プライバシーテック研究所

破産者マップから見る、日本の個人情報保護委員会のプライバシー侵害の対応とは

2022.04.27

はじめに

個人情報保護委員会は3月、破産者マップに対してデータ提供の停止を命令した。世の中には数多くの個人情報を利用したサービスが存在しているが、同委員会のこれまで出した”命令回数”はこの件を含めて3回のみ。非常に少ないと言わざるを得ない。

この記事では破産者マップの概要及び度重なる命令の経緯から、個人情報保護委員会と国内におけるデータ管理の課題について取り上げていく。

破産者マップとは

そもそも破産者マップとは一体何なのだろうか。

破産者マップは、官報に掲載されている破産者・再生債務者の情報をGoogleマップに紐づけることで、破産者の住所が可視化されたマップをWebサイトに掲載したものだ。元々公開されていた情報を再編集して、「破産者マップ」という形で公開しているサービスと考えられる。

官報が破産者の情報を公開する理由

ここで気になるのは、なぜ官報で破産者の情報が公開されるのか。そしてそもそも、どのような形で公開されているかについてだ。

官報で破産者の情報が公開される理由は主に2つある。「①破産法で官報での掲載が義務付けられているため」と「②債権者・貸金業者に知らせるため」だ。

「①破産法で官報での掲載が義務付けられていること」については、破産法第10条で記されている。

(公告等) 第十条 この法律の規定による公告は、官報に掲載してする。  公告は、掲載があった日の翌日に、その効力を生ずる。  この法律の規定により送達をしなければならない場合には、公告をもって、これに代えることができる。ただし、この法律の規定により公告及び送達をしなければならない場合は、この限りでない。  この法律の規定により裁判の公告がされたときは、一切の関係人に対して当該裁判の告知があったものとみなす。  前二項の規定は、この法律に特別の定めがある場合には、適用しない。

「この法律の規定による公告は、官報に掲載してする。」とある通り、破産者の公告は官報に掲載することが、法律で定められている。

次に「②債権者・貸金業者に知らせるため」についてだ。破産手続きの際には借金が帳消しになる。そのため、破産手続きの際に債権者が手続きに参加できなければ、債権者にとって不都合が生じる場合がある。もちろん、債務者が事前に債権者に知らせるべきなのだが、債権者が多数に及ぶ場合、失念してしまう可能性もある。そこで官報での破産者の情報の公開だ。 官報で破産者の情報が公開されるタイミングは2回、破産手続きが開始される時点と終了した時点となっている。破産手続きが開始されるタイミングで破産者の情報を公開することで、債権者が破産手続きに参加することを保証しているのだ。 また、官報での掲載は、貸金業者が信用情報を取得するのにも役立っている。

官報は破産者情報の公開を工夫している

こうして破産者の情報が官報に掲載されるわけだが、一般人が特定の破産者の情報を官報から取得するのはかなり苦労する。なぜなら破産者の情報は、官報の中でもディープウェブ(深層ウェブ)に掲載されるからだ。 ディープウェブとは通常の検索エンジンでは検索できない情報のことを指す。つまり「破産者Aの情報取得したい」と思い「破産者 A(氏名)」と検索しても、情報をヒットさせることはできない。破産者Aの情報を取得しようと思ったら、公開されている官報を1つ1つ調べるしかないのだ。その上、インターネット版官報では、直近30日分しか無料公開されていないので、よりハードルが上がる。

しかし破産者マップは、破産者の情報をディープウェブからサーフェイスウェブ(表層ウェブ)に引き上げるサービスだった。サーフェイスウェブとは検索エンジンで情報収集が可能な情報のことを指す。 その上、官報を1つずつ見なければ手に入らなかった破産者の情報を、データベースに一元化し、Googleマップに紐づけて可視化したのだ。

「インターネットに公開されていた情報を再編集しただけ」というと、ただのキュレーションのように見える。だが、官報が破産者の情報を取得しづらいように工夫していることを踏まえると、破産者マップの悪質な部分が見えてくるだろう。

個人情報保護委員会の「命令」は滅多にない

破産者マップが悪質なサービスであることは間違いない。だが、世の中にはプライバシー侵害を及ぼす悪質なサービスが山のようにある。その一方で、個人情報保護委員会の「命令」は滅多にない。思い起こせばリクルートやLINE、JR東日本の件など、プライバシー侵害の文脈で心象に悪いニュースはある。しかし個人情報保護委員会はたった3回しか命令を出していないのだ。

ただし秘密計算コンソーシアムのイベント「第2回秘密計算.jp」に登壇した、ひかり総合法律事務所弁護士の板倉陽一郎先生によれば「行政指導は定期的に行っているようだが、その具体的な内容を記載したレポートをほとんど公開していない」とのこと。命令する前段階で個人情報保護委員会が行政上の対応を行っていると予想がつく。

なぜ破産者マップに「命令」が下ったのか

個人情報保護委員会が出した3回の命令は、全て破産者マップ関連だ。だが、なぜ破産者マップばかりなのか。それは破産者マップが個人情報保護委員会の行政上の対応を無視したからだと考えられる。

個人情報保護委員会によれば「令和4年(2022年)2月18日付けで、本件事業者に対し、本件ウェブサイトを停止した上、個人データの第三者提供に際しあらかじめ本人の同意を得ることその他個人情報保護法第23条に従った措置を講じるまでは、本件ウェブサイトを公開してはならない旨の勧告を行ったが、正当な理由はなく、当該措置は講じられなかった。」としている。

今までも個人情報保護委員会は、リクルートLINEAmazonなどの企業に対して、行政上の対応を取ってきた。当然、これらの会社は面子を保つためにも個人情報保護委員会の言いなりになるしかない。 しかし破産者マップはどうだろうか。破産者マップは企業ではなく、個人で運営していると考えられる。それも破産者マップ設立の動機が「遊び」なのだとしたら、個人情報保護委員会を挑発するような、愉快犯的な対応を取ることは容易に想像できるだろう。

しかし個人情報保護法は「本件命令に違反した場合、個人情報保護法第83条等に係る罰則の適用を求めて刑事告発することを検討している」とのことで、破産者マップも流石に対応せざるを得なくなってくるだろう。ちなみに第83条の条文は以下の通りとなっている。

第八十三条 第四十二条第二項又は第三項の規定による命令に違反した場合には、当該違反行為をした 者は、一年以下の懲役又は百万円以下の罰金に処する。

日本はデータ漏洩の危機感が相対的に薄い

しかしなぜ個人情報保護委員会はたった3回しか命令を出さず、そのほかは「指導」などの形をとっているのだろうか。考えられる理由としては、日本のデータ侵害における刑罰が相対的に軽いことが挙げられる。

現在、日本の個人情報保護法の法定刑は、最高でも「1年以下の懲役または1億円以下の罰金」だ。個人情報が改正される前は「6ヶ月以下の懲役または30万円以下の罰金」程度だった。

一方、世界各国のプライバシー法の罰則はかなり厳しい。

EUのプライバシー法「GDPR」

EUが施行している一般データ保護規則(GDPR)に違反した場合の代償も非常に大きい。

2021年7月、ルクセンブルクのデータ保護当局はAmazonに対して7億4600万ユーロ(約1,020億円)の制裁金を支払うように命じている。また、2019年1月にはフランスの規制当局がGoogleに対して5000万ユーロ(約68億円)の制裁金、2021年9月にはアイルランドのデータ保護委員会がMeta(旧:Facebook)に対して2億9500万ユーロ(約403億円)の制裁金の支払いを命じている。各ビッグテック企業は超高額な制裁金に対して不服を申し立てている状況だ。

GDPRを簡単に説明すると、EUにおけるプライバシー保護法だ。適応範囲はEAA(欧州経済領域)全域で、EAA領域内に存在する個人データを処理する場合、EAA領域外の企業に対してもGDPRが適用される。そしてGDPRの最大の特徴は超高額な制裁金で、最大で2,000万ユーロ(約27億円)または全世界でのその企業の収益の4%となっている。このことからGDPRは世界で最も厳しいプライバシー法だと言われている。

しかしEUのプライバシー規制の話はここで終わらない。2022年に入ってから、EUは「デジタル市場法(DMA)」の最終案を決定、さらに「デジタルサービス法(DSA)」も賛成多数で可決されており、決議が控えている状況だ。

DMAはビッグテック企業を規制する法律で、違反すると世界年間売上高の最大10%、違反が繰り返されると20%の制裁金の支払いが命じられる。DSAも、ビッグテック企業に対してリコメンド広告の仕組みの透明性担保やオンライン広告の詳細データの開示が求められ、違反すると世界年間売上高の6%の制裁金の支払いが命じられる。世界で最も厳しいプライバシー法だといわれるGDPRよりも強力なプライバシー法の施行がすぐそこまできている。

カリフォルニア州のプライバシー法「CCPA」

GAFAを擁するカリフォルニア州では2020年1月からカリフォルニア州消費者プライバシー法(CCPA)の適用が開始された。

CCPAを簡単に説明すると、カリフォルニア州の住民が自分の個人情報を保護・管理することを目的とした法律で、消費者は事業者に対して個人情報の削除の要求や、オプトアウトする権利を持つことができる。罰則規定は請求1件につき最大2,500ドル(約32万円)、故意の場合は最大7,500ドル(約95万円)なので、集団訴訟されると凄まじい額になる可能性がある。

中国のプライバシー法「個人情報保護法」

また2021年には、BATHを擁する中国が個人情報保護法を施行した。これまで中国には個人情報保護のための法律が存在しなかった。だが、2015年に施行された国家安全法において、経済的安全、軍事的安全を確保するために、データ安全や情報安全が追求されるようになる。この流れで個人情報保護法が施行されたわけだ。この背景には、グローバルにデータが流動する中、アメリカ(主にGAFA)への個人情報流出を防ぐ目的があると考えられる。

そして中国の個人情報保護法の罰則も非常に重い。個人情報保護法に従わなかった場合、事業の停止、営業許可の取り消し、5,000万元(約10億円)以下あるいは前年度売上高の5%以下の罰金が命じられる。

個人情報保護委員会はデータ漏洩のリスクを国民に訴えるべき

このようにして世界各国がプライバシー規制の強化を進めている。しかし日本では未だに罰金刑の最高額は1億円以下だ。世界各国と比べると、日本は明らかにプライバシー規制に対する危機感が薄く、これが日本国民のデータ漏洩に対する危機感の薄さを示しているようにも思える。

そもそも、世界各国のプライバシー法の背景には、国家安全保障的なアプローチがある。データがグローバルに移動している現代社会では、どれだけビッグデータを保有しているかが安全保障に直結するからだ。これは逆に言うと、自国の情報・データを守り切ることが国際的な安全保障に繋がることを意味している。

個人情報保護委員会は何かしらの形で、データ漏洩のリスクを国民に訴えるべきだろう。その手段として厳罰化を採用することは必ずしも最適解とは限らない。だが実際に世界各国は非常に重い厳罰化に動いている。しかも、変化の激しい時代に対応するかのように、厳罰化の流れが非常にスピーディーだ。日本のデータ事業の国際競争力を向上させるためにも、個人情報保護委員会は強いインパクトを国民に与える必要があるのではないだろうか。

まとめ

  • 破産者マップは破産者情報を簡単に参照できるWebサイト
  • 個人情報保護委員会の命令はレアケース
  • 破産者マップは個人情報保護委員会の行政上の対応を無視したため命令された
  • 日本は世界各国と比べると、プライバシー法の法定刑が非常に緩い

参考文献

個人情報保護委員会 個人情報の保護に関する法律に基づく行政上の対応について

国立印刷局 インターネット版官報

欧州議会,違法コンテンツの対策強化に向けた「デジタルサービス法案」可決

「門番」と名付けた巨大ITを規制、10月にもEUがデジタル市場法…自社優遇は禁止

情報通信法学研究会通信法分科会(令和3年度第2回)中国における個人情報保護法