なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:security

クラブハウス
スイスの情報セキュリティ研究者のMarc Ruef氏(@mruef)などのTwitterの7月24日の投稿によると、音声SNSのClubhouseの日本を含む38億件電話番号データベースがダークウェブのオークションで売りに出されている可能性があるそうです。(【追記】Clubhouse側や他の研究者たちはこの情報漏洩を否定していることを記事末に追記しました。)

クラブハウス情報販売
(Marc Ruef氏(@mruef)のTwitterより)
https://twitter.com/mruef/status/1418693478574346242

Clubhouseのアプリは、自動的にスマホユーザーのアドレス帳に登録されたすべての電話番号を収集するので、自分自身はClubhouseを利用していなくても、自分の電話番号を知っている人間がClubhouseを利用していれば、電話番号等の個人情報が流出している可能性があるとのことです。

これがもし本当にClubhouseを運営するAlpha Exploration(AE)社の保有する個人情報データベースから何らかの方法で出された電話番号データベースであるのなら、日本の個人情報保護法上、電話番号のみのでも「個人情報データベース等」(法2条4項)のデータの一部に該当し、つまり「個人データ」(法2条6項)に該当し、つまりそれは「個人情報」(法2条1項1号)に該当することになります。

個人データの第三者提供には原則、本人の同意が必要であり(法23条1項)、また第三者提供には個人情報が提供された際のトレーサビリティ(追跡可能性)の確保のために、記録作成義務記録確認義務が課されます(法24条、法25条)。(そのため、こういう個人データが大っぴらに転売されることは難しいように思われます。)

AE社は米企業のようですが、もし日本であれば、2014年のベネッセ個人情報漏洩事件のような個人情報漏洩事故なので、安全管理措置(法20条)の懈怠の問題としてAE社は個人情報保護委員会から行政指導等を受けたり(法41条、42条)、ユーザーなどから損害賠償請求訴訟を提起されるリスクがあります。販売等の目的などで個人データを持ち出した人間・法人は罰則も科されます(法84条)。

もしClubhouseがEU圏のユーザーも利用してるなら、AE社はGDPR(EU一般データ保護規則)最高2000万ユーロまたは前会計年度の全世界年間売上高の4%のいずれか大きい額の制裁金が科されるリスクもあります(GDPR83条)。また同様に、もしClubhouseがEU圏のユーザーも利用してるなら、GDPR33条は事業者等が自社の個人情報の漏洩を知った場合、72時間以内の所轄のデータ保護当局への報告という厳しいタイムアタックを要求しているので、AE社はこの義務を履行しなければなりません。

(なお、2022年4月施行予定の日本の令和2年改正の個人情報保護法22条の2は、個人情報漏洩が発覚した場合、原則として、事業者は速やかに個人情報保護委員会に速報を報告し、30日以内に報告書を提出しなければならないことになるので、日本の事業者も個人情報漏洩があった場合には迅速な対応が要求されることになります。)

聞くところによると、一時期大きな注目を浴びたClubhouseも、最近はめっきり利用者が減少しているそうですが、AE社の保有する個人データの取扱や管理の在り方が、いろいろと気になるところです。

■追記(2021年7月26日2:00)
情報セキュリティの専門家の高梨陣平氏(@jingbay)より、この件に関しては、つぎの記事のように、Clubhouse側や他の研究者たちが電話番号の情報漏洩を否定しているとのご教示をいただきました。高梨様、ありがとうございました。
・Clubhouse denies data breach, experts debunk claims of leaked phone numbers|TechZimo
















このエントリーをはてなブックマークに追加 mixiチェック

ITmediaニュースによると、三菱UFJ信託銀行情報銀行事業を開始することを発表したそうです。

・三菱UFJ信託が情報銀行事業開始 Dprimeで「お金の代わりに個人情報を預かる」|ITmediaニュース
・情報銀行サービス「Dprime」ブランドアンバサダー・中田英寿氏の就任について|三菱UFJ信託銀行

記事によると、三菱UFJ信託銀行は、本人の同意のもとに、個人の氏名、住所などの情報とともに、趣味嗜好、位置情報・行動履歴、資産情報などを収集・保管して、本人が選択した企業に対して、本人の同意のもとにこれらの個人情報・個人データを第三者提供し、本人は当該企業から割引などの対価を受けるとのことです。

三菱信託銀行の情報銀行ビジネス
(ITmediaニュースより)

ところで、記事を読むと、「氏名、住所の詳細、メールアドレス等、個人が特定される法的に個人情報に該当するものは企業に第三者提供しない」と三菱UFJ信託銀行の方が記者会見で発表したとの点が個人的には非常に気になります。

三菱信託銀行法的に個人情報に該当する情報は第三者提供しない
(ITmediaニュースより)

この、「氏名、住所さえ消去すれば個人情報ではない」的な、まるで石器時代のような個人情報保護法の基本的な部分の誤解を前提にしたような発言は、本当に天下の三菱グループの、かつ金融機関の三菱UFJ信託銀行の方が発表したものなのでしょうか?そしてそれをIT系メディア大手のITmediaニュースの記者もツッコミを入れることなく報道してしまったのでしょうか?

記事によると、この三菱信託の情報銀行ビジネスのアンバサダーにはサッカーの中田英寿氏が就任したそうで、中田氏は「企業による個人データの利活用の重要性」を記者会見で力説したそうであり、この情報銀行ビジネスのアレな感じがさらに強調されているような気がします。

言うまでもなく、個人情報保護法2条1項1号は、「個人に関する情報」であって、かつ、「特定の個人を識別できるもの」は個人情報に該当すると定義しています。そのため、趣味嗜好、位置情報・行動履歴、資産情報などの情報・データも、この個人情報の定義に該当するものはやはり個人情報です(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁)。

個人情報の定義『ニッポンの個人情報』
鈴木正朝・高木浩光・山本一郎「「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編)」EnterpriseZineより

また、本年5月にパブコメで公表された、令和2年改正の個人情報保護法に対応する「個人情報保護法ガイドライン(通則編)」も、「行動履歴、閲覧履歴、位置情報・移動履歴、サービス利用履歴等も連続的蓄積されて特定の個人が識別できれば個人情報に該当すること」と、趣味・嗜好個人関連情報に該当すること」を明確化しています。

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集について|e-GOV

■詳しくはこちら
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?

そのため、行動履歴、資産情報等のデータの多くはおおむね個人情報に該当すると思われますが、「法的に個人情報に該当するものは提供しない」との三菱UFJ信託銀行は、この情報銀行ビジネスにおいて、相手方の企業に対して一体何を第三者提供するつもりなのか非常に疑問です。

情報銀行ビジネスを開始すると経営判断した三菱UFJ信託銀行の経営陣の判断能力も心配ですし、同行の法務部は、この情報銀行業を事前にしっかりリーガルチェックしたのだろうかと非常に心配です。(ITmediaニュースの記者の方の個人情報保護法の理解も。)

三菱UFJ信託銀行の情報銀行ビジネスは、個人情報保護法の基本的な理解が間違っていて、開始前からグダグダな予感がします。日本は、EUのGDPRやAI規制法案など、西側自由主義・民主主義諸国の個人データ保護法の流れからますます離れてゆくガラパゴスだと思わざるを得ません。

■関連する記事
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか?
・みずほ銀行のみずほマイレージクラブの改正を考える-J.Score・信用スコア・個人情報
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた













このエントリーをはてなブックマークに追加 mixiチェック

LINE
6月11日、ZホールディングスLINEの個人情報事件に関する有識者委員会(座長・宍戸常寿教授)第一次報告書の概要をサイトで公表しました。

・「グローバルなデータガバナンスに関する特別委員会」第一次報告受領について|Zホールディングス

この報告書の概要を大まかにみると、まず、「LINEの主要な個人情報は主に日本のサーバーに保管されている」とLINE社2013年、2015年、2018年の3回、日本の国・自治体関係者に説明していた点が報告書にありますが、これはやはり、非常に不適切だと思われます。

なおこの点、個人情報保護法40条は、個人情報保護委員会は事業者に対して報告を求め、また立入検査をすることができると規定していますが、この報告に虚偽があった場合や検査忌避があった場合などは罰則(両罰規定)が科されると規定されています(法85条)。

また、個人情報保護委員会だけでなく、総務省もLINE社に対して報告徴求などを実施していますが、電気通信事業法169条も虚偽の報告などに対して罰則規定を置いています。さらに金融庁もLINE社に報告徴求などを実施していますが、例えばQRコード決済などに関する資金決済法も、報告徴求に対する事業者の虚偽の報告などに対して罰則規定をおいています(法112条7号、8号)。

これらの罰則規定が今後、LINE社などに対して適用されるのか、大いに気になるところです。

また、LINE社の話を鵜呑みにしていた国・自治体側も、個人情報保護法制や、国の安全保障あるいは経済安全保障の観点から非常に問題があるのではないでしょうか。

LINE報告書01

この点、例えば行政機関個人情報保護法6条は、行政機関は「保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない」と規定しています(安全確保措置)。

また、これも例えば総務省の「総務省の保有する個人情報等の適切な管理のための措置に関する訓令 」(総務省訓令第54号)38条は、業務委託について、適切な安全確保措置が実施できる事業者を書面などを求めて選定すること(1項)、目的外利用の禁止や秘密保持条項、再委託の制限、個人情報漏洩事故があった場合の対応などを盛り込んだ契約書による業務委託契約を締結すること(2項)、少なくとも年1回の委託先への実地検査を実施すること(3項)等などを規定しています。

しかし、LINEを情報提供サービスなどのために利用していた総務省や、各自治体は、LINE社としっかり業務委託契約書を締結し、年1回以上のLINE社への実地検査などを法令に基づいて実施していたのでしょうか?大いに疑問です。

つぎに、3月の朝日新聞等の報道を受けて、LINE社はプレスリリースを公表し、2021年6月までに韓国サーバーに保管されている画像・動画などの個人データを日本のサーバーに移動させる等と発表しました。

しかし、この点についても、さまざまな個人データの日本への移動が、LINE社のリリースに示されたスケジュールに対して遅延していることが明らかにされています。この点を、本報告書は「ユーザーファーストの意識が欠けている」と指摘しています。
LINE報告書02

この点は、新興のIT企業であるLINE社およびZホールディングスは、「ユーザー・顧客との約束を守ろうという意識」、ユーザー・顧客への説明責任や、>ガバナンスコンプライアンスの意識が企業として極めて低いのではないでしょうか。Yahoo!Japan社も、2004年の450万人分の個人情報漏洩を起こしたYahoo!BB個人情報漏洩事件など、3年から5年おきに不祥事を起こしている印象があります。

さらに、朝日新聞の峯村健司氏のスクープ報道のとおり、やはりLINE社の委託先の中国子会社の日本サーバーへのアクセスログ等は、中国等の開発者が具体的にどんな個人データにアクセスしたか等の記録が残っていないとのことです。アクセスログも保存されていても、1年間しか保存されていないとのことです。さらに中国等の開発者PC等は外部ネットに接続可能な状態であり、当該PC等の挙動のログなども残っていないと報告書は指摘しています。これはLINE社の安全管理措置が非常に不十分であったと言わざるを得ません。
LINE報告書03

加えて、報告書は、2016年ごろより、中国の国家情報法に関する議論が日本国内で高まっていたのに、LINE社がシステムの開発・保守などを中国で継続していた点も指摘しています。
LINE報告書04

この点も、わが国の国民約8600万人のアクティブ・ユーザーを持ち、国・自治体の情報発信業務や国民・市民からの相談業務、多数の日本企業の情報発信業務などを担っているLINE社は、日本の国民の個人情報保護や国・自治体や多くの企業の機密情報の保護に対する大きな責任を負っていること、日本の安全保障および経済安全保障に大きな責任を負っていることに対して、企業市民としてあまりにも無頓着だったのではないでしょうか。

なお、本報告書の概要をざっとみる限り、本事件で個人情報とともに問題となった、電気通信事業法4条憲法21条2項の定めるユーザーの「通信の秘密」に関しては、有識者委員会であまり議論がなされていないようですが、大丈夫なのでしょうか。

4月の総務省のLINE社に対する行政指導のプレスリリースも、個人情報に関しては問題視していますが、「通信の秘密」に関しては、まるでなかったかのようにしているわけですが。この点を、情報法の大御所である宍戸教授などの有識者委員会に大いに議論していただきたいと、一般の国民としては思っていたのですが。
LINE報告書03

また、本日のZ社のプレスリリースでは、有識者委員会の第一次報告書は概要のみが公表されており、報告書本文は公表されていないことも、やや不可思議な対応であると思われます。

■関連する記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの通信の秘密の問題に対して総務省が行政指導を実施
・LINEの個人情報の問題に対して個人情報保護委員会が行政指導を実施











このエントリーをはてなブックマークに追加 mixiチェック

日銀サイト
1.日銀の『プライバシーの経済学入門』
本年6月に日本銀行がウェブサイト上で公表した論文『プライバシーの経済学入門』16頁が、日本個人情報保護法上、「プロファイリングによって取得した情報は「個人情報」には該当しないと記述していることがネット上で大きく注目されています。

この論文『プライバシーの経済学入門』は、2021年6月3日付で日本銀行ウェブサイトに公開された日本銀行決済機構局の方々によるものとされています。

すなわち、『プライバシーの経済学入門』16頁は、つぎのように記述しています。
(日本の個人情報保護法において、)『学説上解釈の余地があるとされているものの、推論(プロファイリング)によって取得した情報は、「個人情報」には該当しないと解されているためである(宇賀2018)。この前提によった場合、プラットフォーマーが人々の個人情報を類推した結果を第三者に提供したとしても、個人情報保護法には違反していないと考えられる』(日本銀行『プライバシーの経済学入門』16頁)

日銀『プライバシーの経済学入門』16頁
(日本銀行『プライバシーの経済学入門』16頁より)
・「プライバシーの経済学入門」|日本銀行

つまり、日銀の本論文においては、日本の個人情報保護法上、「推論(プロファイリング)によって取得した情報は、「個人情報」には該当しないと解されているためである(宇賀2018)』としています。

そして、本論文の文末の脚注をみると、「(宇賀2018)」とは、個人情報保護法の著名な学者であり最高裁判事の宇賀克也先生の『個人情報保護法の逐条解説 第6版』であることが示されていますが、具体的には宇賀先生のこの本のどの部分であるかは示されていません。(執筆者の方々は、あまり学術的な論文に親しくないのかもしれません。)

私も宇賀先生のこの『個人情報保護法の逐条解説 第6版』を見直してみたのですが、よくわからなかったため、日銀に問い合わせてみたところ、回答をいただきました。

2.日銀の回答
日銀の回答の概要はつぎのとおりでした。

1.宇賀克也『個人情報保護法の逐条解説 第6版』の個人情報保護法2条の定義における「個人情報」の定義の解説にあるとおり、プロファイリング(推論)によって得られた情報は、個人情報に該当するかは明示されていない。

2.同書143頁は、『本人の同意なしにプロファイリングによって要配慮個人情報を新たに生み出すことは、要配慮個人情報の「取得」に当たると解すべきかという重要な解釈問題が存在する』と、論点であると指摘している。

3.プロファイリングにより取得した情報が要配慮個人情報に該当するか否かについては、平成30年の衆議院の質問主意書に対する政府回答が、「「個人情報保護法ガイドライン(通則編)」2-3が、同ガイドライン2―3(1)から(11)までに掲げる情報を推知させる情報にすぎないものについては、要配慮個人情報に含まれないとしており、個人情報取扱事業者が同ガイドライン2―3(1)から(11)までに掲げる情報を推知させる情報にすぎないものを取得することは、同法第十七条第二項の規定により制限されるものではない」と否定している。

4.そのため、『プライバシーの経済学入門』16頁は、プロファイリングで取得した情報に対する法的保護に不明確性があることを簡潔に記載し、個人情報保護法について概括的に扱った参考図書として宇賀先生の教科書を挙げたものである。

3.検討
(1)プロファイリングによって得られた情報は個人情報に該当しないのか?
まず、日銀の回答の1.については、個人情報保護法2条1項1号は、「個人情報」の定義について、「個人情報」とは、生存する個人に関する情報であって、(略)当該情報に含まれる氏名、生年月日その他の記述等(略)により特定の個人を識別することができるもの」としています。

そして、宇賀克也『個人情報保護法の逐条解説 第6版』(以下「宇賀・前掲」とする)37頁は、『「個人に関する情報」とは、個人の属性・行動、個人に関する評価、個人が創作した表現等、当該個人と関係するすべての情報が含まれる。公知の情報であるか否かを問わないし、情報の存在形式も、文字情報に限られ』ないと解説しています。

つまり、個人の属性・行動、個人に関する評価情報などの、当該個人と関係するすべての情報が「個人に関する情報」です。

そして、宇賀・前掲37頁は、「特定の個人を識別することができるもの」について、「誰か一人の情報であることが分かることを意味し、特定の個人を識別できるとは、識別される個人が誰か分かることを意味する」と解説しています。

この点、これも著名な個人情報保護法の実務書・解説書である、岡村道久『個人情報保護法 第3版』70頁は、「「特定の個人を識別」について、「防犯カメラ画像等によって特定の個人の顔が、いわば「この人」であると識別しうる場合には、当該個人の実名等が不明であっても、本要件を満たす」としています。

そのため、「個人の属性・行動、個人に関する評価情報などの、当該個人と関係するすべての情報」であって、実名等が不明でも「この人、あの人」であると個人を識別できる情報は、個人情報保護法上の「個人情報」です(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』18頁)。

すなわち、「プロファイリング(推論)によって得られた情報」が、「個人の属性・行動、個人に関する評価などの、当該個人と関係するすべての情報」であり、かつ、「実名等が不明でも「この人、あの人」であると識別できる情報である場合は、当該情報は個人情報保護法上の「個人情報」に該当します(法2条1項1号)。

したがって、「プロファイリング(推論)によって得られた情報は、個人情報に該当するかは明らかでない」とする日銀の見解は正しくないのではないかと思われます。

(2)平成30年の衆議院の「プロファイリングに関する質問に対する答弁書」について
つぎに、日銀の回答の2.の、平成30年の衆議院の「プロファイリングに関する質問に対する政府答弁書」とは、衆議院サイトなどで調べてみると、平成30年の第196国会の『衆議院議員松平浩一君提出プロファイリングに関する質問に対する答弁書』(以下「本政府答弁書」とする)であると思われます。
・平成30年第196国会『衆議院議員松平浩一君提出プロファイリングに関する質問に対する答弁書』|衆議院

この本政府答弁書に先立つ衆院議員の松平浩一氏の質問書によると、松平氏は、おおむね、「個人情報保護委員会のガイドライン等を参照すると、個人情報保護委員会は、ある情報が要配慮個人情報について推知させるものであっても、推知情報にとどまる限り、あらかじめの本人の同意なく当該情報を取得・利用することは法17条2項との関係で問題がないという整理をしていると思われるが、そのような理解でよいか。」という質問と、「「推知された情報が要配慮個人情報に準ずるもの」および「推知された情報が、推知のレベルを超えて、ある個人の要配慮個人情報と実質的に同等と評価できる情報」の場合には、やはり本人の同意が必要ではないか」という質問をしています。

これに対して政府答弁書は、前者の質問については、個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」2-3が、「なお、次に掲げる情報(=要配慮個人情報)を推知させる情報にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない。」としていることを受けて、「要配慮個人情報を推知させる情報にすぎないもの(推知情報)は要配慮個人情報ではないから、個人情報取扱事業者が推知情報を取得することは、個人情報保護法17条2項違反とならない」と答弁しています。

そして後者の質問について本政府答弁書は、「お尋ねの「一定の場合には推知された情報が要配慮個人情報に準ずる」こと及び「推知される情報が、推知のレベルを超えて、ある個人の要配慮個人情報と実質的に同等と評価できる場合」の意味するところが明らかではないため、お答えすることは困難である」と答弁しています。つまり政府はこの点をうまく回答を避けています。

すなわち、本政府答弁書は、「推知情報は要配慮個人情報ではないので、推知情報を個人情報取扱事業者が本人の同意を得ずに取得することは、法17条2項との関係では問題ない」と言っているだけであり、日銀の回答の2.のように「プロファイリングにより取得した情報が要配慮個人情報に該当」することを「否定」しているわけではありません。

この点は、日銀の『プライバシーの経済学入門』は、松平浩一・衆院議員のプロファイリングに関する質問書とそれに対する政府答弁書における、要配慮個人情報と、「推知情報」と、「「推知された情報」が要配慮個人情報に準ずる場合」および「「推知された情報」が「要配慮個人情報と実質的に同等となる場合」」の3つの用語・概念を混同しているのではないかと思われますが、いずれにしても、本政府答弁書は「推知された情報」が「要配慮個人情報と実質的に同等となる場合」等については回答を避けています。

したがって、わが国の政府は「「プロファイリングにより取得した情報が要配慮個人情報に該当」することを「否定」している」との日銀の理解は、これも正しくないと思われます。

なお、この点、岡本・前掲191頁は、要配慮個人情報の取得や利用について、法17条2項5号の「本人が自分のTwitterブログなどで自ら公開していた場合」などにおいても、「本人以外の第三者が、本人の同意を得ることなく、当該本人がインターネット上で公開している情報から本人の信条犯罪歴等に関する情報を取得し、既に保有している当該本人に関する情報の一部として、自己のデータベース等に登録することは、本17条2項違反となる」としています。

さらに、要配慮個人情報を合理的な理由なく事業者等が取り扱うことは、個人情報保護法以外にも、プライバシー権侵害として不法行為(民法709条)による損害賠償責任が成立する可能性があることも指摘されています(岡村・前掲191頁)。

4.結論
このように、「日本の学説上、プロファイリングによって得られた情報は個人情報保護法上の「個人情報」に該当するか否かは明確でない」という点は正しくなく、また、わが国の政府は、「「プロファイリングにより取得した情報が要配慮個人情報に該当」することを「否定」している」という点も正しくありません。

そのため、そのような日銀のわが国の個人情報保護法に関する理解を前提とした、日銀『プライバシーの経済学入門』16頁の、「日本の学説上、推論(プロファイリング)によって取得した情報は、「個人情報」には該当しないと解されている(宇賀 2018)」という記述は誤りであると思われます。

同時に、それを前提とした、本日銀論文の『この前提によった場合、プラットフォーマーが人々の個人情報を類推した結果を第三者に提供したとしても、個人情報保護法には違反していないと考えられる』も、やはり誤りであると思われます。

上で検討したように、日本の個人情報保護法においても、プラットフォーマー等が、プロファイリングして類推した情報も、個人の属性・行動、個人に関する評価などの、当該個人と関係するすべての情報が「個人に関する情報」であり、かつ、実名等が不明でも「この人、あの人」であると識別できる情報は、やはり「個人情報」に該当するので、そのような「個人情報」に該当する「プロファイリングにより類推した情報」を、当該プラットフォーマーなどの個人情報取扱事業者が第三者に提供する場合には、やはり法23条1項により、当該情報の本人の同意が必要となり、本人の同意のない第三者提供は個人情報保護法違反となります。

そして、そのようなそのような「個人情報」に該当する「プロファイリングにより類推した情報」が、「要配慮個人情報」(法2条3項)に該当する場合には、やはり法17条2項が規定するとおり、「法令に基づく場合」(法17条2項1号)などの例外規定に該当する場合以外は、やはり「あらかじめ本人の同意」を得て取得することが必要となります。また、要配慮個人情報をオプトアウト方式で第三者提供することは禁止されていますので(法23条2項かっこ書き)、やはり要配慮個人情報を第三者提供する場合には、個人情報取扱事業者は本人の同意が必要となります(法23条1項)。

本論文は、わが国の中央銀行である日本銀行が公表した、個人情報・プライバシーとプロファイリングなどの先端分野に関する論文として、ITやDX、情報セキュリティなどの関係者の方々や関係する政府機関や金融機関の方々、個人情報保護法や情報法などに関する学者・研究者の方々から注目されている論文であると思われ、ITやデジタル化などに関する専門サイト等もすでに取り上げているところです。そのため、日銀は本論文の該当部分の訂正などを行うべきではないでしょうか。

■補足
AIやコンピュータのプロファイリングについては、最近、EUのGDPR22条の「コンピュータによる個人データの自動処理(プロファイリング)による法的決定・重要な決定の拒否権」や同じくEUが本年4月に公表したAI規制法案などが注目されています。

この考え方は、コンピュータの発展を受けた1970年代頃からの、「コンピュータによる人間の選別・差別の危険」への問題意識を受けたものですが(高木浩光「個人情報保護から個人データ保護へ」『情報法制研究』2巻75頁)、日本においても、2000年の労働省「労働者の個人情報保護に関する行動指針」第2、6(6)で規定され、その後も2019年6月の厚労省の『労働政策審議会労働政策基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~』9頁以下も同様の問題を指摘しており、リクナビ事件を受けた2019年9月の厚労省の通達「募集情報等提供事業等の適正な運営について」が「学生等の他社を含めた就職活動や情報収集、関心の持ち方などに関する状況を、本人があずかり知らない形で募集企業に提供することは…学生等の就職活動に不利に働くおそれが高い。…このような事業は行わないこと」とし、「収集した個人情報の内容及び提供先について、あらかじめ明示された基準によらずに、事業者の判断により選別又は加工を行うこと」を禁止しているように、欧州だけでなく日本でも受け継がれています。そしてこの「AIやコンピュータによる人間の選別の拒否権」は、「個人の尊重」や人格権、自己情報コントロール権(憲法13条)から導き出されると解されています(山本龍彦『AIと憲法』101頁)。

したがって、AIやコンピュータなどによるプロファイリングを行う事業者等は、個人情報保護法や同ガイドライン等だけでなく、憲法や職業安定法、関連する厚労省の指針や通達などをも遵守することが求められます。

■関連する記事
・Github利用規約や厚労省通達などからAIを利用したネット系人材紹介会社を考えた
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・AIによる自動処理決定拒否権

■参考文献
・宇賀克也『個人情報保護法の逐条解説 第6版』37頁、143頁
・岡村道久『個人情報保護法 第3版』70頁、191頁
・鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』18頁
・山本龍彦『AIと憲法』101頁
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁
・厚労省職業安定局・職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運用について」(PDF)
・「労働政策審議会労働政策基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」|厚労省













このエントリーをはてなブックマークに追加 mixiチェック

IPAルール3
1.コロナワクチンの大規模接種センターの予約システムに不備
コロナワクチンの自衛隊の大規模接種センター予約システムが、市町村コードや接種券番号、年齢などが接種対象者のもの以外でも予約が取れてしまう「ザル」の状態であることを5月19日に、朝日新聞、毎日新聞などのマスコミが報道しました。

これに対してネット上では、「国のシステムなのにひどい」という意見の一方で、主にエンジニアやセキュリティの専門家と思われる方々から反論が多く出されています。また官房長官や防衛大臣などは「法的措置も検討する」と発言しています。

・岸防衛相、朝日新聞出版と毎日新聞に抗議へ 架空の接種券予約で|産経新聞

2.IPAのルール
ところで、昨日ごろからネット上でよく見かけるのが、「システムの脆弱性を見つけたら、まずは運営者に報告するのがルール」であるという、エンジニアやセキュリティ専門家の方々の主張です。

IPAのルール2

・脆弱性発見・報告のみちしるべ ~発見者に知っておいて欲しいこと~(統合版)|IPA

・脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」 ワクチン予約システムの欠陥巡り|ITmediaニュース

しかし、このツイートの画像やURLなどにもあるように、この「システムの脆弱性を見つけたら、まずは運営者に報告するのがルール」というのは、IPA(独立行政法人 情報処理推進機構)のルールのようですが、それは法令なのでしょうか?(かりにこれが法令であれば、「法の不知はこれを許さず」という法律上の原則もあてはまるわけですが。)

この点、ベネッセ個人情報漏洩事件の民事訴訟で、事業者(ベネッセ)の講じるべき安全管理措置が争われた事例において、当時の経産省の個人情報保護ガイドラインに法的拘束力を認めるものの、IPAのガイドラインには法的拘束力はないとして、ベネッセのIPAのガイドライン違反を違法としなかった裁判例があります(千葉地判平成30.6.20)。

・ベネッセの個人情報漏洩事故につき経産省ガイドラインの法的拘束力を認めるも情報処理推進機構のガイドラインの拘束力は認めなかった裁判例-千葉地判平成30・6・20

そもそも法律は主権者である国民から選挙で選ばれた国会議員の国会で作られるのが原則であり、その法律の細部を定めるために官庁が政省令(法施行令)や、さらにその政省令の細目を定める施行規則や、通達・指針・ガイドラインなどを作ることになっています。

IPAは経産省の傘下団体ではありますが、官庁ではないので、IPAのガイドラインなどに法的拘束力を認めなかった裁判所の判断は妥当だと思われます。(そもそもエンジニアなどIT業界・業種以外の普通の一般人にとっては、「IPAって何?おいしいの?」レベルだと思われますし。

つまり、「システムの脆弱性を見つけたら、まずは運営者に報告するのがルール」というのは、IPAのルール、つまり"SE村・IT村の内部ルール"に過ぎないと思われます。

そのため、同様に、「システムの脆弱性を見つけたら、まずは運営者に報告するのがルール」というIPAのルールに違反したとしても、報道したマスコミなどの行為が直ちに違法となるわけではないことになります。

したがって、エンジニアやセキュリティ専門家の方々が、IPAのルールを、報道をしたマスコミや国のシステム開発を批判している一般人への反論の論拠に使っても、それはあまり説得力がないのではないでしょうか。

3.国とマスコミとの関係
マスコミの報道は国民の「知る権利」に奉仕するものであり、民主主義社会の前提となるものなので憲法21条1項の表現の自由の保障の下にあるとされています(最高裁昭和44年11月26日判決・博多駅テレビフィルム事件)。

そして、国とマスコミの報道・取材との問題については、情報源の外務省の国家公務員に秘密を漏示することをそそのかした新聞記者の取材・報道が刑事裁判で争われた裁判において、裁判所は、「真に報道目的であるとき」等の場合には、記者の報道等は形式的には「そそのかし罪」の構成要件に該当するとしても、正当業務行為にあたり違法性が阻却されると判示しています(最高裁昭和53年5月31日判決・外務省秘密漏洩事件)。

今回の大規模接種センターの予約システムの問題を報道したマスコミの行動についても、かりにそれが国などに対する業務妨害罪などの刑事上の罪に形式的には該当する余地があるとしても、当該報道は、国民の生命・健康に関連するワクチン接種に係るシステムの問題であり、国民の重大な関心事であるので、実質的には報道目的ありとして、正当業務行為であり違法性が阻却され無罪となる可能性があるのではないでしょうか。

今回問題となっている大規模接種センターの予約システムは、国があらかじめ公表した「東京23区および大阪府の75歳以上の高齢者に大規模接種センターで接種する」という方針・計画に反して、23区外や75歳未満の住民などでも予約可能であったこと、つまり国・計画の方針に対して予約システムが設計段階で間違っていることが大きな問題であると思われます。

コロナから国民の生命・健康を守るために重要なワクチンを国が接種するための予約システムは、国の方針や計画をきちんと反映したものでなければならないはずです。

そうでなければ、国があらかじめ考えている接種する住民の優先順位を守ることができず、また公平・公正でなければならない国のワクチン接種などの行政行為が公平性・公正性が失われるおそれがあります。

あるいは予約システムの設計上の大きな誤りは、ワクチン接種の恣意的な運用や、間違ったな運用を許してしまうかもしれません。

しかしそれは国の行為として大きな危険をはらんでいます。わが国が国民主権の国であり、国民の福利のために国が存在する以上は、国の行為に間違いや誤りがあった場合などには、主権者である国民がそれを批判するのは正当ではないでしょうか(憲法11条、97条)。

国民が国を監視し、批判あるいは応援して政治に参画するためには、その前提として様々な情報や多様な意見が必要です。その国民の政治への参加の「助っ人」として、マスコミ・報道機関が国を取材し、批判的に報道することも、民主主義国家においては重要なことと思われます。

■参考文献
・野中俊彦・中村睦男・高橋和之・高見勝利『憲法Ⅰ 第5版』396頁

■関連する記事
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件-個人情報・公務の民間化
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた











このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ