なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:privacy

デジタル庁トップページ
1.デジタル庁のウェブサイト
9月1日から正式に発足したデジタル庁は、サイト作成や運用にSTUDIO株式会社というベンチャー企業の「コード不要」というSTUDIOというサービスを利用して同庁サイトの作成や運用を行っていますが、STUDIO社のプライバシーポリシーは個人情報保護法違反の部分があり、また同社の利用規約は「当社システムは高度な安全性はない」と明示しています。つまり、デジタル庁(および内閣IT戦略室)は厚労省のCOCOAの件などと同様に、委託先の選定等の安全確保措置を十分に実施していない行政機関個人情報保護法6条違反の可能性があります。

2.STUDIO社の利用規約
ITmediaニュースなどの報道によると、デジタル庁のサイトは、ベンチャー企業のSTUDIO株式会社のSTUDIOという「コード不要」なシステムで作成されているようです。同社サイトをみると、主に個人事業主や中小企業向けのサービスのようですが。「コード不要」とは、いかにも新しいものがお好きな平井大臣が好みそうなサービスですが、共同入札などの正式な手続きは経ているのでしょうか?
・デジタル庁発足 公式サイトにITエンジニアから反応続々「シンプル」「重い」「ロゴが丁寧」「苦労が見える」|ITmediaニュース

この点、ある方の9月1日のツイッターの投稿によると、デジタル庁のサイトの利用者のログやブラウザ情報、端末データなどの個人データはやはりSTUDIO社のサーバーに送信されているようであり、STUDIO社がデジタル庁サイトの運営を委託されていることは間違いないようです。

デジタル庁のサイトのサーバー

また、サイトを作成さえすればドメイン、サーバなどはS社が一括管理と説明されていますが、中央官庁サイトの安全管理措置などには十分対応できるのでしょうか。

スタジオ社
(STUDIO社サイトより)
https://studio.inc/

そこでSTUDIO社の利用規約をみると、IT企業の利用規約のよくあるパターンで、利用規約9条(保障・免責)の各号では「本サービスの利用による保障はしないし、責任も負わない」旨を明示しています。
・利用規約・プライバシーポリシー・特定商取引法上の表記|STUDIO

スタジオ1

とくに利用規約9条4項は、STUDIOのサービス・システムは「本サービスは高度の安全性が要求され…重大な損害が発生する用途には設計しておりません」と明示しています。中央官庁であるデジタル庁のサイトは、「高度な安全性」が必要だと思うのですが、これはまずいのではないでしょうか?
スタジオ社利用規約9条4項

この点、デジタル庁などの行政機関に適用される行政機関個人情報保護法6条は行政機関とその委託先に個人データの滅失・毀損・漏洩などが発生しないように安全確保措置を講じることを要求しています。

行政機関個人情報保護法6条
これを受けて、総務省総管情第84 号・平成 16 年9月14 日通知「行政機関の保有する個人情報の適切な管理のための措置に関する指針について(通知)」「第8 保有個人情報の提供及び業務の委託等」4項は、行政機関が委託を行う際は、委託先が安全確保の能力があることを事前に確認し、年1回以上の立入検査の実施、個人データの利用の制限や障害対応、秘密保持条項、障害対応、損害賠償、再委託の制限などを明記した契約書を締結しなければならない等と規定しています(岡村久道『個人情報保護法 第3版』430頁)。

総務省安全確保指針
・「行政機関の保有する個人情報の適切な管理のための措置に関する指針」及び「独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針」の改正|総務省

にもかかわらず、利用規約において「当社のサービスは高度の安全性が要求される用途のためには設計されていない」と明記しているSTUDIO社にサービスやシステムの運用を委託しているということは、デジタル庁およびその前身の内閣IT戦略室は、個人データを取り扱う情報システムの委託について、委託先が安全確保の能力があることを事前に確認するなどの安全確保措置を十分に講じておらず、行政機関個人情報保護法6条および総務省「「行政機関の保有する個人情報の適切な管理のための措置に関する指針」第8第4項などに違反しているのではないでしょうか?

この点に関しては、コロナの接触確認アプリCOCOAのシステム開発の委託においても厚労省や内閣IT戦略室が杜撰な委託を行っていたことが発覚したばかりであり、また、今年春にはLINE社のLINEが個人情報や通信の秘密の杜撰な安全管理を行っており、かつLINE社が国・自治体に対して繰り返し「LINEの日本の個人データは日本のサーバーに保存されている」等と虚偽の説明を行い、国・自治体がこの説明を鵜呑みにして立入検査・実地検査などをしてLINE社が安全管理措置を本当に講じているかどうか確認を行わず、安全確保措置を講じていないという行政機関個人情報保護法6条などの違反などを行っていたことが発覚したばかりなのにです。

デジタル庁や内閣IT戦略室などは、高度な法令順守・コンプライアンスが要求される国の機関であるにもかかわらず、このような度重なる行政機関個人情報保護法6条の違反を漫然と繰り返していることは、「法の支配」や法治主義、「法律による行政の原則」、「法律による行政の民主的コントロールの原則」(憲法41条、65条、76条)の観点から非常に問題なのではないでしょうか。国・行政がコンプライアンス意識を無くし、憲法や法律を無視するようになっては、国民から選挙で選ばれた国会の法律で行政を民主的にコントロールしようという議会制民主主義が破綻してしまいます。

総務省や個人情報保護委員会などは、デジタル庁や内閣IT戦略室などに対して法律を守れと指導・勧告等を実施すべきではないでしょうか。

3.STUDIO社のプライバシーポリシー
なお、STUDIO社のプライバシーポリシーについても簡単にみてみると、利用者のcookieや端末情報、操作ログなどの個人データを収集・利用するとあるのはある意味当然ですが、STUDIO社はプライバシーポリシー6条で、それらの個人データの共同利用(個人情報保護法23条5項3号)を行うとしているのに、共同利用を行う者の範囲、利用される個人データの項目、共同利用の利用目的などが同社サイトにどこにも明示されてないのは個人情報保護法23条5項3号違反です(岡村久道『個人情報保護法 第3版』264頁)。

スタジオプライバシーポリシー共同利用

また、STUDIO社のプライバシーポリシー9条は、開示・削除・利用停止等の請求の手続や手数料などについては「当社が別途定める所定の方式により」としていますが、肝心のこの別記がサイト上にどこにも掲載されてないのは、個人情報保護法27条1項3号違反です(岡村・前掲295頁)。個人情報保護委員会はSTUDIO社やデジタル庁などに対して指導・勧告などを実施すべきではないでしょうか(法40条、41条、42条)。

このようにSTUDIO社は、プライバシーポリシーについても個人情報保護法違反が複数存在します。同社にサイトの作成や運用を委託したデジタル庁・内閣IT戦略室が委託先の選定などの安全確保措置に関していかに杜撰であるかがここにも見受けられます。

デジタル庁は日本の国・自治体のデジタル行政を所管する官庁のはずなのに、行政機関個人情報保護法や個人情報保護法などの法律の素人しか存在しないのでしょうか?それ以前に国の官庁なのに法令を遵守して業務を行おうというコンプライアンス意識が非常に低いように見受けられるのは非常に心配です。

個人情報保護法は「個人情報の有用性に配慮しつつ、個人の権利利益を保護」(法1条)とし、また「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべき」(法3条)との立法目的・趣旨を明記しています。

国・自治体のデジタル化は重要です。しかし、国民の個人の尊重と基本的人権の確立(憲法13条)と、「個人の権利利益を保護」、「個人の人格尊重の理念」(個人情報保護法1条、3条)、つまり国民の人権保障という憲法や個人情報保護法の基本理念を大原則として、デジタル庁はコンプライアンス意識を持ってデジタル行政を企画立案、実施していただきたいと思います。

デジタル庁は民間のITスタートアップ企業ではなく、国の行政官庁であり、その大臣や職員は公務の中立性・公平性とともに法令順守が要求され(国家公務員法96条1項、98条1項、憲法15条2項)、憲法尊重擁護義務(憲法99条)を負うのですから。

■追記(9月4日)
9月3日のマスメディア各社の報道によると、デジタル庁デジタル監の石倉洋子氏が、画像素材サイト「PIXTA」の複数の画像を、同サイトから購入せずに自身のウェブサイトに勝手に掲載していたとのことです。同サイトからの申し出に対して石倉氏はこの事実を認め、自身のサイトを閉鎖したとのことです。これにはさすがに呆れてしまいました。

1630756714318
(石倉洋子氏のTwitterより)

石倉氏は経営学者であり、ITや情報法などの専門家ではないが、2000年代からTwitterやFacebookなどを利用しておりITリテラシーの高い人物である」と、石倉氏を高く評価する投稿が9月になってからTwitter上で多く見られたところですが、画像素材サイトの画像を購入せずに勝手にパクって自分のサイトに掲載するとは、石倉氏の「ITリテラシー」は最低です。

デジタル庁は国・自治体のデジタル政策を担う官庁であり、その業務のためには、ITの知識やノウハウだけでなく、著作権法などの知的財産権法や個人情報保護法制や憲法、行政法、独禁法や消費者法などの法律知識は必須のはずですが、事務方トップの石倉氏はこのような素人レベルな法律知識で、デジタル庁の役職員の業務に違法・不当がないか監督できるのでしょうか? 多いに疑問です。

平井大臣の特定企業との癒着の問題や、NECを「徹底的に干せ」「脅せ」などとヤクザのような暴言を吐いていた問題や、アメリカの性犯罪者の富豪から多額の寄付金を受けていた伊藤譲一氏のデジタル監の人事の問題など、デジタル庁や菅政権はとにかく憲法や法律・モラルを遵守しようというコンプライアンス意識が致命的に欠落しています。

デジタル庁は、デジタル行政の業務を始める前に、まずは大臣やデジタル監をはじめとする全役職員が、憲法や国家公務員法、国家公務員倫理法や、個人情報保護法、知的財産権法、独占禁止法などの法令の基礎に関する全庁的なコンプライアンス研修を実施すべきではないでしょうか。

このままでは、デジタル庁は、役職員が「法令を守っていては日本は潰れる」などと嘯いて官民のデジタル利権を牛耳って、中抜きで私腹を肥やす経済マフィアのような組織になっていまいます。

■追記・デジタル庁ナンバー3の岡下昌平・デジタル大臣政務官が違法Youtuberであることが発覚(9月30日)
nukalumix様「畳之下新聞」の9月30日付の記事「(逃走中) 違法Youtuber が #デジタル庁 ナンバー3 の大臣政務官 という地獄」によると、デジタル庁ナンバー3岡下昌平・デジタル大臣政務官が、自身のYouTubeチャンネル「おかしょうちゃんねる堺」において、ABEMAなどの動画を切り取り、自身のYouTubeチャンネルにアップロードするなどの著作権法違反の行為を繰り返していたことが発覚したとのことです(自動公衆送信権(著作権法23条1項)の侵害)。
・(逃走中) 違法Youtuber が #デジタル庁 ナンバー3 の大臣政務官 という地獄|畳之下新聞

おかしょうちゃんねる堺
(岡下昌平氏の「おかしょうちゃんねる堺」より)

デジタル庁は、上から下まで法令無視のアウトローの人間しかいないのでしょうか。呆れてしまいます。このような無法者集団がデジタル行政を行っては、日本の官民のデジタル部門やIT業界などは、法律無視が当たり前で、腕力や発言力、経済力、政治力が強い人間が幅を利かす原始時代のような世界になってしまうような気がします。

■関連する記事
・デジタル庁の事務方トップに伊藤穣一氏との人事を考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・西村大臣の酒類販売事業者や金融機関に酒類提供を続ける飲食店との取引停止を求める方針を憲法・法律的に考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関する有識者委員会の第一次報告書をZホールディンクスが公表
・新型コロナの接触確認(感染追跡)アプリ(COCOA)の内閣府の仕様書を読んでみた
・コロナ禍の緊急事態宣言で国民の私権制限をできないのは憲法に緊急事態条項がないからとの主張を考えた

■参考文献
・岡村久道『個人情報保護法 第3版』264頁、295頁、430頁
・宇賀克也『個人情報保護法の逐条解説 第6版』179頁、432頁



















このエントリーをはてなブックマークに追加 mixiチェック

PPCトップ画面
1.令和2年改正個人情報保護法ガイドラインのパブコメ結果が公表
8月2日に個人情報保護委員会(PPC)が令和2年改正個人情報保護法ガイドラインのパブコメ結果を公表していたので、気になる部分をざっと見てみました。

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集の結果について|個人情報保護委員会

2.個人関連情報(改正法26条の2第1項)とGoogleのFLoC
令和2年改正の個人情報保護法26条の2第1項は、「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」を「個人関連情報」と定義し、事業者が個人関連情報を第三者提供し、提供先においてそれが個人データとして利用されることが想定される場合には、本人の同意が必要であるとしています。

これは2019年の就活生の内定辞退予測データの販売を行っていたリクナビ事件を踏まえて、個人情報保護法を潜脱して、本人関与のない個人情報の収集方法が広まることを防止するためのものです(佐脇紀代志『一問一答令和2年改正個人情報保護法』60頁)。

この個人関連情報は、具体的には、氏名などと結びついていないインタネットの閲覧履歴、位置情報、Cookieなどが該当するとされています(佐脇・前掲62頁)。

この点、今回の改正個人情報保護法ガイドライン(通則編)の個人関連情報に関するパブコメ結果308は、「Cookieなどだけでなく、Googleが最近、Cookieに代わり導入を開始したFLoCなどの新しい収集方法で取得されたデータについても個人関連情報に含まれることを明記すべきではないか」との意見(不肖な私の意見なのですが)に対して、PPCは「個人関連情報の定義にあてはまるものは個人関連情報に該当する。個別の判断になるが、収集の方法によって判断がかわるものではない。」と回答しています。

GoogleのFLoCなど

GoogleなどのIT事業者が、個人情報保護法を潜脱するためにFLoCなどの新しい手法を導入することは、個人関連情報の新設の趣旨に反するので、このPPCの回答は国民個人の権利利益の保護・人権保障の観点(法1条、3条、憲法13条)から、非常にグッジョブ!!であると考えられます。

今後、GoogleなどのIT企業がCookieやFLoCなどに代わるさらに新しいデータの収集方法を開始したとしても、それで収集されるデータが「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」にあたるのであれば、個人関連情報に該当し、第三者提供の際に本人の同意が必要になるとPPCは考えていると思われます。

3.個人関連情報と図書館の貸出履歴など
また、改正個人情報保護法ガイドライン(通則編)の個人関連情報に関するパブコメ結果315は、「ある個人の図書館の貸出履歴・利用履歴(利用事実)も個人関連情報や個人情報に該当しうることを明記すべきではないか」との意見(不肖・私の意見ですが)に対して、PPCは「個別の事案ごとに判断することになるが、図書館の利用履歴について、特定の個人を識別することができる場合(他の情報と容易に照合して特定の個人を識別できる場合を含む)には個人情報(法2条1項)に該当し、個人情報に該当しない場合には、「ある個人に関する情報」である限り、個人関連情報に該当する」と明快に回答しています。これもPPC超グッジョブ!!と言わざるをえません。

図書館の貸出履歴1
図書館の貸出履歴2


この点、現在の、平成27年(2015年)改正の個人情報保護法ガイドライン(通則編)は、要配慮個人情報(法2条3項)に関する2-3(要配慮個人情報)の部分のなお書きとして、「なお、次に掲げる情報(=要配慮個人情報))を「推知させる情報」にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない。」との記述を置いており、宗教に関する書籍の購買や貸出しに係る情報等などのような要配慮個人情報を「推知させる情報」は重要でないどうでもよい情報・データであるとの誤解が社会に広まってしまったような気がします(一種の「個人情報保護法による過剰反応」。なお令和2年改正の個人情報保護法ガイドラインにおいても、このなお書き自体は残っている。)。

しかし今回のこの個人情報保護法ガイドライン(通則編)パブコメ結果315は、図書館の貸出履歴・利用履歴なども個人情報に該当し、個人情報に該当しなくても、「ある個人に関する情報」である場合は個人関連情報に該当すると明確に回答していることは非常に重要な意味があると思われます。

貸出履歴・閲覧履歴などの個人情報・個人関連情報の該当性の図2

つまり、図書館の貸出履歴データ・利用履歴データをさまざまな用途に利活用しようとしてる法政大学、国会図書館などや、ツタヤ図書館などを運営するCCCなどのデータマーケティング企業やIT企業、さらに警察からの令状によらない照会に安易に応じ回答を行っている図書館、学校図書館の貸出履歴データ・利用履歴データなど図書館の利用以外に転用している学校・教育委員会・国などは、それらの業務が個人情報保護法など法令に違反してないか再検討が必要であると思われます。

■関連する記事
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?

同時に、今回のパブコメ結果を踏まえたPPCの令和2年改正個人情報保護法ガイドライン(通則編)の2-3-1-1(個人関連情報)の部分は、つぎのとおり、「Cookieなどで収集されたある個人のウェブサイトの閲覧履歴」、「メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等」、「個人の商品購買履歴・サービス利用履歴事例」、「ある個人の位置情報事例」、「ある個人の興味・関心を示す情報」などのデータ・情報も、それが連続して蓄積された場合には個人情報に該当し、個人情報に該当しない場合は個人関連情報に該当すると明記しています。

個人関連情報に該当する事例
(令和2年改正個人情報保護法ガイドライン(通則編)の2-3-1-1(個人関連情報)の部分より)

そのため、ヤフージャパン、LINEなどのIT企業、ターゲティング広告などの広告事業者、共通ポイントなどを運営するCCCや楽天などのデータマーケティング事業者、通信事業者・プロバイダ(ISP)やSuicaなどを運営するJR各社などの鉄道事業者・運輸事業者、コネクテッドカー・プラットフォームを運営する自動車メーカー、ネット上の通販を行うAmazonや楽天、メルカリや、ネットバンクや電子マネーやQRコード決済などの電子決済を行う金融関係の事業者、銀行・保険・証券、信用スコアや情報銀行などの業務を行う金融機関、テレビの閲覧履歴などを利用しているテレビ局、電気・ガス・水道などの利用履歴・ライフログなどを利用しているインフラ事業者、ネット閲覧履歴や移動履歴・購買履歴などを利用しているリクルート・LAPRASなどの人材企業やHRテックの事業者、タブレット端末などの操作履歴などを利用してEdTechやGIGAスクール構想などを推進しているベネッセや学校・教育委員会、文科省などは、今一度、自らの業務が個人情報保護法などの法令に違反していないか、再検討が必要であると思われます。この個人関連情報の新設は、影響範囲が非常に大きいと思われます。

4.AIやコンピュータによるプロファイリングについて
さらに、前述のリクナビ事件の問題や、2018年に施行されたEUのGDPR(EU一般データ保護規則)22条が「プロファイリング拒否権」(コンピュータやAIの個人データの自動処理のみによる法的決定・重要な決定の拒否権)を規定していることや、本年4月にEUがAI規制法案を公表したことなどから、AIやコンピュータによる人間のプロファイリングの危険(データによる人の選別の危険)に関する関心が日本社会でも高まっています。(最近の一部の情報法の学者の先生方は、個人データ保護法制の本当の立法目的は、プロファイリング拒否権であるとのご見解を示しておられるようです。)

この点、個人情報保護法ガイドライン(通則編)のパブコメ結果57は、「プロファイリングによる個人データの収集・利用などが個人の権利・利益を侵害するおそれがあるような場合については、これが個人情報の不適正利用の禁止条項(法16条の2)に該当し違法なものとなることを明記すべきではないか」との質問(不肖・私の質問ですが)に対して、PPCは「「プロファイリングの目的や得られたデータの利用方法など個別の判断が必要であるが、プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合は、不適正利用に該当する場合があり得る。」と回答しています。

プロファイリング2

このように、AIやコンピュータによるプロファイリングの法規制に関して、PPCはEUやアメリカの一部の州などの個人データ保護法の先進国・地域と異なり、慎重な姿勢を示しています。

しかし少なくとも、リクナビ事件のような、就活生などの求職者のネット閲覧履歴などのデータを収集し、AIで内定辞退予測データなどの就活生などに大きな不利益をもたらすおそれのあるデータを生成し、求人を行っているトヨタなどの企業にそのデータを販売・第三者提供するような行為は、「プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合に該当し、不適正利用であり違法であるとPPCに判断される可能性があると思われます。

そのため、AIを求職者の採用活動などに利用している雇用分野やHRtechの企業・人材会社・事業会社の人事部門や、AIを教育に利用している教育業界や学校・教育委員会・文科省、AIや顔認証システムを搭載した防犯カメラ・監視カメラ・商用カメラなどを利用や開発・販売している警備業界・警察・小売業・電気メーカーや、AIを信用スコアやローンの審査・保険の引受審査・保険金支払査定などに利用している銀行・保険などの金融機関、出入国管理など行政上の審査にAIを利用している行政庁などは、自らの業務が令和2年改正の個人情報保護法に抵触しないか、今一度再検討が必要であると思われます。

■関連する記事
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR

5.その他・委託の「まぜるな危険」の問題、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当のパブコメ意見!?
(1)委託の「まぜるな危険」の問題
その他にも、この令和2年改正個人情報保護法ガイドラインパブコメ結果は、通則編のパブコメ結果351に、経営法友会からの「委託の「まぜるな危険の問題」」の質問へのPPCの回答が載っているなど、個人情報保護法や情報セキュリティなどに関係する人にとって見どころが満載です。(委託の「まぜるは危険の問題」がPPCの公式文書に掲載されたのは、これがおそらく初めてではないでしょうか。)

委託のまぜるな危険の問題

(2)「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のパブコメ意見!?
また、このパブコメ結果で異様なのは、法人・個人や各種団体などからの意見にまじって、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」からのパブコメ意見が大量に提出されていることです。PDFファイル上で検索するとなんと31件もあるようです。しかも、他の個人・法人のほとんどが、PPCのパブコメ要綱を遵守して「意見」・「理由」を分けて丁寧な文言で意見や質問などを提出しているのに、この内閣府の担当者は意見・理由を分けずに、上から目線のあまり上品でないだらだらとした言葉使いで31件もの意見を書いています。

さらにパブコメ結果を読んでいて驚くことは、この内閣府健康・医療戦略推進事務局の担当者は、個人情報保護法の条文の文言上の理解すらできておらず、おそらく実務上も個人情報の取扱を経験したことがないような、官僚というよりまるで大学法学部の1年生かのような素人質問をPPCに対して、まるで顧客が企業のコールセンターに電話で質問するかのように、カジュアルに投げつけていることです。
内閣府5
(ガイドライン(通則編)のパブコメ結果275。内閣府の担当者は法23条2項のオプトアウトによる第三者提供に関して「いちいち事業者が本人に対して通知を行わねばならないことは面倒である」という趣旨の意見を述べていますが、PPCも回答しているように、法23条2項は「通知または公表」と規定しており、事業者に「通知」を義務付けていません。)

「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」は、国民のカルテや処方箋データなどのセンシティブな個人情報である医療データを国が一元的に収集し、IT企業や製薬会社などに利活用させる次世代医療基盤法などの担当所管のはずですが、個人情報保護法の素人のような人間が担当者で本当に大丈夫なのでしょうか?   国民としては非常に心配です。

くわえて、この内閣府健康・医療戦略推進事務局次世代医療基盤法担当の担当者の意見は、個人情報取扱事業者の法的義務を削減することを要求する内容のものが多く含まれています。この点は、内閣府や個人情報保護委員会の行政の公平性・中立性(国家公務員法96条1項、憲法15条2項など)が損なわれるおそれがあるだけでなく、国の個人情報保護行政デジタル行政などがゆがめられてしまうおそれがあるのではないでしょうか。

■関連する記事
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・2020年の個人情報保護法改正に関するガイドライン改正に関するパブコメについて意見を書いてみた-FLoC・プロファイリング・貸出履歴・推知情報・データによる人の選別
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権















このエントリーをはてなブックマークに追加 mixiチェック

クラブハウス
スイスの情報セキュリティ研究者のMarc Ruef氏(@mruef)などのTwitterの7月24日の投稿によると、音声SNSのClubhouseの日本を含む38億件電話番号データベースがダークウェブのオークションで売りに出されている可能性があるそうです。(【追記】Clubhouse側や他の研究者たちはこの情報漏洩を否定していることを記事末に追記しました。)

クラブハウス情報販売
(Marc Ruef氏(@mruef)のTwitterより)
https://twitter.com/mruef/status/1418693478574346242

Clubhouseのアプリは、自動的にスマホユーザーのアドレス帳に登録されたすべての電話番号を収集するので、自分自身はClubhouseを利用していなくても、自分の電話番号を知っている人間がClubhouseを利用していれば、電話番号等の個人情報が流出している可能性があるとのことです。

これがもし本当にClubhouseを運営するAlpha Exploration(AE)社の保有する個人情報データベースから何らかの方法で出された電話番号データベースであるのなら、日本の個人情報保護法上、電話番号のみのでも「個人情報データベース等」(法2条4項)のデータの一部に該当し、つまり「個人データ」(法2条6項)に該当し、つまりそれは「個人情報」(法2条1項1号)に該当することになります。

個人データの第三者提供には原則、本人の同意が必要であり(法23条1項)、また第三者提供には個人情報が提供された際のトレーサビリティ(追跡可能性)の確保のために、記録作成義務記録確認義務が課されます(法24条、法25条)。(そのため、こういう個人データが大っぴらに転売されることは難しいように思われます。)

AE社は米企業のようですが、もし日本であれば、2014年のベネッセ個人情報漏洩事件のような個人情報漏洩事故なので、安全管理措置(法20条)の懈怠の問題としてAE社は個人情報保護委員会から行政指導等を受けたり(法41条、42条)、ユーザーなどから損害賠償請求訴訟を提起されるリスクがあります。販売等の目的などで個人データを持ち出した人間・法人は罰則も科されます(法84条)。

もしClubhouseがEU圏のユーザーも利用してるなら、AE社はGDPR(EU一般データ保護規則)最高2000万ユーロまたは前会計年度の全世界年間売上高の4%のいずれか大きい額の制裁金が科されるリスクもあります(GDPR83条)。また同様に、もしClubhouseがEU圏のユーザーも利用してるなら、GDPR33条は事業者等が自社の個人情報の漏洩を知った場合、72時間以内の所轄のデータ保護当局への報告という厳しいタイムアタックを要求しているので、AE社はこの義務を履行しなければなりません。

(なお、2022年4月施行予定の日本の令和2年改正の個人情報保護法22条の2は、個人情報漏洩が発覚した場合、原則として、事業者は速やかに個人情報保護委員会に速報を報告し、30日以内に報告書を提出しなければならないことになるので、日本の事業者も個人情報漏洩があった場合には迅速な対応が要求されることになります。)

聞くところによると、一時期大きな注目を浴びたClubhouseも、最近はめっきり利用者が減少しているそうですが、AE社の保有する個人データの取扱や管理の在り方が、いろいろと気になるところです。

■追記(2021年7月26日2:00)
情報セキュリティの専門家の高梨陣平氏(@jingbay)より、この件に関しては、つぎの記事のように、Clubhouse側や他の研究者たちが電話番号の情報漏洩を否定しているとのご教示をいただきました。高梨様、ありがとうございました。
・Clubhouse denies data breach, experts debunk claims of leaked phone numbers|TechZimo
















このエントリーをはてなブックマークに追加 mixiチェック

school_jugyou_tablet
1.名古屋市が小中学校の学習用タブレットの操作履歴ログの収集を中止
報道によると、名古屋市は6月10日、市内の小学校中学校に対し、小中学生に配布しているタブレット使用を一時中止するように通知したとのことです。同市は、タブレットの操作履歴ログを収集してサーバーで保管しており、これが同市の個人情報保護条例に違反している疑いがあるためであるとのことです。

・名古屋市、小中学生の端末使用停止 履歴収集に指摘|日経新聞

この名古屋市の学校タブレットに関する報道については、Yahoo!ニュースにおいて、内閣府子供の貧困対策に関する有識者会議の委員で日本大学文理学部教育学科教授(教育財政学・教育行政学)末冨芳氏が、『この操作履歴こそスタディログという子どもの学習行動を記録するものであり、逆にログが記録できなければ学習者の評価ができない場合もあります。』とコメントしたことが、ネット上で大きな注目を集めています。

また、末冨芳氏はTwitterにおいても、「ログが残る=個人情報って(略)さすがのTwitterクオリティ (略)役所サーバーにログが残っても、個人と紐付けてなきゃただのデータ」と投稿しておられます。

末冨ログは個人情報ではない
https://twitter.com/KSuetomi/status/1403081955848048641
(末冨芳氏のTwitter(@KSuetomi)より)

最近、「GIGAスクール」や「教育の個別最適化」、「EdTechの推進」などの掛け声とともに、学校教育におけるICT化が急速に推進されていますが、これらの点をどう考えたらよいのでしょうか。

以下、①学校のタブレット端末の操作履歴ログは個人情報に該当しないのか②タブレット端末等の操作履歴ログなどにより生徒の評価などを行うことは許されるのか、の2点を考えてみたいと思います。

2.タブレットの操作履歴ログは個人情報ではないのか?
末冨芳氏は、教育用タブレットの操作履歴ログが学校等のサーバーに残っていても原則として個人情報ではないとしています。

この点、個人情報保護法2条1項1号は、個人情報とは「個人に関する情報であって」、電磁的記録を含む「特定の個人を識別することができるもの」(他の情報と容易に照合することができるものを含む)と定義しています。

これは名古屋市個人情報保護条例2条1号においても同様です。

個人情報 個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により、特定の個人を識別することができるもの(他の情報と照合することにより、特定の個人を識別することができることとなるものを含む。)をいう。」(名古屋市個人情報保護条例2条1号)

・名古屋市個人情報保護条例

つまり、「個人に関する情報」であって、電磁的記録などを含むさまざまな情報の「特定の個人を識別することができるもの」「個人情報」です(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁)。

個人情報の定義『ニッポンの個人情報』
鈴木正朝・高木浩光・山本一郎「「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編)」EnterpriseZineより

学校のタブレット端末の操作履歴ログ(データ)は、学校の生徒がタブレットを操作したことにより生成された電子データですから「個人に関する情報」であり、また、何時何分何秒にどの操作を行ったなどのデータであるので、Suicaの乗降履歴のようにそれぞれ異なるデータであると思われ、それ自体で操作者を「あの人、この人」と「特定の個人を識別」できるので、やはり個人情報(個人データ)に該当すると思われます。

また、このようなログは、端末IDと操作履歴等がセットで記録されるのが一般的と思われるので、学校等のサーバー内のタブレット管理要DBや生徒の個人情報管理DBなどの「端末IDと生徒番号」、「生徒番号と氏名・住所・学年・クラス」等の情報を照合すれば、操作履歴の生徒を割り出すことは簡単であると思われ、これは「他の情報と容易に照合することにより特定の個人を識別」に該当するので、やはり操作履歴データは個人情報(個人データ)に該当します(宇賀克也『個人情報保護法の逐条解説 第6版』39頁、岡村久道『個人情報保護法 第3版』77頁)。

さらに、まさに末冨氏がTwitterで指摘しているとおり、そもそもタブレットの操作履歴データは、教員が個々の生徒の思考方法などを把握し、「学習者の判定」を行ったり、生徒指導などを行うために収集・保存・分析などが実施されているのですから、操作履歴データが生徒個人と紐付かないデータであるとすると、教員や学校などにとって無意味なデータなのではないでしょうか。

(かりに、タブレット端末の操作履歴データが本当に個人情報でないとたとしても、タブレット操作の履歴データなのですから、ネットの閲覧履歴や位置情報などのように「個人関連情報」(改正個情法26条の2)に該当すると思われ、事業者が第三者提供するためには本人の同意が必要となります(佐脇紀代志『一問一答令和2年改正個人情報保護法』60頁、62頁)。

そのため、学校のタブレット端末の操作履歴データはやはり個人データであるため、自治体・教育委員会や学校あるいは関連する企業等は、この操作履歴データについて、自治体の個人情報保護条例や個人情報保護法上、利用目的の特定、目的外利用の禁止、本人への利用目的の通知・公表、本人同意のない第三者提供の禁止、安全管理措置、開示請求への対応などの各義務を負うことになります。

この点、「学校のタブレット端末の操作履歴データは原則として個人情報ではない」としている、末冨芳・日大教授などの、学校教育のICT化の推進派の方々は、前提となる個人情報保護法制の理解が正しくないと思われます。

3.学習用タブレット端末などの操作履歴・スタディログ・学習行動データなどにより生徒の評価を行うことは許されるのか?
(1)凸版印刷の学習ソフト「やる Key」
学校のタブレット端末などの操作履歴ログについて調べてみると、2017年に総務省が『教育ICTガイドブック Ver.1』という資料を作成し公表しています。
・「教育ICTガイドブック」(PDF)|総務省

この「教育ICTガイドブック Ver.1」48頁以下は、東京都福生市が2017 年度より、市立小学校 3 年生全員に算数のクラウド型ドリルを搭載したタブレット約450台を利用させている事例を紹介しています。

この記事によると、福生市は、凸版印刷クラウド型ドリル教材「やる Key」を搭載したタブレット端末(iPad)を市立小学校の3年生に利用させる実証実験を2015年から慶應義塾大学と連携して実施しているとのことです。

記事は、「「やる Key」には、児童の学習状況理解度可視化でき、理解度に合った問題が自動出題されるという特徴がある。」、「教員は、家庭学習を含め児童学習内容学習時間問題の正答分布などを一覧で把握できる。」、「家庭学習の状況も可視化されることで…学習への取組状況についての声掛けもできるようになった」等と説明しています。

また、凸版印刷サイトの「やる Key」に関する2016年のプレスリリースを読むと次のように説明されています。

「 具体的には、学校で活用するタブレット端末を家庭でも使用し、児童が自分で目標を立て、教科書の内容に沿った演習問題(デジタルドリル)に取り組みます。解答と自動採点の過程で、どこを誤ったのかだけでなく、どこでつまずいているかが判定され、児童ごとに応じた苦手克服問題が自動で配信されます。さらに、児童の進行状況や、どこが得意でどこを間違えやすいかを教員が把握し、声がけや指導改善の材料にできる機能も提供します。」と解説されています。(凸版印刷「凸版印刷、静岡県浜松市、慶應義塾大学と共同で 小学校向け学習応援システム「やるKey」の実証研究を開始」より)

・凸版印刷、静岡県浜松市、慶應義塾大学と共同で 小学校向け学習応援システム「やるKey」の実証研究を開始|凸版印刷

凸版印刷やるkey
(凸版印刷のプレスリリースより)

つまり、小中学校で実証実験が進むタブレット端末等と学習ソフトによるICT教育は、「どこを誤ったのかだけでなく、どこでつまずいているか判定」するものであり、「児童の進行状況や、どこが得意でどこを間違えやすいかを教員が把握」するものです。

すなわち、これは生徒・児童思考方法考え方のくせなど、生徒の内心の動きをタブレットやAIが詳細に把握・分析し、教員や学校などに提供するものであると言えます。しかもこのタブレットやAIによる児童の内心のモニタリング・監視は、児童が学校にいる時間だけでなく、家庭などにいる時間も含まれているものです。

このようにタブレット端末やAI等により、「どこを誤ったのかだけでなく、どこでつまずいているか」などの生徒の思考方法や考え方のくせなど、生徒の内心の動きをモニタリング・監視することは、「児童の教育」という目的のためであるとしても、はたして許容されるものなのでしょうか?

(2)憲法・教育基本法などから学校教育のICT化は問題ないのか?
この点、岡山大学法学部堀口悟郎准教授(憲法・教育法)「AIと教育制度」『AIと憲法』(山本龍彦編)253頁は、「AIは機械学習により判定基準(アルゴリズム)を生成するため、過去の人間の不公正な判定を繰り返してしまう危険性や、人間であれば当然しない差別的判断をする危険性(例えば「母子家庭の児童の中退率のデータ」から「母子家庭の児童」というだけでマイナス評価を行うなど)を指摘しています(275頁)。

■関連記事
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別化」

また堀口・前掲は、憲法26条教育基本法4条「教育の平等」を規定するにもかかわらず、AIによる「教育の個別最適化」が、義務教育における「学年生」をもゆるがしてしまうおそれや、裁判例が認める、障害児や成績のよくない生徒等が普通の教育を選ぶ「不自由を選ぶ自由」(インクルーシブ教育)侵害する危険性を指摘しています(神戸地判平成4.3.13・尼崎高校事件など)。

さらに堀口・前掲は、戦前・戦時中の学校教育の問題などに触れた上で、判例は「教師は政府の特定の意見のみを生徒に伝達することを拒みうる」と、民主主義社会において教師が政府からの生徒の「防波堤」となる機能としての教育権を認めていることから(最判昭和51.5.21・旭川学テ事件)、未来の学校がAIや教育ビデオだけとなり、人間の教師が学校からいなくなる場合の危険性を指摘しています。

このように、政府が推進する教育のICT化は、憲法や教育基本法の観点からも大いに問題があるといえます。

(3)EUのGDPR22条・AI規制法案と日本
児童・生徒のタブレット端末の操作履歴・スタディログなどをAIに分析させて「生徒・学習者を評価」することは、EUであれば、GDPR(一般データ保護規則)22条「コンピュータの自動処理(プロファイリング)による法的決定・重要な決定拒否権」や、本年4月に公表されたAI規制法案の内容に抵触するおそれがあります。またGDPR8条は、16歳未満の未成年者の個人データの収集を原則禁止としています。

とくに本年4月に公表されたEUのAI規制法案は、AIの利用を①禁止、②高リスク、③限定されたリスク、④最小限のリスク、の4段階に分けて規制する内容です。そのなかで「教育」は、企業の採用選考・人事評価などとともに②「高リスク」に分類されています。

この点、産業技術総合研究所研究員の高木浩光先生など情報法の先生方がネット上でたびたび説明しておられるように、EUだけでなく日本を含む西側自由主義・民主主義諸国は、「コンピュータによる人間の選別の危険」の問題意識のもとに1970年代より個人データ保護法制を発展させてきました。

日本も雇用分野の個人データ保護で厚労省の指針・通達などが何度もこの考え方を示しています(2000年「労働者の個人情報保護行動指針」第2、6(6)など)。最近もリクナビ事件に対する厚労省通達(職発0906第3号令和元年9月6日)はこの考え方を示しています。そのため、日本においても「コンピュータによる人間の選別の危険」を防ぐための「コンピュータ・AIの自動処理(プロファイリング)による法的決定・重要な決定に対する拒否権」は無縁な考え方ではないのです。

この「コンピュータ・AIの自動処理(プロファイリング)による法的決定・重要な決定に対する拒否権」について、慶応大学の山本龍彦教授(憲法)は、「個人の尊重」自己情報コントロール権(憲法13条)および適正手続きの原則(31条)から導き出されるとしています(山本龍彦「AIと個人の尊重、プライバシー」『AIと憲法』104頁~105頁)。

したがって、国・自治体や学校、教育業界やIT業界などが、児童・生徒のタブレット端末の操作履歴・スタディログなどをAIに分析させて「生徒・学習者を評価」することは、日本においても、児童のプライバシー権、「個人の尊重」と自己情報コントロール権(憲法13条)を侵害するおそれがあるので、慎重な検討と対応が必要です。

■関連記事
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR

4.まとめ
このように、小中学校のタブレット端末の操作履歴ログは個人情報・個人データに該当するので、学校や教育委員会、自治体や国、企業などは、個人情報保護法・自治体の個人情報保護条例などに基づいた情報管理が必要となります。また、学校のタブレット端末等の操作履歴ログなどにより生徒・児童の評価などを行う「GIGAスクール構想」・「教育の個別適正化」などの政策は、児童・生徒の教育を受ける権利や人権保障の問題に深くかかわる重大な問題であるので、政府は国会での慎重な議論などを行うことが必要と思われます。

「GIGAスクール構想」「教育の個別適正化」などは、教育業界やIT業界などの経済的利益だけでなく、児童・生徒の教育を受ける権利教育の平等(憲法26条)個人情報の保護プライバシー権自己情報コントロール権「AI・コンピュータの自動処理による法的決定・重要な決定に対する拒否権」などの人格権(憲法13条)など、児童・生徒の「個人の尊重」人権保障に関連する重大な問題です。

そのため、政府・与党は、「学校教育のICT化」「GIGAスクール構想」などについては、内閣府や文科省などにおける諮問委員会で産業界や政府寄りの学識者の意見を聞くだけでなく、国会で慎重に時間をかけて議論を行うなど、国民的合意を得たうえで推進するべきであると思われます。

■関連記事
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別化」
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・Github利用規約や厚労省通達などからAIを利用するネット系人材紹介会社を考えた
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・AIによる自動処理決定拒否権

■参考文献
・宇賀克也『個人情報保護法の逐条解説 第6版』39頁
・岡村久道『個人情報保護法 第3版』77頁
・鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁
・堀口悟郎「AIと教育制度」『AIと憲法』(山本龍彦編)253頁
・山本龍彦「AIと個人の尊重、プライバシー」『AIと憲法』104頁
・菅野和夫『労働法 第12版』69頁、262頁
・小向太郎・石井夏生利『概説GDPR』64頁、93頁
・高野一彦「従業者の監視とプライバシー保護」『プライバシー・個人情報保護の新課題』(堀部政男編)163頁
・「教育ICTガイドブック」(PDF)|総務省
・凸版印刷、静岡県浜松市、慶應義塾大学と共同で 小学校向け学習応援システム「やるKey」の実証研究を開始|凸版印刷
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁
・鈴木正朝・高木浩光・山本一郎「「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編)」EnterpriseZine
・厚労省職業安定局・職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運用について」(PDF)
・「労働政策審議会労働政策基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」|厚労省
・EUのAI規制案、リスク4段階に分類 産業界は負担増警戒|日経新聞













このエントリーをはてなブックマークに追加 mixiチェック

LINE
6月11日、ZホールディングスLINEの個人情報事件に関する有識者委員会(座長・宍戸常寿教授)第一次報告書の概要をサイトで公表しました。

・「グローバルなデータガバナンスに関する特別委員会」第一次報告受領について|Zホールディングス

この報告書の概要を大まかにみると、まず、「LINEの主要な個人情報は主に日本のサーバーに保管されている」とLINE社2013年、2015年、2018年の3回、日本の国・自治体関係者に説明していた点が報告書にありますが、これはやはり、非常に不適切だと思われます。

なおこの点、個人情報保護法40条は、個人情報保護委員会は事業者に対して報告を求め、また立入検査をすることができると規定していますが、この報告に虚偽があった場合や検査忌避があった場合などは罰則(両罰規定)が科されると規定されています(法85条)。

また、個人情報保護委員会だけでなく、総務省もLINE社に対して報告徴求などを実施していますが、電気通信事業法169条も虚偽の報告などに対して罰則規定を置いています。さらに金融庁もLINE社に報告徴求などを実施していますが、例えばQRコード決済などに関する資金決済法も、報告徴求に対する事業者の虚偽の報告などに対して罰則規定をおいています(法112条7号、8号)。

これらの罰則規定が今後、LINE社などに対して適用されるのか、大いに気になるところです。

また、LINE社の話を鵜呑みにしていた国・自治体側も、個人情報保護法制や、国の安全保障あるいは経済安全保障の観点から非常に問題があるのではないでしょうか。

LINE報告書01

この点、例えば行政機関個人情報保護法6条は、行政機関は「保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない」と規定しています(安全確保措置)。

また、これも例えば総務省の「総務省の保有する個人情報等の適切な管理のための措置に関する訓令 」(総務省訓令第54号)38条は、業務委託について、適切な安全確保措置が実施できる事業者を書面などを求めて選定すること(1項)、目的外利用の禁止や秘密保持条項、再委託の制限、個人情報漏洩事故があった場合の対応などを盛り込んだ契約書による業務委託契約を締結すること(2項)、少なくとも年1回の委託先への実地検査を実施すること(3項)等などを規定しています。

しかし、LINEを情報提供サービスなどのために利用していた総務省や、各自治体は、LINE社としっかり業務委託契約書を締結し、年1回以上のLINE社への実地検査などを法令に基づいて実施していたのでしょうか?大いに疑問です。

つぎに、3月の朝日新聞等の報道を受けて、LINE社はプレスリリースを公表し、2021年6月までに韓国サーバーに保管されている画像・動画などの個人データを日本のサーバーに移動させる等と発表しました。

しかし、この点についても、さまざまな個人データの日本への移動が、LINE社のリリースに示されたスケジュールに対して遅延していることが明らかにされています。この点を、本報告書は「ユーザーファーストの意識が欠けている」と指摘しています。
LINE報告書02

この点は、新興のIT企業であるLINE社およびZホールディングスは、「ユーザー・顧客との約束を守ろうという意識」、ユーザー・顧客への説明責任や、>ガバナンスコンプライアンスの意識が企業として極めて低いのではないでしょうか。Yahoo!Japan社も、2004年の450万人分の個人情報漏洩を起こしたYahoo!BB個人情報漏洩事件など、3年から5年おきに不祥事を起こしている印象があります。

さらに、朝日新聞の峯村健司氏のスクープ報道のとおり、やはりLINE社の委託先の中国子会社の日本サーバーへのアクセスログ等は、中国等の開発者が具体的にどんな個人データにアクセスしたか等の記録が残っていないとのことです。アクセスログも保存されていても、1年間しか保存されていないとのことです。さらに中国等の開発者PC等は外部ネットに接続可能な状態であり、当該PC等の挙動のログなども残っていないと報告書は指摘しています。これはLINE社の安全管理措置が非常に不十分であったと言わざるを得ません。
LINE報告書03

加えて、報告書は、2016年ごろより、中国の国家情報法に関する議論が日本国内で高まっていたのに、LINE社がシステムの開発・保守などを中国で継続していた点も指摘しています。
LINE報告書04

この点も、わが国の国民約8600万人のアクティブ・ユーザーを持ち、国・自治体の情報発信業務や国民・市民からの相談業務、多数の日本企業の情報発信業務などを担っているLINE社は、日本の国民の個人情報保護や国・自治体や多くの企業の機密情報の保護に対する大きな責任を負っていること、日本の安全保障および経済安全保障に大きな責任を負っていることに対して、企業市民としてあまりにも無頓着だったのではないでしょうか。

なお、本報告書の概要をざっとみる限り、本事件で個人情報とともに問題となった、電気通信事業法4条憲法21条2項の定めるユーザーの「通信の秘密」に関しては、有識者委員会であまり議論がなされていないようですが、大丈夫なのでしょうか。

4月の総務省のLINE社に対する行政指導のプレスリリースも、個人情報に関しては問題視していますが、「通信の秘密」に関しては、まるでなかったかのようにしているわけですが。この点を、情報法の大御所である宍戸教授などの有識者委員会に大いに議論していただきたいと、一般の国民としては思っていたのですが。
LINE報告書03

また、本日のZ社のプレスリリースでは、有識者委員会の第一次報告書は概要のみが公表されており、報告書本文は公表されていないことも、やや不可思議な対応であると思われます。

■関連する記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの通信の秘密の問題に対して総務省が行政指導を実施
・LINEの個人情報の問題に対して個人情報保護委員会が行政指導を実施











このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ