"個人情報の不適切管理"報道を整理してみる

今回は7/14に報じられた以下の報道について、論点や指摘されている問題点を整理してみます。
今週は多くの学校関係者から本件について解説を求められる機会もあり、折角なのでnoteにまとめてみようかな、と。

小中学校の学習端末利用で児童生徒の情報をアプリ業者が直接取得・管理…文科省が全国調査へ

なお、法律は専門領域ではないのですが（大学では経済専攻。その意味ではデジタル庁に勤めるほどデジタルも専門ではない苦笑）、仕事柄、法令読んで解釈しないといけないことも多く、その作業は結構好きなんです。
そのレベルなので、もし認識誤りなどあったらバシバシ指摘いただけると助かります。
※長々読みたくない、という方は以下の「まとめ」に行っちゃってください

論点を整理してみる

この報道、ヤフーニュースにもあがって専門家コメとかもついていたのですが、ぶっちゃけ現状認識や解釈誤りなども多いように見えました。
なので、どこが本質的な問題なのか、整理して補足してみたいと思います。
まずは、記事が指摘している論点を箇条書きにしてみます。

1. アプリ提供事業者が、児童生徒の個人情報を直接取得・管理している

2. 情報取得の際に利用目的の説明が不足している

3. 本人(保護者)の同意に任意性が不足している

4. 個人情報が海外の事業者に委託されている

5. 個人情報を公教育向けのサービス以外でも活用している

主にはこの5つ。
記事やSNSでのコメントでも、4や5への反応が多いようですが、個人的には問題の根本は3の「同意における任意性の不足」だと捉えています。
そこに至るためには1つ1つ理解していく必要があるため、補足してみます。

1. アプリ提供事業者が、児童生徒の個人情報を直接取得・管理している

アプリ提供事業者が、児童生徒の個人情報を直接取得・管理している、とはどのような状態なのか、文字面だけだと分かり辛いので図にしてみます。

左が、一般的な学校教育でデジタル教材・ツールを利用するときのケースです（何をもって「一般的」なのか微妙なのであまり適切ではないですが、ほとんどのケースはこちら、という意味で）。
そして右が、今回の記事のケース。事業者による直接取得・管理。

左右の大きな違いは、学校設置者とアプリ事業者の位置が逆であること。
左は学校設置者を通じて事業者に情報が提供されているのに対し、右は事業者が直接情報を取得し、それを学校設置者に提供していること。
※右の場合、学校設置者はアプリを通じて学習状況を見る＝情報の提供を受けている、という感じ

右側のケースが法を逸脱しているかというとそんなことはなく、当然ながら適法の手段です（SNSだとこれが違法だという声もありましたが）。

一方で右のケースだと、事業者がどのように情報を管理・利用しているか、教育委員会・学校は関与する権限がありません。
学校教育は法令に定められた業務。にもかかわらず、行政がその業務に関する児童生徒の情報管理に関与できない、というのは望ましくないはず。
報道のケースも、この方式になっていることで、結果として情報取得や管理に学校設置者や学校が関与できていないことから、この後の項目で起きた事象を抑止できていないとも言えます。

2. 情報取得の際に利用目的の説明が不足している

こちらについては、記事のなかでは以下のような記載がされています。

一部のデータは、保護者に十分な説明のないまま海外の事業者に委託されたり、一般向けに販売しているアプリの機能改善に使われたりしていることも判明。

小中学校の学習端末利用で児童生徒の情報をアプリ業者が直接取得・管理…文科省が全国調査へ

実態として学校としてどのような説明がなされていたのかは判別つかないですが、今回のケースはアプリ提供事業者が直接取得するものなので、主体的に利用目的を説明するべきはアプリ提供事業者になります。

調べてみると、児童生徒（保護者）が、以下のような登録を行う方法のようです。

動画見ていただくと分かりますが、「プライバシーポリシー」と「利用規約」のリンクが配置され、そこには情報の取り扱いや利用目的が記載されています。その内容に確認し「同意して登録する」という手順となっています。
この手続き方法は、経済産業省「電子商取引及び情報財取引等に関する準則」でのP39にある規定に則っています。

電子商取引及び情報財取引等に関する準則より抜粋

より適切には、利用規約見ないと押せないようにすることや、そもそも利用にあたって利用者に分かるよう丁寧な説明が望ましいとは思います。が、条件は満たしていると言えると思います。

利用規約の適切な同意画面とは？改正民法に対応した表示の方法を弁護士が解説 | Authense法律事務所

そしてプライバシーポリシーには、4点目の外国の事業者への委託の可能性や、5点目の一般向けサービスでの活用は明記されています。
この点において「事業者がダマでやった」みたいに責めるのは認識誤りなのでは、と感じています。

3. 本人(保護者)の同意に任意性が不足している

はて？
となると利用目的が提示され、本人（または保護者）の同意を得ているので問題ないのでは？

となりそうですが、前述通り3点目の本人同意の任意性に問題の根っこがある、と自分は考えています。

今回の学習アプリは、授業や宿題などで使われます。つまりや教育課程内での利用。
そうなると、同意しない＝学習アプリを利用できないと、他の児童生徒と通常の授業などに満足に参加できないのでは、と考えてしまいます。
そのため、本人も保護者も、実態としては情報提供の同意を避ける選択を選べない可能性が高くなります。
こうなると、本人同意の前提条件である「任意性（選択の余地がある）」ということが欠けている、という懸念が出てきます。

文部科学省「教育データの利活用に係る留意事項」のP91にも以下の記載があります。

学校教育は全ての児童生徒に対して平等に実施されることから、一部の児童生徒のみが同意しないことが事実上困難であることが想定されますが、そのような同意には任意性がなく、無効と判断される場合もあるため、留意が必要です。

教育データの利活用に係る留意事項のP91より抜粋

今回のケースはまさに、上記の記載（全ての児童生徒に対して平等に実施されること）に該当する可能性があります。
もし同意が無効だと判断されると、後述する4や5の情報の管理・利用は、同意なしで行ったこととなってしまい、適法ではなくなってきます。
つまりは1や2は望ましさの問題ですが、3は判断によって適法かどうかの問題です。なので個人的には今回のケースの最重要の論点だと感じています。

4. 個人情報が海外の事業者に委託されている

SNSや問合せなどで一番反応があったのはこの4点目でした。
海外事業者委託って「なんか外国の人が色々覗いちゃう可能性がありそうでイヤ」みたいな雰囲気ですが、本当にそんなことがあるのか。

個人情報の保護に関する法律、いわゆる個人情報保護法でも「外国にある第三者への提供の制限」という条項が存在しているように、海外への提供については考慮が必要になっています。
前述した「教育データの利活用に係る留意事項」でも、以下のような記載があります。

海外のクラウドサービスを利用する等、個人情報が海外で取り扱われる場合は、個人情報が取り扱われる外国の特定や外国の個人情報の保護に関する制度等の把握を行ったうえで、安全管理のために必要かつ適切な措置を講ずる必要があります。（P34）

「それんなことあるのって全体主義的な国の場合じゃないの？」って思う方がいるかもですが、自由の国(？)アメリカでもパトリオット法なんてものがありました。

Amazonクラウド、「東京データセンターも、米パトリオット法の対象内」と説明

9.11同時多発テロの教訓から、ざっくり言うとテロ対策の名目で政府による通信等の監視権を持つ法律です。2015年に失効していますが、後継法がつくられ、アメリカに所在がある法人に対しては、データの開示要求が可能なCLOUD Actという法が策定されていたりもします。

電子契約サービスも関係する米国クラウド法(CLOUD Act)とは～クラウドサービスにおけるセキュリティ・データ保全体制～

この法では、米国所在の事業者の場合、保管場所が日本国内でも日本法の届かない範囲で制御できない事態が起きる可能性があります。これはあくまでアメリカの例ですが、各国それぞれが日本法を上書きするような法が存在する可能性があり、特段の留意が必要になってくる訳です。
そんなこともあり「国内事業者で国内保管」みたいな話が出てくる感じです。

5. 個人情報を公教育向けのサービス以外でも活用している

こちらは、法令に基づく学校教育での情報取得であれば、その法令業務の範囲での利用に限られるべき、という要求からきていると理解。

ただ、1で図示した左のケースの場合は「委託契約」での情報提供となり、学校設置者・学校が示した利用目的の範囲での利用となるため、実態としては上記要求が正しく機能します。

一方で、今回の報道＝右のケースは本人同意に基づく「第三者提供」によって事業者に情報が提供されます。そうなると、利用目的（公教育向けサービス以外での用途）が提示され本人同意がなされていれば、法的には問題にはなりません。（3の「同意における任意性」の論点は残ったままですが）

今回のケースでは、個人情報のサービス横断での利用は無いことが、同意時に提示されたプライバシーポリシーで記載されていました。

パーソナルデータのサービス横断での活用（クロスユース） | 株式会社リクルート

一方で「スタディサプリシリーズ」を通じて取得するパーソナルデータは、当該シリーズのサービス間以外ではクロスユースを行いません」とあるので、学校教育以外での民間利用でも活用している、ということは言えてしまい、そこが問題点として指摘されています。

ちなみに前項ではアメリカの法律を例にして懸念点を挙げましたが、アメリカにはCOPPAという法律があり、学校でのアプリで取得された情報は、教育目的以外を制限していたりします。

Children's Online Privacy Protection Act - Wikipedia

COPPAは学校教育だけなく、子供がオンラインサービスを利用するうえで全般的に保護する法律です。罰金もすごい額になるので、日本版COPPAとかがあると、子供の情報が保護されやすくなるのだと思います。
（この法は法で、表現の自由などの面で批判もあるらしいですが）

まとめ

他にも、委託と第三者提供の違いとか、色々補足した方が良さそうなことはあるのですが、大分長くなってしまったので、この辺でまとめを。
ざっくりまとめると今回のケースは

• アプリ事業者が、個人情報を直接取得しており、学校教育として本来は行政が監督すべき情報の管理・利用に関与できていない（１）

• 事業者が利用目的を開示し同意を求めているが、全ての児童生徒が授業等で使う前提のため、実質的には同意を拒否できない（３）

• 上記の組合せで、本人同意の前提に懸念があるなか、行政が関与できない状況で、海外事業者委託や学校教育以外での利用の懸念がある（４，５）

と言えるのだと思います。（カッコ内の数字は前述した論点の番号）
うーむ、色々書いたけど、結局はこういうことかも。補足長すぎたか...。
でも色々書いたので、あまりこの辺得意じゃない人には、上記理解の補強になったのでは、と思って良しとします！

本人同意を取るのが問題？

やっぱり個人的には3の「同意の任意性」が気にかかります。
本来、学校教育で全員利用の場合は、全員の同意を前提とするサービスを選択すること自体が問題なんじゃないかと思っています。

一方で、個人情報保護法の大前提は個人の権利利益を保護すること。法律の「第一条 目的」の条項もそう結ばれています。
個人の権利の最たる1つとして自由意志があり、そうなると任意性が前提となる本人の同意、というのはあってしかるべきなんですよね。

この辺りはなんとも難しい問題。
ある意味で自由と平等の両立とも言えるので、梅酒でもロックで吞みながら、解決策を探してみたいと思います。

おわりに…解決策の案は次回以降に

部分的な解決策の案も書けたらと思っていたのですが、もう大分長くなってしまったので、次回以降にしたいと思います。

半分暴言かもですが、正直、事業者はまだしも、教育委員会や学校がこの辺りを全て理解して契約をすることなんて現実的じゃない、と感じています。
本来は契約者はきちんと理解して契約しなきゃいけないのは理解していますが、さすがに知るべきこと多すぎで限界を超えている感があります。

なので、この手のことを周知し知識を伝えることはやりつつも、担当者の努力ではなく、仕組みで解決する方法を提案したいと思います。

とはいえ、来週は早めの夏休みでして、、、今回で4週連続でしたが、1週空いてしまうかも、はご容赦を。

ではまたー。

※追記※
既に以下のような解説があったことに、今、気づきました（「今日のあなたに」でおススメされました）。
自分のは周辺情報からの補足が多いので、中身についてより詳しく、または別角度で見たいという方は以下もご覧いただくと良いかもです。
ご紹介までに。