報告書・提言・意見

「顔認証技術を活用したOne IDサービスにおける個人データの取扱いに関するガイドブック」に対する意見

国土交通省航空局の「One ID導入に向けた個人データの取扱検討会」による「「顔認証技術を活用したOne IDサービスにおける個人データの取扱いに関するガイドブック」の策定に関する意見募集」に対し、JILIS個人情報保護法研究タスクフォースから、以下の意見を提出しました。


PDF版

2020年2月4日
一般財団法人情報法制研究所 個人情報保護法研究タスクフォース
(板倉陽一郎、高木浩光、丸橋透)

意見1: 「One ID」なる名称の正体(出自、現在の使われている状況)を明らかにするべきである。

【理由】

本件ガイドブック案は、タイトルに「One IDサービス」とあるが、「One ID」がどのような性質の言葉なのか全くわからない。特定の企業の事業名称なのか、成田空港固有の事業名称なのか、それとも国際的な取り決めによって行われる世界共通の事業の名称なのかといったことが、本件ガイドブック案には一切書かれておらず不明である。あたかも当然に存在して然るべきサービスの名称であるかのような誤解を与える。説明を書くことに不都合があるならその旨を明らかにされたい。少なくとも、Googleで検索したところ、IATAに「One ID」のコンセプト紹介サイトが見つかるので、それとの関係を明らかにされたい。また、もし世界共通の事業であるなら、各国での実施状況について説明されたい。

意見2: 航空会社と空港会社との間の相互の第三者提供ではなく、航空会社から空港会社への委託として整理するべきである。

【理由】

本件ガイドブック案は、「事業者が航空会社経由で旅客の個人データを取得する場合については、実運用を考慮し航空会社から事業者への第三者提供として整理する。」としているが、これは、航空会社から事業者(空港会社)への個人データ処理の委託(個人情報保護法23条5項1号)として整理すれば足りるはずである。

実態として、誰がdata controllerであるのか。12頁に「搭乗手続きに際して行われる本人確認や搭乗券確認は、国土交通省の指示に基づき、航空会社の責任のもとで行うものであり、これは、One IDサービスが導入されても変更がない。」とあることから、本来機能のみの実現ならば、航空会社がdata controllerであって、空港会社はdata controllerではない(航空会社の指示に従った処理しか行うことのできないdata processorである)ことは明らかである。

なんでもかんでも第三者提供の扱いにして本人同意を必須にすれば個人の権利利益保護に資するとする考えがあるなら、それは誤りであり、逆効果であることを指摘しておかねばならない。第三者提供として整理するということは、data controllerが二者いて、それぞれが独自に個人データを制御し得るということを意味し、本人はそれぞれについてその利用目的を理解しなければならず、全貌の把握をより困難なものにしてしまう。同意を必須にするといっても、内容を理解しないまま利用せざるを得ない状況に置かれることが予想され、本人同意が形骸化することになるだけであるし、人々が同意疲れによって個人データ保護を諦めてしまうことを助長することにさえなりかねない。

委託として整理することは、なにも本人同意を迂回するための潜脱的手法というわけではない。個人データ処理の透明性を高めるためにも、data controllerが一者となる委託の形で整理する方が、本人の理解が容易く、優れているのだということを重視するべきである。第三者提供に係る本人同意は、あくまでもそうした整理ができない事業形態の場合に例外的に採用せざるを得ない性質のものと理解するべきである。

本件ガイドライン案10頁は、「第三者提供として整理する」理由を「実運用を考慮し」として、以下のようにその理由を挙げているが、いずれも誤りであり、第三者提供として整理する必要性の根拠になっていない。

第1に、「自動チェックイン機においてトークンを生成する場合には、旅客は搭乗券を所持していないため、事業者は搭乗券情報を航空会社から第三者提供を受ける必要がある。」とあるが、航空会社から空港会社への委託として整理すれば、その提供は「第三者提供ではない提供」(個人情報保護法23条5項1号)となるのであり、「第三者提供を受ける必要がある」との記述は誤りである。

第2に、「自動手荷物預け機、保安検査入口ゲートでトークンを生成する場合には(略)この場合は、事業者が航空会社に対して搭乗券情報を第三者提供し、事業者が旅客から取得した情報が航空会社の予約システム上の情報と一致しているかを照合するとともに(略)」とあるが、航空会社から空港会社への「取得の委託」として整理すれば、その提供は「第三者提供ではない提供」となるのであり、「第三者提供し」などとあたかもそうするしかないかのような記述は誤りである。

第3に、続いて「とともに、航空会社からはパスポート情報の第三者提供を受けることで、本人確認を行うこととなる。」とあるが、これも第1と同様である。

第4に、「また、トークンを活用し、各タッチポイントを通過する場合には、事業者は航空会社に対して、搭乗券情報を提供する必要がある。この場合、事業者から航空会社に対する個人データの第三者提供になる。」とあるが、「各タッチポイント」での処理が、「国土交通省の指示に基づき航空会社の責任のもとで行うもの」と「航空会社ラウンジ入口」で行われるもののみであるならば、いずれも、航空会社から空港会社への委託として整理することができ、その提供は「第三者提供ではない提供」である。

11頁には、「このように、旅客の個人データを事業者と航空会社の間で相互に第三者提供が発生する」との記載があるが、委託に伴って個人データの「提供」が「相互に発生する」のはごく自然のことであって、それゆえに第三者提供が行われていると整理する必然性は元よりない。このような検討がなされるのは、およそ個人情報保護法23条5項1号の「第三者」概念さえろくに理解していないことの現れであって、このような文書が世に出れば、誤った委託概念が広まることになるので、有害であるとの誹りを免れない。

あるいは、この文書に記載されていない裏事情として、空港会社が独自に個人データを処理する予定があって、空港会社がdata controllerとならざるを得ないがゆえに第三者提供として整理しているということなのか。本件ガイドブック案17頁に、「利用目的を搭乗手続きにおける利用のみに限定すべきである。」との記載があることから察するに、検討の当初には、空港会社内の売店やレストランでも使用する計画があったのではないか。そのような計画があったならば、たしかに委託で整理し切ることはできず、空港会社への第三者提供もなされる形にする必要があることになるのは理解できる。(なお、その場合であっても、「国土交通省の指示に基づき航空会社の責任のもとで行うもの」と「航空会社ラウンジ入口」で行われるものについては、依然として航空会社から空港会社への委託による処理として整理するべきであり、空港会社の売店やレストランでの独自サービスはそれと並行して行われるものとして整理するべきであるが。)

しかし、本件ガイドライン案が、「搭乗手続きにおける利用のみに限定すべき」として、売店やレストランでの利用をしないよう厳しく諫めていることからすれば、そのような用途の道は絶たれたのであるから、当初の整理を変更して、航空会社から空港会社への委託として整理し直すべきである。

本件ガイドブック案17頁には、「他のサービスに転用する可能性を示すことは(略)サービス開始時において利用者および社会の理解を得られない恐れがある。」との記載があるように、まさに、本来なら委託として整理されるのが素直であるこの事業をあえて第三者提供として整理することは、将来に空港会社が売店やレストランでも利用を開始できる余地を残すための策略ではないかと世間に受け止められることになるだろう。

なお、複数の航空会社からの委託を一つの空港会社が受けることは、委託として整理することを妨げるものではない。一般に、複数の受託案件を混ぜて取り扱うことが「個人データ処理の委託を逸脱する」ものとなり得ることが指摘されるところであるが、それは、個人データの各本人について、複数の受託案件を結合して扱う場合に「委託を逸脱する」と指摘されるのであって、本件の場合には、複数の航空会社の利用者を同一人について突合して分析することを予定していないであろうし、ましてや、航空会社Aから空港会社を経由して別の航空会社Bに提供されるなどといった処理がなされるわけでもないのだから、それぞれの航空会社からの委託による個人データ処理は、並行して独立に処理されるものであり、よって委託を逸脱するものではない。

それとも、空港会社が独自にそのような結合処理による分析等を予定あるいは将来の実施を画策しているのか。予定しているのであれば、そのこと自体、現時点で隠さずに明らかにされなければならない。

また、たとえ、24時間以内に一人の個人が複数の異なる航空会社で複数回に渡り同じ空港を利用することがあるにしても、それらは別個の個人として扱われるようになっていればよい。(このことは、かつての旧経産省ガイドラインQ14で論じられたように、別の案件として処理している個人データ間の照合を問題にする必要がないのは、個人データの管理体制として案件毎にファイアウォールで衝立が設けられているかによらず、個人データのソースが異なることによるものであって、本件においても、複数の航空会社からの受託案件の個人データをファイアウォールで衝立を設けて分離することを行なっていなくても、そのことをもって「委託を逸脱」しているということにはならない。)例えば、午前に航空会社Aで搭乗手続きをした個人が同じ空港で午後に別の航空会社Bで搭乗手続きした場合に、空港会社の顔識別システムでは、午後には、両方の顔識別の特徴量情報がヒットし、それぞれの航空会社に問い合わせが発生することになるであろうが、両方とも本人の搭乗手続きによってそれぞれの航空会社から委託された処理であるので、問題とならない(委託の逸脱となるわけではない)。

仮に第三者提供として整理するのであれば,複数の目的,複数の提供先に個人データを提供するための枠組みとして,総務省及び経済産業省による「情報信託機能の認定に係る指針ver2.0」が公表されているが,このような枠組みにおいては,「提供先第三者に対する調査・報告の徴収」や「提供先は適切な情報管理体制を構築していることを要求すること」までもが想定されている(同指針21頁)。しかしながら,本件のスキームにおいては,そのような配慮がなされているわけでもなく、本当に第三者提供する者としての覚悟があるのか問われることになる。

いわゆるリクナビ事案においては,リクルートキャリアに対する勧告の中で「法における適用関係等について適切な検討を行っておらず」とされ(個人情報保護委員会「個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について」(令和元年8月26日),リクナビを利用していた企業に対する指導でも「個人データを外部に提供する際の法的検討ない当該法的整理に従った対応等が不適切であった。」とされている(個人情報保護委員会「個人情報の保護に関する法律に基づく行政上の対応について」(令和元年12月4日)。リクナビ事案では、委託を逸脱する事業を委託と称して扱い、本人同意を回避する潜脱行為が行われたものであったが、本件では逆である。個人データの取扱いについて適切なスキームを選択するべく,ここでは根本からスキームを見直し,適切な範を示すべきである。

意見3: 説明図が未完成である。二つのパターンのうちの片方しか示されていない。

【理由】

本件ガイドブック案10頁に、「事業者が航空会社から第三者提供を受ける例」として、「自動チェックイン機においてトークンを生成する場合には……」とあり、また、「事業者が航空会社に対して第三者提供を行う例」として、「自動手荷物預け機、保安検査入口ゲートでトークンを生成する場合には……」とあり、利用者の利用開始のパターンが二つあることが説明されているが、図表3が「One IDサービスのデータの流れ」を説明するものであるにも関わらず、「(自動チェックイン機から搭乗手続きを行う場合)」しか記載されておらず、もう一つのパターンであるはずの「自動手荷物預け機、保安検査入口ゲートでトークンを生成する場合」の説明図が存在しない。図の作成が未完成なままパブリックコメント手続にかけられたのではないか。

なお、これら二つのパターンについては、前記「意見2」で述べたように、航空会社から空港会社への委託として整理するべきものであり、委託における提供関係の図を用意するべきである。

以上