小中学校の学習端末、民間アプリ直接利用は何が問題視されたの?
こんばんは!
週末、小中学生の個人情報取得・管理の関係が、SNSを賑わせていましたね。
こどもの個人情報は、個人情報保護法の3年ごと見直し中間整理でも1番の論点になっています。また、記事の識者のコメントを見ると、直接取得、不適正取得、海外への委託等の論点もあり、興味深い事案です。
出典が、ニュース記事だけで不確かなところはあるものの、わかる範囲の情報から、何が論点か、整理してみたいと思います。
1 どういう事案か?
事案概要
背景
・文部科学省GIGAスクール構想*の予算下で、小中学生に端末が配布された
*2019年末から、全小中学生約900万人のほぼ全てにパソコンやタブレットなどの端末配備
・端末に民間事業者の学習用アプリを導入している自治体がある
・主な目的は、小中学生一人一人に合わせた学習を行うこと
・アプリの利用は、義務教育の場で使われるため、子供や保護者が情報の提供を拒むことは難しい状況
・アプリの利用にあたり、氏名や学習履歴などの個人情報が収集される
・アプリを提供する民間事業者として、今回報道されているのは2社
●リクルート社:今年度14自治体約8万5000人が利用(少なくとも)、データは直接取得、海外への委託あり
●ベネッセコーポレーション社:全国の小中学校約9500校の端末、自治体から委託を受け、データは国内保管
(実際には、他の事業者もあるようです)
今回の事案
・上記のうち、リクルート社がアプリを提供する事案
・読売新聞報道によると、文部科学省の見解では、下図左のように、民間のアプリを利用する場合でも、小中学生の情報の取得・管理を行う主体は、教育委員会や学校を想定していた。
(個人情報保護法上、個人データの民間委託を前提)
・一方、一部自治体では、下図右のように、学校向け学習用アプリは、教育委員会や学校経由ではなく、直接リクルート社から提供、小中学生の個人情報は民間企業に直接取得されていた。
・その際のプライバシーポリシー等は、一般向けに会社共通で公開しているプライバシーポリシーの利用目的の記載が広いもので、アプリの機能改善などがその目的に含まれていた。(GIGAスクール専用のものではなかった)
・また、リクルート社は取得した情報を、教育委員会や学校に提供していた
・さらに、このアプリにおいては、海外企業に個人データ委託を行なっていた(が、委託国の説明はプラポリ等文書に記載がなかった)
2 何が問題視されたのか?
問題視された事項
この事案で、何が問題視されたのか、記事から、3人の識者の意見を見てみます。
個人情報の保護に詳しい森亮二弁護士の話
「子供の個人情報を事業者が直接取得して管理すれば、制約なく使えてしまう。一般向けアプリの機能改善に使うことは自治体業務の範囲を超えた『商業利用』で本来は許されない。保護者が知らないうちに海外に委託するのも不適切だ。自治体とリクルートの情報の取り扱いは個人情報保護法の規定に抵触する可能性があり国は是正させるべきだ」
個人情報の保護に詳しい板倉陽一郎弁護士の話
「利用者にとって、事実上拒否する余地がない中で個人情報を取得するのは不適正だ。海外での情報の保管は日本の法令が適用されない場合があり、行政機関の就学情報などは国内で取り扱うことが原則だ。学習端末から収集する情報は行政機関のデータそのもので、無制限に海外に委託することが許されるとは考えられず、必要性も説明されていない。自治体とリクルートは情報の取り扱いを全面的に見直すべきだ」
中嶋哲彦・名古屋大名誉教授(教育行政学)の話
「GIGAスクール構想は、コロナ禍で端末の配備が最優先され、個人情報保護について議論が尽くされず、準備不足のまま進められた面は否めない。個人が特定される形で、テストの正答率など子供の能力がわかる情報の取得・管理を民間事業者に認め、不適切に扱われれば、将来にわたって子供の人権が侵害される可能性がある。国は、自治体や学校任せにせず、責任を持って望ましい契約形態を示すなど対策を講じるべきだ」
論点
3人の識者のコメントをまとめると、論点は以下の5点です。
全般論点
①GIGAスクール構想では個人情報保護が準備不足:端末配備が最優先だった。自治体や学校任せにせず、望ましい契約形態を示すなど国が対策を講じるべき
個別論点
②直接取得:自治体が業務委託する民間事業者が個人データを直接取得する場合、「商業利用」前提のプラポリとなることが一般的で、事業者に自由に利用されてしまう
③利用目的:自治体業務の範囲を超えた利用目的となるおそれ
④不適正取得:事実上拒否する余地がない状況での取得で、(たとえ利用目的が広くても)拒否できない
⑤海外委託:行政機関の情報は、国内取扱いを前提とすべき。保護者が知らない海外委託は不適切
3 法令等ではどうなっているか?
それでは、5つの論点について、個人情報保護法や、文部科学省のガイドライン等でどのように定めされているか、見てみましょう。
①個人情報保護がGIGAスクール施策では準備不足
GIGAスクールの公式HPは、以下です。
多くの文書があるため、筆者は全てを確認できていませんが、中嶋氏のコメントにもあるように文書は端末配備、環境整備が中心で、アプリ利用における個人情報の取扱いを定めていると思われる文書は見当たりませんでした。
一方、文部科学省全体では、令和6年3月に教育データの利活用に係る留意事項についてがまとめられ、「教育データの利活用に係る留意事項のポイント」として、以下のようなパンフも公開されています。
このパンフには、今回、問題視された論点のうち、③利用目的のポイントについて記載があります。本事案で、自治体で、この文書をふまえてどこまで確認が行われたのかが気になります。
個別論点は、以下の3つと照らし合わせてみていきます
・このHPに掲載されている「教育データの利活用に係る留意事項」
・個人情報保護法
・リクルート社のプライバシーポリシー
②直接取得
:自治体が業務委託する民間事業者が個人データを直接取得する場合、「商業利用」前提のプラポリとなることが一般的で、事業者に自由に利用されてしまう
法令やガイドライン上、民間の直接取得がNGとの記載は見当たりませんでした。
一方、地方公共団体の義務として、「法令の定める所掌事務又は業務」を遂行するために必要な範囲」に、個人情報の保有や利用を限定する必要性が記載されていました。
(1)法令の定める所掌事務又は業務の整理
地方公共団体の機関が個人情報を保有する場合は、法令の定める所掌事務又は業務を遂行するために必要な場合に限り、利用目的をできる限り特定しなければならないと規定されています。つまり、地方公共団体の機関は、法令の定める所掌事務又は業務のうち、個人情報を保有することによって遂行しようとする具体的な事務又は業務の遂行に必要な場合に限り、個人情報を保有することができます。 言い換えると、個人情報の保有や取得は、「法令の定める所掌事務又は業務」を遂行するために必要な範囲でなければなりません。したがって、最初に「法令の定める所掌事務又は業務」の内容を整理する必要があります。
識者のコメントの背景には、学校で取得するデータは、行政機関が取得するデータとして取り扱うべきで、民間が一般向けにサービスする場合の利用目的や管理のルールより一段厳しくすべきという考えがあると思われます。この点、アプリ利用における契約関係を協議する際に、代案の検討がされなかったのか、が気になります。
③利用目的
:自治体業務の範囲を超えた利用目的となるおそれ
上記で見たように、教育データの利活用に係る留意事項において、法令の定める所掌事務又は業務を遂行するために必要な場合に限り、利用目的をできる限り特定しなければならない とされています。(この点は、民間版の個人情報保護法より厳し目ですね)
(2)利用目的の特定
地方公共団体の機関が個人情報を保有するに当たっては、法令の定める所掌事務又は業務を遂行するために必要な場合に限り、かつ、利用目的はできる限り特定しなければなりません 24。
そのうえで、個人情報の保有は、特定した利用目的の範囲内である必要があります。 「利用目的をできる限り特定」するとは、個人情報がどのような事務又は業務の用に供され、どのような目的に使われるかをできるだけ具体的かつ個別的に特定するということです。その際の利用目的は、具体的な利用行為が当該利用目的の範囲内であるか否か、合理的かつ明確に判断できるものでなければなりません25。
24 個人情報保護法第61条第1項
(個人情報の保有の制限等)
第六十一条 行政機関等は、個人情報を保有するに当たっては、法令(条例を含む。第六十六条第二項第三号及び第四号、第六十九条第二項第二号及び第三号並びに第四節において同じ。)の定める所掌事務又は業務を遂行するため必要な場合に限り、かつ、その利用目的をできる限り特定しなければならない。
では、実際、どうだったかというと、
直接取得時の、プライバシーポリシーでは、以下のようになっていました。
(例の記載は省略)
2. 個人情報の利用目的
当社は、以下の目的で個人情報を利用します。
(1) ユーザーが利用する当社サービス(利用登録手続中の当社サービスを含みます)の運営およびそれに伴うユーザーとのやりとり・情報提供
(2) 当社サービスの安全な運営に必要な不正対策
(3) 当社サービスの改善・新規開発
(4) 各種サービスの提案・情報提供・広告配信
(5) 当社が編集・発行・運営する情報誌・Webサイト・アプリ等各種媒体への掲載
(6) 上記の各利用目的に必要な各種調査・分析・マーケティング
(7) 3. 個人情報の第三者への提供に定める第三者への提供
前述の業務遂行に必要な利用目的か?という観点では、(3)〜(7)については、一般論として、業務遂行に必要とは限らない場合もありそうです。
④不適正取得
:事実上拒否する余地がない状況での取得で、(たとえ利用目的が広くても)拒否できない
この点は、法令やガイドライン上、記載が見当たりませんでした。
一方、現在、パブコメ中の個人情報保護法の3年見直しの不適正取得・不適正利用のうち、「代替困難な個人情報取扱事業者」としてあげられている論点です。現時点で違法とまではいえないものの、不適正として、今後GL等に追記される可能性があるといえそうです。
イ 不適正取得、不適正利用
(中略)
また、現行法の個人情報の取扱いに係る規律は、本人が自らの個人情報の提供等について、自ら判断し、選択できる状況にあることが前提となっていると考えられる。他方、本人にとって個人情報取扱事業者の提供する商品・サービス等が他の事業者により代替困難であるにもかかわらず、本人が当該個人情報取扱事業者による一定の個人情報の取扱いを許容することが当該商品・サービス等の提供の事実上の条件になっている場合等、個人情報取扱事業者と本人との関係によっては、本人にそのような選択を行うことが期待できない場合があり得る。 国内の他法令においても、代替困難と評価し得る者に対する主な規律として、デジタルプラットフォーム事業者、与信事業者、雇用主に対するものが存在する。委員会において対応した事案の中には、代替困難と評価し得る者による事案も存在する。また、社会的反響が大きかった事例として、学校において、生徒が装着したウェアラブル端末から、心拍数や睡眠時間等を把握しようとしたり、脈拍を計測して集中度を推測したりしていた事例がある(事例の詳細は9頁参照)。
【考え方】
また、現行法の個人情報の取扱いに係る規律は、本人が、自らの個人情報の提供等について、自らの自律的な意思により選択をすることが可能である状況にあることを前提としていると考えられる。他方、個人情報取扱事業者と本人との関係によっては、本人にそのような選択を行うことが期待できない場合があり得る。
そのため、こうした場合において、本人との関係に照らして当然認められるべき利用目的以外の利用目的で個人情報を取得・利用することや、当然認められるべき利用目的の達成に真に必要な範囲を越えて個人情報を取得・利用すること等について、不正取得や不適正利用等の規律をどのように適用すべきか、継続的に検討する必要がある。
⑤海外委託
:行政機関の情報は、国内取扱いを前提とすべき。保護者が知らない海外委託は不適切
こちらも、確認した法令やガイドライン上、記載が見当たりませんでした。(ご存知の方いらっしゃれば教えてください)
リクルート社の海外委託に関する公表としては、プライバシーポリシー上、以下となっています。リクルート社は、海外移転については、「同意」ではなく、「基準適合体制(契約等)」を法的根拠としており、海外委託について、同意取得を行っていないと推測されます。(法的には合法)
6. 外国にある第三者への個人情報の提供
当社は、以下の場合において外国(本邦の域外にある国または地域をいいます)にある第三者に個人情報を提供することがあります。
(中略)
[個人情報取扱業務を外部委託する場合]
当社が個人情報取扱業務の全部または一部を外部委託する委託先は、外国にある場合があります。この場合、当該委託先が個人情報保護法に定められている基準に適合する体制を整備していることを確認しております。
(以下略)
さらに、プライバシーセンターには、以下の記載があり、外国での個人情報の取扱いは、(公表はないものの)本人の求めに応じて対応との記載があり、民間部門の個人情報保護法上の対応を適切に行なっておられることがわかります。
海外移転、海外保管の問題は、2021年のLINE社での事案も含め、法令が求める義務は対応していても、その個人情報の質や利用形態などによっては、不安を感じる人がいることは否めません。
今回も、行政機関の義務教育のこどもの情報ということで、国内での保管や委託とすべきと考える方が多かったのかな、と思います。
(別の法令で規定があるよ、をご存知でしたら、ぜひ教えていただけるとうれしいです)
さいごに
いかがでしたでしょうか?
ひとりひとりの生徒にあった教育の意義は、その有効性を疑う余地はありません。(筆者も通信教育学習で挫折したものの、スマホアプリ学習に切り替えて資格取得できた経験があります)
また、民間のサービスを利用することで、スピーディーに優れたサービスを国や自治体が提供することには、賛成の立場です。
一方、教育現場での個人情報の取扱いについては、十分に議論しつくせていなかったり、仮に国は理解していても、大小1741市町村もある地方自治体やその教育委員会全ての関係者に、その考え方が行き渡っていない可能性はあるのかも?と思います。
個人情報保護法の3年ごと見直しでは、こどもの規範としてその年齢を16歳未満に統一する動きがあります。一方、教育関係のこどもの個人情報取扱は個人情報保護法以外の別の法令で定めるべきという識者の声もあり、年末までにどう決まるか注目されるところ。
今回の事案を機に、関心が高まり、課題が建設的に解決され、こども、親御さん、教育関係者の不安なくデジタル時代の学習が普及するといいですね。
それでは、また!
