読売新聞が「小中学校の学習端末利用で児童生徒の情報をアプリ業者が直接取得・管理…文科省が全国調査へ : 読売新聞」との報道を行っているので、それについて書いていきたいと思います(まずは記事をお読みください)。
記事の内容について
- 記事によると、「文科省は、子供の個人情報は自治体が主体となって取得・管理するべきだとしている」とのことである。ただし、このことについて、「教育データの利活用に係る留意事項」には明記されていない。
- 記事によれば、「リクルートのアプリ「スタディサプリ」を利用する自治体の一部では、同社が、保護者側に自社のプライバシーポリシーへの同意を求めた上で、子供の氏名や生年月日、テスト正答率などの情報を直接取得して管理している。これを自治体に提供し、改めて自治体から情報の委託を受ける形をとっている」とのことである。このスキームについて、個人情報保護法上の義務の観点からコメントすると、以下のとおりである。
- 文科省の見解は上記のとおりとのことであるが、上記スキーム自体が直ちに個情法に違反するわけではない。
- 個人情報を取得するにあたって、同意は個情法上必須ではない。ただし、プライバシーポリシーには第三者提供(場合によっては外国第三者提供を含む)についての記載がある場合があり、その場合、プライバシーポリシーに同意することで、それらの第三者提供に同意したことになる。
- 筆者の環境で「スタディサプリ for school」をダウンロードしたところ、プライバシーポリシーとしてはこちらが表示された。これが記事で言及されているプライバシーポリシーかは分からないものの、相当広範囲の第三者提供がなされるようである。
- 記事中に「義務教育の場で使われるため、子供や保護者が情報の提供を拒むことは難しい」との指摘がある。
- このことは、同意の有効性を厳格に判断すべき事情となると考えられ(教育データ利活用と個人情報保護 - Mt.Rainierのブログ、特にそこに引用されている教育データの利活用に関する有識者会議(第15回)議事要旨:文部科学省)、その意味で重要であるが、上記のとおり、個人情報取得に関して同意は必須ではないため、同意の有効性を厳格に判断したとしても、リクルート社自身による取得・利用を止められるわけではない(第三者提供ができなくなるだけである)。
- 一方、リクルート自身による取得・利用を不適正取得・不適正利用と構成することも考えられる(個情委も既に3年ごと見直しの中間整理においてそのような方向性を示している。個人情報保護法の3年ごと見直しの中間整理について - Mt.Rainierのブログ)。しかしながら、これらについて個情委が示してきた事例は狭く、取得・利用について形式的な規制が課されていない状況では、リクナビ事件のときのように形式的な規制(同事件では第三者提供規制がこれに該当した)の潜脱になっているとも言い難い。このような状況で、法執行を行うハードルは高いと思われる。
- 上記スキームの下では、リクルートは、教育委員会(学校)から委託された情報については、委託の範囲内で取り扱う義務を負い、教育委員会の監督に服する。一方、自ら取得した情報については、リクルートが設定した利用目的による制限がかかるにすぎず、教育委員会の監督に服さない。
- 記事によれば、「リクルートは取材に対し、一般向けに販売している同アプリの機能改善にデータを使用していることを認めた」とのことである。
- しかしながら、リクルートが独立の事業者としても(=受託者ではない事業者としての立場においても)個人情報を取得している以上、上記の使用が直ちに個情法に違反するわけではない。
- もっとも、このような利用を目的として上記スキームが採用されているとすれば、委託規制との関係でいかにも不自然であり、潜脱的である。そこで、不適正利用と構成することが考えられる。もっとも、自由意思に基づかない同意という問題の本質を捉えたアプローチではないことには留意すべきである。
- しかしながら、リクルートが独立の事業者としても(=受託者ではない事業者としての立場においても)個人情報を取得している以上、上記の使用が直ちに個情法に違反するわけではない。
どうすべきか
- 上記のとおり、記事によると、「文科省は、子供の個人情報は自治体が主体となって取得・管理するべきだとしている」とのことである。そうだとすれば、上記スキームに基づく契約を締結しないようにすればよく、文科省は「留意事項」の委託契約書の箇所にその旨記載すべきだと思われる。
- また、これに加えて、自治体が委託契約において、委託契約に基づいて提供されるアプリを通じて独立の事業者として個人情報を取得することを禁止することも検討すべきだと思われる。このような合意は一般的とは言えないが、リクルートは、委託事務に伴って公立学校の児童・生徒との接点を得るのであるから、それに伴ってリクルートが児童・生徒を害するような行動をするリスクがあるのであれば、自治体は当然それに対処すべきである。
- なお、上記の文科省の考え方自体は適切である。児童・生徒は彼らの意思にかかわらず自治体に与えられた公権力をもって学校に通わされ、教育を受けさせられている(近時権利としての側面が強調されているが、そのことはこの性質を覆すものではない)。もちろんそれ自体は正当な目的のために行われているのであるが、そこから生じるリスクは、自治体(教育委員会)が責任をもってコントロールすべきである。
- 一方、長期的には、GDPRのように、取得・利用自体を同意取得等の規制の対象とすべきではないか。そのようにした上で、(第三者提供が行われた場合の)受領者をも当該規制の対象とすれば、第三者提供について特別の規制を課す必要はなくなり、3年ごと見直しにおいて経済団体が要求しているニーズにも応じることができる。実務上、第三者提供が想定されないケースは少なく、(リクルートが現にそうしているように)取得時点で同意を取得しているケースが大半であるから、そのことによる支障は実はそれほど大きくはない可能性がある。その上で、同意取得について厳格に判断すべきである。
- なお、5年前にリクナビ事件を引き起こし、データガバナンスを強化してきたはずのリクルートが、上記スキームの問題点に気づかなかった(そして現在も気づいていない可能性がある)ことについて、個情委は反省すべきだと思われる。前の記事(個人情報保護法の3年ごと見直しの中間整理について - Mt.Rainierのブログ)にも書いたが、プリンシプルやコアとなるルールが適切な内容になっていなければ、いくらその実効性を担保するための規定やエンフォースメントのための規定(課徴金、第三者に対する行政処分権限、情報収集権限、DPO、DPIAのような)を充実させても意味がない。改正が反対に遭うのも、何のための規制なのかが伝わっておらず、個情委自身も理解できていないことを見透かされているからである。個情委は、プリンシプルを明確にし、コアとなるルールを過不足ない合理的な形にした上で、プリンシプルに反する事例やリスク低減措置についてケーススタディを行い、これを公表することで、個人情報保護のベストプラクティスを形成し、それらの上で管理体制(個人情報保護体制)に着目したエンフォースメントを行っていくべきである。