コンタクト・トレーシングと個人情報保護法上の論点と課題
<2020.5.22 大幅に追記、さらに追記と長くなっております。>
まえがき
コンタクト・トレーシングの取材があった。プライバシー・個人情報保護法上の問題はないかと聴かれたので、下記の点をざっと話したら、もういいですと切られてしまった。まぁデータ漏洩ばかりが気になる感じの認識では問題の大きさと多さに理解が追いつかないところは理解できるし、とても新聞のコメントでは収まりきらない。ということで話した内容をここにメモしておきたい。以後はこの中から論点を拾い出したり追加したり修正しながら取材に対応したいと思う。全体が見えない中ではお互い辛い作業になる。
しかし、データの安全管理の重要性は論をまたないが、ここ10数年、FAXの誤配信、メールアドレスがCCに入っていなかったとか、過剰に漏洩ばかりを社会問題にしてきた。日本においてはその視点はもう繰り返すまでもないだろう(とは言え、しっかりやってはいないわけではあるが。)
論点は次のように10数分くらいでざっと書き出せる。過不足はあると思うがこうした項目に対して適切に検討し、指示していくのが行政の仕事ではないかと思う。
個人情報は責任主体を明確にして、適正な利用目的の範囲内で、使っていいものだ。必要ならむしろ躊躇なく使わねばならない。監視国家リスクは常に頭の片隅において注意怠らずは必要な基本動作だ。制度設計は人間に懐疑的に作ると決まっている。しかし国がなすべき仕事のために個人データを使うことが許されないというのは、あまりに異常な話である。戸籍制度も廃止すべきだろう。
●事実関係
仕組みががわからない。現実に実装するところを正確に把握すべき。事実関係が曖昧だと法的評価ができない。このあたり説明のとおりの雑駁な内容で終えて、理解しないまま適当にBluetooth使うなら安全ですねという識者コメントつけて一丁あがりというところではメディアの役割を果たしていない。そもそも個人データ保護はそうした局所的なところで終わる話しではない。
<追記>
(事実関係の一例は、個人情報該当性のところに大幅追記した。)
より詳細はこれを見ろということだろうか。
「接触確認アプリ及び関連システム仕様書(案)[概要]」
(2020 年 5 月 17 日)新型コロナウイルス感染症対策テックチーム
https://cio.go.jp/sites/default/files/uploads/documents/techteam_20200517_01.pdf
*仕様は仕様として技術的に機能はするだろうが、普及しなければ実効性なく、実行性なくば、全ての汗とコストは無駄ということであろう。国防、防災、感染症対策などは、国民の生命、身体の保護の実質、結果だけが評価指標ではないのか。関係者のご努力と汗には敬意を払うという精神は誠に倫理的で美しくはあろうが、大和魂と竹槍同様、称揚すること自体が精神構造からして敗戦への道。小さな美徳が大きな害悪ともなろう。大本営の戦略、戦術のありようは、兵隊の尊い犠牲と離れて、厳しい批評の対象としていくべきである。厚労省など霞ヶ関の休日返上深夜の帰宅は日々聞いている。そこの批判では毛頭ない。全体戦略の欠如で、ただ進む、及び腰になり、小さく丸まり過ぎて結果、急いだなりに時間はかけたがまとまってみたら効果なし。しかしそれでも進むという、意思決定不在のレミング運動をなんだかなぁと言っている。個人情報如き、使うときには使えと。形骸化したようなみせかけ同意に逃げるな。時間がかかるとか御託言わずに法律を作って強行的にやるならやれ。やらぬなら無駄はやめろというだけのごくごく常識的なことしか言っていない。あたりまえが過激に思えるくらい頭がおかしくなっている。リーダーが不在でせっかくの知性が烏合の衆になっているんだろう。
無駄なことも多少意義があるとか、やってみなければわからないとか、利口な頭脳をくだらない反論に使う。それは立派な頭脳を貧困な人格がハンドリングしているということだろう。立派な頭脳の意味がない。
権力に阿るいらぬ反論は聞き流すか馬鹿にして、無駄なことするなら寝て体力を養うか。無駄なコストは前線の医療関係者の兵站と手当に費消し、余る知力と体力はそちらのボランティアに振り向けたらどうか。
在宅で暇を持て余しているなら、自粛自警団のバカっぷりを煽りに煽って腐らせる、よそ者に無駄に排他的な民度低い地域には、平時になったら誰が観光に行くかとメッセージをお届けして我に返っていただくなど、しかるべきネット言論活動でもしておるべきではなかろうか。(なお、当然ながらヘイトスピーチは推奨しない。)
我々は某大臣の迷走ぶり、おもねりぶりの残念さを見ながらそれを教訓として、なんぼ偉くなったところで、あぁはなりたくないゎとしっかりと胸に刻み、あたりまのことをあたりまえに言う、意思決定する、行動することを誓うべきであろう。検察庁法があれだけ迅速に改正法案となり国会の場所を空けて待っていることができるというところを見たであろう。やればできるということも知るべきだ。事情通ぶって無理とか言うなら、政策現場や学界あたりから去って、山奥で晴耕雨読の高等遊民気取っていればいいと思う。その方が社会のためである。
●目的
・何を目的としているのか?
・ここでいう「公衆衛生の向上」とは何か?
・濃厚接触した蓋然性が高いことを通知して自発的に自粛してもらうためのしくみという理解でいいか?
●範囲
・日本国内全域でいいか?
・自治体単位か?(神奈川都民、千葉都民、埼玉都民等人間の広域エリアの移動に対応可能か?)
・個別エリアか?(ここは民間ボランティア参入歓迎策でいいのではないか?)
●実施主体及び委託元(Controller)
・厚生労働大臣でいいか?
〜本来的に国防、防犯、防災、パンデミック対策は国の役割ではないか。Google/Appleに言われるまでもなく国がやるというところが当然にでてこなくていいのか。(なぜ監視国家論が先に出てくるのか、自由主義国家観においても当然に国家がなすべき仕事である。現代日本では夜警すら国にやれとは言わない国になったのか。)
・(追記:厚生労働省が主体となって行うということなら、以後の個人情報保護法上の検討は、「行政機関の保有する個人情報の保護に関する法律」、その他感染症法等の特別法の適用を前提に考えることになる。民間部門に適用される個人情報保護法とは用語や構造が異なるので、個人情報保護法にひきずられて考えないように注意が必要である(例えば第三者提供とその例外などに対応する条項はない。)
なお、これが自治体となると、都道府県、市区町村、広域連合等ごとに個別の個人情報保護条例をもっている。だいたい行政機関個人情報保護法のコピペ条例であろうとたかをくくっていると大きな落とし穴に落ちる。実際に2000個を収集しているがかなりのばらつきがみられる。地方議会が作り、首長が解釈し執行する。運用面まで考えるなら条文の文字面以上にばらつきは大きく、個人情報の該当性判断も自治体ごとに行わなければならない。
本件で用いるID単体の個人情報該当性も、別途陽性の者を公表するに際してもその公表基準は自治体ごとに決定し得る。
厚労省は、自治体に委ねている保健所の個人データ一つ統一的に制御し下命することもできない。誠にパンデミック対応という国難に際して、脆弱にすぎる実態と言わねばならない。総身に神経が張り巡らされていないのである。防災含めて再検討は必須である。)
・ということで、厚生労働省の本件プロジェクトの完遂及びパンデミック対策における権限は十分か。
・個人情報の該当性、また公表基準、保健所はじめとして国家全域に指示、命令し統制していけるような法制度になっているか?(個人情報保護法制2000個問題の弊害はないか?もろにあるだろう。なぜ放置している。)
●委託先(Processor)
・Google/Appleでいいか?
(追記:OSレベルでいわば部品を機能として提供するに止まり、データの処理には直接タッチしない仕様のようだ。その場合はProcessorには該当しないということになる。)
・選択基準と選定理由は何か?
(スマホOSの市場支配力を使った普及率及び技術力か?)
・国内において監督及び法執行が容易な日本企業を選択しない理由は何か?
(辛いだろうが、確認しておこう。明日のために。)
●委託先の監督
〜国として日本人のデータをいかに保護するか?
(追記:個人データの処理の全部または一部を分担していないのなら委託先の監督の論点は不要となるが、部品としての機能提供というのであれば、その機能の仕様やバグ等の瑕疵についてはプログラム使用許諾一般の問題として相応の契約内容を備え、誤通知などの原因をなした場合にはしかるべき調査と修補を請求するなどの対応措置が可能なようにしておく必要がある。契約終了時の機能停止のあたりも確認が必要であろう。)
・厚生労働省は、現行法の下で、Google/Appleの本プロジェクト、個人データ及び端末に関する本件関連の記録全般、OSの本件機能をどう管理するのか(委託先の監督責任)。
・契約内容はどうなっているか。
・監査権限はあるのか。あるならどう実施するのか。ないならなぜか?
・米国FTC等との執行協力は考えているか。
・契約終了時の措置はどうしているか。契約書に明記しているのか。
関連データの消去はどうするのか。
OSの機能の消去はどうするのか。
・契約違反に対して訴訟対応は可能か(確認)。
*個人情報保護委員会に権限を一元化し、日米欧のData Free Flow with Trustの実現のためにも日米欧の個人データ保護ルールのハーモナイゼーションを図り、それを踏まえて日米欧の法執行協力体制を金融同様に確立すべきではないのか。これはコロナ以後のデータ社会及びデータエコノミー政策の前提ではないか?
●技術手段
・端末間のブルートゥースによるデータ交換により端末間で完結し国が関与しないという話だったが、どうやって通知に至るのか?
・それぞれの当事者がどのようなデータをどのように保有し交換するのか。
・スマホOSに機能追加で実現するのか?
・利用者の更新というアクションを要するのか?
●実効性及び失敗時の判断基準と撤収計画
・普及率何割が必要か?
・感染率は影響するか?
〜このあたりの科学的検証はどのようになっているか?
・その条件を達成するための方策はどう計画しているか?
・インセンティブ設計とプロモーション企画はあるのか?
(1ヶ月程度の短期間に国民の6割の普及必達というような実現不可能なハードルを設定する場合は、インストール後に10万円支給の請求画面と連動するような強力なインセンティブ設計が必要だろう。LINEアプリですら6割達成に10年を要している。お花畑プランなら誠におめでたい。日本人の忖度力、社畜力をどこまで見積もるかの予想になる。)
・必要な時期までに普及しない場合は、国民に義務づける必要はないのか。
また失敗には寛容でいいが、計画がないのは許されない。また失敗と判断した場合の撤収の計画も必要。(Google/Appleとの契約の解除と契約終了時の措置ほか)
→法律の制定の必要はないか?(任意ではじめて、無理と判断したら義務づけるという二段構えでなくて大丈夫か?)
・今後の水際防止策なら危険エリアからの入国者の国内移動履歴を一定期間しっかり取得する必要がある。その後の二次感染時の対策とともに今回立法しておくべきではないか。
・新法及び感染症法等関連法の改正の必要性はないか。
●比例原則
〜命かプライバシーかという単純二項対立の命題を設定しての議論は、無意味。愚か者がやる古今東西の典型例。
目的達成の手段(技術)の選定として、より権利侵害的ではない代替手段(技術)がないかの検討を行ったか。
→個人データは使っていい。しかし、責任主体を定め、適正な利用目的の範囲内で、比例的な手段でやれ。そして責任主体をしっかり監督しておけだ。
●透明性その他
国民への説明は、どのような内容を、何を通じてどのように行うのか。更新頻度はどう考えているか。
*なぜ日本の個人情報保護法制は、比例原則や透明性などの要請が法解釈上しっかり出てこないのか。法の作り方に問題はないか。
→ある。直し方はしっかり用意してある。JILISシンポジウムで報告する(高木先生報告を待て。私も話す。)。
●個人情報該当性
・端末を識別して、通知できている。
(追記:端末間で交換する数字記号等(ID)は何に使われているか、その発行した目的や意図、すなわち、陽性者と濃厚接触者を識別するためということは本サービスの全体をみれば客観的に評価できる。実際に通知できているように現にあまたある個人(端末)から一つ選び出すことができている、このところに着目して判断すべき。)
・交換する数字記号等(ID)が変換加工されているので個人情報に該当しないという説明があったに聞いたが、変換前と変換後の1対1の関係は維持されており、上記の視点での評価において何の影響も与えない。
・米国法、EU法ではどうか。
・日本法で個人情報(個人識別符号)から民間のID、端末ID等を排除してきたことは正しい選択だったのか。
<追記>
理研の中川裕志先生に伺って、私の理解したところでは(不正確かもしれない)、contact tracingの参加者は、スマホを携帯中は、bluetooth機能で常時近距離に接近した他の参加者と自動的にanonymous identifier beacons(匿名IDビーコン)を交換し記録し続けている。これは、それぞれのスマホ内で10分毎に新たなビーコンが生成され置き換わる。(相互に交換するビーコンはわずか10分の命である。)
もし、参加者の1人が保健所等で検査し陽性(感染者)と判明したら、当該スマホから過去10日間に交換したビーコンの集合を中央サーバに送信する(端末IDは送信しない)。感染者は検査で陰性が確認されるまで中央サーバにビーコンを定期的に送信し続ける。
中央サーバには感染者と交換した近距離接触者のビーコンだけが記録されていく。(同一人のビーコンのレコードではなく、特定個人とは切り離されたバラバラのビーコンとして、他のビーコンと混在して記録蓄積されていく。)
参加者は、中央サーバにあるこのビーコンの集合を毎日ダウンロードし、過去1日間に生成された自己のビーコンの記録と、中央サーバからダウンロードしたビーコンとを照合し、その集合に一致するものがあるかを毎日確認する。もし一つでも一致するビーコンがあれば、自分が過去1日にどこかで感染者と近距離接触していたと判明するという仕組みのようである。
ビーコン送信時は感染者本人の端末からビーコンが送信されるため、コントローラーが取得した時は、ぎりぎり個人に関する情報とはいえるかもしれないが、端末IDを記録するわけではなく、中央サーバには10分ごとに刻まれたビーコンがランダムに蓄積されているだけである。このデータベースは「個人情報データベース等」でもなければ「個人情報ファイル」でもない。そこに記録されたビーコンから感染者本人の端末を割り出すことは不可能であり特定個人の識別性を失っている。個人情報ではないと評価できる。
要するに、その日のいつどこで感染者と近距離接触したのかという詳細情報の伝達をあきらめることで、個人情報該当性を失わせることを選択している。今日1日どこかで感染者と近距離接触しているので、2週間は自宅で人と会わずに自粛した生活をしようという行動の変化を促し、感染拡大を防止し、もって公衆衛生の向上に寄与しようということらしい。
コンタクト・トレーシング機能を最大限安全サイドに倒している。割り切った仕組みだ。ここまで安全に脱色するなら無理矢理取得したらいいものを、強行策はひたすらに嫌い、さらに同意をとりつけたり、本人に配慮した及び腰の運用を志向しているようだ。
これを麗しいと評価する向きもあろうが、私は、国家が国民の生命、身体を守る一丁目一番地の仕事をするときに、パンデミック対策としてあまりに弱いと思わざるを得ない。同意を求めるあたりの戦々恐々とした対応は、この機能がコンピュータウィルスと評価されなくもない(なにしろコインハイブ事件高裁判決は有罪である)ということを怖れているところもあるのかもしれない。
●利用目的
・どのような内容(文面)で利用目的を特定したのか?
・どのタイミングでどのように明示するのか?
・スマホOSの更新時に表示するのか?
・利用者は厚生労働省が取得すると理解できるか?
・GoogleまたはAppleが取得主体だと勘違いしないか?
・苦情処理の相手方、連絡窓口がわかるか?
・開示等の請求先がわかるか?
●スケジュール
・いつまでに実効性ある普及率に達成させる予定か。
・自粛期間終了とともに自衛策として使うなら、それまでに達成する必要がある。1割程度に低迷していた場合はどうするのか。
●Controllerの監督
〜国の暴走、濫用、監視国家への備え、ガバナンスのあり方
・厚生労働省等行政機関の監督は誰が行うのか。
・総務省(行政管理局)は本件について行政機関個人情報保護法上の留意点について必要な通達をしているのか。
・個人情報保護委員会を独立行政委員会として創設しながら、なぜマイナンバー同様に国家権力(行政機関、独立行政法人等、自治体)を監視する機能が欠落しているのか。
・もし現在誰も監督できない不備があるなら、いつまでに手当するのか。いつ改正するのか。できないならせめて今国民に約束すべきではないか。
*そもそも平成27年の改正時にこの点を指摘していたのに、時期尚早と流し、段階的になどといいつつ、やるべきときにやらずに来たということではないか、その決定を支持し関与してきた者には相応の道義的責任程度のものはあろう。ただちに修正する方向に意見を述べるなど対応いただきたい。
これらのガバナンスの欠如は、3.11など広域災害時の教訓の一つでもあったはずだ。すでに9年もたっている。かかる行政の不作為、立法の不作為についてはやはり真摯に反省する必要があるのではないか。
<追記> どうすればいいか(私見)
(1)個人情報保護法制2000個問題の解消
・三法統合
個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の三法のルールの整合を図り、三法の所管と監督権限を個人情報保護委員会に一元化する。
・個人情報保護条例の統合
都道府県、市区町村、広域連合等ごとに制定している個人情報保護条例を統合し、法律で定める。その監督権限を個人情報保護委員会に一元化する。
→マイナンバーや民間部門の個人情報同様に、公的部門の個人情報についても行政機関や自治体を個人情報保護委員会が監督する体制が整備される。
これによって行政機関等の実施するパンデミック対策や広域災害対応のための個人データの処理のガバナンスが強化され、濫用の危険性が緩和されたことで、個人データの利活用の前提が整うことになる。
(追記)
5月22日の国会の自民党や公明党などの質問に対して個人情報保護委員会から三法統合は進める。条例の統合も視野にいれ前向きに検討することが答弁されたようである。いよいよ本格的に手が入りそうではある。
(2)パンデミック対応のための法律を制定する
① 水際防止策のための位置情報、タイムスタンプ(移動履歴・個人データ)の取得(政府貸与端末の携帯義務)と利用、及び公表の根拠法
危険エリアからの飛行機や船舶等での入国者(外国人を含む)には空港、港湾の入国審査時に政府の用意した位置情報アプリとメッセージング機能付きアプリがインストールされた携帯端末を貸与し、一定期間の外出時の端末携帯義務と2週間の自宅(または政府指定の宿泊先)での待機義務を課す(罰則なしでもよい)。
入国時から自宅またはホテル等宿泊先までの移動履歴を取得、入国時から交通機関での移動履歴と時間を広く公表し、濃厚接触の可能性のある者に最寄りの保健所、指定病院での検査を呼びかける。
また入国者には、貸与した端末のメッセージング機能を通じて、感染症の初期症状、同居者等への感染防止策、初期症状が出た場合の連絡先、指定保健所または病院の連絡先及び地図、移動用タクシーの予約案内、費用の補償の案内などを送信する。また自宅療養の場合は、病院等からの指示を送信する。本人からはアプリを通じて、体温その他問診に回答を返信する。
② 二次感染防止策のための位置情報、タイムスタンプ(コンタクト・トレーシングのための個人データ)の取得と利用及び公表についての根拠法
国内に居住する者にコンタクト・トレーシング用アプリのインストールを義務付ける(罰則なしでもよい)。
給付金の支給条件とするなどのインセンティブ設計で一定の普及率を図る。
③ 感染者情報の公表基準を定める。行政機関等や自治体を拘束する。
④ クラスター情報のための情報収集と公表基準、及び民間事業者への協力要請の根拠条項を定める。
⑤ 感染者数、死者数、その他の統計情報の収集と公表について定める。
と、厚生労働省(というよりも厚生省)に権限を集め、自治体は運用に協力し、企業はその要請に応え、個人情報保護委員会が個人情報の取扱いについて監督、監視、個別の施策は監査に入る体制に整備し、強行すべきは法律を根拠に強行する。必要であれば適正な利用目的の範囲内で、本人同意の有無に関係なく個人情報を用いることである。