なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:privacy

MEXCBTのロゴ

最近、ネット上で、文科省の学校CBTシステム(eラーニングシステム)の「MEXCBT」(メクビット)は生徒の個人情報を取り扱っていないというのは本当なのか?とちょっとした話題になっています。

このMEXCBTは文科省サイトによると、「児童生徒が学校や家庭において、国や地方自治体等の公的機関等が作成した問題を活用し、オンライン上で学習やアセスメントができる公的CBT(Computer Based Testing)プラットフォームである「文部科学省CBTシステム(MEXCBT:メクビット)」の開発・展開を進めています。」というもので、要するにeラーニングのシステムのようです。
・文部科学省CBTシステム(MEXCBT:メクビット)について|文科省

メクビットの概要
(文科省「MEXCBTについて」より)

ところで文科省サイトの解説ページのQAをみると・・・

Q1-8. MEXCBT を活用する際の児童生徒の個人情報の取り扱いはどうなっていますか。
A. MEXCBT は児童生徒の氏名等の個人情報は扱いません。詳細は利用申込フォームの「<留意事項>●MEXCBTにおける情報の取扱いについて」をご参照ください。
メクビットQA1-8
(文科省サイトの解説ページのQAより)

と、「MEXCBTでは児童生徒の個人情報は取り扱わない」と説明されています。

また、「文部科学省CBTシステム運用支援サイト」のQAも、「MEXCBTは、児童生徒の氏名等の個人情報は扱いません。」としています。

メクビットは個人情報を取り扱っていますか
(文部科学省CBTシステム運用支援サイトより)

しかしこの「MEXCBTは個人情報を取り扱っていますか」のページをざっと読んでも、MEXCBTは生徒に「児童生徒0001」などの一人一アカウントを割り振って管理を行っていること、また生徒の答案や解答、成績などのデータを収集・保存・利用・分析等することが書かれています。

このブログでは何度も取り上げているように、個人情報とは「個人に関する情報」であって、氏名、住所・・・「その他の記述により特定の個人を識別できるもの」です。そして容易に参照できる場合にも個人情報に含まれます。(個人情報保護法2条1項1号。)ここでいう「特定の個人を識別できる」とは、当該個人の氏名などが不明でも構わないものであり、「あの人、この人」と個人を識別できれば要件を満たします。

つまり、MEXCBTは仮に生徒の氏名・住所などは登録・管理していないとしても、アカウントで生徒個人を管理しており、さらにそれぞれの生徒の解答や成績などのデータを収集・保存などしているのですから、それらのデータは「個人に関する情報」であって、かつそれらのデータにより「あの人、この人」と特定の個人を識別できるので、やはりMEXCBTは個人情報・個人データを取り扱っていると考えるのが自然なのではないでしょうか。

(あえて言えば、生徒の氏名等を管理していないので「仮名加工情報」的に個人情報・個人データを取り扱っているといえますが、しかし仮名加工情報も個人情報・個人データに含まれます(法2条5項)。)

MEXCBTが個人情報・個人データを扱っているということになれば、第一に当該システムの運営主体である文部科学省は生徒や保護者などに対してプライバシーポリシーを作成して個人情報の利用目的などを通知・公表する義務を負います(法62条)。そうでなければ「偽りその他不正の手段による個人情報の収集」として違法となる可能性があります(法64項)。また、文科省が必要最小限の個人情報を持つことを規律するために、利用目的はできるだけ特定されなくてはなりません。「GIGAスクール構想のため」などの漠然とした利用目的は違法のおそれがあります(法61条1項)。

第二に、文科省はMEXCBTで収集した個人データで生徒をプロファイリングして不当に差別・選別等することは不適正利用の禁止に抵触して違法となるおそれがあります(法63条)。加えて、文科省はこのMEXCBTについて個人データが滅失・棄損・漏洩などが発生しないように安全管理措置を講じる義務を負い、システムの運用等を民間企業等に委託する場合には委託先の監督も義務付けられます(法66条)。

第三に、文科省は生徒や保護者等から生徒の個人データの開示請求・訂正・利用停止請求などがあった場合にはこれに応じる義務があるので、その手続き等についてもプライバシーポリシーに明示が必要です(法76条以下)。あわせて文科省はMEXCBTで収集した個人データについて、原則として生徒や保護者の同意のない目的外利用や第三者提供は禁止されます(法69条)。

第四に、2022年の個人情報保護法改正で、個人情報保護委員会は行政機関等に対しても個人情報の取扱いに関して報告徴求や立入検査、行政指導などを実施することができるようになりました(法153条、154条)。そのため、個人情報保護委員会は、MEXCBTやGIGAスクール構想、「行政の保有する子どもの個人データの共有プラットフォーム構想」などにおける個人情報の取扱いに関して、文科省やデジタル庁、子ども家庭庁などに対して、報告徴求や立入検査などを実施し、行政指導などを行うべきではないでしょうか。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・岡村久道『個人情報保護法 第4版』624頁、457頁

■関連する記事
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた



[広告]










このエントリーをはてなブックマークに追加 mixiチェック

mynumber_people
1.はじめに
マイナンバー訴訟について、国民のプライバシー権(憲法13条)を侵害するものではないとする仙台高裁令和3年5月27日判決が『判例時報』2516号(2022年6月21日号)26頁に掲載されていました。ざっと読んでみたのですが、行政運営の効率化等の制度の目的は適法であり、法制度および情報システム技術上も相応の安全管理の対策が講じられているのでマイナンバー制度は違法・違憲ではないとの住基ネット訴訟(最高裁平成20年3月6日判決)のいわゆる「構造審査」を踏襲した判決となっているようです。本判決は結論は妥当であると思われますが、いくつか気になった点を見てみたいと思います。

・仙台高裁令和3年5月27日判決(令和2(ネ)272・各個人番号利用差止等請求控訴事件)|裁判所

判示事項の要旨
  控訴人らは,国のマイナンバー制度により憲法13条の保障するプライバシー権が侵害されると主張し,被控訴人国に対し,プライバシー権に基づく妨害排除又は妨害予防請求として個人番号の収集,保存,利用及び提供の差止め並びに削除を求め,国家賠償法1条1項に基づき各11万円(慰謝料10万円及び弁護士費用1万円)の損害賠償と訴状送達の日の翌日から民法所定の年5分の割合による遅延損害金の支払を求めた。

 マイナンバー制度によって,控訴人らが,憲法13条によって保障された「個人に関する情報をみだりに第三者に開示又は公表されない自由」を侵害され,又はその自由が侵害される具体的な危険があるとは認められないから,国がマイナンバー制度により控訴人らの個人番号及び特定個人情報を収集,保存,利用及び提供する行為が違法であるとは認められない。

 よって,プライバシー権に基づく妨害排除又は妨害予防請求として控訴人らの個人番号の収集,保存,利用及び提供の差止め並びに削除を求め,これらの行為による損害の賠償を求める控訴人らの請求は,国による個人番号の収集,保存,利用及び提供の行為が,控訴人らのプライバシー権を侵害する違法な行為であるとは認められないから,すべて理由がない。
(仙台高裁令和3年5月27日判決の判示事項。裁判所サイトより)

2.事案の概要
本件は、仙台市等に在住する8名の個人(Xら)が国のマイナンバー制度によりプライバシー権(憲法13条)が侵害されているとして、プライバシー権に基づく妨害排除又は妨害予防請求権として個人番号の収集・保存・利用及び提供の差止めと個人番号の削除を求めるとともに、国賠法1条1項に基づき慰謝料10万円と弁護士費用の損害賠償を求めるものです。Xらはプライバシー権の侵害とともに、自己情報コントロール権の侵害、またマイナンバー制度による個人情報の容易かつ確実な名寄せ・突合(データマッチング)により本人の関与のないままにその意に反して個人像が作られる危険があること等を主張しました。

3.判旨(仙台高裁令和3年5月27日判決・棄却・上告中)
(1)マイナンバー制度の趣旨目的、しくみ等について
本判決は、マイナンバー制度の趣旨目的について「行政機関…が個人番号…の有する特定の個人を識別する機能を活用し…行政運営の効率化及び行政分野におけるより公正な給付と負担の確立を図」るものであるとしています。

そして本判決は、個人番号および特定個人番号(個人番号を含む個人情報)の提供等ができる範囲は、「国・地方の機関での社会保障分野、国税・地方税の賦課徴収および防災に係る事務での利用」等に限定されているとしています。

(2)情報漏洩等を防止するための法制度上の措置
本判決は、情報漏洩等を防止するための法制度上の措置として、個人番号利用事務等実施者による個人番号の漏洩等を防止するために必要な措置(安全管理措置)の実施義務付け、行政機関等による情報提供の記録・保存の義務付け、情報連携が実施された際の記録を本人が確認するためのマイナポータルの設置、総務省等による秘密の管理のために必要な措置の実施義務付け、罰則の準備などの法制度上の措置が講じられていることを判示しています。

また、情報漏洩等のリスクを防ぐために、マイナンバー制度は個人情報を集中的に管理するのではなく、情報の分散管理などのシステム技術上の措置が講じられているとしています。

(3)マイナンバー制度の運用によるプライバシー侵害の有無
本判決は、「何人も個人に関する情報をみだりに第三者に開示又は公表されない自由」としてのプライバシー権を有するところ、Xらは、「マイナンバー制度の目的はこのようなプライバシー権を制約するための目的として、高度に重要であるとはいえない」と主張しているとしてその検討を行っています。

そしてマイナンバー制度は「社会保障・税制度の効率性・透明性を高め、国民にとって利便性の高い公平・公正な社会を実現するための社会基盤を構築するため」のものであるとして、重要性がないとはいえないとして、Xらのプライバシー権に関する主張を退けています。

(4)自己情報コントロール権について
Xらはマイナンバー制度は自己情報コントロール権の侵害であるとの主張も行っていますが、本判決は、「Xらの主張する自己情報コントロール権については、マイナンバー制度の運用によってXらの同意なく個人番号や個人番号に結び付いた特定個人情報を第三者に提供することが、すべて自己情報コントロール権の侵害となり、憲法13条の保障するプライバシー権の侵害にあたるという趣旨の主張であるとすれば、原判決「事実及び理由」第3の1の説示のとおり、そのような意味内容を有する自己情報コントロール権までは、憲法13条の保障するプライバシー権として認められるとは解されない。」と判示しています。

(5)マイナンバー制度によるプライバシー侵害の具体的な危険性について
本判決は、「マイナンバー制度で取り扱われる個人情報のなかには所得や社会保障の受給歴など秘匿性の高い情報も含まれること」や、「様々な個人情報が個人番号をキーに集積・集約されて本人が意図しない形で個人像が構築されるデータマッチングの危険」などがあることを認定しています。

しかし本判決は、「Xらが…プライバシー権に基づく妨害予防又は妨害排除請求として、Xらの個人番号の収集、保存、利用及び提供の差止め並びに削除を求め、これらの行為による損害の賠償を求め…るには、国がマイナンバー制度の運用によってXらの個人番号の収集、保存、利用及び提供をすることが違法であるといえる必要があり、制度の運用に…具体的な危険が生じているといえる必要がある」としています。

その上で本判決は、「マイナンバー制度は正当な行政目的の範囲内で行われるように制度設計がなされている」とし、さらに「法制度上も、システム技術上も、相当の措置が講じられている」としています(=「構造審査」)。

とはいえ本判決は「通知カードや個人番号カードが誤交付された事例」があることや、「平成30年分の公的年金等の受給者の扶養親族等申請書記載の個人番号を含む個人情報…が中国のインターネット上に流出し、自由に閲覧できる状態になっていた事故事例も発生している」と認定しています。

しかし本判決は、これらの事故事例は「人為的な誤りや不正行為に起因するものであり、番号利用法の法制度上又はシステム技術上の不備そのものに起因するものとはいえない」と判示していますが、この点については、法制度上又はシステム技術上の不備と人為的なミス等を分離して考えてよいのか疑問が残ります。

その上で本判決は、「Xらの懸念する個人情報の不正な利用や情報漏洩の危険性が一般的抽象的には認められるとしても、…具体的な危険を生じさせる…ということはできない」として、結局、「国がマイナンバー制度によりXらの個人番号を収集、保存、利用及び提供する行為が違法であるとは認められず、マイナンバー制度やこれを定めた番号利用法が憲法13条に違反してプライバシーの権利を侵害するものとは認められない」としてXらの請求を棄却しています(上告中)。

4.検討
(1)自己情報コントロール権について
1970年代以降のコンピュータの発達を受けて、憲法学の学説においては、プライバシー権を「一人でほっておいてもらう権利」(古典的プライバシー権)としてだけでなく、「個人の私生活上の事項を秘匿する権利を超えて、より積極的に公権力による個人情報の管理システムに対して、個人に開示請求、修正・削除請求、利用停止請求といった権利行使が認められるべきである」とする見解(自己情報コントロール権)が有力に展開されています。しかしこの権利は包括的である一方で、漠然性が高く法的な要件化が困難であるとの批判もなされています(渡辺康行・宍戸常寿・松本和彦・工藤達朗『憲法1基本権』121頁)。

ところで本判決は上の3.(4)の部分によると「原判決「事実及び理由」第3の1の説示のとおり」と述べているので、原判決(仙台地裁令和2年6月30日判決)の該当部分をみると、憲法12条、13条の条文がコピペされ、「憲法が国民に保障した権利が「公共の福祉」により制約されることを認めているから、個人に関する情報に係る国民の権利についても「公共の福祉」によって制約されることを認めていると解される」として自己情報コントロール権を否定しています。

しかしこれはやや乱暴な判示のように思われます。つまり、憲法12条、13条の「公共の福祉」による基本的人権とは、原則として「国民・個人の基本的人権は絶対無制限なものではなく、他の個人の基本的人権と衝突する限度において制約される」というものです(内在的制約説)。

ところが仙台地裁の原判決は、この憲法12条、13条を「国家が法律で制約さえすれば国民の基本的人権は制限できる」という意味で「公共の福祉」という用語を使用しているように見えますが、これはまるで明治憲法の「法律の留保」と同様の理解のようであり、現行憲法の理解として疑問が残ります。現行憲法は明治憲法と異なり天皇主権(政府主権)ではなく国民主権(現行憲法1条)であり、また国民の個人の尊重と基本的人権の確立という目的のために行政などの統治機構は手段として存在する構造をとっています(11条、97条)。

そのため、政府・国会が企画・立案して制定した「社会保障・税制度の効率性・透明性を高め、国民にとって利便性の高い公平・公正な社会を実現するための社会基盤を構築するため」のマイナンバー制度を国民はありがたく推し戴くべきであり、そのためには当然に国民の基本的人権は制限されるという考え方は明治憲法に先祖返りするようなもので疑問が残ります。

この原判決の考え方を是認した仙台高裁の本判決を含め、裁判所は自己情報コントロール権についてより精密な判断を行うべきではないかと思われます。本判決はせっかく国民本人に勝手に公権力が個人番号をキーにして個人情報を名寄せ・突合して個人像を作成してしまうデータマッチング、あるいはプロファイリングの危険性については認めたのですから、「自己の情報の開示・非開示、そして開示する場合はその内容について相手に応じて自分が決定できる」という自己情報コントロール権についてより精密な検討を行ってほしいと思います。

(2)個人情報漏洩事故は人為的なミスに過ぎないのか?
また、本判決は上の3.(5)でみたように、全国で発生している通知カードや個人番号カードの誤交付や漏洩などは「人為的なミス」に過ぎないとして、マイナンバー制度は「法制度やシステム技術」に準備された各種の措置には落ち度はないので制度として問題ないと強調しています。

しかし、マイナンバー法は委託・再委託の規律(法10条、11条)や個人番号利用事務等実施者に安全管理措置を義務付け(法12条)、総務大臣などに秘密の管理のために必要な措置の実施を義務付け(法24条)などの法的規定を置いており、それを受けてシステム上の措置として、情報提供ネットワークシステムにおけるアクセス制御や地方自治体におけるシステムのインターネットからの分離などが義務付けられているのです。

にもかかわらず全国の自治体等で通知カードや個人番号カードの誤交付や漏洩などの漏洩事故が多発し、平成30年には日本年金機構の約500万件もの大量の個人番号を含む個人情報が中国に漏洩してしまったという事件が発生していることは、人為的なミスでは済まされず、マイナンバー法の法制度やシステム技術そのものに重大な問題があると考えるべきなのではないでしょうか。

すなわち本判決が前提としている住基ネット訴訟で最高裁が示した「構造審査」は、その前提が崩れているのではないでしょうか。

最近の2022年6月にも兵庫県尼崎市で、個人番号は含まれていませんでしたが、全市民約46万件の個人情報がUSBメモリにより持ち出され漏洩した事件が起きたばかりです(ただし当該USBメモリは回収された)。にもかかわらず裁判所がマイナンバー法は法制度と情報システムがしっかりしているのだから、マイナンバー制度には問題はないと判示することは空論なのではないかとの疑問が残ります。本裁判は上告中であり、最高裁の判断が待たれます。

■参考文献
・『判例時報』2516号26頁
・渡辺康行・宍戸常寿・松本和彦・工藤達朗『憲法1基本権』121頁
・黒澤修一郎「プライバシー権」『憲法学の現在地』(山本龍彦・横大道聡編)139頁
・山本龍彦「住基ネットの合憲性」『憲法判例百選1 第7版』42頁
・仙台高裁令和3年5月27日判決(令和2(ネ)272・各個人番号利用差止等請求控訴事件)|裁判所

■関連する記事
・尼崎市が全市民46万人分の個人情報の入ったUSBメモリを紛失したことを個人情報保護法制的に考えた(追記あり)
・日本年金機構の500万人分の個人情報が中国業者に-独法個人情報保護法から考える
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)



[広告]










このエントリーをはてなブックマークに追加 mixiチェック

CCCマーケティングのプライバシーの考え方の図
(CCCマーケティングサイトより)

1.CCCがトレジャーデータと連携し7000万人分のT会員の個人データを販売開始
マイナビニュースの2022年7月28日付の記事「CCC、Tポイントデータをオープン化 - 7000万人の会員データが利用可能に」が、TポイントのCCC(カルチュア・コンビニエンス・クラブ)が、トレジャーデータと業務提携し、約7000万人分のT会員の個人データの販売を始めると報じ、ネット上では「CCCは正気か」と炎上しています。

記事によると、このCCCの新しい事業で注目すべきは、「利用する各企業が持っている自社データ(1st Party)を個人識別単位でT会員データと連携できる点」であるそうです。つまり、CCCからデータを購入する会社に提供されるのは、匿名加工情報などではなく、1対1で突合・名寄せされた個人データを分析・加工したものであるとのことです。(個人識別符号はメールアドレス・電話番号などになる予定とのこと。)CCCは約7000万人分のT会員の購入履歴・貸出履歴やネット閲覧履歴などを保有し、T会員の属性データなどを保有しているわけですが、このような個人データを匿名加工情報等ではなく、生データとして販売することが許容されるのでしょうか?

結論を先取りしてしまうと、CCCとトレジャーデータが提携して始めたこの新しいデータビジネスは、個人情報保護法上、「委託の混ぜるな危険」の問題」に抵触し法27条5項1号違反および法27条1項違反であり、また二重オプトアウトの禁止にも抵触し法27条2項違反のおそれがあります。そして利用企業側はCCCに対する委託先の監督の義務違反となる可能性があります(法25条)。これに対してTポイントのユーザーは、CCCに対して第三者への個人データの提供の停止を請求(法35条3項)することができると考えられます。

・CCC、Tポイントデータをオープン化 - 7000万人の会員データが利用可能に(TECH+)|マイナビニュース

2.個人情報保護法の「委託の「混ぜるな危険」の問題」違反
上のマイナビニュースには「利用する各企業が持っている自社データ(1st Party)を個人識別単位でT会員データと連携できる」と書かれていますが、この点、7月28日付のCCCとトレジャーデータのプレスリリース「CCCマーケティングとトレジャーデータ、生活者のライフスタイルを基点とした情報プラットフォーム構築に向けCDP領域で提携」もつぎのように記述しています。

■「CDP for LIFESTYLE Insights」ついて
「CDP for LIFESTYLE Insights」は、CCCマーケティングが有するユニークデータ※1と、トレジャーデータが有するデータ活用技術の掛け合わせにより提供されるデータサービスです。具体的には、CCCマーケティングの「Treasure Data CDP」において、「Treasure Data CDP」の利用企業が保有する自社顧客データと、T会員規約等にご同意いただいたT会員の皆さまに関するT会員データを、セキュアな環境下でプライバシーを保護した上で連携※2し、サービス※3を提供いたします。提供するレポートならびにT会員のデモグラフィック情報などにより、企業は自社顧客のインサイトを深く理解することができ、市場環境の把握、製品やサービス開発、顧客一人ひとりのライフスタイルに応じたコミュニケーション等への活用により、さらなる顧客エンゲージメントの向上を図ることが可能です。

今回の提携にあたり、データをお預かりするT会員の皆さまに向け、取り組み内容を説明するサイトを公開します。
(CCCとトレジャーデータのプレスリリース「CCCマーケティングとトレジャーデータ、生活者のライフスタイルを基点とした情報プラットフォーム構築に向けCDP領域で提携」より)

CCCのCDP
(CCCとトレジャーデータのプレスリリース「CCCマーケティングとトレジャーデータ、生活者のライフスタイルを基点とした情報プラットフォーム構築に向けCDP領域で提携」より)

つまり、利用企業が保有する自社顧客データ(個人データ)とCCCが保有するT会員の個人データを連携(=突合・名寄せ)し、利用企業が自社顧客の属性データなどのインサイトを深く理解できて、顧客エンゲージの向上を図ることができる個人データの提供を受けることができるとなっています。

すなわち、これは個人情報保護法的に考えると、いわゆる「委託の「混ぜるな危険」の問題」の典型例的な個人データの活用方法です。このような利用方法は個人情報保護委員会の個人情報保護法ガイドラインQ&A7-41、7‐42(=旧ガイドラインQ&A5-26-2の事例(2))に該当し違法です(法27条5項1号、法27条1項)。

QA7-41
(個人情報保護法ガイドラインQA7-41)

QA7-42
(個人情報保護法ガイドラインQA7-42)

これは、個人情報保護法上の「委託」とは、例えば委託元の企業が個人情報のPCへのデータ入力をIT企業に委託することなどのように、委託元の「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託すること」であるため、「委託された業務以外に当該個人データを取扱う」ことは「委託」に該当せず、これを本人の同意やオプトアウト手続きなしに行うことは原則に戻って本人の同意のない第三者提供として違法となります(法27条1項)。またこれは本人の同意のない個人データの目的外利用としても違法であり(法18条1項)、さらに委託元の事業者は個人データの安全管理措置に関する「委託先の監督」の義務違反にもなります(法25条)。(岡村久道『個人情報保護法 第4版』283頁。)

言い換えると、この「委託の混ぜるな危険の問題」が違法となるのは、そもそも個人情報保護法における個人データの「委託」とは、契約の種類・形態を問わず、委託元の個人情報取扱事業者が自らの個人データの取扱の業務を委託先に行わせることであるから、「委託元が自らやろうと思えばできるはずのことを委託先に依頼すること」であり、したがって、委託元は自らが持っている個人データを委託先に渡すなどのことはできても、委託先が委託の前にすでに保有していた個人データや、委託先が他の委託元から受け取った個人データと本人ごとに突合させることはできないからであると解されています。そしてこれは、突合の結果、作成されるのが匿名加工情報等であっても同様であるとされています(田中浩之・北山昇『令和2年改正個人情報保護法Q&A』182頁、田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁)。

このCCCの個人データの取扱いは、CCCのT会員規約4条6項の「他社データと組み合わせた個人情報の利用」を根拠としています。このT会員利用規約4条6項は2021年1月の規約改正で新設されたものですが、「委託の「混ぜるな危険」の問題」などとの関係で個人情報保護法上違法であることは、本ブログで以前より取り上げてきたとおりです。
CCC利用規約新旧対照表
(T会員利用規約4条6項。CCCサイトより)

(関連する記事)


なお、上のマイナビニュースの記事によると、CCCは現在約5700社の企業とTポイントで提携し、それらの企業でのユーザーの購買履歴などの個人データをPOSベースで保有しているとのことですが、これを約5700社の提携企業の側から考えると、今回のCCCの新事業により、新事業の利用企業である競合企業やライバル企業などに自社の重要なデータであるPOSベースの購買履歴などの個人データが渡ってしまう可能性があるので、日本全国のTポイントの提携企業は、法律論は抜きにしても、経営判断の問題として、CCCとTポイントで提携を続けるべきか再考すべきかもしれません。

3.オプトアウト手続き
また、CCCサイトの説明ページ「情報プラットフォームにおけるデータとプライバシーの保護の考え方」には、このCCCの新しい事業で個人データを取り扱われたくないユーザーのためには、オプトアウト手続きのための画面(行動ターゲティング広告事業者への個人情報の提供の停止)が用意されています。しかし、上でみたように個人情報保護法の専門家の方々や個人情報保護委員会は、「委託の「混ぜるな危険の問題」を回避するためには原則に戻って「本人の同意」(法27条1項)が必要であり、オプトアウト手続きによる本人同意(法27条2項)でよいとはしていないので、CCCの本人同意の取得方法は依然として違法のおそれがあります。

オプトアウトのボタン
CCCサイトより)

4.二重オプトアウトの禁止
また、このCCCの新しい事業の利用企業もおそらくオプトアウト方式による第三者提供の方法を取っていると思われ、それに対してCCCもオプトアウト方式による第三者提供の本人同意を取得することは、2022年4月の改正個人情報保護法27条2項かっこ書きが規定するいわゆる「二重オプトアウトの禁止」に抵触し、これも違法であると思われます。

5.第三者への提供の停止の請求
さらに、法27条1項違反(本人同意なしの第三者提供)があった場合、本人(ユーザー)はCCCに対して第三者への個人データの提供の停止を請求することができます(法35条3項)。

6.まとめ
このように、CCCとトレジャーデータが提携して始めた新しいデータビジネスは、個人情報保護法上、「委託の「混ぜるな危険」の問題」に抵触し法27条5項1号違反および法27条1項違反であり、また二重オプトアウトの禁止にも抵触し法27条2項違反のおそれがあります。そして利用企業側はCCCに対する委託先の監督の義務違反となる可能性があります(法25条)。これに対してTポイントのユーザーは、CCCに対して第三者への個人データの提供の停止を請求(法35条3項)することができると考えられます。

■追記
上でみたように、「委託の混ぜるな危険の問題」の論点については、PPCの個人情報保護法ガイドラインQA7-41等では本人同意がないと違法となります。しかしこの点、これも上でみたようにCCCは2021年1月に「委託の混ぜるな危険の問題」に関してT会員規約4条6項を新設しています。

そのため2021年1月以降の新規ユーザーに対してはT会員への加入の際にウェブサイトに規約への本人同意のチェックボックスを設けるなどして、「委託の混ぜるな危険の問題」は一応クリアされているように思われます。しかし既存のユーザーに対しては問題はクリアされている、つまりQA7-41等や法27条1項の要求する本人同意がとれているといえるのでしょうか?しかしもしそうであるなら、ただでさえゆるい個情法の本人同意が骨抜きになってしまうのではないでしょうか。

プライバシーポリシーも一種の約款であり、定型約款の変更に関して新設された民法548条の4(2020年4月施行)は、ユーザーの利益に適合すること、約款改正の必要性、相当性、合理性などが満たされる場合には定型約款は個別の本人の同意がなくても契約内容が変更されると規定しています。

民法

(定型約款の変更)
第548条の4

 定型約款準備者は、次に掲げる場合には、定型約款の変更をすることにより、変更後の定型約款の条項について合意があったものとみなし、個別に相手方と合意をすることなく契約の内容を変更することができる。
(1)定型約款の変更が、相手方の一般の利益に適合するとき。
(2)定型約款の変更が、契約をした目的に反せず、かつ、変更の必要性、変更後の内容の相当性、この条の規定により定型約款の変更をすることがある旨の定めの有無及びその内容その他の変更に係る事情に照らして合理的なものであるとき。
(以下略)

しかし既存のユーザーに対して民法548条の4で本人同意があったとみなして、個人情報保護法27条1項の本人同意があったとみなしてしまうことは、法27条1項の本人同意を骨抜きにしてしまうのではないでしょうか?(改正民法の制定に参画した民法の学者先生や官僚・国会議員の方々、情報法の先生方もそこまでは想定外なのではないでしょうか。)

既存のユーザーの一般人としての合理的な意思解釈として、「自分はそこまでのゆるい範囲でCCCから第三者の企業等に自分の個人データが1対1で突合され生データで提供されることを同意した覚えはない」と解釈されて、CCCのこの新しいデータビジネスは違法とされる余地があるのではないでしょうか。

個人情報保護委員会がこの件どのように考えているのか非常に気になるところです。もしこの部分が裁判所で争われた場合、裁判所がどのように判断するかも大いに気になるところです。

■追記
本件について日経新聞などが解説記事を掲載しています。

・CCC系とトレジャーデータの提携に懸念、「分かりにくい規約」での同意は有効か|日経XTECH
・Tカード会社、4千万人分の顧客データを販売へ…「同意」は有効か|読売新聞

日経XTECHの解説記事において、DataSignの太田祐一氏は、今回の同意取得のスキームがガイドラインの規定を満たしているとは思えないとした上で、「どのような同意が法的に有効なのか、これまで法改正などの過程で十分に議論できていなかった。個人情報保護委員会は改めて議論を整理する必要がある」とコメントされています。非常に同感です。

■参考文献
・岡村久道『個人情報保護法 第4版』283頁
・田中浩之・北山昇『令和2年改正個人情報保護法Q&A』182頁
・田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁
・児玉隆晴・伊藤完『改正民法(債権法)の要点解説』108頁

■関連する記事
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・武雄市のツタヤ図書館の公金支出に関する住民訴訟について-佐賀地判平成30・9・28
・CCCがT会員6千万人の購買履歴等を利用してDDDを行うことを個人情報保護法的に考える



[広告]








このエントリーをはてなブックマークに追加 mixiチェック

syukatsu_mensetsu_woman
このブログ記事の概要
2022年の改正職業安定法および改正個人情報保護法との関係で、ネット系人材会社の一部や、就活生・求職者のSNSの「裏アカ」調査会社等の業務は違法のおそれがあるのではないかと思われる。

1.2022年の職業安定法の改正
厚生労働省は2022年2月に、従来の法律では職業安定法の対象と言い切れなかった、アグリゲーター(おまとめサイト)、利用者DB、SNSなどの新しい多様なサービスを提供している求人メディア等を職業安定法の適用される事業に新たに位置付け、一定のルール化を図るための職業安定法改正法案を含む「雇用保険法等の一部を改正する法律案」を国会に提出し、同法案は同年3月31日に成立しました。これを受けて厚労省はウェブサイトで改正された法律や政省令、指針を公表しています。これらの法改正は原則として本年10月1日から施行されます。

この職業安定法改正では、とくに「労働者となろうとする者に関する情報を収集して行う募集情報提供事業者」を「特定募集情報提供事業者」と定義し、厚労大臣への事前の届出義務を課し、「事業概況報告書」の提出など一定の事業状況の公開を義務付け、行政命令に違反したときは事業停止命令等を発出することができるようにするなどの法改正を盛り込んでいることが注目されます。また、募集情報等については的確性を求め「虚偽又は誤解を生じさせる表示」を禁止し、さらに特定募集情報等提供事業者に対しても個人情報を保護する義務を課すこととしています。

本ブログ記事では、改正職業安定法の、とくに特定募集情報提供事業者に課される個人情報保護の義務と、ネット系人材紹介会社や就活生・求職者のSNSの「裏アカ」を調査する会社等の業務についてみてみたいと思います。

・令和4年職業安定法の改正について|厚労省
・「労働市場における雇用仲介の在り方に関する研究会」の報告書を公表します|厚労省

雇用仲介機能のイメージ
(労働市場における雇用仲介の在り方に関する研究会報告書より)

2.雇用安定法の改正の概要
(1)「募集情報等提供」の定義の追加

現行の職業安定法においては、「募集情報等提供」は「労働者の募集を行う者等の依頼を受け、当該募集に関する情報を労働者となろうとする者に提供すること」または「労働者となろうとする者の依頼を受け、当該者に関する情報を労働者の募集を行う者若しくは募集受託者に提供すること」の2つの事業と定義されていました(法4条6項)。つまり労働者の募集を行う企業などや求職者の委託を受けて情報を提供する、リクナビ、マイナビなどの「求人メディア」がこの「募集情報等提供」の具体例です。

求人メディア
(労働市場における雇用仲介の在り方に関する研究会報告書より)

これに対して近年、労働者の募集を行う企業などや求職者から委託を受けているわけではなく、ロボット(ボット)やAIなどがウェブサイト上やSNS、Githubなどを巡回(クロール)し情報を収集し、求人情報等のコピーをまとめて掲載する、indeedなどのアグリゲーター(おまとめサイト)などのITサービスが現れました。これらを職業安定法の「募集情報等提供」に含め適切な運用を規律することが今回の法改正のポイントの一つです。

そのため、職業安定法の改正法は、つぎの3つを「募集情報等提供」の定義に追加しています。
「募集情報等提供」の対象の追加(新設)

①「前号に掲げるもののほか、労働者の募集に関する情報を、労働者になろうとする者の職業の選択を容易にすることを目的として収集し、労働者になろうとする者等に提供すること。」(改正法4条6項2号)

②「労働者になろうとする者等の依頼を受け、労働者になろうとする者に関する情報を労働者の募集を行う者等又は他の職業紹介事業者等に提供すること。」(同3号)

③「前号に掲げるもののほか、労働者になろうとする者に関する情報を、労働者の募集を行う者の必要とする労働力の確保を容易にすることを目的として収集し、労働者の募集を行う者に提供すること。」(同4号)
(2)「特定募集情報等提供」の新設
また、近年は募集情報提供を行う事業者が労働者の募集を行う企業や、求職者から委託を受けていなくても、求職者や求職候補者の個人情報をネット上やSNS上をクローリング・収集し、求職者や潜在求職者の情報を求人企業や職業紹介事業者に対して提供したり、条件に合致する求職者を求人企業等にリコメンド、ランク・合致率付けして提示したり、さらには求人企業や職業紹介事業者が求職者情報を検索し、スカウトを送付する等の「人材データベース」と呼ばれるITサービスが現れています。

人材データベース
(労働市場における雇用仲介の在り方に関する研究会報告書より)

これに対して改正法は、「労働者になろうとする者に関する情報を収集して行う募集情報等提供」を「特定募集情報等提供」と新たに定義して規律しています(改正法4条7項)。つまり「人材データベース」などのサービスの、「労働者になろうとする者」・「潜在求職者」の個人情報をネット上やSNS上などでクローリング等し収集して行う募集情報等提供は、「特定募集情報等提供」として新たにルール化されることになります。

(3)厚労大臣への届出・事業概況報告書・的確な表示・正確かつ最新の内容の表示義務・改善命令などの新設
そして改正法は、「特定募集情報等提供」に対して厚労大臣への事前の届出を義務付け(改正法4条11項、43条の2第1項)、特定募集事業等提供事業者は厚労大臣に事業概況報告書の提出が義務付けられます(改正法43条の5)。また、募集事業等提供事業者は「苦情の処理に関する事項」などをインターネット上で公開することが義務付けられ(改正法43条の6)、「求人等に関する情報の的確な表示」が義務付けられ(改正法5条の4第1項)、「求人・求職情報などを正確かつ最新の内容に保つ措置」が義務付けられます(改正法5条の4第2項)。さらに募集情報等提供事業者に対しても、改善命令、立入検査、報告徴求、罰則などが課されることになります(改正法48条の3、50条2項、64条9号、65条7号、66条7号、同8号)。加えて特定募集情報等提供事業者に対しても秘密保持義務が課されることになり(改正法51条1項)、この秘密保持義務違反には罰則が科されることになります(改正法66条11号)。

3.個人情報の保護に関する厚労省指針(労働省告示平成11年第141号)の改正
(1)職業安定法の改正
前回の平成29年(2017年)の職業安定法改正の際には、求人メディアなどの「募集情報等提供」は、求職者の個人情報保護を定める改正前法5条の4の対象に含まれていませんでしたが、今回の改正では「特定募集情報等提供」が対象に含まれることになっています(改正法5条の5)。

改正職業安定法

(求職者等の個人情報の取扱い)
第5条の5

 公共職業安定所(略)、職業紹介事業者および求人者(略)、特定募集情報等提供事業者(略)は、それぞれ、その業務に関し、求職者、労働者になろうとする者又は供給される労働者の個人情報(略)を収集し、保管し、又は使用するに当たっては、その業務の目的の達成に必要な範囲内で、厚生労働省令で定めるところにより、当該目的を明らかにして求職者等の個人情報を収集し、並びに当該収集の目的の範囲内でこれを保管し、及び使用しなければならない。ただし、本人の同意がある場合その他正当な事由がある場合は、この限りではない。

(2)厚労省指針(労働省告示平成11年第141号)の改正
また、法48条に基づく、個人情報の保護(改正法5条の5)などに関する厚労省指針(労働省告示平成11年第141号)も今回、特定募集情報等提供事業者を対象に含める大きな改正がなされています。

改正厚労省指針の第五(求職者等の個人情報の取扱いに関する事項(法第5条の5))の(一)は、特定募集情報等提供事業者などに対して「法第5条の5第1項の規定によりその業務の目的を明らかにするに当たっては、求職者等の個人情報(略)がどのような目的で収集され、保管され、又は使用されるのか、求職者等が一般的かつ合理的に想定できる程度に具体的に明示すること」を義務付け、また(二)は、「その業務の目的の達成に必要な範囲内で、当該目的を明らかにして個人情報を収集すること」を義務付けています。

4.AIを利用するネット系人材会社や、就活生のSNSの「裏アカ」の調査会社の業務を考える
(1)利用目的の特定
つまり、ネット上、SNSやGithubu上などをクロールして求職者やその見込みのある人間の個人データを収集し、「人材データベース」を作成して求人企業などに営業を行う等の事業を行うHackerBase JobsやLAPRASなどは、自社サイトなどにプライバシーポリシーを制定・公表するにあたっては、個人データの利用目的について「求職者等の個人情報(略)がどのような目的で収集され、保管され、又は使用されるのか、求職者等が一般的かつ合理的に想定できる程度に具体的に明示すること」が必要であり、一般的・抽象的な利用目的は許されないことになります(第5、一(一))。

(2)センシティブな個人情報・個人データ
また、「その業務の目的の達成に必要な範囲内で、当該目的を明らかにして個人情報を収集することとし、次に掲げる個人情報を収集してはならないこと。」として、「イ 人種、民族、社会的身分、門地、本籍、出生地その他社会的差別の原因となるおそれのある事項」、「ロ 思想及び信条」、「ハ 労働組合への加入状況」に関する個人情報・個人データを収集することは「特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合」以外は認められません(第5、一(二))。同時に、同(六)は「業務の目的の達成に必要な範囲を超えて個人情報を収集し、保管し、又は使用することに対する同意を、職業紹介、労働者の募集、募集情報等提供又は労働者供給の条件としないこと」も事業者等に要求しています。

そのため、「思想及び信条」(=人生観、生活観、尊敬する人物、尊敬しない人物、愛読書、愛読書でない書籍、購読新聞・雑誌、支持政党・支持しない政党、労働活動・政治活動の有無などの個人データ)などセンシティブな(あるいはプライベートな)個人データを含む求職者やその見込みのある人間のさまざまな個人データをネット、SNS、Github上などから網羅的・継続的にボットやAIでクローリングして収集し、それらの個人データを突合・加工・分析するなどして求人企業などに営業活動を行っているLAPRASなどの事業は、本年10月1日以降は違法となるおそれがあります。

(なお、本改正厚労省指針・第5、一(二)は「特別な職業上の必要性が存在する場合」には思想・信条などのセンシティブな個人データの収集も本人からの取得に限り認めることとしていますが、この場合に該当するのは、例えば公共交通機関の運転手等に精神障害や薬物などの問題がないか確認する場合など例外的な場合に限定されると解されています(岩出誠『労働法実務大系 第2版』68頁)。

さらに、上の2.でもみたように、今回の職業安定法改正では、「募集情報等提供」に「前号に掲げるもののほか、労働者になろうとする者に関する情報を、労働者の募集を行う者の必要とする労働力の確保を容易にすることを目的として収集し、労働者の募集を行う者に提供すること。」(改正法4条6項4号)が追加されました。そして「労働者になろうとする者に関する情報を収集して行う募集情報等提供」「特定募集情報等提供」としています(改正法4条7項)。

そのため、就活生や求職者などの求人を行う企業などの求人業務のために、労働者になろうとする者に関する情報を収集している就活生などのSNSの「裏アカ」を調査し分析し報告等を行っている調査会社なども「特定募集情報等提供」に該当することになります。

したがって、LAPRASなどと同様の理由で、就活生などのSNSの「裏アカ」調査会社のソルナ、KCC企業調査センターなどの企業の事業も、本年10月1日以降は職業安定法違反として違法となるおそれがあります。

改正厚労省指針(労働省告示平成11年第141号)

第五 求職者等の個人情報の取扱いに関する事項(法第5条の5)
一 個人情報の収集、保管及び使用
(一)職業紹介事業者、(略)特定募集情報等提供事業者(略)は、法第5条の5第1項の規定によりその業務の目的を明らかにするに当たっては、求職者等の個人情報(略)がどのような目的で収集され、保管され、又は使用されるのか、求職者等が一般的かつ合理的に想定できる程度に具体的に明示すること。

(二)職業紹介事業者、(略)特定募集情報等提供事業者(略)は、その業務の目的の達成に必要な範囲内で、当該目的を明らかにして個人情報を収集することとし、次に掲げる個人情報を収集してはならないこと。ただし、特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合はこの限りではないこと。
 人種、民族、社会的身分、門地、本籍、出生地その他社会的差別の原因となるおそれのある事項
 思想及び信条
 労働組合への加入状況

(三)職業紹介事業者、(略)特定募集情報等提供事業者(略)は、個人情報を収集する際には、本人から直接収集し本人の同意の下で本人以外の者から収集し、又は本人により公開されている個人情報を収集する等の手段であって、適法かつ公正なものによらなければならないこと。
(略)

(六)職業紹介事業者、(略)特定募集情報等提供事業者(略)は、法第5条の5第1項又は(二)、(三)若しくは(五)の求職者等本人の同意を得る際には、次に掲げるところによらなければならないこと。
イ 同意を求める事項について、求職者が適切な判断を行うことができるよう、可能な限り具体的かつ詳細に明示すること。
ロ 業務の目的の達成に必要な範囲を超えて個人情報を収集し、保管し、又は使用することに対する同意を、職業紹介、労働者の募集、募集情報等提供又は労働者供給の条件としないこと。


三 個人情報の保護に関する法律の遵守等
 一及び二に定めるもののほか、職業紹介事業者、求人者(略)、特定募集情報等提供事業者(略)は、個人情報の保護に関する法律(略)第16条第2項に規定する個人情報取扱事業者に該当する場合には、それぞれ同法(略)第4章第2節に規定する義務を遵守しなければならないこと。


(3)「適法かつ公正」な手段
加えて、改正厚労省指針(労働省告示平成11年第141号)の第五、一(三)は、特定募集情報等提供事業者が就活生などの個人データを収集する際には、「適法かつ公正」な手段により個人情報・個人データを収集しなければならないと規定しています。(なお個人情報保護法20条も「偽りその他不正の手段」による個人情報の取得を禁止している。)

この点、Githubについては、Github利用規約の「5.情報利用の制限」は、「ユーザーの個人情報を、人事採用担当者、ヘッドハンター、求人掲示板などに販売することなどの目的で、Githubのサービスから取得して利用することはできない」とはっきり禁止規定が存在します。

したがって、Githubから求職者や潜在求職者などの個人データを収集し、突合・分析・加工等を行い求人企業などに売り込みの営業などを行っているLAPRASやHackerBase JobsなどのAIを活用したネット系人材企業の業務は、「適法かつ公正」とはいえないのでこの面でも改正職業安定法に違反し、本年10月1日から違法となるおそれがあります。

(4)ネット上の「身元調査」
同様に、就活生などのSNSの「裏アカ」の調査・分析を行っている調査会社の業務も、「ネット上の「身元調査」」を行っているといえるので、厚労省「公正な採用選考の基本」が「身元調査」を「望ましくない」としていることからも適法・妥当な業務ではなく(河合塁・岩手大学准教授(労働法)「(フォーラム)裏アカ調査、どう考える」朝日新聞2021年12月12日付記事)、「適法かつ公正」でないとして、本年10月1日から違法となるおそれがあります(改正厚労省指針(労働省告示平成11年第141号)の第五、一(三))。

身元調査がこのように評価されるのは、身元調査の際に、就活生などの思想・信条や本籍地、親の職業などの個人情報が収集されるおそれがあり、それらの個人情報に基づく採用選考は採用差別(職業安定法3条、憲法14条1項)に抵触する違法な採用選考の活動であるからです(可合塁・前掲)、そのため「裏アカ」調査を行ってあるいは委託して採用選考を行う求人企業や「裏アカ」調査会社等は不法行為に基づく損害賠償責任(民法709条)が認められる可能性があります(菅野和夫・安西愈・野川忍『論点体系 判例労働法1』297頁)。

(5)プロファイリングの規律-個人情報保護法19条(不適正利用の禁止)
最後に、改正厚労省指針の第五(求職者等の個人情報の取扱いに関する事項(法第5条の5))の「三 個人情報の保護に関する法律の遵守等」は、求人企業や特定募集情報等提供事業者などは、個人情報保護法における個人情報取扱事業者に該当する場合には、同法第4章第2節の「個人情報取扱事業者等の義務等」を遵守しなければならないと規定しています。

この点、2022年4月1日より施行された改正個人情報保護法19条は「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」と個人情報の不適正利用禁止を規定していますが、この改正個情法19条について個人情報保護委員会は令和3年8月の令和2年法改正に対応する個人情報保護法についてのガイドライン(通則編)のパブコメ回答において、「プロファイリングに関連する個人情報の取扱についても、それが『違法又は不当な行為を助長し、又は誘発するおそれがある方法』による個人情報の利用にあたる場合には、不適正利用に該当する可能性があります」(意見募集結果57番)と回答しているとおり(不肖・私の質問ですが)、個情法19条はプロファイリングを規制する趣旨も含んでいます。(第201回国会参議院・内閣委員会会議録13号「其田真理政府参考人答弁」(令和2年6月4日)も「いわゆるプロファイリングにつきましては、今回の改正で、利用停止、消去の要件緩和、不適正利用の禁止、第三者提供の開示、提供先において個人データとなることが想定される情報の本人同意といった規律を導入した」と国会答弁している。大島義則「個人情報保護法におけるプロファイリング規制の展開」『情報ネットワーク・ロー・レビュー』20巻31頁(2021年)。)

そのため、LAPRASなどや就活生等のSNSの「裏アカ」の調査会社などの業務が、個人情報・個人データのプロファイリングにおいて『違法又は不当な行為を助長し、又は誘発するおそれがある方法』に該当するような場合には、これは個人情報保護法19条に抵触する違法な業務ということになります。

具体的には、例えば2019年のいわゆる「リクナビ事件」においては、求人メディアのリクナビを運営するリクルートキャリアとトヨタなどの求人企業が個人データなどをやり取りし、リクルートキャリアからトヨタなどにAIで分析・加工された就活生の「内定辞退予想データ」が就活生本人の同意なしに提供されていたことが大きな社会問題となりましたが、就活生本人の真正な同意のないままに本人に不利益となるデータをAIやコンピュータなどで作成し、第三者提供されたそのデータをもとにトヨタなどの求人企業が採用選考等を実施することは、個人情報保護法19条、職業安定法5条の5違反となるおそれがあります。(また、職業安定法51条の秘密保持義務違反となる可能性があります。)

5.まとめ
このように本ブログ記事は2022年の改正職業安定法の概要をみてみましたが、ネット系人材会社の一部や、就活生・求職者のSNSの「裏アカ」を調査する会社等の業務は改正職業安定法および個人情報保護法との関係で違法のおそれがあるのではないかと思われます。

((注)本ブログ記事を書くにあたり、ネット系人材会社の一部や、就活生・求職者のSNSの「裏アカ」を調査する会社等の業務が違法となるおそれがあるのではないかという点については、厚生労働省職業安定局のご担当者の方に電話にて確認をさせていただきました。どうもありがとうございました。)

■関連する記事
・就活のSNSの「裏アカ」の調査や、ウェブ面接での「部屋着を見せて」等の要求などを労働法・個人情報保護法から考えた(追記あり)
・Github利用規約や労働法、個人情報保護法などからSNSなどをAI分析するネット系人材紹介会社を考えた
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

■参考文献
・菅野和夫『労働法 第12版』69頁
・岩出誠『労働法実務大系 第2版』68頁
・菅野和夫・安西愈・野川忍『論点体系 判例労働法1』297頁
・岸健二「多様化する求人情報サービスを雇用仲介業に位置づけ労働者になろうとする者の個人情報を収集する募集情報提供事業者に届出義務や事業停止命令の対象」『月刊人事労務実務のQ&A』2022年4月号5頁
・「求職者情報を収集し募集情報等提供事業を行おうとする者の『届出義務』を新設」『労働基準広報』2022年3月11日号8頁
・大島義則「個人情報保護法におけるプロファイリング規制の展開」『情報ネットワーク・ロー・レビュー』20巻31頁(2021年)
・高木浩光「個人データ保護とは何だったのかー就活支援サイト「内定辞退予測データ」問題が炙り出すもの」『世界』2019年11月号55頁
・令和4年職業安定法の改正について|厚労省
・「労働市場における雇用仲介の在り方に関する研究会」の報告書を公表します|厚労省
・河合塁・岩手大学准教授(労働法)「(フォーラム)裏アカ調査、どう考える」朝日新聞記事2021年12月12日付
・「個人情報の保護に関する法律施行令等の一部を改正する等の政令(案)」、「個人情報の保護に関する法律施行規則の一部を改正する規則(案)」及び「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編、仮名加工情報・匿名加工情報編及び認定個人情報保護団体編)の一部を改正する告示(案)」に関する意見募集の結果について(2021年10月29日)|個人情報保護委員会



[広告]
















このエントリーをはてなブックマークに追加 mixiチェック

kojinjouhou_rouei_businessman
1.尼崎市で全市民46万人分の個人情報漏洩事故
報道などによると、兵庫県尼崎市は、すべての市民約46万人分の個人情報の入ったUSBメモリを紛失したことを発表したとのことです。

・全市民46万人余の個人情報入ったUSBを紛失 兵庫 尼崎市が発表|NHKニュース
・住民税非課税世帯等に対する臨時特別給付における個人情報を含むUSBメモリーの紛失について|尼崎市
・兵庫県尼崎市における「個人情報を含むUSBメモリーの紛失」についてのお詫び|BIPROGY株式会社

報道や尼崎市サイトのプレスリリースによると、USBメモリには、すべての市民約46万人分の住民基本台帳統一コード・氏名・住所・生年月日・性別などのほか、住民税の額、生活保護の受給に関するデータなど機微な個人データも含まれていたとのことです。USBメモリは、新型コロナのための生活困窮世帯への臨時特別給付金の支給を尼崎市が委託した業者(BIPROGY株式会社(旧日本ユニシス))が紛失したとのことです。このUSBメモリは、業者が市の許可を得ずに個人情報を入れて持ち出し、大阪のコールセンターで個人データの移管作業を行った後、作業の終了後も個人データの消去を行わず、担当者が当該USBメモリを持ったまま飲食店で酒を飲み、当該USBメモリの入ったかばんを紛失したとのことです。これはUSBメモリの紛失や酒を飲んでかばんを紛失など、典型的な個人情報漏洩事故ですが、その被害が全市民約46万人分ということで驚いてしまいます。

2.尼崎市個人情報保護条例から考える
尼崎市個人情報保護条例をみると、第6条は尼崎市の行政部局(実施機関)は「保有個人情報の漏えい、滅失又はき損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない」として、いわゆる安全確保措置を講じなければならないことを義務付けています。また第7条は、尼崎市の役職員に対しても、業務上知り得た個人情報をみだりに他人に知らせてはならないなどの守秘義務を課しています。

さらに、おそらく尼崎市は同条例8条2項5号の「本人以外の者に保有個人情報を提供することが明らかに本人の利益になることが認められるとき」などの条項をもとに、本件の臨時特別給付金の支給業務を外部の民間業者に業務委託したものと思われます。

しかしこの場合にも同条例9条は、市の実施機関は外部業者などに個人情報に関する業務を委託する場合には、「当該保有個人情報の提供を受ける者に対し、提供に係る個人情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずることを求め」るなどの安全管理措置を講じなければならないと義務付けています。

この点、本件の尼崎市の個人情報漏洩事件は、報道などによると、①業者が市の許可を得ずUSBメモリで個人情報を持ち運んだこと、②業者の担当者は作業の終了後も個人データを消去せず、当該USBメモリをかばんに入れて飲食店で酒を飲み当該かばんとUSBメモリを紛失したこと、③尼崎市も当該業者の給付金業務の委託にあたり、漫然と全46万人分の住民基本台帳ネットのすべての個人データにアクセス可能な状況におき、すべての個人データをUSBメモリに入れて持ち出しを許していることなど、外部業者の安全管理措置違反(個人情報保護法23条)だけでなく、尼崎市の安全確保措置違反の責任は非常に重大です(尼崎市個人情報保護条例6条、7条、9条)。

IPA(独立行政法人情報処理推進機構)の公表している「情報セキュリティ10大脅威 2022」においては、「情報セキュリティ10大脅威(組織)」のなかの5番目にUSBメモリなどによる個人データの不正な持ち出しなどは例示されているとおり(44頁)、USBメモリなどによる個人データの不正な持ち出しは個人情報漏洩事故の典型的な事例ですが、公的機関として多くの個人データを預かる尼崎市の責任は重大であると思われます。

・情報セキュリティ10大脅威2022|IPA

尼崎市個人情報保護条例

(安全確保の措置)
第6条
実施機関(実施機関が個人情報を取り扱う事務(以下「個人情報取扱事務」という。)を実施機関以外のものに行わせる場合にあっては、当該個人情報取扱事務を行うものを含む。)は、保有個人情報の漏えい、滅失又はき損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない。

(従事者の義務)
第7条
個人情報取扱事務に従事する実施機関の職員又は職員であった者(前条に規定する場合にあっては、その個人情報取扱事務に従事している者又は従事していた者(以下「個人情報取扱事務従事者」という。)を含む。)は、その事務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。

(保有個人情報の提供を受ける者に対する措置要求)
第9条
実施機関は、第8条第2項第3号から第6号までに掲げる事由のいずれかに該当することを理由に保有個人情報を提供する場合において、必要があると認めるときは、当該保有個人情報の提供を受ける者に対し、提供に係る個人情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずることを求めるものとする。

3.損害賠償責任など
個人情報保護法制による行政法上の責任とは別に、今回被害にあった住民の方々に対しては尼崎市と委託を受けた業者は民事上の損害賠償責任を負うことになります。住民基本台帳ネットワークの業務を自治体から再々受託を受けた業者の従業員が住民票データを漏洩させた事件について、裁判所は不法行為に基づく損害賠償責任(原告一人につき1万5千円)を自治体に認めています(宇治市住民票データ漏洩事件・大阪高裁平成13年12月25日判決、宍戸常寿『新・判例ハンドブック 情報法』199頁)。

4.住基ネット訴訟・マイナンバー訴訟との関係
また、本個人情報漏洩事件は、自治体の保有する住基ネットの個人データから全住民の個人データが漏洩してしまったという点で、現在各地で係争されているマイナンバー訴訟に影響を与える可能性があります。

マイナンバー訴訟に先立つ、いわゆる住基ネット訴訟においては、住基ネットによる住民・国民の個人情報の収集・管理・利用は憲法13条が保障する個人の私生活上の自由などプライバシー権の侵害にあたるか否かが争点となりましたが、最高裁は、①住基ネットに保管される個人情報は氏名・住所など秘匿性が高い情報とはいえないこと、②情報システムの構築など情報セキュリティ上も法律上も住基ネットは適切な安全管理が施されていると審査を行い(構造審査)、国民・個人の私生活上の自由を侵害しているとはいえない、として原告側の訴えを退けています(最高裁第一小法廷平成20年3月6日判決、宍戸・前掲200頁、山本龍彦・横大道聡『憲法学の現在地』139頁)。

しかしこの住基ネット訴訟の最高裁判決では、最高裁は住基ネットは情報セキュリティ的にそして法的に堅牢であることを根拠の一つとして合憲判決を出しているわけですが、今回の尼崎市の個人情報漏洩事件では、条例や法律が杜撰に運用され、情報セキュリティや安全管理措置も適正に運用されず、全市民46万件もの個人データの漏洩を許してしまっています。

とくに今回の漏洩事件では、全住民46万人分の住民基本台帳統一コードもその他の個人データとセットで漏洩してしまっています。住民基本台帳統一コードはマイナンバー制度のマイナンバー(個人番号)に似て、国民一人に一つの番号を国が付番する性質のものであり、この番号があると国民の個人データの名寄せ・突合が簡単にできてしまい、不正なプロファイリングや信用スコアリングの危険があります。この尼崎市の個人情報漏洩事件は、マイナンバー訴訟などにも影響する可能性があるのではないでしょうか。

5.令和3年改正個人情報保護法
なお、令和3年改正個人情報保護法は、自治体や行政機関等に対しても、個人情報漏洩事故が発生した場合は、当該自己を自治体や行政機関等は、個人情報保護委員会に報告しなければならないと規定しています(法68条、冨安泰一郎・中田響『一問一答令和3年改正個人情報保護法』86頁)。おそらく尼崎市から警察とともに個人情報保護委員会に対しても、本件個人情報漏洩事故の報告が行われているものと思われます。

■追記
ITmediaニュースなどによると、記者会見中に尼崎市の担当者は、本事故で漏洩したUSBメモリにかかったパスワードの桁数をしゃべってしまったとのことです。これは情報セキュリティ的に二重三重に驚きです・・・。

・USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露 ネット騒然 「悪例として最高の手本」|ITmediaニュース

■追記(6月24日)
尼崎市サイトによると、紛失していたUSBメモリが発見されたとのことです。
・紛失していたUSBメモリーの発見について(6月24日)|尼崎市

「現在、同メモリー内にある個人情報については、関係機関と協力しながら、調査を進めております。」とのことです。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・冨安泰一郎・中田響『一問一答令和3年改正個人情報保護法』86頁
・山本龍彦・横大道聡『憲法学の現在地』139頁
・宍戸常寿『新・判例ハンドブック 情報法』199頁、200頁

■関連する記事
・調布市の陥没事故の被害者住民の情報公開請求に係る個人情報の漏洩事件について考えた(追記あり)
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?













このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ