【論説】JapanTaxiへの個人情報保護委員会の指導内容と原理原則に立ち返ってビジネスを見直す重要性


【コラム】JapanTaxiへの個人情報保護委員会(PPC)の指導内容と原理原則に立ち返ってビジネスを見直す重要性

PPCは、平成30年11月30日及び令和元年9月 12 日付で、JapanTaxi 株式会社(以下「JapanTaxi」という。)に対し、個人情報保護法に基づく指導を行った。タクシー車内に設置したタブレット端末付属のカメラを用いてタクシー利用者の顔画像を撮影して広告配信に利用しているが、その旨をタクシー利用者に対して十分に告知していなかったので、そのカメラの存在及びこれにより個人情報を取得することについてわかりやすい説明を徹底し、適正に個人情報を取得するとともに、利用目的の通知や公表を適切に行うよう指導したものである。

これに対し、JapanTaxiは、「本判定に利用した画像は性別の判定後、サーバーに送信されることなく端末内で即時削除されており、端末・サーバーを問わず一切保存されておらず、他の目的に利用されたこともありません。このため、本機能の開始から昨年12月に至るまで、当社としては個人情報保護法の適用を受ける個人情報の取得等を行っているとの認識はありませんでした」とした。その上で昨年11月30日の指導を受けて機能提供は継続しつつ、車内タブレット上においてカメラの存在・利用目的を表示するという方針で2019年4月までに対応するとのことであった。尚、現時点で対応は完了しているとのことである。本件について個人データを処理するサービスを提供している企業にとって教訓とすべきことがないか考察を進めてみたい。

【日本の個人情報保護法の適用】
(1)「個人情報」の該当性
日本の個人情報保護法(以下「法」という)において、顔画像は「顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定める容貌」(個人情報保護法施行令1条1項ロ号)に該当し、「個人識別符号」(法2条2項)として、「個人情報」(法2条1項2号)にあたる。

(2)「取得」の該当性
また、個人情報取扱事業者は、個人情報を取り扱うにあたっては、その利用の目的をできる限り特定し(法15条1項)、利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない(法16条1項)。そして、個人情報を取得した場合、その利用目的をあらかじめ公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表しなければならない(法18条1項)。

ここで「取得」とは何か、個人情報保護法やその下位法に定義が規定されておらず、唯一個人情報保護法ガイドライン(通則編)(以下「ガイドライン(通)」という)において、「個人情報を含む情報がインターネット等に公にされている場合であって、単にこれを閲覧するにすぎず、転記等を行わない場合は、個人情報を取得しているとは解されない。」とだけ記載されている。JapanTaxiは、当該記載を考え、端末だけであれば、単に閲覧しているのと変わらないのであり、その場でデータを破棄して転記等行っていないのだから、個人情報を「取得」していないと判断していたものと推測する。しかしながらガイドラインで記載されているのは公に公開されている個人情報を閲覧して転記しない場合なので、例えば、Twitterの個人プロフィールを誰かが見るだけといったようなケースを想定していると考えるのが妥当であろう。実際Japan Taxiはカメラを通じた画像を分析し男女の判定を行うという処理を行っているため、取得をしていると考えるのが自然であろう

(3)日本の個人情報保護法下における対応
本件JapanTaxiのウェブページをみると、指導を受けて、プライバシーポリシーの中には「当社又は当社の子会社がタクシー搭載タブレット端末で個人情報に該当する画像を取得する場合、当該個人情報の本人の性別を推測し、当該本人に最適なコンテンツ(広告を含みます。)配信を行うためのみに利用いたします。この場合、当該個人情報は、性別の推測後に保存されることはなく廃棄されます。」という利用目的が記載されている。しかし、当該利用目的が記載されていなければ、他の利用目的から本件顔画像の取得につながる記載はなかった。そうすると、法18条1項から、顔画像を取得した場合は、速やかに、その利用目的を本人に通知し、又は公表しなければならなかったのに、行っていなかった点が違法となり、今回の指導となった訳である。

【日本の個人情報保護法の特徴】
 日本の個人情報保護法は、前述の「取得」のように、定義が曖昧なため、本件のような言い訳の余地を与える、という可能性がある。さらに、次のような特筆すべき2つの特徴があると考える。

(1)目的至上主義
一つ目の特徴は、利用目的に掲げていれば、その利用目的の達成に必要な範囲で個人情報を利用できてしまうことである。本件においても、もしJapanTaxiがあらかじめ自社のHPに広告のために顧客の個人情報を利用する旨公表していたのであれば、顧客の顔画像をタブレットに取り込んで男女の判定を行っていたとしても個人情報保護法上何ら問題とならないのである。しかし、これは通常、タクシー利用者本人にとって予想しない事態であろうと考える。

 欧州(ヨーロッパ)のEU一般データ保護規則(GDPR)であれば、個人情報の取扱には適法根拠(本人の同意がある、契約履行のため必要、法的義務の遵守のため必要等)が必要とされる(GDPR6条)(日本の個人情報法ではデータ主体のことを「本人」と規定しているので、ここでは「本人」と統一して記載する)。タクシー会社であれば、顧客との間に運送契約が締結されるので、運送契約の履行に必要な範囲でタクシー会社は顧客の個人情報を取り扱うことができる。通常運送契約の履行に必要な範囲だと考えられるのは、送迎するための顧客の名前や連絡先、自宅、行先が勤め先であればその勤め先も取り扱うことが必要な範囲であろう。しかし、流しのタクシーを利用するのであれば、名前すら取り扱う必要はない。ことさら運送契約の履行に顔画像で男女を判定する必要はない。そうすると、タクシー会社が顧客の顔画像で男女判定をするためには、顧客本人の同意を取得する必要がある。さらに、GDPR上、この同意を取得する方法も厳しく制限が課せられている。例えば、スウェーデンのある高校では22人の生徒を対象として3週間、顔の画像認識による出欠確認が試された。学校は、生徒の同意を得ていると主張した。しかし、当局は高校と生徒との間では力関係に不均衡があるため、生徒から本件個人データ処理について取得した同意は、GDPRが規定する同意の有効要件の一つである任意性(自由に与えられたこと)を満たさず、有効な同意とはいえないとして、高校に対し制裁金を課している。GDPRでは、このような適法根拠があることで、通常取り扱われるであろうと予想される範囲とプラスαで本人が真に同意した範囲で個人情報は取り扱われることになる。

 他方、日本の個人情報保護法は、適法根拠に関する規定はない。個人情報取扱事業者は個人情報の利用目的をできる限り特定しなければならないが、その目的が個人情報取扱事業者の事業内容と大きく乖離していても何ら制限がないので、事業内容からはおおよそ予想しない内容の目的を定め、それを公表(多くの場合は事業者のHPに掲載しているであろう)すれば、その目的に関連する範囲の個人情報を取得できてしまうのである。しかし、通常取引を行うごとに取引相手のHPで個人情報取扱の目的を確認することなどないのだから、一般の利用者である本人が予想もしないところで自己の個人情報が利用されてしまう結果を招くのである。

 似た話が民法上の改正である。民法が改正され、2020年4月1日に施行されるが、その中で新たに「定型約款」について新設された。定型約款とは電車を利用したときに鉄道会社と利用者との間で適用されるような「定型取引において、契約の内容とすることを目的としてその特定の者により準備された条項の総体」をいい(新民法548条の2第1項)、相手方の利益を一方的に害する条項は無効とされる(同第2項)。一般の消費者が予想もしないような一方的に不利益な条項が契約内容とならないようにし、一般消費者の保護を図っているのである。

 個人情報取扱事業者が公表する個人情報取扱の目的は契約内容ではないので、民法の定型約款は適用されない。しかし、本人が予想もしないところで取り扱われることがないよう、民法の定型約款やGDPRの適法根拠のような制限を設けるべきではないだろうか。

(2)個人情報・要配慮個人情報の範囲
 もう一つの特徴的な点として、個人情報・要配慮個人情報の範囲がある。前述のとおり、顔画像は日本の個人情報保護法上の「個人情報」に該当する。しかし、さらに取り扱いが厳格となる「要配慮個人情報」には該当しない。また、例えばIPアドレスは個人を識別できる情報ではないので、日本の個人情報保護法上は「個人情報」に該当しない。日本の個人情報保護法上の「個人情報」や「要配慮個人情報」の範囲はGDPRをはじめとする他国の個人情報保護法よりも狭いのである。同法の保護の対象である「個人情報」や「要配慮個人情報」の範囲が狭いので、自ずと同法で保護される範囲は狭くなる。

 もし、法が顔画像を「要配慮個人情報」に該当するとしたら、本件においても本人の同意なく顔画像を取得することはできない(個人情報保護法17条2項本文)。

 GDPR上も顔画像は当然GDPR上の「個人情報」に該当するが、場合によっては「biometric data(生体データ)」(GDPR4条14号)として取り扱いが厳格となる特別カテゴリーデータに該当する(同9条1項)(本件のように個人を特定するような識別をせず、男女を区別するために物理的特徴を検知するにとどまる場合は特別カテゴリーの個人情報に該当しない。)。前述のスウェーデンの高校の事例では、顔画像は特別なカテゴリーのデータで特に取り扱いの必要性は厳格に解されるべきであり、他の手段で目的を達成できるのであるから、この点においても違法である、と当局は判断している。

 スマートフォンの解除のように、顔画像や指紋などは、セキュリティーのキーとして利用されるのに、顔画像や指紋が一般の個人情報と同等で良いのであろうか。

【一番大事なのはプライバシー保護の原理原則】
現在、個人情報保護法の3年ごとの見直し作業が行われており、来年早期の国会への提出を目指し作業が行われている。今回の見直し内容にどのようなものが含まれるかどうかは判じ難いところである。

一方、世界の個人情報保護法では、GDPRに代表されるように、曖昧さが排除される方向に進んでいる。このことから、長期的には、日本の個人情報保護法も「個人情報」の定義や、今回取り上げた「取得」の定義などに代表される規定内容における曖昧さ改めて、グローバルスタンダートに合わせていくものではないかと考える。それを見据えて、法的にはグレーゾーンかもしれないが明確に違法とされていないからやってもよいという考え方でビジネスを考えるのではなく、個人のプライバシーを本当に配慮したサービスになっているのか? 利用者・顧客をだまし討ちはしていないのか? 個人の方が嫌な思いをする可能性はないのか? というようなプライバシー保護の原理原則に沿った観点でそれぞれの事業を今まさに見直す必要があると考えている。

PPCのJapanTaxiへの指導
https://www.ppc.go.jp/news/press/2019/20190917/
JapanTaxi PPCからの指導について
https://japantaxi.co.jp/news/cat-info/2019/09/17/info.html

関連記事