の同意が不要とされるのです。

そのため、この3つの場面の「法令に基づく場合」の「法令」とは、国会や地方自治体の議会の定める法律や条例、法律に基づいて制定される政令、府省令は含まれますが、官庁や自治体など行政機関が制定する訓令・通達含まれないとされています(個人情報保護法ガイドラインQ&A1-59、岡村・前掲183頁、園部・前掲124頁)。

この点、上でみたように、法務省・検察庁の「被害者等通知制度」は、国会などが立法した刑事訴訟法などの法律に根拠がある制度ではなく、行政機関である法務省の制定した「平成28年5月27日法務省刑総第741号 被害者等通知制度実施要領」という通達(要綱通達)を根拠として運用されているものであり、個人情報保護法17条2項1号の定める「法令に基づく場合」には該当しません。

したがって、法務省・検察庁の「被害者等通知制度」により出所者等の犯罪歴などの要配慮個人情報を収集することは個人情報保護法17条2項1号の「法令に基づく場合」に該当するので合法であるとするJR東日本の説明は法的に正しくありません。このようなJR東日本の犯罪歴などの要配慮個人情報の収集は違法といえます(法17条2項1号)。

5.プライバシー権や肖像権侵害による不法行為に基づく損害賠償責任の法的リスク
なお、上でも触れたとおり、事業者などがある個人の個人情報を違法・不当に取り扱った場合、個人情報保護法上違法となるだけでなく、当該個人の肖像権やプライバシー権の侵害であるとして不法行為に基づく損害賠償責任を負う法的リスクも発生することになります(民法709条、憲法13条)。

この点、ある自治体が弁護士会からの弁護士会照会(弁護士法23条の2)に対して、ある個人の前科を漫然と回答した事件に関して、1981年の最高裁は、当該自治体に対して不法行為に基づく損害賠償責任を認めています(前科照会事件・最高裁昭和56年4月14日判決)。

また、JR東日本の経営陣や法務・コンプライアンス部門などは、このような個人情報保護法など法令を十分に社内で検討せずに顔認証システム等の運用の企画・実施を行ったことを反省する必要があります。2019年の就活生の内定辞退予測データの販売が行われた、いわゆる「リクナビ事件」においては、個人情報保護委員会は、リクルートやトヨタなどに対して、「社内で個人情報保護法など法律を十分に検討せぬままに新しい業務を行ったこと」を理由として行政処分を行っているからです。
・個人情報の保護に関する法律に基づく行政上の対応について|個人情報保護委員会

同様に、監督官庁である国土交通省や個人情報保護委員会なども、JR東日本と事前にどのようなやり取りや法的判断を行ったのか等が問われる状況ではないでしょうか。

6.挙動不審者への対応について
しかしJR東日本は、出所者・仮出所者に関する対応は撤回した一方で、「うろつくなどの不審な行動をとった人」を防犯カメラ・顔認証システムで監視する取扱いは継続する方針であるそうです。

防犯カメラ・顔認証システムに関しては、従来、個人情報保護委員会などは個人情報保護法18条4項4号の「取得の状況からみて利用目的が明らかであると認められる場合」に該当するので、防犯カメラや顔認証システムを店舗などに設置している民間企業などは、個人情報の収集にあたって利用目的を通知・公表しなければならない(法18条1項)とする原則は適用されないと、極めて消極的な立場をとっていました。

しかし、2013年には独立行政法人情報通信研究機構がJR西日本の大阪駅構内に約90台の防犯カメラ・顔認証システムを設置して災害時の安全対策などの実証実験などを実施する計画を公表したところ、大きな社会的批判を受けた事件や、2016年にジュンク堂書店などにおける防犯カメラ・顔認証システムの利用が社会的に大きな賛否両論の議論を巻き起こしたことなどを受けて、平成27年の個人情報保護法改正に伴い、個人情報保護委員会は個人情報保護法ガイドラインQ&Aに規定を置きました。

すなわち、「防犯カメラが作動中であることを店舗の入口に掲示する等、本人に対して自身の個人情報が取得されていることを認識させるための措置を講ずることが望ましいと考えられます。また、カメラ画像や顔認証データを体系的に構成して個人情報データベース等を構築した場合、個々のカメラ画像や顔認証データを含む情報は個人データに該当するため、個人情報保護法に基づく適切な取扱いが必要です。」などの個人情報保護法ガイドラインQ&Aを追加するなどの対応を行っています(個人情報保護法ガイドラインQ&A1-11)。

また、民間企業などが防犯カメラではなく、店舗にカメラを設置して顧客の行動をモニタリング・監視してマーケティング活動など商用目的でカメラや顔認証システムを利用することについても、経産省と総務省が2018年3月に『カメラ画像利活用ガイドブックver2.0』を作成し公表しています。
・「カメラ画像利活用ガイドブックver2.0」の公表|総務省

このカメラ画像利活用ガイドブックは、個人情報保護法を遵守した上で、商用カメラの付近や店舗などの入り口などに、個人情報の利用目的や商用カメラの実施運用主体の名称及び連絡先などを記載した書面などを掲示することなどを求めています。

さらに、個人情報保護委員会は本年9月令和2年個人情報保護法改正に対応した同ガイドラインQ&Aを公表しましたが、同Q&Aにおいても、防犯カメラ・顔認証システムに関するQAがさらに追加されています。

とくに、同ガイドラインQ&A((令和2年改正法関係)の7-50は、防犯カメラ・顔認証システムにより収集された顔データの共同利用に関するものですが、次のように、①共同利用する顔データなどは防犯の利用目的のために「真に必要な範囲に限定」し、②「データベースへの登録条件を整備し、犯罪行為などに関係ない者の情報を登録しないこと」、③「個人データの開示等の請求及び苦情を受け付け、その処理に尽力するとともに、個人データの開示、訂正、利用停止等の対応に、管理責任者を明確に定めて必要な対応を行うこと」などを事業者側に要求し、防犯カメラ・顔認証システムに関して事業者側に厳格な運用を行うことを求めています。

個人情報保護法ガイドラインQ&A(令和2年改正法関係)7-50

(前略)『防犯目的のために取得したカメラ画像・顔認証データを共同利用しようとする場合には、共同利用されるカメラ画像・顔認証データ、共同利用する者の範囲を目的の達成に照らして真に必要な範囲に限定することが適切であると考えられます。』
(中略)
『例えば共同利用するデータベースへの登録条件を整備して犯罪行為や迷惑行為に関わらない者の情報については登録・共有しないことが必要です。』
(中略)
『さらに、個人データの開示等の請求及び苦情を受け付けその処理に尽力するとともに個人データの内容等について開示、訂正、利用停止等の権限を有し安全管理等個人データの管理について責任を有する管理責任者を明確に定めて、必要な対応を行うことが求められます。』

PPC個人情報QA7-50
・個人情報保護法ガイドラインQ&A(令和2年改正法関係)|個人情報保護委員会

このように個人情報保護委員会が事業者に対して防犯カメラ・顔認証システムの厳格な運用を求めるのは、近年、防犯カメラ・顔認証システムの警察や民間企業などによる利用が増加するに伴い、店舗の従業員などのミスや悪意、あるいは恣意的な運用などで、本当は万引きなどをしていないのに、「万引き犯人」として事業者の万引き犯人のブラックリストのデータベースに誤登録されてしまい、その情報が他の店舗や他の事業者などと共有化され、当該万引き犯人と誤登録された人が、誤登録された店舗だけでなく、他の店舗や他の業種・業界の店舗でも「万引き犯」や「万引き犯予備軍」などとして違法・不当な取扱いを受け、多くの小売店で買い物をすることが事実上できなくなってしまう等の、いわゆる「万引き犯罪の冤罪被害者の問題」が存在します。

もちろんスーパー、コンビニ、書店、ドラッグストアなどの小売業において万引き犯罪は死活問題であり、犯罪である万引き犯罪は撲滅されるべきですが、しかしそのための防犯カメラ・顔認証システムの運用において、一般の国民に「万引き犯の冤罪被害者」が発生してしまうことは、これも当該被害者の方々の平穏な生活を営むなどの基本的人権を侵害する重大な問題です。

■関連する記事
・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで|なか2656のブログ
(万引き犯罪の冤罪被害者の方々が取りうる対処方法については、このブログ記事の「4.顔認証データの共有」の部分をご参照ください。)

このように防犯カメラ・顔認証システムは「もろ刃の剣」であるため、それを運用する事業者は、上でみた新しい個人情報保護法ガイドラインQ&A7-50が説明するとおり、①顔データなどは防犯の利用目的のために「真に必要な範囲に限定」し、②「データベースへの登録条件を整備し、犯罪行為などに関係ない者の情報を登録しないこと」、③開示・訂正・利用停止請求や苦情の申出などには真摯に対応すること、などが要求されます。

また、個人情報保護法15条は事業者は「個人情報の利用目的をできるだけ特定」することを要求していますが、これは事業者に個人情報の利用目的をできるだけ特定させることにより、事業者が個人から収集する個人情報を利用目的の達成のために必要最低限にさせる趣旨であるとされています(宇賀克也『個人情報保護法の逐条解説 第6版』131頁)。

この点、JR東日本は21日夜に、「うろつくなどの不審な行動をとった人」に対しては防犯カメラ・顔認証システムによる監視・モニタリングを継続する方針を公表したとのことですが、新しい個人情報保護法ガイドラインQ&A7-50などが説明するとおり、「うろつくなどの不審な行動をとった人」について、「データベースへの登録条件を整備」「関係のない者の情報を登録しないこと」を徹底すること、開示・訂正・利用停止等の請求や苦情申出などに対して誠実に対応することなどが求められます。

ところが、JR東日本のウェブサイトを見る限り、同社は防犯カメラ・顔認証システムの運営基準・規則などを制定し公表していないようです。「うろつくなどの不審な行動をとった人」という文言だけでは非常に不明確であり、JR東日本の従業員などによるミスや恣意的な運用などが行われる危険性があります。また個人情報保護法15条が事業者が収集することが許される個人情報は、利用目的の達成のために必要最低限のものに限られ、漫然と広範な個人情報を収集することは許さない趣旨であることを考えると、同社は早急に防犯カメラ・顔認証システムの運営基準・規則などを制定し公表すべきではないでしょうか。

また、万引き犯罪と防犯カメラ・顔認証システムに関しては、「特定非営利法人 全国万引犯罪防止機構」が本年2月に個人情報保護委員会より、個人情報保護法47条に基づく認定個人情報保護団体に認定されました。
・万防機構が『認定個人情報保護団体』になりました|全国万引犯罪防止機構

認定個人情報保護団体とは、主に業界・業種ごとに設置され、当該業界・業種の事業者の個人情報の適正な取扱いの確保や苦情対応などのために、当該業界・業種の事業者が遵守すべき「個人情報保護指針」などを制定し、当該業界などの事業者に当該個人情報保護指針などを遵守させなければならないと規定されています(法53条)。

ところが全国万引犯罪防止機構のウェブサイトを見る限り、同機構は万引き犯罪と防犯カメラ・顔認証システムに関する個人情報保護指針などを制定・公表していないようです。同機構も小売業界などの防犯カメラなどの運用などに関する個人情報保護指針などを早急に制定・公表することが望まれます。

7.学者の先生方の見解
なお、冒頭でみた9月21日午前の読売新聞のスクープ記事は複数の有識者の方のコメントを掲載していますが、警察官僚OBの刑事政策学者の方や情報システムの専門家と思われる方のコメントは、「安全・安心な社会のためには出所者などを監視するシステムも必要」などの一面的な残念な内容となっているようです。

そのなかで刑事訴訟法の神奈川大教授の白取祐司先生『出所後も監視対象とし、行動を制限しようとすることは差別にあたる。刑期を終えた人の更生を支えるという我が国の刑事政策の基本理念にも反するのではないか』とのご見解がまさに正論であるように思われます。犯罪を侵した人も、刑事裁判を受け、刑務所で刑期を終えれば刑罰は終了するのであり、刑期が終わった後も防犯カメラなどで監視せよとすることは、少なくとも現在の刑法や刑事訴訟法などの法律が予定する事態ではありません。

またこの点、読売新聞が肝心の個人情報保護法など情報法の学者の先生方に取材していないことは疑問です。1960年代からのコンピュータの発達は、とくに西側の自由主義諸国でコンピュータの発達が人間の個人の尊厳や基本的人権を侵害するのではないかという問題意識を発生させ、1974年の国連事務総長報告書『科学の発展と人権』は、コンピュータの発達により個人のプライバシーが侵害される危険や、国家権力の前で国民が丸裸のごとき状態にされる危険(監視社会・監視国家の危険)、国家が個人情報を収集・保管・分析などを行うことにより国民が行動や表現行為に委縮効果が発生する危険、そして本人の承知しないうちにさまざまな個人情報が国や大企業などにより収集、突合、結合、分析され、勝手に本人がコンピュータにより「個人データによる人間の選別」(プロファイリング)が行われてしまう危険などが示されています(奥平康弘・戸松秀典「国連事務総長報告書(抄)人権と科学技術の開発」『ジュリスト』589号105頁、高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁)。

上でみた「万引き犯罪の冤罪被害者」の問題のように、現代急速に普及しているコンピュータやAIによる防犯カメラ・顔認証システムは、まさに人間がAIやコンピュータによって勝手に「個人データによる人間の選別・差別」が行われてしまう危険をはらんでいます。

この「個人データによる人間の選別」(プロファイリング)への拒否権(プロファイリング拒否権)はその後、プライバシー権、情報自己決定権、自己情報コントロール権などの考え方とともに、西側自由主義諸国の個人データ保護法の趣旨・目的の一つとなってきました。

この考え方は、1996年のILO「労働者の労働者の個人情報保護に関する行動準則」などに受け継がれ、EUにおいては1995年のEUデータ保護指令15条から2018年のGDPR22条となり、さらに本年4月に公表されたEUのAI規制法案に受け継がれています(高野一彦「従業者の監視とプライバシー保護」『プライバシー・個人情報保護の新課題』(堀部政男編)163頁)。

このEUのAI規制法案は、AIの人間の生命や基本的人権などへの危険をもとに、AIがもたらすリスクを①原則禁止、②高リスク、③限定的なリスク、④最小限のリスク、という4段階に分類したしています。

そしてこのAI規制法案においては、警察などが公共の場所・空間で顔認証の技術を使い、市民を「常時監視」することを一番上の類型の「原則禁止」に分類しています。

ところが、日本においては防犯カメラ・顔認証システムに関しては警察など公的機関による利用を規制するための国会の制定した法律は存在せず、警察の内規(要綱通達)で運用が行われています。また、民間企業などによる防犯カメラ・顔認証システムの運用も、「杉並区防犯カメラの設置及び利用に関する条例」など一部の自治体の条例以外には、個人情報保護法ガイドラインQ&Aや経産省等の「カメラ画像利活用ガイドブック」などの行政機関の通達レベルの規定があるにとどまり、これも歯止めをかけるための国会の制定した法律が存在しません(石村修「コンビニ店舗内で撮影されたビデオ記録の警察への提供とプライバシー」『専修ロージャーナル』3号19頁)。(これは2017年に違憲判決(最高裁平成29年3月15日判決)の出された警察のGPS捜査なども同様です。)

この点、憲法・情報法の山本龍彦・慶応大学教授は、本年8月の朝日新聞社の公開講座「世界発・デジタル化社会は民主主義を壊すか」において、『警察による防犯カメラ・顔認証技術の運用には国会の立法が必要である。民間企業などによる顔認証技術等の運用は、防犯目的だけでなく商用目的など利用目的が複数存在するので一律の法規制は難しいが、少なくとも事業者や業界団体などが制定した自主ルールの個人情報保護方針を事業者などに遵守させるための枠組み立法は必要であろう。』との趣旨のご見解を述べておられます。

今回明らかとなったJR東日本の防犯カメラ・顔認証システムによる駅構内の出所者や不審者などの監視・モニタリングの問題や、警察や民間企業による防犯カメラ・顔認証システムの野放しともいえる利用に歯止めをかけ、国民の権利利益の保護や個人の人格権の尊重、国民の個人の尊重や基本的人権の確立(個人情報保護法1条、3条、憲法13条)などを守るために、国会は防犯カメラ・顔認証に関する立法を早急に行うべきであると思われます。

■追記(10月8日)日本における「プロファイリング拒否権」や「AI・コンピュータのデータによる人間の選別・差別」の考え方について
日本においても労働分野・雇用分野では、EUのGDPR22条1項などのような「プロファイリング拒否権」の考え方が、2000年の労働省「労働者の個人情報保護の行動指針」の「第2 個人情報の処理に関する原則」の6(6)や、2019年6月の厚労省『労政審基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~』9頁、10頁に示されており、国会の制定した法律レベルではないものの、「プロファイリング拒否権」や「AI・コンピュータのデータによる人間の選別・差別」への問題意識は日本においても存在します。詳しくは次のブログ記事をご参照ください。
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング

■追記(10月9日)個人情報保護委員会のJR東日本への対応が非常に杜撰だったことが発覚
10月8日付の朝日新聞の(社説)顔認識データ 明確なルール作り急げは、『ところが今回、その委員会(=個人情報保護委員会)が、とりわけ慎重な扱いが求められる出所者情報の利用を、詳細な検討をせずに認めていたことがわかった。法の不備があるとはいえ、委員会の認識が甘かったのは明らかだ。』と報道しています。
(社説)顔認識データ 明確なルール作り急げ|朝日新聞

この報道が本当なら大問題です。現在、9月に正式発足したデジタル庁が「国民の個人情報やマイナンバーを国・大企業がますます利活用して日本の経済成長を!そのためには法律や国民の人権保障などどうでもいい!」とアクセル全開で業務を開始していますが、それに対するブレーキ役の、個人情報保護法やマイナンバー法の所轄の官庁である個人情報保護委員会が、個人情報保護法や行政法などの基本的理解が欠落しているということでは、政府のデジタル行政や個人情報保護行政は、国・大企業の個人情報の利活用ばかりがますます推進され、国民の人権保障がますます軽視されることになりかねません。

(2016年に個人情報保護委員会が設置された頃から、同委員会に自分達の被害を申出て、問題解決のための対応を請願し続けてきた「万引き犯罪の冤罪被害者」の方々は、今回の同委員会の杜撰な対応をどう考えているでしょうか。)

もし日本社会が今後も官民あげて国民の個人情報保護を軽視し続ける状況が継続すると、国民の人権保障を重視するEUが、GDPR(EU一般データ保護規則)の日本に対する十分性認定を取消すなどという事態にも発展しかねません。

個人情報保護委員会は、今回のJR東日本への一連の対応の不祥事について、有識者による第三者委員会を設置して調査を行い、再発防止策の策定や関係者の懲戒処分などを行い、一連の経緯を国民に公表すべきではないでしょうか。なあなあに事を済ませては、国民の政府の個人情報保護行政やデジタル行政への信頼感はますます低下するばかりであると思われます。

■関連する記事
・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで
・ジュンク堂書店が防犯カメラで来店者の顔認証データを撮っていることについて
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権
・コロナ禍の就活のウェブ面接での「部屋着を見せて」などの要求を労働法・個人情報保護法から考えた
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)

■参考文献
・新保史生「監視・追跡技術の利用と公法的側面における課題」『プライバシー・個人情報保護の新課題』(堀部政男編)201頁
・岡村久道『個人情報保護法 第3版』183頁
・園部逸夫『個人情報保護法の解説(改正版)』124頁
・宇賀克也『個人情報保護法の逐条解説 第6版』131頁
・日置巴美「「顔」情報の活用と個人情報保護」『ビジネス法務』2017年4月号87頁
・奥平康弘・戸松秀典「国連事務総長報告書(抄)人権と科学技術の開発」『ジュリスト』589号105頁
・高野一彦「従業者の監視とプライバシー保護」『プライバシー・個人情報保護の新課題』(堀部政男編)163頁
・石村修「コンビニ店舗内で撮影されたビデオ記録の警察への提供とプライバシー」『専修ロージャーナル』3号19頁
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁
・EUのAI規制案、リスク4段階に分類 産業界は負担増警戒|日経新聞
・加藤尚徳「あまりにも未熟な日本の「顔」画像利用の議論」|一般社団法人次世代基盤政策研究所





















このエントリーをはてなブックマークに追加 mixiチェック

CCC委託の混ぜるな危険の問題1
(CCCサイトより)

1.個人情報保護委員会が令和2年改正に対応した個人情報保護法ガイドラインQ&Aを公表
個人情報保護委員会(PPC)が、2021年9月10日に令和2年改正に対応した個人情報保護法ガイドラインQ&Aをサイトで公表しました。
・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(令和2年改正法関係)|個人情報保護委員会

(参考)
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

今回公表された令和2年改正対応の個人情報保護法ガイドラインQ&Aをみると、QA7-38からQA7-43までの5つのQAが、個人情報の第三者提供の「委託」(法23条5項1号)に関するものであり、とくにいわゆる「委託の混ぜるな危険の問題」について詳しく解説を行っていることが注目されます。

このブログでは、以前、2021年1月15日にTポイントを運営するCCC カルチュア・コンビニエンス・クラブがT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行ったところ(T会員規約4条6項)、その明確化された「他社データと組み合わせた個人情報の利用」が、個人情報の第三者提供の委託の「混ぜるな危険の問題」に抵触する違法なものであることを取り上げました(法23条5項1号違反、改正前の個人情報保護法ガイドラインQ&A5-26-2の事例(2)違反)。
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」-なか2656のblog

今回の本ブログ記事では、9月10日にPPCが公表した令和2年法改正に対応した個人情報保護法ガイドラインQ&Aの個人情報の第三者提供の委託に関する解説をみて、CCCの1月15日のT会員規約4条6項の「他社データと組み合わせた個人情報の利用の明確化」がやはり「委託の混ぜるな危険の問題」に抵触し違法であることを確認してみてみたいと思います。

2.委託の「混ぜるな危険の問題」
(1)個人情報保護法の本人の同意の必要な第三者提供の例外としての「委託」
1970年代以降のコンピュータやAIなどの発達により、個人情報・個人データが本人の同意なしに無制限にある事業者から第三者へ提供された場合、本人に関する他の種類のさまざまな個人データとの突合・結合・加工が容易に行われ、第三者提供後に当該個人データがどのように利用され、流通するかなどが不明の状態におかれ、個人データの主体である本人のプライバシーが侵害されるおそれや、本人がそれらの個人データで勝手にプロファイリング(=コンピュータ・AIによる個人データの自動処理により法的決定や重要な決定が行われること)されるおそれなど、本人に不測の権利利益の侵害や個人の尊重や基本的人権の侵害が行われる危険が増大しています。

そこで個人情報保護法は、事業者が保有する個人データを第三者提供することを特に注意すべき行為と位置づけ、本人が自らの個人データの流通をコントロールすることができるように、個人データの第三者提供には原則として本人の同意が必要であるとする規制を設けています(個人情報保護法23条1項、岡村久道『個人情報保護法 第3版』241頁)。

一方、近年は企業などの業務の外部委託(アウトソーシング)が普及しており、例えばある企業におけるPCへの紙データの入力作業などの情報処理関係の業務を外部の事業者に委託する場面が増えています。このような「委託」については、個人データの提供先の事業者は提供元の事業者とは別の主体として形式的には第三者に該当するものの、委託のたびに本人の同意を取得することは煩雑であるなど、委託先の事業者を個人データの主体の本人との関係において委託元の事業者と一体のものとして取り扱うことに合理性があるため、第三者提供における「第三者」に該当しないものと個人情報保護法はしています。

そのため、個人情報保護法は、事業者が「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴って当該個人データが提供される場合」、つまり「委託」の場合には第三者提供に該当しないので本人の同意やオプトアウト手続きは不要であるとしています(法23条5項1号、岡村・前掲262頁)。

(2)委託の混ぜるな危険の問題
しかし、「委託」とは上のように委託元の「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託すること」であるため、「委託された業務以外に当該個人データを取扱う」ことは「委託」に該当せず、これを本人の同意やオプトアウト手続きなしに行うことは原則に戻って本人の同意のない第三者提供として違法となります(法23条1項)。またこれは本人の同意のない個人データの目的外利用としても違法であり(法16条)、さらに委託元の事業者は個人データの安全管理措置に関する委託先の監督の義務違反にもなります(法22条)。

この違法となる「委託された業務以外に当該個人データを取扱うこと」の具体例として、個人情報保護法ガイドラインQ&A7-37の事例2(=旧ガイドラインQ&AQ&A5-26-2の事例(2))は、「複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合」をあげていますが、これがデータセンターなどにおける、いわゆる「委託の混ぜるな危険の問題」と呼ばれる事例です。

この「委託の混ぜるな危険の問題」が違法となるのは、そもそも個人情報保護法における個人データの「委託」とは、契約の種類・形態を問わず、委託元の個人情報取扱事業者が自らの個人データの取扱の業務を委託先に行わせることであるから、委託元が自らやろうと思えばできるはずのことを委託先に依頼することであり、したがって、委託元は自らが持っている個人データを委託先に渡すなどのことはできても、委託先が委託の前にすでに保有していた個人データや、委託先が他の委託元から受け取った個人データと本人ごとに突合させることはできないからであると解されています。そしてこれは、突合の結果、作成されるのが匿名加工情報等であっても同様であるとされています(田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁)。

3.CCCのT会員規約の改正による「他社データと組み合わせた個人情報の利用の明確化」
この点、2021年1月15日付でTポイントを運営するCCC カルチュア・コンビニエンス・クラブはT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行いました(T会員規約4条6項)。

T会員規約4条
6.他社データと組み合わせた個人情報の利用
当社は、提携先を含む他社から、他社が保有するデータ(以下「他社データ」といいます)を、他社が当該規約等で定める利用目的の範囲内でお預かりした上で、本条第2項で定める会員の個人情報の一部と組み合わせるために一時的に提供を受け、本条第 3 項で定める利用目的の範囲内で、統計情報等の個人に関する情報に該当しない情報に加工する利用および当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供(以下あわせて「本件利用」といいます)を行う場合があります。 なお、当社は、本件利用のための他社データを明確に特定して分別管理し、本件利用後に他社データを破棄するものとし、本件利用のための、前述、当該他社から当社への一時的な提供を除いては、それぞれの利用目的を超えて利用することも、当該他社その他第三者に対して会員の個人情報の一部または全部を提供することもありません。

CCC会員規約4条6項
(CCCサイトより)
・T会員規約等、各種規約の改訂について|CCC
・T会員規約 新旧比較表|CCC

つまり、CCCが2021年1月に規約改正を行って新設した、T会員規約4条6項は、①後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」と、②前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」の2つを行うことを明確化する内容となっています。

4.CCCのT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」(旅行代理店Bの事例)について
(1)CCCのT利用規約4条6項後段・「旅行代理店Bの事例」
このT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」について、CCCのプレスリリースはつぎのような具体例と図で説明しています。

CCC旅行代理店の事例
(CCCのプレスリリースより)

このT会員規約4条6項後段「旅行代理店Bの事例」は、旅行代理店Bが、「まだハワイに旅行していない人にハワイ旅行を販売促進したい」という意図で、旅行代理店Bが、「自社の保有するハワイに旅行したことのある人の顧客リスト」(B社の他社データ)をCCCに預け(委託、個人情報保護法23条5項1号)、CCCは「B社の他社データである顧客リストと、CCCの保有するT会員の個人データを突合し、「旅行代理店Bを利用してハワイ旅行をした人の趣味・嗜好・社会的属性などの特徴を分析」し、「ハワイ旅行に興味がありそうな人」を把握し、T会員の個人データの個人から、旅行代理店Bの顧客リストのハワイ旅行に行ったことのある人を除外し、その除外されたハワイ旅行に興味がありそうなT会員の個人(見込み客)に対して、ダイレクトメールなどでハワイ旅行の販売促進を行うという内容になっています。

(2)個人情報保護法ガイドラインQ&A7-41
しかしこの点、令和3年9月追加として、個人情報保護委員会が9月10日に公開した、令和2年改正法関係の個人情報保護法ガイドラインQ&A7-41はこのような「委託の混ぜるな危険の問題」について、つぎのように解説しています。

Q7-41 委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか。

A7-41 個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1)既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること

事例2)既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること

これらの取扱いをする場合には、①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。(令和3年9月追加)

PPC個人情報ガイドラインQA7-41
(個人情報保護委員会サイトより)
・個人情報保護法ガイドラインQ&A(令和2年改正法関係)|個人情報保護委員会

つまり、個人情報保護法ガイドラインQ&A7-41が解説するとおり、CCCなど共通ポイント制度により複数の委託元の企業から個人データの管理などの委託を受けている事業者や、複数の委託元から個人データの管理などの委託を受けているデータセンターなど、独自に収集した個人データを保有している事業者は、「個人データの取扱いの委託(法第23条第5項第1号)において、委託先(=CCCなど)は、委託に伴って委託元(=旅行代理店Bなど)から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはでき」ないのです。

そして、同Q&A7-41の事例2は、「委託」として行うことができない具体例として、「既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること」と、CCCのT会員規約4条6項後段の旅行代理店Bのそっくりそのままの事例をあげています。

したがって、このCCCの旅行代理店Bの事例、つまりT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」は個人データの「委託」として行うことは違法であり、許されないことになります(法23条5項1号・法23条1項・法22条・法16条の違反)。

そのため、CCCや旅行代理店Bは、この違法状態を回避するためには、個人情報保護法ガイドラインQ&A7-41が解説するとおり、「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要」があることになります。

(3)CCCマーケティングの「ハワイ州観光局」の事例
この点、CCCカルチュア・コンビニエンス・クラブ株式会社の子会社であるCCCマーケティング株式会社のサイトの「事例」をみると、CCCマーケティングがデータビジネスとして実施した「ハワイ州観光局」の事例が掲載されています。
・事例 ハワイ州観光局 CCCグループアセットの結集が実現する「五感に訴える観光地マーケティング」|CCCマーケティング

CCCマーケティングハワイ州観光局
(CCCマーケティング社サイトより)

このハワイ州観光局の事例は、上のT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」つまり「旅行代理店B」の事例と非常によく似ており、CCCはこの事例を念頭にT会員規約4条6号後段を新設したのであろうと思われます。

このCCCマーケティングのハワイ州観光局の事例の解説を読むと、「ハワイ州観光局では、ハワイ諸島のひとつであるハワイ島の渡航者数増加のために、2019年11月~12月にかけ、CCCマーケティングをパートナーとしてキャンペーンを実施した」とあります。

同サイトの解説によると、ハワイ州観光局の担当者は、「今回の施策では、リーチするべきターゲットを『海外旅行には行くが、ハワイには行ったことがない』、『ハワイには行ったことがあるが、ハワイ島には行ったことがない』というお客さまと設定したのですが、課題となったのが、アプローチするべきターゲットの顧客データでした」。「私たちでも、CRMや会員制公式ポータルサイト『allhawaii(オールハワイ)』、さらにソーシャルメディアなどで保有しているデータは、数十万件あります。ただ、その多くは、すでにハワイのファンとなっている顧客のデータであり、今回のキャンペーンのターゲットとは異なります。

そのため、ハワイ州観光局は、同局が保有する「すでにハワイのファンとなっている顧客のデータ」などの数十万件の個人データをCCCマーケティングに委託し、CCCはその他社データをCCCの保有するT会員の個人データと突合し分析を行い、ハワイ旅行に行きそうな見込み客の趣味・嗜好・社会的属性などの特徴を分析し、その特徴に合致する個人データを持つT会員から、すでにハワイ旅行に行ったことのあるT会員の個人データを除外し、残りの見込み客のT会員に対してDMを送信したり、蔦屋書店でハワイ旅行のキャンペーンを実施するなどの販売促進を、ハワイ州観光局とともに実施したようです。

このCCCマーケティングのハワイ州観光局の事例は、上でみた個人情報保護法ガイドラインQ&A7-41の事例2に該当するので、これをCCCが「委託」のスキームで行った場合は、それはガイドラインQ&A7-41などが施行となる2022年4月以降は完全に違法となります。

CCCおよびハワイ州観光局は違法状態を回避するためには、同ガイドラインQ&A7-41が解説するように「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要」があることになります。

5.CCCのT利用規約4条6項前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」(健康飲料メーカーAの事例)について
(1)健康飲料メーカーAの自社の顧客の趣味・嗜好や社会的属性などを分析するための委託
T利用規約4条6項前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」(健康飲料メーカーAの事例)について、CCCのプレスリリースはつぎのような具体例と図で説明しています。
CCC健康飲料メーカーの事例
(CCCのプレスリリースより)

つまり、「自社の青汁を飲んでくれている顧客はどんな人々なのだろう?」と顧客の趣味嗜好や社会的属性などを知りたい健康飲料メーカーAが、自社の青汁を飲んでくれる顧客の個人データ(他社データ)をCCCに委託し、CCCはCCCの保有するT会員の個人データと健康飲料メーカーAの他社データを突合し、A社の青汁を飲んでいるT会員の個人データを分析し、その趣味・嗜好や社会的属性などを割り出し、それを統計データなどにした上でA社に戻し、A社は自社商品のマーケティングなどに当該データを利用すると説明されています。

(2)個人情報保護法ガイドラインQ&A7-42
しかしこの点、令和3年9月追加として、個人情報保護委員会が9月10日に公開した、令和2年改正法関係の個人情報保護法ガイドラインQ&A7-42はこのような「委託の混ぜるな危険の問題」について、つぎのように解説しています。

Q7-42 委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合し、新たな項目を付加して又は内容を修正して委託元に戻すことはできますか。

A7-42 個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1) (略)
事例2) 顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと

これらの取扱いをする場合には、委託先において本人の同意を取得する等、付加・修正する情報を委託元に適法に提供するための対応を行う必要があります。(後略)(令和3年9月追加)

PPC個人情報QA7-42の1
PPC個人情報QA7-42の2
(個人情報保護委員会サイトより)

このように、個人情報保護法ガイドラインQ&A7-42は、「個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。」としています。

そしてその具体例として、事例2は、「顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと」をあげています。

したがって、CCCのT会員規約6条の4前段の「「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」つまり健康飲料メーカーAの事例も、健康飲料メーカーAが自社の顧客情報をCCCに委託に伴い提供し、CCCが自社の保有するT会員の個人データと突合し、CCCにおいてA社の青汁の顧客の趣味・嗜好や社会的属性などを分析し、それらの新たな項目を付加したデータをA社に戻しているので、個人情報保護法ガイドラインQ&A7-42の事例2と同様のことを行っているので、この健康飲料メーカーAの事例も個人情報の委託として違法です(法23条5項1号・法23条1項・法22条・法16条の違反)。

そのため、この健康飲料メーカーAの事例も、CCCおよび健康飲料メーカーAが違法状態を回避するためには、CCCにおいて本人の同意を取得することなどが必要となります。

(3)CCCマーケティングの「タケシダ醤油」の事例
この点、CCCマーケティング株式会社のサイトの「事例」をみると、CCCマーケティングがデータビジネスとして実施した「タケシゲ醤油」の事例が掲載されています。

CCCマーケティングタケシゲ醤油
(CCCマーケティング社サイトより)
・事例 タケシゲ醤油 購買データの分析でヒット商品のさらなる価値向上を実現|CCCマーケティング

CCCマーケティング社サイトの解説によると、タケシゲ醤油はもともと食品会社など法人向けに製造販売していた「博多ニワカそうす」という調味料を一般消費者向けにも販売を行ったところ売上が好調であったため、「博多ニワカそうす」を購入する一般消費者の趣味嗜好や社会的属性などを分析してマーケティングを行いたいと、CCCに委託を行い、CCCは自社のT会員の個人データで「博多ニワカそうす」の顧客の個人データの突合を行い、同商品の顧客の趣味嗜好や社会的属性、人物像などを分析し、CCCはその分析データをタケシゲ醤油に戻し、そのデータをもとにタケシゲ醤油は「博多ニワカそうす」のレシピ本を作成するなどして、さらに同商品の売り上げの増加を行ったとされています。

博多ニワカそうすの顧客の人物像
(CCCマーケティング社サイトより)

しかしこのタケシゲ醤油の事例も、タケシゲ醤油の「博多ニワカそうす」の顧客の個人データをCCCに委託に伴い提供し、CCCが自社の保有するT会員の個人データと突合し、CCCにおいて「博多ニワカそうす」の顧客の趣味・嗜好や社会的属性、モデルとなる人物像などを分析し、それらの新たな項目を付加したデータをタケシゲ醤油に戻しているので、個人情報保護法ガイドラインQ&A7-42の事例2と同様のことを行っているので、このタケシゲ醤油の事例も個人情報の委託として違法であると思われます(法23条5項1号・法23条1項・法22条・法16条の違反)。

(4)CCCマーケティングの「チューリッヒ保険」の事例
また、CCCマーケティングのサイトの「事例」をみると、通販型の傷害保険などの損害保険会社のチューリッヒ保険の事例も掲載されています。
・事例 チューリッヒ保険 ユニークデータと徹底分析で実現する長期・安定的な顧客獲得|CCCマーケティング

CCCマーケティングチューリッヒ保険
(CCCマーケティング社サイトより)

このチューリッヒ保険の事例は、サイトの解説によると、チューリッヒ保険がもつ優良な見込み客のセグメント(集団)などの情報・データの改善のための分析をCCCに委託し、CCCはその見込み客のセグメントのデータをCCCのT会員の個人データで分析・加工し、CCCはよりよい見込み客のセグメントのデータを作成し、チューリッヒ保険に戻しているようです。このチューリッヒ保険の事例も、もしその過程でチューリッヒ保険が保有する既存顧客の個人データをCCCに委託などしてCCCがT会員の個人データと突合などをしていた場合は、個人情報保護法ガイドラインQ&A7-42などに抵触する違法な「委託」スキームの利用である可能性があります。

6.まとめ
本年1月15日にCCCカルチュア・コンビニエンス・クラブがT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行ったところ(T会員規約4条6項)、その明確化された「他社データと組み合わせた個人情報の利用」が、個人情報の委託の「混ぜるな危険の問題」に抵触する違法(法23条5項1号違反、改正前の個人情報保護法ガイドラインQ&A5-26-2の事例(2)違反)なものであることは、本ブログで取り上げただけでなく、ネット上でも大きな社会的注目を受けました。

・CCCがT会員規約等を改訂→改訂後規約が想定する事例の違法性及び問題点が指摘される。|togetter

そして本年9月10日に個人情報保護委員会が公表した、令和2年法改正対応の個人情報保護法ガイドラインQ&A7-41、7-42など追加された個人情報の「委託」に関する解説は、上でみたように、CCCのT会員規約6条4項の「他社データと組み合わせた個人情報の利用」が個人情報の「委託」スキームとしてやはり違法であることを明確に示しています。

今回公表された、令和2年法改正対応の個人情報保護法ガイドラインQ&Aは2022年4月から施行予定であるそうなので、CCCやCCCと個人データのやり取りを行っている事業会社などは、それまでに自社のデータビジネスが個人情報保護法などの法令に抵触していないか、今一度再検討が必要であると思われます。

また、今回公表された、令和2年法改正対応の個人情報保護法ガイドラインQ&Aの「委託」に関する解説は、ネットやSNSにおける行動ターゲティング広告やDMP(Data Management Platform)などの事業に与える影響も大きいと思われます。これらの業務を行う企業の実務担当者の方々も、自社のビジネスモデルが個人情報保護法など法令に抵触していないか、今一度再検討が必要であると思われます。

■関連する記事
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・河野太郎大臣がTwitterで批判的なユーザーをブロックすることをトランプ氏の裁判例や憲法から考えたー表現の自由・全国民の代表(追記あり)
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権

■参考文献
・岡村久道『個人情報保護法 第3版』241頁、262頁
・田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁
・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(令和2年改正法関係)|個人情報保護委員会





















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ