高木浩光＠自宅の日記

2017年06月04日

■ 匿名加工情報は何でないか・後編（保護法改正はどうなったその7）

このシリーズではこれまでに以下のことを書いてきた。

匿名加工情報は何でないか・前編（保護法改正はどうなったその2）, 2015年12月6日の日記
- 匿名加工情報は「個人データであっても第三者提供を許す」の形ではなかった
  - 関連: 匿名加工情報の条文構成はどう壊れて行ったか（保護法改正はどうなったその6）, 2017年1月8日の日記
- 匿名加工情報の定義に該当するからといって36条～39条の義務が課されるわけではない
匿名加工情報は何でないか・前編の2（保護法改正はどうなったその4）, 2016年2月5日の日記
- 「委員会規則の基準で作成したもののみが匿名加工情報となる」では解決しない
- 十分に低減する加工をしたものは匿名加工情報に当たらない
匿名加工情報は何でないか・中編（保護法改正はどうなったその3）, 2016年1月31日の日記

「後編で書くつもりだ」と「中編」で予告していたのは以下のことだった。

これをどう理解するか。「匿名加工情報にすれば（容易照合性が否定されて）個人情報でなくなる」という意味なのか。そうだとすると、「個人情報である限りは匿名加工情報になり得ない」というわけではなく、加工したものが元データとの照合により依然として個人情報に当たるものであっても、匿名加工情報に該当することにしてしまえば、再識別が法的に禁止される（改正後36条5項）ことから、容易照合性が消滅して、個人情報に当たらないことになる……と、そういう意味なのか。

当時、何人もの有識者（私が知る限り少なくとも5人）がそんな解釈はあり得ないと反発した。これまでの個人情報定義にあった「照合することができ」というのは、データの性質あるいは状態を言う要件であるはずなのに、法律で禁止されることがその該当・非該当に影響を及ぼすというのは、法解釈論上あり得ないという反発だった。

一方で、そのような解釈を導入せざるを得ない事情も理解できる面がある。この論点をどう整理すれば決着するかは、そう簡単なことではない。私には理屈の見通しがあるが、それについては本シリーズの「後編」で書くつもりだ。

以上で結論は出ていると思うのだが、こうした論点が、12月に出版された文献1には書かれていない。文献1の匿名加工情報に関する記載内容は、無難なところをさらっと述べているだけで、肝心のことが書かれていない。これは、担当室の方々も整理しきれていないためではないかと推察する。

その原因は、先に示した、本シリーズ「後編」で検討する予定の、「匿名加工情報は、そもそも、作成に用いた個人情報と照合することが禁止されておりますので、容易照合性は認められないと私どもは解釈しております。」をどう整理するかが決着していないためであろう。

「後編」では、この論点を整理し、「k=1の仮名化」*1は匿名加工情報となり得ないという結論の妥当性の理由付けを提案する。また、そもそもこのような結論の解釈とすることでよかったのか、振り返って私見を述べようと思う。

これから1年以上が経過し、この間に、行政機関法の改正があり、施行令・施行規則・ガイドライン・Q&Aが固まるとともに、個人情報保護委員会「事務局レポート」なるものが出てきた。そして、こちらではJILISを設立し、内閣法制局の法律案審議録を情報公開請求して、その内容を分析した。今になってようやく考えがまとまったので、満を持してここに書く。

図1: 内閣法制局の開示文書「法律案審議録個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案（平成27法律65）」

問題の所在
最初の案で技術検討WG報告書に沿いつつも既に変容していた
容易照合情報を3号個人情報に分離する案が作成される
完全に仮名化のみで匿名加工情報とするものとして整理
内閣法制局長官がこの案を拒絶して現在の形に変更
これがその後どうなったのか

問題の所在

問題の論点は、ビジネス法務2016年11月号の記事*2で以下のように整理した。

ここで、「匿名加工情報は非個人情報である」がどういう意味なのかが論点となる。「非個人情報でない限り匿名加工情報となり得ない」の意味（A説）なのか、「匿名加工情報に加工すれば非個人情報ということになる」の意味（B説）なのか。

2条9項の定義は、前記の②の通り「特定の個人を識別できないように加工したもの」としており、その意味は前記の通り個人情報定義を「反対から捉えたもの」であるから、A説が自然な解釈と思える。これに対し、B説は、36条5項及び38条の識別行為の禁止義務の存在によって、非個人情報の範囲が拡大するとする。すなわち、個人情報の定義が「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」（2条1項1号）とされているところ、照合禁止の義務の存在によって、「照合することができ」が否定され、非個人情報となるというのである。

B説をとると、極端な場合、氏名等を削除しただけのいわゆる「仮名化」を施しただけでも、匿名加工情報となり得て、非個人情報化できることを意味する。この場合、この制度は規制緩和をするものということになる。

しかし、この説に対しては批判がある。個人情報定義の容易照合性は情報の性質に関する要件であるのに、行為の制限によって該当性が変わるという解釈は無理があるとする批判である。また、第三者提供するに当たり匿名加工情報を作成するときは、36条5項の「自ら当該匿名加工情報を取り扱うに当たっては」に該当せず、照合禁止の義務は課されていないとの指摘もでき、この解釈をとる場合は、B説はとり得ない。

高木浩光, 匿名加工情報の制度概要と匿名加工基準の規則案, ビジネス法務16巻11号, 17頁, 2016年10月

政府がB説の立場をとっているのではないかとの推測は、2015年3月10日の衆議院予算委員会第一分科会での向井治紀内閣審議官の以下の答弁から窺われるものだった。

○向井政府参考人　お答えいたします。

匿名加工情報は、先ほども申しましたが、特定の個人を識別することができず、復元することができないように加工する。一方、さらに、当該事業者も含めて、他の情報と照合して再特定化することを禁止しているというところでございます。

したがいまして、匿名加工情報は、そもそも、作成に用いた個人情報と照合することが禁止されておりますので、容易照合性は認められないと私どもは解釈しております。

したがいまして、この匿名加工情報におきましては、容易照合性の問題は生じず、個人情報には当たらないというふうに考えてございます。

第189回国会会議録平成27年3月10日衆議院予算委員会第一分科会第1号

この答弁は、法案が国会に提出された後、内閣委員会に付託（4月23日）される前の段階（3月10日）で予算委員会で質問されたもので、本番の審議ではなかった。3月28日には、情報法制研究会の第1回シンポジウムの席で、この答弁について「照合を法律で禁止すれば、定義中の「照合することができ」が否定されるのか？」と疑問を呈していた。その後、第三者提供時の確認記録義務も酷いことになっているとわかり、審議入り直後の5月11日、向井審議官らと協議する時間を頂き、鈴木正朝先生と共に、「照合の法的禁止によって定義の該当性が変わるというのは法解釈上あり得ない」ということを強く申し伝えた。それが功奏したのかわからなかったが、結局、審議入りしてからは、衆議院でも参議院でもこれに類する答弁は出てこなかった。このことは、まとめておいた「国会会議録から重要部分を抜粋」で確認できる。

当時、私がここを問題にするとき、何のためにそれを言っているかは、建前上、「このままでは規制緩和にならない」という立場だった。つまり、条文を修正しなければ、これまで非個人情報だったものしか匿名加工情報となり得ないから、経済界からの要望に応えたことにならないのではないかというもので、条文の修正案（前編に掲載）も示していた*3。

ただ、今になって告白すれば、それは本気で言っていたかというと、やや心にもないことを言っていたかもしれない。元はと言えば、パーソナルデータ検討会の第2回会合で鈴木正朝委員が提出した資料で「モデル2-①」と「モデル2-②」の両方を示したのは、本当は「モデル2-①」だけを認めるべきと思いつつも、個人情報保護法の改正に政府を動かすには、規制緩和の名目が必要であり、そのためには「モデル2-②」（仮名化のみで提供可能とする）を選択肢に残さざるを得なかったのであり、法案が出たタイミングでも、その空気を維持していたのであった。

法案が国会提出される前の段階では、「仮名化のみで提供可能とする」案もしかたないと思っていた。ただ、無条件に許すのは危険すぎると考え、医学研究の分野など一部に限って認めることとし、匿名加工基準の委員会規則で、提供主体や利用目的によって基準を場合分けすればよいという構想を持っていた。このことは中編の脚注9でも書いている。

それが、条文の修正が絶望的となり、原案のまま改正法の成立が確実となると、今度は、「仮名化では匿名加工情報にならない。なぜなら、条文がそうなっているから。」という立場をとるように、私自身、変容して行った*4。鈴木正朝先生は、改正法が成立する直前の2015年8月の時点で、仮名化しただけでは個人情報であり（場合もあり）匿名加工情報とならないことについて確認する質問を、第15回行政法研究フォーラムの席でIT総合戦略室の瓜生参事官に投げかけ、その通りとする回答を得た。この話は中編で書いたところである。

その後、有識者の会合（経産省の「匿名加工情報作成マニュアル」ほか）でも、仮名化で良しとはせず、データの中身を加工することの重要性が確認されたし、改組されて活動を開始した個人情報保護委員会も、データの中身を加工することを求める施行規則19条5号を規定し、「事務局レポート」でもそういったことを書いている。

結果として、今日では、仮名化しただけでは（必ずしも）匿名加工情報とはならないという共通認識は確立されつつあると言え、めでたしめでたしであるのだが、前掲の「B説」の法解釈は、これをいつでもひっくり返しかねない力を持っている。「照合禁止義務があるから容易照合性は問われない」という法解釈なのだから、これが政府説だとなれば、仮名化しただけでも常に匿名加工情報ということにもできてしまう。このことは脅威であった。

その点、B説が公式に登場したのは前掲の本番審議前の向井答弁のみであり、後の施行令・施行規則・ガイドライン・Q&Aのいずれでも、この解釈が示されなかった（B解釈ともA解釈とも示されず）。

2015年12月に出版された、瓜生和久編著『一問一答平成27年改正個人情報保護法』（商事法務）では、これに近い記載があったが、以下の文章になっており、「本人を識別することを禁止する等の制度的な担保」は、あくまでも「さらに」と補足的に書かれており、これ単独で非個人情報化が達成されるとまでは言っておらず、これはB説のことを言っているわけではない（B説になってしまうことを避けたもの）と私は理解している。

（注1）匿名加工情報を作成した事業者は、その作成に用いた個人情報を保有しており、第2条第1項括弧書のいわゆる「容易照合性」（Q8参照）があることから、作成した匿名加工情報は個人情報に該当し、個人情報の取扱いに関する各義務（第4章第1節）を守らなければならないのではないかとの懸念が想定されます。

匿名加工情報は、特定の個人を識別することができず、作成の元となった個人情報を復元することができないように加工したものであり、さらに、個人情報の本人を識別することを禁止する等の制度的な担保がなされていることから、作成の元となった個人情報を通常の業務における一般的な方法で照合することができる状態にあるとはいえず、個人情報に該当しないとするものです。

したがって、匿名加工情報を作成した事業者がこれを当該事業者内部で取り扱うに当たっても、匿名加工情報の取扱いに関する義務（第36条）を守っていただくことで自由な利活用が認められることとなります。

瓜生和久編著, 一問一答平成27年改正個人情報保護法, 商事法務, 49頁

このような、「Xであり、さらにYであることから、Zである。」という文は、「Xであることから、Zである。」という文ではない以上、「Yであることから」にも一定の効果があると読むのが一般人の人情である（そうでないなら普通、Yについて書かないのだから）が、霞ヶ関文学では、Yに何の効果もない場合であっても、「Xであり、さらにYであることから、Zである。」という文自体は誤りではないということになるのであり、様々な配慮の結果あえてこう書かれたもの（決め切れずに誤魔化した）として読むべきものだろう。

ところが、今年2月に公表された個人情報保護委員会事務局レポート「匿名加工情報パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」では、以下の文章が記載されてしまった。一見、上の瓜生編「一問一答」の記述と同じに見えるが、強調部が異なっている。

3.4.2 容易照合性との関係

匿名加工情報を作成した事業者は、その作成に用いた個人情報を保有しており、また、当該個人情報を匿名加工する方法に関する情報として匿名加工情報と元の個人情報との対応関係を示す対応表等を保有し得るが、この個人情報や対応表について法第2条第1項第1号括弧書のいわゆる「容易照合性」があるとして、作成した匿名加工情報は個人情報に該当し、個人情報の取扱いに関する各義務（法第4章第1節）を守らなければならないのではないか、との懸念が想定される。

匿名加工情報は、特定の個人を識別することができず、作成の元となった個人情報を復元することができないように加工したものであり、さらに、個人情報に係る本人を識別することを禁止する等の制度的な担保がなされていることから、作成の元となった個人情報を通常の業務における一般的な方法で照合することができる状態にある（すなわち容易照合性がある）とはいえず、個人情報に該当しないとされるものである。

したがって、匿名加工情報を作成した事業者がこれを当該事業者内部で取り扱うに当たっても、匿名加工情報の取扱いに関する義務（法第36条）を守ることにより自由な利活用が認められることとなる。

個人情報保護委員会事務局レポート, 匿名加工情報パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて, 2017年2月

瓜生編「一問一答」が言及していなかった「対応表」に言及している。これは瓜生編「一問一答」とは決定的な違いをもたらす。前記の「Xであり、さらにYであることから、Zである。」の「さらにYであることから」に何ら効果がなくても云々という理屈は、この文章では通用しない。なぜなら、「対応表」について、「Xであり」の部分（すなわち「特定の個人を識別することができず、作成の元となった個人情報を復元することができないように加工したものであり」の部分）は効果を持たないからである。「対応表」があるのに容易照合性がなくなるというのは、もはや「Yであることから」の部分（すなわち「本人を識別することを禁止する等の制度的な担保がなされていることから」の部分）のみによって実現されているという意味になるのであり、これは完全にB説を主張していることになる。

私はこれを見た瞬間、「嗚呼、敗北だ」と項垂れた。

だが、そのころちょうど、情報公開請求で開示された法律案審議録（12月末に開示された）の解読を進めていたことから、これは「事務局レポート」の誤りであるという結論を導きつつあった。さらに、4月に開示された行政機関法改正法案の法律案審議録の解読（前々回の日記「匿名加工情報が非識別加工情報へと無用に改名した事情」参照）と合わせて、それは確信に変わった。

というわけで、以下、法律案審議録を日付の古いものから順に見ていくことで、どのような過程を経てこうなっているのかを辿り、事務局レポートの記述が政府見解として誤りであることを指摘する。

最初の案で技術検討WG報告書に沿いつつも既に変容していた

まず最初は、制度改正大綱が決定された（2014年6月24日）直後の7月22日付の「論点表」である。図2の2枚目の写真に「【論点11】定義、義務（低減データ）【新設】」とあり、以下のことが書かれているのだが、そこに手書きメモで興味深いことが記されている。

図2: 2014年7月22日付「別紙論点表」の「【論点11】定義、義務（低減データ）【新設】」（右）

（略）具体的には、個人データ等を個人の特定性を低減すべく加工して作成したデータ（個人特定性低減データ）の定義や加工に関する規律を定め、さらに、同データの取扱いに関する規律を定めることを検討しているが、その際、個人特定性低減データの定義自体の明確性や、「適正な加工」という概念の明確性が問題となる。

（略）このような個人特定性低減データの取扱いについては、法第4章第1節の義務の適用がないものとして整理したいと考えているが、そのために適用除外等の規定を置くことの可否が問題となる。なお、その前提として、「個人データ」と「個人特定性低減データ」の関係を整理した上、「個人特定性低減データ」は本来「個人データ」の一部として法が適用されるものであるところ適用除外規程を置くこととするのか、本来「個人データ」に当たらず法の適用を受けないが、注意的に規定を置くこととするのかなど、法制的な整理をすることが必要であると考えている。

これに対して、手書きメモは、「特定はできるが、低い、というイミが分らない。」「個人情報なら、何故それだけは規制*5ゆるいのかの説明がつかない」「個人情報に当たらないだけではない*6 適用除外とするのはおかしい」「そもそもの個人情報の定ギの問題ではないか？」とコメントしている。

こうした手書きメモは、法制局側から出た意見を立案省庁側（この場合は内閣官房IT総合戦略室）がメモしたもので、この段階では、法制局側は参事官以下による対応だったと思われる。つまり、初っ端で、法制局参事官以下の意見により、原案の「個人情報だが提供できるものとする」の形が否定され、「個人情報に当たらないので提供が制限されない」という方向へと舵が切られたわけだ。

次は、以下の図3に示す、その次のタイミングで法制局に提出されたと思われる具体案の文書である。

文書に日付がなく、作成日が不明だが、2015年に出版された第二東京弁護士会情報公開・個人情報保護委員会編著「Q&A改正個人情報法保護法」（新日本法規）（IT総合戦略室に情報公開請求して開示された資料を基に、早い段階でこの改正法を解説した意欲的な本）には、その冒頭に「開示対象資料一覧」として、文書名と「内閣法制局への提出日時」が記載されていることから、これと照らし合わせることで、図3の文書の日付を推定することができる。同じ文書名のものが「2014/9/22」と記載されていることから、内閣法制局への提出日としては9月22日付と推定できる。

なお、この第二東京弁護士会が情報公開請求したもの（以下「二弁開示資料」）は、内閣法制局が文書管理している「法律案審議録」ではなく（2015年の時点ではまだ法律案審議録の形に整理されていなかったと思われる。）、請求文書名が「個人情報保護法改正（2015年）に関する内閣法制局への全条文に関するご説明資料の最終版（改正部分が全てわかる資料）」というものだったので、今回開示された法律案審議録より少ない文書量になっている。私も、この二弁開示資料と同じ文書を別途新潟大学法学部情報法研究室が請求したもの（中編では文献5として参照している。）を昨年入手しており、この差分を確認できるのだが、二弁開示資料には条文案や法制局指摘事項の手書きコメントは含まれていない。

さて、その図3は、「匿名加工データ（仮）（第2条第7項関係）」と題した全15頁の文書の一部である。

図3: 2014年9月22日付（推定）「匿名加工データ（仮）（第2条第7項関係）」（抜粋）

何が書かれているかというと、最初に「I 改正の背景・経緯」として、1枚目の写真のページの後半から「2 匿名加工データの概念について」として、特定の個人が識別されるリスクを3つの類型に分類し、それぞれのリスクを減じる方法が検討されている。（2枚目の写真のページ）

①のリスクは、「データから直接特定の個人が識別されるリスク（氏名、生年月日、住所等の項目から特定の個人が識別されるリスク）」とされ、それらを「特定の個人を識別することができないような状態とする」ことが有効であるとしている。

②のリスクは、「（共通サービスのユーザID等の識別子を用いて）機械的に個人の識別子又は識別子相当のものによる複数の情報とマッチングがなされ、その結果特定の個人が識別されるリスク」とされ、「法第2条第1項第2号に係る情報（識別子）や、これと同じく個人を識別する情報（例えば、パスポート番号やクレジットカード番号）」を削除することが有効であるとしている。なお、この「法第2条第1項第2号」は、後の「個人識別符号」相当のものを指している。

そして、③のリスクは、「データの受領者の知識に依存して個別的に特定の個人が識別されるリスク（受領者が保有している情報又は取得可能な情報（私人又は行政が発信し、公開されている情報を含む。）との照合等によって個人が特定されるリスク）」であり、このリスクを減じる方法として以下が有効だとしている。

③について

世界に一つしかないような珍しい商品を購入した記録や、詳細な行動履歴のように、特徴的な属性を有する情報については、氏名等によって特定の個人を識別することができる情報に付属する情報と照合することによって個人を特定することが可能である。また、取引関係がある等データのやり取り以外に提供者・受領者の間で関係がある場合、両者が保有するデータに共通する項目、内容が含まれていることが考えられ、その場合には共通するデータから特定の個人を識別することができる情報と照合することによって特定の個人を識別する可能性がある。

同リスクを回避するためには、提供者と受領者で共有する情報について削除する、詳細な情報を一定程度丸める、他の情報を付加等するなどの措置をデータの状態等に応じて複数併せて講じることが有効である。

「匿名加工データ（仮）（第2条第7項関係）」, 2014年9月22日付（推定）

③が言っていることは、提供先での照合であり、民間部門の個人情報定義が言ういわゆる「容易照合性」の範囲を超えたものである。「私人又は行政が発信し、公開されている情報を含む。」といったものとの照合は、公的部門の散在情報としての個人情報定義においては問われるものであるが、民間部門では本来問題としていないものである。

実は、ここまでの内容は、パーソナルデータ検討会の「技術検討ワーキンググループ報告書」（2014年5月）に書かれていた「個人特定リスク1」～「個人特定リスク3」とそれらの「低減する方法」（21頁～24頁）に沿ったものであり、同じことを書き直したものと言える。

しかし、以下の続く部分を見ると、その解決方法は同報告書の提案とは違ったものになっていることがわかる。

(3) 2(2)を受けた新たな類型及び措置

2(1) ①から③の各リスクに対応する2(2)の方法は、提供先の事情を考慮することが求められ、社会に存在するすべての事情を基礎として匿名加工データを作成する者に特定リスクを予見し、これを減じなければ対応できないものである。しかしそのような対応を求めることは不可能を強いることと同義であるから、匿名加工データの作成者と受領者との間で、各リスクを公平に配分し、減じることが肝要である。そこで、匿名加工データとは、個人データに対し、当該個人データに含まれる氏名、生年月日その他の記述等の全部又は一部を削除する等の加工を施すことにより、特定の個人を識別することができないようにし、かつ、当該個人データに含まれる個人識別情報その他〔広く一般に流通している個人データの項目〕の全部を削除したものをいうこととする。併せて受領者（第二次取得者以降を含む。）に特定の個人を識別する等を禁止する、特定等禁止義務（後掲）を課すこととする。これにより、匿名加工データの作成者に求められる加工の要件が明確となり、他方、受領者にとっても最低限の法定要件を具備したデータを受領していることが担保され、かつ受領者において特にリスク③に対応することとなる特定等禁止義務が課されることから、特定の個人を識別するリスクを両者で減じることとなるものである。

「匿名加工データ（仮）（第2条第7項関係）」, 2014年9月22日付（推定）

これはよく読まないと何が違っているのかわかりにくい。そこで、確認のため、「技術検討ワーキンググループ報告書」の内容がどういうものだったのか、以下で振り返ってみる。

同報告書の20頁からの「3 「（仮称）個人特定性低減データ」について」には、「3.1.1 事務局案の検討」として、以下のことが書かれていた。

3.1.1 事務局案についての検討

事務局から提案された「（仮称）個人特定性低減データ」の定義は、以下のとおりである。

【事務局案】

「（仮称）個人特定性低減データ」とは、次に掲げるものをいう。

① 個人データについて、当該データに含まれる氏名、生年月日その他の記述等により特定の個人が識別できるものを削除する等政令で定める方法による加工を施し、個人が特定される可能性を低減したもの

② 「(仮称)準個人データ」について、当該データに含まれる法○条○項各号に掲げるもの^注を削除する等政令で定める方法による加工を施したもの（注:「（仮称）準個人データ」の定義規定）

③ ①又は②について、他の情報を加える等加工を施したもの
（「（仮称）準個人情報」、「個人情報」となったものを除く。）
（第7回パーソナルデータに関する検討会【資料1-2】より）

技術検討ワーキンググループ報告書, 第10回パーソナルデータ検討会【資料1-2】, 20頁, 2014年5月26日

これを見ると、一見、①と②が、今で言う「匿名加工情報」の定義（2条9項）の1号と2号に対応しているかのように見えるが、それは少し違う。①は1号相当のものであるが、②は2号とは異なる。2号は「個人識別符号」であるが、当時の「準個人情報」案を確認すると、以下のように、「個人識別符号」より範囲の広いものであった。

●「（仮称）準個人情報」の定義について

個人情報に該当するものを除き、生存する個人に関する情報であって、次に例示するもの及びこれに類するものを含む情報について、新たに「（仮称）準個人情報」としてはどうか。

① パスポート番号、免許証番号、IPアドレス、携帯端末ID等の個人または個人の情報通信端末（携帯電話端末、PC端末等）等に付番され、継続して共用されるもの

② 顔認識データ、遺伝子情報、声紋並びに指紋等、個人の生体的・身体的特性に関する情報で、普遍性を有するもの

③ 移動履歴、購買履歴等の特徴的な行動の履歴

「個人情報」等の定義と「個人情報取扱事業者」等の義務について（事務局案）＜詳細編＞, 第7回パーソナルデータに関する検討会【資料1-2】, 2014年4月16日

②は、後の1号個人識別符号相当であり、①は、範囲は狭められた（IPアドレスや端末IDは入らなかった）ものの、概ね後の2号相当のものであるが、③は、丸々消滅し、後の個人識別符号には入っていない。

ということは、第7回パーソナルデータ検討会（2014年4月16日）の時点では、「移動履歴、購買履歴等の特徴的な行動の履歴」を含めて、「準個人データ」とした上で、それを「削除する等政令で定める方法による加工を施したもの」を「個人特定性低減データ」としていたわけである。

これが、第10回（同年5月29日）の時点で、状況が少し変わり、「技術検討ワーキンググループ報告書」では、別の場所で以下のことが書かれている。

2.「（仮称）準個人情報」の定義等について

（略）

○事務局案にある「③移動履歴、購買履歴等の特徴的な行動の履歴」について、現時点では、位置情報、購買履歴、Web閲覧履歴を一律に「（仮称）準個人情報」に該当すると判断することは困難。

技術検討ワーキンググループ報告書, 第10回パーソナルデータ検討会【資料1-2】, 2014年5月26日

「準個人情報」案は、元々、保護対象情報の範囲を拡大するために検討されていたものだったので、この時点で、「移動履歴、購買履歴等の特徴的な行動の履歴」を単独で保護対象にすることは、経済界からの反発が強いこともあってか、断念せざるを得ず、この括りが消滅したわけだが、その結果、これと連動して概念整理されていた「個人特定性低減データ」の加工対象からも外れることになってしまった。

このことについて「技術検討ワーキンググループ報告書」はどのように対応したか。確認してみると、想定されるリスクとリスク回避の方法の検討として、「個人特定リスク3」にそれを反映させていた。

個人特定リスク3:「（仮称）個人特定性低減データ」から提供先事業者（受領者）の知識に依存して個別的に特定の個人が識別される（購買履歴から偶然SNSなどでそれに合致する購買行動を発見し、そこから特定の個人を識別）
これは、元々の「（仮称）個人特定性低減データ」自体が保有するリスクではなく、1.2.3に示す提供先事業者（受領者）において「（仮称）個人特定性低減データ」と照合可能な個人データ等の有無について予見できないことから生じるリスク

（略）

個人特定リスク3を低減する方法:
「個人データ」又は「（仮称）準個人データ」から「（仮称）個人特定性低減データ」に加工する場合、特徴的な値を持つ属性、複数属性の特徴ある組合せの削除や加工する方法、あるいはすべての属性の組合せに対して元の「個人データ」との1対1の結びつきを持たせないように加工する方法（例k－匿名化や適切な一部抽出（サンプリング）等）が有用である。
※ 本加工を技術的に達成することは難易度が高い。

技術検討ワーキンググループ報告書, 第10回パーソナルデータ検討会【資料1-2】, 22頁, 2014年5月26日

つまり、「移動履歴、購買履歴等の特徴的な行動の履歴」を無条件に入れられなかった替わりとして、「提供先の知識に依存して識別される」というリスクを掲げて、それへの対応として、「元の「個人データ」との1対1の結びつきを持たせないように加工」する必要性を訴える形になった。

これが、前掲図3の法律案審議録に綴じられた文書「匿名加工データ（仮）（第2条第7項関係）」の冒頭部分に反映されたわけである。

話を図3に戻して、この文書の続き（3枚目の写真、4枚目の写真、5枚目の写真）を見てみると、「III 内容 1 法第2条第1項「個人情報」との関係」として、「匿名加工データ」と「個人情報」との関係を以下のように説明している。

(1) データの状態

匿名加工データは、当該匿名加工データ単体から特定の個人を識別できるものではなく、かつ、当該匿名加工データを受領者が保有している情報又は取得可能な情報（私人又は行政が発信し、公開されている情報を含む。）と突合しても容易に特定の個人を識別できないものをいう。

(2) 現行「個人情報」及び法の趣旨との関係

現行「個人情報」（法第2条第1項）は、それ単体で特定の個人を識別できるもの及び単体では特定の個人を識別できない情報であっても事業者において通常の業務における一般的な方法で他の情報との照合が容易な状態にあり、それによって特定の個人を識別することができるものをいう（「容易照合性」。同項かっこ書）。このように、それ単体で特定の個人を識別できるもののみならず、容易照合性のあるものについても「個人情報」としているのは、事業者内部において特定の個人を識別できるのであれば個人情報として保護の客体とすることによってその取扱いによる個人の権利利益の侵害を未然に防ぐことができるという点にある。単体では特定の個人を識別できないような情報であったとしても広く保護対象としての射程に入り得ることとしつつ、事業者における情報の取扱いの実態に即して「個人情報」の該当性が判断され、個人の権利利益侵害の防止を図っているものである。

現行個人情報保護法は、個人情報を保有する事業者内部における取扱いを規律することとし、「個人情報」を当該事業者内部において保護されるべき客体として定めるものであるのに対し、匿名加工データは、個人情報取扱事業者から第三者へデータを提供することを主眼として流通を企図したものであり、両者は意図する状況が異なる。そこで、匿名加工データを作成した事業者内部において、当該事業者が有する他の情報との「容易照合性」の有無をもって特定の個人を識別できる状態にあるか否かを判断するのではなく、より一般的に世の中に存在し得る他の情報との突合等により特定の個人が識別されるリスクを勘案して定義することが求められる。

「匿名加工データ（仮）（第2条第7項関係）」, 2014年9月22日付（推定）

これは、「技術検討ワーキンググループ報告書」の案に、法律上の解釈を用意した最初の案ということになる。先に述べておくと、この最初期案は、後に成立した改正法の匿名加工情報とは全く考え方が異なるものと言えるのだが、これは要するに、提供元基準から提供先基準へ転換させるという狙いの案になっている。

上記引用の強調部に書かれているように、「匿名加工データ」については、作成した事業者内部での容易照合性の有無をもって個人識別性を判断することをせず（※1）、「より一般的に世の中に存在し得る他の情報との突合等により特定の個人が識別されるリスクを勘案して定義する」（※2）と言っているのだから、これはまさに提供元基準から提供先基準への転換である。

そのようにする理由というのが、「個人情報」は「当該事業者内部において保護されるべき客体として定めるものである」のに対して、「匿名加工データ」は「第三者へデータを提供することを主眼として流通を企図したもの」であるからだという。

この理屈はおかしい。後半（※2）は理解できるが、前半（※1）は理屈が成り立たない。

後半は、提供先基準を加えるというものであり、グレーゾーンを解消して「匿名加工データ」を安心して提供できるように、これまで民間部門で規制してこなかった提供先で照合できる場合を、「匿名加工データ」では加味することにするというのは、制度設計としてあり得る案（この場合は規制強化になる*7が）だと思う。

しかし、前半は、提供元基準を捨てるというものであり、その理由がおかしい。提供元基準は「個人情報」に対して適用されるものだとし、「匿名加工データ」には適用しなくてよいのだとしており、その理由が「個人情報」は「内部において保護されるべき客体」だからというのである。この理屈は、なぜ「匿名加工データ」は内部において保護する客体としなくてよいのかについて何も言っていない。「個人情報」は依然として23条の第三者提供制限を提供元基準で残しているのに、「匿名加工データ」なら第三者提供時に提供元基準を捨てるというのには理由がない。

これは、立法技術的に稚拙な立案と非難されるべきものだろう。提供元基準は政府説であり変更できないという大前提があったのだろう。パズル解きのごとく形式的辻褄合わせで出口を見つけようとしており、法がなぜそのような提供元基準の規律を設けているのかという趣旨に立ち戻った検討をしていないから、このような論理矛盾に無頓着となる。

提供元基準と提供先基準は二者択一なのではなく、提供元基準と提供先基準の両方を採用するということもあり得るのだから、「匿名加工データ」には提供先基準が必要だと主張したところで、提供元基準が不要となる理由にはならないのである。このことは、ちょうど、2014年4月23日の日記「現行法の理解（パーソナルデータ保護法制の行方その2）」で書いていた「文献[岡村2014]」に対する批判*8で指摘していたのと同じ非論理性に陥っている。

「技術検討WG報告書」はそういうことまでは言っていなかったはずだ。「技術検討WG報告書」が言っていたことは、「個人特定リスク3」で「提供先の知識に依存して識別される」リスクを掲げて、それに対応する必要性を示しただけだった。

この文書には、法制局側からのコメントがあまり書き込まれていないが、1枚目の写真のページには、「特定の個人を識別する可能性を減じるという視点が重要」との本文に対して、「可能性、減じるの意味が分らない。個人情報ではなくなるのでは？」とのコメントが手書きされており、前掲の7月の時点と同じことが再び指摘された様子が窺える。

そして、前掲引用部の続く部分には、以下のように書かれている。

また、匿名加工データは、個人の権利利益の侵害の恐れが低いものとして何らの本人関与も予定していないものであり、本人の同意に代え得る程度に特定の個人が識別されるリスクを減じることが求められる。

そのために、まずは、情報そのものから特定の個人を識別することができないようにする必要がある。さらに、法第2条第1項第2号に規定する「個人識別情報」や、特徴的な情報及び複数事業者間で利用されるID等が加工後のデータに残っている場合、その情報を用いてある人間の情報同士を推定の域を超えて突合することが可能であり、他のデータと共に分析するなどする過程で特定の個人を識別してしまう蓋然性が高いものである。この場合、提供者において個人データ加工時にこれらすべての削除を求めることは、広く特定の個人を識別するリスクを排除させる過度な負担を強いることとなるため、すべてを削除等加工によってリスクを減じることを求めることは妥当ではない。そこで、「個人識別情報」及び汎用性があるため広く一般に用いられているID（IDとしての機能し得るものを含む。例えば、パスポート番号のような公的機関から付与されるもの、クレジットカード番号や口座番号のような私企業から付与されるが社会実態として様々な業種で利用されているもの、サービスIDとして広く利用されているメールアドレスや携帯電話番号。）については広く社会で流通し、業種を超えて事業者において取り扱われていることが容易に想像でき、流通していく受領者においてこれを取り扱っていることが予見し得るため削除を求めることとする。一方で、特徴的な情報、詳細であるため他の情報との合致が容易な情報及び企業が付番して共用されるIDについては、匿名加工データを作成する者が削除することを要しないが、受領者において特定の個人を識別することが無いよう、特定等禁止義務（後掲）を設けることとする。

「匿名加工データ（仮）（第2条第7項関係）」, 2014年9月22日付（推定）

ここを読むと、「技術検討WG報告書」の提案とどこが違っているかがはっきりとわかる。同報告書の「個人特定リスク1」と「個人特定リスク2」については、データを加工することで対処するとしているが、「特徴的な情報、詳細であるため他の情報との合致が容易な情報」について「作成する者が削除することを要しない」「特定等禁止義務を設けることとする」とあるように、「個人特定リスク3」についてはデータ加工で対処せず、法的禁止義務だけで担保するというのである。

「技術検討WG報告書」は、法的禁止義務を援用することはしても、全てをそれに任せてデータの加工を一切不要にしてよいとは言っていなかったわけで、この時点から同報告書の提案とは違うものになっていたことがわかる。

なぜこのような案になってしまったのか。IT総合戦略室自身がそういう方向へ考えを変えていたのか、それとも、法制局（参事官以下）の指摘を受けて、それに従ったせいでこうなったのだろうか。

前掲の7月22日の法制局（参事官以下）の指摘「特定はできるが低いという意味がわらない。」「個人情報なら何故それだけは規制がゆるいのかの説明がつかない。」「個人情報に当たらないだけではないのか。適用除外とするのはおかしい。」「そもそもの個人情報の定義の問題ではないか？」といった指摘を受けて、「匿名加工データ」と「個人情報」の定義上の整理を試みたところ、個人情報に該当しなくなる理屈を捻出する必要に追われて、不本意ながらこのようになってしまったのであろうか。

図3の残りの部分を見ると、5枚目の写真のページから、条文の案文についての説明がある。開示資料を探すと、この9月22日時点で、以下の図4の案文が作成されていた。

図4: 9月22日時点での条文の案文

7 この法律において「匿名加工データ」とは、個人データに対し、当該個人データに含まれる氏名、生年月日その他の記述等の全部又は一部を削除する等の加工を施すことにより、特定の個人を識別することができないようにし、かつ、当該個人データに含まれる個人識別情報その他〔広く一般に流通している個人データの項目〕の全部を削除したものをいう。

9月22日時点での条文の案文

「含まれる氏名、生年月日その他の記述等の全部又は一部を削除する等の加工」が前掲の①対応の部分であり、「当該個人データに含まれる個人識別情報……の全部を削除」が前掲の②対応の部分のようだ。

「個人識別情報その他」に続いている「〔広く一般に流通している個人データの項目〕*9」の部分は、個人識別情報とは別に何かを入れようとしているように見えるので、「個人特定リスク3」に当たるものの一部をここに入れるつもりだったのかなとも思えたのだが、図3の6枚目の写真のページに以下のように説明されていることから、そうではなく、「個人識別情報」そのもののことを単に言っていただけのようだ。

(4) 個人識別情報その他〔広く一般に流通している個人データの項目〕の全部を削除したもの

「広く一般に流通している個人データの項目」とは、パスポート番号や免許証番号のような公的機関によって付番される記号等や、社会実態として複数の企業がサービスを提供するためのIDとして用いる（個人に関して付番されるため、IDと同様に識別する機能を有するものを含む。）又はサービス提供時に取得していることが一般化しているクレジットカード番号、メールアドレス及び携帯電話番号等の情報の様に、広く社会で流通し、業種を超えて事業者において取り扱われていることが予見し得るものであって、そのため異なる事業者間において複数の情報の突合を可能とするものをいう。

ここで規律する個人識別情報その他〔広く一般に流通している個人データの項目〕については、匿名加工データが第三者へ提供することを前提としたものであるところ、第三者への提供によって匿名加工データの流通先において特定の個人を識別するリスクを可能な限り排除するため、その全部を削除することを求めるものである。

「匿名加工データ（仮）（第2条第7項関係）」, 2014年9月22日付（推定）

また、この部分の直前に、条文中の「特定の個人を識別することができない」について、次のように説明している。

(3) 特定の個人を識別することができない

「特定の個人を識別することができない」とは、匿名加工データそのものにより特定の個人を識別することができない状態になっていることをいう。データそのものから特定の個人を識別することができない状態とするためには、データに含まれる氏名、生年月日等の情報を、個人データに含まれる項目に合わせて削除する必要がある。例えば、個人データに氏名、住所、生年月日、電話番号、メールアドレス、購買履歴、Web閲覧履歴等の複数項目が含まれているとする。この場合、氏名と住所が組み合わされれば、その住所に居住するその氏名の者は通常一人しかおらず、また特定の人物を識別することができるから、氏名の削除、住所の詳細を削除し置き換える等の措置が求められる。加えて、電話番号やメールアドレスは、住所等の情報と合わせることで特定の人物を識別することができるから、削除や置き換えをすることが求められる。

「匿名加工データ（仮）（第2条第7項関係）」, 2014年9月22日付（推定）

これの言わんとしていることは、要するに、条文の「特定の個人を識別することができない」は、容易照合性の括弧書きを含まない意味での「識別することができない」の意味だと説明したものである。（この点は後で重要となるので覚えておきたい。）

これらのことから、9月22日時点で既に、技術検討WG報告書の内容から離れ、「履歴データは加工せずとも照合禁止の法的担保で個人情報でないことにする」という方向性が打ち出されていたと言える。

容易照合情報を3号個人情報に分離する案が作成される

前掲図4の条文9月22日案には、個人情報定義の案も出ていた。以下のように、後の1号個人情報と2号個人情報が、この段階で作られており、2号はこの時点では「個人識別情報」と呼ばれていた。

第2条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号に掲げるいずれかに該当するものをいう。

一当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）

二当該情報に身体的特性に関するもの又は個人の特定に結びつくおそれが高いものとして政令で定めるものであって、個人を識別することができるもの（個人が容易に変更することができるもの又は短期間で変更されることが予定されているものを除く。第7項及び第34条において「個人識別情報」という。）を含むものをいう。

9月22日時点での条文の案文

これが、匿名加工情報の概念整理と連動して、以下のように変遷して行った。

まず、次に作成された10月5日付の案文で、以下のように、匿名加工情報の定義が、個人情報定義の区分に応じて削除や加工を求めるという現在の形に近いものになった。

図5: 10月5日時点での条文の案文

ここで、興味深い手書きコメントが書き込まれている。「（他の情報と容易に照合することが……」の部分に「③」と書き込まれ、「……できることとなるものを含む。」の部分に対して「（匿）が取り扱う場合における（匿）を除く」と書かれている。

このコメントを反映したものが、次に作成された10月24日付の以下の案文である。

図6: 10月24日時点での条文の案文

第2条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一当該情報に含まれる氏名、生年月日その他の記述等（第2号に規定する個人識別情報を除く。以下同じ。）により特定の個人を識別することができるもの

二特定の個人に関する身体の全部若しくは一部を用いて電子計算機の用に供するために作成され、又は旅券の番号（略）、運転免許証の番号（略）、携帯電話番号その他の特定の個人若しくは専らその利用に供する物、割り当てられる文字、番号、記号その他の符号であって、政令で定めるもの（以下「個人識別情報」という。）を含むもの

三個人情報取扱事業者において、他の情報と容易に照合することができ、それにより特定の個人又は個人識別情報を識別することができることとなるもの（第7項に規定する措置を講じた者以外が取り扱う場合における当該措置に係る匿名加工情報を除く。）

7 この法律において「匿名加工情報」とは、生存する個人に関する情報であって、次の各号に掲げる個人情報に当該各号に定める措置を講じて得られるもの（当該情報が含まれる情報であって、第1項第1号及び第2号のいずれにも該当しないものを含む。）及び第1項第3号に該当するものをいう。

一第1項第1号に該当する個人情報氏名、生年月日その他の記述等の全部又は一部を削除すること（他の情報に置き換えることを含む。）により、特定の個人を識別することができないようにすること。

二第1項第2号に該当する個人情報個人識別情報を全部削除すること（他の情報に置き換えることを含む。）

10月24日時点での条文の案文

このように、個人情報定義の容易照合性の括弧書きを分離して3号個人情報とし、匿名加工情報は除くとしたのである。

3号個人情報は、「個人情報取扱事業者において、他の情報と容易に照合することができ」とあって、容易照合性が提供元基準であることを明文で示そうとした様子も窺える。

3号個人情報から除かれているのは、「第7項に規定する措置を講じた者以外が取り扱う場合における当該措置に係る匿名加工情報」となっていて、これの意味するところは、要するに、匿名加工情報の受領者においては当該匿名加工情報は3号個人情報に当たらないとするもので、「第7項に規定する措置を講じた者以外が」とあるように、匿名加工情報を作成した事業者においては当該匿名加工情報を3号個人情報から除かないとしたものである。

なぜこうしたのか。

前の10月5日時点の案に戻ると、その時点では、匿名加工情報は個人情報でもある（場合もある）という想定だったようで、匿名加工情報は第三者提供できるものとするために、23条1項の例外規定に5号として「個人データ〔を加工して〕〔から〕匿名加工情報を作成し、第三者へ提供するとき。」を加えるものとなっており*10、また、個人情報に係る義務を外して安全管理義務だけは課すとするために、35条に準用規定として「匿名加工情報取扱事業者が取り扱う匿名加工情報は、個人情報に該当しないものとする。匿名加工情報取扱事業者の匿名加工情報の取扱いについては、第20条から第22条までの規定を準用する」という規定を置こうとしていた。

これが、10月24日の案で、匿名加工情報を個人情報に該当させなくするために個人情報定義の方を変更するという方向に舵が切られ、3号個人情報を定義して匿名加工情報を除くとしたわけである。（この結果、10月5日付案にあった23条1項5号の例外規定は撤回されている。）

このような方向転換は、前掲の7月22日付の法制局（参事官以下）の指摘「そもそもの個人情報の定義の問題ではないか？」、同じく9月22日付の指摘「個人情報ではなくなるのでは？」に従ったためではなかろうか。なお、この案の2日前の文書（後の12月の骨子案の素案に当たるもの）に「10/22部長」との手書きメモがあることから、この方向転換には法制局第2部長（法制局第2部の部長）も関与していた可能性がある。

その後この案は、10月30日付のものを経て若干の修正の上、10月31日付の案文で以下のように洗練されることになる。

図7: 10月31日時点での条文の案文

第2条この法律において「個人情報」とは、生存する個人に関する情報であって、次のいずれかに該当するものをいう。

一当該情報に含まれる氏名、生年月日その他の記述等（個人識別符号を除く。）により特定の個人を識別することができるもの

二個人識別符号が含まれるもの

三他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの（匿名加工情報を除く。）

2 この法律において「記述等」とは、（略）

3 この法律において「個人識別符号」とは、（略）

10 この法律において「匿名加工情報」とは、生存する個人に関する情報であって、次の各号に掲げる個人情報に当該各号に定める措置を講じて得られるもののうち、第三者に提供するために第41条の規程による公表をしたもの及び当該情報が含まれる情報であって、第1項第1号及び第2号のいずれにも該当しないものをいう。

一第1項第1号に該当する個人情報当該個人情報に含まれる記述等の一部を削除すること（他の記述等（個人識別符号を除く。次号において同じ。）に置き換えることを含む。）により、特定の個人を識別することができないようにすること。

二第1項第2号に該当する個人情報当該個人情報に含まれる個人識別情報の全部を削除すること（他の記述等に置き換えることを含む。）。

10月31日時点での条文の案文

このように、3号個人情報は、従前の括弧書き部分そのままの定義となり、シンプルに「匿名加工情報を除く」とされ、匿名加工情報は、1号個人情報を「特定の個人を識別することができないように」一部を削除又は置き換え、2号個人情報を全部削除又は置き換えたものということになった。そして、2号個人情報は現在と同じ「個人識別符号」の名称となった。

なお、この10月30日と31日は、一定の区切りの時期だったようで、それまでバラバラに作成されていた各条の案文が統合されて、法全体の新旧対照表が最初に作られた（二弁開示資料からの推測）ときだったようだ。

完全に仮名化のみで匿名加工情報とするものとして整理

そして、このころから骨子案の検討が始まっており、11月6日付のメモに、法制局第2部長の第1回審査の記録がある。

図8: 11月6日付「高度な情報処理技術の活用に伴う個人情報の保護及び利用の促進に資するための個人情報の保護に関する法律等の一部を改正する法律案の骨子（案）」

「匿名加工情報に関する規定の整備（新設）」のところに、手書きで、「個人情報には該当しないものとした上で」の部分が線で消され、「どういう意味？」「中途半端なので~~（条文には書くが）~~」「危ないもの〓〓？凄く〓〓ないのでは？」（判読困難）とのコメントが書き込まれている。

このときの部長審査の指摘事項をメモにまとめた資料があり、以下である。

図9: 11月6日付「個人情報保護法骨子案部長審査（H26.11.6）」

2枚目の写真のところに、匿名加工情報についての部長指摘が以下のように書かれている。

○ 匿名加工情報

容易該当性あったものなら、規制緩和になるはず。そこで、これも具体例を挙げながら、容易該当性はあるので危ないものではあるが、・・・の理由により個人情報とは別の扱いにするという。その措置を戻せば個人傭報になる。禁止違反をすれば個人情報になる。そのあたりの関係性を概念図にする。しかし、そのときに届出のような中途半端なものでいいのかもよく説明をすること。登録くらいは必要なのではないか。容易に識別することができるかもしれないにもかかわらず届出のみでよいとする理由。一定の選別にはかからしめるべきと思うが。また、その届出はどんな意味があるのか。把握するだけというのはないと思う。届出という手法で何が達成されるのかを説明する。普通は変更を求めるとかそのたぐいの措置が別途あるはず。問題のある業者の場合の設例の下でどうなるのか、問題ないのかを解説すること。また、きちんと削除しているかどうかはどう担保するのか。

骨子案と条文案（2条1項3号）。「個人情報には該当しないものとした上で」とあるが、識別情報を削除したのに、まだ個人情報に当たっているというのが誤ったメッセージを与える。もしかしたら、復元禁止をもって、3号に当たらないとすることができるかもしれない。削除措置を戻したら個人情報になるという理解でよいか。（エ）提供を受けたを削除。

他の部分で、個人情報等として同じ扱いにしているところがあるが、個人情報と同じ扱いにしてよいのか。また、基本方針とかに出てくるのか。よく吟味を。その必要があるなら、保護だけ違うというのはおかしいし、題名も変えないとならないのでは？そうでないなら、最低限必要な場合に、含むくらいにしておけばよい。中途半端になっている。

これを見ると、部長も、「復元禁止をもって、3号に当たらないとすることができる」と考えていた様子が窺える。ただ、「もしかして、……かもしれない」と書かれているので、懐疑的だった可能性もある。

また、部長は、届出制では心許ないと指摘している。「容易該当性はあるので危ないもの」であるにも関わらず、登録制でない届出制で何の意味があるのかという指摘である。

そして、これと同じ時期に、（法制局への）「説明資料」（以下の図10）が作成されていた。日付がなく作成日が定かでないが、類似文書との前後関係から11月13日よりは前と推測され、内容に11月7日の国会答弁が引用されていることから11月7日以後のものである。

図10: 作成日不明（推定11月7日～11月12日）「説明資料」

ここで注目は、資料番号2「個人情報と匿名加工情報（仮称）の関係性について」と、資料番号3「個人情報と匿名加工情報（仮称）における容易照合性の考え方について」である。

まず、資料番号2は以下である。

図11: 図10の資料番号2「個人情報と匿名加工情報（仮称）の関係性について」

ここに書かれている内容は、要約すると以下のことである。

購入履歴と携帯電話番号を含む顧客データを題材として、氏名は削除か「Aさん」に置き換え、住所は削除か「東京都港区在住」などへ置き換えが求められ、生年月日は年齢に丸めることが望ましく、それ以外は「特に法律上加工が必要となるものでは無い」としている。
その上で、「新たに個人情報と位置付ける情報が含まれる場合」（個人識別符号のこと）があることから、「これを全部削除する必要がある」とし、この題材では携帯電話番号を削除することが必要としている。
匿名加工情報について、「他の情報と照合することや削除された項目を復元すること等によって個人情報となり得るものではあるが、そのような行為がなされない限り個人情報ではないのであるから、個人情報に対して課されるような規律まで課す必要はない。」としている。
これについて、「匿名加工情報によって個人の権利利益侵害を侵害する場面とは」として、①個人情報に復元する、②他の個人情報を追加する、③他の情報と照合することによって特定の個人を識別することができるようになった場合の3つだとして、それぞれの具体例を挙げて、「このように想定される場面を規制することによってそれらが実現しないよう配慮することで足りるものと考えられる。」としている。
①の具体例として、「措置を講じた者の加工方法を入手し、元となった個人情報に含まれていた削除された記述等の削除アルゴリズムを解析し、削除された記述等を復元した。」を示し、「情報の削除に関するアルゴリズムが判明することにより、削除された情報を復元することができる。」としている*11。
②の具体例として、匿名加工情報を分析して特定の人物であることを推定し、その人物に関する氏名、住所生年月日を匿名加工情報のデータセットに追加する場合を示している。
③の具体例として、Tポイントの例を挙げ、「コンビニエンスストア○○板宿駅前点」が、「Tポイント会員番号、同人の平成26年9月28日午前7時29分同店舗において缶コーヒーとタバコを各1つ購入した」というデータセットをCCCに提供したというケース*12について、この提供情報が匿名加工情報であるとし、その受領者が、「各情報に含まれる情報の項目を介して特定の個人を識別することができる。」としている。
加工した者について、「加工措置を施す前のデータセットや加工方法（削除のアルゴリズムや対応表）を保有していることがあり、匿名加工情報を元に戻すことができる。」とし、これを指して、「依然として「容易照合性」がある状態であり、現行法に照らせば個人情報に該当する。」としている。
これについて、「個人情報を復元しないこと及び個人情報と照合して特定の個人を識別すること等を禁止することによって」、「規制を免除することも認められると考えられる。」としている。

そして、これらの検討を結ぶ形で最後に以下のように結論づけている。

このように匿名加工情報は、復元行為等の禁止させ遵守していれば、特定の個人を識別することが無い情報であって、個人情報と同程度の規律を課すことまでは求める必要のないものである。

この帰結には問題があるだろう。

個人情報の定義は、昭和63年法の古来より、「個人を識別することができるもの」であって「個人を識別されるもの」ではなかった。OECDガイドラインでは「識別された又は識別されうる」となっているのだから、「識別することができる」はこれと同義のものと言うべきだろう。それなのに、ろくに検討することなく、実際に識別しなければ権利利益侵害がないと決めつけ、保護対象としなくてよいとしている。

真っ当な役人の仕事なら、ここで、なぜ「実際に識別しなければ権利利益侵害がない」と言えるのかを検討し、昭和63年法（その元となったOECDガイドライン）で、なぜ「識別することができる」ものを対象とし、識別すること自体を対象としなかったのか、その趣旨に立ち戻った分析から行う必要があることに気づくだろう。ここでは、そういった検討・分析が行われていない。

一方、資料番号3は、以下のことが書かれている。

図12: 図10の資料番号3「個人情報と匿名加工情報（仮称）における容易照合性の考え方について」

容易照合性の解釈について、消費者庁の「容易照合性」解釈として、2014年11月7日の衆議院内閣委員会での答弁を引用し、「社内規定によるアクセス権限では容易照合性が否定されるとは一律に言えないとし、「容易照合性」の判断については実際に情報を取り扱う事業者が有する情報、組織体制、知識及び技術等すべての情報を基礎として、そのような状況にあれば特定の個人を識別することができるか否かを一般人の感覚をもって判断するとしている。」として、「「容易照合性」に関する規定及び解釈は、「個人情報」の定義につき、改正法案においてもこれを引き継ぐこととしている。」としている。
容易照合性の事例として、Suica事案を示して、「同社は削除・置換のアルゴリズムを廃棄しているが、氏名等を含むデータセットと新たに作成されたデータセットを比較すると、詳細な内容を有する複数項目が合致する。このような場合、項目を突合させるのみで事業者は特定の個人を識別することが可能である。システム上両データセットは連結していないものの*13、両データセットは一対一対応が可能な状態で照合によって特定の個人を識別し得る場合については全く知見を有しない者であっても照合によって特定の個人を識別することができ、かつ、両データに対してアクセスし得る人間が複数存在していることから、「容易照合性」があると言える。」としている。
匿名加工情報について、「個人情報と照合することによって特定の個人を識別することが可能であるところ、事業者によっては「容易照合性」との関係で、個人情報の定義に含まれ得るものであるため「匿名加工情報」と「個人情報」の関係が問題となる。」として、次の2点を示している。
匿名加工情報を作成した事業者について、「元となった個人情報を引き続き保持し、かつ措置方法を有していることが通常である」という理由で、「匿名加工情報と元となった個人情報は容易に照合することができる状態にあると言える。」としている。
それを、改正法は、復元行為等を禁止し、照合行為を禁止することから、「容易に照合可能な状態にあるとは言えず、解釈上個人情報に該当しない。」としている。
そのように解釈する理由として、「容易照合性の判断は、同事業者の規模、技術的措置、組織的措置等その他具体的な事情を元に総合的に判断する法的評価である。」とした上で、「社内規定によって照合を制限するのみでは容易照合性を否定しないと解釈する理由」を、「内規による処罰はあり得ても個人情報保護法においては何ら罰則等が規定されているものでは無く、照合禁止が実質的に担保されるもので無い」とした上で、それとは異なり、「改正法は復元行為等の禁止という法的義務を課し照合を禁ずるものであり、当該義務違反に対しては、個人情報保護委員会による執行等が担保され」るのだから、「現行法下の状況とは異なることとなる」からだとしている。
匿名加工情報を取得した事業者について、「匿名加工情報の提供者との間で業務上個人情報のやり取りがあるため元データとの照合の可能性がある、又は取得者が保有している若くは特段のコストをかけることなく取得し得る情報と照合することにより特定の個人を識別することがあり得る。このような場合には、容易照合性がある状態と言える。」とした上で、「制度的担保があることから容易に照合可能な状態にあるとは言えず、解釈上個人情報に該当しない。」としている。

注目は、Suica事案についてJR東日本の日立への提供は個人データの第三者提供だったと整理しているところである。「同社は削除・置換のアルゴリズムを廃棄しているが」（実際には報道される前は廃棄していなかったと思われるが）と仮定した上で、それでもなお、元データとのデータセット照合によって容易照合性が認められるケースだと整理している。「詳細な内容を有する複数項目が合致」「項目を突合させるのみで」「両データは一対一対応が可能」「全く知見を有しない者であっても」とパワーワードが並んでいる。

その上で、そういう「容易照合性」解釈を「個人情報」に対しては改正法においても引き継ぐとしつつ、「匿名加工情報」については「現行法下の状況とは異なることとなる」として、照合禁止義務によって容易照合性は否定されるとした。

ここではっきりするのは、後の36条5項の、匿名加工情報作成者に対する照合禁止義務は、この時点から入れることになっていたのであり、2015年12月6日の日記「匿名加工情報は何でないか・前編」での推測（「どこぞの事業者の要望によって後からねじ込まれたこの規定」云々）は的外れだったことになる。

この文書は、11月13日付の「第二部長ご指摘事項」の文書に若干の加筆の上で引き継がれており、11月28日付の「ご説明資料」にも引き継がれ、12月1日の長官審査に持ち込まれたようである。

11月13日付「第二部長ご指摘事項」は、以下の内容であり、11月6日の部長指摘を受けて作成されたもののようである。注目は「資料番号2」と「資料番号3」であるが、ここでは「資料番号2」だけ取り上げ、「資料番号3」については後で取り上げる。

図13: 11月6日付「第二部長ご指摘事項」

ここの「資料番号2」は、前掲図10の「資料番号2」に若干の加筆をしたもので、1ページ目の事例が増えた他に、匿名加工情報に対する安全管理措置について加筆されたほか、以下の「まとめ」が加筆されている。

ウまとめ

このように、匿名加工情報については、これを扱う匿名加工情報取扱事業者（第2条第11項）*14に対して復元行為等の禁止（第37条）の義務を課し、これにより、匿名加工情報は解釈上個人情報に該当しないものである。

作成者においては、通常元データを保有し、対照表や加工のアルゴリズムを保持していること等から容易照合性が認められるところであり、復元行為等の禁止（第37条）を課せられることからこれが否定され、匿名加工情報について個人情報の規律から除外される点については、本人関与に関する義務等が課せられないことから規制緩和的な側面が認められる。また、受領者においては、元データとの照合や自ら保有する個人情報との照合によって容易照合性が認められることは、実際上作成者に比して多くないものであるところ、復元行為等の禁止規律を課されること自体が規制強化的な側面があることは否定できない。しかしながら、取得した匿名加工情報の容易照合性を逐一確認して個人情報該当性を判断することは、大量の情報が流通することが予想されることに鑑みても非常に煩瑣であることから、やはり規制緩和的な側面が認められるものである。

第2段落後段の「取得した匿名加工情報の容易照合性を逐一確認して個人情報該当性を判断することは」云々については、後で再び詳しく触れるが、これは新Q14（経産省ガイドラインQ&Aの改正後Q14）に照らせば、元々規制されていないものと言うべきであり、この理由から「照合禁止義務により容易照合性が否定される」とする解釈を導く必要はなかったと言うべきだろう。

そして、第2段落前段は、対照表による容易照合性も照合禁止義務によって否定されると言い切っている。ここは後で重要となる点であるので覚えておきたい。

なお、この説明に対して、法制局第2部長からダメ出しがあったようで、「ウまとめ」の部分に「不明」と強い調子の手書きコメントが書き込まれている。下の部分の手書きコメントには、「容易なのか否かが問われている。」「復元禁止 → 容易でないと言っているだけ」「復元禁止義務を課している」「ハードルとしていかに高いか」と書かれているのだが、どういう趣旨の指摘かよくわからない。

そして、この資料には最後のページに以下の図が付け加えられている。前回11月6日の部長指摘に従って図式化したものであろう。

図14: 図13の文書中の図「7.個人情報と匿名加工情報の関係性について（概略図）」

この図は、容易照合性に係る情報を「3号個人情報」と位置付け、「匿名加工情報」の扱いにした情報は、提供元でも提供先でも「3号個人情報」に該当しないものとすることを端的に表している。

「3号個人情報」と「匿名加工情報」は「※外形上は同一」と書かれており、これは、完全に、仮名化のみで匿名加工情報とするものとして整理されたことを意味している。

すなわち、もしこの案のまま法案が提出されて成立していたら、2013年のSuica事案はそのままで合法化されるところだったわけである。「日経新聞の執拗な誤報」（日経新聞は繰り返し「名前や住所」を取り除けば匿名加工情報になると報じていた）も、この時点の情報を元にしていたのなら、あながち間違ってはいなかったことになる。

なお、ここで、3号個人情報として容易照合情報を分離したことと、照合禁止義務により容易照合性がなくなるとする法解釈とは、自己矛盾しているかのように見える。なぜなら、3号個人情報を分離し、匿名加工情報は容易照合情報に含めないものとすると個人情報定義の方を変更したのだから、「照合禁止義務により容易照合性がなくなるとする法解釈」はもはや不要となったはずである。それなのに前掲図13のように説明されているのは、法には過去からの継続性が求められるのであって、勝手に定義を変更してよいわけではなく、したがって、元から「照合禁止義務により容易照合性がなくなる」という法解釈ができたという前提で、このように定義を変更したということにする必要があり、この定義変更はそのことの明確化だと位置付けていたもの（担当者がそこまで意識できていたかは定かでないが）と推察できる。

内閣法制局長官がこの案を拒絶して現在の形に変更

そして、2014年12月1日、内閣法制局で最初の長官審査が行われたようだ。以下の図15は、長官審査での骨子（案）案と、長官指摘事項のまとめ文書である。

図15: 長官審査時のメモと長官指摘のまとめ（12月1日）

長官指摘（12月1日）

まだ粗いので、19日に公表というのは難しいのではないか。

（略）

○ 匿名加工情報(2)

復元禁止の規制で対応しようというのは無理がある。個人情報に戻りかねないものが容易に流通することになるのは危険すぎる。加工者が第三者に提供する時点で、復元ができないように、個人識別情報にたどり着けないように、加工しなければならないことにするべきである。（容易照合もできないような形で提供すべきである）

その上で、加工者と二次的な利用者は分けて規制を設けるべきである。

なんといういちいちごもっともな指摘であろうか。

骨子案への手書きメモにも興味深いコメントが山盛りになっている。「こんなものが出回る〓がもたない」「もたない。出すときにできないようにする」「出すところで復元できない様に」「照合できないデータを提供できるようにすること」「復元できないようにして出すべき。」「もらった方が照合できない（技術的に）」「復元不能にして出す。」「照合不能にして出すこと」「第1次の（匿）を出もとは全部削除して提〓〓ギムを課す」「いとも簡単に〓〓できるのはおかしい」と、同じことが繰り返し書かれていることから、そうとうガミガミ・クドクドと指摘されたのではなかろうか。

長官がこのように的確に指摘できたのはなぜであろうか。次のような可能性があるだろうか。

長官はこれまでの個人情報保護法の制定経緯を熟知していることから、この案が法の趣旨に反するとわかるから。
長官は匿名加工のあり方を独自に調査しており、EUのGDPRがpseudonymisation（仮名化）ではpersonal dataのままだとする方向に決まりつつあることを知っていたため、この案では致命的にEUと違う方向へ行ってしまうと危機感を持ったから。
単純に法律解釈論として、照合を禁止するという行為規制によって客体の定義該当性が変わるという解釈は「無理がある」のであり、「もたない」と考えたから。
長官は当然の業務として骨子（案）案の元になったパーソナルデータ検討会の技術検討WG報告書を読んでいたから、この案は技術検討WGの指摘に反するものと考えたから。
立案省庁側（この場合は内閣官房IT総合戦略室）の主張と法制局部長以下の指摘の全部を把握したことで、単純に論点の再整理によって、法制局部長以下のその場その場の指摘のせいで当初案から次第にズレてきた結果こうなっているにすぎないと気づき、リセットする必要があると考えたから。
長官はかしこいので。この局の長なので。

5.は、こういった決定を担う組織のトップに求められる必然的職務であり、局所解に陥った部下の指示をひっくり返すのはありそうな話だと思う。ただ、この件の場合に、IT総合戦略室が十分に本来の趣旨（技術検討WGの指摘）を主張していたのかは不明である。

1.がその通りであるなら、まさに内閣法制局の真骨頂である。内閣法制局の役割は、単なる案文に対する立法技術的な助言のみならず、他の法令を含めた過去の経緯や全体の法体系の整合性を維持することにあるのであり、3号個人情報に分離して本来の保護趣旨をなかったことにするのは到底認められないと判断したのかもしれない。（参事官以下ではそういったことまでわからず、こういう展開になりがちと思われる。）

4.や2.については、そこまで調べている時間が長官にあるのだろうかという疑問は感じるが、今の長官（このときの長官）は、2003年の個人情報保護法が成立したときの法案審査（旧法案ではなく新法案についてだけだが）に総務主幹の職で関与していたことから、この法について特別の思い入れがある可能性があるかもしれない。

3.については、そうだと信じるに足る証拠がないが、我々としてはそうだったものと期待したい。図15のメモは、長官の指摘を聞き取ったIT総合戦略室の理解で書かれたものにすぎず（法制局側では記録を残さないようだ）、十分に書かれていない可能性があるだろう。「無理がある」「もたない」という長官の指摘が、どういう意味で「無理がある」「もたない」ということだったのか。世論的に国会で「もたない」という意味だったのか、法解釈を巡って裁判となった場合にこの解釈では「もたない」という意味だったのか。

いずれにせよ、この長官指摘により、「3号個人情報」分離案はボツとなり、条文の案文も、考え方の説明資料も変更されていった。以下、その様子を確認していく。

まず、長官指摘から3日後の12月4日、次長審査があったようで、以下の文書が作成されていた。

図16:「個人情報保護法骨子案次長指摘（H26.12.4）」

個情法制定時の資料がほしい。

○ 個人情報が流用されるとの不安感があるので、この不安感の上にさらに緩和するというのはよくない。まずは保護の上で現行法の不備と十分な点を明らかにして、不備の部分には保護の強化策をとるということを示してから、緩和措置を書くべき。（順序を逆転、あるいは現行法の規制の在り方の評価と個人情報の保護の強化策について）

そもそもの初期からの立案方法に対してダメ出しされている。この段階で言っても手遅れなわけだが。（この次長指摘は、利用目的変更オプトアウトの案に対する苦言だったかもしれないのだが、匿名加工情報についても共通する指摘だろう。）

次に、12月9日付と推定される（二弁開示資料から）文書「匿名加工情報（仮称）に関する規定の整備（新設）について」がある。これは以下の内容であり、これまでの前掲の「説明資料」を置き換えたものと考えられる。

図17: 12月9日（推定）「匿名加工情報（仮称）に関する規定の整備（新設）について」

文書は1ページ半と短く、制度趣旨から始まって、規律の考え方まで簡潔に書かれている。下線部は、法制局審査時のメモによって下線が引かれていた部分、強調部は、手書きコメントの対象部分である。

1. 改正の背景と要点

(1) 今般の改正が政府成長戦略の枢要であること

（略）

(2) 制度の要点

ビッグデータビジネスを振興するためには、（略）ところ、現行法下において、JR東日本が乗客の乗降履歴から氏名等特定の個人を識別する情報を削除したデータを個人情報に該当しないものとして本人同意を得ることなく第三者に提供したところ、世論が激しく反応し、同種の提供に関する事業は中止せざるを得なくなる事案が生じた。

規制改革会議は、現行法下においても個人情報を加工することで「非個人情報化」することによって本人同意なく個人情報を提供できるよう解釈で対応するよう法を所管する消費者庁へ求めていたところ、技術的側面より、汎用的で完全な匿名化措置というものはおよそ無いという意見を得た（IT総合戦略本部パーソナルデータ検討会・技術検討WG）ことから、法制整備によって措置を講じることとなった。

これらの事情を踏まえると、制度整備の要点は、①ビッグデータビジネスを行うに当たって情報の有用性を喪失しないこと、②加工を施しどのような情報とすれば足りるか等、制度が明瞭で利活用に躊躇しないものとなること、③同意に代わる措置を講じ、個人の権利利益侵害を防ぎうるものとして情報に係る本人の不安感を払しょくすることにあることとなる。

また、これまで経済団体、民間事業者、消費者団体等のステークホルダー間の調整を行い、さらに諸外国のデータ保護機関からヒアリングを行った結果、国際的な調和を保った事業者と個人情報に係る本人の利害のバランスが図られた制度として、骨子（案）のような制度とすることとした。

2. 規律の考え方

個人情報に加工を施し、データから特定の個人が識別できないようにしても、元のデータを保有している、加工方法を知っている、又は情報を照合することで、共通する内容から個人を割り出すことができ、再び特定の個人を識別するに至ることがある。そこで、本人の同意を得ずに情報を提供する制度とするためには、特定に至ることの無い様な仕組みを作ることが求められる。

しかしながら、上述の通り、技術的には汎用的で完全な匿名化措置というものはおよそ無いこと及び技術の発展に伴い多種多様かつ大量な情報が集積されうる現代において情報が流通する先における特定に至るリスクを予測することは不可能に等しい。

このため、特定に至るリスクを匿名加工情報（仮称）の作成者と受領者に適切に分配することとし、併せて情報の有用性を喪失しない程度とすることを企図して骨子（案）の制度設計としている。どのような情報であれば提供できるのかという加工の程度が明確であり、かつ、個人情報に係る本人が安心できる制度でなければ、およそ情報の流通・利活用の環境整備がなされたということはできず、成長戦略で企図するところを実現することができない。またこれは、これまでステークホルダーらの調整を行いつつ制度を検討して受けた感触としても、今改正の重要な方向性であると考えられるものである。

匿名加工情報（仮称）に関する規定の整備（新設）について, 2014年12月9日付（推定）

このように、もはや、「照合禁止義務を置くことで容易照合性がー」といった記述は取り払われている。

手書きコメントには、「制度が明瞭で利活用に躊躇しないものとなる」「本人の不安感を払しょくすることにある」とされた部分に、「その通り。だから〓扱い〓〓」と☆マーク付きで書き込まれており、これまでと違った整理になったことを示している。

続く「規律の考え方」の「特定に至ることの無い様な仕組みを作る」の部分には、「可能な限り特定できるのす〓〓くことはできるはず。」と書き込まれており、仮名化だけでない加工もできるはずだということが指摘されたように見える。

そして、「加工の程度が明確であり」の部分には、「基準で定めればよい。」と☆マーク付きで書き込まれており、「取扱者のギムも、照合禁止の前の照合できる状態に置くことを禁止 ③は変更する」と書き込まれている。

これらから、この段階で明確に、「仮名化のみで匿名加工情報とする」案は放棄されたように見える。

そうすると、それが規制緩和になるのかという疑問が湧くことになるのであろう。必ずしも規制緩和と言えなくても、「制度が明瞭で利活用に躊躇しないもの」とする意義があるのだと、この時点で改めて再整理されたように見える。

最後の文には、ステークホルダーらとの調整でもこれで受け入れられる感触だというようなことが述べられている。これがいつ行った調整のことか不明だが、パーソナルデータ検討会での検討のことを指すのなら、技術検討WGの提案に戻ったということであろう。

また、「制度の要点」の最後の文に、「諸外国のデータ保護機関からヒアリングを行った結果、国際的な調和を保った事業者と個人情報に係る本人の利害のバランスが図られた制度」と書かれていて、これは、前掲の「説明資料」には書かれていなかったことである。いつの間に諸外国制度との調和を図ったのか不明だが、「利害のバランスが図られた制度」とあることから、長官にダメ出しされるまでの旧案は、諸外国制度と乖離していて、国際的調和が保てないとの認識があって、ここで変更することは正しいのだと、この部分は言わんとしているように見える。

そして次に、翌週の12月16日に、長官・次長の第2回審査（対象は骨子案）があったようで、このときの長官指摘事項のメモが以下のように残されている。

図18: 12月15日付骨子（案）案と「個人情報保護法骨子案長官御指摘事項（12/16）」

長官御指摘事項（12/16）

匿名加工情報の加工は、その情報から個人情報が辿れないことが重要。そこで、「容易に」ではなく、「復元ができないように」すること。漏洩防止は、加工とは別途記載することにして、「その他の復元を可能とする情報」は、復元ができると強調しているようなのでやめること。

どうやら、このときの長官指摘によって、匿名加工情報の定義に、「特定の個人を識別することができないように」に重ねて「復元することができないように」が加えられることとなったようだ。（前掲のように、10月31日時点での条文の案文では、「特定の個人を識別することができないようにすること」の方だけが書かれていた。）

法案が国会に出されたとき、「識別できないと復元できないは同じことじゃないか、どういう違いがあるんだ？」との疑問を持ったが、この経緯からすると、どうやら本質的な中身の違いはさしてない*15ようだ。

これは、これまでの法制局の整理で、「識別できない」の意味が、単に氏名等を削除する意味で使われて来てしまっているので、その延長線上で長官の指摘を確実に入れ込むには、追加的な何かが必要だったのではないか。長官の指摘を反映させたものとしての「復元できないように」なる概念が作られたにすぎないということではないだろうか。（この点については後で再度検討する。）

ところで、このときの骨子（案）案に手書きコメントがいくつかある。「復元を可能とする情報（……「復元可能情報」という。）」とある部分が、長官コメントで「やめること」と指摘された部分のようで、打ち消し線で消されている。

ここに、「復元可能情報」の部分を指して、「ハッシュは復元とは言わない」（「復元」の直後が判読困難だが「とは」と推定）、「復元は可能でない様に」とのコメントがある。ここが重要なところだが、どういう意味なのだろうか。

開示資料を見渡すと、12月16日付と推定される（二弁開示資料から）文書中に、以下の図が新たに作成されており、ここにハッシュの話が出てくる。この文書がこの長官審査に持ち込まれていたのだろう。

図19: 2014年12月16日付（推定）「匿名加工情報について（イメージ）」

この文書から言えることは何か。

まず、1枚目の写真のページには、「記述等の削除・加工の例」として、「③階級区分への変更（グルーピング）」、「④特殊な属性をまとめる（トップコーディング）」、「⑤ノイズの付加」、「⑥複数者のレコード間で値を入れ替え、並べ替え」が書かれている。これらは一連の法令審査録の中でここで初めて登場しているものであり、12月1日の長官指摘によって方向転換された結果、初めて書かれたものであろう。

次のページ（2枚目の写真）に書かれているように、「③、④について特徴的な値が削除されるとともに、同一の値を持つデータが増えるため、容易に復元できないこととなるもの。」、「⑤、⑥について情報としての有用性が低下しない程度で誤った情報が含まれることとなり、仮に情報が復元された場合でも、その情報が正しい情報かについて疑義が生じるため、元の情報を容易に復元できないことととなるもの。」とあることから、11月までの案で「仮名化のみで匿名加工情報とする」としていた構想が破棄されていることを確認できる。

次に、2枚目の写真のページの「①」には、「Suica番号」に鍵付きハッシュ関数*16を通して「ハッシュ値」を作ることについて書かれており、「ハッシュ値から元の符号（Suica番号又はソルト）が推知できないことから、Suica番号を復元できないもの」とある。

確かに、この方法で、受領者においては復元できないものとなるが、ハッシュ関数と鍵を持っている提供者においては、その下の部分に書かれているように、「事前に計算して照合できてしまう」わけで、提供元においては容易照合性があるというべきものだろう。

前掲のように、長官がこの部分について何かを指摘したようだが、「ハッシュは復元とは言わない。復元は可能でない様に。」では意味が通じない。「（提供元では）ハッシュで復元できなくなるとは言わない。復元は可能でない様に。」というのなら意味は理解できる。これはいわゆる「連結可能匿名化」であり、連結可能匿名化は、消費者庁見解の通り、提供元において容易照合性があって個人データとなるのであり、長官がそのことを指摘していたのだとすれば、照合禁止義務により容易照合性が否定されるとする法解釈は「無理がある」「もたない」ということがここでも指摘されたのかもしれない。ただ、残念ながらその確証はない。

そして、翌日の12月17日に、第3回の長官・次長審査があったようで、ここで骨子案について了承されている。骨子案がパーソナルデータ検討会の最終回にかけられたのは、予定通りの12月19日であった。

そして、その翌週の12月22日、部長審査があったようで、以下の指摘メモがある。

図20:「個情法新旧部長指摘（H26.12.22）」

個情法新旧部長指摘（H26.12.22）

（略）

（個情法）

2条1項3号容易照合というのを独立して規定するのは適当でない。ボーダーみたいな微妙なものを「含む。」と規定していたのを変えるのは問題をはらむのではないか。
2条8項の要配慮個人情報は、（略）
匿名加工情報の定義で、1号と2号を除き、3号を除かないというのは、匿名加工情報は、どうあっても復元しないようなものとした考え方と相容れないのでだめ。作成者にとっても、物理的にはできるかもしれないが、もはや容易照合ができないものと整理してよいのではないか。
また、匿名加工情報取扱事業者の定義で、作成者を入れようとしているが、（略）
23条の2等の配置が、（略）

この部長指摘により、条文の案文においても、3号個人情報を分離する案はボツとなったようだ。

ボツにする理由が2つあり、一つは、長官指摘による方向転換により、匿名加工情報の定義で1号2号個人情報を3号個人情報と区別する必要性がなくなった（長官は「容易照合もできないような形で」と指摘していたわけで）という理由であり、もう一つは、個人情報定義そのものとしても、「ボーダーみたいな微妙なものを」変えたら問題をはらむという理由となっている。この後者の指摘も至極真っ当なもので、残されていたら危ういところだったと思う。

部長も11月の時点では、前記のように「復元禁止をもって、3号に当たらないとすることができる」と考えていた様子があったが、12月の時点では、このように「どうあっても復元しないようなものとした考え方と相容れない」としており、長官の指摘に従って考え方を変更していることがわかる。このように、長官の指摘は無視されておらず、内閣法制局の総意として支持されていたことを確認できる。

そして、この部長コメントに、「作成者にとっても、（略）もはや容易照合ができないものと整理してよいのではないか。」との指摘がある。これは、長官の指摘「容易照合もできないような形で」を作成者においても適用することを想定しているのであり、文脈からして、照合禁止義務を援用せずとも、データ自体からしてもはや容易照合できないものと整理してよいと言っているのだろう。そうであるとすれば、消費者庁見解を維持するのであるから、対応表を残すことは容易照合性を残すことになるので、対応表は残さない前提で語られているのではなかろうか。

この変更により、匿名加工情報の定義の意義も変わったということになる。なぜなら、匿名加工情報の定義は、1号個人情報と2号個人情報に分けて処置方法を示して定義しているので、3号個人情報が撤廃され、容易照合情報が1号個人情報内に戻されたのであるから、匿名加工情報についても、1号個人情報に係る部分の処置方法の解釈が変わってくるからである。

前記のように、長官ダメ出し前の案では、匿名加工情報定義中の「特定の個人を識別することができない」の条文の解釈は、容易照合性の括弧書きを含まない意味での「識別することができない」の意味だと説明されていた（図3の6枚目の写真のページの「(3)」の部分）。それで自然であったのは、長官ダメ出し前の案では、1号個人情報の定義から容易照合性の括弧書きを外していたからである。

それが、長官ダメ出し後の案では、1号個人情報の定義に容易照合性の括弧書きが入ったのであるから、「特定の個人を識別することができない」の条文の解釈は、その括弧書きを含む意味で「識別することができない」と解する方が自然なものとなり、「特定の個人を識別することができない」に括弧書きがないのは省略されているのであって、除外しているのではないと見ることができる。

冒頭の「問題の所在」に戻り、A説かB説かを整理したビジネス法務2016年11月号の記事で書いた以下は、このことと整合している。

2条9項の定義は、前記の②の通り「特定の個人を識別できないように加工したもの」としており、その意味は前記の通り個人情報定義を「反対から捉えたもの」であるから、A説が自然な解釈と思える。

高木浩光, 匿名加工情報の制度概要と匿名加工基準の規則案, ビジネス法務16巻11号, 17頁, 2016年10月

この「反対から捉えたもの」は、前掲の瓜生編「一問一答」の以下の部分からの引用であった。

1 匿名加工情報は、個人情報を加工して、①特定の個人を識別することができず、②当該個人情報を復元することができないようにしたものです。

この「特定の個人を識別することができない」とは、「個人情報」（第2条第1項の「特定の個人を識別することができる」という要件をいわば反対から捉えたもので、加工後の情報から、当該情報と具体的な人物との一致を認めるに至り得ないことをいいます（Q7参照）。

瓜生和久編著, 一問一答平成27年改正個人情報保護法, 商事法務, 41頁

この文章からでは、「特定の個人を識別することができない」が、容易照合性の括弧書きを含めて言っているのか、含めずに言っているのか、はっきりしないが、今回確認した長官ダメ出し後の流れを見れば、含めた意味で解するものと言うべきだろう。12月1日の長官のダメ出し（図15）が、「容易照合もできないような形で」と指摘していたのは、容易照合性の括弧書きを含めて「特定の個人を識別することができない」ようにせよという意味だろう。

法制局ではその後、閣議決定の直前まで条文の微修正のための協議が続き、2月12日の与党修正を受け入れる際に、改めて長官からの指摘への対応として、IT総合戦略室から、「識別行為の禁止を匿名加工情報の作成者にも課すことについて」との文書が以下の内容で提出されていた。（38条とあるが、これは後の36条5項のことである。）

図21: 2015年2月12日の法制局との協議

3. 識別行為の禁止を匿名加工情報の作成者にも課すことについて（改正法第2条による改正後の個人情報保護法第38条関係）

匿名加工情報は、規則で定めるところによる適切な加工によって、特定の個人を識別することができず、かつ、作成に用いた個人情報を復元することができないものであるから、基本的には、作成者を含めたいずれの事業者においても現行法第2条第1項（改正法第2条による改正後の第2条第1項第1号）に定める「個人情報」とは異なるものとなる。

そうであるとしても、匿名加工情報を作成した個人情報取扱事業者においては、作成の元となる個人情報が保有され、加工方法が明らかであり、また実際に加工に従事した者が存在することから、当該匿名加工情報と作成の元となる個人情報との間に「容易照合性（同項（改正後の第1号）カッコ書）」が認められ、作成者においては依然として個人情報に該当するのではないか、との疑問が呈されるところである。

これについては、今回、個人情報保護委員会規則で定める基準に従った加工によっておよそ作成の元となる個人情報との照合が困難な状態にするとともに、匿名加工情報を作成した個人情報取扱事業者についても、改正後の第38条第1項に規定する「識別行為の禁止」義務が課され、作成の元となる個人情報に係る本人を識別しないことを担保することとしており、「容易に」照合できるものではないことから、「容易照合性」は否定されると考えられるものである。

他方、個人情報から削除された記述等若しくは個人識別符号又は加工の方法に関する情報は作成者において既に保有されており、その取得を禁ずることは概念上無理であるから、これについては第三者から提供受けた者に限ることとしたい（同条第2項参照）。

この整理で、「問題の所在」で示した、瓜生編「一問一答」の記述「Xであり、さらにYであることから、Zである。」にだいぶ近い説明になっている。

よく読むと、この文は、瓜生編「一問一答」の記述よりも正確なものだ。以下に2つを並べてみる。

匿名加工情報は、特定の個人を識別することができず、作成の元となった個人情報を復元することができないように加工したものであり、さらに、個人情報の本人を識別することを禁止する等の制度的な担保がなされていることから、作成の元となった個人情報を通常の業務における一般的な方法で照合することができる状態にあるとはいえず、個人情報に該当しないとするものです。

瓜生和久編著, 一問一答平成27年改正個人情報保護法, 商事法務, 49頁

これについては、今回、個人情報保護委員会規則で定める基準に従った加工によっておよそ作成の元となる個人情報との照合が困難な状態にするとともに、匿名加工情報を作成した個人情報取扱事業者についても、改正後の第38条第1項に規定する「識別行為の禁止」義務が課され、作成の元となる個人情報に係る本人を識別しないことを担保することとしており、「容易に」照合できるものではないことから、「容易照合性」は否定されると考えられるものである。

2015年2月12日付「3. 識別行為の禁止を匿名加工情報の作成者にも課すことについて（改正法第2条による改正後の個人情報保護法第38条関係）」

上の文では、Y部が「担保がなされていることから」と、Z部の理由の文になっているのに対し、下の文では、Y部が単に「担保することとしており」と書かれていて、必ずしも理由の文にしていない。

上の文では、「照合することができる状態にあるとはいえず」と、状態に焦点を当ててしまっているが、下の文では、「照合できるものではないことから」と、「もの」（つまり情報）の性質に焦点を当てている。前者だとアクセス制御説の復活を予感させかねないが、後者の文ではそれを予感させない。

そもそも、この文は、前の段落の「そうであるとしても、……との疑問が呈されるところ」という誤解に基づく疑問に答えるものであるから、単に「誤解」と答えればよいわけで、本来、理由など必要ないのである。照合できないようにしたものなのだから照合できないのである。

上の文の方が下の文より後に書かれたものであるにもかかわらず、下の文の方が、法制局が法案審査で認めた考え方に近いのではないか。これらは同じ人が書いた文章ではないのだろうか。下の文を書いた人は、法制局の手助けもあってか正確に理解していたのに、上の文を書いた人は、別の担当者なのか、それとも、法制局で言われたことの理解が浅かったのか、ダメ出し前の整理に引きずられて、独自の見解を若干ながら混ぜこんでしまったように見える。

これがその後どうなったのか

こうして内閣法制局の審査を通り、閣議決定された最終案は、国会に提出され、ほぼそのまま成立した。以下、国会提出後にそれがどうなったのか、展開を追い、検証してみる。

冒頭の「問題の所在」で示した、2015年3月10日の衆議院予算委員会第一分科会での向井治紀内閣審議官の「匿名加工情報は、そもそも、作成に用いた個人情報と照合することが禁止されておりますので、容易照合性は認められないと私どもは解釈しております。」との答弁は、こうしてみると、結局のところ、法制局長官がまさにダメ出しした古い内部文書「説明資料」（図10、図11、図12、図13）を読んだ理解で答えたにすぎないのではなかろうか。つまり、このとき審議官は、法制局でダメ出しがあって作り変えていることを承知していなかったのではないか。

一般に、国会答弁に立つ内閣審議官や局長が、自らこうした内部文書に目を通すかは、人によりそうだが、当人が目を通していなくても、答弁案を作成して説明をしたIT総合戦略室（その中の「パーソナルデータ関連制度担当室」）の参事官以下が、古い内部文書に基づいて説明してしまったのではないか。そういうことが起きたとすれば、担当室内で、12月1日の長官ダメ出しがあったのを把握していた者が、かなり限られていたのかもしれない。瓜生参事官は把握していたはずと考えられるが、なぜこうなったのだろうか。

そして、法案が可決成立し、2015年12月に瓜生編「一問一答」が出版される。そこに書かれた「Xであり、さらにYであることから、Zである。」の記述が、間違ってはいないこと、しかしながらやや詰めが甘かったことは、前記の通りである。

その2か月前、2015年10月に、第二東京弁護士会情報公開・個人情報保護委員会編著「Q&A改正個人情報法保護法－パーソナルデータ保護法制の最前線－」（新日本法規）が出版されている。

前記のように、この本は、IT総合戦略室に情報公開請求して開示された資料を基に書かれたもので、当時では誰も知らないことが書かれている最先端の本だった。内部資料に基づいた解説なので、正確な説明がなされていいるに違いないと受け取りがちである。

しかし、匿名加工情報について、この本は以下のように書いていた。（写真中の蛍光ペンでのマーキングは、発売当時に書き込んだもので、現在の関心部分ではない。）

図22: 第二東京弁護士会情報公開・個人情報保護委員会編著「Q&A改正個人情報法保護法－パーソナルデータ保護法制の最前線－」（新日本法規、2015年10月）103頁、104頁

そうすると、「匿名加工情報」を作成したとしても、匿名加工情報を自ら作成した提供元事業者は、匿名加工情報を有し匿名加工措置の方法を有していたり、両データのシステム上の連結性が存在したり、両データにアクセス可能な人間が複数存在する等の事情があれば、容易照合性要件が満たされ、「匿名加工情報」が同時に「個人情報」であるという状態が生ずるのではないか、との疑義が生じます。（開示資料92）。

（略）

しかしながら、改正個人情報保護法においては、以下のとおり解釈上、提供元事業者及び提供先事業者のいずれにおいても「匿名加工情報」は「個人情報」に該当しないものと考えられます。

(2) 提供元事業者について

提供元事業者（匿名加工情報を自ら作成した個人情報取扱事業者）は、匿名加工情報と他の情報を照合することを禁止する義務を負っています（新法36⑤）。この規制に事業者が違反した場合には、個人情報保護委員会による勧告、命令等の法執行（新法42）が予定されており、照合禁止の制度的・法的担保があります。

容易照合性の判断は、事業者の規模、技術的措置、組織的措置等その他の具体的な事情を元に総合的に判断する法的評価であって、改正個人情報保護法の下では、照合禁止の制度的・法的担保が存在するがゆえに、他の情報と「容易に」照合可能な状態にあるとはいえない、と解することができます（開示資料92）。したがって、提供元事業者との関係で、「匿名加工情報」は解釈上、「個人情報」に該当しないものと考えられます（開示資料92、156）。

第二東京弁護士会情報公開・個人情報保護委員会編著, Q&A改正個人情報法保護法－パーソナルデータ保護法制の最前線－, 新日本法規、2015年10月, 103頁, 104頁

あちゃー、これは、長官ダメ出し前の古い「説明資料」に書かれていたことをそのまま書いてしまっている。「開示資料92」は、図10の「説明資料」の長官審査用セット版（12月1日版）のことである。

「開示資料156」は、長官ダメ出し後、閣議決定直前（2月22日）に書かれた図21の「識別行為の禁止を匿名加工情報の作成者にも課すことについて」のことであり、この文書は、前記の通り、法制局が最終的に認めた考え方に最も近い書きぶりのものであり、この文書はそんなことは言っていないわけなのだが、古い「開示資料92」を読んで、それが取り消されたと知らないまま、この「開示資料156」を読むと、同じことを言っているように見えてしまい、これらの間の違いに気づかないのかもしれない。

二弁の著者らが、法制局長官のダメ出しで方向転換されていることに気づかなかったのは、しかたがなかった面がある。なぜなら、二弁が情報公開請求したのは「内閣法制局への全条文に関するご説明資料の最終版」だったので、法制局指摘事項のメモはそれに含まれなかった。手書きでメモ書きされた文書も請求対象でなかった。法制局への説明資料だけ見ても、法制局でどう修正されたかは、わからないわけである。

一つ皮肉を言えば、「説明資料の最終版」が請求されたのだから、IT総合戦略室は、長官にボツにされた古い「説明資料」を開示対象に含めてはいけなかったのだ。2月の「開示資料156」だけ開示すればよかったのだ。

二弁のこの本を買って拝見したとき、開示資料の話は信じるほかなかった*17が、後に、新潟大学法学部情報法研究室が請求した同じものを入手して読んだとき、それぞれ興味深いことが書かれているけれども、最終的に採用された考え方なのか疑問に思えるところが他にも多々あった。本シリーズの中編では、その開示資料を参照して、データセット照合による容易照合性のことが書かれていることに触れているが、出版された文書に書かれていない以上、最終的に生きている考え方なのかは不確定なものとして捉えていた。

一般に、情報公開請求で立案段階の内部文書を入手して解説書を書く際には、それぞれの文書が途中でキャンセルされている可能性に留意して取り上げる必要があるだろう。行政法学者の書く教科書にも言えることである。このことは今回の分析を通じて骨身に染みた。

そして、2016年1月、個人情報保護委員会が発足し、IT総合戦略室パーソナルデータ関連制度担当室の職員の多くは、委員会へ異動した。

2016年2月、行政機関個人情報保護法（行政機関法）の改正法案について、行政管理局が内閣法制局の審査を受けていた。これについては、前々回の日記「匿名加工情報が非識別加工情報へと無用に改名した事情（パーソナルデータ保護法制の行方その30）」で詳しく書いたところである。

行政機関法の改正がいろいろおかしくなっていることは、それまでにも、「行政機関法では再識別禁止がないから個人情報に当たるですって？（パーソナルデータ保護法制の行方その22）」（2016年4月6日の日記）などで書いていた。

どういう話だったかというと、行政機関法の匿名加工情報（非識別加工情報）は常に個人情報に該当するというもので、民間部門では非個人情報なのに、行政機関法では個人情報となる理由が、「行政機関法では再識別禁止義務がないから」というものであった。これは、民間部門の匿名加工情報は再識別禁止義務があるからこそ非個人情報になるのだという前提を基にしていた。

行政管理局のそのような考えは、内閣法制局への「説明資料」にも書かれていたことが、今年4月に開示を受けた法律案審議録で明らかになった。その様子は、前々回の日記の「行政機関法では匿名加工情報は常に個人情報である？」の節から書いたところである。

前々回の日記の図5が、行政管理局が2月19日に内閣法制局で長官審査を受けたときの「説明資料」であり、そこには、次のように書かれていた。

(1)「匿名加工情報」と改正後の個人情報保護法の「個人情報」

改正後の個人情報保護法における匿名加工情報は、「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」（第2条第9項）と定義されている。作成に用いた個人情報を「復元することはできない」が、自ら保有し、又は入手可能な他の情報との照合により特定の個人を識別することも概念上はあり得ることから※、「匿名加工情報」は、個人情報保護法の「個人情報」に当たることもあり得る。

改正後の個人情報保護法では、匿名加工情報を作成する民間事業者及び取得する民間事業者に対して、特定の個人の識別のための照合の禁止を義務付けており（第36条第5項及び第38条）、その結果、民間事業者にとっては、当該匿名加工情報は、「個人情報」には該当しないものとなる。

（※）実際には、現時点で想定している加工の方法により「個人情報を復元することができないようにした」情報であって、他の情報との照合により特定の個人を識別することができるものは、現時点では想定していない。

2016年2月19日付「長官・次長配布版説明資料別紙2」

あー、またやってしまったねぇ。そう、つまりこれも、平成27年個人情報保護法改正案の古い「説明資料」に基づいた解釈だったわけだ。長官は「照合不能にして出すこと」と指摘していたのに。

どうしてこうなったのだろうか。行政管理局は、匿名加工情報の考え方について、個人情報保護委員会に問い合わせていたはずである。対応した委員会の担当者が、長官ダメ出しによる方向転換の経緯を把握しておらず、古い資料を見て対応したのではないか。

いや、行政管理局の立案は、もっと早い段階から始められていたはずだから、IT総合戦略室と協議しながら進めていたのだろう。それでも、2015年のことだろうから、その時点で既に、長官ダメ出しと方向転換は済んでいたわけで、やはりそこでも、経緯を把握していない者が対応したのだろうか。あるいは、行政管理局が、IT総合戦略室の内部資料の提供を受けて、自ら読解した整理だったのかもしれない。資料だけ読んでも、それが撤回された整理だというのは、なかなか気づきにくい。

しかし、2015年から立案を進めていたのであれば、内閣法制局は何をやっていたのか。行政機関法の法律案審議録は、2016年2月からの分しか綴じられていなかったが、それより前の段階で、部長審査や参事官以下との協議があったはずだ。部長は指摘できなかったのか。

ここで問題となるのが、内閣法制局の縦割り構造である。内閣官房IT総合戦略室の案件を担当するのは、内閣法制局第2部だったが、総務省行政管理局の案件を担当するのは、第3部である。第3部長は、第2部で起きていたことを把握しなかったのだろう。

同じ個人情報保護法なのに、民間部門と公的部門でこうも細部で違ってしまっているのは、法制局の担当部が異なるということも、要因としてあるのかもしれない。

そして、行政機関法の改正案でも、長官のダメ出しを食らうことになった。これは、前々回の日記の「内閣法制局長官の大どんでん返し」で書いたところだ。長官は、「行政機関匿名加工情報は、個人情報にあたらない」と指摘したのである。

図23: 2016年2月29日付「行政機関個人情報保護法等改正法案長官・次長御指摘（2月22日・23日）への対応概要」

これは、2014年12月1日のダメ出しと同じ趣旨だったと考えられる。長官は、行政管理局の「説明資料」を見て、2014年に撤回させたはずの古い整理に基づいていることに気づき、根本から間違っているのでやり直せという指示をしたのだろう。

そうはいっても、閣議決定直前の2月下旬の段階では、根本から直すことは不可能だったわけで、行政管理局は、「説明資料」をアップデートして凌いだ。このアップデートについて、前々回の日記では、以下のように書いた。

これは、修正前の図5と、言っていることが違っている。

図5の整理では、民間部門の個人情報保護法では、匿名加工情報について、「他の情報との照合により特定の個人を識別することも概念上はあり得る」としつつ、「特定の個人の識別のための照合の禁止を義務付けて」いることから、個人情報に該当しなくなるという整理だったが、その考え方が、この修正した整理では消滅している。

それに替わって、そういう照合は「容易に行えるものではない」という新たな考え方が登場し、それを理由として、民間部門では、「匿名加工情報」が「個人情報」にあたらないという整理になっている。

なぜこうなったのだろうか。推測にすぎないが、これが長官の指摘だったのではないか。つまり、長官が「匿名加工情報は個人情報にあたらない」とする指摘に際して、なぜそうなのかの理由が、民間部門における考え方として、このように説明されたのではないか。

もしそうだとすれば、照合禁止規定の存在により容易照合性が否定されるという、一昨年の個人情報保護法改正案の立案段階で一時、整理された考え方は、内閣法制局長官の頭の中ではその後否定されているのではないだろうか。これは、前記の「匿名加工情報は何でないか・後編」で書こうと思ってきた推測と符合する面がある。（これにつていは、その「後編」で書くこととしたい。）

匿名加工情報が非識別加工情報へと無用に改名した事情（パーソナルデータ保護法制の行方その30）「内閣法制局長官の大どんでん返し」

この「後編で書く」としていたのが、本稿である。前々回の時点では、「長官の頭の中ではその後否定されているのではないだろうか」と半信半疑だったが、本稿を書くために腰を据えて開示資料を読み込んだところ、これは確信に変わった。既に上記で整理したように、2014年12月1日の長官指摘により、根本的なところからの方向転換がなされており、第2部長を含めて、照合禁止義務により容易照合性が無くなるとする解釈は撤回されているのである。

行政管理局も、この「説明資料」のアップデートでそのことは理解したはずのように見えるのに、国会では、行政管理局長はアップデート前の「説明資料」に基づいて答弁を繰り返してしまった。また2015年の向井審議官答弁と同じことが起きたわけである。

前掲の、行政管理局の説明資料で、以下の部分が不可解だったのだが、これも、今なら腑に落ちる。

（※）実際には、現時点で想定している加工の方法により「個人情報を復元することができないようにした」情報であって、他の情報との照合により特定の個人を識別することができるものは、現時点では想定していない。

2016年2月19日付「長官・次長配布版説明資料別紙2」

これは、2014年の長官からの指摘を把握している者からの説明を踏まえて書かれたのではないか。これは、単なる仮名化では済まされない加工方法を指す。そのため、行政管理局は、「概念上はあり得る」ことにして、「実際には……現時点では想定していない。」と書くしかなかったのではないか。ただ、「概念上はあり得る」というのは理解できる。民間部門での「識別できないように」における照合による識別は、「容易に照合することができ」る場合に限られるのに対して、公的部門では、容易にでない場合を含めて「照合することができ」る場合を想定して「識別できないように」としなければ、公的部門における非個人情報には当たらないからだ。

こうして整理してみると、行政機関法の匿名加工情報の定義が、閣議決定直前で、なぜあのように変更させられたのかも見えてくる。前々回で確認したように、長官の指摘により、定義は以下のように変更されている。

変更前（2016年2月15日付の案文）

8 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報（他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。）を除く。以下この項において同じ。）の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

変更後（成立した法の条文）

8 この法律において「非識別加工情報」とは、次の各号に掲げる個人情報（他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。）を除く。以下この項において同じ。）の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができない（個人に関する情報について、当該個人に関する情報に含まれる記述等により、又は当該個人に関する情報が他の情報と照合することができる個人に関する情報である場合にあっては他の情報（当該個人に関する情報の全部又は一部を含む個人情報その他の個人情報保護委員会規則で定める情報を除く。）と照合することにより、特定の個人を識別することができないことをいう。第44条の10第1項において同じ。）ように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

この差分は、「特定の個人を識別することができない」の意味が括弧書き（強調部）で補足されている点である。

ここで思い出したいのは、前記で「この点は後で重要となるので覚えておきたい」とした、「特定の個人を識別することができない」の解釈について示した古い資料（図3）である。その6枚目の写真のページの「(3)」は、「特定の個人を識別することができない」の解釈を、容易照合性の括弧書きを含まない意味での「識別することができない」の意味だと説明していた。

これについて、長官ダメ出し後に変更された条文では、容易照合性の括弧書きは省略されているのであって、容易照合性を含めて「識別することができない」と解するべきということは、既に書いたところである。

このことが、行政機関法の改正案においても、長官から指摘があったのではないだろうか。民間部門の匿名加工情報定義でも、本当は、ここを省略せずに、括弧書きを入れるべきだったとも言えるわけで、行政機関法ではそこをちゃんと明記するようにという指示があったのではないか。特に、行政機関法の場合は、前記のように、「容易に」の有無の点で異なっていることから、ここの「識別することができない」の意味は省略ぜずに明確にしておく必要があるのである。

それにもかかわらず、行政機関法の改正案は、そこを適切に直せなかった。「他の情報（当該個人に関する情報の全部又は一部を含む個人情報その他の個人情報保護委員会規則で定める情報を除く。）」などという意味不明な委任規定で問題を先送りしたあげく、委員会規則には鸚鵡返しのナンセンス規定が制定され、これが大失敗だったことは明白となっている。それが、さらに地方公共団体の条例にまで広げようとされていて悲惨極まりないことは、前々回の日記で書いた。

さて、そして2017年2月、個人情報保護委員会の「事務局レポート」が公開された。冒頭で示した以下の部分が問題である。

3.4.2 容易照合性との関係

匿名加工情報を作成した事業者は、その作成に用いた個人情報を保有しており、また、当該個人情報を匿名加工する方法に関する情報として匿名加工情報と元の個人情報との対応関係を示す対応表等を保有し得るが、この個人情報や対応表について法第2条第1項第1号括弧書のいわゆる「容易照合性」があるとして、作成した匿名加工情報は個人情報に該当し、個人情報の取扱いに関する各義務（法第4章第1節）を守らなければならないのではないか、との懸念が想定される。

匿名加工情報は、特定の個人を識別することができず、作成の元となった個人情報を復元することができないように加工したものであり、さらに、個人情報に係る本人を識別することを禁止する等の制度的な担保がなされていることから、作成の元となった個人情報を通常の業務における一般的な方法で照合することができる状態にある（すなわち容易照合性がある）とはいえず、個人情報に該当しないとされるものである。

したがって、匿名加工情報を作成した事業者がこれを当該事業者内部で取り扱うに当たっても、匿名加工情報の取扱いに関する義務（法第36条）を守ることにより自由な利活用が認められることとなる。

個人情報保護委員会事務局レポート, 匿名加工情報パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて, 2017年2月

これは、内閣法制局長官のダメ出しを無視して、キャンセルされた古い「説明資料」を根拠に書いてしまっているのだろう。なぜこんなことになるのか。

以前から、専門家らと話すと、時折、個人情報保護委員会から聞いた見解が担当者によって違うという話を耳にする。委員会の中でも、仮名化でOKとする派閥と、仮名化ではだめだとする派閥がいるらしいとか、照合禁止義務万能説を唱える者もいれば、そうでない者もいるらしいなどと聞く。

これも、結局のところ、2014年12月1日の法制局長官のダメ出しの経緯を知っている者と、知らない者がいて、それらの間でちゃんと話し合われていないのが原因ではないのか。

私も委員会の人と話して、「法制局の整理でもこうなっている」と言われたことがかつてあったが、それはどの整理なのだ？と、今なら確認するだろう。お前の見ている「法制局の整理」は、キャンセルされた参事官以下レベルの素人整理のことではないのか？と。

こんなことになってしまっている最大の原因は、IT総合戦略室が、法制局の指摘を踏まえて再整理した後の精密な整理文書を作らなかった（再整理後の「説明資料」は1ページ半のペラだった）ことにある。瓜生編「一問一答」も、間違いこそ書かれていないが、大事なことを書いていないため、誤読する人が続出しているわけである。

今からでもよいので、個人情報保護委員会がそうした内部文書を整備するべきである。そうしなければ、今後も同じ混乱が続いてしまうだろう。

（「後編の2」に続く）

*1 今になって思うに、この表現は誤解される（というか、本意を表せていなかったで）表現だった。改めた表現と説明をいずれしたい。

*2 高木浩光『匿名加工情報の制度概要と匿名加工基準の規則案』ビジネス法務16巻11号17頁以下（2016）

*3 ちなみに、条文を修正する必要があると主張した理由はもう一つあり、「このままでは規制強化になってしまう」という立場であり、こちらは本気だった。この点は、解釈で乗り切るべく、国会答弁で明らかにされ、個人情報保護委員会のガイドラインでも明記され、どうにか解決している。（2017年1月8日の日記「匿名加工情報の条文構成はどう壊れて行ったか（保護法改正はどうなったその6）」の「まえがき」参照。）

*4 このとき、経済団体の某氏から「マジかー」という声を頂いたのをよく覚えている。

*5 「規制」か「規則」か「規律」か判読できない。「ゆるい」の前にもう一文字あるはずだが判読できない。

*6 「当たらないだけである。」とも読めなくもないが、他のところにある「は」「な」「い」の文字と同じ筆跡なので、ここは「当たらないだけではない」と書かれているようだが、これでは意味が通らない。「当たらないだけではないか？」が途中で切れているのだろうか。隣の斜線で切れているようにも見えるが、この線が何なのかわからない。

*7 といっても、現在の匿名加工情報と同様に、使いたい者だけが使う制度だとすれば、規制強化というわけでもないのだが。

*8 「3. 第三者提供時の照合の主体」の以下の部分。

提供先にとって識別性がない情報と比べて、提供先にとって個人識別性がある情報のほうが、本人の権利利益を害するおそれが格段に大きくなることは当然である。したがって、第三者提供と個人識別性との関係について、提供先において識別情報か否かを基準とする提供先基準説のほうが、こうした制度趣旨に対して素直な解釈といえよう。

岡村久道, パーソナルデータの利活用に関する制度見直しと検討課題（中）, NBL No.1020, 72頁

②の重要性は立法論として賛成する余地のあるものであるが、現行法解釈論としては①を否定する理由にならない。（①と②は互いに排他的ではなく、両方を要求する立法論もあり得る。）

*9 「〔〕」書きは、検討不十分であり、仮に書いたものであること示している。

*10 この点は、2017年1月8日の日記「匿名加工情報の条文構成はどう壊れて行ったか（保護法改正はどうなったその6）」でも書いている。

*11 削除アルゴリズムが判明すると復元できるというのはIT素人のトンデモな主張だが、ここは、「削除または置き換える」の「置き換える」が選択された場合の復元について書くべきだったところだろう。

*12 ちなみに、このケースは、コンビニエンスストアからの第三者提供ではなく、CCCによる取得のコンビニエンスストアへの委託として整理すべきものという話は、2015年11月21日の日記「CCCはお気の毒と言わざるをえない」に書いた。匿名加工情報の用途を説明するには向かない事案だったと言うべきだろう。

*13 連結していないというのは嘘だろう。次々と新規の記名式Suica利用者が増えていく状況で、新規利用者の情報を氏名入りデータベースから氏名なしデータベースへとコピーしていたことは自明だから、連結していたと言うべきである。

*14 この時点の案では、匿名加工情報を作成する個人情報取扱事業者も匿名加工情報取扱事業者として整理されていて、改正法の36条5項の義務は、この時点の案では匿名加工情報取扱事業者の「復元行為等の禁止」で担保されていた。

*15 私の独自説としては、「識別できない」は提供元基準において非個人情報化する要件であり、「復元できないように」は、提供元に限らず、提供先においても復元できないことを求めたものと整理すればよいと考えている。前掲脚注2のビジネス法務の記事でもその説を唱えているが、個人情報保護委員会の公式文書にそうしたことは書かれていない。

*16 図では「ソルト」と書かれているが、これをソルトと呼ぶのは暗号技術用語として誤りであり、「鍵付きハッシュ関数の鍵」と呼ぶべきものである。個人情報保護委員会の「事務局レポート」では幸いここが改められている。

*17 ちなみに、この本のこの章には他にもおかしなことが書かれている。匿名加工情報についての99頁には、パーソナルデータ検討会の技術検討WGが、「個人情報を完全に非個人情報化する技術的手段はない旨の報告をしたため、解釈によるパーソナルデータの利活用は困難であるとの結論に至り、法改正により対応することになりました。」と書かれているが、技術検討WGの報告は、「汎用的な方法は存在しない」「合理的な匿名化水準を汎用的に達成可能な技術は存在しない」「有用性を全く失うことなく、いかなる個人情報をも対象にした汎用的な匿名化手法はない」としたのであり、非個人情報化する手段が存在しないなどとは言っていない。「開示資料95」（図17）でも、「汎用的で完全な匿名化措置というものはおよそ無いという意見を得た」という表現になっている。「完全な」が誤解させたのだろうか。また、同じ99頁のその直前部分には、「技術が進展した今日では容易照合が不可能な程度にまで技術的分離措置をとることはおよそ不可能であることから、通説及び消費者庁の解釈を前提にすると「非個人情報化」は極めて困難である、という状況にありました。」とも書かれているが、これはいったいどこから来た見解なんだろうか。長官ダメ出し前の内部資料でもそんなことは言っていない。ダメ出し前の内部資料が、やたらと照合禁止義務で非個人情報化すると主張しているものだから、そうするからには非個人情報化が困難なんだろうという類推が働いたのか。その点、長官ダメ出し後の法制局の指摘では、「可能な限り特定できなくすることはできるはず。」「特定に至ることのないような仕組みを作る」（図17の手書きメモより）としていて、法制局はちゃんとわかっていたんだなと思える。

本日のリンク元 TrackBack(0)

2017年05月13日

■ 医学系研究倫理指針における非識別加工情報の規定は無用の長物（研究倫理指針はどうなったその1）

医学系研究倫理指針の改正については、11月29日の日記「医学研究等倫理指針見直し3省合同会議が迷走、自滅の道へ（パーソナルデータ保護法制の行方その26）」を書いた後、その後どうなったかをまだ書いていなかったが、ざっくり言えば、懸念された事態は回避され、どうにか妥当なところに落ち着くかっこうとなっている。そのときの展開の様子とその後の論点については、いずれ詳しくまとめる予定だが、ここでは、そのうち、匿名加工情報に関する部分のみ先に書いておく。

指針の「匿名化」と法の「匿名加工情報」を巡る混乱

指針改正案は「見直し」の段階で、昨年9月から10月にかけてパブコメにかけられていたが、それに対する文科省・厚労省の「考え方」を含む「パブリックコメントの結果」は今年2月になって公表された。

「人を対象とする医学系研究に関する倫理指針」の改正に関するパブリックコメント（意見公募手続）の結果について, 文部科学省研究振興局ライフサイエンス課生命倫・安全対策室, 厚生労働省大臣官房厚生科学課, 厚生労働省医政局研究開発振興課

これを見ると、匿名加工情報に関する意見がかなり多く提出されていたことがわかる。

図1: パブコメ結果の資料から抜粋

多い質問は、この指針がこれまで「匿名化」（「連結可能匿名化」及び「連結不可能匿名化」）と呼んできたものと法の「匿名加工情報」は同じものではないか、違いがわからない、どうして分けられているのかといったもので、文科省・厚労省の「考え方」では、以下のようなやりとりが繰り返されている。

提出意見

特定の個人を識別することができることとなる記述等を除くことが匿名化であるならば、匿名化された情報は匿名加工情報又は非識別加工情報と同じとの理解で良いか？

文部科学省及び厚生労働省の考え方

「匿名加工情報」と「非識別加工情報」は、それぞれ個情法と行個法・独個法に規定されている要件を満たして個人情報から加工した情報であり、その取扱いも法律の規定を順守する必要があります。一方で、「匿名化」は、指針に定めている手法であり、例えば、匿名加工情報と同じ加工を行ったとしても、匿名加工情報として取り扱うための手続きを行わない場合には、「匿名化されている情報」として取り扱っていただくこととなります。匿名加工情報の詳細については、「個人情報の保護に関する法律についてのガイドライン（匿名加工情報編）（平成28年11月個人情報保護委員会）」をご参照ください。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.163

提出意見

「連結（不）可能匿名化」の用語廃止は誤解をまねきかねない。連結（不）可能を明示した方がわかりやすいのではないか？「匿名加工情報」という言葉の中に「連結不可能」の意味が含まれることになりますが、「対応表」といった言葉も出てきて少し煩雑です。用語としては「連結不可能匿名化」を残すのはどうでしょうか。

文部科学省及び厚生労働省の考え方

「匿名加工情報」と「非識別加工情報」は、それぞれ個情法と行個法・独個法に規定されている要件を満たして個人情報から加工した情報であり、一方で、改正前の指針に定義していた「連結可能匿名化」と「連結不可能匿名化」は指針のみで規定している匿名化の手法になります。匿名加工情報は個人情報でない情報ではあるものの非個人情報であるとは限らない情報であり*1、また、連結不可能匿名化された情報は、指針改正後は「匿名化されている情報」又は「匿名化されている情報（特定の個人を識別することができないものに限る。）」のどちらかに分類され、個人情報と非個人情報のどちらにも該当する可能性があるため、用語を残すことは一層の混乱を招くものと考えますので、用語は削除することとしました。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.167

匿名加工情報を連結不可能匿名化と同一視する誤解は、データセットによる照合が念頭にない場合に陥る。

指針の連結不可能匿名化は、従前、あたかも法の「個人情報」の裏返し（該当させなくする要件）であるかのような定義っぽく書かれていたが、実際のところは、法の定義の裏返しとも異なっていた*2し、現場の実態としても、氏名等を削除するだけの仮名化が行われていただけであったことから、指針の改正で、「匿名化」の定義を「特定の個人（略）を識別することができることとなる記述等（個人識別符号を含む。）の全部又は一部を削除すること（略）をいう。」と改めることにより、現場の実態上の「匿名化」の方法（実際には「仮名化」と呼ぶべきもの）はそのまま維持してよいとしつつ、法の定義とのズレを解消するために、「匿名化されている情報」と「非個人情報」とは直行する概念として整理されたのであった。

「匿名化されている情報」が個人情報に該当する場合とは、当該情報の作成者において、連結可能匿名化であれば対応表を保有するので個人情報に該当し、これは、従前の指針でもそのように説明されていたが、加えて、連結不可能匿名化の場合であっても、データセット自体による元データとの照合が可能なデータである場合には、「他の情報と容易に照合することができ」に該当するとする考え方が、一連の改正を通じて改めて確認されたという状況にあると言ってよい。

つまり、「連結不可能」と言っているが「不可能」とはおよそ言い難く*3、「連結不可能匿名化」という概念の意図するところは、「不可能」にするわけではなく、単に（対応表を用いた）連結をしないという意味だったと言うべきもので、誤解を招く用語が誤解を拡大し定着させてきてしまっていたということなのだろう。誤解のない用語としては、「連結仮名化」と「不連結仮名化」が相応しかったと思う。

そして、そのような不連結仮名化されたデータと匿名加工情報が同じかというと、匿名加工情報は、単に仮名化しただけでは加工方法としては足りない（場合が多々ある）という考え方が確立しつつある*4ので、この指針でも別概念として整理されたわけである。

また、匿名加工情報を連結不可能匿名化と同一視する誤解が生じるもう一つの要因は、匿名加工情報を導入する法改正の狙いの一つが、医学系研究分野における従前の「匿名化」の慣行を法定することにより安定化することにあるとの期待があったためだろう。確かに、2014年の「パーソナルデータの利活用に関する制度改正大綱」の時点ではそのようにも見えたかもしれない*5。

しかし、紆余曲折を経て、国会で成立した改正法の匿名加工情報は、仮名化とは異なるものとして整理された*6と言ってよい状況となったため、指針の見直しでは、指針の「匿名化」は法の匿名加工情報から切り離す必要に迫られたわけである。

さらに、法の匿名加工情報の制度を規制強化だと誤解する向きもあっただろう。指針の「匿名化」は法の「匿名加工情報」にも（定義の条文からして）該当することになるので、指針の「匿名化されている情報」に法規制がかかるとの懸念もパブコメに寄せられていた。これが誤解であることはこれまでに何度も書いてきたところ*7だが、そのことが、パブコメに対する「考え方」では、前掲のように、「匿名加工情報と同じ加工を行ったとしても、匿名加工情報として取り扱うための手続きを行わない場合には、「匿名化されている情報」として取り扱っていただくこととなります。」として説明*8されている。

このような混乱は予想されたことなので、指針では匿名加工情報のことは触れないでおくのがよいのではないかと、再三申し上げた。JUMP（日本ユーザビリティ医療情報化推進協議会）の「ゲノムが作る新たな医療推進委員会」では、このパブコメに際し、以下の意見を提出していた。

【該当箇所】第2-(26)　等
【意見】
従前の匿名化と匿名加工情報の混同が懸念されるため、これらが無関係である旨を明確化するための修正が必要である。

【理由】
今回の指針改正案は、従前の「匿名化」の定義を変更し、「連結可能匿名化」及び「連結不可能匿名化」の概念を廃止するものであるところ、指針に「匿名加工情報」に関する節が「匿名化」と「対応表」に並び新設されているため、従前行ってきた「匿名化」処理が今後は個人情報保護法の「匿名加工情報」の規律に従わなければならなくなるものとの誤解が広がることが懸念される。

実際には、「匿名化」と「匿名加工情報」は相互に関係しない別々の概念であるから、そのことを明確化するために、指針改正案には次のいずれか又は両方の修正を施すべきである。

A) 従前の「匿名化」は「仮名化」に名称を変更する

今回の指針改正で従前の「匿名化」はその定義内容が変更されている。従前の匿名化は、なお書きに「他で入手できる情報と照合することにより特定の個人を識別することができる場合には、照合に必要な情報の全部又は一部を取り除いて、特定の個人を識別することができないようにすることを含む」との記述があったが、改正案ではこれが削除されている。この変更により、「匿名化」は、「特定の個人を識別することができることとなる記述等の全部又は一部を取り除く」という、氏名・連絡先等を削除する程度の加工で足りることとなるから、国際的には通常「仮名化」と呼ばれる（EUデータ保護規則では「pseudonymisation」、ISO/TS 25237:2008では「pseudonymization」と呼ばれる。）ものに相当することになる。他方、個人情報保護法の「匿名加工情報」は、照合による識別をもできなくすることを求めるもので、その点では従前の「匿名化」定義に近い。また、実態として、従前の「匿名化」は、前記のなお書き「他で入手できる情報と照合することにより特定の個人を識別することができる場合には、照合に必要な情報の全部又は一部を取り除いて、特定の個人を識別することができないようにする」に当たる対処がほとんど行われておらず、これまでも国際的に「仮名化」と呼ばれる処理を行っていたのが実情である。

したがって、「匿名化」と「匿名加工情報」の混同を避けるためには、従前の「匿名化」を「仮名化」の名称に変更することが効果的であり、この際、今回の指針改正で定義内容が変更されることを明確化する上でも、名称を変更するべきである。

なお、合同会議第4回資料2-1「指針見直しの方向性（匿名化）補足説明資料（案）」p.6の表の「案1」の行で、従前の「匿名化」と対比する形で「仮名化」の語が用いられており、その定義内容が現在の指針改正案の「匿名化」と同一となっているように、この定義内容には元々「仮名化」の語があてられていたのであるから、「仮名化」とするのが本来の趣旨にも沿うはずである。

B) 匿名加工情報（非識別加工情報を含む）に関する規定を削除する

匿名加工情報は、日本の個人情報保護法で今回始めて導入される世界にも例のない独特の制度であり、これまでに利用された実績はない。ゲノム指針及び医学系指針が対象とする領域において匿名加工情報の制度の活用の見通しが立っているわけでもない。

その上、匿名加工情報の制度は、匿名化のような処理に際して必ず適用しなければならない義務というものでもない。このことは、個人情報保護委員会が公表した「個人情報の保護に関する法律についてのガイドライン（匿名加工情報編）（案）」には、p.9の「※2」に、「安全管理措置の一環として氏名等の一部の個人情報を削除（又は他の記述等に置き換え）した上で引き続き個人情報として取り扱う場合、あるいは統計情報を作成するために個人情報を加工する場合等については、匿名加工情報を「作成するとき」には該当しない。」として説明されている。

また、匿名加工情報（非識別加工情報を含む）は非個人情報である（非識別加工情報は独立行政法人等個人情報保護法において「保有個人情報」から除外されている。）のだから、指針の対象外となることは明らかであり、ことさら、同意なく利用できる場合として規定する（ゲノム指針第4-14オ及び同15オ並びに医学系指針第12-1(2)（エ）及び同(3)（エ））までもない。

したがって、指針に匿名加工情報に関する規定を設ける必要性がはじめからないのであるから、従前の「匿名化」との混同を避けるためにも、匿名加工情報に関する規定を全て削除するべきである。

仮にこの削除ができないにしても、せめて、匿名加工情報に係る規定を一箇所に集約するなどして、必ず要する義務ではないことを明確にするべきである。

JUMP・ゲノムが作る新たな医療推進委員会より、指針改正に関するパブリックコメントについて、意見書を提出いたしました。, 日本ユーザビリティ医療情報化推進協議会

これに対する、文科省・厚労省の「考え方」は以下のものであった。

文部科学省及び厚生労働省の考え方

ご意見のとおり、「匿名化」は指針のみで規定しているもの、「匿名加工情報」は個情法で規定されているものであり、取扱いが異なるものです。

「仮名化」のご提案につきましては既に合同会議にて検討しており、その結果、「匿名化」を用いることになりました。

改正指針第12の1に規定している匿名加工情報の取扱いについては、合同会議にて検討した結果、インフォームド・コンセントが困難な場合の取扱いの一つとして整理し、規定を設けることとしました。また、改正指針第17については、改正個情法第76条第1項第3号の義務規定の適用除外を受ける場合には、個情法に規定する匿名加工情報の取扱いも適用除外となるため、個情法等の適用を受ける機関との情報のやり取りにおいて支障ができないよう、改正指針において個情法と同等の規定を設けたものです。

また、指針で定める匿名化と個情法に規定する匿名加工情報の違いについては、必要に応じて指針のガイダンスで解説します。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.204

匿名加工情報のことなぞ書かなきゃいいわけだが、そうは言っても、この指針見直しは、個人情報保護法の改正を受けて対応するという体裁になっている手前、改正法の目玉である匿名加工情報に全く触れないわけにもいかないものなのであろうか。

その点、「改正指針第17」というのは、「研究者等（個人情報保護法の適用を受ける大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者であって、その個人情報又は匿名加工情報を取り扱う目的の全部又は一部が学術研究の用に供する目的である者に限る。以下この第17において同じ。）は、」として、改正個人情報保護法の36条、37条、38条、39条（つまり、4章2節の全部）相当の規定を設けたものになっている。つまり、学術研究機関による学術研究目的の利用は個人情報保護法第4章の規定が全て適用除外となっていることから、匿名加工情報に係る義務も適用されないから、その分を指針で拾うというのである。

なるほど、こうすれば、匿名加工情報についての指針の意義の面目が立つということであろうか。

これを規定する理由として「個情法等の適用を受ける機関との情報のやり取りにおいて支障が出ないよう」というのは、まあ理解できる。匿名加工情報の制度は、提供先で再識別が行われないことが法的に担保されていることを安心材料として提供ができるというものだから、提供先が学術研究機関の学術研究目的利用の場合に再識別禁止がかからない*9のだとしたら安心できないので、指針で禁止とすることには意義があろう。「支障が出る」というのは、そういう意味で安心できないことを指すのだろう。

ところが、この「改正指針第17」に対しては、大量の反対意見が寄せられていた。以下と同趣旨の意見が多いらしく、他に77件もあったそうである。

提出意見

【該当箇所】第17「匿名加工情報の取扱い」
【意見】
(3)(4)(6)(7)(9)*10でそれぞれ示されている当該内容の公表規定について削除を求める。
【理由】
民間事業者に求められる公表規定を研究者に対しても求めることは、徒に研究者の負担を増大させてしまうことが危惧されることから、公共の福祉向上に資すると判断される研究の場合、努力義務に抑えるか、倫理審査委員会の判断に委ねる等の柔軟な対応を検討していただきたい。

（同様のご意見が他に77件ありました。）

文部科学省及び厚生労働省の考え方

第17の匿名加工情報に関する事項については、法律に規定される事項と同様の対応をしなければ匿名加工情報として取り扱うことができないため、第17に規定している内容について指針において変更することはできません。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1069～1146

提出意見

「匿名加工情報が個人情報を復元できないように処理が必要、あるいは当該匿名加工情報を他の情報と照合してはならない。」について

次のような研究支障が想定される。
論文投稿後に、一部の症例の追加データの解析を要求されることは多々ある。そのような場合、個人情報（患者カルテ番号）を復元できないように処理が必要である場合、再度、対象症例の抽出とデータ整理に多大な時間を要し、研究遂行に大きな支障がある。

文部科学省及び厚生労働省の考え方

匿名加工情報及び非識別加工情報として取り扱うことについてのご意見と理解しご回答しますが、匿名加工情報及び非識別加工情報として取り扱う場合には、法律に規定されている識別禁止等を遵守する必要がありますが、指針上は、「匿名化」を用いることができ、匿名化したものを個人情報として取り扱う場合には、復元や照合等も可能となっていますので、指針の規定をご確認ください。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1168

こうした意見は、前記の通り、法の「匿名加工情報」を指針の「匿名化」と混同した誤解に基づく意見であり、スルーでよい。

他にも同様の誤解に基づく意見が沢山あり、いくつか抜粋すると以下のものが代表的であろう。（回答部は省略）

提出意見

「匿名加工情報が個人情報を復元できないように処理が必要、あるいは当該匿名加工情報を他の情報と照合してはならない。」について

次のような研究支障が想定される。
異なるデータベース間の突合が不可能となるが、少数例であれば、対象症例を抽出しなおすことは可能であるが、多数例になればなるほど、対象症例抽出に膨大な時間と労力が必要となる。多数例を用いた臨床う研究に関して継時的研究によるアウトカム検定が困難となり、大いに研究に支障があると考えられる。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1169

提出意見

「第17匿名加工情報の取扱い」について
日本の医学研究、特に臨床研究は、医療現場で働く医師が自らデータを収集して解析を行って発表しているものがほとんどであり、よほど大きな研究期間で潤沢な研究費用がないと、一般の臨床研究を行おうとする臨床医には、個人情報の匿名加工にかかる時間や労力を割く余裕はありません。

一般臨床医の研究が施行困難となれば、我が国の医学研究の礎である臨床研究や人の資料を用いた基礎研究が行われず、ひいては我が国の医学研究ならびに医学レベルの低下をもたらすことが予想されます。

これまで通り、侵襲をともなわない観察研究においては、連結可能な匿名化をもって、研究が行えるように、「匿名加工情報の取り扱い」を適応しないでいただきたいと、切に望みます。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1171

案の定こうした誤解が多発したわけだが、それにしても多い。77件同一の意見があったというのは、動員でもあったのだろうか。

このパブコメは昨年9月から行われたものだが、昨年5月に出版されていた以下の解説記事*11の影響もあったのではなかろうか。

岡村久道, 個人情報保護法の改正とデータを用いた学術研究, オペレーションズ・リサーチ, 2016年5月号, pp.283-288

以上のような匿名加工情報制度の新設に対し、これまで自由であったはずの非個人識別情報たる匿名情報の取扱いに対し、新たに多様な義務が課されるに至ったので、その利活用が妨げられるのではないかという疑問が呈される一方、これによって本当にプライバシーが守られるのかという、逆方向の立場からの疑問も呈されている。

いずれにしても、必ずしも適用除外対象となるか明らかでない学術研究等については、この匿名加工情報に関する諸規定を順守せざるを得ないことになる。

匿名加工情報がそのようなものでないことは、既に一昨年の時点で、国会審議で繰り返し答弁されていたこと*12である。あまり事情に詳しくない方の論説を真に受けると、混乱が拡大してしまうので、注意が必要だろう。

もう少し混乱を避けられなかったものかとも思うが、現時点の状況を見るに、今年3月17日に東大で開かれた公開シンポジウム「医学研究における個人情報保護のあり方と指針改正」の席での会場の反応からして、もはやこうした誤解は解けており、混同はなくなったようであり、めでたしめでたしである。

「非識別加工情報」の自発的作成は法違反か

さて、「匿名加工情報」については以上の通りだが、公的部門の匿名加工情報、すなわち「非識別加工情報」についてはどうなのか。これについて、パブコメで以下を指摘する意見が出ていた。

提出意見

【論点等の箇所】「第17 匿名加工情報の取扱い」
【意見内容】「非識別加工情報」についての記載がない。

提出意見

第6章第17「匿名加工情報の取り扱い」の記載があるが「非識別加工情報」の項目がないのは何故か。

文部科学省及び厚生労働省の考え方

第17については、法律において匿名加工情報に関する規定の適用が除外されている場合に、法律が適用される機関と適用されない機関との共同研究等において、情報のやり取りに支障が出ないよう、指針上、法律に規定されている内容と同等の規定を設けているものです。法律の適用除外となっている機関としては、個情法第76条第1項第3号に該当する学術研究機関・団体が学術研究目的に用いる場合が該当します。一方、非識別加工情報を取り扱うことができる行個法、独個法が適用される機関については、法律の適用除外がないため、指針上で改めて基準等を規定する必要がないことから記載していないものです。なお、匿名加工情報と非識別加工情報では、作成等の手続きに違いがありますので、該当する法律の規定に従い、取り扱っていただきますようお願いします。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1166, 1167

記載がない理由は、「考え方」の通りで、「第17」はそういうものでしかないからだ。

「作成等の手続きに違いがありますので、該当する法律の規定に従い、取り扱っていただきますよう」とあるのは、具体的なことを言っていないが、これは以下のことを言っているのだと考えられる。

実は、行政機関や独立行政法人において、「非識別加工情報」は自発的に作成できるのかという論点がある。「自発的に作成」とは、改正行政機関法（改正独法法も同様に）4章の2（行政機関非識別加工情報の提供）の規定によらず作成することを指す。

行政機関法改正で「非識別加工情報」の制度を導入する趣旨は、民間事業者からの提案を募集し、提案を受けて、個人情報ファイルから匿名加工で「行政機関非識別加工情報」を作成し、手数料を取って提案事業者に提供するということにあり、その手続きが、行政機関法4章の2に規定されている。民間部門での匿名加工情報が、単に自由に提供できるための制度であったのとは大幅に異なっている。

その趣旨から離れて、行政機関非識別加工情報を作成し、提供することはできるのか。改正行政機関法は、4章の2の冒頭、44条の2で、「行政機関の長は、この章の規定に従い、行政機関非識別加工情報（略）を作成し、及び提供することができる。」と規定している。

「この章の規定に従い」作成し、提供できるとしているのだから、この章の規定に従わずに、作成したり提供することは認められないということにならないか。その点、「できる」規定があるからといって、その規定がない（もしくはその規定が適用される条件から外れる）場合に「できない」ということを必ずしも意味しないのではないかという議論があり得る。

この点について、行政管理局の考え方がどうなっているのか。前回の日記で示した、情報公開請求により開示された法律案審議録の「長官・次長配布版説明資料」から、窺い知ることができる。

図2: 2016年2月19日付「長官・次長配布版説明資料」44頁、45頁

行政機関匿名加工情報の作成及び提供等【行政機関個人情報保護法第44条の2関係】

【概要】
本章の通則的な規定として、行政機関の長が、本性の規定に従い、行政機関匿名加工情報を事業の用に供しようとする者からの提案を受けて行政機関匿名加工情報を作成し、提供することができる旨を定めるとともに、本章の規定に従うほかは、法令に基づく場合を除き、行政機関匿名加工情報及び行政機関匿名加工関連情報の利用及び提供を原則として行うことができないことを定めるものである。

【説明】
1 行政機関匿名加工情報及び行政機関匿名加工関連情報に係る規律の整理
(1) 利用等の制限
行政機関匿名加工情報の作成は、保有個人情報を加工して行うものであり、個人情報に係る利用の制限の規律（第8条）の対象となる。一方で、行政機関匿名加工情報及び行政機関匿名加工関連情報の一部は、保有個人情報に該当しないことから、同様の規律を設けることとする。その際、規律の一覧性の観点から、本条において、行政機関匿名加工情報及び行政機関匿名加工関連情報について、個人情報に係る利用の制限の規律と同様の規律を設ける。また、保有個人情報に該当するものについては、利用目的の特定が必要となることから（第3条）、保有個人情報に該当するか否かで分けて規定することとする。

(2) 行政機関匿名加工情報の作成及び提供
(1)の利用の制限がある中で、事業の用に供しようとする者からの提案により行政機関匿名加工情報を作成し、及び提供することができるようにするための規律を設ける。

2 第1項

第1項では、本章の規定に従い、行政機関匿名加工情報を作成し、及び提供できることを規定する。

保有個人情報を加工して行政機関匿名加工情報を作成することは、保有個人情報の利用の一態様と解されるため、第8条により、法令に基づく場合を除き、利用目的外での行政機関匿名加工情報の作成は原則として禁止され（同条第1項）、本人の同意があるとき、又は所掌事務の遂行の必要な場合には例外的に作成が可能となる（同条第2項1号、2号）。

また、作成した行政機関匿名加工情報について、第8条の適用を除外した上で、同条第1項による制限と同様の制限を規定することとしている（第2項及び第3項参照）。

第4章の2においては、個人の権利利益の保護に支障を生ずるおそれがない範囲で行政機関匿名加工情報を作成し、及び提供するための規定を設けていることから、行政機関の長が、同章の規定に従い、行政機関匿名加工情報を作成し、及び提供できることを規定する。

3 第2項

第2項では、法令に基づく場合を除き、利用目的以外の目的のために行政機関匿名加工情報及び行政機関匿名加工関連情報（保有個人情報に該当するものに限る。）を自ら利用し、または提供してはならないことを規定する^※。

第2項の適用対象には、①第4章の2に定める手続に従い作成・提供する行政機関匿名加工情報及び行政機関匿名加工関連情報のほか、②行政機関が所掌事務の遂行上必要であるとして、保有個人情報の利用として、第8条第1項又は第2項第1号若しくは第2号に基づいて自発的に作成し、提供する行政機関匿名加工情報も含まれる。このうち、①については、第4章の2に定める手続きに基づいて提供することを目的として作成することから、それ以外での利用・提供は、法令に基づく場合を除き制限されることになる。

内閣法制局法律案審議録「行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案（平成28法律51）」, 「長官・次長配布版説明資料」, 2016年2月29日, 44頁、45頁

このように、保有個人情報から行政機関匿名加工情報を作成することが、保有個人情報の利用に当たるとし、本来、通常は目的外利用に当たるのであり、4章の2の規定によらない作成は8条に違反するのだと、はっきり書かれている。（加えて、仮に所掌事務の遂行上必要として自発的に作成することが許されたとしても、その目的外での利用・提供は禁じているとしている。）

つまり、行政機関匿名加工情報（行政機関非識別加工情報）の自発的作成は基本的に許されていないということだ。

ただ、これは行政機関非識別加工情報についてであり、裸の「非識別加工情報」の作成についてはどうなのかは書かれていない。

これについて検討してみるに、行政機関非識別加工情報と裸の非識別加工情報の違いは、加工のソースとする個人情報の範囲が、行政機関非識別加工情報では、一定の要件を満たす個人情報ファイルを構成する保有個人情報に限られているのに対し、裸の非識別加工情報では、全ての個人情報が対象であり限定がないという点である。行政機関法は、保有個人情報でない個人情報について目的外利用を禁止していない（8条の対象でない）から、保有個人情報でない個人情報のみをソースにしている限りにおいては、非識別加工情報の作成は自由だということにはなるだろう。ただ、国立大学や国立研究所等の独立行政法人において、研究用として組織的に保有している個人情報は、保有個人情報と言うべきであるから、「保有個人情報でない個人情報のみをソースにしている」ということは通常は考えられないことになる。そして、行政機関非識別加工情報を作成すること自体が保有個人情報の目的外利用だとしているのだから、裸の非識別加工情報を作成することも（ソースが保有個人情報であれば）同様に目的外利用ということになると解するのが自然であろう。

次に疑問となるのは、民間部門におけるルールとの食い違いである。民間部門では、匿名加工情報を作成することは、個人情報の利用とは解されておらず、それゆえに、行政機関法のように「作成し、及び提供することができる」との規定を置いていないにもかかわらず、作成できるわけである。*13

これは、民間部門では、匿名加工情報は個人情報でないと整理されていることによるのではないか。経産省ガイドラインQ&AのQ45*14が示してきたように、統計量へ集計する入力として個人情報を用いることは個人情報の利用に当たらないとしてきたのと同様に、非個人情報へ加工する入力として個人情報を用いることも、個人情報の利用に当たらないとの解釈が前提にあるものと思われる。

それに対し、行政機関法では「非識別加工情報は個人情報である」というのが行政管理局の整理であった。そのため、上記の「非個人情報へ加工する入力として個人情報を用いる」には当たらないことになり、結局、行政機関法において非識別加工情報への加工は個人情報の利用に当たるということになるのだろう。

以上のことを、前掲の指針パブコメの回答は想定しているのだと思われる。つまり、「作成等の手続きに違いがありますので、該当する法律の規定に従い、取り扱っていただきますようお願いします。」というのは、行政機関法4章の2で規定された提案募集に基づく作成しかできませんよという意味なのだろう。

そうすると、指針で「非識別加工情報」に触れている意義は全くないのではないか。行政機関法4章の2の提案募集に係る手続きは、医学系研究の実施と何の関係もないと言ってよいだろう。医学研究に情報を用いたい民間の研究機関が、行政機関や独立行政法人からその提供を受けるときは、従前の方法で可能なのであり、行政機関法4章の2の提案募集に係る手続きをとるまでもない。

その点、指針は、「研究計画書の記載事項」（第8）において、「⑧個人情報等の取扱い（匿名化する場合にはその方法、匿名加工情報又は非識別加工情報を作成する場合にはその旨を含む。」という規定を置いたが、「非識別加工情報を作成する場合にはその旨」は無用だったのではないか。なぜなら、行政機関法4章の2の規定による作成は、この指針の対象ではない*15のだから。

他に、指針のどのような場面で「非識別加工情報」の語が現れるか、検索して調べてみたところ、残るのは、第12（インフォームド・コンセントを受ける手続き等）において、インフォームド・コンセントが困難な場合にそれを不要とする場合の一つとして、既存試料・情報が「匿名加工情報又は非識別加工情報である」場合が、挙げられている。（「匿名化されているもの（特定の個人を識別することができないものに限る。）」と並置されている。）

これは、前掲の「考え方」No.204で「改正指針第12の1に規定している匿名加工情報の取扱いについては、合同会議にて検討した結果、インフォームド・コンセントが困難な場合の取扱いの一つとして整理し、規定を設けることとしました。」とされていた部分である。

当該研究機関が民間（個人情報取扱事業者）の場合は、匿名加工情報について、確かに、外部から提供を受けた匿名加工情報を、医学系研究に使うことはないとは言えないので、この規定の意義は理解できなくもない。また、民間の場合は、匿名加工情報は、自社内で目的外利用するために作成するという用法もある（そのため、36条5項の再識別禁止規定がある）ので、指針にこのような規定を置く意義は理解できなくもない。

しかし、当該研究機関が独立行政法人の場合はどうか。まず、後者については、改正独法法は、非識別加工情報について、自機関での目的外利用という用途を想定していない（それゆえ、非識別加工情報の再識別禁止規定が置かれていない）ので、その用途のために非識別加工情報を指針のこの規定に入れたということはあり得ない。次に、前者について、外部から提供を受けた情報が、独立行政法人において「非識別加工情報」となる場合があるのかどうかである。

前記の通り、匿名加工情報は、情報がその定義条文の要件を満たせばそれに該当するというものではなく、匿名加工情報として扱う場合に限り該当するものとされているので、独立行政法人が外部から提供を受けた情報が非識別加工情報となり得るのは、提供元が、個人情報保護法36条、37条に従って提供している場合に限られる。このケースを指針は想定しているのか。

この点について、前回の日記でも触れた「考え方」No.1179に回答がある。

文部科学省及び厚生労働省の考え方

（略）なお、国立大学が匿名加工情報の提供を受けた場合には、匿名加工情報ではなく、個人情報又は個人情報でない情報（非個人情報）のどちらに該当する情報かを判断し、個人情報又は非個人情報として取り扱っていただく必要があると聞いています。詳しくは総務省にお尋ねください。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1179

なんと、独立行政法人が匿名加工情報の提供を受けた場合は、匿名加工情報（この場合、非識別加工情報を含む意味で書かれていると思われる。）として扱うのではなく、個人情報又は非個人情報に該当するものとして扱うとされている。

ということは、以上のことから、医学系研究倫理指針に「非識別加工情報」の規定は実は一切無用だったという結論となるのではないか。

ただ、以上の論理を再度検討すると、いくつか残された論点はある。

公的部門で非識別加工情報の自発的作成が基本的に許されないとした根拠として、8条（独法法では9条）に違反するからとしたが、これは、前記のように、非識別加工情報が常に個人情報に該当するという前提に基づいているからと考えられる。

非識別加工情報が常に個人情報であるとする見解を行政管理局が出していたことは、前回の日記の「行政機関法では匿名加工情報は常に個人情報である？」に書いたが、これは、昨年2月19日時点での整理であり、同年2月22日・23日に、内閣法制局長官から、「行政機関匿名加工情報は、個人情報にあたらないため、関連規定を修正すべき」との指摘を受け、行政管理局は同年2月29日付の資料では個人情報に該当する場合もあるという整理に修正したと思しき経緯がある。（前回の日記の「内閣法制局長官の大どんでん返し」参照のこと。）

それゆえに、上記の「考え方」No.1179でも、「個人情報又は非個人情報として取り扱っていただく必要がある」と書かれていて、「個人情報として取り扱っていただく必要がある」とは書かれていないのだろう。

この「考え方」は今年2月になって公表されたものであるから、やはり、行政管理局はその後、非識別加工情報は個人情報となる場合もあれば非個人情報となる場合もあるものとして整理し直している（2月19日時点の整理は破棄されている）と推察される*16。

そうすると、非識別加工情報が非個人情報となる場合については、自発的作成も、8条（独法法では9条）に違反しないことになり、可能ということになるのかもしれない。

そのような自発的作成がアリだとなれば、指針における非識別加工情報の扱いも、そういう場合を想定する必要が出てくるのであろうか。

ただ、上記の「考え方」No.1179は、行政管理局から聞いた話として、国立大学が匿名加工情報の提供を受けた場合は、非識別加工情報として扱うのではなく、個人情報又は非個人情報として扱えというのであるから、やはり、非識別加工情報をそういう用途のものとして捉えるべきではないということだろう。

というわけで、再検討してもやはり、指針に非識別加工情報の規定は無用だったと思う。

なぜこんなことになってしまっているのか。見直し合同会議は、当初、非識別加工情報がどういうものかを行政管理局にちゃんと確認しないで、単純に民間部門における匿名加工情報と同列の扱いで（名称がなぜか違う*17といった程度の認識で）機械的に「匿名加工情報」＝「匿名加工情報及び非識別加工情報」として扱って指針改正案を作ってしまい、後になって、行政管理局から違うよと言われたということではないか。

ただでさえ煩雑なこの指針にこのような無用な規定が入ったことは、そもそも匿名加工情報からして記載不要だと再三申し上げていた私としては、残念と言う他ない。

指針の適用対象である研究実施者の方々には、非識別加工情報の規定は無視すればよいものとしてご理解いただき、文科省・厚労省は、次の指針改正でこの点を直すべく準備しておくべきだろう。

*1 「個人情報でない」が「非個人情報であるとは限らない」とは、事務局もいささか混乱しているようだ。

*2 個人情報保護法では「他の情報と照合」となっているのに、指針では「他で入手できる情報と照合」となっていた。法の「他の情報」は民間部門では主に当該事業者自身が保有する他の情報を指す（これが提供元基準の謂れ。）のに対し、「他で入手できる情報と照合」では、提供元基準を否定するものということになってしまうので、これらは無視できない違いがあったということになる。

*3 このことは、2015年の「人を対象とする医学系研究に関する倫理指針ガイダンス」（文科省・厚労省）においても、「個人の医療等に関する情報は、その情報自体が身体的特徴を表すことがあり、例えば、氏名、生年月日その他の「特定の個人を識別することができることとなる記述等」を機械的にマスキングすることだけでは、特定の個人が識別されることを不可能にしたと言い難い場合がある。」とし、仮名化だけでは真に「不可能」な連結不可能匿名化とは言えない場合があるとしていた。

*4 この点については、「匿名加工情報は何でないか・後編」で書く予定。

*5 大綱は、「本人の同意がなくてもデータの利活用を可能とする枠組みの導入等」（7頁）で、「個人の特定性を提言したデータ」の件（後の匿名加工情報）に触れた後、次の段落で、「また、医療情報等のように適切な取扱いが求められつつ、本人の利益・公益に資するために一層の利活用が期待されている情報も多いことから、萎縮効果が発生しないよう、適切な保護と利活用を推進する。」としていた。

*6 この点については、「匿名加工情報は何でないか・後編」で書く予定。

*7 2015年12月6日の日記「匿名加工情報は何でないか・前編（保護法改正はどうなったその2）」の「匿名加工情報の定義に該当するからといって36条～39条の義務が課されるわけではない」及び2016年2月5日の日記「匿名加工情報は何でないか・前編の2（保護法改正はどうなったその4）」参照。

*8 「「匿名化されている情報」として取り扱っていただくこととなります」では、意味が伝わりにくいだろう。ここはもっと端的に、「匿名加工情報として取り扱うための手続きを行わない場合には、匿名加工情報としての義務が課されるものではありません。」と書いた方がよいが、そうは断言しづらかったのだろうか、指針の「匿名化されている情報」の方が適用されるとだけ書かれた。両者は二者択一なわけではないのだから、法の適用がないことをちゃんと言わないと否定されないのであり、これではまだ誤解する人もいそうだ。

*9 こうしてみると、改正個人情報保護法は、4章2節（匿名加工情報取扱事業者等の義務）を、76条1項の適用除外の対象から外せばよかったのではないかと思えてきたがどうか。適用除外は、報道や学問の自由を制限しないように設けられたものだが、4章2節は、匿名加工情報を使わなければ義務は課されないのであり、使う使わないは自由なのであって、使う選択をしたからにはその手順・手続きに従うというものだから、その従うことは自由が制限されたわけでもなんでもないわけで、元々適用除外とする必要がなかったのではないか。

*10 (3)は作成時の公表義務、(4)は提供時の明示義務、(6)は作成時安全管理措置内容の公表義務、(7)は提供を受けた匿名加工情報の二次提供時の明示義務、(9)は提供を受けた匿名加工情報の安全管理措置内容の公表義務となっている。

*11 この記事のことは、11月29日の日記「医学研究等倫理指針見直し3省合同会議が迷走、自滅の道へ」の脚注10でも触れていた。

*12 昨年2月5日の日記「匿名加工情報は何でないか・前編の2（保護法改正はどうなったその4）」参照。

*13 これまで、提供について、「できる」規定がないのに匿名加工情報を提供できるのは匿名加工情報が個人情報でないからだという整理は見てきたが、作成についても同様の理由があったということだ。

*14 2015年3月8日の日記「世界から孤立は瀬戸際で回避（パーソナルデータ保護法制の行方その14）」参照。

*15 独立行政法人が、研究用に取得した個人情報で個人情報ファイルを構成している場合に、それが、独立行政法人等非識別加工情報への加工対象となるかというと、学術研究目的の個人情報ファイルは、個人情報ファイル簿に記載しないことになっている（独立行政法人等個人情報保護法11条2項6号）ので、対象とならない。

*16 文科省・厚労省のこの「考え方」No.1179は、「……と聞いています。詳しくは総務省にお尋ねください。」と書かれているように、行政管理局に照会して得た見解なのだろう。

*17 その意味では、公的部門の匿名加工情報は、民間部門の匿名加工情報と規律の内容的に異なるものであるから、民間部門のそれとは異なる名称にせよとした内閣法制局長官の指摘は、尤もなものだったとも言えるかもしれない。（それでもなお、文科省・厚労省には同一視されてしまったわけだが。）

本日のリンク元 TrackBack(0)

2017年05月05日

■ 匿名加工情報が非識別加工情報へと無用に改名した事情（パーソナルデータ保護法制の行方その30）

当初の案では「匿名加工情報」だった
用語と定義範囲が一致することの重要性
行政機関法では匿名加工情報は常に個人情報である？
匿名加工情報がそもそも照合によって個人情報に復元されるのか
内閣法制局長官の大どんでん返し
長官のちゃぶ台返し
国会審議での展開
改正法成立後の状況

昨年成立した行政機関個人情報保護法（行政機関法）の改正法で、「匿名加工情報」が法案国会提出の段階で「非識別加工情報」と名称を変えられていたことについて、昨年3月の日記で以下のように書いていた。

行政機関匿名加工情報取扱事業者に再識別禁止の義務はかかるのか（パーソナルデータ保護法制の行方その21）, 2016年3月27日の日記

名称変更の謎

しかし解せないのは、「匿名加工情報」だったはずの用語が、どういうわけか、「非識別加工情報」などという別の名前になっており、名前を変える理由が謎になっていることだ。国会提出後に新旧対照表と同時に公表された「概要」の資料では、図1のように「匿名加工情報」のままとなっており、何か不測の事態が起きたように見える。

この資料に、「個人の権利利益を侵害することにならないよう、民間事業者と行政機関等の双方に必要な規律を課す」とあるように、双方に義務を課すのだから、同じ名前でないと辻褄が合わないように思える。

この名称変更のいきさつが、情報法制研究所（JILIS）からの情報公開請求により明らかになったので、以下に記しておく。

当初の案では「匿名加工情報」だった

情報公開請求したのは、内閣法制局の法律案審議録*1であり、そのうち、総務省に移送されて開示された「……のうち、総務省から内閣法制局に提出されたもの全て」に、2016年2月15日以降の*2内閣法制局とのやりとりが記載されていた。

図1: 2017年4月4日に到着した開示資料

まず最初に、2月19日付で「長官・次長配布版」として作成された「……に関する法律案（仮称）説明資料」の「概要」（p.2）に以下の記述がある。この時点では、「非識別加工情報」ではなく「匿名加工情報」として書かれている。

図2: 2016年2月19日付「長官・次長配布版説明資料」

(3) 匿名加工情報と個人情報の関係

行政機関個人情報保護法等における行政機関匿名加工情報等を個人情報保護法上の匿名加工情報に該当するように定義し、かつ、提供先を当該行政機関匿名加工情報等を事業の用に供する者とすることにより、行政機関匿名加工情報等の提供先について、個人情報保護法における匿名加工情報取扱事業者としての規律（識別行為の禁止等）に服することとする。

「としての規律（識別行為の禁止等）に服することとする」とあるように、この段階で、行政機関側で作成した（行政機関法の）匿名加工情報が、提供先の民間事業者においても（個人情報保護法の）匿名加工情報として義務の対象となるようにすることの必要性が、十分に認識されていたことがわかる。

ただ、「服することとする」というものの、そうなっていることの根拠が、「ように定義し、かつ、」「とすることにより」とあって、前者はまだわかるが、後者が何を言わんとしているのかはよくわからない。「提供先を当該行政機関匿名加工情報等を事業の用に供する者とすることにより」がどういう効果を持つのかがわからない。*3

用語と定義範囲が一致することの重要性

この問題は、昨年の衆議院総務委員会の参考人質疑の回で鈴木正朝参考人が指摘した論点であり、意見陳述で以下のように述べていた。

○鈴木参考人　新潟大学から参りました鈴木正朝と申します。（略）

趣旨には賛成ですが、テクニカルな話になるかもしれませんが、本法案の根幹となる非識別加工情報の条文の一部に問題が残っていると言わざるを得ません。本来実現すべき趣旨に沿った条文の文言に改められるべきだと思っております。

るる順に説明してまいります。

二番ですが、匿名加工情報から非識別加工情報への変更ということでありますが、どうやら、閣議決定直前に用語の変更がなされたのではないか。既に国会に提出されておりますポンチ絵などを見ますと、匿名加工情報の文言が残っておりました。結構どたばただったのだろうなと思いながら見ておりました。

この修正の結果、提供した先の受領者に、匿名加工情報の識別行為の禁止義務、民間の個人情報保護法の三十八条が規定されておりますが、これが当然に適用されるのか、条文上一義的に明らかになっていないという問題が出てまいりました。この法適用に疑義を残すことは、制度上やはり、オープンデータを推進するという意味からして、大きな問題が残っているのではないかということを指摘したいと思っております。

三番ですが、識別行為の禁止義務、民間部門の個人情報保護法三十八条の適用の疑義についてであります。

提供した先の民間の個人情報取扱事業者に匿名加工情報の義務が適用されるためには、明文の根拠規定を置くことが必要だと思います。しかし、その根拠条項がないばかりか、形式的には、法令用語の統一ができておりません。そうであるならば、せめて実質的に、その対象情報の範囲が、内容が一致している必要がありますが、非識別加工情報と匿名加工情報は、法文の文言を見る限り、一致しておりません。説明とは違います。

第一に根拠条項がなく、第二に法令用語が異なり、第三にその用語の定義、すなわち概念の示す範囲が一致していない。それなのに、非識別加工情報の提供を受けた民間の個人情報取扱事業者は、当然に識別行為の禁止義務、三十八条が適用されると説明されています。

これは、でき上がった法律で、苦肉の策で法解釈学が受け持つのではなく、今まさに法案として審議中に発見された問題であります。これは、両者が一般法と特別法の関係にあり、かつ、両者が基本的に同じ概念だという強弁を受け入れることで成立する考え方であります。国民の権利義務に係るまさに法律事項の条項の適用において、このような解釈を前提とした法案を許していいのかどうか、私は甚だ疑問であると思っております。

具体的にどう直すか枠囲みに書きましたが、明文規定への追加案もあります。個人情報保護法を改正し、三十八条に受けの明文規定を置くこともできます。行政機関法に明文規定を置いてもいいです。それから、形式的には、法令用語の統一もあってもいいでしょう。匿名加工情報の統一案。非識別加工情報統一案。むしろ、個人情報保護法の本体を改正し、非識別加工情報という用語を採用することもできる。もしくは、用語は変えると決めてしまったのであれば、実質的には、その対象情報の範囲が一致するように、条文のわずかばかりの修正を行えばいいのではないかと思いました。

第190回国会衆議院総務委員会会議録第14号, 2016年4月19日

鈴木参考人は解決案を示しており、「どう直すか枠囲みに書きました」というのは、図3の写真の資料のことであり、以下のように提案していた。

図3: 鈴木正朝参考人の「参考人意見」, 2016年4月19日

(1) 明文規定追加案
個人情報保護法を改正し、38条に受けの明文規定を置くこと。（行政機関法に明文規定を置いてもいいが。）

(2) ア）形式的には、法令用語の統一
①「匿名加工情報」統一案
②「非識別加工情報」統一案（個人情報保護法改正）
イ）実質的には、その対象情報の範囲が一致していること

ちなみに、この「個人情報保護法38条に受けの明文規定を置く」ことについて、昨年の行政機関法の改正法が個人情報保護法38条の改正も含んでいることから、そのような規定は既にあると誤解している人を複数目にしたので、そうではないことをここで確認しておきたい。個人情報保護法38条の改正は以下のようになっている。

（識別行為の禁止）
第38条匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第36条第1項、行政機関の保有する個人情報の保護に関する法律（…）第44条の10第1項（同条第2項において準用する場合を含む。）若しくは独立行政法人等の保有する個人情報の保護に関する法律第44条の10第1項（同条第2項において準用する場合を含む。）の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。

強調部が改正で加えられる部分であり、パッと見で、「他の情報と照合してはならない」との規定に、行政機関法や独法法が参照されているかのように見える。しかし、よく見れば、加えられた部分は「の規定により行われた加工の方法*4」に係っているだけであり、「取得してはならない」とする情報に、行政機関法や独法法における匿名加工の際に生じた「加工の方法」を加えるだけの規定である。これが加えられたのは、さすがにこれらの法を参照することなく単に「加工の方法」で済ますことはできなかったからなのだろう。*5

そうすると、同じように行政機関法と独法法を参照して、以下のようにすることもできたはずで、鈴木参考人の解決案(1)はそういう提案だった。

（識別行為の禁止）
第38条匿名加工情報取扱事業者は、匿名加工情報（行政機関の保有する個人情報の保護に関する法律第2条第9項に規定する行政機関匿名加工情報及び独立行政法人等の保有する個人情報の保護に関する法律第2条第9項に規定する独立行政法人等匿名加工情報を含む。以下この節において同じ*6。）を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、（略）を取得し、又は当該匿名加工情報を他の情報と照合してはならない。

なぜこうしなかったのかは、開示資料からではわからなかったが、おそらく、このようにせずとも、「匿名加工情報」という用語が同じで、かつ、前掲図2の部分が言うように、「行政機関個人情報保護法等*7における行政機関匿名加工情報等を個人情報保護法上の匿名加工情報に該当するように定義し」ていれば、必然的に、行政機関匿名加工情報等は、常に、個人情報保護法における匿名加工情報にも該当することになって、自動的にこの38条の義務が課されるという手はずだったのだろう。

ところが、2月22日・23日の内閣法制局長官・次長による指摘で、これがひっくり返されることになる。

その様子を見る前に、前掲図2の2月19日付「説明資料」の続きの部分を確認しておきたい。

行政機関法では匿名加工情報は常に個人情報である？

「行政機関法では匿名加工情報は個人情報である」という整理が、以下のようになされていた。

図4: 2016年2月19日付「長官・次長配布版説明資料」（図2の続き）

1枚目の写真は、図2の写真の次のページである。以下の文章がある。

一方で、行政機関等が民間事業者が作成した匿名加工情報を取得する場合には、それらの匿名加工情報は、作成にあたり削除された記述等や加工の方法に関する情報等が廃棄されていない限り、行政機関個人情報保護法等では、個人情報に該当することとなるため、行政機関等には、個人情報としての規律がかかることにより、利用目的の特定等の義務が生じることとなる。

この文章が何を意味しているかは、2枚目の写真の下の矢印（左向きの）が端的に表している。

つまり、上の矢印（右向きの）のように、行政機関匿名加工情報を提供するとき、その行政機関匿名加工情報が個人情報であるというだけでなく、下の矢印（左向きの）は、民間事業者が持つ匿名加工情報を行政機関が取得したら、行政機関法上の個人情報に該当するというのである。

これは初耳であり、驚いた。国会審議ではこの解釈は出ていなかったと記憶している。

下の矢印（左向きの）のようなケースは、個人情報保護法改正法の成立後、昨年になってから、「国立大学を含む独立行政法人は、民間事業者で作成された匿名加工情報の提供を受けて取り扱うことはできるのか」という論点として出てきて、独法には個人情報保護法38条等が適用されないから、そういう提供は想定されていないのではないかという話があった。

個人情報保護委員会は、このようなケースについて、ガイドライン、Q&A、事務局レポートのいずれにも書いていない。

医学系研究倫理指針見直しのパブリックコメントでは、その点に係る質問があり、以下のように回答されていた。

Q （略）国立大学付属病院は、「独立行政法人等の保有する個人情報の保護に関する法律」の規定によるが、「法」に従う私立大学、私立病院、私立の研究機関、学会等が主導して行う他施設共同研究に国立大学付属病院が参加する場合には「指針」の第17は該当しると考えられる。ここでは、特に(9)の「匿名加工情報の提供を受けた」場合の公表に係る対応について、研究者の負担を増大させることが懸念されるため、過剰な負担を強いることのない記述を検討いただきたい。（略）

A 第17の(9)については、個情法に規定されている内容を引用しているものであり、法律と同等の手続きを行わなければ匿名加工情報にはならないため記載を変更することができません。なお、国立大学が匿名加工情報の提供を受けた場合には、匿名加工情報ではなく、個人情報又は個人情報でない情報（非個人情報）のどちらに該当する情報かを判断し、個人情報又は非個人情報として取り扱っていただく必要があると聞いています。詳しくは総務省にお尋ねください。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1179

「と聞いています」「総務省にお尋ねください」という回答もなかなかだが、総務省行政管理局は未だここのところの見解を公けにしていないのではなかろうか。

この回答では「非個人情報」となる場合も想定されているが、前掲図4のように、少なくとも行政機関法改正法の立案段階では、民間の「匿名加工情報」を公的部門が受領したら常に行政機関法上の個人情報に該当するとされていたのである。

ちなみに、法案に先立って有識者らが検討していた（という体裁の）「行政機関等が保有するパーソナルデータに関する研究会」の「行政機関個人情報保護法・独法等個人情報保護法の改正に向けた考え方」」（2016年3月7日）では、この点について以下のように書かれていた。

なお、公的部門が民間部門から匿名加工情報を受領する場合、行政機関等は所掌事務の範囲内でしか匿名加工情報の入手はできず、通常、他の第三者に提供することは想定しがたい*8 こと、法令に基づく場合は民間企業等から加工前の個人情報の提供を受けることができること、セキュリティ面で適正な取扱いを行うことは当然のことと想定されることを踏まえて、規律を設けることが必要かの検討が必要である。

行政機関個人情報保護法・独法等個人情報保護法の改正に向けた考え方, 行政機関等が保有するパーソナルデータに関する研究会, 2016年3月7日

この研究会の「考え方」は、改正法案の閣議決定（3月8日）の前日に公表されたもので、その3日前に8か月ぶりに開かれた会合で検討され決定されたものなので、この時点ですでに前掲図4の説明資料は完成していたわけである。

ここで、その「3日前に8か月ぶりに開かれた会合」の議事要旨を確認したところ、これに近い論点が、以下のように議論されていた。

【宍戸構成員】（略）その上で、事務局に少し整理をお伺いしたいのは、例えば、行政機関が匿名加工情報を作って、それを国立大学法人にご提供いただいたとします。その行政機関が作った匿名加工情報は、国立大学法人にとっては何らかの形で照合可能なので、なおそのままでは独個法上の個人情報に当たる、そういう整理の仕方になるのですか。

そうではなくて、国立大学法人は最初の加工前の個人情報を持っていないので、個人情報ではないと考えるのですか。

【事務局】今のご質問ですけれども、行個法上は、目的外でも国の行政機関が独立行政法人に対して相当の理由があれば、個人情報そのものを提供できる。すなわち独立行政法人で、元データを入手し得るのであれば、元の個人情報と照合することができ、個人情報に該当するということになるのではないかと考えております。

【宍戸構成員】そうだといたしますと、今回の法改正において、匿名加工情報が少なくとも行政機関及び独法の間を回っている間は常に、カテゴリーとして匿名加工情報は個人情報の中に入っている、そういう整理ですか。

【松村構成員】考え方には、そのように書いてあります。「すべからく」そうだと書いてあるから問題だと申し上げているところです。

【下井構成員】そういうものもある、ということではないですか。

【佐藤構成員】その問題を突き詰めていきますと、行政機関ないし独法の間で元となる個人情報の受け渡しができるとなりますと、2つ考えなければいけないことがあります。まず、行政機関ないし独法の間で匿名加工情報を取り扱っていいのかどうか。もともと照合できるものを渡しても仕方ないので、独法は行政機関の匿名加工情報を買ってはいけないと整理をするのか。買った場合には何か行政執行上の理由で、個人情報ファイルと個人情報そのものをもらうというのと同じ扱いにするのか。おそらく、どちらかの整理をしていかないといけないと思います。

それは、どういうふうにお考えになっていますか。

【大槻管理官】今回の仕組みは、基本的に行政機関で加工した情報を民間で活用してもらうことを想定していますので、行政機関同士や、行政機関と独法間のやりとりは想定していません。

そうしますと、事実上匿名加工情報的な情報をやりとりしたら、どういうふうに取り扱うかということでありますが、その場合はもともとの行個法の取扱いにさかのぼって、個人情報である部分は個人情報としての規律で取り扱っていただくということかと思います。

【佐藤構成員】1つ気になるのは、独立行政法人や国立大学法人で、行政機関から匿名加工情報をもらおうといったときに、私立大学は買えるけれども国立大学法人は買えないということが起きてくるのではないですか。

【宍戸構成員】同じことですが、国立大学法人東京大学が提供するデータは、慶応義塾大学は買えるけれども京都大学は買えないといった問題が起きませんか。

【藤原座長】今のお話は、東大病院と慶応病院と市立の大学とで、医療データをどのような回し方をするのかという以前からの問題のことだと思います。

まずその前に12ページの議論を片付けてしまうと、公的部門と書いてあり、独法も行法も両方とも含みますし、独法と行政の間であれば現在でも生データの交換ができるわけですから、今佐藤構成員が言われたような心配はないわけですね。

【佐藤構成員】ただ、独法や大学が例えば研究で使いたいといった場合に、行政執行上の理由でそのデータが欲しいと言えるかというところです。

【藤原座長】それは、まさしくデータによるのではないですか。そこは今と変わらないと思います。それについて、医療データ等では困るから、医療の分野等については何とか回す仕組みを作ろうという議論をしてきたわけです。そこの基本線は変わらないお話だと思います。

12ページのなお書きのところは、ここまでのような議論を招くものであれば、10ページとの整合性、及び現行はどこまでできて、今度はどうなるのかという趣旨がはっきり分かるような直し方をさせていただきたいと思います。

第16回議事要旨, 行政機関等が保有するパーソナルデータに関する研究会, 2016年3月4日

この会合は一般傍聴していたので、このやり取りは記憶にある。ただ、後半の、独法は匿名加工情報を取得し利用できるのかの方だけが記憶に残っていた。今改めて見ると、前半部分は、行政機関・独法で作成された匿名加工情報は行政機関法・独法法上の個人情報であるとされた話の流れで、それを別の行政機関・独法で受領したときも個人情報なのかという議論だったようだ。私は傍聴していたときこれを聞き逃していたようだ。てっきり、作成された行政機関・独法において個人情報という話だけがされているのだと思っていて、匿名加工情報を行政機関・独法が受領すると常に個人情報になるという話がされているとは、思いもよらなかったのだろう。

これについて、事務局ははっきりと、「独立行政法人で、元データを入手し得るのであれば、元の個人情報と照合することができ、個人情報に該当するということになる」と答えている。しかも、「元データを入手し得る」ことの根拠として、「行個法上は、目的外でも国の行政機関が独立行政法人に対して相当の理由があれば、個人情報そのものを提供できる」という法律上の可否を理由にしている。

これはびっくりだ。個人情報該当性について、「他の情報と照合することができ」をどう解釈するかは、これまで、行政管理局の解説書が以下のように説明していた。

照合の対象となる「他の情報」には、その保有者が他の機関である場合も含まれ、また、公知の情報や、図書館等の公共施設で一般に入手可能なものなど一般人が通常入手し得る情報が含まれる。特別の調査をすれば入手し得るかもしれないような情報については、通例は「他の情報」に含めて考える必要はない。しかし、事案によっては、個人の権利利益を保護する観点からは、個人情報の取扱いに当たって、より慎重な判断が求められる場合がある。行政機関の長は、当該個人を識別するために実施可能と考えられる手段について、その手段を実施するものと考えられる人物が誰であるか等をも視野に入れつつ、合理的な範囲で考慮することが適当である。

解説行政機関等個人情報保護法, 総務省行政管理局

なるほど、たしかに、照合の対象とする他の情報には「他の機関」が保有するものを含むとされている。

ただ、これまでの私の理解では、他の機関が保有していれば常に該当するわけではなく、その機関と何らかの関係性を持つ場合に限られるものと思っていた。そうでなければ、「他の機関」というのが未知の組織である場合も含めて、保有しているかを把握しなければ個人情報該当性を判断できなくなってしまう。

その点、この論点においては、「匿名加工情報の提供を受けた」という関係性の存在が前提になっている。提供を受けた機関から提供した機関への日常的な問い合わせが行われていなくても、提供した機関から提供を受けた機関への（単発の場合を含め）提供があれば、つまり、組織間に片方向の関係性さえあれば、提供を受けた機関において「他の情報と照合することができ」に該当するということであろうか。

ちなみにこの解説書の言う「他の機関」というのは、行政機関等のことなのだろうか。それとも民間組織も「機関」に含むのだろうか。

そして、この研究会の議論のときは、改めて見ても、公的部門から公的部門への匿名加工情報の提供に関してのみ議論されていたが、今回の開示資料に書かれている前掲図4の整理では、民間部門から公的部門への匿名加工情報の提供においても、常に、提供を受けた行政機関・独法では個人情報に該当するというのである。

提供を受けたという片方向の関係性があれば提供元の情報との「照合することができ」に該当するという解釈は、私は、むしろ賛成したい素晴らしい解釈だと思うが、これまで、てっきり、支持されていない解釈だとばかり思っていた。

その点、このような解釈に反する事例として、よく引き合いに出されるのが、情報公開・個人情報保護審査会の答申「平成18年度（独個）答申第3号」である。

この事案は、独法法が適用される国立大学法人東京大学が、医科学研究所ヒトゲノム解析センターにおいて保管しているDNA及び診療情報等について、本人からの自己情報開示請求に対して不開示決定をしたことに対する請求者からの異議申立てがあり、審査会が決定を妥当と判断したものであり、その判断において、独法法2条2項該当性について、以下のように判断していた。これは、今回の行政管理局の整理に反するように見える。

異議申立人は、情報はすべて匿名化してからバイオバンクジャパンに送るとはいえ、それには個別のIDが付与されており、送付後も協力病院が持っている個人を識別する情報と結び付けることが可能な状態にあり、これは、法に定義された「個人情報」に該当するものであって、法2条2項には、「他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む」と記されている旨主張する。

しかしながら、上記(1)において、諮問庁が詳細に説明するとおり、バイオバンクジャパンに提供された試料及び臨床情報については、個人情報保護の観点から、厳格な取扱いを行なっているところであり、取り分け、上記(1)のイ（ウ）①及び②のとおり、「匿名化に用いた対応表は、各病院の個人情報管理者及び個人情報管理補助者以外は扱うことができない。」及び「提供者提供者の個人情報が付された情報資産は、病院以外では扱うことのできない（病院内で提供者の個人情報の匿名化を施すため、病院外の組織においてはレベル3の情報資産は存在しないこととなる）。」とされていることから、バイオバンクジャパンは、提供された試料及び臨床情報について、個人を特定する情報を保有していないだけでなく、個人を特定する情報を協力病院から入手することもできず、異議申立人が主張する「協力病院が持っている個人を識別する情報と結び付けることが可能な状態にある」とは認められない。

したがって、バイオバンクジャパンが保管している情報は、「他の情報と照合することができ」ないため、「それにより特定の個人を識別することができることとなるもの」ではないので、法2条2項の個人情報に該当するとは認められない。よって、（略）

この事案では、病院から東大への提供であるので、病院が民間事業者であれば、前記の通り、「他の機関」と言えるのかという論点が残るかと思ったが、病院に国立病院も含まれていたのであろうから、それは明らかに「他の機関」に含まれるので、やはり、この答申の判断は、今回の行政管理局の整理に反しているように思える。

繰り返しになるが、「片方向の関係性があれば照合することができる」とする解釈は、私は賛成であり、民間部門にも適用していくべきと考えている*9のだが、ただ、行政管理局のこの整理が解せないのは、匿名加工情報が照合によって常に個人情報に該当するとした点である。

匿名加工情報がそもそも照合によって個人情報に復元されるのか

この点は、昨年3月6日の日記「行政機関法では匿名加工情報が個人情報に当たるですって？（パーソナルデータ保護法制の行方その20）」で詳しく書いている。このときは、松村雅生構成員が、執拗に事務局の見解はおかしいと追求していた様子を速報で書いた。その後、議事要旨が公開されているので、改めて、松村構成員の主張した部分を以下に引用しておく。

【松村構成員】12ページの真ん中のなお書きについてです。匿名加工情報というのは、元の情報があるのだから、行個法上の個人情報に当たると整理されています。一方で10ページでは、先ほど下井構成員がご指摘されたように、個人情報を加工して個人情報該当性を適切に排除すれば、行個法上の個人情報ではなくなると整理されています。

もちろん「個人情報該当性を適切に排除すれば」となっていますが、では、どのような加工のやり方であれば、個人情報該当性を排除することができるのかどうか。それはどうなっているのでしょうか。

【大槻管理官】趣旨としましては、10ページにありますとおり、個人情報該当性を適切に排除するということですけれども、12ページのなお書きのところをどういうふうに読み取るかということを、もう少し詳しくご説明します。

行政機関の中においては、当然作成の元になった個人情報は持っているものですから、それと照合すれば、個人情報に当たるものである言えるかと思います。これを実際に民間事業者に提供する場合どうなるのかということですが、そういった場合、民間事業者においては、元の個人情報は当然持っていませんから、まず照合されることはないだろうと考えられます。したがって、個人情報該当性が適切に排除されたものを提供するという趣旨でございます。

【松村構成員】匿名加工情報は、もちろん若干個人識別性が残っているかどうかという議論がありますけれども、大半は識別性がなくなったものを言っているわけです。それについても、12ページでは、保護法の適用になるから、利用・提供は勝手にできないという趣旨で書いてあります。その点について、今のご説明とどういうふうに整合性があるのでしょうか。

【大槻管理官】繰り返しになりますけれども、個人情報該当性を適切に排除するというのがもともとの発想ですけれども、吟味したところ行政機関の中にあるときに、個人情報なのかどうか、どちらかと整理したならば、個人情報と言わざるを得ないということです。

【松村構成員】元の情報を持っている限りは、いくら一部だけを取り出して渡そうとしても、渡せませんよというのがこの12ページの考え方ではないのですか。そうした場合に、10ページの「個人情報該当性を適切に排除すれば」利用・提供は問題ないというケースが起こり得るのでしょうか。行政機関が匿名加工情報を提供しようとする場合に、元の情報を持っていれば、その一部個人識別情報でなくなった場合でも出せないと、12ページには書いてあるのではないですか。そのように読めるのですが、そうでなければ、そうでないように書いた方がよろしいのではないでしょうか。

【大槻管理官】分かりました。「適切に排除する」というのが、きつく書き過ぎていて、12ページに書いている内容と整合性がとれないのではないかということについて、10ページの表現を少し検討したいと思います。

【藤原座長】松村構成員のご指摘は、民間でもときどき問題になりますが、提供元にデータがある限り、どう加工しようと提供元としてみれば照合できるというお話ですか。

【松村構成員】個人情報だから利用・提供できないという問題の話です。ところが、問題ないと書いてある。

【事務局】松村構成員からご指摘ございましたが、民間法制の場合は本人というのが限定となっておりますが、行政機関個人情報保護法の場合は第8条第2項第4号に基づき特別の理由があれば提供し得るということですので、必ずしも提供できないということにはならないだろうと考えられます。

それから、先ほどの下井構成員のご発言とも関連するのかもしれませんが、個人情報そのものではなく、これを加工して外部に提供した場合には、もう個人が識別されないものであり、元データとの照合では、確かに個人情報に当たるかもしれませんが、権利利益侵害性の高低はかなり違うということもあります。そういった元データとの照合では個人情報に当たるとしても、提供の在り方については新たな提供の仕組みは考え得るのではないか。現在ですと、特別の理由に該当するということで提供するとなると思いますが、もともとの個人情報そのものとは性質が違うような情報の提供の在り方を新たに整備することによって、提供しやすくなっていくという側面があるのではないかと思います。

【松村構成員】私は、どちらが正しいかを問題としているのではなく、少なくともこの考え方の中で、12ページのなお書きのところと10ページの「個人情報該当性を排除すれば」利用・提供は問題ないというところが矛盾している点を指摘しているのです。

【藤原座長】以前、公的部門と民間部門について、個人情報該当性は提供元基準か提供先基準かという議論をしたときに、提供元でもあり提供先でもあるというご説明であったのを覚えていらっしゃると思うのですが、そこのところのお話にも関係するのではないかと思われます。松村構成員の従来からの御主張は理解しているつもりです。

ただ、公的部門は民間部門と異なり、8条の記述のスタートのところが違うのではないですかね。

【松村構成員】これで最後にしようと思いますが、行政機関個人情報保護法の問題として、12ページでは提供元に個人情報があるのだから、どう加工しようと識別性が残っている、個人情報の規制がかかるという趣旨で書いてあると理解できる一方、10ページでは加工したらそれはもう個人情報から外れるから、目的外の利用・提供も自由にできると書いてあるように読めます。

この点は矛盾しているのではないでしょうか。私は提供元、提供先どちらの識別性の基準に立つべきかを議論しているつもりはありません。

（略）

【松村構成員】それでは、1点だけ確認ですが、12ページのなお書きの考え方をとりますと、匿名加工情報は、すべからく行個法で言う個人情報に当たると、この研究会では整理されるということでしょうか。

【藤原座長】すべからくといわれると考えますが、行個法ではそうもなります。

【松村構成員】そうしますと、この12ページのなお書きは、どう読めばよろしいのでしょうか。

【藤原座長】それでは松村構成員のご質問に関連しますので、ここで佐藤構成員から意見書が提出されているご意見を開陳していただけますか。

（略）

【松村構成員】考え方には、そのように書いてあります。「すべからく」そうだと書いてあるから問題だと申し上げているところです。

【下井構成員】そういうものもある、ということではないですか。

第16回議事要旨, 行政機関等が保有するパーソナルデータに関する研究会, 2016年3月4日

このように議論は平行線のまま終わっていたのだが、前掲の開示資料（2月19日作成）には、続くページの「別紙2」で、次のように書かれている。

図5: 2016年2月19日付「長官・次長配布版説明資料別紙2」

2 「匿名加工情報」と「個人情報」

(1)「匿名加工情報」と改正後の個人情報保護法の「個人情報」

改正後の個人情報保護法における匿名加工情報は、「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」（第2条第9項）と定義されている。作成に用いた個人情報を「復元することはできない」が、自ら保有し、又は入手可能な他の情報との照合により特定の個人を識別することも概念上はあり得ることから※、「匿名加工情報」は、個人情報保護法の「個人情報」に当たることもあり得る。

改正後の個人情報保護法では、匿名加工情報を作成する民間事業者及び取得する民間事業者に対して、特定の個人の識別のための照合の禁止を義務付けており（第36条第5項及び第38条）、その結果、民間事業者にとっては、当該匿名加工情報は、「個人情報」には該当しないものとなる。

（※）実際には、現時点で想定している加工の方法により「個人情報を復元することができないようにした」情報であって、他の情報との照合により特定の個人を識別することができるものは、現時点では想定していない。

(2) 「匿名加工情報」と行政機関個人情報保護法の「個人情報」

匿名加工情報は、それ自体では、作成に用いた個人情報を「復元することができない」が、作成にあたり削除した記述等や個人識別符号、加工の方法に関する情報など、他の情報との照合により特定の個人を識別することができることから、行政機関個人情報保護法の「個人情報」に当たるものである。

なお、作成にあたり削除した記述等や個人識別符号、過去の方法に関する情報等が廃棄された場合には、他の情報との照合により特定の個人を識別することができなくなり、「個人情報」にはあたらないこととなる。また、匿名加工情報の本人が全て「生存する個人」でなくなった場合には、「個人情報」にはあたらないこととなる※。

（※）「匿名加工情報」は、個人に関する情報であるのに対して、「個人情報」は、生存する個人に関する情報である。

(1)が民間部門の話で、(2)が公的部門の話となっている。

(1)の言っていることは、民間部門において、匿名加工情報は、「自ら保有し、又は入手可能な他の情報との照合により特定の個人を識別することも概念上はあり得る」という理由から、そのままでは個人情報に該当する場合もあるとしながら、改正により、「特定の個人の識別のための照合の禁止を義務付けて」いることから、個人情報に該当しなくなるという整理である。

この整理は、以前から問題視していた*10考え方で、「匿名加工情報は何でないか・後編」で書くつもりだと何度か言いつつ、まだ書いていないところである。その後、個人情報保護委員会のガイドラインとQ&Aはこの論点に触れなかったが、「事務局レポート」にはこの点が書かれてしまった。また、JILISからの情報公開請求で開示された、2015年の個人情報保護法改正案の内閣法制局法令審議録から、これまで判明していなかったことも明らかになったことから、いずれその「後編」でそのことをがっつりまとめる予定である。

それにしても、この部分に「※」として、「実際には、……現時点では想定しないない。」などと書かれている。これは重要な記述だ。つまり、匿名加工情報が「自ら保有し、又は入手可能な他の情報との照合により特定の個人を識別すること」というのは、あくまでも概念上あり得るとされているにすぎず、実際には、そういうことが起きるような「加工の方法」というのを、現時点では想定していないというのである。これが何を意味するかについては、その「後編」で書くつもりだ。

そして、(2)では、公的部門での話として、(1)と同様の理屈を用いて、自ら保有している情報との照合により特定の個人を識別することができるとし、ここには書かれていないが、行政機関法では再識別の禁止規定を置かないことから、個人情報に当たるとしている。

ここでおかしいのは、一見、(1)と同じ理屈を用いているようで、同じではないことだ。(1)では、あくまでも概念上あり得るという話であり、実際にはそうなるような加工の方法を想定していないと言っている。それなのに、(2)は、そこを無視して、常に「個人情報に当たる」としてしまっている。そこに理由は何ら示されていない。

両者の文章の違いをもう少し分析してみると、(1)では「自ら保有し、又は入手可能な他の情報との照合により」となっているのに対し、(2)では「作成にあたり削除した記述等や個人識別符号、加工の方法に関する情報など、他の情報との照合により」と、具体化されている。削除したものや加工の方法は「自ら保有し」でいるものに相当するだろう。

「削除したものや加工の方法」と照合することで、匿名加工情報が元の個人情報に復元できるというのは、いったいどういう加工方法を想定しているのであろうか。（民間部門ではそういう加工方法は想定していないと、(1)の「※」が言っている。）

一つ考えられるのは、加工元で、鍵付きハッシュ関数で「仮ID」を作成し、鍵を残して保管する場合である。鍵は「対応表」に相当するもので、医学系研究分野で言われるところの「連結可能匿名化」（「連結可能仮名化」と呼ぶべきだが）に相当するものである。この場合、元データと対応表を用いれば、仮IDの付された匿名加工情報は、元の個人情報に対応づけることができ、復元できるということになる。このとき、「元データ」が「作成にあたり削除した記述等や個人識別符号」に当たり、ハッシュ関数のアルゴリズムと鍵が「加工の方法」ということになろう。

ここで、仮IDを残した匿名加工情報の提供はアリなのかという論点がある。これはナシとすべきだったと思うが、これについてもさきほどの「後編」で書く予定である。

仮IDを残さないのであれば、「削除したものや加工の方法」と照合することで元の個人情報に復元できることはないと言うべきだと思う。逆に言えば、そのような加工方法を、個人情報保護委員会の加工基準の規則は求めているのだと言うべきだと思う。

ともあれ、行政機関法改正案の立案段階では、このように、匿名加工情報は常に個人情報に該当すると整理されてしまった。

そのため、そのままでは、改正前の行政機関法の各義務規定が、作成した匿名加工情報にも適用されてしまい、目的外利用・提供の禁止等の規定に抵触してしまうことになるため、法案は、「保有個人情報」や「個人情報」から「行政機関匿名加工情報」と「削除情報」に該当するものを除くとした。この件は、3月5日の日記「鳥取県の条例改正案、非識別加工情報導入で矛盾噴出（パーソナルデータ保護法制の行方その28）」の「「非識別加工情報」を個人情報に係る義務から除外していない」の節でも述べた。

開示資料を見ると、この除く作業に、手間をかけて綿密な検討が行われていた。以下の写真のページなどがそれである。

図6: 2016年2月19日付「長官・次長配布版説明資料」（続く部分）

1枚目の写真のページには、「規律の一覧性の観点から、行政機関匿名加工情報及び行政機関匿名加工関連情報に関する措置は、新設する規定において措置することとし、現行の規律からは、除外することとする。」と書かれている。（ここで、「行政機関匿名加工関連情報」という語が出てくるが、これは後に「削除情報」の語に変更され、今に至る。）

2枚目の写真のページの図は、匿名加工情報と削除情報について、「個人情報」、「保有個人情報」、「個人情報ファイル」に係るそれぞれの規定について、どういう理由で除外するのかを整理している。

3枚目の写真の図は、各条で除外するのかしないのかを整理し、間違いがないか確認する表になっている。

匿名加工情報が個人情報でないのなら、こんな整理は無用だったのに、なんともはや、いかにも内閣法制局で強いられる作業だなという感がある。

内閣法制局長官の大どんでん返し

さて、以上を踏まえて、ようやく本題に戻る。

このような「長官・次長配布版説明資料」が作成され、2016年2月22日と23日にかけて、内閣法制局長官・次長による検討と指摘があったようだ。それを受けて作成されたのが、次の2月29日付の資料である。

図7: 2016年2月29日付「行政機関個人情報保護法等改正法案長官・次長御指摘（2月22日・23日）への対応概要」

なんと、ここで、内閣法制局長官の指摘により（次長かもしれないが）、「行政機関匿名加工情報は、個人情報にあたらない」と、根底からひっくり返されたのだった。

「関連規定を修正すべき」と指摘されているが、前掲の通り、これは根本から見直す必要が生じるのであり、図6で整理したような「規律の一覧性の観点から」の除外規定なども、全部吹っ飛ぶことになる。

これでは堪らんということだったのか、1週間後の2月29日に内閣法制局長官に持ち込まれた資料では、行政管理局の対応は、それに従わないものとなっており、以下のように書かれている。

行政機関匿名加工情報は、作成に用いた個人情報等特定の情報と照合した場合に限り、特定の個人を識別することができることから、それを明確化するために、第9項を追加し、それ以降の項を1項ずつ繰り下げました。＜別紙1参照＞

なんと、長官の指摘に真っ向から逆らっている。「作成に用いた個人情報等特定の情報と照合した場合に限り」云々と、これまでの整理を繰り返し、それがわかりにくいようだから「それを明確化する」として、9項を新たに追加するというのである。

なお、この修正前では、匿名加工情報の定義は以下のようになっていた。

図8: 2016年2月15日付の案文（表紙と2条8項）

この定義は、強調部を除いて、民間部門における定義と同一である。強調部は、民間部門と公的部門とでの「容易に照合」と「照合」の差分を吸収して、民間部門における個人情報のみを加工の対象とするという趣旨である。この点は問題がなく、素直な定義条文だったと言えよう。

これに対して、長官の指摘を受けて追加する（2月29日に）という9項の内容は、以下のものであった。

図9: 2016年2月29日付の案文（2条9項）

9 この法律において匿名加工情報について「特定の個人を識別することができない」とは、匿名加工情報に含まれる記述等により、又は他の情報（匿名加工情報の作成に用いられた個人情報その他個人情報保護委員会規則で定める情報を除く。）と照合することにより、匿名加工情報の作成に用いられた個人情報の本人その他の特定の個人を識別することができないことをいう。

こういう定義規定はアリなんだろうか。8項の条文解釈を2条の定義規定に書こうとする内容になっている。

ここで、照合の対象とする「他の情報」から除く情報を、「個人情報保護委員会規則で定める情報」とした（規則に委任した）のは何故なんだろうか。後で規則で規定するくらいなら、法のここにそのまま書けばよいことのはずだ。一般に、規則に委任する意義は、制定後に状況の変化に応じて改正しやすいようにするといったことにあり、些細な規定であるはずのところ、解釈を「明確にする」ために書いたこれを規則に委任するというのは、理解できない。

ここは、憶測にすぎないが、時間がない中で、結局、決めることができず、先送りしたのではないか。

この資料は、この修正の理由について、以下のように書いている。前掲図5の説明が、より詳細化されたような記述になっている。

【理由】

1 個人情報保護法における匿名加工情報と個人情報の関係

個人情報保護法に規定する「匿名加工情報」は、「特定の個人を識別できないように、個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」とされている（第2条第2項）。

これについては、匿名加工情報は、他の情報と照合したとしても、基本的には特定の個人を識別することができない情報であることを規定したものであるが、その場合であっても、次のような特別な情報と照合した場合等には、なお特定の個人を識別される余地があるものである。

① 加工に用いた個人情報自体や当該個人情報を複製して作成した情報との照合

② 加工に用いた個人情報と加工の方法に関する情報を用いて作成した情報との照合

③ 加工に用いた個人情報から削除した記述等及び個人識別符号と加工の方法に関する情報との両方がある場合におけるそれらの情報との照合等

個人情報保護法の「個人情報」における他の情報との照合による特定の個人の識別については、照合が「容易に」行えることを要件としており（第2条第1項）、これらの情報との照合は、「容易に」行えるものではないことから、個人情報保護法では、「匿名加工情報」は、個人情報保護法の「個人情報」にはあたらないものである。

※ このように、「匿名加工情報」は、基本的に他の情報と容易に照合することで特定の個人を識別することができないものであるが、技術の進歩を勘案すると、照合による識別可能性を技術的に完全に排除することは、将来にわたって確実とまではいえないことから、個人情報保護法では、匿名加工情報取扱事業者に対して、識別行為の禁止義務を設けている（第38条）。

これは、修正前の図5と、言っていることが違っている。

図5の整理では、民間部門の個人情報保護法では、匿名加工情報について、「他の情報との照合により特定の個人を識別することも概念上はあり得る」としつつ、「特定の個人の識別のための照合の禁止を義務付けて」いることから、個人情報に該当しなくなるという整理だったが、その考え方が、この修正した整理では消滅している。

それに替わって、そういう照合は「容易に行えるものではない」という新たな考え方が登場し、それを理由として、民間部門では、「匿名加工情報」が「個人情報」にあたらないという整理になっている。

なぜこうなったのだろうか。推測にすぎないが、これが長官の指摘だったのではないか。つまり、長官が「匿名加工情報は個人情報にあたらない」とする指摘に際して、なぜそうなのかの理由が、民間部門における考え方として、このように説明されたのではないか。

もしそうだとすれば、照合禁止規定の存在により容易照合性が否定されるという、一昨年の個人情報保護法改正案の立案段階で一時、整理された考え方は、内閣法制局長官の頭の中ではその後否定されているのではないだろうか。これは、前記の「匿名加工情報は何でないか・後編」で書こうと思ってきた推測と符合する面がある。（これにつていは、その「後編」で書くこととしたい。）

そして、続いて次のように書かれている。

2 行政機関個人情報保護法における匿名加工情報と個人情報との関係

行政機関個人情報保護法では、「匿名加工情報」は、個人情報保護法に規定する「匿名加工情報」と同じ範囲となるように規定することとしている（第2条第8項）。

行政機関個人情報保護法の「個人情報」は、個人情報保護法の「個人情報」とは異なり、他の情報との照合による特定の個人の識別について、「容易に」行えるものであることを要件としていないことから（第2条第2項）、1①～③のような照合により特定の個人を識別することができる情報については、「個人情報」にあたることになる。

3 行政機関個人情報保護法における規定の明確化

2のとおり、行政機関個人情報保護法では、「匿名加工情報」は、「個人情報」に該当する場合があるものであるが、それは、1①～③のような特別の場合に限られるものであることから、「匿名加工情報」が一般に他の情報との照合により特定の個人を識別することができるものであるという誤解が生じないようにするため、匿名加工情報について「特定の個人を識別することができない」こととは、「匿名加工情報の作成に用いられた個人情報その他個人情報保護委員会規則で定める情報」という特別の情報との照合の場合以外には、特定の個人を識別することができないことであることを明らかにする規定を設けることとしたい。

このように、前半の「2」の部分で、行政機関法では、「容易に」ではなく「照合する」ことによってでも個人情報に該当することとなるから、行政機関法では匿名加工情報は個人情報に当たるのだという整理になった。

この理由説明の文を見ると、常に個人情報に当たるとは言っていないようである。「①～③のような照合により特定の個人を識別することができる情報については」とあり、そうでない場合もあることを想定した整理に変更されたように見える。

この整理は、前掲のパーソナルデータ研究会の最終回会合での、事務局や管理官の説明と食い違っている。この資料の日付が2月29日、前掲のパーソナルデータ研究会の最終回会合は3月4日だから、研究会でも、変更された整理に沿って説明されて然るべきところ、変更前の整理のまま説明されたように見える。どういうことだろうか。*11

また、研究会の有識者の方々には、こうした法制局との整理は見せていなかったのであろうか。もし見ていれば、あのような平行線の議論を延々続けずに済み、皆でこの混乱した状況をどう打開するか検討することもできたかもしれない。*12

それにしても、「「①～③のような照合」が、「容易に照合すること」はできないものの、「照合すること」はできるとするのは、どういう基準からなのか。おそらく、照合の手段の技術的な困難性のことを言っているのではないか。前掲の「【理由】」の「1」には「※」として、「技術の進歩を勘案すると」云々と書かれている*13ので、照合の容易性を技術の問題と捉えたフシがある。

しかし、私は、「容易に照合することができ」と「照合することができ」の違いを、技術的困難性で区別するものとして解釈すべきでないと考えている。このことについては、2016年12月30日の日記「宇賀克也「個人情報保護法の逐条解説」第5版を読む・前編（保護法改正はどうなったその5）」の「Q14問題が前進」の節で軽く触れたが、いずれまた詳しく書くつもりである。

そこを仮に、百歩譲って、技術的困難性の違いと捉えたとしても、個人情報保護委員会の加工基準に従って適切に作成された匿名加工情報が、元データと照合できてしまうというのは、どういう状況を言うのかという疑問に辿り着く。

前節では、元データと照合できる例として、「仮ID」を残して提供する場合を挙げたが、その例の場合、技術的に全く困難ではないので、民間部門の「容易に照合」でも照合できるのであり、公的部門の「照合」と違いが生じないわけで、行政管理局の新しい整理で両者を区別しようとした、その思惑に相応しい例にはならない。

したがって、ここでいかなる照合が想定されているのかは、謎ということになる。無理くり例を考えてみるに、例えば、乱数（暗号論的擬似乱数生成器）を用いて匿名加工が行われているとしたときに、その暗号論的擬似乱数生成器のアルゴリズムが非常に高度な分析によって危殆化（暗号アルゴリズムの危殆化のように）してしまい、元データとの対応関係を予測できるようになってしまう事態が何十年後かに訪れるかもしれないという可能性をもって、行政機関法では「照合することができ」る可能性を否定できないから「照合することができ」るとしているなら、それは法律論的に言ってあまりにバランスを欠く整理であり、不適切な法制執務だと非難されて然るべきものだろう。

他にどういう場合が想定されるのか。行政管理局はそこの答えを持っていないのだと思う。空理空論でその場の状況に都合よく辻褄が合う理屈付けが編み出されただけで、現実に即した実体を伴っていないものだろう。

そして、後半の「3」の部分は、この整理を前提として、9項を新たに導入する必要性を、「①～③のような特別の場合に限られるものであることから、「匿名加工情報」が一般に他の情報との照合により特定の個人を識別することができるものであるという誤解が生じないようにするため」と説明している。

「誤解が生じないように」というが、行政法規の条文で誤解を恐れる必要などあるのだろうか。解釈は別途示していけばよいことだろう。そもそも、「「匿名加工情報」が一般に他の情報との照合により特定の個人を識別することができるものであるという誤解」など、いったい誰がするのだろうか。

このような展開になった経緯として、やはり憶測に過ぎないが、法制局長官との議論において、まず、長官から「匿名加工情報は個人情報じゃない」と言われたのに対して、行政管理局はそれまでの整理を説明したところ、長官から「常に個人情報になるわけじゃないだろ。仮に個人情報に当たる場合があるとしても、一部のケースに過ぎないはずだ。」といった指摘があり、その「一部」というのがどういう場合なのか明らかにすることを宿題とされたのではないか。その宿題の回答が、前掲の「①～③」であり、「①～③のような特別の場合に限られるものである」ということなのだろう。

「誤解が生じないように」と言っているが、要は、行政管理局の前の整理がおかしかっただけである。

そして、開示資料には、この理由説明に付属する「（参考）」として、以下の、「行政機関匿名加工情報から本人を識別する行為の禁止義務を措置しないこと」という説明もあった。

図10: 2016年2月29日付の理由説明の「（参考）」

この説明が「（参考）」として用意されていたということは、別案として、行政機関法にも、民間部門と同じように、再識別の照合禁止規定を置けばよいとする意見もあったことを窺わせる。つまり、修正前の整理では、「民間部門では照合禁止規定があるから個人情報でなくなるが、公的部門では照合禁止規定を置かないので個人情報となる」という理屈が使われていたので、「ならば、照合禁止規定を置けばいいじゃないか。」という意見も出てくるわけだ。

その案は採用しないとするのが、この説明であり、その理由が以下のように書かれている。

1 行政機関については、次の理由から、照合によって識別する行為を禁止する必要はない。

① 行政機関匿名加工情報は、民間事業者に提供するために作成するものであることから、作成した匿名加工情報を自ら利用することを前提とした規律として、作成した行政機関匿名加工情報を他の情報と照合することを禁止する義務（個人情報保護法第36条第5号参照）を設ける必要はない（実際のところ、元となる保有個人情報を有する行政機関は、作成した行政機関匿名加工情報について、他の情報と照合する必要も動機もない。）。

② 行政機関は、所掌事務遂行に必要でなければ、個人情報を取得、保有してはならないため（行政機関個人情報保護法第3条第1項）、他者から提供を受けた匿名加工情報を不正に復元することによる個人情報の取得、保有は認められない。また、行政機関としては、所掌事務遂行に必要であれば、匿名加工情報の作成に用いた個人情報自体を取得することも可能であり、匿名加工情報から本人を識別するために受領した匿名加工情報を他の情報と照合したり、加工に関する情報を取得する必要も動機もない。したがって、行政機関の長に対して識別行為の禁止義務（個人情報保護法第38条）を装置する必要はない。

2 一方で、仮に行政機関の長に対して、行政機関匿名加工情報（又は他者から提供を受けた匿名加工情報）から本人を識別する行為を禁止すると、以下のような場合に識別行為を行うことが禁じられることとなり、行政事務の適正かつ円滑な遂行に支障を生じるおそれがあると考えられる。

① 行政機関匿名加工情報に対して、保有個人情報の開示請求があった場合に、識別行為を禁じられると、開示請求の対象となった行政機関匿名加工情報が保有個人情報に該当するか否かを判断できないおそれがある

② 行政機関である個人情報委員会において、民間事業者や行政機関等による匿名加工情報の取扱いを監督することに支障を生じるおそれがある

まず、1の②についてだが、これは、要するに、行政機関は法令に定められた所掌事務しかしないから、不正なことをしないし、所掌事務として必要なら元々法的に元データを取得できるということを言っている。これは、行政機関法が、個人情報保護法17条（適正な取得）の「偽りその他不正の手段により個人情報を取得してはならない」に相当する規定を置いていない理由*14と同趣旨のことと思われる。

しかしそれを言うなら、独法法はどうなのか。独法法には、5条（適正な取得）に「独立行政法人等は、偽りその他不正の手段により個人情報を取得してはならない。」と規定している*15わけで、行政機関と同列には考えられないことを意味している。ならば、独法法には、匿名加工情報に対する再識別の照合禁止規定を置くべきだったと言えるのではないか。これは、前記の、国立大学や国立研究開発法人が匿名加工情報を取得して研究に利用することは認められるのかという論点の解決策だったかもしれないのに、気付かれないまま改正法が成立してしまったように思えるが、どうか。

次に、1の①について。

段落の前半部分は、民間部門が再識別の照合禁止規定を置いている理由が、匿名加工情報を作成した事業者が自ら目的外利用することを許すためであると想定している様子が窺える。（ちなみに、ここからも、修正後の理由では、修正前にあった「容易照合性を消滅させるための照合禁止義務」という考え方が破棄された様子が窺える。）

段落の後半部分（括弧書きの部分）は、「実際のところ……他の情報と照合する必要も動機もない。」と言い切っている。ここは大変重要なことなので覚えておきたい。

次に、2では、「仮に……禁止すると、行政事務の適正かつ円滑な遂行に支障を生じる」と言っている。さっき「照合する必要も動機もない」と言い切ったばかりなのに、いきなり矛盾している。

支障が生じる例として①、②が示されているが、①は、「行政機関匿名加工情報に対して、保有個人情報の開示請求があった場合」と言うけども、前掲図6のところで整理されていたように、行政機関匿名加工情報は、開示請求権の対象としないことにして、保有個人情報から除外しているのだから、これは例になっていない。②は何が問題なのかよくわからないし、いくらでも解決方法があるだろう。ずいぶん急いで書いたのか、無理のある内容になっている。

まあ、ここはあくまでも「参考」にすぎないのであり、いずれにせよ、再識別の照合禁止規定を置けばよいとする別案は採用されなかったわけである。

長官のちゃぶ台返し (ノ｀m´)ノ ~┻━┻ (/o＼)

このような行政管理局の対応に対し、法制局長官はどう思ったのだろうか。その翌日の3月1日に、再び長官・次長との面談があったようで、「御指摘への対応」が以下のようにまとめられていた。

図11: 2016年3月1日付「行政機関個人情報保護法等改正法案長官・次長御指摘（2月29日）への対応概要」

御指摘内容に、「匿名加工情報が、行政機関個人情報保護法では個人情報に該当するのであれば、「匿名加工個人情報」とすべきではないか。」とある。

今の法制局長官のキャラクターを存じ上げないので空想でしかないが、これは長官の逆鱗に触れたのではなかろうか。

長官は前回「匿名加工情報は個人情報じゃないだろ。根本から直せ。」と指摘したのに、行政管理局はそれに従わず、「匿名加工情報は個人情報の場合があるということ。一般に個人情報だとの誤解が生じないようにした。」という対応案を持ってきたわけだ。長官はこの回答に全く納得しなかったのではなかろうか。用語の名前を変更したところで解決にならないのに、名前を変えよという。これはもはや、「そんなに匿名加工情報が個人情報だ言うなら「匿名加工個人情報」と言えや！」と、匙を投げたような展開になったのではないだろうか。

2月29日に持ち込まれた資料には、案文に「匿名加工個人情報」と直す手書きの書き込みメモがあった。

図12: 2016年2月29日付の案文に書き込まれた手書きメモ

そして、3月1日の資料の続きには、以下のようにその修正理由が整理されている。

図13: 2016年3月1日付「行政機関個人情報保護法等改正法案長官・次長御指摘（2月29日）への対応概要別紙1」

【修正点】
「匿名加工情報」を「匿名加工個人情報」に改めるとともに、「匿名加工情報」について設けていた第2条第9項での規定の内容を、「匿名加工情報」の定義において規定する。

【理由】
匿名加工情報が個人情報保護法における「個人情報」に該当しないのに対して、行政機関個人情報保護法では、「匿名加工情報」は「個人情報」に該当するものであることから、その違いを規定上明確にするため、「匿名加工情報」と定義していた情報について、「匿名加工個人情報」とするとともに、相違している部分について、定義において明確にすることとしたい。

名前変更の理由が「その違いを規定上明確にするため」とされているが、長官の指摘は本気でそういう必要性があると考えてのものだったのだろうか。激怒してか、拗ねてか、意固地になって名前を変えろとしたものに、こうして理由が後から作られていっているだけではないのか。

もう一つの変更点は、長官の2番目の指摘への対応で、前の指摘への対応で新設した9項を、8項の定義中に組み込むというものだ。やはり、条文解釈を定義条項で規定するというあのような形は認められなかったのか。

その結果、この修正で、匿名加工情報（匿名加工個人情報）の定義が以下のように煩雑なものになってしまった。

8 この法律において「匿名加工個人情報」とは、次の各号に掲げる個人情報（他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。）を除く。以下この項において同じ。）の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報（当該情報に含まれる記述等により、又は当該個人情報その他個人情報保護委員会規則で定める情報情報以外の情報と照合することにより、当該個人情報の本人その他の特定の個人を識別することができないものに限る。）であって、当該個人情報を復元することができないようにしたものをいう。

強調部が、図9の9項から移設されてた部分で、「……識別することができないことをいう。」が「……識別することができないものに限る。」に変更され、他にも若干の変更が加えられている。（その後さらに修正されている。）

そして、この3月1日の面談で、さらなる名称の変更が検討されたようで、3月1日付の案文に、以下の手書きメモがある。

図14: 2016年3月1日付の案文に書き込まれた手書きメモ

なんと、「匿名加工利用情報」という案もあったようだ。どうしてこうなったのか開示資料には記載がないが、昨年に鈴木先生らから聞いたところでは、「匿名加工個人情報」という名称には与党からの反対もあったとか。確かに、「匿名加工個人情報」という名称では、「個人情報なのに提供していいのか」という反発が起きかねず、国民の理解を得られないだろう。（名前がどうであれ中身は同じなのであり、中身をどうにかしないといけないわけだが。）

そして、翌日の3月2日、再々度、長官・次長の面談があったようで、「長官・次長指摘（3月1日）への対応概要」という資料が作成されていた。

図15: 2016年3月2日付「行政機関個人情報保護法等改正法案長官・次長御指摘（3月1日）への対応概要」

ここで、「非識別加工情報」という名称に変更となった。

もはや理由の説明文は付けられていないが、「御指摘内容」には、「匿名加工情報について、基本法の「匿名加工情報」とは異なる文言とすべきではないか。」とある。これは、推測するに、前回の指摘では、「個人情報なんだから「匿名加工個人情報」にせよ」としたものの、その名称には反対があったことから、個人情報であることを明確にするためでなくても、せめて基本法（個人情報保護法）の名称と違ったものにする必要があると、指摘の理由を譲歩したものではないか。

これも重要なところで、行政機関法で「非識別加工情報」という名称になっている理由は、それが個人情報であることを明確にするわけではなく（その理由は破棄されている）、とにかく個人情報保護法の「匿名加工情報」とは何かが違うのだといった程度の趣旨しかないものと解するべきだろう。

このようにして、「匿名加工情報」→1週間後→「匿名加工個人情報」→当日→「匿名加工利用情報」→翌日→「非識別加工情報」という変遷をたどり、その6日後に法案が閣議決定された。

国会審議での展開

国会では、衆議院と参議院のそれぞれで、ここも論点の一つとなった。その概要については、昨年6月12日の日記「行政機関法改正の論点国会会議録から抜粋（パーソナルデータ保護法制の行方その23）」で、以下のように書いていた。

「1. 匿名加工情報定義と照合による識別」については、個人情報保護法制全体の体系を破壊しかねない重要な論点であった。衆議院の参考人質疑に鈴木正朝先生が呼ばれ、問題点の指摘と修正案の例示がなされている。

問題点を簡潔にまとめると、「匿名加工情報」であったはずの名称が、閣議決定直前に「非識別加工情報」という別の名称に変更されたこと、また、その「非識別加工情報」の定義が、民間部門の「匿名加工情報」定義とは指している情報の範囲が異なり得る（個人情報保護委員会規則によって可変になっている）ことから、行政機関で作成された匿名加工情報である「非識別加工情報」と民間部門の「匿名加工情報」の概念同一性が不確かとなってしまった。「非識別加工情報」が民間事業者に提供されたときその受領者には再識別禁止の義務を課すのがこの制度のキモであるが、法案では行政機関法にその規定を盛り込んでおらず、改正個人情報保護法の38条（識別行為の禁止）でそれを担保する予定であったのに、閣議決定直前の変更により両者の概念同一性が不確かとなったことから、必ずこの義務がかかるのかが謎な法案となってしまったのである。

鈴木参考人の修正案は、定義中の2番目の括弧書きを削除して委員会規則への委任規定を排し、定義が指す情報の範囲を民間部門の「匿名加工情報」と同一にし、かつ、名称を「匿名加工情報」に戻すとするものであったが、結局は採用されていない。

この結果、この法案を正当化するために、行政管理局は、いくつもの無用な理屈を答弁せざるを得なくなった。まず、名称をわざわざ違える理由は、民間部門では匿名加工情報が当該事業者において非個人情報であるとされているのに対して、「公的部門では当該機関において個人情報に当たる」から、そのように違うものだということを明確化するためのものとされた。次に、公的部門でそのように匿名加工情報が個人情報に該当する理由が、民間部門と異なり「公的部門では再識別禁止の規定を入れていない」ことによるとされた。ここで、第1の誤りが固着してしまった。この理屈を正当化するために、「民間部門では匿名加工する事業者自身による再識別を禁止する規定がある」旨の答弁が繰り返されたが、改正個人情報保護法36条5項は、「自ら当該匿名加工情報を取り扱うに当たっては」と限定的なケースについて禁止しているだけであって、常に禁止しているわけではない。すなわち、民間部門で匿名加工情報が非個人情報となるのは、匿名加工する事業者に再識別禁止の義務が課されているからではないのである。この第1の誤解釈を前提として「再識別禁止の義務があれば容易照合性が否定される」という理屈が用いられ、これが第2の誤りの固着となった。次に、そうすると「なぜ公的部門にも再識別禁止規定を置かないのか」という指摘が入るものだから、置かないことの正当化に奔走することとなり、「公的部門では元データとの照合を必要とするから」という理屈が編み出され、ありもしない不必要な具体事例がでっち上げられて答弁される事態となった。さらに、「個人情報であるのに提供してよいのか」という指摘も出てくるので、これに対抗して、「民間部門では提供元基準かもしれないが、公的部門では提供先か提供元かという基準は設けていない」と答弁せざるを得なくなり、これが第3の誤りの固着となった。このとき、民間部門とでそのような違いが生ずる理由として、「公的部門では民間部門とは違い、利用目的以外の目的のために第三者に提供するという場面は例外的な場合に限られているから」などというイミフな理屈まで飛び出した。

このような答弁をせざるを得なくなった行政管理局は誠にお気の毒であったが、これら第1～第3の誤りは、基本法の解釈にも悪しき影響を及ぼす看過できないものである。このように法が成立したことで、今後、心ない有識者らがこれら多数の誤りを含む国会答弁の理屈をそれがあたかも当然の真理であるかの如く無批判に自身の教科書に転記していくことになるだろう。その読者らがそれを真に受けてしまえば、我が国の個人情報保護法制体系の完成は遠のくばかりである。せめて行政管理局におかれては、已む無く捻出した理由の部分についてはあえて逐条解説に書かないでおくという正義を示してほしいところである。

この論点については、次回以降で改めて詳細に検討する予定である。

行政機関法改正の論点国会会議録から抜粋（パーソナルデータ保護法制の行方その23）, 2016年6月12日の日記

「次回以降で改めて詳細に検討する予定」と言っていたのが、今ようやく書けているわけだが、改めて振り返ると、大筋で外していなかったと言えよう。上記の開示資料の検討を踏まえれば、新たに言えることもある。

まず、公的部門と民間部門とで匿名加工情報の概念同一性が重要であることは、当初案から意識されていて、定義する情報の範囲が一致することで担保しようとしていた（前記の通り）ことが確認できた。それが、名称が全く異なるものに変更され、定義条文に変更が加えられた（一時、9項としていたものが、8項へ組み込まれた）ことで、概念同一性が失われてしまった。

2月29日時点の行政管理局の対応では、8項の「匿名加工情報」の定義はそのままとしつつ、その解釈を9項に規定するという形だったので、まだ概念同一性は維持されていると言えたのに、3月1日の変更で、それを8項に組み込むことになった時点で、定義する情報の範囲が委員会規則に委任する形となり、概念同一性が失われてしまった。委員会規則に委任としてしまった理由は定かでないが、1週間で検討しなくてはならかった結果だということが判明した。2回目以降の長官指摘への対応は1日で成さねばならず、根本的な対応策を練る時間は全くなかった様子が窺えた。

このことについて、衆議院内閣委員会では以下のやりとりがあった。

○高井委員　全くお答えいただけていないんですけれども。

これは難しい部分なんですね。ただ、専門家の間ではかなりこの問題は話題になっていて、では、なぜそういうことになっているかというと、先ほど申し上げましたとおり、もともと匿名加工情報と同じ概念であれば問題なかったわけですよ。当初、総務省だって、行政機関個人情報保護法といえども、匿名加工情報という言葉でずっと検討会も進めてきたわけですよ。それが、二月の下旬になって、法制局から突然これはだめだと言われて、違う言葉になったことによって、いろいろな矛盾が生じているわけです。

其田事務局長にもう一度伺いますが、これは、きちんと総務省と議論はしているんですか。私は、非常に時間もタイトだし、個人情報保護法との整合性がとれていない。先ほど上村局長は、個人情報保護法のことは所管じゃないのでよくわからないとお答えになりましたけれども、これはまさに密接する法律ですから、ここに矛盾があったら大混乱になるんですけれども、本当にこれは一週間かそこらの時間で、しっかり法文全体を見て、どちらの方にもそごがないようにしっかり検討されたんですか。

○其田政府参考人　お答え申し上げます。

法案の検討の過程は、今委員がおっしゃったとおり、非常に急に短い間でということであったのは事実でございます。ただ、事前に私どもも総務省から法案の御説明をいただきまして、条文も御説明をいただきまして、確かに少し解釈は難しくなったなというふうには承知をいたしましたけれども、先ほど総務省の局長から御答弁申し上げましたような形で、法的な、論理的な整合性というものはできているというふうに認識をいたしまして、今後、法案の御審議をお願いすることになっているというふうに承知をしております。

第190回国会衆議院総務委員会会議録第11号, 2016年4月5日

次に、国会審議では、名称をわざわざ違える理由が、「公的部門では当該機関において個人情報に当たる」ことを明確化するためのものと答弁されていた。これは何度か答弁されているが、会議録から拾ってくると、例えば以下がそれである。

○高井委員（略）私は、変更したことによって、いろいろな法文、ほかの法文にも影響が生じていて、非常に大きな問題であると今思っているんですけれども、これはなぜ非識別加工情報という別な言葉に修正をしたのか。そして、これによってほかの条文への波及をする混乱というのは生じないんでしょうか。

○上村政府参考人　お答えを申し上げます。

委員御指摘のとおり、今回、この法案では非識別加工情報という名称でお諮りをしたいと思ってございますが、行政機関が作成する非識別加工情報というのは、もとの個人情報から氏名それから住所を削除する、あるいはデータを入れかえする、こうした方法によって作成するところなんですけれども、このもとになったデータというものは、これは非識別加工情報をつくった後においても行政機関において保有されるということになっております。

また、非識別加工情報につきましては、行政機関におきましては照合を行う必要がある場合もあり得ます。したがいまして、他の情報と非識別加工情報の照合を禁止するという規定は置いていないわけでございます。

そういたしますと、これは理論上、行政機関の内部におきましては、非識別加工情報は、作成のもととなったデータと照合することは可能ですので、個人情報に該当することになります。他方、委員御指摘の個人情報保護法におきます匿名加工情報は、これは個人情報に該当しないということになってございますので、この二者を区別する必要がある。そのために別の名称、この場合、非識別加工情報という名称を付しているというわけでございます。

第190回国会衆議院総務委員会会議録第11号, 2016年4月5日

○濱村委員（略）一方で、では、非識別加工情報と匿名加工情報、なぜ名称が違うのかという点、これはどういう違いがあるのかということについて法律上の観点で明らかにしたいと思いますが、どのような違いがあるでしょうか。

○上村政府参考人　御指摘のように、匿名加工情報と非識別加工情報は、双方とも、特定の個人を識別できず、もとの個人情報を復元できないように加工したものである、こういう点では共通するものでありますけれども、個人情報保護法が適用される民間事業者におきましては、この作成者それから需要者（転載者コメント：「受領者」の誤り（速記者の聞き違いが修正されなかったもの）と思われる。）ともに、識別行為の禁止義務、これは三十六条五項及び三十八条で課せられています。したがいまして、匿名加工情報は、いずれにおきましても個人情報の該当性が否定されるものでございます。

他方、行政機関におきましては、非識別加工情報の作成後におきましても、もとの個人情報のデータを保有するところ、民間事業者に課せられる識別行為の禁止義務に相当する規定を設けておりません。そのことから、理論上、非識別加工情報は、その作成のもととなったデータと照合することが可能であるために、基本的にこの非識別加工情報は個人情報に該当することになります。

このように、個人情報保護法が適用される民間事業者と行政機関個人情報保護法が適用される行政機関とでは、加工後の情報が個人情報に該当するか否かという点で法律上の位置づけが異なるわけでございます。このような法律上の位置づけを踏まえまして、名称を変えているということでございます。

第190回国会衆議院総務委員会会議録第14号, 2016年4月19日

これを改めて見ると、行政管理局長の答弁は、2月29日の修正前の整理（2月19日付説明資料）に基づいているようだ。

つまり、民間部門では「識別行為の禁止義務」があるから「個人情報の該当性が否定されるもの」だと言い、行政機関法では「作成のもととなったデータと照合することは可能ですので、個人情報に該当する」と言っている（常に該当するという意味になっていて、「該当する場合もある」とは言っていない。）が、それは、2月29日の修正後の整理で破棄された考え方のはず（前記の通り）だ。

2月29日の修正後の整理では、民間部門の「識別行為の禁止義務」の有無とは関係なく、民間部門では「容易に」要件があるから元データと照合できないのに対して、公的部門では「容易に」要件がないから元データと照合ができる場合が存在し得るという理屈で、「個人情報である場合もある」という整理に変更されたはずだ。行政管理局長は、それを踏まえずに答弁したのではないか。

もしくは、2月29日の整理がその後さらに破棄されたという可能性もあるが、それは内閣法制局長官の指摘を無視したことになるのではないか。

そして、名称を変更した理由も、「加工後の情報が個人情報に該当するか否かという点で法律上の位置づけが異なる」ことを明確にするためだと答弁されているが、これも、3月1日の法制局長官指摘で理由が変更されて、3月2日付の資料にあるように、個人情報か否かとは関係なく、単に基本法（個人情報保護法）のそれとは異なるものだと示す程度の意味しかないと再整理されたはず（前記の通り）ではないか。行政管理局長は、そういった議論があったことを踏まえずに答弁したのではなかろうか。

これについては、他にも以下の答弁がある。

○上村政府参考人　お答えいたします。（略）

それで、御指摘の、条文中の「他の情報」に係る括弧書きでございますが、その点を明確にしたものでございます。

このように明確化を図ることで、行政機関の内部におきましては、非識別加工情報が個人情報に当たるということを、職員も含めまして、不当な目的で利用することは許されないなど、法律上厳格な取り扱いを求めることとしたということでございます。

参考人の御意見は大変貴重なものだと思いますが、行政機関個人情報保護法は行政機関内部での厳格な規律を定めるものでございまして、このような観点から、政府としては、お示ししている今の定義が最適なものと考えております。御理解を賜りたいと思います。

第190回国会衆議院総務委員会会議録第15号, 2016年4月21日

これも後付けの理由で、全くおかしい。たとえ、非識別加工情報が個人情報に当たる（ものがある）としても、行政機関非識別加工情報は、従前の行政機関法の規律から除くように規定している（前掲図6）ので、個人情報だからといって従前の規律（正確性の確保だとか）に従う義務は課されないのであり、行政機関非識別加工情報には、行政機関非識別加工情報に係る規律に従えばよいわけで、職員に非識別加工情報が個人情報であると意識させる必要性はない。そのように法を構成したではないか。

そもそも、職員に意識させる必要があると言うなら、まさに「匿名加工個人情報」という名称にするべきだっただろう。「非識別加工情報」という名称では、職員に個人情報と意識させる効果はないわけだし、個人情報と意識させる意図は、3月2日の再整理で破棄された考え方ではないのか。

次に、「行政機関におきましては照合を行う必要がある場合もあり得ます。」という答弁も出ていたわけだが、これは、「名称を非識別加工情報にする必要がある」→「行政機関法ではそれは個人情報だから」→「行政機関法では識別行為の禁止義務を置いていないから」→「行政機関では識別禁止行為の義務を置けないから」→「行政機関では識別を行う必要があるから」と、流れ流れて出てきた理屈だが、前記の通り、2月29日付の資料（図10）では、「実際のところ、元となる保有個人情報を有する行政機関は、作成した行政機関匿名加工情報について、他の情報と照合する必要も動機もない。」と言っていたわけで、話が違ってきている。

国会では、以下のように、さも初めからその必要があったかのように答弁されていた。

○奥野（総）委員　（略）まず最初に、先ほどもちょっとございましたけれども、いわゆる匿名加工情報と非識別加工情報の違いですね。なぜ行政機関の方については非識別加工情報というワーディングを入れたのか、その違いについて伺いたいと思います。

○上村政府参考人　お答えいたします。

非識別加工情報は、行政機関が民間事業者に提供するために作成するものでございまして、適正に加工されることによりまして特定の個人を識別することができないようになったものではございますが、先ほども答弁をいたしましたように、新制度が施行されていく中におきまして、行政課題の解決等のために、提供元の行政機関等において照合行為を行う必要が生じることがあり得ます。そうしたことから、今回の行政機関個人情報保護法の改正案につきましては、照合禁止義務をまず置いていないわけでございます。

（略）

○奥野（総）委員　今のお話ですと、行政機関等については照合禁止義務を設けていないということなんですが、その理由、民間については照合禁止義務があり、そして行政機関等については照合禁止義務を設けていない理由について、もう一度伺いたいと思います。

○上村政府参考人　繰り返しになりますけれども、非識別加工情報の提供を受けた民間事業者から何らかの事故情報等あるいはそのおそれ等の情報のフィードバックがあった場合に、行政機関の責務と申しますか公共的な立場から、行政課題の解決のために、提供元の行政機関等において照合行為を行うという必要があり得る場合があるということでございます。これは、行政事務の適正かつ円滑な遂行を義務としております行政機関にとっては必要な規定であろうと思いますので、こういう禁止義務は置いていない、こういうことでございます。

○奥野（総）委員　直観ですごく気持ち悪いんですよね。これがあるということは、識別ができてしまうということですよね。復元はできないにしても、識別はできてしまう。要するに、特定の個人がわかってしまう。特定の個人がわかってしまうような情報を民間に渡してしまう。まさに個人情報を民間に渡すということになるわけですね。渡した瞬間にこれは名前が変わると言っていますが、しかし、個人情報ですよね。個人情報を民間に渡してしまう気持ち悪さというのがあると思うんですよ。

もう少し具体的に、では、どういう場合に識別しなきゃいけないか。民間に渡してしまった、その上で、では、どういう場合にもう一回照合しなきゃいけないか。具体的にもう少し例を挙げることはできますか。

○上村政府参考人　現時点で、まだどのような情報を非識別加工情報として御提供するかということも決まっていないわけでございますので、あくまでもこの法案立案担当部局として想定し得るケースということで御答弁させていただきたいと思います。

例えば、交通事故情報でございますけれども、こうした交通事故情報に関する非識別加工情報の提供を受けた民間事業者から、この事故が、原因が、運転者の過失ではなくて車両自体に問題がある可能性がある、こうした情報提供を受けた場合に、緊急にその事故関係者を特定して調査等を実施していく必要が生じた場合、そうしたものが一つ考えられるかと思います。

○奥野（総）委員　そもそも、やはり個人情報は出しちゃいかぬと思うんですね。今のは相当プライベートな情報ですね。個人の事故に係る情報、それを識別してフィードバックするということなんですけれども、個人情報そのものを出しているという、そこの気持ち悪さが残るんですね。（略）

第190回国会衆議院総務委員会会議録第14号, 2016年4月19日

繰り返しになるが、2月29日の行政管理局作成資料では、「実際のところ、元となる保有個人情報を有する行政機関は、作成した行政機関匿名加工情報について、他の情報と照合する必要も動機もない。」としていたわけで、元データを持っているんだから再識別なんて必要も動機もないと言っていたわけだ。この国会答弁で出てきた「事故情報のフィードバック」の事例も、元データを持っているのだから、フィードバックを受けて対処をすることはできるわけで、そこに、当該匿名加工情報との照合は必要ないと言うべきだろう。

この疑問には当然気づかれるわけで、参議院の審議では、以下のように、そのことが質問されていた。

○石上俊雄君　続きまして、基本法の照合禁止についてお伺いしたいと思います。

資料七の①の右側が書いてありますけれども、基本法では、匿名加工情報への照合禁止は提供元にも提供先にも課せられるわけであります。しかし、よく考えてみると、そもそも加工元は匿名化される前の元データを保有しているわけでありますから、このような制限が何で必要なのかという、そういう疑問が浮かんでくるわけでありますので、その辺についてお答えいただきたいのと、識別行為禁止の適用除外が必要な場合というのは本当にないのかというところをまた考えるわけであります。

資料の七の②にちょっと示させていただきましたが、加工者が主観的に匿名化できたと考えて出したものを客観的に識別可能で苦情が寄せられた場合、法律上の紛争解決もあるわけでありますけれども、当事者間における任意解決もあるわけでありまして、言わば、俺の情報を何で出したんだと、これは私の情報だといったことを訴えられて、じゃ、それをよしとしてあげるからちょっと金銭的なという要求がなされたときに、それが事実なのかというのを確認するために照合しないとできないわけであります。こういうことが本当できなくていいのかというところの疑問があるわけでありますので、この辺について、個人情報保護委員会、お答えいただけますでしょうか。

○政府参考人（其田真理君）　お答え申し上げます。

匿名加工情報は、個人情報の本人を識別することを禁止する等の制度的な担保を前提といたしまして、目的外利用でありますとか第三者提供に係る本人同意の取得が求められないことなど、個人情報、一般の個人情報の取扱いに比べて緩やかな規律の下で利活用を認める、可能にする制度でございます。

委員御指摘の苦情対応のための識別の必要性につきましては、事業者は作成の元となる個人情報を保有しておりまして、また加工日時でありますとか手法等、加工に関する情報を保有しておりますので、苦情の申出のあった方の情報がこれに含まれているかどうかということは、匿名加工情報を識別のために照合しなくても可能であると考えられます。

したがいまして、委員会としましては、識別行為の禁止義務について例外規定を設けなくても実務上の問題は生じないものと考えております。

○石上俊雄君　（略）あと、次にちょっと入りますが、今まで照合禁止についてお伺いをさせていただいたわけですが、資料七の①に示したように、今回の行個法では、提供元、行政機関ですね、での照合はこれ禁止していないんですね、可能ということになっているわけであります。総務省の研究会では、基本法同様に行個法でも、提供元、行政機関における照合禁止を明記しても問題ないんじゃないかという意見もあったわけなんですけれども、改正案では行政機関に照合禁止義務を置かなかったということで落ち着いたわけであります。

このことについて何なのかなというふうに疑問が湧きますので、そのことについてお答えいただきたいというふうに思いますし、照合の必要性がある場面としてどういう状況を想定しておられるのか、できれば具体的な例も挙げていただきながら御説明いただけますでしょうか。総務省、お願いします。

○政府参考人（上村進君）　お答えいたします。

委員御指摘いただきました総務省の有識者研究会では、確かに検討途上におきまして、そのような照合禁止を設けても問題はないのではないかという御意見もあったと、これは事実でございます。その段階ではまだ、後で申し上げますような照合が必要になり得る場合があるという具体的な検討まで至らなかったためではないかと思ってございます。

いずれにしましても、この研究会の最終報告におきましては、行政を適切に執行するため、識別行為を行う必要が生じる場合もあり得るか、検討の上、照合必要性を判断すべきというふうにされているところでございます。

このような御議論も踏まえまして、政府で検討した結果、委員も今御指摘になりましたとおり、非識別加工情報について照合禁止義務というのは課していないわけでございます。これは、新制度が施行されていく中で、行政課題の解決等のために提供元の行政機関において照合行為を行う必要性が生じることがあり得るということを想定しております。この際、照合禁止義務がありますと、行政事務の適正かつ円滑な遂行に支障が生じるおそれがあると、そういうふうに考えるに至ったものでございます。

それで、具体例はというお尋ねでございました。なかなか、想定でございますので、実際こういうことがあるということを今思っているわけではございませんが、立案担当部局としましては、例えばの例といたしまして、交通事故情報に関する非識別加工情報の提供があったといたしますと、この提供を受けた民間事業者から、この事故というのは運転者の過失ではなくて車両そのものに問題がある可能性があると、こういう情報提供を受けたケースがあるといたしますと、同種の事故というのは今後とも起こり得るわけでございますので、緊急に事故関係者を特定して調査を実施する必要というのが生じてこようかと思っております。

また、類似のケースになりますけれども、例えば製品事故情報に関する情報提供を受けた民間事業者から、一定の条件下ではこの製品が重大な欠陥が原因となって事故を起こす可能性があるというふうなことが見付かった場合に、緊急にその製品を使用している本人を特定して通知すると、仮定の例でございますが、そういうことは想定し得ると考えております。

以上によりまして、今回の御提案をしている法案におきましては照合禁止義務というものは課さないということにしたところでございます。

第190回国会参議院総務委員会会議録第14号, 2016年5月19日 *16

このように、個人情報保護委員会事務局長は、「事業者は作成の元となる個人情報を保有しておりまして（略）匿名加工情報を識別のために照合しなくても可能である」と答えたのに対し、行政管理局長は、「実際こういうことがあるということを今思っているわけではございませんが」としつつ、照合の必要があるとして、製品事故情報の例を示していた。

この製品事故情報の答弁は、まさに元データがあれば何ら問題ない事案だろう。「緊急にその製品を使用している本人を特定して通知する」には、元データから製品名で検索して購入者を抽出できる。そこに匿名加工情報は何の関係もない。

前掲の昨年6月12日の日記では、このことについて、「ありもしない不必要な具体事例がでっち上げられて答弁される事態となった」と書いたが、今回の開示資料でそれが図星だったと判明したと言えよう。

もっとも、匿名加工情報の作成者に対する照合禁止義務はあってもなくてもどちらでもかまわないのであり、瑣末な論点である。このことは、衆議院で鈴木正朝参考人が、次のように質問に答えて指摘していた。

○鈴木参考人　（略）ちなみに、提供元においては識別行為の禁止は照合性の判断の有無には一切影響がないのにもかかわらず、実は、その判断を間違えた上に今回の答弁が立脚しているところが極めて問題だと思っております。もともと、提供元にはもとデータはあるわけですから。鈴木正朝と書いたもとデータがあって、そのコピーは幾つでも、利用目的の範囲内で幾らでもコピーは出てきて、使うことができるわけです。そこから提供データに出したとしても、照合を原則的に禁止する必要はないんです。

なぜこの規定が出てきたかというと、もともとは、Ｓｕｉｃａ事件のように、匿名加工情報について相手方にどうやって引き渡すかというために匿名加工情報を設計していながら、パーソナルデータ検討会でもそこの第三者提供に本人同意が要らないための仕組みをつくりながら、実は、なぜか、どこかからのロビー活動によって社内利用というものが突如登場したわけです。社内利用するにおいて匿名加工情報を切り出したならば、別の規律が、社内において、個人情報とは異なる、非個人情報である特別な匿名加工情報について別な規律を置く必要があることから、分別して管理しなければならないということで、三十六条五項でしょうか、提供元においてもなおかつ識別行為禁止が出てきたんです。

これは、照合の有無の定義とは一切関係ない条文を捉えて、禁止規定があるからないからという無駄な議論をしている。これは、個人情報保護法の基本的解釈を誤った中で行政機関法を組み立てていることの証左であります。

したがいまして、ここの行管の答弁に関しては、もう一度精査して、やり直しを求めざるを得ないということを思っております。

第190回国会衆議院総務委員会会議録第14号, 2016年4月19日

この指摘は、前記の検討を踏まえると、2月29日までの内閣法制局長官の指摘でも、同様のことが言われていたのではないだろうか。2月29日の修正された整理では、「容易照合性を消滅させるための照合禁止義務」という考え方が破棄されたように見えるからだ。「禁止規定があるからないからという無駄な議論をしている」というのは、正に的を射た指摘だったのではなかろうか。

結局どうすればよかったのかは、一つには、単に、行政管理局の元の案に戻せばよかったかもしれないし、鈴木正朝参考人が質問に答えて読み上げていた以下の修正案でもよかったかもしれない。

○鈴木参考人　ここでは定義の話をしておりまして、定義と審査基準は異なると思いますけれども、どうやってここの定義を直したらいいか。

二条八項を見ていただきたいわけであります。

この前半部分の非識別加工情報の定義部分の、括弧、括弧、除く、除くとある、なかなかテクニカルな条項、これはなかなか一読了解にはならないわけですが、これは大変よくできておりまして、いわゆるこの作業は、ベン図を描いていきますと、時間をかけると、よくよく、よくできていることがわかります。

要するに、容易照合性の民間部門法と、容易性がない照合性のみの行政機関個人情報保護法の二つがある中で、非識別加工情報と匿名加工情報の概念を合わせるために、まず前半部分で、容易照合性のある民間法と概念をそろえるところをやっております。

それに引き続いて、今問題になっている「他の情報（当該個人に関する情報の全部又は一部を含む個人情報その他の個人情報保護委員会規則で定める情報を除く。）」という文言が続くわけであります。

すなわち、八項は何をしているかというと、民間法とそろえるということをやっております。したがいまして、容易にという言葉をここでも使ってしまえば、実は簡単に両法律の概念をそろえることができる。多分、やりたいことはそこではなかったのか。時間がなくて、いろいろ文言をひねくり出して詰め切れないから委員会規則に投げる、こういうことをしてしまったのではないかと拝察するわけであります。

修正案を考えてまいりました。ちょっと読み上げてみます。

括弧書きでありますが、個人に関する情報について、当該個人に関する情報に含まれる記述等により、または当該個人に関する情報が他の情報と照合することができる個人に関する情報である場合にあっては他の情報と容易に照合することにより、特定個人を識別することができないことをいう。四十四条の十第一項において同じ。括弧閉じ。

こうすることで、民間部門の匿名加工情報の定義と同じ内容になります。

用語が不一致であるならば、せめて定義を一致させる。でなければ、二つの違った法律の中の違った用語が、官から民に移った途端に当然に三十八条を適用されるというのはなかなかアクロバットなやり口だろうと思いますので、せめて、この括弧書きの内容を委員会規則に委ねず、今のように、容易にという言葉を使って、うまく両概念の整合を図るよう調整いただくことも一案ではないかというふうに思っております。

第190回国会衆議院総務委員会会議録第14号, 2016年4月19日

成立した法の条文と、鈴木参考人修正案の条文を、以下に並べてみる。

8 この法律において「非識別加工情報」とは、次の各号に掲げる個人情報（他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。）を除く。以下この項において同じ。）の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができない（個人に関する情報について、当該個人に関する情報に含まれる記述等により、または当該個人に関する情報が他の情報と照合することができる個人に関する情報である場合にあっては他の情報と容易に照合することにより、特定個人を識別することができないことをいう。第44条の10第1項において同じ。）ように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

今思うと、「容易に照合することにより」というのは日本語的におかしかったかもしれない。「容易に照合することができ」が日本語的に正しいのは、「容易に」が「できる」に係っているからであり、「容易に照合する」というのはやはりおかしいか。直すとすれば、以下でどうか。

8 この法律において「非識別加工情報」とは、次の各号に掲げる個人情報（他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。）を除く。以下この項において同じ。）の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができない（個人に関する情報について、当該個人に関する情報に含まれる記述等により、または当該個人に関する情報が他の情報と照合することができる個人に関する情報である場合にあっては他の情報と容易に照合することができ、それにより特定個人を識別することができないことをいう。第44条の10第1項において同じ。）ように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

鈴木参考人が述べた「やりたいことはそこではなかったのか」というのは、「特定の個人を識別することができない」という定義条文が、どのような意味で「できない」と言っているのかが、容易照合による識別ができないという意味なのか、それとも、（容易さを求めない）照合による識別ができないという意味なのか、これがどちらともとれることが問題で、その結果このようになったと考えたからで、「容易に」を入れて書き直したというものだった。

しかし、開示資料を見るに、行政管理局の意図はそれとはやや違ったようだ。

2月29日の修正された整理で、2条9項を導入しようとした狙いは、「他の情報と照合することにより、特定の個人を識別することができない」というときの「他の情報」から、元データ（加工に用いた個人情報）を外すというものだったと思われる。行政管理局は、元データと照合できる場合があるからその場合は個人情報となるとしていた（前掲図9の①～③）ので、その場合をここでは問題としない（ここでは「特定の個人を識別することができない」ということにする）ことによって、民間部門の匿名加工情報と合わせようという趣旨だったと考えられる。こうすることにより、行政機関法上は個人情報である場合もあるが、匿名加工情報（非識別加工情報）としては、そのような意味で「特定の個人を識別することができない」ものになっているということになる。

ということは、鈴木参考人案でもよかったとも言える。2月29日の整理では、前記の通り、民間部門では「容易に」要件があるから、元データと容易照合できないので個人情報とならないところ、公的部門では「容易に」要件がないから、元データと照合できて個人情報となる場合があるということで、この違いを理由にしていたのだから、その意味で「容易に」を捉えるなら、鈴木参考人案でもよかったはずだ。

ただ、前記の通り、ここで行政管理局が前提とした「容易に」の有無の違いは、技術的な困難性で区別しているようだから（とは限らないので、推測に過ぎないが）、我々はそのような意味に「容易に」を捉える解釈には反対の立場である。ここは、「容易に」の有無をどう整理するかの論点で、民間部門の定義をどうするかも合わせて、再検討しなくてはならないところだと考えているが、とりあえず、民間部門に合わせた定義にしておくという意味で、鈴木参考人案でもよかったはずだ。

一方、2月22日・23日の法制局長官の指摘では、どのような意味でここを問題視したのだろうか。残念ながら、内閣法制局には、法制局側がどのような指摘をしたのかの記録は一切存在せず*17、行政管理局がメモして作成した記録しか存在しないため、謎のままである。

改正法成立後の状況

そして、今年になって、個人情報保護委員会から、問題となった「個人情報保護委員会規則で定める情報を除く」の委員会規則「行政機関の保有する個人情報の保護に関する法律第四章の二の規定による行政機関非識別加工情報の提供に関する規則」が公布された。その内容は以下であった。

（他の情報から除かれる情報）
第2条法第2条第8項の個人情報保護委員会規則で定める情報は、同項で規定する個人に関する情報の全部又は一部を含む個人情報（同項で規定する個人情報をいう。）とする。

これはひどい。法の委任部分と比べてみよう。

【委任元】
当該個人に関する情報の全部又は一部を含む個人情報その他の個人情報保護委員会規則で定める情報

【委任先】
同項で規定する個人に関する情報の全部又は一部を含む個人情報（同項で規定する個人情報をいう。）

何も規定していない。これだったら、初めから委員会規則への委任など必要なかった。

個人情報保護委員会は、非識別加工情報についてのガイドラインも出している。そこでは、この件が以下のように説明されている。

なお、法は、個人情報保護法とは異なり、照合禁止義務（個人情報保護法第36条第5項）を定めていないことから、非識別加工情報は、その作成に用いた個人情報の全部又は一部を含む個人情報との照合によって特定の個人を識別し得ることとなり、法第2条第2項第1号の「個人情報」に該当し得る。このとき、非識別加工情報が、一般に他の情報との照合により特定の個人を識別することができるとの誤解が生じないよう、「特定の個人を識別することができない」について、その記述等自体によって特定の個人を識別できないことはもちろん、他の情報（法第2条第8項で規定する個人に関する情報の全部又は一部を含む個人情報を除く。）との照合によって特定の個人を識別できないように加工したものであることを明らかにしている。

行政機関の保有する個人情報の保護に関する法律についてのガイドライン（行政機関非識別加工情報編）, 個人情報保護委員会, 2017年3月

当初、このガイドライン案が出たとき、「誤解が生じないよう」というのが何なんだろうと疑問に思っていたが、今回の開示資料により、行政管理局の2月29日の整理に基づくものだったのだとわかった。

しかし、「照合禁止義務を定めていないことから」と書かれてしまったのは残念だ。行政管理局の修正前の整理に基づいているのではないか。2月29日の修正後の整理に基づけば、このような説明にならないはずだ。

「「個人情報」に該当し得る」と書かれた（常に該当するのではなく）ところは、せめてもの救いか。

規則2条に委任された部分については、依然としてどういう意味なのかわからない。「同項で規定する個人に関する情報の全部又は一部を含む個人情報」というのは、いったい何を指すのか。

この点は、ガイドライン案のパブリックコメントで、JILIS提出意見で尋ねていたところ、以下のように回答が得られている。

Q 意見1【規則2条】【ガイドライン3頁】規則2条が規定する情報として具体的にどのようなものが該当するのか明らかにするべき

意見

規則案2条は、「法第2条第8項の個人情報保護委員会規則で定める情報は、同項で規定する個人に関する情報の全部又は一部を含む個人情報（同項で規定する個人情報をいう。）とする。」としているが、具体的に何を指しているのかが明らかでない。ガイドライン案の3頁には、これに関して、「非識別加工情報が、一般に他の情報との照合により特定の個人を識別することができるとの誤解が生じないよう、「特定の個人を識別することができない」について、その記述等自体によって特定の個人を識別できないことはもちろん、他の情報（法第2条第8項で規定する個人に関する情報の全部又は一部を含む個人情報を除く。）との照合によって特定の個人を識別できないように加工したものであることを明らかにしている。」との説明があり、そこの括弧書きが規則2条の情報を指しているものと推察されるが、それが何を指していて、何を「他の情報」から除くとしているのかが明らかでない。規則2条が規定する情報として具体的にどのようなものが該当するのか明らかにされたい。

理由

法2条8項と規則2条は以下のように解釈されると理解した。

① 規則2条の「同項で規定する個人に関する情報」は、法2条8項の「当該個人に関する情報の全部又は一部を含む個人情報その他の個人情報保護委員会規則で定める情報」の「当該個人に関する情報」のことを指している。（この理解でよいか確認したい。）

② 法2条8項の上記①で参照した「当該個人に関する情報」は、同項の「個人に関する情報について、……に含まれる記述等により」の「個人に関する情報」のことを指している。（この理解でよいか確認したい。）

③ 法2条8項の上記①で参照した「当該個人に関する情報」は、同項の「特定の個人を識別することができない（……）ように個人情報を加工して得られる個人に関する情報」の「個人に関する情報」のことを指している。（この理解でよいか確認したい。）

このように解釈すると、規則2条の「同項で規定する個人に関する情報」とは、加工して得られる非識別加工情報のことを指していることになる。しかし、「特定の個人を識別することができないように」というときの、照合の対象から除外する情報として、加工して得られる情報を対象とするのは、意味不明と言わざるを得ない。このため、規則2条が規定する情報が何を指しているのか、不明である。

上記の解釈が誤りであるなら、どこが誤っていて、どのように解釈すべきなのか、お示しいただきたい。

A 本委員会規則案第2条は、非識別加工情報が、「他の情報」との照合により特定の個人を識別することができないよう加工したものとしつつも、行政機関において元の個人情報との照合による識別可能性が残ることから、非識別加工情報であることが否定されないよう、例外的に「他の情報」から元の個人情報が除外されることを確認的に定めるものです。

なお、本委員会規則案第2条では、法第2条8項において他の情報から除かれる情報を「当該個人に関する情報の全部又は一部を含む個人情報」と規定されていることを踏まえて規定しているものであり、「個人情報を加工して蹴られる個人に関する情報」を示すものではありません。

「行政機関の保有する個人情報の保護に関する法律についてのガイドライン（行政機関非識別加工情報編）（案）」に関する意見募集結果, No.1

回答では「元の個人情報」と言っている。それならばそのように、規則を定めるべきだろう。なぜしないのか。

いや、むしろ、あえて定めないでおき、あやふやにしておいた方がよいのかもしれない。ここで、「元の個人情報」と規定してしまうと、我々が反対している「「容易に」の有無の違いを技術的な困難性で区別する解釈」が固定されてしまいかねない。次の改正で直すべきポイントとして胸に刻んでおくのがよい。

さて、以上のような事情により、グダグダな定義となってしまった「非識別加工情報」だが、これから出版されてくる解説書では、どのように説明されるのであろうか。「行政機関では個人情報に当たるから、民間と区別するために非識別加工情報と呼ぶ」などと、訳知り顔で言う輩がこれから何人出てくるだろうか。そんな安直な話ではないし、名前を区別する意義なぞ実はないということを知るべきだ。

地方公共団体の2000の個人情報保護条例もどうなるのか。さっそく拙速に改正した鳥取県がやらかしてしまったわけだが、いちいち「非識別加工情報」という名前でやっていくのか。こんなの「匿名加工情報」と呼べばいいことだろう。

自治行政局が、「地方公共団体が保有するパーソナルデータに関する検討会」で、地方公共団体の個人情報保護条例に「非識別加工情報」の導入を促すべく、「条例改正のイメージ」を出そうとしているが、これを見ると、「非識別加工情報」の定義に、「（当該個人に関する情報の全部又は一部を含む個人情報その他の規則で定める情報を除く。）」と、例の無意味な委員会規則への委任をそのまま入れていて、それぞれの地方公共団体が定める規則に委任させようとしているのには、もう笑うしかない。

図16: 地方公共団体パーソナルデータ検討会が示そうとしている「条例改正のイメージ（未定稿）」（2017年3月29日）

最後に一言。

昨年、このようなグダグダな展開について、今の内閣法制局長官が悪いのだと言われていると（鈴木先生らから）耳にした。しかし、こうして開示資料を熟読してみると、むしろ、「匿名加工情報は個人情報じゃない」との指摘こそが、長官ならではの慧眼だったのではないかと思えてきた。

似たような話は以前にも耳にしたことがある。別の法案についての昔の話だが、閣議決定直前になって、法制局長官の鶴の一声で、全面書き直しとなり、結果的には最も良い案になったことがあったという。部長審査（内閣法制局の）までにいろいろな意見があって、こうしてみる、ああしてみると、時間をかけて少しずつ案を修正していたものが、しだいに矛盾を孕んでいったところ、最後の段で、長官がすべてえいやっと解決してしまったという例だ。

本来、長官にはそれだけの力量が求められるのだろう。その点、今回のケースでは、それができなかったわけである。ただ、個人情報保護法制は、体系が複雑すぎ、また未解明のところも多いため、長官一人で全部解決することを期待するのはさすがに無理があるのかもしれない。

そもそも、2月19日付の「説明資料」は、それまで何か月かかけて、行政管理局が内閣法制局（部長まで）の予備審査を受けて作成されていたものであり、部長と長官で言うことが違うじゃないかといった不満も出たかもしれない。どういう議論を経てこの最初の「説明資料」に至ったのか、そこを調べれば*18何かわかるかもしれない。

それにしても、もう少しうまいやり方はないものだろうか。立案担当部局と内閣法制局とのやりとりは、ずっと非公開の下で行われ、国会審議に入っても、こうした内部資料がオープンになるわけではない。もし、国会でこれらの資料を基に審議することができれば、長官の指摘の趣旨を汲んで、これは何かおかしいことになっているぞと、議員らは気づくことができたのではないか。これが日本の伝統的なやり方で変えられないのだろうが、矛盾を残したままの法律が成立してしまう、危ういものではないか。それが成立してしまえば、さもそれが当然であるかのように解説され、そのまま定着してしまうというのも、いかがなものか。

こうしたことを避けるには、改正の準備が始まる前から、その分野の専門家が、現行法の問題点と解決に向けた立法論を積み重ねておくことが肝要だろう。残念ながら、これまでこの分野では、決まった法律を追認するだけの有識者ばかりで、こんなことになっているようだ。

*1 行政文書ファイル管理簿に掲載されている法律案審議録「行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案（平成28法律51）」

*2 他の法律案審議録ではもっと前の段階からの協議内容が収載されたものもあったが、行政管理局作成の法律案審議録では、一定程度に案が完成した段階から収載するスタイルのようだ。

*3 「行政機関匿名加工情報取扱事業者」という用語は定義されている（成立した法では2条11項）が、どこで使われているかを見てみると、第4章の2（行政機関匿名加工情報の提供）の中で、いずれも「行政機関匿名加工情報取扱事業者となろうとする者は」の形で出てくるだけで、行政機関匿名加工情報取扱事業者に直接義務を課す規定は存在しないので、提供先をそこに絞ったからといって、個人情報保護法の匿名加工情報との関係について効果があるようには思えない。もしかして、さらに前の案では、行政機関匿名加工情報取扱事業者の再識別禁止義務を行政機関法に置く案もあったのではないか。その案が何らかの理由でボツになり、その残骸がこれだということはないか。

*4 加工の方法には鍵付きハッシュ関数の鍵などが含まれることになるので、その秘密性が求められ、取得が禁じられている。

*5 なお、この手当てが必要だということは、地方公共団体が、それぞれに個人情報保護条例を改正して「実施機関匿名加工情報」を導入した場合に、それぞれの条例における「加工の方法」も同様にこの個人情報保護法38条に追加する必要があるということではないか。2000個の条例をここに列挙するわけにはいかないだろうし、そもそも条例で法律を改正することはできないので、これは詰んでいると言えよう。3月5日の日記「鳥取県の条例改正案、非識別加工情報導入で矛盾噴出」にはこれも書いておくべきだった。

*6 本当は、37条も含めたいので、この括弧書きは37条に置く必要がある。

*7 この「等」は、行政機関法と独法法の両方を指すもの。

*8 「所掌事務の範囲内でしか匿名加工情報の入手はできず」と言うが、独立行政法人の国立大学や国立研究開発法人では、様々な研究の目的で情報を取り扱うわけで、それを「所掌事務の範囲内」という括りとしていいのかという論点もあるし、そう括るのだとすると、「他の第三者に提供することは想定しがたい」というのは、研究における情報の取扱いの実態からかけ離れている。

*9 ちなみに、EUの一般データ保護規則（GDPR）では、このような仮名化が施されている場合も、personal dataに該当するとした上で、本人情報開示請求その他の本人関与に係る義務の規則について、その義務を果たすだけのために本人を特定するための付加的な情報を取得したりすることを義務としないとし、本人から、本人関与の権利を行使するために、本人を特定するための追加的な情報が提供される場合を除いて、一部の義務規定を適用しないとする構成になっており、これはなかなかに合理的なルールだなと思う。

Article 11 Processing which does not require identification

1. If the purposes for which a controller processes personal data do not or do no longer require the identification of a data subject by the controller, the controller shall not be obliged to maintain, acquire or process additional information in order to identify the data subject for the sole purpose of complying with this Regulation.

2. Where, in cases referred to in paragraph 1 of this Article, the controller is able to demonstrate that it is not in a position to identify the data subject, the controller shall inform the data subject accordingly, if possible. In such cases, Articles 15 to 20 shall not apply except where the data subject, for the purpose of exercising his or her rights under those articles, provides additional information enabling his or her identification.

*10 2016年3月27日の日記の脚注15参照。

*11 この点について、当時噂で耳にしたところでは、法制局対応の担当者と研究会対応の担当者が別だったのではないかという見方がある。

*12 もっとも、非公式に見せられても、それを元にした議論は公の場ではできないであろうが。

*13 この「※」の記述自体は全く間違っていない。よく見ると、38条のことだけに触れており、36条5項に触れていないのであり、これは私の考えと違わない。（36条5項に触れると話がおかしくなる。）

*14 このことは、行政機関法の全部改正法案の立案報告書に、以下の記載がある。

ア適法かつ適正な方法による取得について

基本法制第5条では、個人情報は、適法かつ適正な方法で取得されなければならないこととされており、同法制第22条では、個人情報取扱事業者は、偽りその他不正な手段により個人情報を取得してはならないこととされている。

一方、行政機関法制では、個人情報の適法かつ適正な取得に関する規定を置くこととしていないが、行政機関における個人情報の取得が、適法かつ適正な手続によらなければならないのは、日本国憲法の下では特別の法律を待たずとも当然要請されるところである。また、行政機関の職員については、国家公務員法（法令遵守義務（第98条））等他の法規により規律されている。

基本法制第22条は、行政機関に関しては既に存在しているこのような行為規範の趣旨が、いわば民間の個人情報取扱事業者に対する具体的な行為規範として規定されたものとみることができるのであって、行政機関法制において、改めて規定する必要はない。

行政機関等の保有する個人情報の保護に関する法制の充実強化について－電子政府の個人情報保護－, 行政機関等個人情報保護法制研究会, 2001年10月26日, 9頁

*15 このことは、前掲の立案報告書に、以下の記載がある。

2 適正な取扱い

（略）個人情報の適正な取得に関する規定（基本法制第22条）に相当する規律については、行政機関の職員の場合、国家公務員法（法令遵守義務（第98条））等他の法規により規律されていること等から、改めて規定を設ける必要はないが、対象法人においては、必ずしもこのような仕組みになっていないことから、基本法制第22条に相当する規定を設ける。

行政機関等の保有する個人情報の保護に関する法制の充実強化について－電子政府の個人情報保護－, 行政機関等個人情報保護法制研究会, 2001年10月26日, 30頁

*16 ちなみに、この質問の様子は、質問者の石上俊雄議員のサイトに詳細にレポートされていた。

*17 内閣法制局に「法令審議録」を情報公開請求してわかったことだが、「法令審査録」のうち内閣法制局作成分は、閣議決定用に完成した最終版の法案だけであった。

*18 現在、追加の情報公開請求中。

本日のリンク元 TrackBack(0)

高木浩光＠自宅の日記

2017年06月04日

■ 匿名加工情報は何でないか・後編（保護法改正はどうなったその7）

目次

問題の所在

最初の案で技術検討WG報告書に沿いつつも既に変容していた

容易照合情報を3号個人情報に分離する案が作成される

完全に仮名化のみで匿名加工情報とするものとして整理

内閣法制局長官がこの案を拒絶して現在の形に変更

これがその後どうなったのか

2017年05月13日

■ 医学系研究倫理指針における非識別加工情報の規定は無用の長物（研究倫理指針はどうなったその1）

指針の「匿名化」と法の「匿名加工情報」を巡る混乱

「非識別加工情報」の自発的作成は法違反か

2017年05月05日

■ 匿名加工情報が非識別加工情報へと無用に改名した事情（パーソナルデータ保護法制の行方その30）

目次

当初の案では「匿名加工情報」だった

用語と定義範囲が一致することの重要性

行政機関法では匿名加工情報は常に個人情報である？

匿名加工情報がそもそも照合によって個人情報に復元されるのか

内閣法制局長官の大どんでん返し

長官のちゃぶ台返し (ノ｀m´)ノ ~┻━┻ (/o＼)

国会審議での展開

改正法成立後の状況

最近のタイトル

高木浩光＠自宅の日記

2017年06月04日

■ 匿名加工情報は何でないか・後編（保護法改正はどうなった その7）

目次

問題の所在

最初の案で技術検討WG報告書に沿いつつも既に変容していた

容易照合情報を3号個人情報に分離する案が作成される

完全に仮名化のみで匿名加工情報とするものとして整理

内閣法制局長官がこの案を拒絶して現在の形に変更

これがその後どうなったのか

2017年05月13日

■ 医学系研究倫理指針における非識別加工情報の規定は無用の長物（研究倫理指針はどうなった その1）

指針の「匿名化」と法の「匿名加工情報」を巡る混乱

「非識別加工情報」の自発的作成は法違反か

2017年05月05日

■ 匿名加工情報が非識別加工情報へと無用に改名した事情（パーソナルデータ保護法制の行方 その30）

目次

当初の案では「匿名加工情報」だった

用語と定義範囲が一致することの重要性

行政機関法では匿名加工情報は常に個人情報である？

匿名加工情報がそもそも照合によって個人情報に復元されるのか

内閣法制局長官の大どんでん返し

長官のちゃぶ台返し (ノ｀m´)ノ ~┻━┻ (/o＼)

国会審議での展開

改正法成立後の状況

最近のタイトル

■ 匿名加工情報は何でないか・後編（保護法改正はどうなったその7）

■ 医学系研究倫理指針における非識別加工情報の規定は無用の長物（研究倫理指針はどうなったその1）

■ 匿名加工情報が非識別加工情報へと無用に改名した事情（パーソナルデータ保護法制の行方その30）