ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

弁護士募集のお知らせ

私の仕事を手伝ってくれる経験弁護士を募集することにいたしました。少しでも興味があれば、お気軽に連絡ください。また、転職を検討中の方が周りにいらっしゃいましたら、ぜひご案内いただけると幸いです。

http://www.miyauchi-law.com/saiyou.html

ひまわり求人求職ナビでも詳細情報を公開していますので、ぜひご覧ください。

個人情報保護法2020年改正資料更新

個人情報保護法2020年改正資料を全体的に更新しました。

どんな改正かというまとめの後に、一個一個の改正の解説をつけるというのを、最後までやりましたが、改正項目によっては解説が薄いものもあります。

4/8に途中版をUPしていましたが、4/9にとりあえず当面の改訂を終えたものをUPしました。

 

水町雅子「個人情報保護法改正2020年のポイント解説(2020.4改訂)」

http://www.miyauchi-law.com/f/200325pii2020kaiseigaiyou.pdf

【個人情報Q&A】個人データを第三者提供する際、一見、個人情報っぽくなく加工すればOKなのか

個人データを第三者提供する際、一見、個人情報っぽくなく加工すれば、個人情報保護法の問題なくOKになるのですか?

 

※2020.4.8の元記事を2020.4.9に整理して改訂しました。

※コロナと年度初めということで会議がほぼなくなり、席にいる時間が増え、ブログ投稿が頻回になっています(笑)

 

 

1.個人データを提供する場合の考え方

 (1)論点(全体の個人データ該当性)

個人データを外部提供する際に、本人の同意を取るか、オプトアウトするか、委託構成とするか、など、個人情報保護法23条を遵守する必要があります。

しかし、この時、渡すデータが、「個人データ」でなければ個人情報保護法の問題でないのでは、と思う人が多いと思います。今日はその点を考えます。

 

f:id:cyberlawissues:20200408142253p:plain

上の図を見てみて下さい。

提供元では、データをIDで管理しているとします。通常の企業は、こういう管理だと思います。なぜならITシステム上で、名前をキーにして情報管理するというのは、あまりあり得ないからです。もっとも、IDと名前の対照表も、持っているのが通例と思われます。

で、外部提供に当たり、提供先では別に具体的な氏名などは必要ないので、氏名などは渡さず、IDとデータの、上の図でいうと薄いクリーム色になっている表だけを渡すとします。

この場合、「個人データ」の提供として個人情報保護法の対象になるでしょうか。

 

(2)提供元基準説

 これは、「提供元基準」「提供先基準」などと呼ばれている問題と思われます。

「提供元基準」説とは、「個人データ」かどうかは、提供「元」で考えるという見解です。渡す側で個人データなら、それは個人情報保護法23条の適用だよね、という見解です。

こういう風に文章で説明すると、そりゃそうだろう、提供「元」で考えるだろうというような説得力があるように思います。

また提供元基準説の長所として、提供元が自分で判断できるという点があります。自分にとって個人データかどうかは、自分でわかるので、個人データの提供なら個人情報保護法23条を満たさないといけないというのが、わかりやすいというメリットです。

(3)提供先基準説

 「提供先基準」説とは、「個人データ」かどうかは、提供「先」で考えるという見解です。もらった側で個人データなら、それは個人情報保護法23条の適用だよね、という見解です。

提供先基準説の長所というか根拠としては、その情報をもらった先で誰の情報かわからなければ、それは別に規制とかいらないんじゃない?という考え方があるかと思います。守るべき情報でもないのに、過度な規制・保護はいらないんじゃないかという考え方かと思われます。

ただ提供先基準説の短所としては、予測可能性に欠けるという点が挙げられます。提供元としては、渡した相手にとって個人データかどうかはわからない場合が多いと思われ、自分で判断できないということです。

提供先に「あなたにとって個人データに当たりますか?」と聞いて、提供先が「当たりません」といえば、個人情報保護法23条は適用されないと考えられるのかというと、提供先が法律をきちんと理解していない可能性もあるし、提供先が嘘を言う可能性もあります。

提供元と提供先で契約書等で、「提供先は、提供先において当該情報が個人データに該当しないことを表明保証する」などと約束しておけば、提供先に法的な保証をしてもらえますが、そうはいっても、そういう契約をしたとしても、提供先が法律をきちんと理解していないで契約をしていたり、意図的に嘘を言う場合、提供元としては提供先に損害賠償請求はできるとしても、個人情報保護法違反の責任を免れることは難しいし(提供規制は提供元にかかるので、結局違法行為は提供元がしていることになってしまう。但し取得規制も提供先にかかってはいる。)、「あの提供元って個人データを提供しているくせに、個人データじゃないからって個人情報保護法を守ってなかったんだって。最低だね。」などと言われるリスクも十分あり得ます(レピュテーションリスク)。

(4)当局見解

 当局はどのような見解を取っているかというと、基本的には、提供「元」基準説だと考えられています。

(ご参考)http://www.shugiin.go.jp/internet/itdb_shitsumon.nsf/html/shitsumon/a196470.htm

 

これに対し、岡村先生は、以前より、提供「先」基準説を唱えていらっしゃると思います。

(5)水町感想

 水町としては、これまではあまり、この問題について深く考える機会はありませんでした。多くの識者の方々が深くご検討されているので、私ごときが別に考えなくても、既に論点として深く提示されているし、考え方も提示されているしと思っていたのです。

で、あまり考えない状態で、とりあえず、これまでは、提供元基準って、そりゃそうだろう、提供元基準だろうと思っていました。事業者の予測可能性の点からですね。まあ役人的発想だと、提供元基準説になる気がしますね。事業者が予測できないって事業者側から怒られるのが目に見えていますからね。

しかし、個人情報保護法2020年改正の資料を作るために、提供元基準説の解説スライドを作りまして、で、上の図を作ったのですが、よく考えると、保護の目的から考えれば、提供元基準って変な気がしてきました。

そして、この辺りはよく実際にご相談いただきます。結局、情報公開とか、オープンデータとかのためにも、上の図みたいにして、個人情報っぽくなく加工すれば公開できるんじゃないか、みたいなご相談をいただくことがあります。社会的に非常に有用なデータは実は様々あり、それをどの程度加工すれば、公開できるのか、外部提供できるのかという話は、度々ご相談いただくことがあります。

よく考えてみると、やはり提供元基準説だと、規制が強すぎるように思います。だって守るべきなのは、「人」であって、個人情報保護法は、その人にとって勝手に自分の情報を流通させられたり外部に知らせられたり、意図しないやり方で情報を使われたらいやなので、それをやめさせるっていう法律だと思うのです(目的規定に沿わないものすごい意訳ですが)。

誰の情報かわからない情報が外部提供されたとしても、それはそこまで保護すべきものなのかどうか、提供元基準で、提供元で容易照合できたとしても、提供情報自体は個人データではないのに、なぜバリバリの個人データと同様の保護をかけないといけないのかといわれると、謎な気がしてきました。

だって、上の図の提供を、普通の個人データの提供と同様に規制対象にする必要があるかって言われると、そうじゃないんじゃないかとも思いませんか? 渡った先にとってはだれの情報かわかんないんだし、提供元にとっても、バリバリの個人データとは切り離して提供するわけだから。

 ただ、まあ個人情報保護法23条が比較的緩くて、結局本人同意なく外部提供できる場合が広く認められていますので、提供元基準説は規制としては強すぎるように思いますが、結局提供元基準説でも、かけられる規制が23条で緩いので、結論としては、まあ23条を満たした提供で、提供可能だよねってことで、今まではやってきたとも思います。

本来は、匿名加工情報を、提供元基準では保護が強すぎな、提供元で容易照合できるけれども提供情報としては非個人データみたいなものにすれば、良かったのかなとも思いますが、でも、どうせ個人データのままでもオプトアウトで個人情報保護法23条を満たせます。要配慮個人情報とか令和2年改正でオプトアウト不可のものについては、提供元基準だと困るという声も出そうなものですが、オプトアウトできるものについては、オプトアウトで拒否対応すればいいんじゃないかっていう話になる気もします。

 

たとえるなら、最初のトラップ(提供情報が個人データかどうかについて提供元基準説を取る)はかなり厳しくて、多くの場合、このトラップにひっかかりますが、このトラップにひっかかったとしても、その次の2番目のトラップ(個人情報保護法23条を満たすかどうか)がかなり緩くて、結局、1番目のトラップにひっかかったとしても、2番目のトラップにはひっかからずにそのまま先に進める、みたいな感じでしょうか。

2.しかしそんな単純な話ではない(個人データ該当性)

 (1)論点(提供データ単体での個人データ該当性)

 しかし、現実は、上の1に書いたみたいに単純カンタンな話でもありません。

上の図だと、あくまで、提供情報は、非個人データであることが前提になっています。提供情報自体は非個人データなんだけど、提供「元」では、氏名とIDの対照表を持っているから、「容易照合性」の問題で、結局、提供「元」では「個人データ」に該当するので、それを提供しているので、個人情報保護法23条の提供規制を満たす必要があるねという話に単純化しています。

そうではなく、上の図のような状態でも、提供情報自体が、やはりまだ「個人データ」に当たることは、現実問題としては多いと思います。

 (2)特異なデータ

 IDと何らかのデータだけにしても、それ単体で個人情報になり得る可能性があるということです。氏名とIDの対照表を仮に削除したとして、IDと点数だけだとしても、特異な点数(例えば、難易度の高い試験を10回連続100点とか、簡単な試験を10回連続0点とか)があれば、誰かわかる場合があります。あとは背景情報があれば、さらにわかりやすいでしょう(A学校1組の試験とかであれば、10回連続100点の人はだれかわかるでしょう)。

 (3)長期間・多種多様なデータ等

 また、一見特異ではないように見えても、長期間のデータを取ったり、多種多様なデータが含まれていると、IDと情報だけでも、誰の情報かわかる場合があります。

例えば、10年間の成績データがあるとして、1年生のときは優秀だったけど、3年生では非常に落ち込み、5年生でまた成績優秀になるも、6年生・中1で落ち込み、しかし中2で特に優秀になるみたいな経過データがあると、それだけで、誰の情報かわかる場合があります(経過として特異な場合等)。

この場合、100点とか0点とかの特異値っていうか、正規分布で見たときの上位5%と下位5%とかを丸め処理したとしても、経過として特異みたいなものは、なかなか一律丸め処理の対象から漏れてしまう場合があり得ます。

また、点数自体は特異な点数ではないんだけど、そのほか、身長体重、性格、家庭環境など、様々な項目が一緒にあると、それらの組み合わせで、誰かわかる場合があります。こういう家庭のこういう身長の子で成績が70点の子は、あの子だよね、みたいな感じです。

 (4)提供データ単体で個人データの場合、ではどうするのか

 こういう場合は、結局、匿名加工情報にも非識別加工情報にも当たらないと思われ、結局、個人データとして、個人情報保護法23条を満たすようにしなければ、外部提供できないと考えられます。そうすると、このような状態だと基本的にオープンデータ化は難しいと考えられます*1

個人情報保護法23条がどうしても満たせないという場合は、「統計情報」にして提供するという方法もあります。それならば、統計情報ならば個人情報ではないので、もう個人情報保護法の対象ではないからです。

ただ、統計情報だとデータ価値が乏しいという意見もあることは事実です。

3.どういう法制が適切なのかはまだ検討中…

 (1)個人データの保護の観点

 5年、10年くらい前は、氏名さえ含まれていなければ個人情報じゃないという風な誤解が蔓延していました。しかし最近はそういう風潮はあまり見られず、個人情報該当性についてはおおむね正しく理解されているように見受けられます。

しかし、上のような問題までは、あまり広く周知されておらず、そこまでいうなら、何にも外部提供・公表なんてできないじゃないか、みたいな意見もあります。

しかし、誰の情報かわかってしまって、それが社会的にもプライバシー性のあるものであれば、やはり外部提供や公表は規制されるべきであると思うのです。

テストの成績、年収、こういったものが、良い成績でも悪い成績でも一般公表されるとしたら、嫌に思う方も多いのではないでしょうか。それに対して、統計情報みたいに、「平均点数〇点」みたいなものが公表されていても、嫌に思う人は少ないと思います*2

ただ、この辺りは、国民意識にもよるようで、外国だと年収とかが公開されている国もあるようです。私からすると、詐欺とか強盗とか大丈夫なのかなと思いますが。

 (2)公益性の観点

 しかし、上のような考え方をとると、匿名加工情報や非識別加工情報の基準も、結局満たせない場合が多く、情報公開とか情報による価値の創造とかっていうのは、厳しくなるのも事実だと思います。

そうすると、政策として、法律としては、どうあるべきなのか。

 

 (3)どうあるべきなのか考え中

 個人情報保護法の場合は、23条が緩いので、結局、同意なく外部提供や公表はできちゃうんですよね。本人が拒否すればやめるという方法で(オプトアウト)。でも、これでいいのかという問題があります。

一方で、個人情報保護法適用じゃない場合、公的機関等の場合ですね。これは困ります。オプトアウトができませんから。「目的内提供」や「公益のための目的外提供」で行くという考え方もありますが。

考えていくと、すごく難しい、どうあるべきかは。とりあえずの今の私の考えとしては、個人情報保護条例であるように、「公益その他特に必要がある場合で、第三者機関の審議を経て適切と認められる場合」みたいな条項を一個つけておいて、第三者機関で審議するっていうのが、まあ、個別具体的な判断ができるので、良いのかなあとも思いますが、なんとも。

あとはあれですね、提供相手を制限するっていうのも現実的ですね。一般公開だとリスクが高いところ、提供相手を限定して、その人に守らせる事項を決めて、誓約書なり契約書を巻く。

うーん、でもなんか、もうちょっと、パリっとする解決案が見つかればいいのですが…。10年ぐらいのスパンをかけて、考えていきたいと思っています。

 (4)とはいえ、この規制を知っている人は少ないのでは

 といいながらも思うのが、この提供元基準みたいな話は、個人情報が相当好きな人じゃないと知らない可能性も高いのではないかということ。上の図のような提供が、個人情報保護法の対象と理解している方は、日本でどれぐらいいるのだろうか。個人情報保護法上問題ないとして、何も対応していない実務も、あり得るんじゃないだろうか(ただの憶測ですが)。だって、一般人の感覚からいったら、これは大丈夫じゃないかってなる気が。

 

 (5)その他の過剰とも考えられる規制(公開情報)

あと、上の図の話とはずれますが、個人情報とか個人データって、公表情報であっても該当するんですね。「安倍晋三は日本の総理大臣である」も個人情報に当たるんです。個人データではないですが。

そうすると、公表情報を外部提供する場合も、個人情報保護法の対象になるんですよね。これは、過剰規制な気がします。

ただ公表情報であっても正当に公表されているものばかりではなく、不正・違法に公表されているものもあるので、そこは規制しないといけないと思います。その趣旨で、不適正取得規制と不適正利用利用が効いてくると思います。この二つがあれば、提供規制とか利用目的明示義務については、公表情報は、規制対象から外してもいいんじゃないかとも思います。

 (6)雑感想 

このように、個人情報って考えれば考えるほど、論点が尽きません。どういう規制が正しいのか、非常に難しい話です。

あと、令和2年個人情報保護法改正の資料を作っていて、個人関連情報の資料を作る際に、提供元基準の元説明文書に当たろうと思ったんですが、なんか提供元基準説の元資料が見当りません。経産省のQ&Aだったかと思ったんだけど。個人情報保護委員会ガイドラインとQ&Aも見たけど記載がない気が。探し方が悪いのでしょうか??

仕方がないので、令和2年法改正大綱の文を引っ張ってきたところ。

 

*1:通例として、オープンデータは個人情報じゃないことが前提となっているので

*2:ただ、統計情報でもきちんと統計化できておらず、個人情報が残るという問題は別途ある

【個人情報Q&A】個人データを外国に提供する場合に記録義務が適用になるか

個人データを外国に提供する場合は、記録の作成・保存義務がかかるのでしょうか。 

 

※かなりマニアックな話になります。

 

個人情報保護法の条文(24・25条)

(外国にある第三者への提供の制限)
第二十四条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

 

(第三者提供に係る記録の作成等)
第二十五条 個人情報取扱事業者は、個人データを第三者(第二条第五項各号に掲げる者を除く。以下この条及び次条において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれか(前条の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)に該当する場合は、この限りでない。
2 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

 

個人データを外国に提供する場合、原則本人同意が必要です(適切な国や適切な相手方の場合、個人情報保護法23条1項各号の場合は同意がなくても例外として許容される)。

そして、個人情報保護法24条後段では、個人情報保護法23条を適用しないとしています。

 

つまり、委託でも、共同利用でも、事業承継でも、外国の場合は、同意か、適切な国や適切な相手方である必要があるということになります。適切な国や適切な相手方構成の場合は、個人情報保護法23条は適用されるとのことです(宇賀克也『個人情報保護法の逐条解説第5版』(有斐閣、2016年)180ページ)。

 

そして、個人情報保護法25条では、個人データの提供に伴う記録の作成・保存義務を定めています。

しかし、個人情報保護法25条では、個人情報保護法23条5項各号等の場合は、記録の作成・保存義務がかからないと規定しています。

もっとも、外国提供の場合は、個人情報保護法23条5項各号でも除外しておらず、個人情報保護法23条1項各号等の場合に、記録の作成・保存義務がかからないと規定していると私は考えます。

つまり、委託や共同利用や事業承継に伴って外国に個人データを提供する場合は、記録の作成・保存義務があり、委託や共同利用や事業承継に伴って国内に個人データを提供する場合は、記録の作成・保存義務がないと考えます。

 

しかし、個人情報保護委員会の第三者提供時の確認・記録義務編 ガイドライン5ページを見てみると、

https://www.ppc.go.jp/files/pdf/guidelines03.pdf

 

同意を得ずに、委託や共同利用や事業承継に伴って外国に個人データを提供する場合は、記録の作成・保存義務がないというように、記載されているように見えます。

類型Ⅱ又は類型Ⅲの「2-1-2 法第 23 条第 5 項各号に掲げる場合」に該当する場合は、記録義務の適用の有無が無となっているからです。

ガイドラインでいう類型Ⅱは適切な国のこと、類型Ⅲは適切な相手方のことで、「2-1-2 法第 23 条第 5 項各号に掲げる場合」とは委託や共同利用や事業承継のことだからです。

 

これはなぜなのでしょうか。

個人情報保護法24条1項但書では、「ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれか(前条の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)に該当する場合は、この限りでない。」と規定されています。国内提供の場合は個人情報保護法23条1項・5項の場合に記録義務の適用がなく、海外提供(個人情報保護法24条)の場合は、個人情報保護法23条1項の場合に記録義務の適用がないと読むのが、文理解釈としては自然ではないでしょうか。

 

前掲宇賀184ページも、私の意見と同旨のように読めます(失礼な書きぶりになってしまいましたが、宇賀先生のご意見とご一緒のような気がするという意味です)。以下宇賀先生の記述を引用します。

23条5項各号のいずれかに該当する場合であっても、外国にある第三者への個人データの移転にかかる記録作成義務は免除されていない。(中略)委託、事業承継、共同利用に伴う提供であっても、本人同意が必要とされており、したがってトレーサビリティの確保のために記録作成義務を課す必要があると考えられるからである。 

 

 

しかし、個人情報保護委員会ガイドラインの見解を取るためには、どういう理屈構成にすればよいのかを考えると、前掲宇賀180ページを読んで、以下のような考え方から個人情報保護法平成27年改正の立法がなされたとも考えられるのではないかと思いました(宇賀先生は以下のことをはっきり述べておられるわけではないので、あくまで私の推測)。

  • 個人情報保護法24条後段の「この場合においては、同条の規定は、適用しない。」というのは、24条前段の同意構成を取る場合、個人情報保護法23条を適用しないという趣旨である
  • 24条前段の例外構成(適切な国か適切な相手方等)の場合は、個人情報保護法23条は適用されるという趣旨である
  • また、個人情報保護法25条1項但書でいう「(前条の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)」の「前条の規定による個人データの提供」とは、24条前段の同意構成をいっているにすぎず、24条前段の例外構成(適切な国か適切な相手方等)は指していない?
  • そうなると、24条の同意がある場合であっても、23条1項の場合は記録義務の適用なし、24条の同意がない場合は、23条1項・5項の場合等に記録義務の適用なし?

でも、これもかなり強引な気がしますが…。内閣法制局的にはそういう構成もありえなくはないかな、と。ああ、たぶんそういう解釈でガイドラインはできているのかな。個人情報保護法25条1項但書でいう「前条の規定による個人データの提供」に、24条の例外による個人データの提供は入らないという解釈かな。

 

宇賀先生の本を読む限り、24条前段の例外の適切な国と適切な相手方の場合は、日本法相当の個人情報保護があり、そうでない場合は日本法相当の個人情報保護がないおそれがあるため本人同意が必要で合って、25条の記録義務においても日本法相当の個人情報保護がない恐れがある場合はトレーサビリティ確保する必要があるというような記載があり、その趣旨を追及すると、24条の適切な国と適切な相手方構成の場合は、日本法相当の個人情報保護があるから、記録義務はいらないとも読めると思います。

 

でも、個人情報保護法25条1項但書の書きぶりの文理解釈としては、「前条の規定による個人データの提供」とは、24条前段の同意構成だけではなく、24条に従った個人データの提供全体を指していると読んだ方が、文理解釈としては自然だと私は思います。24条前段の同意構成だけをいうとするのは、あまりに技巧的で、普通に25条1項但書を読んでも、普通にはわからず、こういう法文は好ましくなく、24条に従った個人データの提供全体を指すとした方が適切ではないでしょうか。委託でも共同利用でも事業承継でも外国の場合は、23条5項でも、記録義務適用になると読むのが自然だと思います。

 

たとえば、契約書でこういう風に、「前条の規定による個人データの提供」と書いておいて、それがさしているのが、前段の同意構成のときだけって主張するのは、裁判でそういう風に解釈してもらえる可能性って高くないと思うのです(その他の諸般の事情からそう読めるということであれば別だけど、文理解釈としては謎じゃないですか)。弁護士が契約書を作るときならこういう書き方はやめたほうが良い。そうすると、契約書よりももっと多くの人に適用される法令で、前段の同意構成のときだけっていう技巧的表現・解釈は、やっぱりちょっとどうかと思います。

 

以上より、水町としては、委託でも共同利用でも事業承継でも外国の場合は、記録義務適用になると考えます。もっとも実務上は、個人情報保護委員会ガイドラインに従っておけば個人情報保護委員会による制裁はありえないと通例は考えられるので、外国提供の場合でも、委託や共同利用や事業承継の場合は記録をつけなくても問題ないとも考えられますね。ただ裁判になった際は、ガイドラインは参考にすぎず、適用されるのは法令ですので、ガイドライン見解を裁判で裁判所が認めるかどうかは別とも言えます。もっとも、民事裁判で、25条違反で損害賠償とかってなかなか考えにくいですが。あ、でも、開示義務課されると、25条違反でそもそもの記録がないっていうときに、損害賠償っていう話もなくはないかもしれません。そうすると、外国提供って、消費者から見たら国内よりもさらにトレーサビリティを求めてもおかしくないでしょうから、訴訟対応を考えると、やっぱり外国提供は記録をつけておいた方がよい=水町説を実務でも採用したほうが良いかもしれません。

 

2020.4.8追記

・外国提供の透明化の要請

外国提供について、消費者側は、国内提供よりもトレーサビリティを求めるという風に私は考えます。なぜならば、国内であれば個人情報保護法が適用になって、罰則・行政制裁・民事訴訟等が可能でありますが、外国であれば個人情報保護法が適用される場合も少ないので、罰則・行政制裁ができる場合も少なく、また民事訴訟も事実上難しいからです。委託・共同利用であれば、委託元・共同利用のうちの一社ぐらいは国内でしょうから、その国内事業者に対して罰則・行政制裁・民事訴訟等を行うという考え方もありますが、委託元による監督責任は十分果たしていた場合などは、やはり実際に問題を起こした海外事業者に訴訟等をする必要があると思います。また事業承継の場合、承継前の会社が存続していればそこに罰則・行政制裁・民事訴訟等を行える場合もありますが、消滅していれば、責任を問える国内事業者がいないわけで。

 

外国提供について、令和2年個人情報保護法改正で、情報提供義務が課される予定です。このことは、外国提供についての透明化を求める考え方と符合するのではないでしょうか。

 

そうすると、委託・共同利用・事業承継であっても、海外提供であれば、記録義務が生じると考えた方が、私個人としては適切だと思います。

 

・文理解釈

また文理解釈ですが、よく考えると、やはり法制局実務の想像をすると、個人情報保護法25条1項但書括弧書でいう「(前条の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)」の「前条の規定による個人データの提供」とは、24条による同意取得構成のみをさしているとも考えられますが、しかし、「24条の規制を満たした個人データの提供の場合は」と読む方が、文理解釈としては自然ではないかとも思うのです。

 

というよりも、たぶん、こういう不明瞭な法文形態が良くないのだと思います。法制局実務を想像すると、「当たり前だから書かない」「これはこうなるのが当然」みたいな解釈が結構通っているようにも思いますし、「用例」をとても重視する伝統があります。法制局のように頭の良い方だけで会話している分には良いのかもしれませんが*1、一般の法曹が読んで誤解がないような規定にするということは、すごく大事です。本来なら「一般の法曹」ではなく「合理的・文化的な一般人」が読んで誤解がないように規定すべきではあります。そうすると「前条の規定による個人データの提供」ではなく、これが同意構成だけを指しているのであれば、「前条の規定により本人の同意を得た個人データの提供にあっては」みたいな書き方にした方が適切だと考えました。

 

・最後に

どうでもいい細かい話で恐縮でした。また企業実務的には、通常は、法文を見るというよりはガイドラインに従うことが多いと思うので、私のこの細かい話が役立つ場面は大変に少なそうです…。

万一役立つことがあるとしたら、令和2年個人情報保護法改正が施行された後に、消費者側が外国提供記録の開示請求をして、で事業者側が記録義務ないって主張して、訴訟になったときの、消費者側の主張的な意味かなと思います。

*1:それでも「用例」をいくら重視しても、過去の「用例」が間違っている場合があり、あんなに「用例」検索に時間をかけるのは不合理・理不尽だと思いますが

新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供の件

 

1~4は2020.4.2記載。

5&6は2020.4.7追記。

7は2020.4.8追記。

8は2020.4.9追記。

1.前振り(どうでもいい話)

本件(コロナ対策のために位置情報や検索履歴等を国が集めようとしている件)、あえてブログで感想を書きませんでしたが、軽く感想を書いておきます。

headlines.yahoo.co.jp

 

なお、NHKニュースの携帯位置情報の件は、ブログに書いています。国の方のニュースは、これ記事読んだ瞬間に、ブログに書く気もうせていましたが、一応軽くブログに書いておきたいかなと思いなおしました。

cyberlawissues.hatenablog.com

 

2.論点

携帯キャリア、プラットフォーマー等は、確かに個人情報保護法は適法に個人データの提供が可能です(個人情報保護法23条1項3・4号、統計情報の提供構成、匿名加工情報の提供構成も取れる)。

(第三者提供の制限)
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

 

ただ、問題としては、今パッと思いつく範囲だと以下の3点がまず挙げられるかと思います。

  • 1)国による個人情報集約の必要性・正当性
  • 2)業者にやらせるのだとしたら、その業者の適法性・適正性の保証
  • 3)携帯キャリア三社(シェア上位三社)等にそれぞれ分析してもらうこととの違い

 

1)国による個人情報集約の必要性・正当性
  • 国が、国民のほぼ全員の移動情報、検索キーワード、閲覧履歴、投稿履歴などを集約してよいのか。
    コロナ対策の観点から活用してもらうことは良いことかもしれないが、それ以上に使わないのか。
  • 毎日新聞記事によれば、「人が密集しやすい地域を早期に把握して注意を喚起したり、特定の検索語の増加と感染者の増加との関連性を見いだすことで、早期に医療体制を整えたりするといった活用法が期待されている」とある。
    確かに携帯キャリアから位置情報をもらえば、どの程度人出が減っているか、どこに人が多いかなどが把握できて、注意喚起やクラスター発生防止などに役立てることができるかもしれない。
  • しかしその一方で、検索キーワード、閲覧履歴、投稿履歴を集約することで、そんなに言っているようなコロナ対策に役立つ分析に本当になるのか。
    「特定の検索語の増加と感染者の増加との関連性を見いだすことで、早期に医療体制を整えたりするといった活用法が期待されている」って本当ですか?
    ある一定の検索語が増えると、感染者増加するとか、そんな傾向がみられるのでしょうか。
  • 例えば、イベント名でばーって検索が増えて、そのイベントに来場者がいっぱい集まって、クラスター化を防ぐとかですか?そんなの検索キーワード履歴を見なくても、ネットをちょっと見ただけで、わかるような気もしますが。検索ワードの上位に来ないような、比較的小規模なイベントを3密空間でやると、確かにネットをちょっと見ただけではわからないし、クラスター化もする危険があるかもしれませんが、それを検索キーワード履歴から分析しつくせるものなのでしょうか。
  • それよりは、「トイレットペーパー ない」「マスク ない」「自粛」「休校」「転売」とか、あとはなんでしょうか。それこそTwitterトレンドをパッと見るだけで、世論は、まあわかるので、政治的には、それ見ればいいのではって気はしますけどね。Twitterトレンドとか検索エンジン検索キーワード上位とかを超えて、さらに詳細データを分析してまで、何か調べる必要があるのか。国民が心配に思ってネットでつぶやいていることとかを、分析かけるということなのか??
    それとも、記事にあるように、本当に「特定の検索語の増加と感染者の増加との関連性を見いだ」したいのか?? 
  • 何の目的に使うのかを特定して、その範囲内を守っているかどうか、国会か、第三者委員会(個人情報保護委員会は確かに3条委員会だが、個人情報全般について各省監視をできる権限はないし、官邸に物が言えるのかという疑義がある)がチェックとかしないでいいのか? いろいろ考えると、国会の下に、本件だけじゃなくて、様々なチェックができる専門家集団みたいなのを置いた方がいいのでは?
  • もちろん、ビッグデータ分析は、用途を限定しすぎると、逆に見える効果も出てこないというのはよく言われる話。でも、国が、法律にもとづかない要請とはいえ、事実上の権力行使で国民全員に近いデータを集めて分析するというのだから、そこは、やはり最低限のチェックは必要なのではないのか??
    もちろん、今は忙しくて、国としても、チェックばかりされたら逆に実務が進まない、その対応をする余裕がないっていうこともあるかもしれないけど、もしどうしてもの緊急の場合でも事後検証は絶対にできるようにしておかないといけないのでは?

 

2)業者にやらせるのだとしたら、その業者の適法性・適正性の保証
  • 毎日新聞記事だと、「単にデータだけもらっても政府で分析するのは難しい。データをどう使うか企業に提案してもらい、有効となれば施策に生かしたい」とあります。
    最初、このニュース見て、この部分読んで、完全にがっくりしました。
    国で分析できないのに、国の事実上の権力を使って集めて、それで、国が、民間事業者にどうデータ分析できるか提案してもらって、で、実際にデータ分析するのも民間事業者ってことですよね?違いますか?
  • その民間事業者が国に「こういうデータをこういう会社からもらって分析すれば、コロナに役立つ分析結果が出るかもしれませんぞ」って提案して、その裏にいる民間事業者が、良い提案をして、受注するっていうことかなとも、読めなくはありませんよね。でもそれが、適正金額で、適正な分析であれば、社会的に批判されることかといえば、そうでもない気はします。
  • その民間事業者が適法にデータを、ちゃんと国に言われた範囲しか使わないこと、適法適正にデータ管理してデータ分析して廃棄すること、これ絶対に保証しないといけないと思います。その管理、ちゃんとやってほしい、絶対に。契約条項にその旨入れるだけで満足しないで、ちゃんと実地検査まで確実にやってほしい。そして、民間事業者にデータそのまま渡さないで、データは霞が関で施錠管理して、民間事業者が実際に霞が関に来て分析するようにしてほしい。ただ、あれか、在宅勤務推奨だと、矛盾しちゃうのかな?
 3)携帯キャリア三社(シェア上位三社)等にそれぞれ分析してもらうこととの違い
  • 上にかいたような論点を踏まえると、だったら携帯キャリア側にそれぞれ役立つ分析をしてもらったらどうかとも思います。
    それぞれが持つ情報をそれぞれで分析して統計情報にして国に提出したり、公表するというのではまずいのでしょうか?
  • そしたら、すでに各社が持っている情報ですから、国が集約して悪用するリスクもないし、国の受託事業者が悪用するリスクもないし、集約リスクもないし、さらには提供時の漏洩リスクもないですよね。
  • 個別に分析すると、集約してから分析するのと違った結果になったりするリスクはありますが、大手キャリアってすごい加入者数だから、それぞれで分析したとしても、価値ある分析結果になるのでは?ならないという説明があれば、私も納得しますが。
    コロナに役立つ分析、情報発信をしてる企業を表彰するでも、官庁のサイトからリンク貼るでも、補助金つけるでも、やりようはあるのでは?2の受託事業者にお金払うなら、そのお金、キャリアにそのまま渡すこともできなくないと思いました。

 

 

あと、感覚的には、 まあ、確かに霞が関じゃデータ分析できないだろうけど、これ霞が関で企画立案能力をもう放棄したとも読めなくはありません。もう少し、霞が関としての矜持を持つような、霞が関の対応というのをお願いしたいところ。マスクの件だって、6億枚のマスク、いまどこに流通しているのか、経産省消費者庁で早急に調査しようと思えば調査できるのでは?トイレットペーパーだってアルコール除菌だってそうだと思います。

国として今後考えられる課題は何か洗い出して優先順位をつけて、対応省庁決めて、迅速に行動していくべきなのでは?それを、内閣官房ないし対策会議の実務者会議でやって、で、全省庁、通常業務はもう半分ぐらいにして、全本省職員の4割ぐらいはコロナに充てるぐらいするべき段階なのでは?

 

なんか、こういうちょっと感情的な文章になっちゃいそうだから、ブログ書きたくなかったんですけど、毎日新聞に記載されていたコメントが、本当でなかったらいいのにな。いくらなんでも、 「単にデータだけもらっても政府で分析するのは難しい。データをどう使うか企業に提案してもらい、有効となれば施策に生かしたい」って…。だったら、携帯キャリアに分析してもらったらどうでしょうか?

 

3.個人情報保護法上適法かどうか

適法に提供するための方法は大体4つあります。

①統計情報にして渡す(誰が何をしたかは、国やその受託事業者には絶対にわからない)
  • メリット:誰が何をしたかは絶対にわからない。
    そのため、国が国民全体の移動情報、検索キーワード、閲覧履歴、投稿履歴などを集約してよいのかという問題・リスクをかなり緩和できる。プライバシー権侵害、ほかの目的で使わないかなどの問題が、統計情報であれば、誰の情報か絶対にわからない。
  • デメリット1:必要な分析ができない可能性。
    データが統計情報だと粒度が粗すぎて、必要な分析ができない可能性は残る。ただ、どういう分析をしたいかどうかによるので、自粛要請効果を見るとか、時点ごとの混雑度合い、人出の多い場所を見るとかなら、統計情報で十分では。検索キーワードなんて、それこそ統計情報で十分だろう。
  • デメリット2:データ提供側の民間企業にとっては、完全に統計情報にできるかという問題がある。
    適法な完全な統計情報化をいつもしている企業ならいいが、そうでなければ、対応に手間がかかる(大企業なんだし、この時代のインフラ産業ともいえる業種だから、みんなの危機のために無償で協力しろという話なのか)。さらにいえば、たぶん、いつも公開している統計情報のまま国に提供すると、「この情報を加えろ」「これはなんでこうなっているんだ」「この項目はなんなんだ、直して」とかいう要求があったりする可能性もあって、データ提供側に手数がかかる可能性。
②匿名加工情報にして渡す(誰が何をしたかは、国やその受託事業者にはわからない)
  • メリット1:統計情報より粒度の細かい情報を提供できるので、統計情報よりきめ細かい分析が可能になる
  • メリット2:統計情報より粒度が細かいとはいえ、誰の情報かはわからないようにきちんと加工されているので、プライバシー権侵害リスク、国が国民全体の移動情報、検索キーワード、閲覧履歴、投稿履歴などを集約してよいのかという問題・リスクを大幅に緩和できる。
  • デメリット1:データ提供側の民間企業にとっては、匿名加工情報の個人情報保護法上の手続きをしないといけない
  • デメリット2:データ提供側の民間企業にとっては、完全に匿名加工情報にできるかという問題がある。結構加工が難しい。
③公衆衛生の向上という理由で渡す(個人情報のまま)
  • 「公衆衛生の向上のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」には、同意なく、個人データの提供が適法にできる。
    全国民の同意を取るのは物理的に不可能に近いので、「本人の同意を得ることが困難であるとき」の要件も満たすとも考えられる。さらに同意が取れた人のデータだけにすると、データに偏りが生じて、適切な自粛要請等ができないということもあり、同要件は満たすと考えられる。
  • ただ、この構成で、いきなり「生データのまま全部ください」というのはあまりに乱暴なんで、さすがにそれはしないのではないか。おそらく、①統計情報構成を取りつつ、統計情報化できずにだれかわかってしまう部分(個人情報であり続ける部分)の適法性担保のために、この「公衆衛生の向上」を使うという建付けではないか。
④国の法令事務への協力という理由で渡す(個人情報のまま)
  • 「国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」には、同意なく、個人データの提供が適法にできる。
    何らかの法律で、国の調査権限などがあれば、それに基づいてこの構成を取ることも可能か。
  • 「本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがある」という要件については、③と同様の理由から満たすと考えられる。

4.国の要請文書

https://www.meti.go.jp/press/2019/03/20200331017/20200331017_a.pdf

新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供について(要請)」の記載を見ていきたいと思います。

提供情報

今般提供を要請するデータは、法令上の個人情報には該当しない統計情報等のデータに限ることとします。

「統計情報等」というのは何を意味しているのかがよくわかりません。「等」とは何か。やはり、上(3③)に書いたように、統計情報+公衆衛生構成が検討されている??

 

利用目的

提供していただいたデータは、政府内の新型コロナウイルス感染症の感染拡大防止の担当部署で、新型コロナウイルス感染症の感染拡大防止の目的に限り、利用することとし、当該部署における取組が終了次第、速やかに消去します。

上で書きましたよね。何に使うかちゃんと特定する必要がある、と。それがここでは「新型コロナウイルス感染症の感染拡大防止の目的」とあります。これをもっと具体的に説明してほしいなと思います。また移動情報だけじゃなくて、検索キーワードとかも取得するのであれば、それが目的にどう資するのか、きちんと合理的に説明してほしい。

また、データ分析は、民間事業者に委託するのではないのか。そうだとしたら、上に書いたように、ちゃんと実地管理してほしい。

また、消去って、霞が関の本庁舎内で物理破壊するのか? 神奈川県庁問題以来、物理破壊一辺倒になりつつあるが、実際どう破壊するのか。

今、緊急対応で忙しくて説明する暇が全然ないとしても、絶対に事後的に検証できるよう、公文書を保存して公表してほしい。

 

追加のデータ提供

なお、今後必要となった場合には、データの提供を追加的に要請する可能性もありますが

その場合も、目的と必要性・妥当性をきちんと対外的にも説明してほしい。緊急の場合でその余裕がない場合でも、事後的にきちんと公表してほしい。

 

個人情報保護法上の根拠

個人情報の保護に関する法律(平成15年法律第57号)等の関係法令を踏まえ、同法の定める例外規定の適用も含めて、適法に提供いただくことを想定しています。 本要請の内容については、個人情報保護委員会とも調整を了しています。

 

これが謎。統計情報なら例外規定の適用じゃないでしょう。公衆衛生向上で行くつもりなの?しっかり説明してほしい。

 

担当省庁

要請文の発出者は、内閣官房IT室、内閣官房新型コロナウイルス感染症対策推進室、総務省厚生労働省経済産業省になっている。

それに対して、連絡先は厚労省健康局結核感染症課で、要請に対する質問は内閣官房IT室宛てに、となっている。

総務省経産省は、キャリアとプラットフォーマーの所管官庁としての連名?

何にも関係ない外野の勝手な意見ですみませんが、厚労省、仕事多そうだから、データ分析とかも、総務か経産で引き取ったらどうだろうか。厚労省、本当に回っているのか。

そして、なぜ要請の質問はIT室なんだ。おかしいだろう。新型コロナウイルス感染症対策推進室が要請の窓口になるべき?それか総務か経産の共管か。IT室主導で要請を出したから、要請の質問はIT室宛てになっていると読めてしまう。まあ総務も経産も、こういうの私が両省の立場だったらやらないが。

 

5.続報(テックチーム)

 2020.4.7追記

news.tbs.co.jp

 

政府では分析できないので民間に提案してもらうという件の続報がありました。テックチームを発足したそうです。

 

www.asahi.com

朝日記事によれば

政府が要請している情報は、「法令上の個人情報には該当しないデータに限る」としており、個人の特定に結びつかない統計加工がされたものだという 

 

国の要請文書だと、「統計情報等」になっているが、この「等」は個人情報を含むわけではなく、非個人情報かつ非統計情報を指しているということ??

さらに、国の要請文書だと、データ提供について、個人情報の保護に関する法律の定める例外規定の適用を考えているとあったけど、統計情報などの非個人情報だと、そもそも個人情報保護法の適用外*1だけど、これは要請文書の文章がが舌足らずというか筆が滑っちゃったということ?例外規定が適用されるということは、個人情報だということになるけど??

 

不明な点が多すぎてよくわからない…。個人情報なのかそうじゃないのか。なぜ個人情報保護法の例外規定の適用という文が国の文書にあるのか???

 

さらに、テックチームを作るなら、データ提供要請の前に作ったらよくないか?ドコモにしろ、Googleにしろ、Yahoo!にしろ、大量データを持っていて、それぞれ分析できるわけでしょう。それらを集約して分析するにしても、各社が独自でどういうデータ持っていて、どう掛け合わせればよいかがわからなければ、データを収集だけしても意味ないし。政府の単独の能力で、とりあえず集約して、異なるデータを突合して分析できるってこともないだろうし。まずは各社のデータの状態・分析可能なデータを聞いて、各社データを集約して分析するかどうか考えるっていうのが、正当な順序では?

そして、政府にすでに各社からデータは集約されているのか?そのデータは、実際にだれが突き合わせて分析するのだろうか。それをテックチームで分業するの?みんな自分が持っているデータは競業他社に向けてはあまり言いたくないし渡したくないだろうけど、その点はどうなっているんだろうか。

 

6.デジタル社会の実現に向けて

コロナ対策にIT/ICTが非常に効果を発揮できる可能性があることは事実。そして、IT/ICTがここで非常に役立つことをできれば、今後のデジタル社会というのも、一気に展開していくと思われる。

その意味で、この未曽有の状態に、IT/ICTの力を役立たせることは大変に重要なこと。

 

また、今は緊急事態ともいえ、多少のごたごた、順序がおかしい、文章がおかしいことがあっても、それをとやかくいう事態ではない。

マルチベンダーというか、さまざまな会社が官と一緒になって、コロナ対策にIT/ICT/データ活用がどのように効果を発揮できるか考えることは、とても素晴らしいことで、ここから社会の役に立つことが進んでいけばと思っている。

が、報道を見る限りだと、よく意味が分からないことが多い。

国にデータを集めるのが先で、そのあとテックチームを作ってみんなで検討しましょうということはなぜなのか? 国にデータを集めても国では分析できないという報道があったし事実だと思うけど、じゃあ実際に各社データを突合して分析するのはだれが担うのか? 

なぜ個人情報保護法の例外規定が適用されるのか。個人情報じゃないと例外規定の適用にはならないが?

経済財政・再生相が担当大臣とのことだけど、これはIT室の担当大臣ということ? データ提供協定の担当部署は厚労省健康局結核感染症課だったのに、なぜ? っていうか、結核感染症課とか、すごく仕事多そうだから、そこでテックチームの開催までできないのは当然だけど、なぜだったらデータ提供協定の担当部署を結核感染症課にしているのか。厚労でデータを集めるというわけではないの?でも厚労が協定締結の窓口はやるの?しかも忙しくて大変そうな結核感染症課が?

要請文にある「政府内の新型コロナウイルス感染症の感染拡大防止の担当部署」というのはどこ?厚労省健康局結核感染症課?それとも内閣官房新型コロナウイルス感染症対策推進室?それともIT室?

と、報道を見ていると、謎が浮かびます。

 

ただ、私もこんなことをぐだぐだブログに書くよりも、もっと、社会に役立つようなこと、IT/ICT/データ分析でコロナ対策に役立つことをブログで提案したいと思います。今、この時期に、こういう細かいぐだぐだしたブログを書いても、なんの意味もない。それよりも、マイナンバーとかITとかデータで、もっと社会に役立つことを提案していきたいと思います。

 

7.感謝・お詫び

いろいろとブログに好き放題書いてしまいました。

しかし、こういう時期でも、きちんと仕事をしてくださる国家公務員、地方公務員の方がいるからこそ、だということは、心から強く認識しています。緊急事態宣言を出すにしても、マスク2枚の件にしても、テックチームの件にしても、その政策の裏でどれだけの公務員が昼夜問わず真摯に働いているか。法律の根拠又は解釈と、膨大な調整、事務作業、問合せ対応等がありますので、世間的には簡単な政策に見えても、その裏で働く公務員の方の作業量・ご苦労は本当になみなみならないものだということは、私も過去に短期間ですが公務員経験があるので、わかっているつもりです。

 

例えば、最近ニュース見て思ったのは、都の自粛要請業種、あの調整、どんだけの作業量なんだと思いました。あれは本当に大変そう。

 

なんか好きにブログ書いていますが、しかも、細かいことをつついていて恐縮ですが、公務員批判をしたいわけでは、まったくありません。私はどうしても性格的な問題か、ブログが細かくなりがちなので、この時期だから、そんな細かいことをいっても何も始まらないので、もっと社会の役に立つようなマイナンバーやIT/データ活用について、ブログで提案できるか考えていきたいと思います。あとはどうせ細かいことを考えるなら、個人情報保護法令和2年改正について、細かく考えていきたいと思ってます。

 

8.続報(ドコモデータやYahoo!による分析)

 7で、もう書かない的に締めくくっておいて何ですが、分析例のネット記事を見たので。

 

www.nikkei.com

東京駅を含む丸の内地域では8日午前8時台の人の数が前年の同じ曜日と比べて46%減った。同28%減だった1日と比べると、人の動きは少なくなっている。新宿駅西口は1日の25%減から37%減。JR大阪駅周辺は29%減が45%減だった。

 

about.yahoo.co.jp

歌舞伎町、センター街は2月27日の小池知事による休校要請や外出⾃粛要請をうけて大きく減少、さらに3月25日の都知事緊急会見を受けて3⽉27⽇からは2段階⽬の減少となり、4⽉に⼊ってもその傾向を維持、1⽉末と⽐較して訪れる⼈の減少幅は最大で78.3%減少し、21.7%という大きな下げを記録する時間帯もありました。

 

非常に良い分析が載っていましたので、リンクを貼っておきます。

やはりこれを見ても、ドコモデータやYahoo!データだけで、良い分析ができているのでは? 霞が関にデータを集めても霞が関では分析できないなら、まずは各社に分析してもらって、ドコモデータとYahoo!データを掛け合わせることで、より良い分析ができるっていうのなら、掛け合わせ分析も考えるっていうのが、やはり筋では??

*1:非個人情報にも当たり得る匿名加工情報、仮名加工情報、個人関連情報はそれぞれどういう立ち位置で個人情報保護法の適用かという点は本当は検討しないといけないけど(非個人情報じゃないものも列記)、今別に誰も匿名加工情報や法改正成立前の仮名加工情報や個人関連情報の話はしていないと思うので、割愛

日本郵便「タウンプラス」でマスク配布?

 

1.タウンプラス?

前にブログで、日本郵便のシステムを使ってマスクを配布するという件について、おそらく日本郵便側で住民票住所地全ての情報をJ-LISからもらって対応しているのではないかなどと記載しましたが、ネット検索すると、北海道は、「タウンプラス」というもので、マスクが配布されたとのこと。今回の全国へのマスク配布が具体的にどのシステムを使うのかは私ではわかりませんが、タウンプラスっていうサービスは、住民票住所地を使っていなそうです。

www.asahi.com

 

togetter.com

 

2.なぜ全国民の住所がわかるのか

 

このタウンプラス、どういう仕組みになっているのか、いまいちよくわかりません。

 

日本郵便だから、ヤマトとか佐川とかと違って、全国民の郵便受けの場所を把握しているということなのでしょうか。どうやって全郵便受けの場所を把握しているのか?郵便局員さんの目視確認で、全て確認しているということ?

それとも、郵便局を使ったことのある住所全てを記録しているということ? それだと、全国民にはならないのでは? いくらゆうパックだけじゃなくて、はがき・封書、レターパックとか現金書留とかいろんなものがあるとはいえ、全国民が日本郵便の何らかのサービスを確実に使っているわけではないと思うので。郵便局の全履歴だけでは、漏れがあるのでは。

 

タウンプラス、宛名要らずで対象区域に送れるようで、かつ住居だけじゃなくてオフィスも含まれるよう。そうだとすると、郵便局員さんの目視確認で、全ての郵便受けを確認しているということなのでしょうか?

 

タウンプラスの効果やタウンメールの料金比較で徹底分解(DMリーチ率が本当に高いの?)郵便局ポスティング|ディマール

『ご指定のエリア(町丁目単位)の全郵便受け箱にあて名なしDMの配達が可能な郵便サービスです』

 

法的に考えてみると、郵便受けは、目視確認できる場所にあれば、それは公の場所で公開されているわけだから、そこの場所を全収集しても、プライバシー権侵害の問題にはなりづらい。

他方で、郵便局を使ったことのある住所全てを記録していて、それをマスク配布に使うとすれば、それは目的外利用になるリスクもある(今回は公益のために法的に許容される目的外利用にはなると思うが)。もっとも利用目的をもっと広めに特定しているはずなので、目的外利用にもならない可能性が高いものの、公益以外のポスティングのために、郵便局を使ったことのある住所全部をポスティングのために利用する行為は、消費者側の予測可能性を欠き、目的外利用と判断される可能性もあり、また社会的受容性も低いとも考えられる。

なので、コンプライアンスの観点からは、郵便局の利用履歴の再利用よりも、郵便受けの目視確認の方が、リスクは低いとも考えられる。

 

しかし、郵便局が、ポスティングをやっているのか。知らなかった。

 

3.年収データと掛け合わせることも可能?

www.jp-md.co.jp

 

GIS分析によるターゲットエリアセグメントが可能

性別、年代、居住形態、年収等で「指定項目の含有率が高いエリア」をランキング形式で提示します。
有料オプションです。 

 

www.japanmail.co.jp

セグメント(ターゲットの区分)ができる

性別・年齢階層・未既婚・家族構成・住宅別世帯・推計年収データなどにそって、ターゲットをセグメントしてDMを送ることが出来ます。

 

こういうサイトを見ると、タウンプラスで、年収推計データと掛け合わせて、高年収層にのみポスティングする、低年収層にのみポスティングすることも可能っぽい。

この年収推定データはどこから持ってきているのか。

 

fyeo-brain.com

通常ポスティングで入れないセキュリティが高いマンションでも、半分くらいはお届けしてくれるケースがあります。実際に高層タワーマンションが大量供給しているい武蔵小杉エリアでも、約50%程度はお届けできます。これは都心部で考えると嬉しい情報かと思います。高層タワーマンションの同梱サービスも増えてきているので、単価をみて合わせ技で調整もありかもしれません。

郵便局ポスティングサービスの配達地域指定郵便「タウンメール・タウンプラス」の良いところはもう一つ上げるならば、「地域」や「丁目」単位でマンション名など、細かい範囲を指定して配達してもらえることです。(※但し、広告主からマンション配達リストの提供が必要で、必ず配達してくれるわけではありません。)

やはり、郵便局ポスティングの「タウンメール&タウンプラス」が最も凄いところは、対象エリアが日本全国であり、超絶高級マンションがあったとしても、郵便配達を拒むところはウルトラセキュリティ強以外はありませんから、殆どはポストまでもリーチしやすいことです。

利用シーンとしては、GIS分析により町丁目の選択が可能ですので、性別、年代、居住形態、年収などで「指定セグメントの含有率が高い地域」を分析し、ランキング形式で提示してくれます。

※注意点は商圏分析は国勢調査データになりますので、ポスティング業者とやってることは何も変わりません。

 

国勢調査のデータから情報をひっぱってきていると上のサイトに書いてあるが、国勢調査データって、地域ごとの年収も載っていたんだったか?国勢調査のデータを調べてないので何とも言えないが、あくまで国勢調査のデータとは無関係で、なんとなくイメージ的に高年収そうなエリアとかに配るということ?謎。

 

jag-japan.com

↑のサイトによると

「住宅土地統計調査」は市町村単位でしかデータの記載がなく、「国勢調査」の項目にも所得や年収を問う項目はありません。弊社では、「住宅土地統計調査」および「国勢調査」のデータを用い、全国の小地域の平均世帯年収を推計しました。

 

年収データというのは、郵便局がやっているサービスでも、国勢調査のデータでもなく、民間側が自分で推計しているデータということ?

タウンプラスを使う際に、民間側の推計データと掛け合わせることで、年収が高そうな地域の全郵便受けにポスティングできるっていうことなのかな?

 

ポスティング業界のことは全く知らないので、今回ちょっとネット検索して、結構びっくりしたところです。

年収推計というのは、プライバシー侵害のリスクがかなりありますが、そうはいっても、では、街を実際に歩いてみて、おうちの大きさ・立派さなどを目視で確認していって、訪問したりポスティングしたりするのと、どう違うのかという問題はあります。そういう足で稼ぐことをしないで、データなら全網羅できるという話はありますが、年収データをもらえるわけじゃなくて、あくまで民間側の推計だと、推計であって正確なデータではないし、みたいな。推計の根拠は何なのかというのはかなり気になりますが。あとはあれか、衛星写真を全部見ていって、おうちの大きさを調べるっていうことも、今だとできますね。ドローンで見ていくとか。まあそういうデータの取得方法もあるし、いろんな方法がある中で、それらを法的には、どう解釈すればよいのか、明確な解がないというか。

上に書いた、なぜ全国民の住所がわかるのかという点も、住民票住所地情報をJ-LISから法律に基づいてもらうのであれば、法律の根拠がありますが、そうではなく、郵便受けの目視確認の場合は、公開の場所を目視で確認するということで、そうじゃなくて過去の利用履歴の利用であれば目的外利用リスクがあるといっても、それってあくまで法解釈の問題であって、実態的には、全国民の郵便受けに投函するっていうこととほぼ変わらないから、なんか、法解釈をしていても無駄っていうか、ちょっと書きたいことがよくわからなくなってきましたが。

感謝

今、仕事で一緒にお仕事をしている方が、非常に優秀で、的確な文章・書面を迅速に作ってくださり、かつとてもやさしい。ほんと、送られてくるメールとか、文章が本当にわかりやすくて、必要事項が全てもれなく記載されている。頭がいいってこういうことなんだなと思います。さらに優しい。なんて完璧な人なんだ。一緒にお仕事できて、本当に良かったです。感謝。

物事の整理が非常にすばらしい。整理できているから、ご自身の書く文章も整理されているのだろう。

 

最後にどうでもいい話。昨日宮内さんと話していて、わかりやすい文を書くためには余計なこと、本論じゃないことは書かない方がいいという話になった。私の文章なんて、書いているうちにさまざまなことが気になって、論点が膨れ上がって脱線して、しかしそれでも本論に戻るみたいな文じゃないか!だから、わかりにくいのか!でも常にそうやって文章を書いてきたからなぁ…。挙句、長文を書くのが大好きという。短文で論理的につないでいった方がわかりやすいというのはわかるが、調子が載ってきて長文をだーっと書いた時の方が、自分的には良い文章が書けた気がするという…。まあ問題は、書いているうちにいろんなことが気になって論点が膨らんじゃうことかなあ。口頭で話していてもその傾向がある。どうしたものか。

気になったニュース

コロナ対策に対するマイナンバーの活用、マイナンバーカードの活用について、ブログを書きたいと思っていますが、もう少し時間の余裕のある時にやろうかなと思っています。マイナンバーとカードでできることをブログに書くことはできますが、あとは、自分の中で、どういう風にマイナンバーを活用すると良いという方向性について、確たるものを持てたときに、書きたいなという気も。

 

まずはその前段階として、気になったニュースを貼りつけておきます。

headlines.yahoo.co.jp

『韓国が日本に先んじて「コロナ危機をひとまず脱せた」理由』。現代ビジネスの記事ですね。4/6(月) 7:01配信

  • 自分の誕生日の下一桁で、マスクの購入日を決める。以下引用。
  • 販売数は個人の住民番号で管理されているため、不正はむずかしい。
  • 韓国の住民番号は、健康保険証などはもちろん、クレジットカードやパスポート、銀行口座など多くの情報とつながっている。現在は、たとえばお医者さんが患者さんのカルテに住民番号を入力したとたんに、海外渡航歴などまでもがバーンと出てくる。日本にもマイナンバーはあるが、こういう使い方はされていない。
  • さらに、この番号は感染経路の確認にも利用される。本人が忘れてしまっていることなども、クレジットカードの履歴や時には監視カメラまでが動員されることで、その「確実性」「透明性」は担保される。そして、そこで得られた情報は広く国民に公開される。もちろん個人名は伏せられているが、近親者にはその行動はわかってしまう。
  • 3月21日夜、私のスマホに最寄りのスーパーから送られてきたメールを紹介しておく。----------3月21日に保健所から、「新型コロナ19確診者」が当店に立ち寄ったとの通報を受けました。以下がその内容です。(監視カメラによる確認事項)(1)3月18日午後4時12分頃 駐車場側の入口から来店(接触者なし/マスクおよび手袋着用)(2)3月18日 午後4時12分~15分 干し唐辛子を購入後、セルフ計算台を利用(接触者なし/マスクおよび手袋着用)(3)3月18日午後4時15分~16分 正面玄関から退店 (接触者なし/マスクおよび手袋着用)総滞在時間4分当店では、以下の措置を実行します。1. 臨時休業 3月21日20時~22日A.防疫専門業者による防疫および消毒B.職員と店主の健康状態の確認C.店舗の安全点検2. 再開店日 3月23日(10:00時)----------
  • この情報は、保健所でのPCR検査(陽性)→保険証→住民番号→クレジットカード→監視カメラで得られている。これによって、顧客の安全安心だけでなく、噂やデマ、そして風評被害を抑えられるというのが、韓国の人々の理解だ。以前の韓国なら「感染者が立ち寄ったらしい。怖いね」から噂に尾ひれがついて大変なことになった。しかし、今回はこの細かい情報公開が、人々を安心させている。

 

www.itmedia.co.jp

  • 「ヤフー、政府に統計データ提供へ 新型コロナ対策で(ITmedia)」20年04月03日 14時43分 公開
  • 先日ブログに書いた件の続報というか、ヤフーによる提供。
  • あと、ドコモのサービス名も別記事に載っていたので、サービス名で検索して、当該サービスの内容についてみた見たいと思っているところ。

 

clearing-house.org

 

  • 情報公開クリアリングハウスの質問文

 

headlines.yahoo.co.jp

  • 『全国民が唖然…「マスク2枚」で完全に露呈した安倍政権の「闇」(現代ビジネス)』4/3(金) 6:01配信
  • 布マスク2枚配布にあたって、日本郵政のシステムを使うとの報道に、なぜ戸籍を使わないのか、なぜマイナンバーを使わないのかというもの。以下引用。
  • そもそも国民登録制度である「戸籍」「住民票」そして「マイナンバー」は何のためにあるのか。それよりも日本郵便のシステムが優位に立つこと自体がブラックジョーク。しかし、これが現実なのだ。 マイナンバーの利用については個人情報の漏洩も含めて懸念が大きい。「Tポイントカード」は利用している人でも、マイナンバーで国家が個人情報の突合を行うことに抵抗を持つ。こうした現状は国の「情報管理」に関して信頼がないことと同義語でもある。常に悪用されるのではないかという疑念がつきまとうのだ。 一方でこの国の紙ベースの「申請制度」は、IT技術が発達する中で根本的な行政コストを下げることにつながらない。そもそも出生届は手書きである。が、生まれた子どもを実際に確認するわけでもなし、写真の添付があるわけでもなし、ある意味偽造が簡単にできるシステムだ。 ことほど左様に、個人登録やその情報管理が古いOSの中で行われているので、効率が悪い。

     

  • <水町感想>古いOSとは何か。これはWindows7とかそういう意味ではなく、比喩的表現か。個人登録や情報管理が古いOSの中で行われているというのが、意味がわかりづらい。あくまで比喩的表現の話?? Windowsのサポート切れのOSで、職員がパンチ入力で個人登録しているという話ではないはずだから。
  • <水町感想>戸籍はいくらなんでも使えないだろう。住民票だろう。そしてマイナンバーそのものさえ打ち込めば物理的に届くわけではないので、マイナンバーの価値は、住民票住所地と紐づいているという価値である。日本郵政のシステム、調べてないので何とも言えないが、これも住民票住所地と紐づけられているのでは?そうでない日本郵便の配達記録からとかだと、国民全員の全住所に対応ってさすがにできないのではないかとも思う。
  • 「申請主義」からの脱却と「世帯単位」の問題点
     「マスク2枚」配布は日本の政策に珍しく「申請主義」を超えたものである。それ自体は画期的なことではあるが、配布される内容が「マスク2枚」で脱力する。

     マイナンバー通知の際には同じように「世帯主」にまとめて世帯全員の通知が送られてきた。各種選挙の際も同様である。政府は当然ながら国民の情報を持っているがそれを使わない。「やれない理由」は多々あるのだろうが、梱包代や郵送代も含めて、危機を前にして最優先で行うべき政策なのかは疑問である。

     また「世帯」ごとの管理には問題も大きい。「世帯」主義のもとは「戸籍」にあることは明らかである。日本の戸籍制度は家父長制から脱却したと言いながらも、それをさらに核分裂させた「夫婦と未婚の子」という単位で戸籍編成を行っている。

     そこにはなぜか「筆頭者」も残った。戸籍の本籍地は当初は居住地だったが、途中から一族郎党をつなぐ「インデックス」となり、実態を現さなくなった。

     だからこそ早々に「住民票」という登録制度が必要となり、「筆頭者」の代わりに「世帯主」を置き集団管理体制をひくことにする。それでも国民管理ができないので「マイナンバー」ができたという経緯である。

     そうした中で「世帯主」あてに送られるマスク。例えば5人家族であればうち2枚を誰が使うのかを判断するのは送られてきた宛先の「世帯主」の役割となるのだろうか? 宛先が「世帯主」であるならば、そのマスクは横流ししようが、世帯主が独占しようが良いということなのだろうか? 
     児童手当の時にも議論になるが「世帯主」に給付がされると実際に養育しているDV妻には行き渡らず世帯主である夫が独占し、育児に行き渡らないということも問題となる。

     「マイナンバー」には前述通り議論もあるが、少なくとも登録は「個人単位」となっている。マイナンバーは住民票をもとに作られているから、それを辿れば個別に送ることも可能なのである。個別に送るほどの数がないとか、同じ住所に1枚ずつ送るのは非効率もあるだろうが、ならばもっとそもそもも一世帯「マスク2枚」という対応が妥当なものかどうかを問うべきなのである。

     税金は「個別」給付は「世帯」。日本では税金の入りと出が必ずしも一致しない。財務省優位がここにも表れているのである。

     「世帯給付」という福祉の現場で言われてきた問題点を放置したままでは、危機に直面した時に本当に困っている人を助けられないのである。

  • <水町感想>住民票コードがあるので、住民票で管理できる。住民票で国民管理ができないからマイナンバーができたわけではない。記事にある通り、個別配布は可能。マイナンバーか住民票を使えば、世帯に何人いるかもわかり、1世帯2枚ではなく、世帯ごとに枚数を変えて、人数分も配送可能。住所地ごとの、人数分の配送も可能。ただその処理をやっていると時間と費用がかかるから、あえての一律配布と見たが?