なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:security

1634668211929

1.LINEの個人情報・通信の秘密に関する不祥事が発覚
2021年10月18日に、LINEの個人情報の事件に関するZホールディングスの有識者委員会の最終報告書が公表されました。

・「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について|Zホールディングス

朝日新聞の編集委員の峰村健司氏などによる2021年3月17日付のスクープ報道により、通信アプリ大手LINE(国内の月間利用者約8900万人・2021年9月現在)を運営するLINE社が、中国の関連会社にシステム開発やユーザーから通報を受けた投稿等に問題がないかどうかのチェックなどの業務を委託し、中国関連会社の技術者らが日本のLINEのサーバーの個人情報にアクセスすることができる状態にあったことや、日本のユーザーの画像データ、動画データなどのすべての個人データがLINE社の韓国の関連会社のサーバーに保存されていることが発覚し、LINE社とその親会社のZホールディングス社には大きな社会的非難が起きました。
・【独自】LINEの個人情報管理に不備 中国の委託先が接続可能|朝日新聞

■参考
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた

このLINEの事件に関しては、日本の約8900万人の個人データが中国の関連会社からアクセス可能であったことや、日本のユーザーの膨大な個人データが韓国の関連会社のサーバーに保管されていたこと等が、国民の個人情報保護やプライバシー保護の問題だけでなく、政府与党の要人や大企業の経営陣などの挙動が海外に密かに知られてしまうリスクや、国家の機密や大企業などの営業秘密などが海外に漏洩してしまうリスクとして、「経済安全保障」という新しいリスクとして社会的な大きな注目を集めました。

このLINEの事件を受けて総務省など国の官庁や多くの自治体は、LINEを利用した行政サービスを中止する事態となりました。

このLINE事件に関しては4月23日付で個人情報保護委員会がLINE社に対して行政指導を実施し、4月26日付で総務省がLINE社に行政指導を実施しました。また、個人情報保護委員会・総務省・金融庁・内閣官房は4月30日付で、「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」を制定・公表しました。しかし個人情報保護委員会はプレスリリースで、現在もLINE社に対する調査は続行中であることを公表していました。
・個人情報の保護に関する法律に基づく行政上の対応について(LINE株式会社・令和3年4月23日)|個人情報保護委員会
・LINE株式会社に対する指導|総務省
・「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」の公表について|金融庁

これに対してZホールディングス社はLINEの問題に関する有識者による調査委員会(「グローバルなデータガバナンスに関する特別委員会」、座長・宍戸常寿・東大教授(憲法・情報法))を設置し、調査を開始し、6月11日付で第一次報告書を公表しました。
・LINEの個人情報事件に関する有識者委員会の第一次報告書をZホールディンクスが公表

2.最終報告書
その後、2021年10月18日付でZホールディングス社の有識者委員会はLINEの事件に関する最終報告書を公表し、また同日、有識者委員会は座長の宍戸教授と川口洋委員(株式会社川口設計代表取締役)が記者会見を行いました。

・「グローバルなデータガバナンスに関する特別委員会」最終報告|Zホールディングス

このブログでは、LINEの個人情報などに関する不祥事について何回か取り上げてきましたが、本ブログ記事では、この最終報告書を簡単にみてみたいと思います。

3.中国の関連会社について
本最終報告書20頁以下を読むと、LINE社の情報セキュリティ部門は、外部の法律事務所に委託して中国のリーガルリスクの検討を行っていたが、2015年頃に中国向けアプリサービスを中止したことを受け、法律事務所に委託して中国のリーガルリスクを検討することが中断したとされています。そのため、「中国の国民や法人は中国政府の情報活動に協力する法的義務がある」(中国国家情報法7条)との規定がある2017年に中国で制定された中国国家情報法のリーガルチェックがLINE社において会社組織として漏れていたとされています(本最終報告書20頁)。

ライン2
(Zホールディングス社サイトより)

また、本最終報告書によると、有識者委員会の技術部会がログなどから調査を行ったところ、中国の関連会社の職員によるシステムの保守・開発や通報を受けたメッセージや画像などの確認のために、日本のサーバーにアクセスした件数は、2021年3月23日にLINE社が行った個人情報保護委員会及び総務省への報告においては、LINEアプリのトークに関して通報されたメッセージに係る情報を閲覧し得る権限によるアクセスについては132件、そのうちLINEアプリのトークに関して通報されたメッセージの内容を直接閲覧できるURLへのアクセスは32件としていたところ、その後の調査で、LINE社は、LINEアプリのトークに関して通報されたメッセージに係る情報を閲覧し得る権限によるアクセスについては132件から139件に、LINEアプリのトークに関して通報されたメッセージの内容を直接閲覧できるページ(URL)へのアクセスについては32件から35件が確認されたとしています(本最終報告書24頁注18)。

ただし、ログは一部しか保管がされていなかったことや、ページ(URL)へのアクセスのログはあっても、そのアクセスで具体的にどのような操作を行ったかのログは残っていないこと等も、本最終報告書には記載されており(本最終報告書24頁)、これらのアクセスの数字がどこまで正確なのか不明であり、また中国関連会社の職員等が具体的にアクセスしたメッセージに対して中国当局の諜報活動に協力する等のために当該メッセージをコピー等して別の端末などに保存した等の行為があったか否かについては不明のままです。

また、法律事務所などによる詳細なリーガルチェックは中断していたものの、その期間中もLINE社の情報セキュリティ部門は、「中国に関するサイバーセキュリティリスクとして、例えば、Huaweiに代表される中国企業の製品利用に関わるリスクや、中国のハッカー集団による攻撃リスク等、中国企業や政府に絡んだサイバー攻撃のリスクを認識し、分析・対応」しており、中国にはサイバーセキュリティリスクがある旨を経営陣に報告していたが、経営陣はそのような中国のセキュリティリスクを経営上の課題として適切に取り上げ、対応をしていなかったと本報告書は記述しています(本最終報告書24頁)。

ところが、本最終報告書は、技術部会によるログのチェックなどから、「これらは、開発及び保守プロセスにおける正規の作業であるということが確認された。このことから、技術検証部会におけるこれらの調査による限り、調査対象期間(2020年3月19日から2021年3月19日)において、LINE China社から外部の組織に対して、LMPに関する情報の漏えいは認められなかった。」(本最終報告書24頁)との、「情報漏洩は発生していない」との結論を導き出していますが、これは不祥事に対する有識者委員会の報告書としてあまり正しくないのではないでしょうか。

ライン24
(Zホールディングス社サイトより)

ただし、情報セキュリティ部門からの中国のセキュリティ上のリスクの報告があったにもかかわらず経営陣が適切な対応をとらなかったことに関して、本最終報告書は「このように経営陣がLINE社に求められるガバメントアクセスのリスクの検討やそれへの対応を怠ったと考えられ、結果、通信内容である送受信されたテキスト、画像、動画及びファイル(PDFなど)のうち、ユーザーから通報されたものについて、個人情報保護法制が著しく異なる中国の委託先企業からの継続的なアクセスを許容していたことは、極めて不適切であったと、本委員会は判断する。」(本最終報告書26頁)としていることは正当な評価であると思われます。

この点、中国の国家情報法については、制定された2017年前後においては、日本のマスメディアなどもこれを大きく取り上げ、同法7条により中国の個人・法人が中国当局の諜報活動・情報活動に協力する義務があることは国・大企業の役職員などにおいて公知の事柄であったにもかかわらず、かつ、社内の情報セキュリティ部門からの報告・進言があったにもかかわらず、LINE社の経営陣がLINEのシステムの保守・開発や通報のあったメッセージなどの監視・モニタリングなどの業務の委託を中国関連会社に漫然と継続し、中国関連会社からの日本のサーバーへのアクセス権の見直しなどの対応を実施していなかったことは、LINE社の個人情報取扱事業者としての安全管理措置(個人情報保護法20条)や、委託先の監督(同法22条)の明確な違反であると思われます。

個人情報保護法

(安全管理措置)
第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

(委託先の監督)
第22条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

つまり、個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」「8(別添)講ずべき安全管理措置の内容」「8-3 組織的安全管理措置」は、「(5)取扱状況の把握及び安全管理措置の見直し」として「個人データの取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組まなければならない。」と規定しています。

83組織的安全管理措置
(個人情報保護委員会「個人情報保護法ガイドライン(通則編)8-3 組織的安全管理措置」より)

また、同ガイドラインの「8-6 技術的安全管理措置」「(1)アクセス制御」として「担当者及び取り扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行わなければならない。」と規定しており、LINE社の経営陣はこれらの安全管理措置を完全に怠っているからです。

84技術的安全管理措置
(個人情報保護委員会「個人情報保護法ガイドライン(通則編)8-6 技術的的安全管理措置」より)

4.韓国の関連会社について
また有識者委員会の第一次報告書でも、LINE社は日本の国・自治体に対して、「LINEの個人情報を扱う主要なサーバーは日本国内にある」との虚偽の説明を2013年、2015年、2018年の3回実施していたことを公表しましたが、今回の最終報告書も同様の記述をしています。

LINE社の公共政策・政策渉外部門の担当者達「「LINEアプリの日本ユーザーに関する全てのデータが『日本に閉じている』旨の説明を国・自治体にしていたとされています。

しかしその理由について、本最終報告書は「本委員会による調査の範囲においては、公共政策・政策渉外部門の役職者が、上記の説明に反して、LINEアプリの画像や動画、ファイル(PDFなど)が韓国に保管されている事実を認識していたことを示す事実は確認されなかった」という不可解な結論を本文で示しています(本最終報告書46頁)。

しかし本最終報告書は同時に、脚注部分で、「公共政策・政策渉外部門の役職者のみが韓国サーバーに個人データが保存されていることを知らなかったとは考え難い」との委員の反対意見を付記しています(本最終報告書46頁注35)。

また、有識者委員会は、公共政策・政策渉外部門の役職者達「「LINEアプリの日本ユーザーに関する全てのデータが『日本に閉じている』」旨の説明を国・自治体にしていたことの理由をLINE社の経営陣にヒアリングしたところ、出澤代表取締役社長CEO(ChiefExecutiveOfficer)をはじめとするLINE社の経営陣(取締役)は、いずれも画像、動画及びファイル(PDFなど)は韓国で保管されていると認識していた一方、このような説明が行われていた事実を認識していなかったと説明した。このほか、本委員会による調査の範囲においては、LINE社の経営陣が公共政策・政策渉外部門の役職員が当該説明を行っていたことについて関与した事実は認められなかった。と本文では結論づけられてしまっています(本最終報告書47頁)。

しかしこの点に関しても、本最終報告者は脚注部分で、「本委員会では、本文の結論に対し、以下のとおり反対意見があった。公共政策・政策渉外部門の役職員による「日本に閉じている」との説明は、本文記載のとおり、地方公共団体、中央省庁、政党等の公的機関に対し繰り返してなされたものであり、本委員会の委員の中にも直接これを耳にしたことがある者が複数名存在した。「日本に閉じている」という説明は、まさに公然と繰り返されていたと評価しうるのである。それにもかかわらず、LINE社の上級役員らがこの説明のことを知らなかったとは、およそ信じがたいところである。むしろ、上級役員らはこの説明を知っており、上級役員らの「韓国色を隠す」という意向・方針に沿ってこのような説明が繰り返されたと考えるのが自然である。との委員からの反対意見を付加しています(本最終報告書47頁注37)。

ライン47
(本最終報告書47頁注37より)

これは、ここ最近の10年、20年の日韓関係が冷え込んでいる状況から、LINE社が、LINEがもともと韓国のものであるという「韓国色」を明確にすると、日本の利用者・ユーザーからの不評を買い、LINEサービス利用の低下などの風評リスクが発生することを恐れたLINE社の経営陣や役職員達が、「韓国色隠し」を全社的に行っていた結果、日本の国・自治体や一般国民や企業などへの説明も、「LINEアプリの日本ユーザーに関する全てのデータが『日本に閉じている』」という趣旨の虚偽のものになってしまったと考えるのが自然なのではないでしょうか。

本最終報告書がこのように切り込み不足・踏み込み不足で、結果としてLINE社やZホールディングス社に有利となるような結論ばかりが目につくのは、この報告書のための調査や作成を行った委員会は外部の弁護士などによる第三者委員会ではなく、あくまでも有識者委員会であることの限界なのではないでしょうか。

現に、本有識者委員会の座長の宍戸常寿教授は、LINE社の傘下団体である一般財団法人 情報法制研究所(JILIS)参与であり、この有識者委員会の報告書は自然とLINE社やZホールディングスに忖度した内容となってしまっているのではないでしょうか。
・メンバー紹介|情報法制研究所

(なお、このように特定のIT企業と関係の深い情報法制研究所に、日本の著名な情報法や情報セキュリティの学者・研究者の先生方のほとんどが所属しておられる状況は、日本の情報法学の健全な発展や学問の自由(憲法23条)を阻害しないのか懸念が残ります。)

いずれにせよ、上でみた、中国の国家情報法によるセキュリティ上のリスクへの対応を漫然と放置していたことや、日本の国・自治体や国民・法人・ユーザーに対して「韓国色隠し」の虚偽の説明を行っていたこと等について、LINE社の出澤剛社長をはじめとする経営陣は今後、取締役の善管注意義務・忠実義務などの法的責任経営責任について、株主代表訴訟なども含めて、会社や株主、ユーザー・利用者、監督官庁・国民などから厳しく責任を追及されるのは必至であろうと思われます。(会社法355条、423条、429条、847条、民法644条など、江頭憲治郎『株式会社法 第7版』434頁、469頁)。

会社法
(忠実義務)
第355条 取締役は、法令及び定款並びに株主総会の決議を遵守し、株式会社のため忠実にその職務を行わなければならない。

(役員等の株式会社に対する損害賠償責任)
第423条 取締役、会計参与、監査役、執行役又は会計監査人(以下この章において「役員等」という。)は、その任務を怠ったときは、株式会社に対し、これによって生じた損害を賠償する責任を負う。

民法
(受任者の注意義務)
第644条 受任者は、委任の本旨に従い、善良な管理者の注意をもって、委任事務を処理する義務を負う。

5.LINEpayの問題
さらに、LINEpayについては、LINE社は資金決済法39条に基づき、資金移動業を行うための申請書類として、商号及び住所、資本金の額、「資金移動業の一部を第三者に委託する場合にあっては、当該委託に係る業務の内容並びにその委託先の氏名又は商号若しくは名称及び住所」(同法38条1項9号)などを金融庁・財務局に申請し、金融庁・財務局は登録簿(資金移動業者登録簿)に登録する必要があるところ、LINE社は韓国、台湾及びタイの子会社にも資金移動業を委託していたにもかかわらずその申請を怠っており、金融庁の登録簿と現実に齟齬が発生していたことが本最終報告書では明らかにされています(本最終報告書70頁)。

キャッシュレス決済の資金移動業という金融機関の業務に関する申請書類において、金融庁への申請漏れがあったということは、金融業としては重大なミスであり、金融庁・財務局はヒアリングや報告徴求立入検査などを実施し(資金決済法54条)、業務改善命令(同55条)などの行政処分をLINE社に対して発出すべき事態ではないでしょうか(堀天子『実務解説 資金決済法 第3版』160頁、167頁、177頁)。

こういったところにも、LINE社がベンチャー企業として急成長した企業にありがちなように、利益の追求や業務の拡大には熱心な一方で、コンプライアンスガバナンスなどをおろそかにしている傾向がみられます。

6.LINEヘルスケア・LINEドクターなどの問題
本年3月には、LINE社は韓国の関連会社のサーバーに保管されている日本のユーザーの画像データ・動画データなどの個人データを日本のサーバーに移動させる方針を発表しました。この点に関して、本最終報告書はおおむね予定通り進んでいるとしています(本最終報告書27頁)。

しかし、LINEヘルスケア・LINEドクターに関して本最終報告書を読んでみると、LINEヘルスケア・LINEドクター等に関連する決済関係の情報(医療機関名称、所在地、担当者氏名、決済情報等)が、現在でも、韓国のLINEグループの財務情報システムに保存されており、このデータに関しては日本に移転するか否か検討中となっています(本最終報告書71頁、72頁)。

ライン72
(Zホールディングス社サイトより)

医療に関連するデータがまだ韓国の関連会社のサーバーに残っていて、しかもLINE社は当該データを日本に移転させるか否か検討中としている点については、医療データはセンシティブな個人情報であることに鑑み、厚労省や個人情報保護委員会は、これらのデータも日本に移転させるように行政指導などを実施すべきではないでしょうか。

欧州のGDPR(EU一般データ保護規則)などでは、医療データ・健康データや生体データなど「特別カテゴリーの個人データ」(GDPR9条)として厳格な取扱いが要求され、クレジットカードなどの金融関連のデータ個人データの取扱の安全性を規定するGDPR32条により厳格な取扱いが要求されます。

これに対して日本は、平成27年の個人情報保護法の改正で思想・信条や病歴、犯罪歴などに関する「要配慮個人情報」(法2条3項)という用語を新設しました。しかし、最近のJR東日本の防犯カメラ・顔認証技術による犯罪歴のある人物や不審者などの監視の問題などに見れれるように、日本は医療データや金融データなどのセンシティブな個人データの企業などによる取扱に関して中央官庁の対応が非常に甘すぎるのではないかと強く懸念されます。

7.虚偽の報告の罰則の可能性?
今回の最終報告書では、中国などの委託先企業からのアクセス件数がこれまでの報告書よりさらに増加したことや、LINE社の出澤社長ら経営陣が「日本の個人データは日本にある」との国・自治体や国民・法人への3回の虚偽の説明に関して「関与していない」等と主張してる件などについて、個人情報保護法85条は、個人情報保護委員会が報告徴求や立入検査をした場合(法40条)に事業者が虚偽の報告や検査忌避などをした場合の罰則を規定しているところ、この罰則が発動されるのか個人的には気になるところです。

LINE社内のコンプライアンスやガバナンスが極めて低いレベルであることから、個人情報保護委員会による追加の報告徴求・立入検査や、追加の行政指導等は必至と思われますし、金融庁や厚労省等も少しは行政指導・行政処分を実施すべきではないかと一般国民としては考えます。

8.「通信の秘密」について
なお、本最終報告書も個人情報保護法や情報セキュリティに関する検討がほとんどで、憲法21条2項が明記し、電気通信事業法4条や同179条が罰則付きで明示する「通信の秘密」に関して、有識者委員会がほとんど検討を行っていないことが気になります。座長の宍戸教授などをはじめ、憲法・情報法の専門家の先生方が委員を務めておられるにもかかわらずです。

日本国憲法
第21条 集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。
 検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。

電気通信事業法
(秘密の保護)
第4条 電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。
 電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。

【追記】 LINE社は、総務省に届出を行い通信事業を行っている電気通信事業者です(届出番号A-20-9913)。そのためLINE社は電気通信事業法が定める「通信の秘密」(法4条)などを遵守する義務を負っています。)

電気通信事業法4条の「通信の秘密」には、通信の内容や本文が保護対象となるのは当然として、宛先や差出人、通信をした年月日、通信の有無、電子メールやネットなどの場合にはヘッダー情報、メタデータなどの通信の外形的な事項も含まれるとされています。そして「通信の秘密」については、「緊急避難」、「正当業務行為」あるいは利用者の「本人の同意」などがあった場合には、通信の秘密侵害は例外的に許容されるとされています(曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁、大阪高裁昭和41年2月26日判決、實原隆志『新・判例ハンドブック 情報法』(宍戸常寿編)140頁)。

しかし、今回のLINEの事件については、中国の関連会社が日本のサーバーにアクセス可能であったことや、日本のユーザーの画像データ・動画データなどのすべてが韓国のサーバーに保存されていたこと等は、緊急避難、正当業務行為、本人の同意、のいずれにも該当せず、やはりLINE社の日本のユーザーの情報の雑然とした取扱いは、個人情報保護法上問題となるだけでなく、電気通信事業法の観点からも違法となり罰則などが適用されるべき状況なのではないでしょうか。

ところが、総務省が2021年4月26日付で行ったLINE社に対する行政指導においては、個人情報保護法上の安全管理措置や情報セキュリティなどに関する指導が行われている一方で、「通信の秘密」に関しては何故かほとんどスルーされています。
・LINEの通信の秘密の問題に対して総務省が行政指導を実施

総務省は、2021年9月30日にはインターネットイニシアティブ(IIJ)に対しては、通信の秘密侵害があったとして行政指導を実施していますが、LINE社に対しては通信の秘密侵害について行政指導等を実施しないことは、行政の公平性・中立性(憲法15条2項、国家公務員法96条1項)が害される不公平な状況なのではないでしょうか。
・株式会社インターネットイニシアティブに対する通信の秘密の保護及び個人情報の適正な管理に係る措置(指導)|総務省

(なお、本最終報告書はその他にも、警察等からの照会へのLINE社の対応や、LINE社と情報法制研究所(JILIS)との関係などについても調査・検討しているのは興味深いものがあります。)

面白かったらブックマークなどをお願いします!

■参考文献
・岡村久道『個人情報保護法 第3版』87頁、218頁、220頁、227頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁
・實原隆志『新・判例ハンドブック 情報法』(宍戸常寿編)140頁
・小向太郎・石井夏生利『概説GDPR』64頁、105頁
・江頭憲治郎『株式会社法 第7版』434頁、469頁
・堀天子『実務解説 資金決済法 第3版』160頁、167頁、177頁

■関連する記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関する有識者委員会の第一次報告書をZホールディンクスが公表
・LINEの通信の秘密の問題に対して総務省が行政指導を実施
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた
・「幸福追求権は基本的人権ではない」/香川県ゲーム規制条例訴訟の香川県側の主張が憲法的にひどいことを考えた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」





























このエントリーをはてなブックマークに追加 mixiチェック

デジタル庁トップページ
1.デジタル庁のウェブサイト
9月1日から正式に発足したデジタル庁は、サイト作成や運用にSTUDIO株式会社というベンチャー企業の「コード不要」というSTUDIOというサービスを利用して同庁サイトの作成や運用を行っていますが、STUDIO社のプライバシーポリシーは個人情報保護法違反の部分があり、また同社の利用規約は「当社システムは高度な安全性はない」と明示しています。つまり、デジタル庁(および内閣IT戦略室)は厚労省のCOCOAの件などと同様に、委託先の選定等の安全確保措置を十分に実施していない行政機関個人情報保護法6条違反の可能性があります。

2.STUDIO社の利用規約
ITmediaニュースなどの報道によると、デジタル庁のサイトは、ベンチャー企業のSTUDIO株式会社のSTUDIOという「コード不要」なシステムで作成されているようです。同社サイトをみると、主に個人事業主や中小企業向けのサービスのようですが。「コード不要」とは、いかにも新しいものがお好きな平井大臣が好みそうなサービスですが、共同入札などの正式な手続きは経ているのでしょうか?
・デジタル庁発足 公式サイトにITエンジニアから反応続々「シンプル」「重い」「ロゴが丁寧」「苦労が見える」|ITmediaニュース

この点、ある方の9月1日のツイッターの投稿によると、デジタル庁のサイトの利用者のログやブラウザ情報、端末データなどの個人データはやはりSTUDIO社のサーバーに送信されているようであり、STUDIO社がデジタル庁サイトの運営を委託されていることは間違いないようです。

デジタル庁のサイトのサーバー

また、サイトを作成さえすればドメイン、サーバなどはS社が一括管理と説明されていますが、中央官庁サイトの安全管理措置などには十分対応できるのでしょうか。

スタジオ社
(STUDIO社サイトより)
https://studio.inc/

そこでSTUDIO社の利用規約をみると、IT企業の利用規約のよくあるパターンで、利用規約9条(保障・免責)の各号では「本サービスの利用による保障はしないし、責任も負わない」旨を明示しています。
・利用規約・プライバシーポリシー・特定商取引法上の表記|STUDIO

スタジオ1

とくに利用規約9条4項は、STUDIOのサービス・システムは「本サービスは高度の安全性が要求され…重大な損害が発生する用途には設計しておりません」と明示しています。中央官庁であるデジタル庁のサイトは、「高度な安全性」が必要だと思うのですが、これはまずいのではないでしょうか?
スタジオ社利用規約9条4項

この点、デジタル庁などの行政機関に適用される行政機関個人情報保護法6条は行政機関とその委託先に個人データの滅失・毀損・漏洩などが発生しないように安全確保措置を講じることを要求しています。

行政機関個人情報保護法6条
これを受けて、総務省総管情第84 号・平成 16 年9月14 日通知「行政機関の保有する個人情報の適切な管理のための措置に関する指針について(通知)」「第8 保有個人情報の提供及び業務の委託等」4項は、行政機関が委託を行う際は、委託先が安全確保の能力があることを事前に確認し、年1回以上の立入検査の実施、個人データの利用の制限や障害対応、秘密保持条項、障害対応、損害賠償、再委託の制限などを明記した契約書を締結しなければならない等と規定しています(岡村久道『個人情報保護法 第3版』430頁)。

総務省安全確保指針
・「行政機関の保有する個人情報の適切な管理のための措置に関する指針」及び「独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針」の改正|総務省

にもかかわらず、利用規約において「当社のサービスは高度の安全性が要求される用途のためには設計されていない」と明記しているSTUDIO社にサービスやシステムの運用を委託しているということは、デジタル庁およびその前身の内閣IT戦略室は、個人データを取り扱う情報システムの委託について、委託先が安全確保の能力があることを事前に確認するなどの安全確保措置を十分に講じておらず、行政機関個人情報保護法6条および総務省「「行政機関の保有する個人情報の適切な管理のための措置に関する指針」第8第4項などに違反しているのではないでしょうか?

この点に関しては、コロナの接触確認アプリCOCOAのシステム開発の委託においても厚労省や内閣IT戦略室が杜撰な委託を行っていたことが発覚したばかりであり、また、今年春にはLINE社のLINEが個人情報や通信の秘密の杜撰な安全管理を行っており、かつLINE社が国・自治体に対して繰り返し「LINEの日本の個人データは日本のサーバーに保存されている」等と虚偽の説明を行い、国・自治体がこの説明を鵜呑みにして立入検査・実地検査などをしてLINE社が安全管理措置を本当に講じているかどうか確認を行わず、安全確保措置を講じていないという行政機関個人情報保護法6条などの違反などを行っていたことが発覚したばかりなのにです。

デジタル庁や内閣IT戦略室などは、高度な法令順守・コンプライアンスが要求される国の機関であるにもかかわらず、このような度重なる行政機関個人情報保護法6条の違反を漫然と繰り返していることは、「法の支配」や法治主義、「法律による行政の原則」、「法律による行政の民主的コントロールの原則」(憲法41条、65条、76条)の観点から非常に問題なのではないでしょうか。国・行政がコンプライアンス意識を無くし、憲法や法律を無視するようになっては、国民から選挙で選ばれた国会の法律で行政を民主的にコントロールしようという議会制民主主義が破綻してしまいます。

総務省や個人情報保護委員会などは、デジタル庁や内閣IT戦略室などに対して法律を守れと指導・勧告等を実施すべきではないでしょうか。

3.STUDIO社のプライバシーポリシー
なお、STUDIO社のプライバシーポリシーについても簡単にみてみると、利用者のcookieや端末情報、操作ログなどの個人データを収集・利用するとあるのはある意味当然ですが、STUDIO社はプライバシーポリシー6条で、それらの個人データの共同利用(個人情報保護法23条5項3号)を行うとしているのに、共同利用を行う者の範囲、利用される個人データの項目、共同利用の利用目的などが同社サイトにどこにも明示されてないのは個人情報保護法23条5項3号違反です(岡村久道『個人情報保護法 第3版』264頁)。

スタジオプライバシーポリシー共同利用

また、STUDIO社のプライバシーポリシー9条は、開示・削除・利用停止等の請求の手続や手数料などについては「当社が別途定める所定の方式により」としていますが、肝心のこの別記がサイト上にどこにも掲載されてないのは、個人情報保護法27条1項3号違反です(岡村・前掲295頁)。個人情報保護委員会はSTUDIO社やデジタル庁などに対して指導・勧告などを実施すべきではないでしょうか(法40条、41条、42条)。

このようにSTUDIO社は、プライバシーポリシーについても個人情報保護法違反が複数存在します。同社にサイトの作成や運用を委託したデジタル庁・内閣IT戦略室が委託先の選定などの安全確保措置に関していかに杜撰であるかがここにも見受けられます。

デジタル庁は日本の国・自治体のデジタル行政を所管する官庁のはずなのに、行政機関個人情報保護法や個人情報保護法などの法律の素人しか存在しないのでしょうか?それ以前に国の官庁なのに法令を遵守して業務を行おうというコンプライアンス意識が非常に低いように見受けられるのは非常に心配です。

個人情報保護法は「個人情報の有用性に配慮しつつ、個人の権利利益を保護」(法1条)とし、また「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべき」(法3条)との立法目的・趣旨を明記しています。

国・自治体のデジタル化は重要です。しかし、国民の個人の尊重と基本的人権の確立(憲法13条)と、「個人の権利利益を保護」、「個人の人格尊重の理念」(個人情報保護法1条、3条)、つまり国民の人権保障という憲法や個人情報保護法の基本理念を大原則として、デジタル庁はコンプライアンス意識を持ってデジタル行政を企画立案、実施していただきたいと思います。

デジタル庁は民間のITスタートアップ企業ではなく、国の行政官庁であり、その大臣や職員は公務の中立性・公平性とともに法令順守が要求され(国家公務員法96条1項、98条1項、憲法15条2項)、憲法尊重擁護義務(憲法99条)を負うのですから。

■追記(9月4日)
9月3日のマスメディア各社の報道によると、デジタル庁デジタル監の石倉洋子氏が、画像素材サイト「PIXTA」の複数の画像を、同サイトから購入せずに自身のウェブサイトに勝手に掲載していたとのことです。同サイトからの申し出に対して石倉氏はこの事実を認め、自身のサイトを閉鎖したとのことです。これにはさすがに呆れてしまいました。

1630756714318
(石倉洋子氏のTwitterより)

石倉氏は経営学者であり、ITや情報法などの専門家ではないが、2000年代からTwitterやFacebookなどを利用しておりITリテラシーの高い人物である」と、石倉氏を高く評価する投稿が9月になってからTwitter上で多く見られたところですが、画像素材サイトの画像を購入せずに勝手にパクって自分のサイトに掲載するとは、石倉氏の「ITリテラシー」は最低です。

デジタル庁は国・自治体のデジタル政策を担う官庁であり、その業務のためには、ITの知識やノウハウだけでなく、著作権法などの知的財産権法や個人情報保護法制や憲法、行政法、独禁法や消費者法などの法律知識は必須のはずですが、事務方トップの石倉氏はこのような素人レベルな法律知識で、デジタル庁の役職員の業務に違法・不当がないか監督できるのでしょうか? 多いに疑問です。

平井大臣の特定企業との癒着の問題や、NECを「徹底的に干せ」「脅せ」などとヤクザのような暴言を吐いていた問題や、アメリカの性犯罪者の富豪から多額の寄付金を受けていた伊藤譲一氏のデジタル監の人事の問題など、デジタル庁や菅政権はとにかく憲法や法律・モラルを遵守しようというコンプライアンス意識が致命的に欠落しています。

デジタル庁は、デジタル行政の業務を始める前に、まずは大臣やデジタル監をはじめとする全役職員が、憲法や国家公務員法、国家公務員倫理法や、個人情報保護法、知的財産権法、独占禁止法などの法令の基礎に関する全庁的なコンプライアンス研修を実施すべきではないでしょうか。

このままでは、デジタル庁は、役職員が「法令を守っていては日本は潰れる」などと嘯いて官民のデジタル利権を牛耳って、中抜きで私腹を肥やす経済マフィアのような組織になっていまいます。

■追記・デジタル庁ナンバー3の岡下昌平・デジタル大臣政務官が違法Youtuberであることが発覚(9月30日)
nukalumix様「畳之下新聞」の9月30日付の記事「(逃走中) 違法Youtuber が #デジタル庁 ナンバー3 の大臣政務官 という地獄」によると、デジタル庁ナンバー3岡下昌平・デジタル大臣政務官が、自身のYouTubeチャンネル「おかしょうちゃんねる堺」において、ABEMAなどの動画を切り取り、自身のYouTubeチャンネルにアップロードするなどの著作権法違反の行為を繰り返していたことが発覚したとのことです(自動公衆送信権(著作権法23条1項)の侵害)。
・(逃走中) 違法Youtuber が #デジタル庁 ナンバー3 の大臣政務官 という地獄|畳之下新聞

おかしょうちゃんねる堺
(岡下昌平氏の「おかしょうちゃんねる堺」より)

デジタル庁は、上から下まで法令無視のアウトローの人間しかいないのでしょうか。呆れてしまいます。このような無法者集団がデジタル行政を行っては、日本の官民のデジタル部門やIT業界などは、法律無視が当たり前で、腕力や発言力、経済力、政治力が強い人間が幅を利かす原始時代のような世界になってしまうような気がします。

■関連する記事
・デジタル庁の事務方トップに伊藤穣一氏との人事を考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・西村大臣の酒類販売事業者や金融機関に酒類提供を続ける飲食店との取引停止を求める方針を憲法・法律的に考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関する有識者委員会の第一次報告書をZホールディンクスが公表
・新型コロナの接触確認(感染追跡)アプリ(COCOA)の内閣府の仕様書を読んでみた
・コロナ禍の緊急事態宣言で国民の私権制限をできないのは憲法に緊急事態条項がないからとの主張を考えた

■参考文献
・岡村久道『個人情報保護法 第3版』264頁、295頁、430頁
・宇賀克也『個人情報保護法の逐条解説 第6版』179頁、432頁



















このエントリーをはてなブックマークに追加 mixiチェック

PPCトップ画面
1.令和2年改正個人情報保護法ガイドラインのパブコメ結果が公表
8月2日に個人情報保護委員会(PPC)が令和2年改正個人情報保護法ガイドラインのパブコメ結果を公表していたので、気になる部分をざっと見てみました。

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集の結果について|個人情報保護委員会

2.個人関連情報(改正法26条の2第1項)とGoogleのFLoC
令和2年改正の個人情報保護法26条の2第1項は、「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」を「個人関連情報」と定義し、事業者が個人関連情報を第三者提供し、提供先においてそれが個人データとして利用されることが想定される場合には、本人の同意が必要であるとしています。

これは2019年の就活生の内定辞退予測データの販売を行っていたリクナビ事件を踏まえて、個人情報保護法を潜脱して、本人関与のない個人情報の収集方法が広まることを防止するためのものです(佐脇紀代志『一問一答令和2年改正個人情報保護法』60頁)。

この個人関連情報は、具体的には、氏名などと結びついていないインタネットの閲覧履歴、位置情報、Cookieなどが該当するとされています(佐脇・前掲62頁)。

この点、今回の改正個人情報保護法ガイドライン(通則編)の個人関連情報に関するパブコメ結果308は、「Cookieなどだけでなく、Googleが最近、Cookieに代わり導入を開始したFLoCなどの新しい収集方法で取得されたデータについても個人関連情報に含まれることを明記すべきではないか」との意見(不肖な私の意見なのですが)に対して、PPCは「個人関連情報の定義にあてはまるものは個人関連情報に該当する。個別の判断になるが、収集の方法によって判断がかわるものではない。」と回答しています。

GoogleのFLoCなど

GoogleなどのIT事業者が、個人情報保護法を潜脱するためにFLoCなどの新しい手法を導入することは、個人関連情報の新設の趣旨に反するので、このPPCの回答は国民個人の権利利益の保護・人権保障の観点(法1条、3条、憲法13条)から、非常にグッジョブ!!であると考えられます。

今後、GoogleなどのIT企業がCookieやFLoCなどに代わるさらに新しいデータの収集方法を開始したとしても、それで収集されるデータが「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」にあたるのであれば、個人関連情報に該当し、第三者提供の際に本人の同意が必要になるとPPCは考えていると思われます。

3.個人関連情報と図書館の貸出履歴など
また、改正個人情報保護法ガイドライン(通則編)の個人関連情報に関するパブコメ結果315は、「ある個人の図書館の貸出履歴・利用履歴(利用事実)も個人関連情報や個人情報に該当しうることを明記すべきではないか」との意見(不肖・私の意見ですが)に対して、PPCは「個別の事案ごとに判断することになるが、図書館の利用履歴について、特定の個人を識別することができる場合(他の情報と容易に照合して特定の個人を識別できる場合を含む)には個人情報(法2条1項)に該当し、個人情報に該当しない場合には、「ある個人に関する情報」である限り、個人関連情報に該当する」と明快に回答しています。これもPPC超グッジョブ!!と言わざるをえません。

図書館の貸出履歴1
図書館の貸出履歴2


この点、現在の、平成27年(2015年)改正の個人情報保護法ガイドライン(通則編)は、要配慮個人情報(法2条3項)に関する2-3(要配慮個人情報)の部分のなお書きとして、「なお、次に掲げる情報(=要配慮個人情報))を「推知させる情報」にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない。」との記述を置いており、宗教に関する書籍の購買や貸出しに係る情報等などのような要配慮個人情報を「推知させる情報」は重要でないどうでもよい情報・データであるとの誤解が社会に広まってしまったような気がします(一種の「個人情報保護法による過剰反応」。なお令和2年改正の個人情報保護法ガイドラインにおいても、このなお書き自体は残っている。)。

しかし今回のこの個人情報保護法ガイドライン(通則編)パブコメ結果315は、図書館の貸出履歴・利用履歴なども個人情報に該当し、個人情報に該当しなくても、「ある個人に関する情報」である場合は個人関連情報に該当すると明確に回答していることは非常に重要な意味があると思われます。

貸出履歴・閲覧履歴などの個人情報・個人関連情報の該当性の図2

つまり、図書館の貸出履歴データ・利用履歴データをさまざまな用途に利活用しようとしてる法政大学、国会図書館などや、ツタヤ図書館などを運営するCCCなどのデータマーケティング企業やIT企業、さらに警察からの令状によらない照会に安易に応じ回答を行っている図書館、学校図書館の貸出履歴データ・利用履歴データなど図書館の利用以外に転用している学校・教育委員会・国などは、それらの業務が個人情報保護法など法令に違反してないか再検討が必要であると思われます。

■関連する記事
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?

同時に、今回のパブコメ結果を踏まえたPPCの令和2年改正個人情報保護法ガイドライン(通則編)の2-3-1-1(個人関連情報)の部分は、つぎのとおり、「Cookieなどで収集されたある個人のウェブサイトの閲覧履歴」、「メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等」、「個人の商品購買履歴・サービス利用履歴事例」、「ある個人の位置情報事例」、「ある個人の興味・関心を示す情報」などのデータ・情報も、それが連続して蓄積された場合には個人情報に該当し、個人情報に該当しない場合は個人関連情報に該当すると明記しています。

個人関連情報に該当する事例
(令和2年改正個人情報保護法ガイドライン(通則編)の2-3-1-1(個人関連情報)の部分より)

そのため、ヤフージャパン、LINEなどのIT企業、ターゲティング広告などの広告事業者、共通ポイントなどを運営するCCCや楽天などのデータマーケティング事業者、通信事業者・プロバイダ(ISP)やSuicaなどを運営するJR各社などの鉄道事業者・運輸事業者、コネクテッドカー・プラットフォームを運営する自動車メーカー、ネット上の通販を行うAmazonや楽天、メルカリや、ネットバンクや電子マネーやQRコード決済などの電子決済を行う金融関係の事業者、銀行・保険・証券、信用スコアや情報銀行などの業務を行う金融機関、テレビの閲覧履歴などを利用しているテレビ局、電気・ガス・水道などの利用履歴・ライフログなどを利用しているインフラ事業者、ネット閲覧履歴や移動履歴・購買履歴などを利用しているリクルート・LAPRASなどの人材企業やHRテックの事業者、タブレット端末などの操作履歴などを利用してEdTechやGIGAスクール構想などを推進しているベネッセや学校・教育委員会、文科省などは、今一度、自らの業務が個人情報保護法などの法令に違反していないか、再検討が必要であると思われます。この個人関連情報の新設は、影響範囲が非常に大きいと思われます。

4.AIやコンピュータによるプロファイリングについて
さらに、前述のリクナビ事件の問題や、2018年に施行されたEUのGDPR(EU一般データ保護規則)22条が「プロファイリング拒否権」(コンピュータやAIの個人データの自動処理のみによる法的決定・重要な決定の拒否権)を規定していることや、本年4月にEUがAI規制法案を公表したことなどから、AIやコンピュータによる人間のプロファイリングの危険(データによる人の選別の危険)に関する関心が日本社会でも高まっています。(最近の一部の情報法の学者の先生方は、個人データ保護法制の本当の立法目的は、プロファイリング拒否権であるとのご見解を示しておられるようです。)

この点、個人情報保護法ガイドライン(通則編)のパブコメ結果57は、「プロファイリングによる個人データの収集・利用などが個人の権利・利益を侵害するおそれがあるような場合については、これが個人情報の不適正利用の禁止条項(法16条の2)に該当し違法なものとなることを明記すべきではないか」との質問(不肖・私の質問ですが)に対して、PPCは「「プロファイリングの目的や得られたデータの利用方法など個別の判断が必要であるが、プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合は、不適正利用に該当する場合があり得る。」と回答しています。

プロファイリング2

このように、AIやコンピュータによるプロファイリングの法規制に関して、PPCはEUやアメリカの一部の州などの個人データ保護法の先進国・地域と異なり、慎重な姿勢を示しています。

しかし少なくとも、リクナビ事件のような、就活生などの求職者のネット閲覧履歴などのデータを収集し、AIで内定辞退予測データなどの就活生などに大きな不利益をもたらすおそれのあるデータを生成し、求人を行っているトヨタなどの企業にそのデータを販売・第三者提供するような行為は、「プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合に該当し、不適正利用であり違法であるとPPCに判断される可能性があると思われます。

そのため、AIを求職者の採用活動などに利用している雇用分野やHRtechの企業・人材会社・事業会社の人事部門や、AIを教育に利用している教育業界や学校・教育委員会・文科省、AIや顔認証システムを搭載した防犯カメラ・監視カメラ・商用カメラなどを利用や開発・販売している警備業界・警察・小売業・電気メーカーや、AIを信用スコアやローンの審査・保険の引受審査・保険金支払査定などに利用している銀行・保険などの金融機関、出入国管理など行政上の審査にAIを利用している行政庁などは、自らの業務が令和2年改正の個人情報保護法に抵触しないか、今一度再検討が必要であると思われます。

■関連する記事
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR

5.その他・委託の「まぜるな危険」の問題、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当のパブコメ意見!?
(1)委託の「まぜるな危険」の問題
その他にも、この令和2年改正個人情報保護法ガイドラインパブコメ結果は、通則編のパブコメ結果351に、経営法友会からの「委託の「まぜるな危険の問題」」の質問へのPPCの回答が載っているなど、個人情報保護法や情報セキュリティなどに関係する人にとって見どころが満載です。(委託の「まぜるは危険の問題」がPPCの公式文書に掲載されたのは、これがおそらく初めてではないでしょうか。)

委託のまぜるな危険の問題

(2)「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のパブコメ意見!?
また、このパブコメ結果で異様なのは、法人・個人や各種団体などからの意見にまじって、「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」からのパブコメ意見が大量に提出されていることです。PDFファイル上で検索するとなんと31件もあるようです。しかも、他の個人・法人のほとんどが、PPCのパブコメ要綱を遵守して「意見」・「理由」を分けて丁寧な文言で意見や質問などを提出しているのに、この内閣府の担当者は意見・理由を分けずに、上から目線のあまり上品でないだらだらとした言葉使いで31件もの意見を書いています。

さらにパブコメ結果を読んでいて驚くことは、この内閣府健康・医療戦略推進事務局の担当者は、個人情報保護法の条文の文言上の理解すらできておらず、おそらく実務上も個人情報の取扱を経験したことがないような、官僚というよりまるで大学法学部の1年生かのような素人質問をPPCに対して、まるで顧客が企業のコールセンターに電話で質問するかのように、カジュアルに投げつけていることです。
内閣府5
(ガイドライン(通則編)のパブコメ結果275。内閣府の担当者は法23条2項のオプトアウトによる第三者提供に関して「いちいち事業者が本人に対して通知を行わねばならないことは面倒である」という趣旨の意見を述べていますが、PPCも回答しているように、法23条2項は「通知または公表」と規定しており、事業者に「通知」を義務付けていません。)

「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」は、国民のカルテや処方箋データなどのセンシティブな個人情報である医療データを国が一元的に収集し、IT企業や製薬会社などに利活用させる次世代医療基盤法などの担当所管のはずですが、個人情報保護法の素人のような人間が担当者で本当に大丈夫なのでしょうか?   国民としては非常に心配です。

くわえて、この内閣府健康・医療戦略推進事務局次世代医療基盤法担当の担当者の意見は、個人情報取扱事業者の法的義務を削減することを要求する内容のものが多く含まれています。この点は、内閣府や個人情報保護委員会の行政の公平性・中立性(国家公務員法96条1項、憲法15条2項など)が損なわれるおそれがあるだけでなく、国の個人情報保護行政デジタル行政などがゆがめられてしまうおそれがあるのではないでしょうか。

■関連する記事
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・2020年の個人情報保護法改正に関するガイドライン改正に関するパブコメについて意見を書いてみた-FLoC・プロファイリング・貸出履歴・推知情報・データによる人の選別
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権















このエントリーをはてなブックマークに追加 mixiチェック

LINE
1.台湾の政府要人のLINEアカウントがハッキング攻撃を受ける
台湾政府要人がイスラエル企業のマルウェア・スパイウェア「Pegasus」(ペガサス)により通信アプリLINEのアカウントにハッキング攻撃を受けていた事件が報道されています。「Pegasus」は、標的のスマートフォンなどのデータへのアクセスや、スマホのカメラやマイクの機能を強制的にオンにして情報を収集するとされています。

それらの報道のなかで、7月29日付の産経新聞「スパイウエア取り締まり困難 政府要人は自衛を」という記事が、神戸大学森井昌克教授(電気通信工学)の「こうした監視ツールは昔からある。法的に禁止することは難しい」等のコメントを掲載していますが、この森井教授のコメントにはネット上でさまざまな疑問の声が寄せられています。またこの産経新聞記事は、「スパイウエアは…国際社会でも使用を禁止する動きはない。」としている点もよくわかりません。
・スパイウエア取り締まり困難 政府要人は自衛を|産経新聞

2.不正指令電磁的記録作成罪(ウイルス作成罪)
神戸大学の森井教授は「法的に禁止することは難しい」とコメントを寄せれおられますが、しかし、2011年(平成23年)にはわが国の国会では、「情報処理の高度化等に対処するための刑法等の一部を改正する法律」が制定され、コンピュータ・ウイルスに関する罪の不正指令電磁的記録作成等罪(いわゆるウイルス作成罪)が刑法に新設されました(刑法168条の2、168条の3)。

刑法
(不正指令電磁的記録作成等)
第168条の2 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
 正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。

つまり、新設された不正指令電磁的記録作成等の罪である刑法168条の2第1項1号は、コンピュータやスマホなどのユーザーに対して「正当な理由がないのに」「意図に反する動作」をさせる「不正な指令」を与えるプログラムを作成したり提供したり、他人のコンピュータ等で実行させることを犯罪として3年以下の懲役または50万円以下の罰金という罰則の対象としています。

法務省「いわゆるコンピュータ・ウイルスに関する罪について」は、この「意図」について、「当該プログラムの機能の内容や機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところを基準として判断する」としており、スマホ内のデータへアクセスし、またスマホのカメラやマイクの機能を強制的にオンにしてデータを収集する「Pegasus」などのスパイウェアの挙動は「意図に反する動作」に該当します。

また、法務省の同文書は、「不正な指令」について、「その機能を踏まえ、社会的に許容し得るものであるか否かという観点から判断する」とし、例えばコンピュータのストレージのデータを消去するためのプログラムがストレージ内のデータを消去することは「不正な指令」に該当しないが、例えば官庁の通知・通達などの文書ファイルを偽装した実はストレージ内のデータを消去させるファイル等は「不正な指令」に該当するとしています。そのため、「Pegasus」などのスパイウェアは社会的許容性もなく「不正な指令」に該当します。

さらに、「正当な理由がないのに」とは、例えばウイルス対策ソフトの研究開発のためにウイルス対策ソフト会社がコンピュータウイルスを作成などする行為に本罪が成立しないことを明確化するために国会審議で追加されたものです(西田典之・橋爪隆補訂『刑法各論 第7版』412頁)。「Pegasus」などのスパイウェアが一般人や政府要人のスマホ等に導入され動作することはこれに該当しないので、「Pegasus」などは「正当な理由がないのに」に該当します。

したがって、「Pegasus」などのスパイウェアについては、もしこれが日本の一般国民や政府要人などのスマホ等にインストールされ動作した場合、不正指令電磁的記録作成等の罪が成立するといえるので、「法的に禁止することは難しい」としている森井教授や産経新聞は正しくないと考えられます。

そもそもこの不正指令電磁的記録作成等の罪・ウイルス作成罪などは、2004年に日米欧など約50か国が批准し成立したサイバー犯罪条約への対応として制定されたものです。日本だけでなく、例えばイギリスでは「コンピュータ不正利用法」の3A条にウイルス作成罪が設けられ、イタリアの刑法615条の5もウイルスに関する罪を規定しています。さらにロシア中国などの刑法にもウイルス罪の規定は設けられています(財団法人社会安全研究財団「諸外国における不正アクセスの助長行為等を規制する関連法令に係る調査報告書」(平成23年10月)5頁より)。
・諸外国における不正アクセスの助長行為等を規制する関連法令に係る調査報告書(平成23年10月)|財団法人社会安全研究財団

また、ドイツでは最近、国や州が疑わしい国民のパソコンやスマホなどにスパイウェアを導入して監視を行うための法律案が準備中であるそうですが、同様の内容の法律が2008年にドイツ連邦憲法裁判所で国民の「コンピュータ基本権」という「新しい人権」に抵触する違憲なものであり無効とする判決(オンライン監視事件・2008年2月27日連邦裁判所第一法定判決 BVerfGE 120.274.Urteil v.27.2.2008)が出されたことは、このブログでも取り上げたとおりです。
・ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権-なか2656のblog

そのため、「スパイウエアは(略)、国際社会でも使用を禁止する動きはない。」としている産経新聞記事のこの部分も正しくありません

3.個人情報保護法から
さらに、この産経新聞記事は、森井教授の「(スパイウェアを)法的に禁止することは難しい」というコメントの理由として、「個人情報を監視するソフトの定義が明確でないのが一因。もし、利用者のデータ収集を禁じれば、ネット通販交流サイト(SNS)などのアプリも規制を受けることになってしまうからだ。」と記述しています。

この説明が、森井教授か産経新聞記者のどちらの見解なのかは不明ですが、しかし、SNSやネット通販サイトなどは、一応は、個人情報保護法に基づき、それぞれの運営会社において、プライバシーポリシーで個人データの利用目的や個人データの第三者提供先、委託先、個人データの開示・訂正・削除・利用停止などの手続きなどを規定し、会社サイトなどで公表するなどして、個人情報・個人データの収集・管理などが(一応は)法律に則り実施されているのが一般的です。

したがって、「もし、利用者のデータ収集を禁じれば、ネット通販やSNSなどのアプリも規制を受けることになってしまう」ので「スパイウェアなどを法的に禁止できない」という説明は無茶苦茶であり、この点は個人情報保護法からもまったく正しくありません

4.まとめ
このように、この産経新聞の記事は、刑法や個人情報保護法などの観点から正しくない点が多く存在します。産経新聞は多くの国民が記事などを読むマスメディアなのですから、スパイウェアなどについて報道するにあたり、もう少し刑法や個人情報保護法、情報法などに関する法的知識情報リテラシーを持った上で取材や報道を行うべきではないでしょうか。

■関連する記事
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・デジタル庁の事務方トップに伊藤穣一氏とのニュースを考えた
・コインハイブ事件高裁判決がいろいろとひどい件―東京高裁令和2・2・7 coinhive事件
・ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権
・「法の支配」と「法治主義」-ぱうぜ先生と池田信夫先生の論争(?)について考えた
・「幸福追求権は基本的人権ではない」/香川県ゲーム規制条例訴訟の香川県側の主張が憲法的にひどいことを考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR

■参考文献
・西田典之・橋爪隆補訂『刑法各論 第7版』412頁
・いわゆるコンピュータ・ウイルスに関する罪について|法務省
・諸外国における不正アクセスの助長行為等を規制する関連法令に係る調査報告書(平成23年10月)|財団法人社会安全研究財団
・イスラエル企業開発のスパイウェア 世界中の記者や活動家を監視か|NewsWeek
・懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」|高木浩光@自宅の日記















このエントリーをはてなブックマークに追加 mixiチェック

クラブハウス
スイスの情報セキュリティ研究者のMarc Ruef氏(@mruef)などのTwitterの7月24日の投稿によると、音声SNSのClubhouseの日本を含む38億件電話番号データベースがダークウェブのオークションで売りに出されている可能性があるそうです。(【追記】Clubhouse側や他の研究者たちはこの情報漏洩を否定していることを記事末に追記しました。)

クラブハウス情報販売
(Marc Ruef氏(@mruef)のTwitterより)
https://twitter.com/mruef/status/1418693478574346242

Clubhouseのアプリは、自動的にスマホユーザーのアドレス帳に登録されたすべての電話番号を収集するので、自分自身はClubhouseを利用していなくても、自分の電話番号を知っている人間がClubhouseを利用していれば、電話番号等の個人情報が流出している可能性があるとのことです。

これがもし本当にClubhouseを運営するAlpha Exploration(AE)社の保有する個人情報データベースから何らかの方法で出された電話番号データベースであるのなら、日本の個人情報保護法上、電話番号のみのでも「個人情報データベース等」(法2条4項)のデータの一部に該当し、つまり「個人データ」(法2条6項)に該当し、つまりそれは「個人情報」(法2条1項1号)に該当することになります。

個人データの第三者提供には原則、本人の同意が必要であり(法23条1項)、また第三者提供には個人情報が提供された際のトレーサビリティ(追跡可能性)の確保のために、記録作成義務記録確認義務が課されます(法24条、法25条)。(そのため、こういう個人データが大っぴらに転売されることは難しいように思われます。)

AE社は米企業のようですが、もし日本であれば、2014年のベネッセ個人情報漏洩事件のような個人情報漏洩事故なので、安全管理措置(法20条)の懈怠の問題としてAE社は個人情報保護委員会から行政指導等を受けたり(法41条、42条)、ユーザーなどから損害賠償請求訴訟を提起されるリスクがあります。販売等の目的などで個人データを持ち出した人間・法人は罰則も科されます(法84条)。

もしClubhouseがEU圏のユーザーも利用してるなら、AE社はGDPR(EU一般データ保護規則)最高2000万ユーロまたは前会計年度の全世界年間売上高の4%のいずれか大きい額の制裁金が科されるリスクもあります(GDPR83条)。また同様に、もしClubhouseがEU圏のユーザーも利用してるなら、GDPR33条は事業者等が自社の個人情報の漏洩を知った場合、72時間以内の所轄のデータ保護当局への報告という厳しいタイムアタックを要求しているので、AE社はこの義務を履行しなければなりません。

(なお、2022年4月施行予定の日本の令和2年改正の個人情報保護法22条の2は、個人情報漏洩が発覚した場合、原則として、事業者は速やかに個人情報保護委員会に速報を報告し、30日以内に報告書を提出しなければならないことになるので、日本の事業者も個人情報漏洩があった場合には迅速な対応が要求されることになります。)

聞くところによると、一時期大きな注目を浴びたClubhouseも、最近はめっきり利用者が減少しているそうですが、AE社の保有する個人データの取扱や管理の在り方が、いろいろと気になるところです。

■追記(2021年7月26日2:00)
情報セキュリティの専門家の高梨陣平氏(@jingbay)より、この件に関しては、つぎの記事のように、Clubhouse側や他の研究者たちが電話番号の情報漏洩を否定しているとのご教示をいただきました。高梨様、ありがとうございました。
・Clubhouse denies data breach, experts debunk claims of leaked phone numbers|TechZimo
















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ