【個人情報】GIGAスクール構想における教育データの帰属・管理主体など
本稿のねらい
筆者が調べたところ読売新聞のみが報じているが、2024年7月14日付けの読売新聞オンラインに次の2つの記事が掲載された(2つに分かれているが同じ題材である)(本事案)。
本事案の概要は次のとおり。
リクルートが学習用端末にインストールされたアプリ(スタディサプリ)を経由して小中学生の氏名や学習履歴等の個人情報を直接取得・管理
取得された個人情報の一部は、海外の事業者に委託されたり、一般向けに販売しているアプリの機能改善に活用されていた
スキームとしては、まずリクルートが小中学校の個人情報を取得し、次にリクルートから地方公共団体に当該個人情報が提供され、改めて地方公共団体からリクルートが個人情報の取扱いの委託を受けるというもの??
本事案は、いわゆるGIGAスクール構想におけるICT(*)教育環境整備の一環(**)で「1人1台」配布される学習者用端末を経由して収集される教育データは、一義的にどこに帰属し、どこが管理するべきか、という問題を提起している。
*Information & Communication Technology (情報通信技術)
**学校教育の情報化の推進に関する法律において、「学校教育の情報化」は、「学校の各教科等の指導等における情報通信技術の活用及び学校における情報教育(中略)の充実並びに学校事務(中略)における情報通信技術の活用をいう」とされている(同法第2条第2項)。
GIGAスクール構想における教育へのICT活用の過程で収集・取得される教育データは、[★本来であれば]学校の教職員が自ら収集・取得すべきデータであり、それをICTを活用して収集・取得しているに過ぎないと考えられ、公立学校であれば「行政文書等」であり「保有個人情報」(個人情報保護法第60条第1項)として、又は私立学校であれば「個人データ」(同法第16条第3項)として、学校を設置する主体(地方公共団体(*)又は私立学校法人等)(学校教育法第2条第1項)に帰属し(**)、かつ、当該学校設置主体が管理すべきであると思えるが、必ずしも自明ではない。
*なお、教育委員会が所管する公立学校については、当該学校を所管する教育委員会が、「地方公共団体の機関」(個人情報保護法第2条第11項第2号)に該当するとされているが(ガイドラインQA2-1-2(行政機関等編))、本論とは関係ないため踏み込まない。
**個人情報は本人に帰属するべきであるという主張やそういう思想での法体系も存在するところであるが、ここでは踏み込まない。
ここで真に問題となるのは、学校設置主体とICT教材等を提供するプロバイダー(ICT教材等提供プロバイダー)の契約関係であり、つまり学校設置主体がICT教材等提供プロバイダーに対し何らかの業務やそれに伴う保有個人情報又は個人データの取扱いの委託を行っているのか(委託契約があるのか)、又は学校設置主体がICT教材等提供プロバイダーのサービスを利用するだけなのか(利用契約があるのか)ではないか(*)。
*文部科学省「教育情報セキュリティポリシーに関するガイドライン(令和6年1月)」においても「外部委託」と「SaaS 型パブリッククラウドサービスの利用」は区別されている。さらに、総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和4年3月発表)」においても「業務委託」と「外部サービスの利用」は区別されている。
学校設置主体とICT教材等提供プロバイダーの契約関係が委託契約であれば、原則として学校設置主体が収集・取得する個人情報の利用目的の範囲内でのみICT教材等提供プロバイダーが当該個人情報又は保有個人情報を利用でき(個人情報保護法第18条第1項、同法第27条第5項第1号、同法第69条第1項)、ICT教材等提供プロバイダー独自のプライバシーポリシー上で定めている利用目的による利用はできない(ガイドラインQA7-37等参照)。
この場合、GIGAスクール構想における教育へのICT活用の過程で収集・取得される教育データは学校設置主体に帰属し、かつ、当該学校設置主体が管理すべきことになる。
他方、学校設置主体とICT教材等提供プロバイダーの契約関係が利用契約であれば、これが第三者のためにする契約(民法第537条)かどうかはともかく、学校設置主体が契約者、当該学校の教職員や児童生徒・保護者が利用者という関係になり、やり取りされる個人情報の利用目的はICT教材等提供プロバイダーが定めることになる。
この場合、GIGAスクール構想における教育へのICT活用の過程で収集・取得される教育データはICT教材等提供プロバイダーに(も)帰属し、かつ、当該ICT教材等提供プロバイダーが管理すべきことになる。
なお、この構図は必ずしも自明ではなく、利用契約だとしても、その契約の中で教育データの帰属が学校設置主体とされ、当該学校設置主体が教育データを管理すると定められる場合もあると思われるが、その場合、利用契約+教育データの提供契約となるのではないか(本事案でリクルートが採用したロジックはこれだろうか)。もちろん、教育データの提供契約については、個人本人の同意又は法定代理人等の同意が原則として必要となる(個人情報保護法第27条第1項)。
個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要がある。
ここで一旦整理すると、本事案の論点は次のとおりとなる。
① 学校設置主体とICT教材等提供プロバイダーの契約内容
(1) 委託契約 or
(2) 利用契約
② 利用契約の場合
(1) 教育データの提供に伴う本人等の同意の有無
・代替困難なサービス利用に伴う事実上の提供強制性
・適正取得/不適正利用の論点(3年ごと見直し中間整理4-6頁)(*)
(2) 外国にある第三者への提供の有無とその適法性
(3) 目的外利用の有無
*下記意見はこの文脈で理解すべきだろう(なお、海外云々については地方公共団体における情報セキュリティポリシーに関するガイドライン(令和4年3月発表)のことを言っているのなら理解できる)。
個人情報の保護に詳しい板倉陽一郎弁護士の話
「利用者にとって、事実上拒否する余地がない中で個人情報を取得するのは不適正だ。海外での情報の保管は日本の法令が適用されない場合があり、行政機関の就学情報などは国内で取り扱うことが原則だ。学習端末から収集する情報は行政機関のデータそのもので、無制限に海外に委託することが許されるとは考えられず、必要性も説明されていない。自治体とリクルートは情報の取り扱いを全面的に見直すべきだ」
【文部科学省の考え方】委託契約?
この考えに基づけば、次のような意見は一定頷ける(海外委託云々はかなり違和感があるが)。
個人情報の保護に詳しい森亮二弁護士の話
「子供の個人情報を事業者が直接取得して管理すれば、制約なく使えてしまう。一般向けアプリの機能改善に使うことは自治体業務の範囲を超えた『商業利用』で本来は許されない。保護者が知らないうちに海外に委託するのも不適切だ。自治体とリクルートの情報の取り扱いは個人情報保護法の規定に抵触する可能性があり国は是正させるべきだ」
【ICT教材等提供プロバイダーの考え方】利用契約?
本稿は、文部科学省が公表している公的な文書、リクルート等ICT教材等提供プロバイダーの利用規約やプライバシーポリシーなどを参考にし、本事案を解きほぐしていくことを目的とする。
なお、GIGAスクール構想に関しては、別途利用目的の特定(個人情報保護法第61条第1項)がされていないケースもあるとのことで前途多難である。
①学校設置主体とICT教材等提供プロバイダーの契約内容
本事案について見てみると、利用されたのはおそらく「これからの社会に向けて学ぶ生徒と教育改革に向き合う先生をサポートするICT教育支援サービス」と銘打たれている、リクルートの「スタディサプリ 学校向けサービス」だと思われる。
とはいえ、「スタディサプリ」、「スタディサプリ ENGLISH」、「スタディサプリ進路」という3つのサービスのパッケージであると思われ(リクルートウェブサイト)、「スタディサプリ 学校向けサービス」という個別のサービスがあるわけではないと思われる(このウェブサイトの利用規約の改定履歴等から推測)。
そうすると、適用されるのは「スタディサプリ」の利用規約である。
スタディサプリ利用規約によれば、申込者と利用者が区別されており、前者が契約者で後者が実際にスタディサプリのサービスを利用する者である(第1章前文)。
そのうえで、スタディサプリ利用規約の重要なポイントを抜粋すると次のとおりであり、どう考えても単なる利用契約にしか見えず、委託契約ではない。
利用者が未成年の場合、スタディサプリを利用することや本規約の内容に同意することつき、親権者に事前に同意を得たうえで、スタディサプリの利用を行う(第2条第2項)
リクルートがスタディサプリで提示する、運用ルール・プライバシーポリシー・その他諸注意等が存在する場合、それらはそれぞれ利用規約の一部を構成する(同条第4項)
学校・学習塾・地方公共団体等が一括で申し込みを行った場合
リクルートと利用者が所属する学校・学習塾・地方公共団体等(学校等)との間で、利用者のスタディサプリの利用に関する契約(団体契約)が締結された場合、リクルートから学校等に対してユーザーアカウントが付与され、学校等からユーザーアカウントが利用者に付与される
利用者が団体契約に基づきコミュニケーション機能(学校等の教職員等との間で利用できる連絡・お知らせ・メッセージ等の通信機能)を利用する場合、リクルートは、その利用に関する情報について、利用規約に規定する範囲で取得し、利用することがあり、利用者はこれに同意する
なお、ベネッセコーポレーションが運営する「ミライシード」も「GIGAスクール1人1台環境に最適な「オールインワンソフト」」(ベネッセウェブサイト)と銘打たれており、この文脈に位置付けられるサービスだと思われるが、ミライシード利用規約を見る限り、スタディサプリ同様、単なる利用契約であり委託契約ではないようだが、次の点が気になる(論理的な整合性がよくわからない)。
第 10 条(個人情報の取り扱い)
1.ベネッセは、ミライシードの提供に関連して知り得た利用者の個人情報(ソフトウェアにおける学習履歴を含みます)を、個人情報の保護に関する法律に従い、善良なる管理者の注意をもって厳重に管理し、契約者の書面による承諾を得ることなく、ミライシードの提供以外の目的で使用しません。
2.ベネッセは、ミライシード上に記録された利用者の学習履歴やアクセスログ(以下「学習履歴等」といいます)を、契約者に対し、利用者のご利用状況を報告し、活用促進をご案内する目的で使用するほか、ベネッセとしてのミライシードの利用状況の確認、商品・サービスの研究・企画開発の目的で使用します。また、個人情報を含まない統計情報として、公表し、マーケティング資料に使用します。
あたかも、契約者に利用者の個人情報や学習履歴等が帰属し、それをベネッセが管理・保管しているような建付けになっている。他の条項には、利用者の個人情報や学習履歴等をベネッセが管理・保管する旨の定めはないが、このミライシード利用規約第10条から、保有個人情報又は個人データの管理・保管に関する委託契約があると考えることになるのだろうか。。(ちなみに、ベネッセのプライバシーポリシーには第三者提供を可能にする定めはない。)
文部科学省は、SaaS提供事業者(本稿でICT教材等提供プロバイダーと呼んでいる事業者)に対し「児童生徒を本人とする個人情報の取扱いを委託する」場面があると理解しているようだが、上記ベネッセのケースはかなり違和感があり、一般的ではないように思われる。
学習用ソフトウェア(※)提供事業者に、児童生徒を本人とする個人情報の取扱いを委託するに当たっては、個人情報保護法を遵守する必要があります。 そのため、個人情報の適切な管理を行う能力を有する学習用ソフトウェア提供事業者を選定するとともに、委託先における個人情報の適正な取扱い、責任者及び業務従事者の管理体制及び実施体制、個人情報の管理の状況についての検査に関する事項等の必要な事項について、契約書、利用規約、個人情報保護に関するポリシー等の書面で、個人情報の取扱いに関して必要かつ適切な措置が取られているかの確認が求められます。
※学習用ソフトウェア
児童生徒が学習する際に使用するソフトウェア(デジタル教科書等の学習資料・学習コンテンツ、AI ドリル等の習得学習教材、画像・映像編集ソフトウェア等)に加え、学習支援を行うソフトウェア(児童生徒の学習活動を共有、学習の進行状況を管理する等)を含みます。
②利用契約の場合
(1) 教育データの提供に伴う本人等の同意の有無
読売新聞オンラインの記事では、何度か「プライバシーポリシーへの同意」とか「プライバシーポリシーに同意」とか出てくるが、あまり厳密ではない。事業者側から「プライバシーポリシーに同意する」というチェックボックスが設けられているケースが多いことから誤解も多いが、プライバシーポリシーは同意されるものではない。
ここで問われるのは、リクルートから学校設置主体へのスタディサプリ上の児童生徒・保護者に関する教育データの提供につき、本人や保護者の同意があったのかどうかである。
リクルートのプライバシーポリシーには次のとおり、第三者提供に関する記載があり、この内容に同意して利用を開始したのであれば、確かに第三者提供に関する同意があったと考えられる。
3. 個人情報の第三者への提供
当社は、以下の提供先に対して各項に従い、書面または電磁的な方法により個人情報を提供します。なお、提供する個人情報の項目には、インフォマティブ情報を含む場合があります。
(1) 当社サービスに参加している企業・学校・団体等への提供( 当社の顧客に限らず、当社がサービスを提供する上で必要な提携・契約関係にある企業・学校・団体等を含みます。以下同じ。)
[当社の提供目的]
(中略)
・当社サービスに関して法人契約・団体申込を行った企業・学校・団体等に対する当該企業・学校・団体等に所属するユーザーの当該サービスの利用状況・利用結果の共有
(中略)
・当社サービスに参加している企業・学校・団体等に対するサービス提供、契約の履行および課金対象の確認ならびにそれらに伴うやりとり・情報提供
なお、リクルートから学校設置主体への教育データの提供は、学校設置主体からリクルートへの保有個人情報又は個人データの取扱いの委託があり、それに基づく提供であるから、本人等の同意は不要であると考える人もいるかもしれないが、それは不可である。なぜならば、この文脈でやり取りされる保有個人情報又は個人データは、本来学校設置主体に帰属するものではなく、当該学校設置主体がその取扱いを委託する権限をもたず、仮にこれができるとすれば、第三者提供の潜脱となるためである(ガイドラインQA7-41等参照)。
仮に形式的には本人等による第三者提供への同意があるとしても、上記事実上の提供強制であり真意性を欠く又は適正取得ではないとして同意が否定されるような場合はどうか。⇛この点は考えがまとまっていない
・代替困難なサービス利用に伴う事実上の提供強制性
・適正取得/不適正利用の論点(3年ごと見直し中間整理4-6頁)
【参考】GDPRにおける法的根拠(同意含む)について触れた記事
(2) 外国にある第三者への提供の有無とその適法性
外国にある第三者に個人データを提供する場合、原則として、あらかじめ外国にある第三者への個人データの提供を認める旨の本人等の同意を得る必要がある(個人情報保護法28条1項前段)。なお、国内にある第三者への提供とは異なり、委託や共同利用により提供する場合、その提供先も原則として「第三者」に該当し得る(同条項後段)。
本人等から同意を得る場合、提供先の外国の名称、当該外国の個人情報保護法制に関する情報、当該提供先が講ずる個人情報保護措置に関する情報を本人に提供しなければならない(個人情報保護法施行規則17条2項)。
本人等の同意を得ずに外国の第三者に提供できるのは次の3つの例外に該当する場合である(個人情報保護法28条1項前段)。ただし、これらの場合でも国内にある第三者への提供に関するルール(同法27条)に従う必要がある。
①いわゆる十分性認定国にある第三者への提供
我が国と同等の水準にあると認められる個人情報保護制度を有している国として規則で定める国(現時点ではEEA加盟国・英国〔平成31年告示〕)にある場合、「外国」にある第三者に該当しないことになる。
②基準適合体制を整備している第三者への提供
我が国の個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として個人情報保護法施行規則16条で定める基準に適合する体制を整備している場合、外国にある「第三者」に該当しないことになる。(基準適合体制の詳細についてはガイドライン外国にある第三者への提供編を参照のこと)
③個人情報保護法27条1項各号に該当する場合の第三者への提供
読売新聞オンラインの記事によれば、「リクルートは、取得した子供の個人データの保管や処理などを、欧米やイスラエルなど計13か国・地域のいずれかの事業者などに委託している」とのことであり、リクルートプライバシーポリシー「6. 外国にある第三者への個人情報の提供」の「個人情報取扱業務を外部委託する場合」を参照すると、基準適合体制により規制をクリアしているようである。
6. 外国にある第三者への個人情報の提供
当社は、以下の場合において外国(本邦の域外にある国または地域をいいます)にある第三者に個人情報を提供することがあります。
[個人情報を第三者に提供する場合]
個人情報の提供先が外国にある第三者の場合、3. 個人情報の第三者への提供に定められた範囲で個人情報を利用します。
提供先の国名および提供先の外国の個人情報保護制度については こちらをご確認ください。
提供先の第三者は、当該国の個人情報保護に関する法規制を遵守しています。
[個人情報取扱業務を外部委託する場合]
当社が個人情報取扱業務の全部または一部を外部委託する委託先は、外国にある場合があります。この場合、当該委託先が個人情報保護法に定められている基準に適合する体制を整備していることを確認しております。
[合併その他の事由による事業の承継に伴い個人情報を提供する場合]
合併その他の事由による事業の承継先が外国にある事業者であることがあります。この場合、当該事業承継の承継前の利用目的の範囲内で個人情報を取り扱います。
なお、ベネッセは「ミライシードの利用者の個人データについては、全て日本国内のサーバに保管されます」と定めているが(ミライシード利用規約第11条第1項)、サーバが日本国内にあっても、それを運営している事業者が「外国にある第三者」である場合は個人情報保護法第28条の規制に服することになり得る点に注意が必要である(ガイドライン外国にある第三者への提供編2-2、ガイドラインQA12−4)。
【参考】総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」における留意点
業務委託
(注4)委託事業者の委託判断基準
業務委託にあたっては、委託事業者の委託判断基準を作成しておくことが望ましい。規定すべき内容としては、例えば次のものがある。
・業務委託を許可(又は禁止)する業務又は情報システムの範囲 ・業務委託を許可(又は禁止)する業務又は情報システムの具体的例示(公開ウェブサーバは業務委託可等)
・格付及び取扱制限その他取り扱う情報の特性に応じた、情報の取扱いを許可(又は禁止)する場所
特に、委託業務において取り扱われる情報が海外のデータセンターに存在する場合等においては、保存している情報に対して現地の法令等が適用されるため、国内であれば不適切と判断されるアクセスが行われる可能性があることに注意が必要である。
外部サービス利用
⑤情報セキュリティ責任者は、外部サービスの利用を通じて本市が取り扱う情報に対して国内法以外の法令及び規制が適用されるリスクを評価して外部サービス提供者を選定し、必要に応じて本市の情報が取り扱われる場所及び契約に定める準拠法・裁判管轄を選定条件に含めること。
②インターネットを介して提供される外部サービスの利用に当たっては、外部サービス提供者の事業所の場所に関わらず、データセンターの存在地の国の法律の適用を受ける場合があることに留意する必要がある。具体的には、外部サービス提供者のサービスの利用を通じて海外のデータセンター内に蓄積された地方公共団体の情報が、データセンターの設置されている国の法令により、日本の法令では認められていない場合であっても海外の当局による情報の差し押さえや解析が行われる可能性があるため、日本の法令の範囲内で運用できるデータセンターを選択する必要がある。
(中略)
また、外国に本社を置く企業が提供するサービスを地方公共団体が利用する場合の紛争を当該企業の本社の所在地を管轄する裁判所が管轄することも考えられる一方、その場合は日本の国内法と同等の個人情報の保護などが確立されないおそれがあることについては利用者である地方公共団体において契約締結の際に十分な留意が必要となる。
(3) 目的外利用の有無
仮に学校設置主体からICT教材等提供プロバイダーへの保有個人情報又は個人データの取扱いの委託があるケースであれば、下記のとおり、マーケティング等当該ICT教材等提供プロバイダー独自の利用目的で教育データを利用できないのは当然のことである。
このとき、「①個人情報に関する秘密保持、利用目的以外の目的のための利用の禁止等の義務」については、例えば、学習用ソフトウェア提供事業者が、取得した個人情報を含む教育データを自社のマーケティングのために分析する等、その事業者自身のために利用することが契約書に記載されていないか等を確認する必要があります。
このような利用は通常、教育委員会・学校にとって、法令の定める所掌事務又は業務の遂行に必要であるとはいえないと考えられ、教育委員会・学校からの委託の範囲を超えると考えられるため、教育委員会・学校が委託を行う場合にはその範囲や内容を慎重に検討することが求められます。
他方、少なくともリクルートのスタディサプリ利用規約においては、学校設置主体からリクルートに対して教育データの取扱いの委託はされておらず、上記は当てはまらない。
なお、リクルートプライバシーポリシーにおいては、下記のとおり、「ユーザーの学習補助・学習支援のために必要な範囲でのみユーザーの個人情報を利用し、第三者に提供」とあり、仮に委託構成だとしても特段問題ない範囲だと思われる。
(4) 「スタディサプリシリーズ」(※)に関する特約事項
※「スタディサプリシリーズ」とは、「スタディサプリ」「スタディサプリ ENGLISH」および「スタディサプリ進路」を指します。当社は、ユーザーが「スタディサプリシリーズ」を利用する場合(教育機関や自治体等のユーザーが在籍・所属・帰属する企業・学校・団体等を通じて利用する場合も含みます)、ユーザーの学習補助・学習支援のために必要な範囲でのみユーザーの個人情報を利用し、第三者に提供します。
ただし、ユーザーがリクルートIDでログインする「スタディサプリENGLISH」を個人で利用する場合、リクルートIDサービスに必要な範囲内で、本プライバシーポリシーに従い個人情報を利用し、第三者提供します。リクルートIDサービスは、こちらをご確認ください。
当社は、「スタディサプリシリーズ」を通じて取得する個人情報について、当社内での異なるサービスにおける利用(以下「クロスユース」といいます)を一部制限しています。クロスユースの詳細は、こちらをご確認ください。
以上