第813号コラム:佐藤 慶浩理事 (オフィス四々十六 代表)
題:「安全管理に偏った個人情報保護委員会の事故報告義務」

表題のことは以前から薄々気になっていたのですが、今回は、個人情報を本人に無断で第三者に提供している事業者がいたので、事業者に連絡したところ問題ないと主張されたのがきっかけで調べたことを紹介します。

少し長文になりますが、発生した事象を具体的に説明します。

A社は、電動キックボードなどのモビリティ機体をシェアするサービスを提供する会社です。サービスの利用者は、商業施設や民家の敷地内にあるポートと呼ぶ場所に駐輪してあるモビリティを、スマホで予約した後に、スマホで解錠や電源起動などして乗車します。ポートは地面にテープを貼るだけで、利用者がスマホで操作するため、ポートにサービスの管理者はおらず、無人で運用されています。

自分の会社の軒先をA社にポートとして貸しているB社は、ある日、ポートを示す地面のテープの範囲外にモビリティが駐輪されているのを見かけました。見かけたのは、テープの範囲外駐輪ですが、B社の会社の敷地内ではありました。しかし、これが常態化すると、会社の敷地内ではなく、会社の隣に住むC氏宅の敷地にはみ出る可能性があるとB社は思い、B社はA社のウェブページにあるサービス対応窓口に、その状況を伝え、サービス利用者がポート内に駐輪するよう管理することを依頼しました。これに対してA社は、B社から提供された写真などから、枠外に駐輪した利用者を特定したので、注意をメールで促したという返答をしました。しかし、他の利用者に対して何ら対策を講じなかったため、B社は、ポートに枠内に駐輪するようにという注意書きを自ら掲示しました。それでも、枠外駐輪はたびたび発生し、その都度、B社はA社に写真を送り、A社はその利用者に注意を促したという返答を繰り返しました。モビリティをポートに駐輪して返却するときに、利用者はその写真を撮影してスマホアプリでA社に送信することで返却が完了する仕組みになっています。そのため、B社は返却写真で、枠外駐輪に気付いたら、A社が能動的に注意を促すことなどを提案していましたが、それにはA社は返答をしていませんでした。

そんな中、B社が気づかないうちに、実際にC氏宅への駐輪が起こってしまいました。C氏はこれに気付き、A社のサービス対応窓口に苦情の連絡をしました。A社はB社への対応と同じことをC氏に対応していました。すなわち、枠外に駐輪した利用者に枠内に駐輪するようにメール連絡して注意したと返答しました。C氏は、より抜本的な改善対策を講じるように求めるやりとりを始めました。

C氏と何度かやりとりをした後に、A社は、B社とC氏の両方を連名でメールの宛先にした1通のメールを送り、同じポートでの枠外駐輪防止対策なので、この対応は、両者への連絡を統合したというメールを一方的に送ってきました。

そのメールには、これまでC氏とA社との間でやりとりしていたメール本文とC氏がA社に送った写真などがすべて含まれていました。ようは、A社はこれまでC氏に返信していたメールの宛先にB社を追加したメールとして両者に送信してきました。

実際の文面は、「リクエスト#nnnnnn “〇〇〇2丁目:枠外駐輪ユーザーへの注意喚起について”は終了とし、このリクエストに統合させていただきました。」というものです。

つまり、B社との対応は終了し、今後はC氏への対応と連名で一緒に対応する。という返答です。

C氏とA社とのメールのやりとりの中には、C氏がA社に対して、枠外に駐輪した違反者にどのような内容のメールを送ったのか?という問い合わせに対して、A社が送ったメール内容については、個人情報保護のため教えられないと返答していました。それに対して、C氏はメールの宛先ではなく、メールでどういう注意文を送ったのかであって、違反者のメールアドレスや名前を聞いているのではないと説明していますが、それには返答していませんでした。

C氏は、A社がC氏とB社を連名にして、これまでのやりとりをすべてB社にもメール送信したことを知り、すぐにB社に「枠外駐輪の件については、B社の問題ではなくA社が何らかの対処をすべき問題だと考えて、B社にお伝えすることなくA社との間でまずは相談しようと思ってA社とやりとりしていました。ポート提供していることについてB社に対して不快な感情があるわけでもなく、近所付き合いは、いままでどおり続けたいと思っています。」と連絡しました。つまり、C氏は、枠外駐輪についてA社に苦情を申し出ていることをB社に知られることなく、穏便に解決したかったということです。

枠外駐輪防止策についてA社がずさんな対応である点は、いろいろとつっこみどころ満載なのですが、今回は、あえてそれには触れず、個人情報保護法の観点でだけ見ていくことにします。

まず、すぐにわかることとして、この例ではC氏がA社に提供した氏名とメールアドレス、電話番号が、C氏に無断でB社に提供されています。

これについて、B社がA社のサービス対応窓口に不適切ではないか?と確認したところ、A社からの返答は、C氏の個人情報については、問い合わせ内容に対応するために利用するという利用目的になっており、B社に提供することは、問い合わせ内容に対応するためであるので問題ないというものでした。

そこで、B社は、念のため、A社の個人情報保護対応窓口に同じ指摘をしたところ、そちらからは、「ご迷惑をおかけしてすみません。」という返答を得ました。その返答には、B社に対してC氏の個人情報の削除を依頼する文面がなかったことから、誰に迷惑をかけたと思っているのかは不明で、どちらかというと、クレーマー対応として、とりあえず謝罪して露払いをした感があり、個人情報保護法上の問題であるという認識はなかったようです。

そこでB社は個人情報保護委員会に知らせようと考えました。B社としては、A社からのC氏の個人情報提供が、B社としての不正取得には当たらないということを、念のため明示的な言質を取っておきたいという考えもありました。そこで、連絡方法を確認してみましたが、他社の違反行為の報告は相談ダイヤルの一項目でしかなく、通話料有料電話番号による電話窓口のみでした。

+———————————————————————————————–+
個人情報保護法相談ダイヤル
https://www.ppc.go.jp/personalinfo/pipldial/
個人情報保護法相談ダイヤルにおいてできること
1.個人情報保護法に関する一般的な質問への回答
2.苦情の内容を所掌する他の相談窓口の紹介
3.個人情報保護法に定められた義務に反すると思われる行為があった場合の情報の受付
4.個人情報の取扱いに係る苦情について解決に向けた助言、苦情の相手方事業者への苦情の内容の伝達・あっせん(委員会が必要と認めた場合)
(※)あっせんについての注意事項 -あっせんを希望される前に、相手方事業者へ苦情を伝えてください。 -訴訟、他の紛争処理機関等の手続が進行中又は終了している場合や、相手先に金銭的賠償や謝罪を求めるもの等、当委員会における苦情あっせんを行うのに適当ではない事案については、あっせんを行うことはできません。 -あっせんは互譲の精神に基づいて、当事者双方ともに歩み寄る姿勢をもって頂く必要があります。
5.行政機関等匿名加工情報の制度の仕組みと提案の募集をしている各行政機関等の窓口の案内
+———————————————————————————————–+

被害受付と相談受付は別にすべきで、前者はメールやウェブフォームを使って返信不要の一方的な報告でもよいので無料の手段にすべきではないだろうかと思いました。

改めて調べたら、消費者保護委員会も同じ方式で、被害届は通話料有料電話しかありませんでした。これを参考に整備したのではないかと邪推しますが、消費者保護法制での第三者機関への被害報告には、消費者保護団体など多くの窓口があり、消費者保護委員会に直接報告するのは、いざという限られた場合な点は異なります。なぜなら、個人情報保護法制では、認定個人情報保護団体から、たとえばJIS Q 15001などのプライバシーマネジメントシステム規格による認証を受けている事業者は当該の団体が事故や苦情の窓口となりますが、大半の事業者については、個人情報保護委員会に報告することになります。また、メールやウェブがなかった時代なら仕方ないかもしれませんが、いまどき、被害があったことを届けるのに、有料電話しかないというのは、報告する人に障壁があるでしょう。これは、有料だからということばかりではなく、電話で口頭での説明しかできない点が大きな問題です。特に今回のような不正な第三者提供を文章や図を使わずに、口頭だけで説明するのは、非効率です。

本稿では、先ほど、A社とB社とC氏の関係及び情報の流れを長文で説明しましたが、これを電話で説明するのは容易なことではないと思います。本来、図を使って説明すれば、1枚の図で説明できますが、文章でも長文となり、それが口頭になるわけです。

今回は、事業者のサービス対応窓口では、違法性を認めなかったものの、個人情報保護の対応窓口からは「ご迷惑をおかけしました。」という弁がありました。そこで、B社は、A社に対して、A社から個人情報保護委員会に事故報告をすることを促しましたが、それに対する返事はありませんでした。

A社が開き直ることについて、改めて確認したところ、個人情報保護委員会への個人情報取扱事業者の報告義務の対象は、個人情報保護委員会規則第七条で定めていますが、今回のような第三者提供違反が含まれていないことを知りました。

+———————————————————————————————–+
平成二十八年個人情報保護委員会規則第三号
個人情報の保護に関する法律施行規則
https://elaws.e-gov.go.jp/document?lawid=428M60020000003
(個人の権利利益を害するおそれが大きいもの)
第七条 法第二十六条第一項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
一 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第一項において「漏えい等」という。)が発生し、又は発生したおそれがある事態
二 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
三 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
四 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
+———————————————————————————————–+

基本的に漏えい等を対象にしていますが、この漏えい偏重の取り組みは、法の目的に適っていないと思います。

過失や従業者の違反による漏えい等は防がれるべきですが、事業者の個人情報保護法の理解不足で、社内規則に対する不正でも違反でもなく、今回のように違法な第三者提供を業務遂行している場合の方が、事業者の責任としてより重要なことであり、報告を徴収すべきことのように思います。

特に、今回の例では、C氏はA社とやりとりしていることをB社の人達に知られたくなかったということがA社によって侵害された点です。商取引などで、いわゆる不特定の第三者に個人情報が無断で提供されたという場合と比べると、むしろ、特定のB社に知られたくなかったというC氏の思いが適わず、そのB社に提供されたという事例であり、まさにプライバシー侵害そのものと考えられます。

この事例は、個人情報保護委員会規則では、個人の権利利益を害するおそれが大きいものに含まれていないというのは、「個人の権利利益」が何であるかを、個人情報保護委員会が適切に理解していないのではないかと疑ってしまうものでした。もちろん、そんなことはないのでしょうが。

ちなみに、B社は、A社の個人情報管理に問題があると気づいたわけですが、個人情報保護委員会に、有料電話をかけて口頭で説明するほどの労力はかけないことにしてしまいました。その結果、A社はこのサポート統合という手順の問題意識を持つことなく、そのことは法的に通知している利用目的の範囲内だと認識しており、現場の従事者は、業務手順のとおりに個人情報を取り扱っていると考えている状況です。

委員会への報告手段及び事業者からの報告義務の範囲について、現行の運用には改善の余地があるのではないかと思いますが、みなさんはどう思われるでしょうか。

【著作権は、佐藤氏に属します】