なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:security

性犯罪マップトップ画面
1.はじめに
「子どもを性犯罪からまもるAmynaプロジェクト」という団体が「性犯罪マップ」というDBを作成してネット上で公表しているようです。たしかに子どもを性犯罪から守ることは重要であると思われますが、しかし性犯罪のデータを収集してデータベース化し、それをネット上で公表することは、個人情報保護法などの法令との関係で問題がないのでしょうか?

2.個人情報保護法から考える
同プロジェクトのサイトを見ると、ニュースサイト等から子どもに対する性犯罪に関するデータを収集し、それを元に地図アプリによって「性犯罪マップ」を作成し、この「性犯罪マップ」の青いピンをクリックすると、事件の概要、容疑者/犯行者についての情報が現れるようになっているようです。

性犯罪マップ
(「性犯罪マップ」サイトより)

犯罪歴は要配慮個人情報であり、センシティブな個人情報であるため厳格な取扱いが必要となります。要配慮個人情報の収集には本人の同意が必要であり(個人情報保護法20条2項)、またその情報の第三者提供にはオプトアウト方式は許されず本人の同意が必要となります(法27条2項ただし書、法27条1項)。

しかし、報道等により公開された犯罪歴などの情報の収集は法20条2項の例外で本人同意は不要とされており(法20条2項7号)、また、「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」には本人同意なしに第三者提供を行うことが認められています(法27条1項3号)。それではこの「性犯罪マップ」は違法ではないのでしょうか?

3.破産者マップ事件・個人情報保護法19条(不適正利用の禁止)
この点、この「性犯罪マップ」で思い起こされるのは、2019年頃から問題となった、いわゆる破産者マップ事件です。

破産者マップ事件は、官報に掲載された破産者情報等を集約しデータベース化した上で公開するウェブサイトが開設され、Googleマップと関連付けが行われるなどしたため、プライバシー侵害や名誉棄損等の観点での批判が集中し社会問題化しました。これに対して個人情報保護委員会は、運営事業者に対して利用目的の通知・公表義務違反(法21条)や個人データの第三者提供規制違反(法27条)を根拠としてサイトの停止等の命令を発出しました。2023年には、事業者に対して個情委は捜査当局への刑事告発も行っています。

そして、この破産者マップ事件などを受けて、令和2年個人情報保護法改正では、不適正利用の禁止規定が個人情報保護法に新設されました(法19条)。(岡田淳・北山昇・小川智史・松本亮孝・宍戸常寿『個人情報保護法』151頁)

個人情報保護法19条(不適正利用の禁止)は、「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」という抽象的な規定ですが、個人情報保護法ガイドライン(通則編)3-2は、「事例2)裁判所による公告等により散在的に公開されている個人情報(例:官報に掲載されている破産者情報)を、当該個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合」は法19条違反となるとしています。

つまり、破産者マップ事件などのように、ネット上の散在情報を収集・集約しデータベース化してネット上で公開することが、「本人への違法な差別が、不特定多数の者によって誘発されるおそれが予見できるにもかかわらず」「公開」するような場合には、法19条の不適正利用の禁止違反になると個情委はしているのです。

4.性犯罪マップを考える
この点、本件の性犯罪マップについても、それ自体はネット上で公開されている散在情報をもとにしているとはいえ、それらをデータベース化してネットで公開することにより、犯罪者本人への違法な差別が、不特定多数の者によって誘発されるおそれが予見できるといえるので、やはり破産者マップ事件と同様にこの性犯罪マップも個情法19条の不適正利用の禁止規定に抵触し違法であるおそれがあり、個情委の助言・勧告などの行政指導・行政処分の対象となるおそれがあるのではないでしょうか。

5.まとめ
このように、性犯罪マップは、「子どもを性犯罪から守る」という目的は正当であるとしても、そのやり方としては破産者マップ事件に類似し、個人情報保護法19条や個情法ガイドライン(通則編)3-2に抵触する違法なもののおそれがあり、個情委の行政指導・行政処分が課されるおそれがあります。Amynaプロジェクトは活動のやり方を再検討すべきではないでしょうか。

■追記(2025年3月22日)
「加害者情報をマッピング「性犯罪マップ」に賛否の声、法的問題は? 運営者「子どもたちを守るため」「アメリカの事例参考に」」弁護士ドットコムニュースにおいて、弁護士の板倉陽一郎先生は、「本人同意のない要配慮個人情報の第三者提供であり違法」と述べておられているのに接しました。

■参考文献
・岡田淳・北山昇・小川智史・松本亮孝・宍戸常寿『個人情報保護法』151頁

■関連する記事
・日本版DBS法に関するジュリスト2024年12月号の特集を読んでみた

人気ブログランキング

タグ :
#性犯罪マップ
#Amynaプロジェクト
#破産者マップ事件
#個人情報
#個人情報保護法19条
#不適正利用の禁止
#security
#privacy
#板倉陽一郎
このエントリーをはてなブックマークに追加 mixiチェック

bouhan_camera
1.はじめに
現在、個人情報保護委員会は次の個人情報保護法改正の準備を進めており、今年度(令和7年度)の通常国会または臨時国会に改正法案を提出するともいわれています。そして、2025年2月19日に個情委が公表した、「個人情報保護法の制度的課題に対する考え方(案)について(個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方)」は、①個人関連情報に関する規律の見直し、②顔特徴データ等に関する規律の在り方、③悪質な名簿屋対策としてのオプトアウト届出事業者への規律の見直し、の3点を取り上げていますが、②はこのブログで度々取り上げている顔識別機能付きカメラシステム(顔識別機能付き防犯カメラ)に関するものなので、本ブログ記事で取り上げてみたいと思います。

2.顔特徴データ等に関する規律の在り方
(1)上述の2月19日付の個情委の文書は、「2 本人が関知しないうちに容易に取得することが可能であり、一意性・不変性が高いため、本人の行動を長期にわたり追跡することに利用できる身体的特徴に係るデータ(顔特徴データ等)に関する規律の在り方」のなかで、顔識別機能付きカメラシステムによる顔特徴データ等について次のように説明しています。

「顔識別機能付きカメラシステム等のバイオメトリック技術の利用が拡大する中で、生体データ(注5)のうち、本人が関知しないうちに容易に(それゆえに大量に)入手することができ、かつ、一意性及び不変性が高く特定の個人を識別する効果が半永久的に継続するという性質を有する(注6)顔特徴データ等は、その他の生体データに比べてその取扱いが本人のプライバシー等の侵害に類型的につながりやすいという特徴を有することとなっている。」

「そこで、上記侵害を防止するとともに、顔特徴データ等の適正な利活用を促すため、顔特徴データ等の取扱いについて、透明性を確保した上で本人の関与を強化する規律を導入する必要があるのではないか。」

「具体的には、顔特徴データ等の取扱いに関する一定の事項(顔特徴データ等を取り扱う当該個人情報取扱事業者の名称・住所 ・代表者の氏名、顔特徴データ等を取り扱うこと、顔特徴データ等の利用目的、顔特徴データ等の元となった身体的特徴の内容、利用停止請求に応じる手続等)の周知を義務付けてはどうか。その場合において、一定の例外事由(例えば、周知により本人又は第三者の権利利益を害するおそれがある場合、周知により当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合、国又は地方公共団体の事務の遂行に協力する必要がある場合であって、周知により当該事務の遂行に支障を及ぼすおそれがある場合等)を設ける必要があるのではないか。」

「また、顔特徴データ等(保有個人データであるものに限る。)について、違法行為の有無等を問うことなく利用停止等請求を行うことを可能としてはどうか。その場合において、一定の例外事由(例えば、本人の同意を得て作成又は取得された顔特徴データ等である場合、要配慮個人情報の取得に係る例外要件と同種の要件に該当する場合等)を設ける必要があるのではないか。」

「さらに、顔特徴データ等について、オプトアウト制度に基づく第三者提供(法第27条第2項)を認めないこととしてはどうか。」

(2)これまでも顔識別機能付き防犯カメラは、いわゆる「誤登録」(いわゆる「防犯カメラの冤罪被害者」)が問題となってきました。すなわち、スーパーや書店、ドラッグストアなどの店舗で、実際には万引きをしていないのに万引き犯として顔識別データがデータベースに登録されてしまい、当該店舗だけでなく情報連携を受けた他の店舗でも買い物ができなくなってしまうという問題です。今回の法改正案は、この誤登録の問題の解決に大きな前進となる可能性があると思われます。

本文書はまず、顔識別機能付き防犯カメラによる顔特徴データ等の取扱いに関する一定の事項(顔特徴データ等を取り扱う当該個人情報取扱事業者の名称・住所 ・代表者の氏名、顔特徴データ等を取り扱うこと、顔特徴データ等の利用目的、顔特徴データ等の元となった身体的特徴の内容、利用停止請求に応じる手続等)の周知を義務付けを行うとしています。

つぎに、本文書は、「顔特徴データ等(保有個人データであるものに限る。)について、違法行為の有無等を問うことなく利用停止等請求を行うことを可能としてはどうか。その場合において、一定の例外事由(例えば、本人の同意を得て作成又は取得された顔特徴データ等である場合、要配慮個人情報の取得に係る例外要件と同種の要件に該当する場合等)を設ける必要があるのではないか。」としている点は非常に画期的です。

つまり、一定の例外事由があるとはいえ、原則として理由を問わずに顔特徴データ等の利用停止等請求を認めるように法改正を行うこととしています。

(この点については、現行法は、個情法施行令5条が、「当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの(施行令5条1号)」、「当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの(同2号)」等の場合には、当該個人データは保有個人データに該当せず、結果として利用停止等請求の対象にならないという仕組みになってしまっているのですが(個情法16条4項)、次の法改正でどうなるか気になるところです。)

さらに本文書は、「顔特徴データ等について、オプトアウト制度に基づく第三者提供(法第27条第2項)を認めないこととしてはどうか。」としています。つまり、顔特徴データ等について、要配慮個人情報のように、オプトアウト方式による第三者提供を認めないこととし、顔特徴データ等については原則に戻って第三者提供に本人同意が必要とするとしています。これは、顔特徴データの安易な第三者提供により、顔特徴データ等が転々と情報提供されてしまうことを防ぐものであり、これも画期的な改正であると思われます。

3.まとめ
このように、令和7年の個人情報保護法改正は、顔識別機能付き防犯カメラの誤登録の被害者の方々にとって大きな朗報となる可能性があります。まだ法案作成前の段階で、これから万防など業界団体・経済界などからの反対もあると思われ、法改正がどうなってゆくか不明ではありますが、法改正の動向を今後も引き続き注視してゆきたいと思います。

■関連するブログ記事
・防犯カメラ・顔識別機能付きカメラシステムに関する個人情報保護法ガイドラインQAの一部改正について
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた(追記あり)
・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで

人気ブログランキング

タグ :
#顔識別機能付き防犯カメラ
#顔特徴データ
#個人情報
#個人情報保護法
#誤登録
#防犯カメラの冤罪被害者
#防犯カメラ
#privacy
#security
#AI
このエントリーをはてなブックマークに追加 mixiチェック

seiji_kokkai_gijidou
1.はじめに
個人情報保護委員会は、2023年11月から次の個人情報保護法改正の準備を行っていますが、本年(2025年)1月、2月に公表した文書(「個人情報保護法 いわゆる3年ごと見直しに係る検討」の今後の検討の進め方について(案)」「個人情報保護法の制度的課題の再整理」「個人情報保護法の制度的課題に対する考え方(案)について」)で、次回の個人情報保護法改正のおおまかな概要を明らかにしています。次の法改正は、改正法案が今年の通常国会または臨時国会に提出されるようであり、その2年後ごろ(2027年ごろ)に施行される可能性があります。

2.法改正の大まかな概要
個情委は、次回の法改正の内容を大きくつぎの3つ((1)~(3))に分類しています。

(1)個人データ等の取扱いにおける本人関与に係る規律の在り方
〇本人同意規律の見直し(AI開発等や医療データの利活用などにおける本人同意の不要化契約の履行のために必要な場合における本人同意の不要化など)
〇漏えい等発生時の対応(本人通知等)の在り方
〇子どもの個人情報等の取扱い(16歳未満の子どもの個人情報・個人データの取得・第三者提供等について法定代理人の同意の必須化など)

(2)個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方
〇委託先の事業者への規律の在り方
〇個人関連情報の規律の見直し
〇身体的特徴に係るデータ(顔特徴データ等)に関する規律の在り方
〇オプトアウト届出事業者に対する規律の在り方

(3)個人情報取扱事業者による規律遵守の実効性を確保するための規律の在り方
〇勧告・命令等の実効性確保
〇刑事罰の在り方
〇課徴金制度の導入の要否
〇団体訴訟制度(差止請求制度・被害回復制度)の導入の要否
〇漏えい等報告等の在り方

再整理の図
(個情委「個人情報保護法の制度的課題の再整理」より)

3.法改正の社会への影響
このように、令和7年の個人情報保護法は2017年改正、令和2年改正に並ぶ大きな改正になるように思われます。とくに、上の「(1)個人データ等の取扱いにおける本人関与に係る規律の在り方」のなかの「本人同意規律の見直し」および「子供の個人情報の取扱い」については、社会に与えるインパクトが大きいのではないかと思われます。(これまで日本の個情法が基本としてきた、本人同意による個人情報の取扱いの規律の大幅な修正という意味で。)事業者は法改正への対応のため、早めの準備が必要になると思われます。

人気ブログランキング

タグ :
#個人情報保護法
#法改正
#3年ごと見直し
#個人情報
#privacy
#security
#AI
このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family

内閣府が「AI戦略会議 AI制度研究会 中間とりまとめ(案)」のパブコメを行っているので(2025年1月23日23時59分まで)、「国民の人権保障や各種リスク管理のため、欧州のようなAI法を制定すべきである」という趣旨の、つぎのような意見を書いて提出してみました。

1.1頁24行目「概要」「具体的な制度・施策の方向性」について
「具体的な制度・施策の方向性」に「AIの研究開発・実施が最もしやすい国を目指す」との目標が掲げられているが、この目標設定は間違っていると考える。日本は中国やロシア等のような全体主義国でなく国民主権の民主主義国(憲法1条)であるから、民主主義国家である以上まずは国民の人権保障や国民や社会に対するリスク管理を第一優先とすべきである。イノベーション推進や事業者の利益はその次の課題である。そうでなければ日本は欧州や米国などの西側世界のガラパゴスになってしまう。そのため、欧州のAI法のような人権保障のための法律を制定すべきである。

2.8頁6行目~10頁27行目「(2)法令の適用とソフトローの活用」について
まるで法令よりもソフトローのほうが優れているような記述だが、「法律による行政の原則」「法律の法規創造力」(憲法41条、65条、76条)の視点が欠けている。
まずは国民の人権保障や各種リスクの回避のためにEUのAI法のような法律を国会で作り、その上でそれを補足するためにソフトローを作るべきではないか。
また、そもそも「AIの研究開発が最もしやすい国を目指す」「イノベーション推進」等の目標設定が間違っていると考える。日本は中国やロシア等のような全体主義国でなく国民主権の民主主義国(憲法1条)であるから、民主主義国家である以上まずは国民の人権保障やリスク管理を第一優先とすべきである。イノベーション推進や事業者の利益はその次の課題である。

3.11頁9行目「リスクへの対応」について
「人の生命、身体、財産といった~」を「人格権」を入れて「人の生命、身体、財産および人格権といった~」とすべきである。4頁のAIに関する意識調査にあるように、多くの国民はAIによるプライバシー侵害や個人情報に関するリスクを感じているからである。

4.10頁4行目「(2)法令の適用とソフトローの活用」について
「一般的に、わが国の企業等は法令遵守の意識が高い」とあるが事実誤認である。2021年のLINEの韓国・中国への個人情報漏洩事件などに見られるように、AIの研究開発等を行う日本のIT業界は法令遵守意識が非常に低い。国民の人権保障やリスク管理のために、内閣府など政府はIT企業等に対して性善説ではなく性悪説で臨むべきである。

ところで、本パブコメの入力フォーマットは、なぜか1つのパブコメ意見を一つづつしか入力できなく、しかも一つの意見は400文字以内という非常に入力しにくい不便な仕様だったのですが、どうにかならなかったのでしょうか・・・。

人気ブログランキング

PR
タグ :
#AI
#AI戦略会議
#内閣府
#AI戦略会議AI制度研究会中間とりまとめ(案)
#パブコメ
#個人情報
#security
#privacy
#プライバシー
#AI制度研究会
このエントリーをはてなブックマークに追加 mixiチェック

mensetsu_business_ai
1.はじめに
ITmediaの2024年10月16日の記事「キリン、新卒採用に“AI面接官”を試験導入 生成AI利用で「人間の約6倍多角的に評価できる」」によると、キリンホールディングスは、2026年卒の新卒採用から、生成AIにより面接の質疑や候補者の評価を行うサービス「AI面接官」を試験導入する方針とのことです。エントリーシートの読み込みから一次面接までをAI面接官が担当するとのことです。

「導入するのは、AI面接官を提供するVARIETAS(東京都世田谷区)のサービス。同社によると、AI面接官は、経済産業省が2006年に提唱した「社会人基礎力」をもとにした30項目によって候補者を評価する。人間が1時間の面接で評価できるのは5~6項目であり、その約6倍多角的に評価できるという。」

「なお採用プロセスについて、AI面接官の評価をもとに採用担当者が最終的に1次面接の通過者を確定。その後、2次選考以降の採用活動を行うとしている。」
(ITmediaの2024年10月16日の記事「キリン、新卒採用に“AI面接官”を試験導入 生成AI利用で「人間の約6倍多角的に評価できる」」より)
このようなAIによる面接や求職者の評価・選別等は、個人情報保護法などとの関係で問題はないのでしょうか?

2.答責性・透明性・説明可能性の問題
(1)プロファイリング結果の根拠を説明できない?
AIは大量のデータを分析し、複雑な予測モデルを構築しますが、それが複雑すぎて人間がそれを理解できず説明もできないという問題が生じます(答責性・透明性・説明可能性の問題)。そのため、上でみた「AI面接官」サービスでは、もし就活生等からキリン等にプロファイリング結果の根拠の説明を求められてもキリン等の求人企業が回答ができないという問題が発生するおそれがあります。この問題は法的に、あるいは倫理的にはどのように考えられるのでしょうか。

(2)法律上の問題点
この点、会社側には採用基準等を開示する法的義務はないので、AIを用いているかにかかわらず、採用時にどのような選考をしているか説明しなくても、あるいは選考の根拠を求人企業自身が理解できていなくても、それ自体は違法とはなりません(東京高判昭和50.12.22判時815・88)。

また、三菱樹脂事件判決(最大判昭和48.12.12民集27・11・1536)は、企業には広い範囲での雇入れの自由があり、企業が労働者の思想・信条を理由としてその採用を拒否しても違法とはならないとしています。この判例によると、AIによる分析等が誤っている場合や、AIによる分析の手法を求人企業が理解しないで利用していた場合などであっても、AIによる採否の決定などが違法とはならないと考えられます。

(3)倫理上の問題点
しかし、経産省、個人情報保護委員会、経団連、情報処理学会などにより組織された、パーソナルデータ+α研究会の「プロファイリングに関する最終提言」(2022年4月)は、「答責性、説明可能性、解釈可能性、透明性などに配慮し、プロファイリングに利用したインプットデータを特定しておくことや、解釈可能なモデルの導入を検討すること」を推奨しています(16頁、18頁)。

そのため、AIによるプロファイリングの結果が選考においてどの程度の比重を占めているのか、どのような情報をプロファイリングの基礎としているか、人間の判断の介在有無などについて説明できるだけの用意をあらかじめしておくことが、有事の際のダメージコントロールの観点からは有益であると考えられます。

3.AIによる差別・公平性の問題
(1)AIによる差別
AIがプロファイリングの基礎としたデータセットに差別を助長するような情報が含まれており、公平性を欠く差別的なプロファイリングがなされていた場合、法的にあるいは倫理的にはどのように考えられるでしょうか。

(2)職業安定法・職安法指針
求人企業は誰を採用するかについて選択の自由があり、また調査の自由があると判例上されています(三菱樹脂事件判決・最大判昭和48.12.12民集27・11・1536)。これは、採用段階における求職者からの情報取得についても広範な裁量を認めているものと理解されていました。しかし近時はこのような判例の射程範囲を限定しようとする考え方が有力となっており、少なくとも求職者の人格的尊厳やプライバシー保護の必要性などにより制約を受けると考えられています。そして調査事項についても、企業が質問や調査を行えるのは、求職者の職業上の能力・技量や適格性に関した事項に限られると考えられています(職安法5条の5、職安法指針(平成11年労働省告示第141号)5・1、厚労省「公正な採用選考の基本」)。

公正な採用選考の基本
(厚労省「公正な採用選考の基本」より)

(3)AIのプロファイリングと不適正利用の禁止
個情法19条は個人情報の不適正利用を禁止していますが、個情法ガイドライン(通則編)3-2は、19条違反となる事例として、「事例5)採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合」をあげています。そのため、AIによるプロファイリングも、その過程や態様次第では、不適正利用禁止違反になり得ると考えられます。

この点、令和3年8月の個情法ガイドライン(通則編)改正の際のパブリックコメントの回答において、個人情報保護委員会は、「プロファイリングに関連する個人情報の取扱いについても、それが「違法又は不当な行為を助長し、又は誘発するおそれがある方法」による個人情報の利用にあたる場合には、不適正利用に該当する可能性がありますが、プロファイリングの目的や得られた結果の利用方法等を踏まえて個別の事案ごとに判断する必要があると考えられます」としています。つまり、個人情報保護委員会としても、個情法の不適正利用禁止規定は一定のAIプロファイリングにおよぶことが明らかになっています。

4.人間関与原則の重要性
EUのGDPR22条1項は、「データ主体は、当該データ主体に関する法的効果をもたらすか又は当該データ主体に同様の重大な影響をもたらすプロファイリングなどの自動化された取扱いのみに基づいた決定に服さない権利を持つ」と規定していますが、これは人生に重要な影響を与える決定には原則として人間が関与しなければならないという「人間関与原則」を定めたものとされています。この考え方の背景には、自動化された決定が「個人の尊重」や「個人の尊厳」(憲法13条)を脅かすおそれがあるとの認識があります。このようにAIの決定に対して人間が関与することは個人の基本的人権の観点から重要ですが、企業のレピュテーションリスクやコンプライアンスの観点からも必須であると考えられます。

(この点、冒頭の記事によると、キリンおよびVARIETASの事例は、AIのプロファイリングについて最終的には人間が関与する仕組みとなっているようであり、人間関与原則の問題はクリアしているものと思われます。)

■参考文献
・末啓一郎・安藤広人『Q&A IT化社会における企業の情報労務管理の実務』61頁
・山本龍彦・大島義則『人事データ保護法入門』48頁

■関連するブログ記事
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)
・2022年の改正職業安定法・改正個人情報保護法とネット系人材会社や就活生のSNS「裏アカ」調査会社等について考えるープロファイリング

人気ブログランキング

PR
タグ :
#キリン
#VARIETAS
#AI
#プロファイリング
#採用選考
#個人情報
#security
#privacy
このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ