なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:privacy

ai_pet_family

内閣府が「AI戦略会議 AI制度研究会 中間とりまとめ(案)」のパブコメを行っているので(2025年1月23日23時59分まで)、「国民の人権保障や各種リスク管理のため、欧州のようなAI法を制定すべきである」という趣旨の、つぎのような意見を書いて提出してみました。

1.1頁24行目「概要」「具体的な制度・施策の方向性」について
「具体的な制度・施策の方向性」に「AIの研究開発・実施が最もしやすい国を目指す」との目標が掲げられているが、この目標設定は間違っていると考える。日本は中国やロシア等のような全体主義国でなく国民主権の民主主義国(憲法1条)であるから、民主主義国家である以上まずは国民の人権保障や国民や社会に対するリスク管理を第一優先とすべきである。イノベーション推進や事業者の利益はその次の課題である。そうでなければ日本は欧州や米国などの西側世界のガラパゴスになってしまう。そのため、欧州のAI法のような人権保障のための法律を制定すべきである。

2.8頁6行目~10頁27行目「(2)法令の適用とソフトローの活用」について
まるで法令よりもソフトローのほうが優れているような記述だが、「法律による行政の原則」「法律の法規創造力」(憲法41条、65条、76条)の視点が欠けている。
まずは国民の人権保障や各種リスクの回避のためにEUのAI法のような法律を国会で作り、その上でそれを補足するためにソフトローを作るべきではないか。
また、そもそも「AIの研究開発が最もしやすい国を目指す」「イノベーション推進」等の目標設定が間違っていると考える。日本は中国やロシア等のような全体主義国でなく国民主権の民主主義国(憲法1条)であるから、民主主義国家である以上まずは国民の人権保障やリスク管理を第一優先とすべきである。イノベーション推進や事業者の利益はその次の課題である。

3.11頁9行目「リスクへの対応」について
「人の生命、身体、財産といった~」を「人格権」を入れて「人の生命、身体、財産および人格権といった~」とすべきである。4頁のAIに関する意識調査にあるように、多くの国民はAIによるプライバシー侵害や個人情報に関するリスクを感じているからである。

4.10頁4行目「(2)法令の適用とソフトローの活用」について
「一般的に、わが国の企業等は法令遵守の意識が高い」とあるが事実誤認である。2021年のLINEの韓国・中国への個人情報漏洩事件などに見られるように、AIの研究開発等を行う日本のIT業界は法令遵守意識が非常に低い。国民の人権保障やリスク管理のために、内閣府など政府はIT企業等に対して性善説ではなく性悪説で臨むべきである。

ところで、本パブコメの入力フォーマットは、なぜか1つのパブコメ意見を一つづつしか入力できなく、しかも一つの意見は400文字以内という非常に入力しにくい不便な仕様だったのですが、どうにかならなかったのでしょうか・・・。

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

mensetsu_business_ai
1.はじめに
ITmediaの2024年10月16日の記事「キリン、新卒採用に“AI面接官”を試験導入 生成AI利用で「人間の約6倍多角的に評価できる」」によると、キリンホールディングスは、2026年卒の新卒採用から、生成AIにより面接の質疑や候補者の評価を行うサービス「AI面接官」を試験導入する方針とのことです。エントリーシートの読み込みから一次面接までをAI面接官が担当するとのことです。

「導入するのは、AI面接官を提供するVARIETAS(東京都世田谷区)のサービス。同社によると、AI面接官は、経済産業省が2006年に提唱した「社会人基礎力」をもとにした30項目によって候補者を評価する。人間が1時間の面接で評価できるのは5~6項目であり、その約6倍多角的に評価できるという。」

「なお採用プロセスについて、AI面接官の評価をもとに採用担当者が最終的に1次面接の通過者を確定。その後、2次選考以降の採用活動を行うとしている。」
(ITmediaの2024年10月16日の記事「キリン、新卒採用に“AI面接官”を試験導入 生成AI利用で「人間の約6倍多角的に評価できる」」より)
このようなAIによる面接や求職者の評価・選別等は、個人情報保護法などとの関係で問題はないのでしょうか?

2.答責性・透明性・説明可能性の問題
(1)プロファイリング結果の根拠を説明できない?
AIは大量のデータを分析し、複雑な予測モデルを構築しますが、それが複雑すぎて人間がそれを理解できず説明もできないという問題が生じます(答責性・透明性・説明可能性の問題)。そのため、上でみた「AI面接官」サービスでは、もし就活生等からキリン等にプロファイリング結果の根拠の説明を求められてもキリン等の求人企業が回答ができないという問題が発生するおそれがあります。この問題は法的に、あるいは倫理的にはどのように考えられるのでしょうか。

(2)法律上の問題点
この点、会社側には採用基準等を開示する法的義務はないので、AIを用いているかにかかわらず、採用時にどのような選考をしているか説明しなくても、あるいは選考の根拠を求人企業自身が理解できていなくても、それ自体は違法とはなりません(東京高判昭和50.12.22判時815・88)。

また、三菱樹脂事件判決(最大判昭和48.12.12民集27・11・1536)は、企業には広い範囲での雇入れの自由があり、企業が労働者の思想・信条を理由としてその採用を拒否しても違法とはならないとしています。この判例によると、AIによる分析等が誤っている場合や、AIによる分析の手法を求人企業が理解しないで利用していた場合などであっても、AIによる採否の決定などが違法とはならないと考えられます。

(3)倫理上の問題点
しかし、経産省、個人情報保護委員会、経団連、情報処理学会などにより組織された、パーソナルデータ+α研究会の「プロファイリングに関する最終提言」(2022年4月)は、「答責性、説明可能性、解釈可能性、透明性などに配慮し、プロファイリングに利用したインプットデータを特定しておくことや、解釈可能なモデルの導入を検討すること」を推奨しています(16頁、18頁)。

そのため、AIによるプロファイリングの結果が選考においてどの程度の比重を占めているのか、どのような情報をプロファイリングの基礎としているか、人間の判断の介在有無などについて説明できるだけの用意をあらかじめしておくことが、有事の際のダメージコントロールの観点からは有益であると考えられます。

3.AIによる差別・公平性の問題
(1)AIによる差別
AIがプロファイリングの基礎としたデータセットに差別を助長するような情報が含まれており、公平性を欠く差別的なプロファイリングがなされていた場合、法的にあるいは倫理的にはどのように考えられるでしょうか。

(2)職業安定法・職安法指針
求人企業は誰を採用するかについて選択の自由があり、また調査の自由があると判例上されています(三菱樹脂事件判決・最大判昭和48.12.12民集27・11・1536)。これは、採用段階における求職者からの情報取得についても広範な裁量を認めているものと理解されていました。しかし近時はこのような判例の射程範囲を限定しようとする考え方が有力となっており、少なくとも求職者の人格的尊厳やプライバシー保護の必要性などにより制約を受けると考えられています。そして調査事項についても、企業が質問や調査を行えるのは、求職者の職業上の能力・技量や適格性に関した事項に限られると考えられています(職安法5条の5、職安法指針(平成11年労働省告示第141号)5・1、厚労省「公正な採用選考の基本」)。

公正な採用選考の基本
(厚労省「公正な採用選考の基本」より)

(3)AIのプロファイリングと不適正利用の禁止
個情法19条は個人情報の不適正利用を禁止していますが、個情法ガイドライン(通則編)3-2は、19条違反となる事例として、「事例5)採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合」をあげています。そのため、AIによるプロファイリングも、その過程や態様次第では、不適正利用禁止違反になり得ると考えられます。

この点、令和3年8月の個情法ガイドライン(通則編)改正の際のパブリックコメントの回答において、個人情報保護委員会は、「プロファイリングに関連する個人情報の取扱いについても、それが「違法又は不当な行為を助長し、又は誘発するおそれがある方法」による個人情報の利用にあたる場合には、不適正利用に該当する可能性がありますが、プロファイリングの目的や得られた結果の利用方法等を踏まえて個別の事案ごとに判断する必要があると考えられます」としています。つまり、個人情報保護委員会としても、個情法の不適正利用禁止規定は一定のAIプロファイリングにおよぶことが明らかになっています。

4.人間関与原則の重要性
EUのGDPR22条1項は、「データ主体は、当該データ主体に関する法的効果をもたらすか又は当該データ主体に同様の重大な影響をもたらすプロファイリングなどの自動化された取扱いのみに基づいた決定に服さない権利を持つ」と規定していますが、これは人生に重要な影響を与える決定には原則として人間が関与しなければならないという「人間関与原則」を定めたものとされています。この考え方の背景には、自動化された決定が「個人の尊重」や「個人の尊厳」(憲法13条)を脅かすおそれがあるとの認識があります。このようにAIの決定に対して人間が関与することは個人の基本的人権の観点から重要ですが、企業のレピュテーションリスクやコンプライアンスの観点からも必須であると考えられます。

(この点、冒頭の記事によると、キリンおよびVARIETASの事例は、AIのプロファイリングについて最終的には人間が関与する仕組みとなっているようであり、人間関与原則の問題はクリアしているものと思われます。)

■参考文献
・末啓一郎・安藤広人『Q&A IT化社会における企業の情報労務管理の実務』61頁
・山本龍彦・大島義則『人事データ保護法入門』48頁

■関連するブログ記事
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)
・2022年の改正職業安定法・改正個人情報保護法とネット系人材会社や就活生のSNS「裏アカ」調査会社等について考えるープロファイリング

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family

個人情報保護委員会が『個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理』のパブコメを2024年7月29日まで実施しているので、つぎのとおり意見を書いて送ってみました。

1.生体データについて
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
生体データも要配慮個人情報に含め、その取得には本人同意を必要とすべきである。
(理由)
個人情報のなかでも生体データの要保護性は高いと考えられるから、自己情報コントロール権(情報自己決定権、憲法13条)の観点からは、生体データについても要配慮個人情報(個情法2条3項)に含め、その取得には本人同意を必要とするべきである。かりにそれができない場合には、柔軟なオプトアウト制度の導入など、本人関与の仕組みを強化すべきである。

2.従業員の生体データのモニタリング
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
使用者がパソコンやプログラム等を利用して従業員の生体データや集中度などを監視・モニタリングすることは個情法19条、20条違反であることを明確化すべきである。
(理由)
近年、使用者がパソコンやプログラム等を利用して従業員の脳波や集中度などを監視・モニタリングしている事例が増えているが(「東急不動産の新本社、従業員は脳波センサー装着」日本経済新聞2019年10月1日付、日立の「ハピネス」事業など参照)、このような従業員の監視・モニタリングは労働安全衛生法104条違反であるだけでなく、これがもしEUであればGDPR22条違反であり、さらに従業員の「自らの自律的な意思により選択をすることが期待できない場合」に該当するので、個情法19条、20条に抵触して違法であることをガイドライン等で明確化すべきである。

3.生徒・子どもの生体データのモニタリング
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
学校・教育委員会等がパソコン・タブレットやウェアラブル端末等を利用して生徒・子どもの生体データや集中度などを監視・モニタリングすることは個情法19条、20条違反であることを明確化すべきである。
(理由)
近年、学校・教育委員会等がタブレット・パソコンやウェアラブル端末等を利用して生徒・子どもの生体データ等から集中度などを監視・モニタリングしている事例が増えているが(「「聞いてるふり」は通じない? 集中しない生徒をリアルタイムで把握 教員からは期待、「管理強化」に懸念も」共同通信2023年6月21日付、デジタル庁「教育データ利活用ロードマップ」など参照)、このような生徒・子どもの生体データの監視・モニタリングは、これがもしEUであればGDPR22条違反であり、さらに生徒・子どもの「自らの自律的な意思により選択をすることが期待できない場合」に該当するので、個情法19条、20条に抵触して違法であることをガイドライン等で明確化すべきである。

4.電話番号、メールアドレス、Cookieなどの個人関連情報について
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
電話番号、メールアドレス、Cookieなどの情報も個人関連情報とするのではなく、個人情報に該当するとすべきである。
(理由)
電話番号、メールアドレス、Cookieなどの情報も、多くの場合、特定の個人を追跡可能であり、ターゲティング広告等により当該個人の自由な意思決定に影響を及ぼし得るのであるから、電話番号、メールアドレス、Cookieなどの情報も個人関連情報とするのではなく、個人情報に該当するとすべきである。

5.プロファイリングと不適正利用
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
不適正利用の禁止(法19条)に関する個人情報保護法ガイドライン(通則編)の「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に、「AI・コンピュータの個人データ等のプロファイリングの行為のうち、個人の権利利益の侵害につながるもの」を明示すべきである。
(理由)
本人の認識や同意なく、ネット閲覧履歴、購買履歴、位置情報・移動履歴やSNSやネット上の書き込みなどの情報をAI・コンピュータにより収集・分析・加工・選別等を行うことは、2019年のいわゆるリクナビ事件等のように、本人が予想もしない不利益を被る危険性がある。このような不利益は、差別を助長するようなデータベースや、違法な事業者に個人情報を第三者提供するような行為の不利益と実質的に同等であると考えられる。
また、日本が十分性認定を受けているEUのDGPR22条1項は、「コンピュータによる自動処理のみによる法的決定・重要な決定の拒否権」を定め、さらにEUで成立したAI法も、雇用分野の人事評価や採用のAI利用、教育分野におけるAI利用、信用スコアなどに関するAI利用、出入国管理などの行政へのAI利用などへの法規制を定めている。
この点、厚労省の令和元年6月27日労働政策審議会労働政策基本部会報告書「~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」9頁・10頁および、いわゆるリクナビ事件に関する厚労省の通達(職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運営について」)等も、電子機器による個人のモニタリング・監視に対する法規制や、AI・コンピュータのプロファイリングに対する法規制およびその必要性を規定している。
日本が今後もEUのGDPRの十分性認定を維持し、「自由で開かれた国際データ流通圏」政策を推進するためには、国民の個人の尊重やプライバシー、人格権(憲法13条)などの個人の権利利益を保護するため(個情法1条、3条)、AI・コンピュータによるプロファイリングに法規制を行うことは不可欠である。
したがって、「AI・コンピュータの個人データ等のプロファイリングの行為のうち、個人の権利利益の侵害につながるもの」を「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に明示すべきである(「不適正利用の禁止義務への対応」『ビジネス法務』2020年8月号25頁、『AIプロファイリングの法律問題』(2023年)50頁参照)。

6.こどもの個人情報等に関する規律の新設
(該当箇所)
こどもの個人情報等に関する規律の在り方(中間整理8頁~11頁)
(意見)
こどもの個人情報等に関する規律を新設することに賛成します。
(理由)
こどもは大人に比べて脆弱性・敏感性及びこれらに基づく要保護性があるにもかかわらず、近年、学校・教育委員会などが、生徒・子どもにウェアラブル端末をつけさせて生体データを収集し集中力や「ひきこもり」の予兆などを監視・モニタリングする事例などが野放しで増加しているが、このような学校等による生徒・子どもの監視・モニタリングは子どもの内心の自由やプライバシー、人格権を侵害しかねないものであり、子どもの権利利益を侵害している(個情法1条、3条、憲法13条、19条)。
したがって16歳未満の子どもの個人情報については収集等に法定代理人の同意を必要とし、また厳格な安全管理措置を要求するなどの法規制を新設することに賛成します。

7.課徴金制度・団体訴訟制度
(該当箇所)
課徴金、勧告・命令等の行政上の監視・監督手段の在り方(中間整理11頁)および団体による差止請求制度及び被害回復制度の導入(中間整理12頁)
(意見)
課徴金制度の導入などおよび団体請求制度の導入等に賛成します。
(理由)
国民・消費者の個人の権利利益のさらなる保護のため(個情法1条、3条)に賛成します。経済界は団体による差止請求にも反対しているようであるが、差止請求は違法な行為にしかなされないところ、経済界は違法行為がしたいのだろうかと疑問である。

8.漏えい等報告・本人通知の在り方
(該当箇所)
漏えい等報告・本人通知の在り方(中間整理18頁)
(意見)
現行の漏えい等報告・本人通知の在り方を緩和することに反対。
(理由)
二次被害・類似事案の防止が漏えい等報告及び本人通知の趣旨・目的なのであるから、たとえば事業者がセキュリティインシデントに対応中でマルウェア等の犯人を泳がせて調査しているような場合は別として、原則として個人情報漏えい事故が発生した場合は、迅速に漏えい等報告・本人通知を事業者に行わせるべきである。現行の漏えい等報告・本人通知の在り方を緩和することには反対。 また、漏えい等に関する義務が生じる「おそれ」要件についても、「おそれ」が発生している以上は安全管理措置義務違反が発生していることは事実なのであるから、事業者は違法であるのであって、「おそれ」要件を緩和することには反対である。

9.医療データの収集・目的外利用・第三者提供の規制緩和
(該当箇所)
社会のニーズ及び公益性を踏まえた例外規定の新設並びに明確化(中間整理23頁)
(意見)
医療データにつき例外規定を設け、取得や目的外利用、第三者提供等に本人同意やオプトアウトを不要とする議論に反対。
(理由)
現在の情報法・憲法の学説上、個人情報保護法(個人データ保護法)の趣旨・目的は自己情報コントロール権説(情報自己決定権説)が通説であり、ドイツやEUなど多くの西側自由諸国でも同様である(曽我部真裕・林秀弥・栗田昌裕『情報法概説第2版』209頁、渡辺康行・宍戸常寿・松本和彦・工藤達朗『憲法Ⅰ基本権』121頁、山本龍彦『個人データ保護のグローバル・マップ』247頁、359頁等参照)。
そして自己情報コントロール権説からは、個人情報保護法が目的外利用や第三者提供をする場合、医療データなどの要配慮個人情報を収集する場合において、事業者や行政機関等が患者などの本人の同意を取得することが必要と規定されていることは当然のことと考えられる。
そのため、この目的外利用や第三者提供をする場合、医療データなどの要配慮個人情報を収集する場合に本人の同意の取得を不要とする有識者ヒアリング等における森田朗名誉教授や鈴木正朝教授、高木浩光氏などの主張は自己情報コントロール権説に反し、つまり個人情報保護法(個人データ保護法)の趣旨・目的に反している。
また、法律論を離れても、たとえば4月3日の個人情報保護委員会の有識者ヒアリングでは、横野恵准教授の「医療・医学系研究における個人情報の保護と利活用」との資料13頁の「ゲノムデータの利活用と信頼」においては、一般大衆の考えとして、ゲノムデータの利活用に関する「信頼の醸成に寄与する要素」の2番目に「オプトアウト制度」が上がっている。
したがって、医療データの利用等に関して、患者の本人の同意やオプトアウト制度などの本人関与を廃止する考え方は、一般国民の支持を得られないと思われる。
また、森田名誉教授や鈴木正朝教授、高木浩光氏など、医療データの製薬会社やIT企業などによる利活用を推進する立場の人々は、「日本国民はすべて医療データを製薬会社などに提供し、医療や社会に貢献すべきだ」との考え方を前提としているように思われる。
たしかに患者が医療に貢献することは一般論としては「善」である。しかし、日本は個人の自由意思を原則とする自由主義・民主主義国である(憲法1条、13条)。患者個人が医療や社会に貢献すべきか否かは個人のモラルにゆだねるべき問題であり、ことさら法律で強制する問題ではない。すなわち、患者の医療への貢献などは、自由主義社会においては自由な討論・議論によって検討されるべきものであり、最終的には個人の内心や自己決定にゆだねられるべきものである(憲法19条、13条)。
「日本国民はすべて医療データを製薬会社などに提供し、医療や社会に貢献すべきだ」「そのような考え方を個人情報保護法の改正や新法を制定し、国民に強制すべきだ」「そのような考え方に反対する国民は非国民、反日だ」との考え方は、中国やロシアなど全体主義・国家主義国家の考え方であり、自由主義・民主主義国家の日本にはなじまないものである。
さらに、患者の疾病・傷害にはさまざまなものがある。風邪などの軽い疾病のデータについては、製薬会社などに提供することを拒む国民は少ないであろう。しかし、がんやHIVなど社会的差別のおそれのある疾病や、精神疾患など患者個人の内心(憲法19条)にもかかわる疾病など、疾病・傷害にはさまざまな種類がある。それらをすべて統一的に本人同意を不要とする政府の議論は乱暴である。
したがって、憲法の立憲主義に係る基本的な考え方からも、医療データの一時利用・二次利用について患者の本人の同意を原則として不要とする議論は、個人情報保護法(個人データ保護法)の趣旨・目的に反しているだけでなく、わが国の憲法の趣旨にも反している。以上のような理由から、私は医療データの一時利用・二次利用について患者の本人の同意やオプトアウト等の本人関与の仕組みを原則として不要とする個人情報保護委員会や政府の議論に反対である。

10.その他:プロファイリング・AI法
(該当箇所)
その他(中間整理26頁)
(意見)
プロファイリングによる要配慮個人情報の「推知」を要配慮個人情報の「取得」として法規制すべきである。本人同意または本人関与の仕組みを導入すべきである。また、日本も早期にEUのようなAI法を制定すべきである。
(理由)
2016年のケンブリッジ・アナリティカ事件、最近のイスラエルの軍事AI「ラベンダー」など、プロファイリングの問題は個人情報保護の本丸である。個人情報保護法20条2項は要配慮個人情報の取得については本人同意を必要としているが、プロファイリングによる要配慮個人情報の「推知」、すなわち要配慮個人情報の迂回的取得は法規制が存在しない。これでは本人同意は面倒だと、事業者はプロファイリングによる推知を利用してしまう。
この点、世界的には、EUのGDPR21条はプロファイリングに異議を述べる権利を定め、同22条は完全自動意思決定に服さない権利を規定している。またアメリカのいくつかの州も同様の法規制を置いている。
このように世界的な法規制の動向をみると、日本もプロファイリングによる要配慮個人情報の「推知」を要配慮個人情報の「取得」として法規制すべきである。すなわち、本人同意または本人関与の仕組みを導入すべきである。
また、日本も早期にEUのようなAI法を制定すべきである。

11.顔識別機能付き防犯カメラ(1)
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
生体データに関連し、個人情報保護法16条4項や施行令5条の法改正を行い、顔データは保有個人データであると改正すべきである。
(理由)
生体データに関連し、顔識別機能付き防犯カメラシステムによる誤登録の問題に関して、現行法上、顔識別機能付き防犯カメラシステムによる顔データは、個人情報保護法施行令5条のいずれかの号に該当し、当該顔データは保有個人データではないということになり(個人情報保護法16条4項)、結局、顔識別機能付き防犯カメラを運用する個人情報取扱事業者は個人情報保護法を守る必要がないということになってしまうが、そのような結論は誤登録の被害者の権利利益の保護(法1条、3条、憲法13条)との関係で妥当とは思えない。
そのため個人情報保護法16条4項や施行令5条の法改正を行い、顔データは保有個人データであると改正すべきである。

12.顔識別機能付き防犯カメラ(2)
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
生体データの問題に関連し、顔識別機能付きカメラシステムによる顔データの共同利用については、全国レベルや複数の県をまたがる等の広域利用を行う場合には、個人情報保護委員会に事前に相談を求めることを個情法上に明記すべきではないか。そのために個人情報保護法の法改正等を行うべきでないか。
(理由)
「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会第6回」の議事録5頁に、「そういった観点から、一つ地域というのがメルクマールになると理解している。広域利用に関しては相当の必要性がなければできないとしつつ、個人情報保護委員会に相談があったような場合に対応していくのが1つの落としどころかと感じた。」等との議論がなされているから。 また、宇賀克也『新・個人情報保護法の逐条解説』275頁、園部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』187頁などにおいても、共同利用が許される外延・限界は「一つの業界内」、「一つの地域内」などと解説されており、全国レベルの共同利用や県をまたぐ広域利用、業界をまたぐ共同利用などは個人情報保護法が予定しておらず、本人が自分の個人情報がどこまで共同利用されるのか合理的に判断できないと思われるから。

13.顔識別機能付き防犯カメラ(3)
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
開示・訂正等請求を求める一般人(顔識別機能付き防犯カメラの誤登録の被害者等)が個人情報保護法などにおいて取りうる法的手段(例えば個人情報取扱事業者のウェブサイト上のプライバシーポリシー上の開示・訂正等請求の手続きに従って請求を行う、民事訴訟を提起する等)に関して、個人情報法保護法ガイドライン(通則編)や「個人情報の保護に関する法律についてのガイドラインに関するQ&A」等に一般人にもわかりやすい解説を用意するべきではないか。
(理由)
生体データの問題に関連し、顔識別機能付きカメラシステムの誤登録の被害者が個人情報取扱事業者に顔データの削除などを請求しても事業者から拒否される場合が多い。また誤登録の被害者等は法律のプロではないことが一般的である。
そのため、開示・訂正等請求を求める一般人(防犯カメラの誤登録の被害者等)が個人情報保護法などにおいて取りうる法的手段(例えば個人情報取扱事業者のウェブサイト上のプライバシーポリシー上の開示・訂正等請求の手続きに従って請求を行う、開示・訂正等請求の民事訴訟を提起する等)に関して、個人情報法保護法ガイドライン(通則編)や「個人情報の保護に関する法律についてのガイドラインに関するQ&A」等に一般人にもわかりやすい解説を用意するべきではないか。あるいは一般人向けに開示・訂正等手続きについて解説した「自治会・同窓会等向け会員名簿をつくるときの注意事項ハンドブック」のようなパンフレットを作成すべきではないか。

以上

■関連するブログ記事
・MyData Japan 2024の「George's Bar ~個人情報保護法3年ごと見直しに向けて~」の聴講メモ
・個情委の「3年ごと見直し」における医療データの取扱いに本人同意を不要とする議論に反対する

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

20240717_163729
1.はじめに
2024年7月17日に一橋講堂で開催された、MyData Japan 2024の「George's Bar ~個人情報保護法3年ごと見直しに向けて~」を聴講したので、備忘録のメモをまとめたいと思います。(なお、間違いや漏れなどがありましたら私の責任です。)

2.加藤絵美先生(一般社団法人Consumer Rights Japan 理事長)の発表
・もともと個人情報保護法制は消費者庁の管轄であったが、消費者契約法2条3項が「消費者契約」の定義を置いているように、消費者団体の活動は、主に有償契約を念頭において行われており、個人情報保護への取組みは遅れている面があった。
・個人情報保護法の3年ごと見直しについて、経済界から課徴金と団体訴訟について「経済活動を萎縮させる」との批判が出ていることについては疑問に考えている。厳しい法律を守る企業が企業価値を高めて消費者から信頼されて成長できるのであるから、「萎縮」させるとの批判は当たらないと考えている。
・「プロ」の企業に対して消費者は「もっとも典型的な素人」である。

3.森亮二先生(英知法律事務所・弁護士)の発表
・個人情報保護法の3年ごと見直しの中間整理が発表されたので、それについていくつか述べたい。
・生体データの保護については概ね賛同。要配慮個人情報として取得には本人同意を必要とすべきである。
・Cookie、端末IDなどの個人関連情報については、個人データに含まれるものとして、安全管理措置等により保護がなされるべきである。
・団体訴訟について産業界から大きな批判が出ているが、団体訴訟による損害賠償は結果責任ではなく安全管理措置を尽くしていなかったという過失責任なのであるから、産業界が大きく批判することは当たらないと考える。
・また団体訴訟の差止については、違法行為が差止の対象となるだけなのであるから「萎縮」は問題とならない。それとも企業側は違法行為をやりたいと考えているのであろうか。
・課徴金制度については、破産者マップ事件などのように刑事司法がうまく機能していない事例があり、そのような事例へのよい対策となるのではないか。
・日本はプロファイリングへの法規制が少ない「プロファイリング天国」であり、プロファイリングへの法規制がなされるべき。プロファイリングによる要配慮個人情報の推知も、要配慮個人情報の取得として本人同意が必要とされるべき。中間整理ではプロファイリングが「その他」の部分に「引き続き検討」という趣旨で書かれているのは残念。

4.山本龍彦先生(慶応義塾大学教授)の発表
本年6月3日の個人情報保護委員会の有識者ヒアリングの際の資料をもとに発表したい。
・2016年のケンブリッジ・アナリティカ事件、最近のイスラエルの軍事AI「ラベンダー」など、プロファイリングの問題は個人情報保護の本丸である。
・個人情報保護法20条2項は要配慮個人情報の取得については本人同意を必要としているが、プロファイリングによる要配慮個人情報の「推知」、すなわち要配慮個人情報の迂回的取得は法規制が存在しない。これでは本人同意は面倒だと、事業者はプロファイリングによる推知を利用してしまう。
・世界的には、EUのGDPR21条等はプロファイリングに異議を述べる権利を定め、同22条は完全自動意思決定に服さない権利を規定している。またアメリカのいくつかの州も同様の法規制を置いている。
・このように世界的な法規制の動向をみると、日本もプロファイリングの要配慮個人情報の「推知」を要配慮個人情報の「取得」として法規制すべきである。すなわち、本人同意または本人関与の仕組みを導入すべきである。
・ダークパターンについても、個人の自由な意思決定を阻害しており、法規制を行うべきである。
・Cookie、端末情報などの個人関連情報も、本人の意思決定に働きかけることができるのであるから、本人同意または本人関与の仕組みが必要である。
・生体データについても、本人同意または本人関与の仕組みが必要である。
・なお、3年ごと見直しについては経済界から「経済活動が萎縮する」との強い批判がなされているが、法律を守らないならトラストが築かれず、むしろ消費者の側に萎縮が発生し、それはビジネスに不利に働くのではないだろうか。
・最後に、個人情報保護法3条について。政府の「個人情報の保護に関する基本方針」は「個人の人格を尊重」の部分について憲法13条およびプライバシーに言及している。つまり、個人情報保護法は憲法具体化法である。

5.司会の宍戸常寿先生(東京大学教授)と3先生でディスカッション
宍戸先生)今回の講演会にあたり、①個情法と消費者法、②AI時代の個情法、③企業から見た個情法の規制強化、④3年ごと見直しの在り方・言語、の4つのテーマがあるのではないかと思っている。まず、①について加藤先生からコメントをいただけないだろうか。
加藤先生)個情法はもともと消費者庁の管轄だった。しかし消費者団体は個人情報保護の問題にあまりうまく対応できていない。個人情報保護の問題は、事業者と消費者の非対称性、格差の問題が大きな問題であると考えている。個人情報保護について、消費者のエンパワーメントが必要であるが、しかしパターナリズムに陥ってはまずいと思っている。
宍戸先生)話が少しずれるが、消費者法と個情法の問題と同時に、労働者と個情法の問題も非常に重要であると思っている。最近、日本を代表する企業で個人情報の漏えいが起きているが、従業員の個人情報が漏えい等することも非常に大きな問題である。労働者は企業のなかで個人情報について自由に意思決定できない。そのため、企業がそのかわりに決めてやるというパターナリズムな状況が生まれている。最近、山本健人先生などが「デジタル立憲主義」すなわり、立憲主義を企業にもおよぼそうという考え方を論じておられるが、示唆に富むと考えている。

宍戸先生)つぎに②の「AI時代の個情法」について、山本先生からコメントをいただきたい。
山本先生)最近、私は「個人界」・「集合界」という考え方を唱えているが、生成AIは基本的には集合界に属する問題であると考えている。ただし、EUのAI法5条にあるような、「精神的・身体的な害を生じさせる態様で対象者などの行動を実質的に歪めるため、対象者の意識を超えたサブリミナルな技法を展開する」などの生成AIについては個人界に関する問題であるとして、法規制が必要であると考えている。

宍戸先生)つぎに③の「企業から見た個情法の規制強化」について、森先生からコメントをいただきたい。
森先生)経済界は団体訴訟などに強く反対しているが、かりに規制緩和で個情法を緩和する、あるいは個情法やPPCを廃止したとしても、日本から司法を廃止することは不可能なので、裁判によって差止や損害賠償を命じられることは無くならない。その点を経済界はよく考えるべきなのではないか。
山本先生)こういった場なので比喩的に言うと、企業は遊びたい、勉強したくないとだだをこねている小さな子どものように思える。たしかに親としては短期的に考えれば子どもがうるさくないので遊ばせたほうがいいのかもしれない、しかし長期的に考えればそれでいいのか。同様に、個人情報保護を遵守したくない、もう勉強したくないと言っている経済界に対して、政治家や行政はどう対応すべきなのか。長期的に考えれば、遊ばせる、勉強させないではない方向が必要なのではないか。

なお、この講演会の最後は観客席からの質問・意見の時間であり、明治大学の横田明美先生や、情報法制研究所の高木浩光先生などから質問・意見が出されましたが割愛します。

■関連するブログ記事

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

kojinjouhou_rouei_businessman
2024年7月8日付で東京都が「個人情報の漏えい」というプレスリリースを出しています。
・個人情報の漏えい|東京都

本リリースを読むと、「東京都産業労働局(委託元)と公益財団法人東京しごと財団(委託先)は、「シニア中小企業サポート人材プログラム」という再就職のためのプログラムを実施しているところ、このプログラムの希望者56名について、本来、個人が特定されないよう匿名加工を施した人材情報を提供すべきところ、個人が特定できる内部保存用のファイルを、488社に対しEメールで誤って送付した。」というのが本個人情報漏洩事故の概要のようです。

ところが本リリースの「漏洩した個人情報」の部分を読むと、つぎのようになっています。

3 漏えいした個人情報
本来送信予定の項目
「希望職種」「希望条件」「主な職歴」「資格、自己PR」「最寄駅」

実際に送信してしまった項目
上記に加え、「漢字氏名」「年齢」「性別」
漏洩した個人情報

・・・これは「匿名加工情報」(個人情報保護法2条6項)の問題なのでしょうか?つまり、東京都産業労働局および東京しごと財団は、個人情報の生データ(「希望職種」「希望条件」「主な職歴」「資格、自己PR」「最寄駅」)から氏名・年齢・性別などを除外しただけのデータを「匿名加工」した個人情報ではないデータと認識しているということなのでしょうか?(もしそうであるなら、東京都産業労働局および東京しごと財団における情報管理が心配です。)

そこで東京都産業労働局および東京しごと財団に電話で質問してみたところ、おおむね次のような回答でした。

〇「Excelで人材情報を管理しているところ、「希望職種」「希望条件」「主な職歴」「資格、自己PR」「最寄駅」などのデータから、氏名・年齢・性別を除外したデータなので「匿名加工」とプレスリリースに標記した。」

〇「ただしこれらの情報を求人企業に第三者提供するにあたっては、求職者の本人同意は得ている。」

〇「「匿名加工」という記載が妥当ではないとのご意見に関しては、貴重なご意見としてうけたまわる。」

いうまでもなく個人情報保護法上の「匿名加工情報」は、「次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。」(法2条6項)であり、個人データの生データのデータセットから氏名・住所などを削除しただけでは匿名加工情報とはいえず、このデータは以前として個人情報・個人データです。

本プレスリリースによると、東京都産業労働局は再発防止策として、「個人情報の適切な取扱い及びメール送信内容のダブルチェックを改めて徹底する。」「産業労働局における、委託業務を含めた個人情報の適切な管理について、改めて注意喚起を行った。」の2点をあげていますが、まずは東京都産業労働局および東京しごと財団における個人情報保護法の再教育を実施したほうがよいのではと思いました。

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ