
位置情報ってなんだか怖いんだよなあ。確かに、位置情報をアプリで共有することで、近くにあるおすすめのレストランや、コーヒーショップを紹介してくれることは便利なんだけれど、これって今いる場所を特定できてしまうのではとの「怖さ」もあるんだよなあ。

位置情報は、なかなか難しいですよね!
こんにちは、弁護士のワタナベです。位置情報、個人情報なのかどうなのか、なかなか判断が難しいですよね。今回は、この位置情報はどのような情報なのか、詳しく解説していこうと思います。
弁護士 渡邊涼介 氏(通称、ワタナベ先生) プロファイル
2007年に弁護士登録。企業法務を中心に、個人情報保護法や電気通信事業法の専門家として活躍中。総務省の総合通信基盤局の任期付公務員として、プライバシー・個人情報保護を担当し、2015年の個人情報保護法改正にも関わった。本テーマに関連する著書として、『人事労務とプライバシー・個人情報保護』(青林書院、2022年)、『データ利活用とプライバシー・個人情報保護』(青林書院、2020年)がある。

位置情報共有アプリ「zenly」がサービス停止を発表し、位置情報に関する話題となりました。気になってこのサービスについて調べてみたんですが、個人の位置情報を他人と共有するって、個人情報保護法では大丈夫だったのかなと不安になります。そこでワタナベ先生にお聞きしたいのですが、この位置情報はそもそも個人情報に該当するのですか?

結論からお話ししてしまうと、基本的には、位置情報単独では個人情報では該当しません。しかし仮に個人情報に該当しない場合でも、プライバシー保護の観点から非常に要保護性の高い情報です。
詳しくは、個人情報保護委員会が公開している「個人情報の保護に関する法律についてのガイドライン(通則編) 2-8 個人関連情報(法第2条第7項関係)」を確認していく必要があります。同ガイドラインによると、個人に関する位置情報が連続で蓄積され、特定の個人を識別できる場合は単独で個人情報に該当することになります。そのほか、位置情報に個人情報が紐づいている場合、容易に個人情報と照合できる場合も個人情報に該当します。
また、電気通信事業者に適用される、「電気通信事業における個人情報保護に関するガイドライン解説 5-4-1位置情報の取得(第41条第1項関係)」でも、ある人がどこに所在するかということはプライバシーの中でも特に保護の必要性が高い上に、通信とも密接に関係する事項であるから、強く保護することが適当であるとされています。
高精度なGPS位置情報によって、数10cm単位で個人の現在地を示すという場合、そこにいる方はほぼ特定される状態となるため、個人情報として扱った方がいいと考えます。実際にその地点を見ないと個人を特定することはできませんが、状況によっては「特定の個人を識別」できてしまう状態と評価される可能性があります。
zenlyの場合、ユーザーが私的に利用するのであれば、ユーザーは個人情報取扱事業者(個人情報保護法16条2項)に当たりません。このため、ユーザー同士の位置情報のやり取りは個人情報保護法の規制対象にならないため、個人情報保護法上は問題ないということになります。個人情報保護法はあくまでも、個人情報を使っている事業者を対象としてものとなっています。また、ユーザー本人が位置情報の提供に同意しているのであれば、プライバシー侵害の問題も基本的に問題にはなりません。なお、個人情報・プライバシー保護の観点を越えますが、zenlyのような位置情報共有サービスが犯罪に用いられた場合の責任に関しては、ユーザーがどこまでzenlyの特性を理解し、そのリスクを承知して使用していたか、サービス提供側の説明内容が適切であったかもポイントになってくると考えられます。
もっとも、仮に、企業が従業員管理でzenlyを使用していた場合は話が別で、個人情報管理の問題に関わってきます。
ポイント:zenlyサービス停止について
zenlyとは、GPSで自分の今いる場所(位置情報)を共有できるアプリ。フランス発のzenlyが開発し、2017年にSnapにより買収された。日本では10代の若者に多く利用されていた。
しかしzenlyは2022年9月14日、突如「近い将来サービス提供を終了する予定です」とTwitterで告知。
2022年10月現在はまだサービスを停止していない様子。

従業員の位置情報管理の話が出てきましたね。リモートワークの広まりから、従業員の位置情報を会社が管理するケースが見られるようになりました。これは従業員のプライバシー侵害にならないのでしょうか?

従業員の位置情報取得は、営業に従事する従業員の管理に用いるなど業務上の必要性がある場合には、取得することも可能です。もっとも、プライバシー保護の観点からは、取得については従業員から適切に同意を取得することや、位置情報が不適切に取り扱われないように、位置情報の取扱いに関する社内規定を定めて遵守することが重要です。
従業員の位置情報管理は既に裁判例が存在します。2012年5月31日に東京地方裁判所で判決が下された東起業事件です(公益社団法人全国労働基準関係団体連合会 ID番号:08875)。こちらは従業員管理のためにGPS位置情報を取得していたのですが、判決では、就業時間だけでなく、就業時間外も位置情報を取得していたのが問題となりました。
この判決では就業規則時間内の利用については目的に相応の合理性があるとした一方、業務時間外の位置情報取得は監督権限を濫用するものであって違法であるという判決を下しました。就業時間外に位置情報を取得することが、不法行為にあたるという判決が出たものになります。
東起業事件の例は、従業員の位置情報を過剰に取得してしまった点で問題でしたが、現状は業務時間内の従業員の位置情報取得は、従業員から同意を得た上で導入し、位置情報の取り扱いに関する社内内規を定めて、適切に管理していれば問題ないということになります。
ポイント:東起業事件
従業員が労働者の携帯電話にナビシステムを導入して、労働時間外でも労働者の居場所をGPSで取得していた事件。

位置情報はその個人の行動によって個人情報になったりならなかったりするなど、他のプライバシーに関する情報とは少し異なる性質があるように思います。ワタナベ先生から見て、位置情報は「どのような性質」のプライバシー情報になるのでしょうか?

位置情報の一番の特徴は、その人が現在いる場所がわかる点です。位置情報を利用すれば、本人に到達することが可能です。さらに、毎週日曜日に教会へ足を運んでいた場合や、頻繁に特定の病気を専門とする病院に通っていた場合は、宗教や病歴を高い精度で推測できてしまいます。
このように本人へ到達できる可能性が高く、思想信条や病歴などに関する情報を推定できる以上、位置情報はプライバシー保護の観点から特に保護すべき情報であり、要保護性の高いプライバシー情報として扱う必要があります。
上記の様に、要配慮個人情報でない位置情報でも、継続的に取得して、プロファイリングを行って、情報が高度に分析されていけば、要配慮個人情報に近づきます。
関連して、プロファイリングについて説明すると「放送受信者等の個人情報保護に関するガイドライン」や「電気通信事業における個人情報保護に関するガイドライン」等では、個人を特定してしまうようなプロファイリングに言及している記載があります。
念のためですが、位置情報の取扱いも、個人情報保護法上、一般的な規制・制限の対象となりますので、場合によっては不正取得(20条)・不正利用(22条)に該当する可能性はあります。プロファイリングによって要配慮個人情報と同様に評価されるレベルとするのであれば、同意を取得するべきである(20条2項)との考え方もあり得ます。
つまるところ位置情報は、プライバシー性の高い情報であり、取扱いの難しい情報になります。

位置情報に関する法律は個人情報保護法と電気通信事業法になってくるということですか…。この2つの法律はどのように位置情報に該当していくのでしょうか。

それにはまず、位置情報がどのようにして取得した位置情報なのかを明確にしておく必要性があります。通信端末に関する位置情報にはGPS位置情報、Wi-Fi位置情報、そして基地局に係る位置情報の3つが存在します。詳しくは私が執筆した『データ利活用とプライバシー・個人情報保護 最新の実務問題に対する解決事例108』を参照していただきたいのですが、ここでは「通信の秘密」に関わる情報なのか、関わらない情報なのかという点で話していきます。
そもそも通信の秘密とは、「携帯電話の通話内容やメールでのやり取りなど、通信に関する個人や企業間でのやり取りが秘密事項として守ることを法律で守られていること」です。この法律の代表例が電気通信事業法です。通信の秘密に関わる位置情報の場合、利用者の個別具体的かつ明確な同意がある場合などの例外を除き、取得してはならないとされています(電気通信事業における個人情報保護に関するガイドライン)。
先ほど位置情報には3つの取得方法があると話しましたが、通信の秘密に関係するのかしないのかで区分することができます。通信の秘密に関わる位置情報の取得方法は、a Wi-Fi位置情報のうち端末利用者がアクセスポイントから外部と通信を行うことで把握される位置情報と、b 基地局に係る位置情報のうち個々の通信の際に利用される基地局の位置情報です。これ対してGPS位置情報に関しては、GPS衛星から発信された電波を受信しているだけなので、通信の秘密には関わりません。
その上で取得した位置情報が、①通信の秘密に関する位置情報なのか、②個人情報に該当する位置情報なのか、③プライバシー情報に該当する位置情報なのかにより、情報の要保護性が異なってきます。参考に位置情報の関係性の図を添付します。
渡邊涼介著『データ利活用とプライバシー・個人情報保護 最新の実務問題に対する解決事例108』を参照、作成
位置情報に関するプライバシーについて述べているのは現在のところ、個人情報保護法のガイドライン(2-8 個人関連情報法第2条第7項関係)と、電気通信事業法のガイドライン(5-4 位置情報 ガイドライン第41条関係)のみですね。法律では書かれていないです。
ポイント:電気通信事業法とは
電気通信の健全な発達と国民の利便の確保を図るために制定された法律です。電気通信事業に関する詳細な規定が盛り込まれています。
参考:電気通信事業法

位置情報を取得するにあたり会社はどのような点に気をつけた方がいいのでしょうか?

位置情報の中でも、「情報の精度」と、「どのタイミングで取得するのか」などにより取扱いの判断が異なってきます。例えば、日本データ通信協会が公開している『電気通信事業における個人情報保護指針』に「付帯情報」「場所の特性」「取得時期の特性」「位置の精度」など、いくつかの項目が定義されています。
「付帯情報」は位置情報と一緒に使用されている情報、「場所の特性」はどういう場所に関する位置情報か、「取得時期の特性」は位置情報を取得した時期です。具体的には、イベントがあった日にイベント会場にいれば、イベントの参加者だったと推測できるというわけです。
位置情報取得において、とりわけ注意しなければならないのが、「位置の精度」です。
例えば、位置情報の精度が数十cm単位なのか数km単位なのか、取得する頻度は10秒程度に1回なのか1時間1回なのか、1日一定の時間で1回取得するのかなど、位置情報の取得方法によって精度は大きく異なります。
位置情報の精度が高くなるほど、権利侵害のリスクが高まるため、取得データと権利侵害のリスクに応じて、高い安全管理を行わなければなりません。また、高精度の位置情報を取得直後に第三者へ提供してしまうと、当然に個人を特定されてしまうリスクが高まります。
したがって、自分の位置情報を第三者に知られてしまうリスクがあることを画面表示させて利用者に認識してもらったり、位置情報に関する取扱いを透明化していくことも大切です。

位置情報を活用するためにどのような対応・対策が必要でしょうか?

取得時にきちんと同意を取るということがとても重要です。
ただし、「位置情報を取得します」という意思表示をするだけでなく、接触者も前提にして、どれくらいの精度で、どれくらいの期間情報を取得するのかきちんと説明した上で同意を得ることが大切です。
同意取得する際に、取得する情報を画面に一覧表示させて一目で理解させるのが一番いいやり方ですね。加えて、もっと知りたい方は段階的に別ページにアクセスさせるというように、わかりやすさと正確さを両立させる形で説明するのが良いと思います。
例えばAppleの情報端末の場合は、情報取得のタイミングごとに、「位置情報の利用を許可しますか」と聞いてくるので、親切な制度設計になっていると言えます。
第三者提供する場合は個人情報保護法上の同意が必要ですが、位置情報によって性格は異なります。したがって、どういう位置情報なのかきちんと説明することが大切になってくるでしょう。
位置情報を匿名加工するのであれば、メッシュ化や、日本データ通信協会が公開している電気通信事業における個人情報保護指針(p259-262)に記載されている以下9項目の評価指標に従って、総合的なリスクを下げていくといった対応を行うとよいでしょう。
また、日本国内に於ける位置情報マーケティング、サービスを推進している、一般社団法人LBMA Japanが定めている「位置情報等の『デバイスロケーションデータ』利活用に関するガイドライン」では、①基本的人権尊重の原則、②透明性追求の原則、③選択性担保の原則、④安全性確保の原則、⑤持続可能性向上の原則に基づき、遵守すべき「取得・管理・活用」の各プロセス・用途ごとの具体的ルールを規程として定めていて、参考になります。

なるほど!
位置情報は個人情報ではないものの、場合によっては取り扱いに気をつけるべき情報であり、取得時にも個人情報と同じように「取得時の同意」を取る必要があるということですね。うーむなかなか難しい。私は位置情報を取得することはないと思いますが、また気になったら相談させてください。

いつでもお待ちしていますよ!