なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:security

かくれてしまえばいいのですトップ画面2

1.はじめに

「いまのつらさに耐えられないのなら、一度隠れてしまいましょう」と、自殺防止の対策に取り組むNPO法人「ライフリンク」が、生成AIを利用したオンライン上に自殺対策のためのウェブサービス「かくれてしまえばいいのです」を作ったことをNHKなどが報道しています。公開から3日で30万以上のアクセスを集め話題になっているとのことです。
・つらい気持ち抱える人へ ネット上の「かくれが」話題に|NHK

自殺願望(希死念慮)のある利用者が生成AIと会話ができるサービスもあるようで、そのような非常にデリケートなカウンセリング業務を人間でなく生成AIにまかせてしまって大丈夫なのか非常に気になります。

また、そのようなセンシティブな会話、個人データの取扱いが大丈夫なのかが非常に気になるところです。

2.実際にサービスに入ってみるとー要配慮個人情報の取得の際の本人同意は?

実際に「かくれてしまえばいいのです」のトップ画面から利用画面に入ってみました。

かくれてしまえばいいのですトップ画面

しかし、本サービスは自殺願望のある人々の悩みなどを取扱うため、うつ病やオーバードーズなどの精神疾患の情報を扱う可能性が高いところ、そのようなセンシティブな個人情報(場合によっては健康・医療データ)を書き込み等により電磁的記録として収集するにもかかわらず利用者の本人同意を取得することについてのボタンやチェックマークなどは表示されませんでした。これは要配慮個人情報の取得にあたっては本人同意を必要としている個人情報保護法20条2項に抵触しているのではないでしょうか?(個人情報保護法ガイドライン(通則編)2-16参照。)

あるいは「偽りその他不正な手段」による個人情報の収集を禁止する個情法20条1項に抵触しているのではないでしょうか。

なお、個人情報保護委員会の「生成AIサービスの利用に関する注意喚起等について(令和5年6月2日)」の生成AI事業者向けの注意喚起は、そもそも、「収集する情報に要配慮個人情報が含まれないよう必要な取組を行うこと」を求めています。(松尾剛行『ChatGPTと法律実務』64頁。)

そのような観点からも、精神疾患などの要配慮個人情報を生成AIで取扱うことを前提とした本サービスを実施してよいのか疑問が残ります。

3.「ロボとおしゃべりコーナー」-警察等に通報される?

つぎに、生成AIに悩み事を相談できる部屋「ロボとおしゃべりコーナー」にも入ってみました。

ロボとおしゃべりの部屋

するとつぎのような表示が現れました。

ロボとおしゃべりの表示

この部屋に入る場面においても、利用者の本人同意を取得するためのボタンやチェックマークなどは現れませんでした。

また、このアナウンスの表示には「私はただのプログラムだから何を言っても大丈夫!気軽にやってみてね」と書かれているだけです。

しかしこの点、「かくれてしまえばいいのです」の利用規約には、「本人または第三者に危害のおそれがある場合には、本人の同意にかかわらず警察等の関係機関に通報する」等の規定があるのですが(利用規約3条2項)、こういった点も十分アナウンスされていないことも気になります。

利用規約3条2項

4.利用規約-Microsoft社のAzureやOpenAIServiceを利用している

この利用規約を読んでみると、MicrosoftのAzureOpenAIServiceを利用していることが分かります。

利用規約3条1
利用規約3条(1)以下

入力された個人データなどは、Microsoft社のAzureOpenAIServiceの機械学習には利用されないとは一応書かれていますが、Microsoft社のサーバーに個人データは蓄積されると期されています。さらに、ライフリンクは自殺対策の調査・研究・検証などのために入力された個人データなどを利用するとも書かれている点は、利用者は注意が必要でしょう(利用規約3条3項3号、同6条2項)。

しかもプライバシーポリシーには安全管理措置を講じると書かれている部分はありますが(プライバシーポリシー4条)、具体的に個人データの保存期間などの明記はありません。

さらに、ライフリンクのプライバシーポリシーには個人情報の開示・訂正・削除等請求の具体的な手続きが記載されていないことも非常に気になります。

なお、プライバシーポリシーをみると、大学など研究機関に個人データが匿名加工情報の形態とはいえ、第三者提供されるとの記述もあることが気になります(プライバシーポリシー10条)。

プライバシーポリシー10条

ところでこの利用規約3条で一番気になるのは、同3条3項4号が「利用者は、当該サービスが自らの心身や認識に対して直接または間接に影響を及ぼしうることに留意し、当該サービスに過度に依拠して何らかの決定を行わないよう注意して利用すること」と明示していることではないでしょうか。

つまり、ライフリンクはこの「かくれてしまえばいいのです」の生成AIサービスなどによる相談業務などは、利用者にとって悪影響があるおそれがあることを承知しつつ、それを利用者の責任で利用せよとしているのです。これは、まだまだ発展途上の生成AIの危険を利用者に丸投げするものであり、場合によってはライフリンクは不法行為責任(民法709条)などを負う可能性があるのではないでしょうか?

しかし、利用規約3条4項は、ライフリンクは「当該サービスの利用により利用者または第三者に生じたいかなる損害に対しても、何ら責任を負わない」と明記しています。とはいえ、このような利用規約の規定は、消費者契約法10条などとの関係で無効とされる可能性があるのではないでしょうか?

生成AIは、真顔で嘘をつくこと(ハルシネーション(Hallucination))や、間違いを犯すことが知られています。また正しい発言であっても、自殺願望のある人に言ってよいことと悪いことがあるはずです。このような機微にわたる業務は精神科やカウンセラーなど専門家の「人間」が実施すべきことなのではないでしょうか。それを生成AIにやらせてしまっている本サービスには非常に疑問を感じます。

また、この点を個人情報保護法から考えても、このようなライフリンクの姿勢は、「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」との個情法19条の不適正利用の禁止に抵触し、個人情報保護委員会から行政指導・行政処分などが課される可能性があるのではないでしょうか?

この点、EUのAI規制法案は、AIをそのリスクの度合いで4分類しているところ、医療機器などに関連するAIはそのリスクの高い順から2番目の「ハイリスク」に分類され、事業者には透明性や説明責任、ログの保管義務等が要求され、さらに当局のデータベースに登録される義務等が課されます。そういった意味で、この「かくれてしまえばいいのです」は日本の厚労省などの監督当局が承知しているのか気になります。

5.まとめ

このように、この「かくれてしまえばいいのです」のサービスや、利用規約、プライバシーポリシーはツッコミどころが満載です。

いくら「いのちの電話」などが人手不足であったとしても、自殺願望のある人々の相談業務などを、まだまだ発展途上の生成AIにやらせてしまって大丈夫なのでしょうか?厚労省や個人情報保護委員会、警察当局などはこのサービスについて十分承知しているのでしょうか?大いに心配なものがあります。利用者の方々は、本サービスの利用規約やプライバシーポリシーなどをよく読み、十分ご自身で検討した上で利用するか否かを考えるべきだと思われます。

自殺願望などがある方々は、まずは最寄りの精神科や資格を持ったカウンセラー、「いのちの電話」などを利用するべきだと思われます。安易にセンシティブな病状などの個人情報を生成AIに入力して相談等することは慎重であるべきだと思われます。

このブログ記事が面白かったらシェアなどをお願いします!

■参考文献
・つらい気持ち抱える人へ ネット上の「かくれが」話題に|NHK
・「かくれてしまえばいいのです」利用規約|ライフリンク
・プライバシーポリシー|ライフリンク
・生成AIサービスの利用に関する注意喚起等について(令和5年6月2日)|個人情報保護委員会
・松尾剛行『ChatGPTと法律実務』64頁

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

デジタル認証アプリイメージ図
前回のブログ記事でも取り上げた、デジタル庁のデジタル認証アプリに関するパブコメに対して以下のような意見を提出しました。


『デジタル認証アプリについては、個人が官民の各種サービスを利用した履歴が一元管理され、不当な個人のプロファイリングや、関連性のないデータによる個人の選別・差別、国家による個人の監視などの個人の権利利益の侵害や個人の人格権侵害のリスクがあります(マイナンバー法1条、個人情報保護法1条、3条、憲法13条、「マイナカード利用「認証アプリ」、個人の利用状況を国が一元管理のプライバシーリスク」2024年2月26日付日経クロステック参照)。そのため、「法律による行政の原則」(憲法 41 条、65 条、 76 条)の観点から、公的個人認証法の施行規則の一部改正だけではなく、マイナンバー法そのものを一部改正し、根拠条文を設置し、利用目的や目的外利用の禁止、安全管理措置等を規定し、違法・不当な利用に歯止めをかけるべきと考えます。

また、デジタル認証アプリで収集された個人情報(「連続的に蓄積」されたサービス利用履歴等も含む。個情法ガイドライン(通則編)2-8(※)参照。)についても、利用目的の制限、第三者提供等の制限、安全管理措置、保存期間の設定、データ最小限の原則、開示・訂正請求など本人関与の仕組みの策定、情報公開・透明性の仕組みの確保、不適正利用・プロファイリングの禁止などの法規制がなされるべきと考えます。

さらに、マイナンバーカードの電子証明書の発行番号(シリアル番号)についても、マイナンバー(個人番号)に準じたものとして取扱うように法規制し、利用目的の厳格化、目的外利用の禁止、第三者提供の制限、厳格な安全管理措置などの法規制を、マイナンバー法を改正するなどして盛り込むべきだと考えます。(同様に、マイナンバーカードやマイナポータルなどについてもマイナンバー法に根拠条文が非常に少ないため、これらについても「法律による行政の原則」の観点から、政令や施行規則・通達等の整備ではなく法規制を実施すべきだと思われます。)』


■参考文献
・電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則の一部を改正する命令案に対する意見募集について|e-GOV
・マイナカード利用「認証アプリ」、個人の利用状況を国が一元管理のプライバシーリスク|日経クロステック
・マイナンバーカードの取得を強く求める政府 本当の狙いはどこに|朝日新聞
・マイナカード、目に見えない「もう一つの番号」 規制緩くて大丈夫?|朝日新聞
・民間事業者が公的個人認証サービスを利用するメリット|J‐LIS
・水町雅子『逐条解説マイナンバー法』267頁、269頁

■関連するブログ記事
・デジタル庁のマイナンバーカードの「デジタル認証アプリ」で個人の官民の各種サービスの利用履歴が一元管理されるリスクを考えた

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

my_number_card2

1.はじめに

2024年2月26日付の日経クロステックの記事「マイナカード利用「認証アプリ」、個人の利用状況を国が一元管理のプライバシーリスク」が、デジタル庁が本年4月から提供予定のマイナンバーカードを使って本人確認をする「デジタル認証アプリ」が、個人が行政や民間企業のサービスのログインなどで同アプリを使って認証することで、その本人の様々な官民の各種サービスの利用状況がデジタル庁のサーバーに蓄積され、国が個人について広範囲に情報を把握することとなり、不当なプロファイリングなどにつながるプライバシーリスクがあるという趣旨の報道しています。

2.デジタル認証アプリのしくみ

このデジタル認証アプリとは、マイナンバーカードの内臓ICチップに搭載されている電子証明書を読み取り、オンラインで本人確認を行うためのアプリであるそうです。

マイナンバーカードのデジタル認証アプリサーバーの図
(「マイナカード利用「認証アプリ」、個人の利用状況を国が一元管理のプライバシーリスク」2024年2月26日付日経クロステックより)

官民の各種サービスのウェブサイトのログインなど、本人確認が必要な際に、デジタル庁のアプリサーバーがそのサービスからのリクエストに応じてマイナンバーカードの電子証明書を受け付け、J-LIS(地方公共団体情報システム機構)のサーバーに問い合わせてその有効性を確認し、有効性が確認できたらその結果をサービス側のサーバーに返すことでサービス利用時の本人確認が行われる仕組みとなっています。

そしてこの本人確認の際に、デジタル庁のアプリサーバーにマイナンバーカードのICチップの電子証明書発行番号(シリアル番号)、事業者別リンクコード、認証状況などの情報が保存されます。電子証明書発行番号は個人の保有するマイナンバーカードと1対1で紐付き、事業者別リンクコードはサービス事業者と1対1で紐付くため、誰がどのサービス事業者のサービスの利用において本人確認を行ったかという情報がデジタル庁のサーバーに保管・蓄積されることになります。

このようなデジタル認証アプリの仕組みにより、国民個人が行政や民間企業のサービスのログインなどで同アプリを使って認証することで、その本人の様々な官民の各種サービスの利用状況がデジタル庁のサーバーに蓄積され、国が個人について一元的に情報を把握することとなり、不当なプロファイリングなどのプライバシーリスクがあることになります。

(なお、このマイナンバーカードの電子証明書は5年ごとに失効するので心配ないとの意見もあるようですが、J-LISは平成29年からいわゆる「新旧シリアル番号の紐付けサービス」を提供しており、官民の機関・事業者は電子証明書の新旧の発行番号を管理することにより、本人を追跡し続けることが可能です。)

3.マイナンバーカードの電子証明書の発行番号に関する法規制

このようにマイナンバーカードのICチップの電子証明書の発行番号(シリアル番号)は、マイナンバー(個人番号)と同様に取扱注意な番号ですが、それに対する法規制がマイナンバーに対する法規制と異なりゆるいことが大きな問題の一つであるといえます。

マイナンバーについてはマイナンバー法が利用目的を税、社会保障、災害対応の3分野に限定しそれ以外の用途への利用を禁止し、提供先の機関も法定され(9条、別表1)、厳格な安全管理措置が規定され(27条以下)、罰則(48条以下)も設けられています。

一方、電子証明書の発行番号についてはそこまでの利用目的の制限がなく、また発行番号は特定個人情報(マイナンバーを含む個人情報)にも該当しないとなっており、特定個人情報に対する厳格な安全管理措置の適用もありません。公的個人認証法(JPKI法)で、発行番号を含めた外部提供用のデータベースを作成することが禁止されていますが(63条)、罰則についてはそのようなデータベースを繰り返し作成する等した事業者が、国の命令に従わなかった場合にしか科されないなど、ゆるい法規制にとどまっています(75条)。

このように、マイナンバーカードの電子証明書の発行番号の法規制はマイナンバーに比べて非常にゆるいと言わざるを得ません。これで国民の個人情報保護やプライバシー保護などは大丈夫なのでしょうか。

この点、上でみた日経クロステックの記事によると、取材に対してデジタル庁幹部は「サーバーに保有する記録の中には氏名、住所、生年月日、性別といった個人情報は含まずプライバシーインパクトは大きくないため、特段の法制度上の対応は必要ないと考えている」と回答したとのことです。

しかしこのデジタル庁の見解はいろいろと甘いのではないでしょうか。「氏名、住所、生年月日などが含まれていなければ個人情報ではない」との個情法の定義の理解は完全に間違っています。

また、個人情報保護委員会は、例えばCookieやサービス利用履歴等についても「連続的に蓄積」され特定の個人を識別できるものは個人情報としているのですから(個情法GL(通則編)2-8(※))、デジタル庁のサーバーに「連続的に蓄積」された発行番号や利用履歴等も個人情報として安全管理措置を講じる必要があるはずです(個情法66条)。

個情法ガイドライン通則編2-8
(個人情報保護委員会の個人情報保護法ガイドライン(通則編)2-8(※)より)

しかも上で見てきたように、デジタル認証アプリでデジタル庁のサーバーに広範囲に保存・蓄積されるマイナンバーカードの電子証明書の発行番号のデータは本人の様々な官民の各種サービスの利用状況であり、国家による個人の監視や不当なプロファイリング、関連性のないデータによる個人の選別・差別のおそれがあるのですから、マイナンバー並みの厳格な管理が必要なはずです。

この点、上の記事では日経クロステックの取材に対して、OpenID ファウンデーション・ジャパンの富士榮尚寛代表理事がつぎのように回答されています。

OpenID ファウンデーション・ジャパンの富士榮尚寛代表理事のコメント

「問題は、性質や提供者が異なる、国のサービスも民間サービスも含めて1人の個人にひも付いた利用状況がデジタル庁のサーバーに蓄積することだ」と指摘。デジタル庁のWebサイトでは同アプリについて「行政サービスでも民間サービスでも利用可能な国が認定する個人認証サービスを提供します」としている。

「例えばデジタル認証アプリで本人確認をして『富士榮が確定申告をした』だけならば、そもそも国家が把握している情報なので問題ない。ところが、そこに『富士榮が映画のチケット購入時に本人確認をした』『富士榮が18禁のサービス利用時に本人確認をした』など民間サービスの利用状況もひも付き一元管理されるとどうか」

「Google Knows You Better Than You Know Yourself」ならぬ「デジタル庁はあなたよりあなた自身のことを知っている」ということになりかねない懸念があるというわけだ。

(「マイナカード利用「認証アプリ」、個人の利用状況を国が一元管理のプライバシーリスク」2024年2月26日付日経クロステックより)

4.まとめ・デジタル庁のパブコメが実施中

デジタル認証アプリについては、個人が官民の各種サービスを利用した履歴が一元管理され、不当な個人のプロファイリングや、関連性のないデータによる個人の選別・差別、国家による個人の監視などの個人の権利利益の侵害や個人の人格権侵害のリスクがあります(マイナンバー法1条、個人情報保護法1条、3条、憲法13条)。

そのため、「法律による行政の原則」(憲法 41 条、65 条、 76 条)の観点から、デジタル認証アプリについて、公的個人認証法の施行規則の一部改正だけではなく、マイナンバー法そのものを一部改正し、根拠条文を設置し、利用目的や目的外利用の禁止、安全管理措置等を規定し、違法・不当な利用に歯止めをかけるべきと考えます。

また、デジタル認証アプリで収集された個人情報(「連続的に蓄積」された電子証明書の発行番号(シリアル番号)やサービス利用履歴等も含む。個情法ガイドライン(通則編)2-8(※)参照。)についても、利用目的の制限、第三者提供等の制限、安全管理措置、保存期間の設定、データ最小限の原則、開示・訂正請求など本人関与の仕組みの策定、情報公開・透明性の仕組みの確保、不適正利用・プロファイリングの禁止などの法規制がなされるべきと考えます。

さらに、マイナンバーカードの電子証明書の発行番号(シリアル番号)についても、マイナンバー(個人番号)に準じたものとして取扱うように法規制し、利用目的の厳格化、目的外利用の禁止、第三者提供の制限、厳格な安全管理措置などの法規制を、マイナンバー法を改正するなどして盛り込むべきだと考えます。(同様に、マイナンバーカードやマイナポータルなどについてもマイナンバー法に根拠条文が非常に少ないため、これらについても「法律による行政の原則」の観点から、政令や施行規則・通達等の整備ではなく、まずは法規制を実施すべきだと思われます。)

なお、このデジタル認証アプリに関しては、現在、デジタル庁がパブコメを実施中です。(2024年2月29日まで。)

・電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則の一部を改正する命令案に対する意見募集について|e-GOV

この問題に興味・関心のある多くの方が意見を提出することが望まれます。

■追記(2024年2月28日)
上でもコメントを引用させていただいた、OpenID ファウンデーション・ジャパン代表理事の富士榮尚寛先生が、ブログでこのデジタル認証アプリのパブコメを取り上げておられます。
・デジタル認証アプリがやってくる(その後)|IdM実験室
・デジタル認証アプリがやってくる|IdM実験室

■追記(2024年2月29日)
一般社団法人MyDataJapanが本パブコメに対する意見を公表しています。
・「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則の一部を改正する命令案」に対するパブコメ(2024/2/29)|MyDataJapan

■追記(2024年2月29日)
本パブコメに意見を提出しました。
・デジタル庁のデジタル認証アプリに関するパブコメに意見を提出してみた

このブログ記事が面白かったらシェアなどをお願いします!

■参考文献
・マイナカード利用「認証アプリ」、個人の利用状況を国が一元管理のプライバシーリスク|日経クロステック
・マイナンバーカードの取得を強く求める政府 本当の狙いはどこに|朝日新聞
・マイナカード、目に見えない「もう一つの番号」 規制緩くて大丈夫?|朝日新聞
・民間事業者が公的個人認証サービスを利用するメリット|J‐LIS
・水町雅子『逐条解説マイナンバー法』267頁、269頁

■関連するブログ記事
・備前市が学校給食無償をマイナンバーカード取得世帯のみにすることをマイナンバー法から考えたーなぜマイナンバー法16条の2は「任意」なのか?(追記あり)
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・政府の検討会議で健康・医療データについて患者の本人同意なしに二次利用を認める方向で検討がなされていることに反対する

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

nyugaku_girl

1.はじめに

2024年1月29日付の朝日新聞に「入学前の子の個人情報、小学校が無断でPTAに提供 埼玉県内で判明」との記事が掲載されていました。

この記事によると、埼玉県白岡市の市立小学校で、入学前の生徒の氏名・住所・保護者の電話番号などの個人情報がPTAに提供されていたことが発覚したとのことです。

これはなかなか難しい問題だなと思い、私も主に公立学校からPTAに個人情報が提供される場面の本人確認の要否等について、少し調べてみました。(国会図書館の国会図書館サーチやCiniiなどで調べても、そもそもPTAと個人情報保護法に関する資料・文献が少ないようで難儀しました。)

2.PTAとは

公益社団法人日本PTA全国協議会サイトのページ「はじめましてPTA」によると、PTAとは「子どもたちが「社会教育」を受けるためのもの」であり、同時に保護者の「成人教育の場」でもあるとのことです。そして同ページによると、PTAの趣旨・目的は、「子どもたちが正しく健やかに育ってゆくには、家庭と学校と社会とが、その教育の責任を分けあい、力を合わせて子どもたちの幸せのために努力してゆくことが大切である」と説明されています。つまり学校とPTAは趣旨・目的が異なる団体・法人です。

またこの点、筑波大学の星野豊先生の「総合研究・教育と法・第72回 PTAに関する現代的問題点」『月刊高校教育』48巻3号82頁(2015年)によると、PTAの設置などに関しては法律で特別の規定が存在しておらず、つまりPTAは民法でいうところの「権利能力なき社団」であるそうです。そのため、PTAは「国公私立を問わず、学校とは完全に別団体」であると説明されています。

すなわち、PTAと学校とは別法人なのですから、個人情報保護との関係ではPTAと学校を一体のものと考えることや、PTAを学校の部門の一つと考えることは正しくないことになります。

3.個人情報保護法から考える

(1)令和3年個人情報保護法改正
まず学校からPTAへの個人情報の提供等を考えるために個人情報保護法について考えてみます。

令和3年(2021年)の個人情報保護法改正により、個人情報保護法制の官民一元化が行われ、行政機関個人情報保護法や独立行政法人個人情報保護法、全国の自治体の個人情報保護条例なども原則として個人情報保護法に一本化されました。そのため、現在においては全国の公立学校には個人情報保護法の第5章の「行政機関等の義務等」が適用されることになります。(なお、私立学校やPTAについては、民間事業者等に関する第4章の「個人情報取扱事業者等の義務等」が適用されます。(個人情報保護委員会「自治会・同窓会等向け 会員名簿を作るときの注意事項」4頁参照。))

(2)個人情報保護法69条
そこで個人情報保護法第5章の第69条をみると次のように規定されています。

個人情報保護法
(利用及び提供の制限)
第六十九条 行政機関の長等は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。
 前項の規定にかかわらず、行政機関の長等は、次の各号のいずれかに該当すると認めるときは、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供することができる。ただし、保有個人情報を利用目的以外の目的のために自ら利用し、又は提供することによって、本人又は第三者の権利利益を不当に侵害するおそれがあると認められるときは、この限りでない。
 本人の同意があるとき、又は本人に提供するとき。
 (略)
 (略)
 前三号に掲げる場合のほか、専ら統計の作成又は学術研究の目的のために保有個人情報を提供するとき、本人以外の者に提供することが明らかに本人の利益になるとき、その他保有個人情報を提供することについて特別の理由があるとき
(後略)

このように個情法69条1項は、民間部門に関する同法18条、27条と異なり、「行政機関の長等は…利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。」と規定しており、利用目的の範囲内であれば個人情報を提供することができると規定しています。

また、同法同条1項1号は、行政機関等は「本人の同意」があるときは提供ができると規定しており、さらに同条同項4号は、「本人以外の者に提供することが明らかに本人の利益になるとき」にも行政機関等は個人情報を提供できると規定しています(岡村久道『個人情報保護法 第4版』525頁、526頁)。

そのため、①公立学校は利用目的の範囲外である場合には、その保有する個人情報をPTAに提供するときは本人の同意(または保護者の同意)が必要となり、②利用目的の範囲内である場合には、その保有する個人情報をPTAに提供するときは本人の同意(または保護者の同意)が不要となります。また、③利用目的の範囲外であっても、本人の同意(または保護者の同意)があるときや、「本人以外の者に提供することが明らかに本人の利益になるとき」には個人情報を提供することが可能です。

(なおこの「本人以外の者に提供することが明らかに本人の利益になるとき」(個情法69条1項4号)について、個人情報保護委員会の「個人情報保護法ガイドライン(行政機関等編)」5‐5‐2 「例外的に利用目的以外の目的のための利用及び提供が認められる場合」は、「「本人以外の者に提供することが明らかに本人の利益になるとき」とは、本人の生命、身体又は財産を保護するために必要がある場合や、本人に対する金銭の給付、栄典の授与等のために必要がある場合などが含まれ、例えば、緊急に輸血が必要な場合に本人の血液型を民間病院の医師に知らせる場合、災害や事故に遭ったときにその旨を家族に知らせる場合等が考えられる。」と規定しています。そのため、この「本人以外の者に提供することが明らかに本人の利益になるとき」は、児童が交通事故にあったとき等、例外的な場合に限られるものと考えられます。)

(3)個情委の「自治会・同窓会等向け 会員名簿を作るときの注意事項」
つぎに、個情委の「自治会・同窓会等向け 会員名簿を作るときの注意事項」(以下「会員名簿注意事項」)は、まず「事業で名簿等を利用していれば、株式会社等の営利組織だけでなく、自治会・町内会、同窓会、PTA、マンション管理組合、NPO法人、サークル等の非営利の団体や、個人で活動している個人事業主も「個人情報取扱事業者」に該当します。」(4頁)と規定しており、PTAも個人情報取扱事業者に該当し、個人情報保護法の適用を受けるとしています。

また、「会員名簿注意事項」7頁は、「市町村等は、「行政機関等」であって「個人情報取扱事業者」ではありません(法16条2項、法2条11項)。…このとき、提供を受ける個人情報について、利用の目的や方法等の制限、又は取扱者の範囲の限定や取扱状況の報告等適切な管理のために必要な措置を求められた場合には、適正に対応する必要があります(法70条)。」と規定しています。

さらに、「会員名簿注意事項」7頁は、「行政機関等においては、法令の定める所掌事務や業務を遂行するために必要な場合において、特定した利用目的のために自治会等に保有個人情報を提供することがあります(法61条1項、法69条1項)。その他にも、法令に基づく場合(法69条1項)や利用目的以外の目的のために保有個人情報を提供する場合があります(法69条2項各号)が、実際に提供を行うことの適否については、各行政機関等において適切に判断される必要があるものです。市町村等が保有個人情報の提供を行うケースとして、災害時において特に必要があると認めるときに、避難支援等の実施に必要な限度で避難行動要支援者名簿を自主防災組織等に対して提供する場合(災害対策基本法第49条の11第3項)等が考えられます。」と規定しています。

市町村等から取得する場合
(個人情報保護委員会「自治会・同窓会等向け 会員名簿を作るときの注意事項」7頁より)

4.個別の事例に分けて考えてみる

(1)概要
公立学校とPTAの個人情報保護については、このように上でみてきた個人情報保護法および個情委のガイドラインや「自治会・同窓会等向け 会員名簿を作るときの注意事項」の規定によることになりますが、上で見た星野豊先生の「総合研究・教育と法・第72回 PTAに関する現代的問題点」『月刊高校教育』48巻3号82頁にあげられている具体例を次のとおり、いくつか検討してみたいと思います。

【児童や保護者の本人の同意が必要と思われる場合】
(2)PTAの役員決めやPTA会費徴収等のために公立学校がPTAに児童等の個人情報を提供する場合
この場合については、「PTAの役員決めやPTA会費徴収等」をPTAが行うことはPTA内部の問題であり、公立学校の個人情報の利用目的とは関係がないため、公立学校からPTAへの個人情報の提供は本人同意(または保護者の同意)なしに行うことはできないと考えられます(個情法69条1項1号)。

(3)PTAにおいて、PTA活動における各家庭の負担分配に際して、同じ学校に兄弟姉妹が在学しているかを確認する場合
この場合については、「PTA活動における各家庭の負担分配」をPTAが行うことはPTA内部の問題であり、公立学校の個人情報の利用目的とは関係がないため、公立学校からPTAへの個人情報の提供は本人同意(または保護者の同意)なしに行うことはできないと考えられます(個情法69条1項1号)。

【児童や保護者の本人の同意が不要と思われる場合】
(4)PTAで雇用した職員等が事実上学校の事務を補助している場合
この場合には、「学校の事務を補助する」という公立学校の利用目的の範囲内で個人情報を提供する場合にあたると考えられるため、公立学校からPTAへの個人情報の提供は本人同意(または保護者の同意)なしに可能と考えられます(個情法69条1項)。

(5)学校の進路説明会や高大連携企画等においてPTAが「援助」「協賛」等を行う場合
この場合も、学校の進路説明会・高大連携企画等は公立学校の個人情報の利用目的の範囲内と考えられるため、公立学校からPTAへの個人情報の提供は本人同意(または保護者の同意)なしに可能と考えられます(個情法69条1項)。

(6)学校として行うべき事務連絡の一部をPTAないし各家庭の相互連絡に委託するための「連絡網」の場合
現在は、こうした「連絡網」ではなく公立学校等から各家庭への一斉メールなどが一般的であると思われますが、このような「連絡網」も、「学校として行うべき事務連絡の一部」である限りは、公立学校の個人情報の利用目的の範囲内であると思われ、この個人情報のPTAへの提供については本人同意(または保護者の同意)は不要であるように思われます(個情法69条1項)。

(7)災害時において特に必要があると認めるときに、避難支援等の実施に必要な限度で避難行動要支援者名簿を自主防災組織等に対して提供する場合
この場合には、上の個情委の「会員名簿注意事項」7頁が規定しているとおり、災害対策基本法第49条の11第3項の規定に基づいて、自治体や公立学校等が名簿などの個人情報をPTAに提供することは可能となる余地があるように思われます。しかしその一方で、災害時でない平時においては、公立学校等からPTAに名簿を提供するには児童本人の同意(または保護者の同意)が必要となると思われます。

公立学校からPTAに個人情報を提供する場合の本人同意の要否の図

【注1】なお、児童・子どもの本人の同意について、個情委の「会員名簿注意事項」14頁は、「一般的には12歳から15歳までの年齢以下の子ども」については、保護者などの「法定代理人の同意を得る必要がある」と規定しています。

【注2】自治体や公立学校等がPTAに個人情報を提供する場合には、当該個人情報について、利用目的や方法等の制限、取扱者の限定、取扱方法の報告など適切な管理のために必要な措置が課されることがあり、その場合にはPTA等は当該措置を遵守する必要があります(個情法70条、個情委「会員名簿注意事項」7頁)。

5.その他・まとめ

なお、冒頭の朝日新聞の記事によると、埼玉県教育委員会は2017年に、「学校が入手した個人情報を「PTAへの加入」などに用いるのは「目的外利用」だとする見解などを事務連絡として各市の教育委員会に伝えており、白岡市教育委員会も2023年2月に、市内の全10小中学校に対して「学校が保有している個人情報は、PTAに提供しないことを原則とする」などとする通知を発出したとのことです。

学校やPTAにおいても、個人情報保護法や個情委のガイドライン等に準拠した個人情報の取扱いが求められると思われます。

このブログ記事が面白かったらシェアやブックマークをお願いします!

■参考文献
・「入学前の子の個人情報、小学校が無断でPTAに提供 埼玉県内で判明」朝日新聞2024年1月29日付
「はじめましてPTA」日本PTA全国協議会
・星野豊「総合研究・教育と法・第72回 PTAに関する現代的問題点」『月刊高校教育』48巻3号
・個人情報保護委員会「自治会・同窓会等向け 会員名簿を作るときの注意事項」
・岡本久道『個人情報保護法 第4版』525頁、526頁
・「公立学校から個人情報第三者提供の原則禁止について」|長野県(2023年7月)
・佐藤香代「教育問題法律相談No.417 PTA活動と改正個人情報保護法」『週刊教育資料』2017.7.3号31頁
・木村草太『木村草太の憲法の新手』31頁

※なお、個別の紛争解決などに関しては、弁護士や法律学者などの専門家にご相談ください。

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

内閣府や厚労省等の検討会議で、健康・医療データについて本人同意なしに二次利用(目的外利用・第三者提供)を認める方向で検討がなされているようですが、この方向の検討に難治性の疾患の長年の患者の一人として反対です。

例えば、厚労省の検討会「健康・医療・介護情報利活用検討会 医療等情報の二次利用に関するワーキンググループ」の第2回資料をみると、健康・医療データを本人同意なしで二次利用する方向で議論しています。

第一回でいただいたご意見
(厚労省の検討会「健康・医療・介護情報利活用検討会 医療等情報の二次利用に関するワーキンググループ」の第2回資料より)

医療データ利活用の関する議論の全体像
「医療データの利活用に関する議論の全体像ー目指すべき未来」『医療データ利活用について(論点整理(骨子))』内閣府より)

医療データは要配慮個人情報・センシティブ情報であり、個人情報のなかでもとりわけ取扱注意な情報です(個人情報保護法2条3項、20条2項、27条2項ただし書き)。それを患者本人の同意を取らずに勝手に二次利用とは個情法の観点からもあまりにもおかしいと考えます。

プライバシーに関しては日本の憲法学では一応、自己情報コントロール権説(情報自己決定権説)が通説なのですから、その観点からも本人同意なしは説明がつかないと考えます。

(なお、有力説としては曽我部真裕教授などの「自らの個人情報を適切に取扱われる権利」説や、高木浩光氏の「関連性のない個人データによる個人の選別・差別禁止」説などがあるが、これらの説ではこの医療データの本人同意なしの二次利用の問題などについて、政府等から「いやいや貴方の医療データは適切に取扱います。もちろん関連性のない個人データで貴方を選別・差別したりしません。」と言われたときに患者・国民は何も反論できないという問題点がある。)

医療データは風邪のような軽微なものから、がんやHIV、精神病など社会的差別の原因となる疾病が多いのに、医療データを乱雑に扱ってよいとはとても思えません。とくに精神疾患は患者の内心(憲法19条)に直結しています。政府や製薬会社・IT企業等は、患者・国民の内心・内面や思想・信条に土足で踏み込むつもりなのでしょうか。これらの社会的差別の原因となる、あるいは患者の内面に直結する医療データを患者の本人同意なしに二次利用してよいとはとても思えません。

日本経済の発展のために医療データの利活用が必要だとしても、オプトアウト制度など何らかの患者本人が関与するしくみが絶対に必要だと考えます。

日本は中国やシンガポール等のような全体主義国家ではなく、国民主権の民主主義国なのですから(憲法1条)、国民の個人の尊重や基本的人権の確立が最も重要な国家目的のはずです(憲法13条、12条、97条)。患者・国民を国や製薬会社・IT企業等のために個人データを生産する家畜のように扱うことは絶対に止めるべきです。

健康・医療データについて本人同意なしに二次利用を認めることには患者の一人として私は反対です。政府は患者・国民不在でこういう検討を勝手に進めるのは止めてほしいと思います。

■関連するブログ記事
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた

■参考文献

・山本龍彦・曽我部真裕「自己情報コントロール権のゆくえ」『<超個人主義>の逆説』165頁
・高木浩光「個人情報保護から個人データ保護へ(6)」『情報法制研究』12 巻49頁
・黒澤修一郎「プライバシー権」『憲法学の現在地』(山本龍彦・横大道聡編)139頁
・成原慧「プライバシー」『Liberty2.0』(駒村圭吾編)187頁
・「患者データ利用 同意不要へ」読売新聞2023年7月26日付記事

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ