高木浩光＠自宅の日記

2017年05月13日

■ 医学系研究倫理指針における非識別加工情報の規定は無用の長物（研究倫理指針はどうなったその1）

医学系研究倫理指針の改正については、11月29日の日記「医学研究等倫理指針見直し3省合同会議が迷走、自滅の道へ（パーソナルデータ保護法制の行方その26）」を書いた後、その後どうなったかをまだ書いていなかったが、ざっくり言えば、懸念された事態は回避され、どうにか妥当なところに落ち着くかっこうとなっている。そのときの展開の様子とその後の論点については、いずれ詳しくまとめる予定だが、ここでは、そのうち、匿名加工情報に関する部分のみ先に書いておく。

指針の「匿名化」と法の「匿名加工情報」を巡る混乱

指針改正案は「見直し」の段階で、昨年9月から10月にかけてパブコメにかけられていたが、それに対する文科省・厚労省の「考え方」を含む「パブリックコメントの結果」は今年2月になって公表された。

「人を対象とする医学系研究に関する倫理指針」の改正に関するパブリックコメント（意見公募手続）の結果について, 文部科学省研究振興局ライフサイエンス課生命倫・安全対策室, 厚生労働省大臣官房厚生科学課, 厚生労働省医政局研究開発振興課

これを見ると、匿名加工情報に関する意見がかなり多く提出されていたことがわかる。

図1: パブコメ結果の資料から抜粋

多い質問は、この指針がこれまで「匿名化」（「連結可能匿名化」及び「連結不可能匿名化」）と呼んできたものと法の「匿名加工情報」は同じものではないか、違いがわからない、どうして分けられているのかといったもので、文科省・厚労省の「考え方」では、以下のようなやりとりが繰り返されている。

提出意見

特定の個人を識別することができることとなる記述等を除くことが匿名化であるならば、匿名化された情報は匿名加工情報又は非識別加工情報と同じとの理解で良いか？

文部科学省及び厚生労働省の考え方

「匿名加工情報」と「非識別加工情報」は、それぞれ個情法と行個法・独個法に規定されている要件を満たして個人情報から加工した情報であり、その取扱いも法律の規定を順守する必要があります。一方で、「匿名化」は、指針に定めている手法であり、例えば、匿名加工情報と同じ加工を行ったとしても、匿名加工情報として取り扱うための手続きを行わない場合には、「匿名化されている情報」として取り扱っていただくこととなります。匿名加工情報の詳細については、「個人情報の保護に関する法律についてのガイドライン（匿名加工情報編）（平成28年11月個人情報保護委員会）」をご参照ください。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.163

提出意見

「連結（不）可能匿名化」の用語廃止は誤解をまねきかねない。連結（不）可能を明示した方がわかりやすいのではないか？「匿名加工情報」という言葉の中に「連結不可能」の意味が含まれることになりますが、「対応表」といった言葉も出てきて少し煩雑です。用語としては「連結不可能匿名化」を残すのはどうでしょうか。

文部科学省及び厚生労働省の考え方

「匿名加工情報」と「非識別加工情報」は、それぞれ個情法と行個法・独個法に規定されている要件を満たして個人情報から加工した情報であり、一方で、改正前の指針に定義していた「連結可能匿名化」と「連結不可能匿名化」は指針のみで規定している匿名化の手法になります。匿名加工情報は個人情報でない情報ではあるものの非個人情報であるとは限らない情報であり*1、また、連結不可能匿名化された情報は、指針改正後は「匿名化されている情報」又は「匿名化されている情報（特定の個人を識別することができないものに限る。）」のどちらかに分類され、個人情報と非個人情報のどちらにも該当する可能性があるため、用語を残すことは一層の混乱を招くものと考えますので、用語は削除することとしました。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.167

匿名加工情報を連結不可能匿名化と同一視する誤解は、データセットによる照合が念頭にない場合に陥る。

指針の連結不可能匿名化は、従前、あたかも法の「個人情報」の裏返し（該当させなくする要件）であるかのような定義っぽく書かれていたが、実際のところは、法の定義の裏返しとも異なっていた*2し、現場の実態としても、氏名等を削除するだけの仮名化が行われていただけであったことから、指針の改正で、「匿名化」の定義を「特定の個人（略）を識別することができることとなる記述等（個人識別符号を含む。）の全部又は一部を削除すること（略）をいう。」と改めることにより、現場の実態上の「匿名化」の方法（実際には「仮名化」と呼ぶべきもの）はそのまま維持してよいとしつつ、法の定義とのズレを解消するために、「匿名化されている情報」と「非個人情報」とは直行する概念として整理されたのであった。

「匿名化されている情報」が個人情報に該当する場合とは、当該情報の作成者において、連結可能匿名化であれば対応表を保有するので個人情報に該当し、これは、従前の指針でもそのように説明されていたが、加えて、連結不可能匿名化の場合であっても、データセット自体による元データとの照合が可能なデータである場合には、「他の情報と容易に照合することができ」に該当するとする考え方が、一連の改正を通じて改めて確認されたという状況にあると言ってよい。

つまり、「連結不可能」と言っているが「不可能」とはおよそ言い難く*3、「連結不可能匿名化」という概念の意図するところは、「不可能」にするわけではなく、単に（対応表を用いた）連結をしないという意味だったと言うべきもので、誤解を招く用語が誤解を拡大し定着させてきてしまっていたということなのだろう。誤解のない用語としては、「連結仮名化」と「不連結仮名化」が相応しかったと思う。

そして、そのような不連結仮名化されたデータと匿名加工情報が同じかというと、匿名加工情報は、単に仮名化しただけでは加工方法としては足りない（場合が多々ある）という考え方が確立しつつある*4ので、この指針でも別概念として整理されたわけである。

また、匿名加工情報を連結不可能匿名化と同一視する誤解が生じるもう一つの要因は、匿名加工情報を導入する法改正の狙いの一つが、医学系研究分野における従前の「匿名化」の慣行を法定することにより安定化することにあるとの期待があったためだろう。確かに、2014年の「パーソナルデータの利活用に関する制度改正大綱」の時点ではそのようにも見えたかもしれない*5。

しかし、紆余曲折を経て、国会で成立した改正法の匿名加工情報は、仮名化とは異なるものとして整理された*6と言ってよい状況となったため、指針の見直しでは、指針の「匿名化」は法の匿名加工情報から切り離す必要に迫られたわけである。

さらに、法の匿名加工情報の制度を規制強化だと誤解する向きもあっただろう。指針の「匿名化」は法の「匿名加工情報」にも（定義の条文からして）該当することになるので、指針の「匿名化されている情報」に法規制がかかるとの懸念もパブコメに寄せられていた。これが誤解であることはこれまでに何度も書いてきたところ*7だが、そのことが、パブコメに対する「考え方」では、前掲のように、「匿名加工情報と同じ加工を行ったとしても、匿名加工情報として取り扱うための手続きを行わない場合には、「匿名化されている情報」として取り扱っていただくこととなります。」として説明*8されている。

このような混乱は予想されたことなので、指針では匿名加工情報のことは触れないでおくのがよいのではないかと、再三申し上げた。JUMP（日本ユーザビリティ医療情報化推進協議会）の「ゲノムが作る新たな医療推進委員会」では、このパブコメに際し、以下の意見を提出していた。

【該当箇所】第2-(26)　等
【意見】
従前の匿名化と匿名加工情報の混同が懸念されるため、これらが無関係である旨を明確化するための修正が必要である。

【理由】
今回の指針改正案は、従前の「匿名化」の定義を変更し、「連結可能匿名化」及び「連結不可能匿名化」の概念を廃止するものであるところ、指針に「匿名加工情報」に関する節が「匿名化」と「対応表」に並び新設されているため、従前行ってきた「匿名化」処理が今後は個人情報保護法の「匿名加工情報」の規律に従わなければならなくなるものとの誤解が広がることが懸念される。

実際には、「匿名化」と「匿名加工情報」は相互に関係しない別々の概念であるから、そのことを明確化するために、指針改正案には次のいずれか又は両方の修正を施すべきである。

A) 従前の「匿名化」は「仮名化」に名称を変更する

今回の指針改正で従前の「匿名化」はその定義内容が変更されている。従前の匿名化は、なお書きに「他で入手できる情報と照合することにより特定の個人を識別することができる場合には、照合に必要な情報の全部又は一部を取り除いて、特定の個人を識別することができないようにすることを含む」との記述があったが、改正案ではこれが削除されている。この変更により、「匿名化」は、「特定の個人を識別することができることとなる記述等の全部又は一部を取り除く」という、氏名・連絡先等を削除する程度の加工で足りることとなるから、国際的には通常「仮名化」と呼ばれる（EUデータ保護規則では「pseudonymisation」、ISO/TS 25237:2008では「pseudonymization」と呼ばれる。）ものに相当することになる。他方、個人情報保護法の「匿名加工情報」は、照合による識別をもできなくすることを求めるもので、その点では従前の「匿名化」定義に近い。また、実態として、従前の「匿名化」は、前記のなお書き「他で入手できる情報と照合することにより特定の個人を識別することができる場合には、照合に必要な情報の全部又は一部を取り除いて、特定の個人を識別することができないようにする」に当たる対処がほとんど行われておらず、これまでも国際的に「仮名化」と呼ばれる処理を行っていたのが実情である。

したがって、「匿名化」と「匿名加工情報」の混同を避けるためには、従前の「匿名化」を「仮名化」の名称に変更することが効果的であり、この際、今回の指針改正で定義内容が変更されることを明確化する上でも、名称を変更するべきである。

なお、合同会議第4回資料2-1「指針見直しの方向性（匿名化）補足説明資料（案）」p.6の表の「案1」の行で、従前の「匿名化」と対比する形で「仮名化」の語が用いられており、その定義内容が現在の指針改正案の「匿名化」と同一となっているように、この定義内容には元々「仮名化」の語があてられていたのであるから、「仮名化」とするのが本来の趣旨にも沿うはずである。

B) 匿名加工情報（非識別加工情報を含む）に関する規定を削除する

匿名加工情報は、日本の個人情報保護法で今回始めて導入される世界にも例のない独特の制度であり、これまでに利用された実績はない。ゲノム指針及び医学系指針が対象とする領域において匿名加工情報の制度の活用の見通しが立っているわけでもない。

その上、匿名加工情報の制度は、匿名化のような処理に際して必ず適用しなければならない義務というものでもない。このことは、個人情報保護委員会が公表した「個人情報の保護に関する法律についてのガイドライン（匿名加工情報編）（案）」には、p.9の「※2」に、「安全管理措置の一環として氏名等の一部の個人情報を削除（又は他の記述等に置き換え）した上で引き続き個人情報として取り扱う場合、あるいは統計情報を作成するために個人情報を加工する場合等については、匿名加工情報を「作成するとき」には該当しない。」として説明されている。

また、匿名加工情報（非識別加工情報を含む）は非個人情報である（非識別加工情報は独立行政法人等個人情報保護法において「保有個人情報」から除外されている。）のだから、指針の対象外となることは明らかであり、ことさら、同意なく利用できる場合として規定する（ゲノム指針第4-14オ及び同15オ並びに医学系指針第12-1(2)（エ）及び同(3)（エ））までもない。

したがって、指針に匿名加工情報に関する規定を設ける必要性がはじめからないのであるから、従前の「匿名化」との混同を避けるためにも、匿名加工情報に関する規定を全て削除するべきである。

仮にこの削除ができないにしても、せめて、匿名加工情報に係る規定を一箇所に集約するなどして、必ず要する義務ではないことを明確にするべきである。

JUMP・ゲノムが作る新たな医療推進委員会より、指針改正に関するパブリックコメントについて、意見書を提出いたしました。, 日本ユーザビリティ医療情報化推進協議会

これに対する、文科省・厚労省の「考え方」は以下のものであった。

文部科学省及び厚生労働省の考え方

ご意見のとおり、「匿名化」は指針のみで規定しているもの、「匿名加工情報」は個情法で規定されているものであり、取扱いが異なるものです。

「仮名化」のご提案につきましては既に合同会議にて検討しており、その結果、「匿名化」を用いることになりました。

改正指針第12の1に規定している匿名加工情報の取扱いについては、合同会議にて検討した結果、インフォームド・コンセントが困難な場合の取扱いの一つとして整理し、規定を設けることとしました。また、改正指針第17については、改正個情法第76条第1項第3号の義務規定の適用除外を受ける場合には、個情法に規定する匿名加工情報の取扱いも適用除外となるため、個情法等の適用を受ける機関との情報のやり取りにおいて支障ができないよう、改正指針において個情法と同等の規定を設けたものです。

また、指針で定める匿名化と個情法に規定する匿名加工情報の違いについては、必要に応じて指針のガイダンスで解説します。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.204

匿名加工情報のことなぞ書かなきゃいいわけだが、そうは言っても、この指針見直しは、個人情報保護法の改正を受けて対応するという体裁になっている手前、改正法の目玉である匿名加工情報に全く触れないわけにもいかないものなのであろうか。

その点、「改正指針第17」というのは、「研究者等（個人情報保護法の適用を受ける大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者であって、その個人情報又は匿名加工情報を取り扱う目的の全部又は一部が学術研究の用に供する目的である者に限る。以下この第17において同じ。）は、」として、改正個人情報保護法の36条、37条、38条、39条（つまり、4章2節の全部）相当の規定を設けたものになっている。つまり、学術研究機関による学術研究目的の利用は個人情報保護法第4章の規定が全て適用除外となっていることから、匿名加工情報に係る義務も適用されないから、その分を指針で拾うというのである。

なるほど、こうすれば、匿名加工情報についての指針の意義の面目が立つということであろうか。

これを規定する理由として「個情法等の適用を受ける機関との情報のやり取りにおいて支障が出ないよう」というのは、まあ理解できる。匿名加工情報の制度は、提供先で再識別が行われないことが法的に担保されていることを安心材料として提供ができるというものだから、提供先が学術研究機関の学術研究目的利用の場合に再識別禁止がかからない*9のだとしたら安心できないので、指針で禁止とすることには意義があろう。「支障が出る」というのは、そういう意味で安心できないことを指すのだろう。

ところが、この「改正指針第17」に対しては、大量の反対意見が寄せられていた。以下と同趣旨の意見が多いらしく、他に77件もあったそうである。

提出意見

【該当箇所】第17「匿名加工情報の取扱い」
【意見】
(3)(4)(6)(7)(9)*10でそれぞれ示されている当該内容の公表規定について削除を求める。
【理由】
民間事業者に求められる公表規定を研究者に対しても求めることは、徒に研究者の負担を増大させてしまうことが危惧されることから、公共の福祉向上に資すると判断される研究の場合、努力義務に抑えるか、倫理審査委員会の判断に委ねる等の柔軟な対応を検討していただきたい。

（同様のご意見が他に77件ありました。）

文部科学省及び厚生労働省の考え方

第17の匿名加工情報に関する事項については、法律に規定される事項と同様の対応をしなければ匿名加工情報として取り扱うことができないため、第17に規定している内容について指針において変更することはできません。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1069～1146

提出意見

「匿名加工情報が個人情報を復元できないように処理が必要、あるいは当該匿名加工情報を他の情報と照合してはならない。」について

次のような研究支障が想定される。
論文投稿後に、一部の症例の追加データの解析を要求されることは多々ある。そのような場合、個人情報（患者カルテ番号）を復元できないように処理が必要である場合、再度、対象症例の抽出とデータ整理に多大な時間を要し、研究遂行に大きな支障がある。

文部科学省及び厚生労働省の考え方

匿名加工情報及び非識別加工情報として取り扱うことについてのご意見と理解しご回答しますが、匿名加工情報及び非識別加工情報として取り扱う場合には、法律に規定されている識別禁止等を遵守する必要がありますが、指針上は、「匿名化」を用いることができ、匿名化したものを個人情報として取り扱う場合には、復元や照合等も可能となっていますので、指針の規定をご確認ください。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1168

こうした意見は、前記の通り、法の「匿名加工情報」を指針の「匿名化」と混同した誤解に基づく意見であり、スルーでよい。

他にも同様の誤解に基づく意見が沢山あり、いくつか抜粋すると以下のものが代表的であろう。（回答部は省略）

提出意見

「匿名加工情報が個人情報を復元できないように処理が必要、あるいは当該匿名加工情報を他の情報と照合してはならない。」について

次のような研究支障が想定される。
異なるデータベース間の突合が不可能となるが、少数例であれば、対象症例を抽出しなおすことは可能であるが、多数例になればなるほど、対象症例抽出に膨大な時間と労力が必要となる。多数例を用いた臨床う研究に関して継時的研究によるアウトカム検定が困難となり、大いに研究に支障があると考えられる。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1169

提出意見

「第17匿名加工情報の取扱い」について
日本の医学研究、特に臨床研究は、医療現場で働く医師が自らデータを収集して解析を行って発表しているものがほとんどであり、よほど大きな研究期間で潤沢な研究費用がないと、一般の臨床研究を行おうとする臨床医には、個人情報の匿名加工にかかる時間や労力を割く余裕はありません。

一般臨床医の研究が施行困難となれば、我が国の医学研究の礎である臨床研究や人の資料を用いた基礎研究が行われず、ひいては我が国の医学研究ならびに医学レベルの低下をもたらすことが予想されます。

これまで通り、侵襲をともなわない観察研究においては、連結可能な匿名化をもって、研究が行えるように、「匿名加工情報の取り扱い」を適応しないでいただきたいと、切に望みます。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1171

案の定こうした誤解が多発したわけだが、それにしても多い。77件同一の意見があったというのは、動員でもあったのだろうか。

このパブコメは昨年9月から行われたものだが、昨年5月に出版されていた以下の解説記事*11の影響もあったのではなかろうか。

岡村久道, 個人情報保護法の改正とデータを用いた学術研究, オペレーションズ・リサーチ, 2016年5月号, pp.283-288

以上のような匿名加工情報制度の新設に対し、これまで自由であったはずの非個人識別情報たる匿名情報の取扱いに対し、新たに多様な義務が課されるに至ったので、その利活用が妨げられるのではないかという疑問が呈される一方、これによって本当にプライバシーが守られるのかという、逆方向の立場からの疑問も呈されている。

いずれにしても、必ずしも適用除外対象となるか明らかでない学術研究等については、この匿名加工情報に関する諸規定を順守せざるを得ないことになる。

匿名加工情報がそのようなものでないことは、既に一昨年の時点で、国会審議で繰り返し答弁されていたこと*12である。あまり事情に詳しくない方の論説を真に受けると、混乱が拡大してしまうので、注意が必要だろう。

もう少し混乱を避けられなかったものかとも思うが、現時点の状況を見るに、今年3月17日に東大で開かれた公開シンポジウム「医学研究における個人情報保護のあり方と指針改正」の席での会場の反応からして、もはやこうした誤解は解けており、混同はなくなったようであり、めでたしめでたしである。

「非識別加工情報」の自発的作成は法違反か

さて、「匿名加工情報」については以上の通りだが、公的部門の匿名加工情報、すなわち「非識別加工情報」についてはどうなのか。これについて、パブコメで以下を指摘する意見が出ていた。

提出意見

【論点等の箇所】「第17 匿名加工情報の取扱い」
【意見内容】「非識別加工情報」についての記載がない。

提出意見

第6章第17「匿名加工情報の取り扱い」の記載があるが「非識別加工情報」の項目がないのは何故か。

文部科学省及び厚生労働省の考え方

第17については、法律において匿名加工情報に関する規定の適用が除外されている場合に、法律が適用される機関と適用されない機関との共同研究等において、情報のやり取りに支障が出ないよう、指針上、法律に規定されている内容と同等の規定を設けているものです。法律の適用除外となっている機関としては、個情法第76条第1項第3号に該当する学術研究機関・団体が学術研究目的に用いる場合が該当します。一方、非識別加工情報を取り扱うことができる行個法、独個法が適用される機関については、法律の適用除外がないため、指針上で改めて基準等を規定する必要がないことから記載していないものです。なお、匿名加工情報と非識別加工情報では、作成等の手続きに違いがありますので、該当する法律の規定に従い、取り扱っていただきますようお願いします。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1166, 1167

記載がない理由は、「考え方」の通りで、「第17」はそういうものでしかないからだ。

「作成等の手続きに違いがありますので、該当する法律の規定に従い、取り扱っていただきますよう」とあるのは、具体的なことを言っていないが、これは以下のことを言っているのだと考えられる。

実は、行政機関や独立行政法人において、「非識別加工情報」は自発的に作成できるのかという論点がある。「自発的に作成」とは、改正行政機関法（改正独法法も同様に）4章の2（行政機関非識別加工情報の提供）の規定によらず作成することを指す。

行政機関法改正で「非識別加工情報」の制度を導入する趣旨は、民間事業者からの提案を募集し、提案を受けて、個人情報ファイルから匿名加工で「行政機関非識別加工情報」を作成し、手数料を取って提案事業者に提供するということにあり、その手続きが、行政機関法4章の2に規定されている。民間部門での匿名加工情報が、単に自由に提供できるための制度であったのとは大幅に異なっている。

その趣旨から離れて、行政機関非識別加工情報を作成し、提供することはできるのか。改正行政機関法は、4章の2の冒頭、44条の2で、「行政機関の長は、この章の規定に従い、行政機関非識別加工情報（略）を作成し、及び提供することができる。」と規定している。

「この章の規定に従い」作成し、提供できるとしているのだから、この章の規定に従わずに、作成したり提供することは認められないということにならないか。その点、「できる」規定があるからといって、その規定がない（もしくはその規定が適用される条件から外れる）場合に「できない」ということを必ずしも意味しないのではないかという議論があり得る。

この点について、行政管理局の考え方がどうなっているのか。前回の日記で示した、情報公開請求により開示された法律案審議録の「長官・次長配布版説明資料」から、窺い知ることができる。

図2: 2016年2月19日付「長官・次長配布版説明資料」44頁、45頁

行政機関匿名加工情報の作成及び提供等【行政機関個人情報保護法第44条の2関係】

【概要】
本章の通則的な規定として、行政機関の長が、本性の規定に従い、行政機関匿名加工情報を事業の用に供しようとする者からの提案を受けて行政機関匿名加工情報を作成し、提供することができる旨を定めるとともに、本章の規定に従うほかは、法令に基づく場合を除き、行政機関匿名加工情報及び行政機関匿名加工関連情報の利用及び提供を原則として行うことができないことを定めるものである。

【説明】
1 行政機関匿名加工情報及び行政機関匿名加工関連情報に係る規律の整理
(1) 利用等の制限
行政機関匿名加工情報の作成は、保有個人情報を加工して行うものであり、個人情報に係る利用の制限の規律（第8条）の対象となる。一方で、行政機関匿名加工情報及び行政機関匿名加工関連情報の一部は、保有個人情報に該当しないことから、同様の規律を設けることとする。その際、規律の一覧性の観点から、本条において、行政機関匿名加工情報及び行政機関匿名加工関連情報について、個人情報に係る利用の制限の規律と同様の規律を設ける。また、保有個人情報に該当するものについては、利用目的の特定が必要となることから（第3条）、保有個人情報に該当するか否かで分けて規定することとする。

(2) 行政機関匿名加工情報の作成及び提供
(1)の利用の制限がある中で、事業の用に供しようとする者からの提案により行政機関匿名加工情報を作成し、及び提供することができるようにするための規律を設ける。

2 第1項

第1項では、本章の規定に従い、行政機関匿名加工情報を作成し、及び提供できることを規定する。

保有個人情報を加工して行政機関匿名加工情報を作成することは、保有個人情報の利用の一態様と解されるため、第8条により、法令に基づく場合を除き、利用目的外での行政機関匿名加工情報の作成は原則として禁止され（同条第1項）、本人の同意があるとき、又は所掌事務の遂行の必要な場合には例外的に作成が可能となる（同条第2項1号、2号）。

また、作成した行政機関匿名加工情報について、第8条の適用を除外した上で、同条第1項による制限と同様の制限を規定することとしている（第2項及び第3項参照）。

第4章の2においては、個人の権利利益の保護に支障を生ずるおそれがない範囲で行政機関匿名加工情報を作成し、及び提供するための規定を設けていることから、行政機関の長が、同章の規定に従い、行政機関匿名加工情報を作成し、及び提供できることを規定する。

3 第2項

第2項では、法令に基づく場合を除き、利用目的以外の目的のために行政機関匿名加工情報及び行政機関匿名加工関連情報（保有個人情報に該当するものに限る。）を自ら利用し、または提供してはならないことを規定する^※。

第2項の適用対象には、①第4章の2に定める手続に従い作成・提供する行政機関匿名加工情報及び行政機関匿名加工関連情報のほか、②行政機関が所掌事務の遂行上必要であるとして、保有個人情報の利用として、第8条第1項又は第2項第1号若しくは第2号に基づいて自発的に作成し、提供する行政機関匿名加工情報も含まれる。このうち、①については、第4章の2に定める手続きに基づいて提供することを目的として作成することから、それ以外での利用・提供は、法令に基づく場合を除き制限されることになる。

内閣法制局法律案審議録「行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案（平成28法律51）」, 「長官・次長配布版説明資料」, 2016年2月29日, 44頁、45頁

このように、保有個人情報から行政機関匿名加工情報を作成することが、保有個人情報の利用に当たるとし、本来、通常は目的外利用に当たるのであり、4章の2の規定によらない作成は8条に違反するのだと、はっきり書かれている。（加えて、仮に所掌事務の遂行上必要として自発的に作成することが許されたとしても、その目的外での利用・提供は禁じているとしている。）

つまり、行政機関匿名加工情報（行政機関非識別加工情報）の自発的作成は基本的に許されていないということだ。

ただ、これは行政機関非識別加工情報についてであり、裸の「非識別加工情報」の作成についてはどうなのかは書かれていない。

これについて検討してみるに、行政機関非識別加工情報と裸の非識別加工情報の違いは、加工のソースとする個人情報の範囲が、行政機関非識別加工情報では、一定の要件を満たす個人情報ファイルを構成する保有個人情報に限られているのに対し、裸の非識別加工情報では、全ての個人情報が対象であり限定がないという点である。行政機関法は、保有個人情報でない個人情報について目的外利用を禁止していない（8条の対象でない）から、保有個人情報でない個人情報のみをソースにしている限りにおいては、非識別加工情報の作成は自由だということにはなるだろう。ただ、国立大学や国立研究所等の独立行政法人において、研究用として組織的に保有している個人情報は、保有個人情報と言うべきであるから、「保有個人情報でない個人情報のみをソースにしている」ということは通常は考えられないことになる。そして、行政機関非識別加工情報を作成すること自体が保有個人情報の目的外利用だとしているのだから、裸の非識別加工情報を作成することも（ソースが保有個人情報であれば）同様に目的外利用ということになると解するのが自然であろう。

次に疑問となるのは、民間部門におけるルールとの食い違いである。民間部門では、匿名加工情報を作成することは、個人情報の利用とは解されておらず、それゆえに、行政機関法のように「作成し、及び提供することができる」との規定を置いていないにもかかわらず、作成できるわけである。*13

これは、民間部門では、匿名加工情報は個人情報でないと整理されていることによるのではないか。経産省ガイドラインQ&AのQ45*14が示してきたように、統計量へ集計する入力として個人情報を用いることは個人情報の利用に当たらないとしてきたのと同様に、非個人情報へ加工する入力として個人情報を用いることも、個人情報の利用に当たらないとの解釈が前提にあるものと思われる。

それに対し、行政機関法では「非識別加工情報は個人情報である」というのが行政管理局の整理であった。そのため、上記の「非個人情報へ加工する入力として個人情報を用いる」には当たらないことになり、結局、行政機関法において非識別加工情報への加工は個人情報の利用に当たるということになるのだろう。

以上のことを、前掲の指針パブコメの回答は想定しているのだと思われる。つまり、「作成等の手続きに違いがありますので、該当する法律の規定に従い、取り扱っていただきますようお願いします。」というのは、行政機関法4章の2で規定された提案募集に基づく作成しかできませんよという意味なのだろう。

そうすると、指針で「非識別加工情報」に触れている意義は全くないのではないか。行政機関法4章の2の提案募集に係る手続きは、医学系研究の実施と何の関係もないと言ってよいだろう。医学研究に情報を用いたい民間の研究機関が、行政機関や独立行政法人からその提供を受けるときは、従前の方法で可能なのであり、行政機関法4章の2の提案募集に係る手続きをとるまでもない。

その点、指針は、「研究計画書の記載事項」（第8）において、「⑧個人情報等の取扱い（匿名化する場合にはその方法、匿名加工情報又は非識別加工情報を作成する場合にはその旨を含む。」という規定を置いたが、「非識別加工情報を作成する場合にはその旨」は無用だったのではないか。なぜなら、行政機関法4章の2の規定による作成は、この指針の対象ではない*15のだから。

他に、指針のどのような場面で「非識別加工情報」の語が現れるか、検索して調べてみたところ、残るのは、第12（インフォームド・コンセントを受ける手続き等）において、インフォームド・コンセントが困難な場合にそれを不要とする場合の一つとして、既存試料・情報が「匿名加工情報又は非識別加工情報である」場合が、挙げられている。（「匿名化されているもの（特定の個人を識別することができないものに限る。）」と並置されている。）

これは、前掲の「考え方」No.204で「改正指針第12の1に規定している匿名加工情報の取扱いについては、合同会議にて検討した結果、インフォームド・コンセントが困難な場合の取扱いの一つとして整理し、規定を設けることとしました。」とされていた部分である。

当該研究機関が民間（個人情報取扱事業者）の場合は、匿名加工情報について、確かに、外部から提供を受けた匿名加工情報を、医学系研究に使うことはないとは言えないので、この規定の意義は理解できなくもない。また、民間の場合は、匿名加工情報は、自社内で目的外利用するために作成するという用法もある（そのため、36条5項の再識別禁止規定がある）ので、指針にこのような規定を置く意義は理解できなくもない。

しかし、当該研究機関が独立行政法人の場合はどうか。まず、後者については、改正独法法は、非識別加工情報について、自機関での目的外利用という用途を想定していない（それゆえ、非識別加工情報の再識別禁止規定が置かれていない）ので、その用途のために非識別加工情報を指針のこの規定に入れたということはあり得ない。次に、前者について、外部から提供を受けた情報が、独立行政法人において「非識別加工情報」となる場合があるのかどうかである。

前記の通り、匿名加工情報は、情報がその定義条文の要件を満たせばそれに該当するというものではなく、匿名加工情報として扱う場合に限り該当するものとされているので、独立行政法人が外部から提供を受けた情報が非識別加工情報となり得るのは、提供元が、個人情報保護法36条、37条に従って提供している場合に限られる。このケースを指針は想定しているのか。

この点について、前回の日記でも触れた「考え方」No.1179に回答がある。

文部科学省及び厚生労働省の考え方

（略）なお、国立大学が匿名加工情報の提供を受けた場合には、匿名加工情報ではなく、個人情報又は個人情報でない情報（非個人情報）のどちらに該当する情報かを判断し、個人情報又は非個人情報として取り扱っていただく必要があると聞いています。詳しくは総務省にお尋ねください。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1179

なんと、独立行政法人が匿名加工情報の提供を受けた場合は、匿名加工情報（この場合、非識別加工情報を含む意味で書かれていると思われる。）として扱うのではなく、個人情報又は非個人情報に該当するものとして扱うとされている。

ということは、以上のことから、医学系研究倫理指針に「非識別加工情報」の規定は実は一切無用だったという結論となるのではないか。

ただ、以上の論理を再度検討すると、いくつか残された論点はある。

公的部門で非識別加工情報の自発的作成が基本的に許されないとした根拠として、8条（独法法では9条）に違反するからとしたが、これは、前記のように、非識別加工情報が常に個人情報に該当するという前提に基づいているからと考えられる。

非識別加工情報が常に個人情報であるとする見解を行政管理局が出していたことは、前回の日記の「行政機関法では匿名加工情報は常に個人情報である？」に書いたが、これは、昨年2月19日時点での整理であり、同年2月22日・23日に、内閣法制局長官から、「行政機関匿名加工情報は、個人情報にあたらないため、関連規定を修正すべき」との指摘を受け、行政管理局は同年2月29日付の資料では個人情報に該当する場合もあるという整理に修正したと思しき経緯がある。（前回の日記の「内閣法制局長官の大どんでん返し」参照のこと。）

それゆえに、上記の「考え方」No.1179でも、「個人情報又は非個人情報として取り扱っていただく必要がある」と書かれていて、「個人情報として取り扱っていただく必要がある」とは書かれていないのだろう。

この「考え方」は今年2月になって公表されたものであるから、やはり、行政管理局はその後、非識別加工情報は個人情報となる場合もあれば非個人情報となる場合もあるものとして整理し直している（2月19日時点の整理は破棄されている）と推察される*16。

そうすると、非識別加工情報が非個人情報となる場合については、自発的作成も、8条（独法法では9条）に違反しないことになり、可能ということになるのかもしれない。

そのような自発的作成がアリだとなれば、指針における非識別加工情報の扱いも、そういう場合を想定する必要が出てくるのであろうか。

ただ、上記の「考え方」No.1179は、行政管理局から聞いた話として、国立大学が匿名加工情報の提供を受けた場合は、非識別加工情報として扱うのではなく、個人情報又は非個人情報として扱えというのであるから、やはり、非識別加工情報をそういう用途のものとして捉えるべきではないということだろう。

というわけで、再検討してもやはり、指針に非識別加工情報の規定は無用だったと思う。

なぜこんなことになってしまっているのか。見直し合同会議は、当初、非識別加工情報がどういうものかを行政管理局にちゃんと確認しないで、単純に民間部門における匿名加工情報と同列の扱いで（名称がなぜか違う*17といった程度の認識で）機械的に「匿名加工情報」＝「匿名加工情報及び非識別加工情報」として扱って指針改正案を作ってしまい、後になって、行政管理局から違うよと言われたということではないか。

ただでさえ煩雑なこの指針にこのような無用な規定が入ったことは、そもそも匿名加工情報からして記載不要だと再三申し上げていた私としては、残念と言う他ない。

指針の適用対象である研究実施者の方々には、非識別加工情報の規定は無視すればよいものとしてご理解いただき、文科省・厚労省は、次の指針改正でこの点を直すべく準備しておくべきだろう。

*1 「個人情報でない」が「非個人情報であるとは限らない」とは、事務局もいささか混乱しているようだ。

*2 個人情報保護法では「他の情報と照合」となっているのに、指針では「他で入手できる情報と照合」となっていた。法の「他の情報」は民間部門では主に当該事業者自身が保有する他の情報を指す（これが提供元基準の謂れ。）のに対し、「他で入手できる情報と照合」では、提供元基準を否定するものということになってしまうので、これらは無視できない違いがあったということになる。

*3 このことは、2015年の「人を対象とする医学系研究に関する倫理指針ガイダンス」（文科省・厚労省）においても、「個人の医療等に関する情報は、その情報自体が身体的特徴を表すことがあり、例えば、氏名、生年月日その他の「特定の個人を識別することができることとなる記述等」を機械的にマスキングすることだけでは、特定の個人が識別されることを不可能にしたと言い難い場合がある。」とし、仮名化だけでは真に「不可能」な連結不可能匿名化とは言えない場合があるとしていた。

*4 この点については、「匿名加工情報は何でないか・後編」で書く予定。

*5 大綱は、「本人の同意がなくてもデータの利活用を可能とする枠組みの導入等」（7頁）で、「個人の特定性を提言したデータ」の件（後の匿名加工情報）に触れた後、次の段落で、「また、医療情報等のように適切な取扱いが求められつつ、本人の利益・公益に資するために一層の利活用が期待されている情報も多いことから、萎縮効果が発生しないよう、適切な保護と利活用を推進する。」としていた。

*6 この点については、「匿名加工情報は何でないか・後編」で書く予定。

*7 2015年12月6日の日記「匿名加工情報は何でないか・前編（保護法改正はどうなったその2）」の「匿名加工情報の定義に該当するからといって36条～39条の義務が課されるわけではない」及び2016年2月5日の日記「匿名加工情報は何でないか・前編の2（保護法改正はどうなったその4）」参照。

*8 「「匿名化されている情報」として取り扱っていただくこととなります」では、意味が伝わりにくいだろう。ここはもっと端的に、「匿名加工情報として取り扱うための手続きを行わない場合には、匿名加工情報としての義務が課されるものではありません。」と書いた方がよいが、そうは断言しづらかったのだろうか、指針の「匿名化されている情報」の方が適用されるとだけ書かれた。両者は二者択一なわけではないのだから、法の適用がないことをちゃんと言わないと否定されないのであり、これではまだ誤解する人もいそうだ。

*9 こうしてみると、改正個人情報保護法は、4章2節（匿名加工情報取扱事業者等の義務）を、76条1項の適用除外の対象から外せばよかったのではないかと思えてきたがどうか。適用除外は、報道や学問の自由を制限しないように設けられたものだが、4章2節は、匿名加工情報を使わなければ義務は課されないのであり、使う使わないは自由なのであって、使う選択をしたからにはその手順・手続きに従うというものだから、その従うことは自由が制限されたわけでもなんでもないわけで、元々適用除外とする必要がなかったのではないか。

*10 (3)は作成時の公表義務、(4)は提供時の明示義務、(6)は作成時安全管理措置内容の公表義務、(7)は提供を受けた匿名加工情報の二次提供時の明示義務、(9)は提供を受けた匿名加工情報の安全管理措置内容の公表義務となっている。

*11 この記事のことは、11月29日の日記「医学研究等倫理指針見直し3省合同会議が迷走、自滅の道へ」の脚注10でも触れていた。

*12 昨年2月5日の日記「匿名加工情報は何でないか・前編の2（保護法改正はどうなったその4）」参照。

*13 これまで、提供について、「できる」規定がないのに匿名加工情報を提供できるのは匿名加工情報が個人情報でないからだという整理は見てきたが、作成についても同様の理由があったということだ。

*14 2015年3月8日の日記「世界から孤立は瀬戸際で回避（パーソナルデータ保護法制の行方その14）」参照。

*15 独立行政法人が、研究用に取得した個人情報で個人情報ファイルを構成している場合に、それが、独立行政法人等非識別加工情報への加工対象となるかというと、学術研究目的の個人情報ファイルは、個人情報ファイル簿に記載しないことになっている（独立行政法人等個人情報保護法11条2項6号）ので、対象とならない。

*16 文科省・厚労省のこの「考え方」No.1179は、「……と聞いています。詳しくは総務省にお尋ねください。」と書かれているように、行政管理局に照会して得た見解なのだろう。

*17 その意味では、公的部門の匿名加工情報は、民間部門の匿名加工情報と規律の内容的に異なるものであるから、民間部門のそれとは異なる名称にせよとした内閣法制局長官の指摘は、尤もなものだったとも言えるかもしれない。（それでもなお、文科省・厚労省には同一視されてしまったわけだが。）

本日のリンク元 TrackBack(0)

2017年05月05日

■ 匿名加工情報が非識別加工情報へと無用に改名した事情（パーソナルデータ保護法制の行方その30）

当初の案では「匿名加工情報」だった
用語と定義範囲が一致することの重要性
行政機関法では匿名加工情報は常に個人情報である？
匿名加工情報がそもそも照合によって個人情報に復元されるのか
内閣法制局長官の大どんでん返し
長官のちゃぶ台返し
国会審議での展開
改正法成立後の状況

昨年成立した行政機関個人情報保護法（行政機関法）の改正法で、「匿名加工情報」が法案国会提出の段階で「非識別加工情報」と名称を変えられていたことについて、昨年3月の日記で以下のように書いていた。

行政機関匿名加工情報取扱事業者に再識別禁止の義務はかかるのか（パーソナルデータ保護法制の行方その21）, 2016年3月27日の日記

名称変更の謎

しかし解せないのは、「匿名加工情報」だったはずの用語が、どういうわけか、「非識別加工情報」などという別の名前になっており、名前を変える理由が謎になっていることだ。国会提出後に新旧対照表と同時に公表された「概要」の資料では、図1のように「匿名加工情報」のままとなっており、何か不測の事態が起きたように見える。

この資料に、「個人の権利利益を侵害することにならないよう、民間事業者と行政機関等の双方に必要な規律を課す」とあるように、双方に義務を課すのだから、同じ名前でないと辻褄が合わないように思える。

この名称変更のいきさつが、情報法制研究所（JILIS）からの情報公開請求により明らかになったので、以下に記しておく。

当初の案では「匿名加工情報」だった

情報公開請求したのは、内閣法制局の法律案審議録*1であり、そのうち、総務省に移送されて開示された「……のうち、総務省から内閣法制局に提出されたもの全て」に、2016年2月15日以降の*2内閣法制局とのやりとりが記載されていた。

図1: 2017年4月4日に到着した開示資料

まず最初に、2月19日付で「長官・次長配布版」として作成された「……に関する法律案（仮称）説明資料」の「概要」（p.2）に以下の記述がある。この時点では、「非識別加工情報」ではなく「匿名加工情報」として書かれている。

図2: 2016年2月19日付「長官・次長配布版説明資料」

(3) 匿名加工情報と個人情報の関係

行政機関個人情報保護法等における行政機関匿名加工情報等を個人情報保護法上の匿名加工情報に該当するように定義し、かつ、提供先を当該行政機関匿名加工情報等を事業の用に供する者とすることにより、行政機関匿名加工情報等の提供先について、個人情報保護法における匿名加工情報取扱事業者としての規律（識別行為の禁止等）に服することとする。

「としての規律（識別行為の禁止等）に服することとする」とあるように、この段階で、行政機関側で作成した（行政機関法の）匿名加工情報が、提供先の民間事業者においても（個人情報保護法の）匿名加工情報として義務の対象となるようにすることの必要性が、十分に認識されていたことがわかる。

ただ、「服することとする」というものの、そうなっていることの根拠が、「ように定義し、かつ、」「とすることにより」とあって、前者はまだわかるが、後者が何を言わんとしているのかはよくわからない。「提供先を当該行政機関匿名加工情報等を事業の用に供する者とすることにより」がどういう効果を持つのかがわからない。*3

用語と定義範囲が一致することの重要性

この問題は、昨年の衆議院総務委員会の参考人質疑の回で鈴木正朝参考人が指摘した論点であり、意見陳述で以下のように述べていた。

○鈴木参考人　新潟大学から参りました鈴木正朝と申します。（略）

趣旨には賛成ですが、テクニカルな話になるかもしれませんが、本法案の根幹となる非識別加工情報の条文の一部に問題が残っていると言わざるを得ません。本来実現すべき趣旨に沿った条文の文言に改められるべきだと思っております。

るる順に説明してまいります。

二番ですが、匿名加工情報から非識別加工情報への変更ということでありますが、どうやら、閣議決定直前に用語の変更がなされたのではないか。既に国会に提出されておりますポンチ絵などを見ますと、匿名加工情報の文言が残っておりました。結構どたばただったのだろうなと思いながら見ておりました。

この修正の結果、提供した先の受領者に、匿名加工情報の識別行為の禁止義務、民間の個人情報保護法の三十八条が規定されておりますが、これが当然に適用されるのか、条文上一義的に明らかになっていないという問題が出てまいりました。この法適用に疑義を残すことは、制度上やはり、オープンデータを推進するという意味からして、大きな問題が残っているのではないかということを指摘したいと思っております。

三番ですが、識別行為の禁止義務、民間部門の個人情報保護法三十八条の適用の疑義についてであります。

提供した先の民間の個人情報取扱事業者に匿名加工情報の義務が適用されるためには、明文の根拠規定を置くことが必要だと思います。しかし、その根拠条項がないばかりか、形式的には、法令用語の統一ができておりません。そうであるならば、せめて実質的に、その対象情報の範囲が、内容が一致している必要がありますが、非識別加工情報と匿名加工情報は、法文の文言を見る限り、一致しておりません。説明とは違います。

第一に根拠条項がなく、第二に法令用語が異なり、第三にその用語の定義、すなわち概念の示す範囲が一致していない。それなのに、非識別加工情報の提供を受けた民間の個人情報取扱事業者は、当然に識別行為の禁止義務、三十八条が適用されると説明されています。

これは、でき上がった法律で、苦肉の策で法解釈学が受け持つのではなく、今まさに法案として審議中に発見された問題であります。これは、両者が一般法と特別法の関係にあり、かつ、両者が基本的に同じ概念だという強弁を受け入れることで成立する考え方であります。国民の権利義務に係るまさに法律事項の条項の適用において、このような解釈を前提とした法案を許していいのかどうか、私は甚だ疑問であると思っております。

具体的にどう直すか枠囲みに書きましたが、明文規定への追加案もあります。個人情報保護法を改正し、三十八条に受けの明文規定を置くこともできます。行政機関法に明文規定を置いてもいいです。それから、形式的には、法令用語の統一もあってもいいでしょう。匿名加工情報の統一案。非識別加工情報統一案。むしろ、個人情報保護法の本体を改正し、非識別加工情報という用語を採用することもできる。もしくは、用語は変えると決めてしまったのであれば、実質的には、その対象情報の範囲が一致するように、条文のわずかばかりの修正を行えばいいのではないかと思いました。

第190回国会衆議院総務委員会会議録第14号, 2016年4月19日

鈴木参考人は解決案を示しており、「どう直すか枠囲みに書きました」というのは、図3の写真の資料のことであり、以下のように提案していた。

図3: 鈴木正朝参考人の「参考人意見」, 2016年4月19日

(1) 明文規定追加案
個人情報保護法を改正し、38条に受けの明文規定を置くこと。（行政機関法に明文規定を置いてもいいが。）

(2) ア）形式的には、法令用語の統一
①「匿名加工情報」統一案
②「非識別加工情報」統一案（個人情報保護法改正）
イ）実質的には、その対象情報の範囲が一致していること

ちなみに、この「個人情報保護法38条に受けの明文規定を置く」ことについて、昨年の行政機関法の改正法が個人情報保護法38条の改正も含んでいることから、そのような規定は既にあると誤解している人を複数目にしたので、そうではないことをここで確認しておきたい。個人情報保護法38条の改正は以下のようになっている。

（識別行為の禁止）
第38条匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第36条第1項、行政機関の保有する個人情報の保護に関する法律（…）第44条の10第1項（同条第2項において準用する場合を含む。）若しくは独立行政法人等の保有する個人情報の保護に関する法律第44条の10第1項（同条第2項において準用する場合を含む。）の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。

強調部が改正で加えられる部分であり、パッと見で、「他の情報と照合してはならない」との規定に、行政機関法や独法法が参照されているかのように見える。しかし、よく見れば、加えられた部分は「の規定により行われた加工の方法*4」に係っているだけであり、「取得してはならない」とする情報に、行政機関法や独法法における匿名加工の際に生じた「加工の方法」を加えるだけの規定である。これが加えられたのは、さすがにこれらの法を参照することなく単に「加工の方法」で済ますことはできなかったからなのだろう。*5

そうすると、同じように行政機関法と独法法を参照して、以下のようにすることもできたはずで、鈴木参考人の解決案(1)はそういう提案だった。

（識別行為の禁止）
第38条匿名加工情報取扱事業者は、匿名加工情報（行政機関の保有する個人情報の保護に関する法律第2条第9項に規定する行政機関匿名加工情報及び独立行政法人等の保有する個人情報の保護に関する法律第2条第9項に規定する独立行政法人等匿名加工情報を含む。以下この節において同じ*6。）を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、（略）を取得し、又は当該匿名加工情報を他の情報と照合してはならない。

なぜこうしなかったのかは、開示資料からではわからなかったが、おそらく、このようにせずとも、「匿名加工情報」という用語が同じで、かつ、前掲図2の部分が言うように、「行政機関個人情報保護法等*7における行政機関匿名加工情報等を個人情報保護法上の匿名加工情報に該当するように定義し」ていれば、必然的に、行政機関匿名加工情報等は、常に、個人情報保護法における匿名加工情報にも該当することになって、自動的にこの38条の義務が課されるという手はずだったのだろう。

ところが、2月22日・23日の内閣法制局長官・次長による指摘で、これがひっくり返されることになる。

その様子を見る前に、前掲図2の2月19日付「説明資料」の続きの部分を確認しておきたい。

行政機関法では匿名加工情報は常に個人情報である？

「行政機関法では匿名加工情報は個人情報である」という整理が、以下のようになされていた。

図4: 2016年2月19日付「長官・次長配布版説明資料」（図2の続き）

1枚目の写真は、図2の写真の次のページである。以下の文章がある。

一方で、行政機関等が民間事業者が作成した匿名加工情報を取得する場合には、それらの匿名加工情報は、作成にあたり削除された記述等や加工の方法に関する情報等が廃棄されていない限り、行政機関個人情報保護法等では、個人情報に該当することとなるため、行政機関等には、個人情報としての規律がかかることにより、利用目的の特定等の義務が生じることとなる。

この文章が何を意味しているかは、2枚目の写真の下の矢印（左向きの）が端的に表している。

つまり、上の矢印（右向きの）のように、行政機関匿名加工情報を提供するとき、その行政機関匿名加工情報が個人情報であるというだけでなく、下の矢印（左向きの）は、民間事業者が持つ匿名加工情報を行政機関が取得したら、行政機関法上の個人情報に該当するというのである。

これは初耳であり、驚いた。国会審議ではこの解釈は出ていなかったと記憶している。

下の矢印（左向きの）のようなケースは、個人情報保護法改正法の成立後、昨年になってから、「国立大学を含む独立行政法人は、民間事業者で作成された匿名加工情報の提供を受けて取り扱うことはできるのか」という論点として出てきて、独法には個人情報保護法38条等が適用されないから、そういう提供は想定されていないのではないかという話があった。

個人情報保護委員会は、このようなケースについて、ガイドライン、Q&A、事務局レポートのいずれにも書いていない。

医学系研究倫理指針見直しのパブリックコメントでは、その点に係る質問があり、以下のように回答されていた。

Q （略）国立大学付属病院は、「独立行政法人等の保有する個人情報の保護に関する法律」の規定によるが、「法」に従う私立大学、私立病院、私立の研究機関、学会等が主導して行う他施設共同研究に国立大学付属病院が参加する場合には「指針」の第17は該当しると考えられる。ここでは、特に(9)の「匿名加工情報の提供を受けた」場合の公表に係る対応について、研究者の負担を増大させることが懸念されるため、過剰な負担を強いることのない記述を検討いただきたい。（略）

A 第17の(9)については、個情法に規定されている内容を引用しているものであり、法律と同等の手続きを行わなければ匿名加工情報にはならないため記載を変更することができません。なお、国立大学が匿名加工情報の提供を受けた場合には、匿名加工情報ではなく、個人情報又は個人情報でない情報（非個人情報）のどちらに該当する情報かを判断し、個人情報又は非個人情報として取り扱っていただく必要があると聞いています。詳しくは総務省にお尋ねください。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1179

「と聞いています」「総務省にお尋ねください」という回答もなかなかだが、総務省行政管理局は未だここのところの見解を公けにしていないのではなかろうか。

この回答では「非個人情報」となる場合も想定されているが、前掲図4のように、少なくとも行政機関法改正法の立案段階では、民間の「匿名加工情報」を公的部門が受領したら常に行政機関法上の個人情報に該当するとされていたのである。

ちなみに、法案に先立って有識者らが検討していた（という体裁の）「行政機関等が保有するパーソナルデータに関する研究会」の「行政機関個人情報保護法・独法等個人情報保護法の改正に向けた考え方」」（2016年3月7日）では、この点について以下のように書かれていた。

なお、公的部門が民間部門から匿名加工情報を受領する場合、行政機関等は所掌事務の範囲内でしか匿名加工情報の入手はできず、通常、他の第三者に提供することは想定しがたい*8 こと、法令に基づく場合は民間企業等から加工前の個人情報の提供を受けることができること、セキュリティ面で適正な取扱いを行うことは当然のことと想定されることを踏まえて、規律を設けることが必要かの検討が必要である。

行政機関個人情報保護法・独法等個人情報保護法の改正に向けた考え方, 行政機関等が保有するパーソナルデータに関する研究会, 2016年3月7日

この研究会の「考え方」は、改正法案の閣議決定（3月8日）の前日に公表されたもので、その3日前に8か月ぶりに開かれた会合で検討され決定されたものなので、この時点ですでに前掲図4の説明資料は完成していたわけである。

ここで、その「3日前に8か月ぶりに開かれた会合」の議事要旨を確認したところ、これに近い論点が、以下のように議論されていた。

【宍戸構成員】（略）その上で、事務局に少し整理をお伺いしたいのは、例えば、行政機関が匿名加工情報を作って、それを国立大学法人にご提供いただいたとします。その行政機関が作った匿名加工情報は、国立大学法人にとっては何らかの形で照合可能なので、なおそのままでは独個法上の個人情報に当たる、そういう整理の仕方になるのですか。

そうではなくて、国立大学法人は最初の加工前の個人情報を持っていないので、個人情報ではないと考えるのですか。

【事務局】今のご質問ですけれども、行個法上は、目的外でも国の行政機関が独立行政法人に対して相当の理由があれば、個人情報そのものを提供できる。すなわち独立行政法人で、元データを入手し得るのであれば、元の個人情報と照合することができ、個人情報に該当するということになるのではないかと考えております。

【宍戸構成員】そうだといたしますと、今回の法改正において、匿名加工情報が少なくとも行政機関及び独法の間を回っている間は常に、カテゴリーとして匿名加工情報は個人情報の中に入っている、そういう整理ですか。

【松村構成員】考え方には、そのように書いてあります。「すべからく」そうだと書いてあるから問題だと申し上げているところです。

【下井構成員】そういうものもある、ということではないですか。

【佐藤構成員】その問題を突き詰めていきますと、行政機関ないし独法の間で元となる個人情報の受け渡しができるとなりますと、2つ考えなければいけないことがあります。まず、行政機関ないし独法の間で匿名加工情報を取り扱っていいのかどうか。もともと照合できるものを渡しても仕方ないので、独法は行政機関の匿名加工情報を買ってはいけないと整理をするのか。買った場合には何か行政執行上の理由で、個人情報ファイルと個人情報そのものをもらうというのと同じ扱いにするのか。おそらく、どちらかの整理をしていかないといけないと思います。

それは、どういうふうにお考えになっていますか。

【大槻管理官】今回の仕組みは、基本的に行政機関で加工した情報を民間で活用してもらうことを想定していますので、行政機関同士や、行政機関と独法間のやりとりは想定していません。

そうしますと、事実上匿名加工情報的な情報をやりとりしたら、どういうふうに取り扱うかということでありますが、その場合はもともとの行個法の取扱いにさかのぼって、個人情報である部分は個人情報としての規律で取り扱っていただくということかと思います。

【佐藤構成員】1つ気になるのは、独立行政法人や国立大学法人で、行政機関から匿名加工情報をもらおうといったときに、私立大学は買えるけれども国立大学法人は買えないということが起きてくるのではないですか。

【宍戸構成員】同じことですが、国立大学法人東京大学が提供するデータは、慶応義塾大学は買えるけれども京都大学は買えないといった問題が起きませんか。

【藤原座長】今のお話は、東大病院と慶応病院と市立の大学とで、医療データをどのような回し方をするのかという以前からの問題のことだと思います。

まずその前に12ページの議論を片付けてしまうと、公的部門と書いてあり、独法も行法も両方とも含みますし、独法と行政の間であれば現在でも生データの交換ができるわけですから、今佐藤構成員が言われたような心配はないわけですね。

【佐藤構成員】ただ、独法や大学が例えば研究で使いたいといった場合に、行政執行上の理由でそのデータが欲しいと言えるかというところです。

【藤原座長】それは、まさしくデータによるのではないですか。そこは今と変わらないと思います。それについて、医療データ等では困るから、医療の分野等については何とか回す仕組みを作ろうという議論をしてきたわけです。そこの基本線は変わらないお話だと思います。

12ページのなお書きのところは、ここまでのような議論を招くものであれば、10ページとの整合性、及び現行はどこまでできて、今度はどうなるのかという趣旨がはっきり分かるような直し方をさせていただきたいと思います。

第16回議事要旨, 行政機関等が保有するパーソナルデータに関する研究会, 2016年3月4日

この会合は一般傍聴していたので、このやり取りは記憶にある。ただ、後半の、独法は匿名加工情報を取得し利用できるのかの方だけが記憶に残っていた。今改めて見ると、前半部分は、行政機関・独法で作成された匿名加工情報は行政機関法・独法法上の個人情報であるとされた話の流れで、それを別の行政機関・独法で受領したときも個人情報なのかという議論だったようだ。私は傍聴していたときこれを聞き逃していたようだ。てっきり、作成された行政機関・独法において個人情報という話だけがされているのだと思っていて、匿名加工情報を行政機関・独法が受領すると常に個人情報になるという話がされているとは、思いもよらなかったのだろう。

これについて、事務局ははっきりと、「独立行政法人で、元データを入手し得るのであれば、元の個人情報と照合することができ、個人情報に該当するということになる」と答えている。しかも、「元データを入手し得る」ことの根拠として、「行個法上は、目的外でも国の行政機関が独立行政法人に対して相当の理由があれば、個人情報そのものを提供できる」という法律上の可否を理由にしている。

これはびっくりだ。個人情報該当性について、「他の情報と照合することができ」をどう解釈するかは、これまで、行政管理局の解説書が以下のように説明していた。

照合の対象となる「他の情報」には、その保有者が他の機関である場合も含まれ、また、公知の情報や、図書館等の公共施設で一般に入手可能なものなど一般人が通常入手し得る情報が含まれる。特別の調査をすれば入手し得るかもしれないような情報については、通例は「他の情報」に含めて考える必要はない。しかし、事案によっては、個人の権利利益を保護する観点からは、個人情報の取扱いに当たって、より慎重な判断が求められる場合がある。行政機関の長は、当該個人を識別するために実施可能と考えられる手段について、その手段を実施するものと考えられる人物が誰であるか等をも視野に入れつつ、合理的な範囲で考慮することが適当である。

解説行政機関等個人情報保護法, 総務省行政管理局

なるほど、たしかに、照合の対象とする他の情報には「他の機関」が保有するものを含むとされている。

ただ、これまでの私の理解では、他の機関が保有していれば常に該当するわけではなく、その機関と何らかの関係性を持つ場合に限られるものと思っていた。そうでなければ、「他の機関」というのが未知の組織である場合も含めて、保有しているかを把握しなければ個人情報該当性を判断できなくなってしまう。

その点、この論点においては、「匿名加工情報の提供を受けた」という関係性の存在が前提になっている。提供を受けた機関から提供した機関への日常的な問い合わせが行われていなくても、提供した機関から提供を受けた機関への（単発の場合を含め）提供があれば、つまり、組織間に片方向の関係性さえあれば、提供を受けた機関において「他の情報と照合することができ」に該当するということであろうか。

ちなみにこの解説書の言う「他の機関」というのは、行政機関等のことなのだろうか。それとも民間組織も「機関」に含むのだろうか。

そして、この研究会の議論のときは、改めて見ても、公的部門から公的部門への匿名加工情報の提供に関してのみ議論されていたが、今回の開示資料に書かれている前掲図4の整理では、民間部門から公的部門への匿名加工情報の提供においても、常に、提供を受けた行政機関・独法では個人情報に該当するというのである。

提供を受けたという片方向の関係性があれば提供元の情報との「照合することができ」に該当するという解釈は、私は、むしろ賛成したい素晴らしい解釈だと思うが、これまで、てっきり、支持されていない解釈だとばかり思っていた。

その点、このような解釈に反する事例として、よく引き合いに出されるのが、情報公開・個人情報保護審査会の答申「平成18年度（独個）答申第3号」である。

この事案は、独法法が適用される国立大学法人東京大学が、医科学研究所ヒトゲノム解析センターにおいて保管しているDNA及び診療情報等について、本人からの自己情報開示請求に対して不開示決定をしたことに対する請求者からの異議申立てがあり、審査会が決定を妥当と判断したものであり、その判断において、独法法2条2項該当性について、以下のように判断していた。これは、今回の行政管理局の整理に反するように見える。

異議申立人は、情報はすべて匿名化してからバイオバンクジャパンに送るとはいえ、それには個別のIDが付与されており、送付後も協力病院が持っている個人を識別する情報と結び付けることが可能な状態にあり、これは、法に定義された「個人情報」に該当するものであって、法2条2項には、「他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む」と記されている旨主張する。

しかしながら、上記(1)において、諮問庁が詳細に説明するとおり、バイオバンクジャパンに提供された試料及び臨床情報については、個人情報保護の観点から、厳格な取扱いを行なっているところであり、取り分け、上記(1)のイ（ウ）①及び②のとおり、「匿名化に用いた対応表は、各病院の個人情報管理者及び個人情報管理補助者以外は扱うことができない。」及び「提供者提供者の個人情報が付された情報資産は、病院以外では扱うことのできない（病院内で提供者の個人情報の匿名化を施すため、病院外の組織においてはレベル3の情報資産は存在しないこととなる）。」とされていることから、バイオバンクジャパンは、提供された試料及び臨床情報について、個人を特定する情報を保有していないだけでなく、個人を特定する情報を協力病院から入手することもできず、異議申立人が主張する「協力病院が持っている個人を識別する情報と結び付けることが可能な状態にある」とは認められない。

したがって、バイオバンクジャパンが保管している情報は、「他の情報と照合することができ」ないため、「それにより特定の個人を識別することができることとなるもの」ではないので、法2条2項の個人情報に該当するとは認められない。よって、（略）

この事案では、病院から東大への提供であるので、病院が民間事業者であれば、前記の通り、「他の機関」と言えるのかという論点が残るかと思ったが、病院に国立病院も含まれていたのであろうから、それは明らかに「他の機関」に含まれるので、やはり、この答申の判断は、今回の行政管理局の整理に反しているように思える。

繰り返しになるが、「片方向の関係性があれば照合することができる」とする解釈は、私は賛成であり、民間部門にも適用していくべきと考えている*9のだが、ただ、行政管理局のこの整理が解せないのは、匿名加工情報が照合によって常に個人情報に該当するとした点である。

匿名加工情報がそもそも照合によって個人情報に復元されるのか

この点は、昨年3月6日の日記「行政機関法では匿名加工情報が個人情報に当たるですって？（パーソナルデータ保護法制の行方その20）」で詳しく書いている。このときは、松村雅生構成員が、執拗に事務局の見解はおかしいと追求していた様子を速報で書いた。その後、議事要旨が公開されているので、改めて、松村構成員の主張した部分を以下に引用しておく。

【松村構成員】12ページの真ん中のなお書きについてです。匿名加工情報というのは、元の情報があるのだから、行個法上の個人情報に当たると整理されています。一方で10ページでは、先ほど下井構成員がご指摘されたように、個人情報を加工して個人情報該当性を適切に排除すれば、行個法上の個人情報ではなくなると整理されています。

もちろん「個人情報該当性を適切に排除すれば」となっていますが、では、どのような加工のやり方であれば、個人情報該当性を排除することができるのかどうか。それはどうなっているのでしょうか。

【大槻管理官】趣旨としましては、10ページにありますとおり、個人情報該当性を適切に排除するということですけれども、12ページのなお書きのところをどういうふうに読み取るかということを、もう少し詳しくご説明します。

行政機関の中においては、当然作成の元になった個人情報は持っているものですから、それと照合すれば、個人情報に当たるものである言えるかと思います。これを実際に民間事業者に提供する場合どうなるのかということですが、そういった場合、民間事業者においては、元の個人情報は当然持っていませんから、まず照合されることはないだろうと考えられます。したがって、個人情報該当性が適切に排除されたものを提供するという趣旨でございます。

【松村構成員】匿名加工情報は、もちろん若干個人識別性が残っているかどうかという議論がありますけれども、大半は識別性がなくなったものを言っているわけです。それについても、12ページでは、保護法の適用になるから、利用・提供は勝手にできないという趣旨で書いてあります。その点について、今のご説明とどういうふうに整合性があるのでしょうか。

【大槻管理官】繰り返しになりますけれども、個人情報該当性を適切に排除するというのがもともとの発想ですけれども、吟味したところ行政機関の中にあるときに、個人情報なのかどうか、どちらかと整理したならば、個人情報と言わざるを得ないということです。

【松村構成員】元の情報を持っている限りは、いくら一部だけを取り出して渡そうとしても、渡せませんよというのがこの12ページの考え方ではないのですか。そうした場合に、10ページの「個人情報該当性を適切に排除すれば」利用・提供は問題ないというケースが起こり得るのでしょうか。行政機関が匿名加工情報を提供しようとする場合に、元の情報を持っていれば、その一部個人識別情報でなくなった場合でも出せないと、12ページには書いてあるのではないですか。そのように読めるのですが、そうでなければ、そうでないように書いた方がよろしいのではないでしょうか。

【大槻管理官】分かりました。「適切に排除する」というのが、きつく書き過ぎていて、12ページに書いている内容と整合性がとれないのではないかということについて、10ページの表現を少し検討したいと思います。

【藤原座長】松村構成員のご指摘は、民間でもときどき問題になりますが、提供元にデータがある限り、どう加工しようと提供元としてみれば照合できるというお話ですか。

【松村構成員】個人情報だから利用・提供できないという問題の話です。ところが、問題ないと書いてある。

【事務局】松村構成員からご指摘ございましたが、民間法制の場合は本人というのが限定となっておりますが、行政機関個人情報保護法の場合は第8条第2項第4号に基づき特別の理由があれば提供し得るということですので、必ずしも提供できないということにはならないだろうと考えられます。

それから、先ほどの下井構成員のご発言とも関連するのかもしれませんが、個人情報そのものではなく、これを加工して外部に提供した場合には、もう個人が識別されないものであり、元データとの照合では、確かに個人情報に当たるかもしれませんが、権利利益侵害性の高低はかなり違うということもあります。そういった元データとの照合では個人情報に当たるとしても、提供の在り方については新たな提供の仕組みは考え得るのではないか。現在ですと、特別の理由に該当するということで提供するとなると思いますが、もともとの個人情報そのものとは性質が違うような情報の提供の在り方を新たに整備することによって、提供しやすくなっていくという側面があるのではないかと思います。

【松村構成員】私は、どちらが正しいかを問題としているのではなく、少なくともこの考え方の中で、12ページのなお書きのところと10ページの「個人情報該当性を排除すれば」利用・提供は問題ないというところが矛盾している点を指摘しているのです。

【藤原座長】以前、公的部門と民間部門について、個人情報該当性は提供元基準か提供先基準かという議論をしたときに、提供元でもあり提供先でもあるというご説明であったのを覚えていらっしゃると思うのですが、そこのところのお話にも関係するのではないかと思われます。松村構成員の従来からの御主張は理解しているつもりです。

ただ、公的部門は民間部門と異なり、8条の記述のスタートのところが違うのではないですかね。

【松村構成員】これで最後にしようと思いますが、行政機関個人情報保護法の問題として、12ページでは提供元に個人情報があるのだから、どう加工しようと識別性が残っている、個人情報の規制がかかるという趣旨で書いてあると理解できる一方、10ページでは加工したらそれはもう個人情報から外れるから、目的外の利用・提供も自由にできると書いてあるように読めます。

この点は矛盾しているのではないでしょうか。私は提供元、提供先どちらの識別性の基準に立つべきかを議論しているつもりはありません。

（略）

【松村構成員】それでは、1点だけ確認ですが、12ページのなお書きの考え方をとりますと、匿名加工情報は、すべからく行個法で言う個人情報に当たると、この研究会では整理されるということでしょうか。

【藤原座長】すべからくといわれると考えますが、行個法ではそうもなります。

【松村構成員】そうしますと、この12ページのなお書きは、どう読めばよろしいのでしょうか。

【藤原座長】それでは松村構成員のご質問に関連しますので、ここで佐藤構成員から意見書が提出されているご意見を開陳していただけますか。

（略）

【松村構成員】考え方には、そのように書いてあります。「すべからく」そうだと書いてあるから問題だと申し上げているところです。

【下井構成員】そういうものもある、ということではないですか。

第16回議事要旨, 行政機関等が保有するパーソナルデータに関する研究会, 2016年3月4日

このように議論は平行線のまま終わっていたのだが、前掲の開示資料（2月19日作成）には、続くページの「別紙2」で、次のように書かれている。

図5: 2016年2月19日付「長官・次長配布版説明資料別紙2」

2 「匿名加工情報」と「個人情報」

(1)「匿名加工情報」と改正後の個人情報保護法の「個人情報」

改正後の個人情報保護法における匿名加工情報は、「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」（第2条第9項）と定義されている。作成に用いた個人情報を「復元することはできない」が、自ら保有し、又は入手可能な他の情報との照合により特定の個人を識別することも概念上はあり得ることから※、「匿名加工情報」は、個人情報保護法の「個人情報」に当たることもあり得る。

改正後の個人情報保護法では、匿名加工情報を作成する民間事業者及び取得する民間事業者に対して、特定の個人の識別のための照合の禁止を義務付けており（第36条第5項及び第38条）、その結果、民間事業者にとっては、当該匿名加工情報は、「個人情報」には該当しないものとなる。

（※）実際には、現時点で想定している加工の方法により「個人情報を復元することができないようにした」情報であって、他の情報との照合により特定の個人を識別することができるものは、現時点では想定していない。

(2) 「匿名加工情報」と行政機関個人情報保護法の「個人情報」

匿名加工情報は、それ自体では、作成に用いた個人情報を「復元することができない」が、作成にあたり削除した記述等や個人識別符号、加工の方法に関する情報など、他の情報との照合により特定の個人を識別することができることから、行政機関個人情報保護法の「個人情報」に当たるものである。

なお、作成にあたり削除した記述等や個人識別符号、過去の方法に関する情報等が廃棄された場合には、他の情報との照合により特定の個人を識別することができなくなり、「個人情報」にはあたらないこととなる。また、匿名加工情報の本人が全て「生存する個人」でなくなった場合には、「個人情報」にはあたらないこととなる※。

（※）「匿名加工情報」は、個人に関する情報であるのに対して、「個人情報」は、生存する個人に関する情報である。

(1)が民間部門の話で、(2)が公的部門の話となっている。

(1)の言っていることは、民間部門において、匿名加工情報は、「自ら保有し、又は入手可能な他の情報との照合により特定の個人を識別することも概念上はあり得る」という理由から、そのままでは個人情報に該当する場合もあるとしながら、改正により、「特定の個人の識別のための照合の禁止を義務付けて」いることから、個人情報に該当しなくなるという整理である。

この整理は、以前から問題視していた*10考え方で、「匿名加工情報は何でないか・後編」で書くつもりだと何度か言いつつ、まだ書いていないところである。その後、個人情報保護委員会のガイドラインとQ&Aはこの論点に触れなかったが、「事務局レポート」にはこの点が書かれてしまった。また、JILISからの情報公開請求で開示された、2015年の個人情報保護法改正案の内閣法制局法令審議録から、これまで判明していなかったことも明らかになったことから、いずれその「後編」でそのことをがっつりまとめる予定である。

それにしても、この部分に「※」として、「実際には、……現時点では想定しないない。」などと書かれている。これは重要な記述だ。つまり、匿名加工情報が「自ら保有し、又は入手可能な他の情報との照合により特定の個人を識別すること」というのは、あくまでも概念上あり得るとされているにすぎず、実際には、そういうことが起きるような「加工の方法」というのを、現時点では想定していないというのである。これが何を意味するかについては、その「後編」で書くつもりだ。

そして、(2)では、公的部門での話として、(1)と同様の理屈を用いて、自ら保有している情報との照合により特定の個人を識別することができるとし、ここには書かれていないが、行政機関法では再識別の禁止規定を置かないことから、個人情報に当たるとしている。

ここでおかしいのは、一見、(1)と同じ理屈を用いているようで、同じではないことだ。(1)では、あくまでも概念上あり得るという話であり、実際にはそうなるような加工の方法を想定していないと言っている。それなのに、(2)は、そこを無視して、常に「個人情報に当たる」としてしまっている。そこに理由は何ら示されていない。

両者の文章の違いをもう少し分析してみると、(1)では「自ら保有し、又は入手可能な他の情報との照合により」となっているのに対し、(2)では「作成にあたり削除した記述等や個人識別符号、加工の方法に関する情報など、他の情報との照合により」と、具体化されている。削除したものや加工の方法は「自ら保有し」でいるものに相当するだろう。

「削除したものや加工の方法」と照合することで、匿名加工情報が元の個人情報に復元できるというのは、いったいどういう加工方法を想定しているのであろうか。（民間部門ではそういう加工方法は想定していないと、(1)の「※」が言っている。）

一つ考えられるのは、加工元で、鍵付きハッシュ関数で「仮ID」を作成し、鍵を残して保管する場合である。鍵は「対応表」に相当するもので、医学系研究分野で言われるところの「連結可能匿名化」（「連結可能仮名化」と呼ぶべきだが）に相当するものである。この場合、元データと対応表を用いれば、仮IDの付された匿名加工情報は、元の個人情報に対応づけることができ、復元できるということになる。このとき、「元データ」が「作成にあたり削除した記述等や個人識別符号」に当たり、ハッシュ関数のアルゴリズムと鍵が「加工の方法」ということになろう。

ここで、仮IDを残した匿名加工情報の提供はアリなのかという論点がある。これはナシとすべきだったと思うが、これについてもさきほどの「後編」で書く予定である。

仮IDを残さないのであれば、「削除したものや加工の方法」と照合することで元の個人情報に復元できることはないと言うべきだと思う。逆に言えば、そのような加工方法を、個人情報保護委員会の加工基準の規則は求めているのだと言うべきだと思う。

ともあれ、行政機関法改正案の立案段階では、このように、匿名加工情報は常に個人情報に該当すると整理されてしまった。

そのため、そのままでは、改正前の行政機関法の各義務規定が、作成した匿名加工情報にも適用されてしまい、目的外利用・提供の禁止等の規定に抵触してしまうことになるため、法案は、「保有個人情報」や「個人情報」から「行政機関匿名加工情報」と「削除情報」に該当するものを除くとした。この件は、3月5日の日記「鳥取県の条例改正案、非識別加工情報導入で矛盾噴出（パーソナルデータ保護法制の行方その28）」の「「非識別加工情報」を個人情報に係る義務から除外していない」の節でも述べた。

開示資料を見ると、この除く作業に、手間をかけて綿密な検討が行われていた。以下の写真のページなどがそれである。

図6: 2016年2月19日付「長官・次長配布版説明資料」（続く部分）

1枚目の写真のページには、「規律の一覧性の観点から、行政機関匿名加工情報及び行政機関匿名加工関連情報に関する措置は、新設する規定において措置することとし、現行の規律からは、除外することとする。」と書かれている。（ここで、「行政機関匿名加工関連情報」という語が出てくるが、これは後に「削除情報」の語に変更され、今に至る。）

2枚目の写真のページの図は、匿名加工情報と削除情報について、「個人情報」、「保有個人情報」、「個人情報ファイル」に係るそれぞれの規定について、どういう理由で除外するのかを整理している。

3枚目の写真の図は、各条で除外するのかしないのかを整理し、間違いがないか確認する表になっている。

匿名加工情報が個人情報でないのなら、こんな整理は無用だったのに、なんともはや、いかにも内閣法制局で強いられる作業だなという感がある。

内閣法制局長官の大どんでん返し

さて、以上を踏まえて、ようやく本題に戻る。

このような「長官・次長配布版説明資料」が作成され、2016年2月22日と23日にかけて、内閣法制局長官・次長による検討と指摘があったようだ。それを受けて作成されたのが、次の2月29日付の資料である。

図7: 2016年2月29日付「行政機関個人情報保護法等改正法案長官・次長御指摘（2月22日・23日）への対応概要」

なんと、ここで、内閣法制局長官の指摘により（次長かもしれないが）、「行政機関匿名加工情報は、個人情報にあたらない」と、根底からひっくり返されたのだった。

「関連規定を修正すべき」と指摘されているが、前掲の通り、これは根本から見直す必要が生じるのであり、図6で整理したような「規律の一覧性の観点から」の除外規定なども、全部吹っ飛ぶことになる。

これでは堪らんということだったのか、1週間後の2月29日に内閣法制局長官に持ち込まれた資料では、行政管理局の対応は、それに従わないものとなっており、以下のように書かれている。

行政機関匿名加工情報は、作成に用いた個人情報等特定の情報と照合した場合に限り、特定の個人を識別することができることから、それを明確化するために、第9項を追加し、それ以降の項を1項ずつ繰り下げました。＜別紙1参照＞

なんと、長官の指摘に真っ向から逆らっている。「作成に用いた個人情報等特定の情報と照合した場合に限り」云々と、これまでの整理を繰り返し、それがわかりにくいようだから「それを明確化する」として、9項を新たに追加するというのである。

なお、この修正前では、匿名加工情報の定義は以下のようになっていた。

図8: 2016年2月15日付の案文（表紙と2条8項）

8 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報（他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。）を除く。以下この項において同じ。）の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

この定義は、強調部を除いて、民間部門における定義と同一である。強調部は、民間部門と公的部門とでの「容易に照合」と「照合」の差分を吸収して、民間部門における個人情報のみを加工の対象とするという趣旨である。この点は問題がなく、素直な定義条文だったと言えよう。

これに対して、長官の指摘を受けて追加する（2月29日に）という9項の内容は、以下のものであった。

図9: 2016年2月29日付の案文（2条9項）

9 この法律において匿名加工情報について「特定の個人を識別することができない」とは、匿名加工情報に含まれる記述等により、又は他の情報（匿名加工情報の作成に用いられた個人情報その他個人情報保護委員会規則で定める情報を除く。）と照合することにより、匿名加工情報の作成に用いられた個人情報の本人その他の特定の個人を識別することができないことをいう。

こういう定義規定はアリなんだろうか。8項の条文解釈を2条の定義規定に書こうとする内容になっている。

ここで、照合の対象とする「他の情報」から除く情報を、「個人情報保護委員会規則で定める情報」とした（規則に委任した）のは何故なんだろうか。後で規則で規定するくらいなら、法のここにそのまま書けばよいことのはずだ。一般に、規則に委任する意義は、制定後に状況の変化に応じて改正しやすいようにするといったことにあり、些細な規定であるはずのところ、解釈を「明確にする」ために書いたこれを規則に委任するというのは、理解できない。

ここは、憶測にすぎないが、時間がない中で、結局、決めることができず、先送りしたのではないか。

この資料は、この修正の理由について、以下のように書いている。前掲図5の説明が、より詳細化されたような記述になっている。

【理由】

1 個人情報保護法における匿名加工情報と個人情報の関係

個人情報保護法に規定する「匿名加工情報」は、「特定の個人を識別できないように、個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」とされている（第2条第2項）。

これについては、匿名加工情報は、他の情報と照合したとしても、基本的には特定の個人を識別することができない情報であることを規定したものであるが、その場合であっても、次のような特別な情報と照合した場合等には、なお特定の個人を識別される余地があるものである。

① 加工に用いた個人情報自体や当該個人情報を複製して作成した情報との照合

② 加工に用いた個人情報と加工の方法に関する情報を用いて作成した情報との照合

③ 加工に用いた個人情報から削除した記述等及び個人識別符号と加工の方法に関する情報との両方がある場合におけるそれらの情報との照合等

個人情報保護法の「個人情報」における他の情報との照合による特定の個人の識別については、照合が「容易に」行えることを要件としており（第2条第1項）、これらの情報との照合は、「容易に」行えるものではないことから、個人情報保護法では、「匿名加工情報」は、個人情報保護法の「個人情報」にはあたらないものである。

※ このように、「匿名加工情報」は、基本的に他の情報と容易に照合することで特定の個人を識別することができないものであるが、技術の進歩を勘案すると、照合による識別可能性を技術的に完全に排除することは、将来にわたって確実とまではいえないことから、個人情報保護法では、匿名加工情報取扱事業者に対して、識別行為の禁止義務を設けている（第38条）。

これは、修正前の図5と、言っていることが違っている。

図5の整理では、民間部門の個人情報保護法では、匿名加工情報について、「他の情報との照合により特定の個人を識別することも概念上はあり得る」としつつ、「特定の個人の識別のための照合の禁止を義務付けて」いることから、個人情報に該当しなくなるという整理だったが、その考え方が、この修正した整理では消滅している。

それに替わって、そういう照合は「容易に行えるものではない」という新たな考え方が登場し、それを理由として、民間部門では、「匿名加工情報」が「個人情報」にあたらないという整理になっている。

なぜこうなったのだろうか。推測にすぎないが、これが長官の指摘だったのではないか。つまり、長官が「匿名加工情報は個人情報にあたらない」とする指摘に際して、なぜそうなのかの理由が、民間部門における考え方として、このように説明されたのではないか。

もしそうだとすれば、照合禁止規定の存在により容易照合性が否定されるという、一昨年の個人情報保護法改正案の立案段階で一時、整理された考え方は、内閣法制局長官の頭の中ではその後否定されているのではないだろうか。これは、前記の「匿名加工情報は何でないか・後編」で書こうと思ってきた推測と符合する面がある。（これにつていは、その「後編」で書くこととしたい。）

そして、続いて次のように書かれている。

2 行政機関個人情報保護法における匿名加工情報と個人情報との関係

行政機関個人情報保護法では、「匿名加工情報」は、個人情報保護法に規定する「匿名加工情報」と同じ範囲となるように規定することとしている（第2条第8項）。

行政機関個人情報保護法の「個人情報」は、個人情報保護法の「個人情報」とは異なり、他の情報との照合による特定の個人の識別について、「容易に」行えるものであることを要件としていないことから（第2条第2項）、1①～③のような照合により特定の個人を識別することができる情報については、「個人情報」にあたることになる。

3 行政機関個人情報保護法における規定の明確化

2のとおり、行政機関個人情報保護法では、「匿名加工情報」は、「個人情報」に該当する場合があるものであるが、それは、1①～③のような特別の場合に限られるものであることから、「匿名加工情報」が一般に他の情報との照合により特定の個人を識別することができるものであるという誤解が生じないようにするため、匿名加工情報について「特定の個人を識別することができない」こととは、「匿名加工情報の作成に用いられた個人情報その他個人情報保護委員会規則で定める情報」という特別の情報との照合の場合以外には、特定の個人を識別することができないことであることを明らかにする規定を設けることとしたい。

このように、前半の「2」の部分で、行政機関法では、「容易に」ではなく「照合する」ことによってでも個人情報に該当することとなるから、行政機関法では匿名加工情報は個人情報に当たるのだという整理になった。

この理由説明の文を見ると、常に個人情報に当たるとは言っていないようである。「①～③のような照合により特定の個人を識別することができる情報については」とあり、そうでない場合もあることを想定した整理に変更されたように見える。

この整理は、前掲のパーソナルデータ研究会の最終回会合での、事務局や管理官の説明と食い違っている。この資料の日付が2月29日、前掲のパーソナルデータ研究会の最終回会合は3月4日だから、研究会でも、変更された整理に沿って説明されて然るべきところ、変更前の整理のまま説明されたように見える。どういうことだろうか。*11

また、研究会の有識者の方々には、こうした法制局との整理は見せていなかったのであろうか。もし見ていれば、あのような平行線の議論を延々続けずに済み、皆でこの混乱した状況をどう打開するか検討することもできたかもしれない。*12

それにしても、「「①～③のような照合」が、「容易に照合すること」はできないものの、「照合すること」はできるとするのは、どういう基準からなのか。おそらく、照合の手段の技術的な困難性のことを言っているのではないか。前掲の「【理由】」の「1」には「※」として、「技術の進歩を勘案すると」云々と書かれている*13ので、照合の容易性を技術の問題と捉えたフシがある。

しかし、私は、「容易に照合することができ」と「照合することができ」の違いを、技術的困難性で区別するものとして解釈すべきでないと考えている。このことについては、2016年12月30日の日記「宇賀克也「個人情報保護法の逐条解説」第5版を読む・前編（保護法改正はどうなったその5）」の「Q14問題が前進」の節で軽く触れたが、いずれまた詳しく書くつもりである。

そこを仮に、百歩譲って、技術的困難性の違いと捉えたとしても、個人情報保護委員会の加工基準に従って適切に作成された匿名加工情報が、元データと照合できてしまうというのは、どういう状況を言うのかという疑問に辿り着く。

前節では、元データと照合できる例として、「仮ID」を残して提供する場合を挙げたが、その例の場合、技術的に全く困難ではないので、民間部門の「容易に照合」でも照合できるのであり、公的部門の「照合」と違いが生じないわけで、行政管理局の新しい整理で両者を区別しようとした、その思惑に相応しい例にはならない。

したがって、ここでいかなる照合が想定されているのかは、謎ということになる。無理くり例を考えてみるに、例えば、乱数（暗号論的擬似乱数生成器）を用いて匿名加工が行われているとしたときに、その暗号論的擬似乱数生成器のアルゴリズムが非常に高度な分析によって危殆化（暗号アルゴリズムの危殆化のように）してしまい、元データとの対応関係を予測できるようになってしまう事態が何十年後かに訪れるかもしれないという可能性をもって、行政機関法では「照合することができ」る可能性を否定できないから「照合することができ」るとしているなら、それは法律論的に言ってあまりにバランスを欠く整理であり、不適切な法制執務だと非難されて然るべきものだろう。

他にどういう場合が想定されるのか。行政管理局はそこの答えを持っていないのだと思う。空理空論でその場の状況に都合よく辻褄が合う理屈付けが編み出されただけで、現実に即した実体を伴っていないものだろう。

そして、後半の「3」の部分は、この整理を前提として、9項を新たに導入する必要性を、「①～③のような特別の場合に限られるものであることから、「匿名加工情報」が一般に他の情報との照合により特定の個人を識別することができるものであるという誤解が生じないようにするため」と説明している。

「誤解が生じないように」というが、行政法規の条文で誤解を恐れる必要などあるのだろうか。解釈は別途示していけばよいことだろう。そもそも、「「匿名加工情報」が一般に他の情報との照合により特定の個人を識別することができるものであるという誤解」など、いったい誰がするのだろうか。

このような展開になった経緯として、やはり憶測に過ぎないが、法制局長官との議論において、まず、長官から「匿名加工情報は個人情報じゃない」と言われたのに対して、行政管理局はそれまでの整理を説明したところ、長官から「常に個人情報になるわけじゃないだろ。仮に個人情報に当たる場合があるとしても、一部のケースに過ぎないはずだ。」といった指摘があり、その「一部」というのがどういう場合なのか明らかにすることを宿題とされたのではないか。その宿題の回答が、前掲の「①～③」であり、「①～③のような特別の場合に限られるものである」ということなのだろう。

「誤解が生じないように」と言っているが、要は、行政管理局の前の整理がおかしかっただけである。

そして、開示資料には、この理由説明に付属する「（参考）」として、以下の、「行政機関匿名加工情報から本人を識別する行為の禁止義務を措置しないこと」という説明もあった。

図10: 2016年2月29日付の理由説明の「（参考）」

この説明が「（参考）」として用意されていたということは、別案として、行政機関法にも、民間部門と同じように、再識別の照合禁止規定を置けばよいとする意見もあったことを窺わせる。つまり、修正前の整理では、「民間部門では照合禁止規定があるから個人情報でなくなるが、公的部門では照合禁止規定を置かないので個人情報となる」という理屈が使われていたので、「ならば、照合禁止規定を置けばいいじゃないか。」という意見も出てくるわけだ。

その案は採用しないとするのが、この説明であり、その理由が以下のように書かれている。

1 行政機関については、次の理由から、照合によって識別する行為を禁止する必要はない。

① 行政機関匿名加工情報は、民間事業者に提供するために作成するものであることから、作成した匿名加工情報を自ら利用することを前提とした規律として、作成した行政機関匿名加工情報を他の情報と照合することを禁止する義務（個人情報保護法第36条第5号参照）を設ける必要はない（実際のところ、元となる保有個人情報を有する行政機関は、作成した行政機関匿名加工情報について、他の情報と照合する必要も動機もない。）。

② 行政機関は、所掌事務遂行に必要でなければ、個人情報を取得、保有してはならないため（行政機関個人情報保護法第3条第1項）、他者から提供を受けた匿名加工情報を不正に復元することによる個人情報の取得、保有は認められない。また、行政機関としては、所掌事務遂行に必要であれば、匿名加工情報の作成に用いた個人情報自体を取得することも可能であり、匿名加工情報から本人を識別するために受領した匿名加工情報を他の情報と照合したり、加工に関する情報を取得する必要も動機もない。したがって、行政機関の長に対して識別行為の禁止義務（個人情報保護法第38条）を装置する必要はない。

2 一方で、仮に行政機関の長に対して、行政機関匿名加工情報（又は他者から提供を受けた匿名加工情報）から本人を識別する行為を禁止すると、以下のような場合に識別行為を行うことが禁じられることとなり、行政事務の適正かつ円滑な遂行に支障を生じるおそれがあると考えられる。

① 行政機関匿名加工情報に対して、保有個人情報の開示請求があった場合に、識別行為を禁じられると、開示請求の対象となった行政機関匿名加工情報が保有個人情報に該当するか否かを判断できないおそれがある

② 行政機関である個人情報委員会において、民間事業者や行政機関等による匿名加工情報の取扱いを監督することに支障を生じるおそれがある

まず、1の②についてだが、これは、要するに、行政機関は法令に定められた所掌事務しかしないから、不正なことをしないし、所掌事務として必要なら元々法的に元データを取得できるということを言っている。これは、行政機関法が、個人情報保護法17条（適正な取得）の「偽りその他不正の手段により個人情報を取得してはならない」に相当する規定を置いていない理由*14と同趣旨のことと思われる。

しかしそれを言うなら、独法法はどうなのか。独法法には、5条（適正な取得）に「独立行政法人等は、偽りその他不正の手段により個人情報を取得してはならない。」と規定している*15わけで、行政機関と同列には考えられないことを意味している。ならば、独法法には、匿名加工情報に対する再識別の照合禁止規定を置くべきだったと言えるのではないか。これは、前記の、国立大学や国立研究開発法人が匿名加工情報を取得して研究に利用することは認められるのかという論点の解決策だったかもしれないのに、気付かれないまま改正法が成立してしまったように思えるが、どうか。

次に、1の①について。

段落の前半部分は、民間部門が再識別の照合禁止規定を置いている理由が、匿名加工情報を作成した事業者が自ら目的外利用することを許すためであると想定している様子が窺える。（ちなみに、ここからも、修正後の理由では、修正前にあった「容易照合性を消滅させるための照合禁止義務」という考え方が破棄された様子が窺える。）

段落の後半部分（括弧書きの部分）は、「実際のところ……他の情報と照合する必要も動機もない。」と言い切っている。ここは大変重要なことなので覚えておきたい。

次に、2では、「仮に……禁止すると、行政事務の適正かつ円滑な遂行に支障を生じる」と言っている。さっき「照合する必要も動機もない」と言い切ったばかりなのに、いきなり矛盾している。

支障が生じる例として①、②が示されているが、①は、「行政機関匿名加工情報に対して、保有個人情報の開示請求があった場合」と言うけども、前掲図6のところで整理されていたように、行政機関匿名加工情報は、開示請求権の対象としないことにして、保有個人情報から除外しているのだから、これは例になっていない。②は何が問題なのかよくわからないし、いくらでも解決方法があるだろう。ずいぶん急いで書いたのか、無理のある内容になっている。

まあ、ここはあくまでも「参考」にすぎないのであり、いずれにせよ、再識別の照合禁止規定を置けばよいとする別案は採用されなかったわけである。

長官のちゃぶ台返し (ノ｀m´)ノ ~┻━┻ (/o＼)

このような行政管理局の対応に対し、法制局長官はどう思ったのだろうか。その翌日の3月1日に、再び長官・次長との面談があったようで、「御指摘への対応」が以下のようにまとめられていた。

図11: 2016年3月1日付「行政機関個人情報保護法等改正法案長官・次長御指摘（2月29日）への対応概要」

御指摘内容に、「匿名加工情報が、行政機関個人情報保護法では個人情報に該当するのであれば、「匿名加工個人情報」とすべきではないか。」とある。

今の法制局長官のキャラクターを存じ上げないので空想でしかないが、これは長官の逆鱗に触れたのではなかろうか。

長官は前回「匿名加工情報は個人情報じゃないだろ。根本から直せ。」と指摘したのに、行政管理局はそれに従わず、「匿名加工情報は個人情報の場合があるということ。一般に個人情報だとの誤解が生じないようにした。」という対応案を持ってきたわけだ。長官はこの回答に全く納得しなかったのではなかろうか。用語の名前を変更したところで解決にならないのに、名前を変えよという。これはもはや、「そんなに匿名加工情報が個人情報だ言うなら「匿名加工個人情報」と言えや！」と、匙を投げたような展開になったのではないだろうか。

2月29日に持ち込まれた資料には、案文に「匿名加工個人情報」と直す手書きの書き込みメモがあった。

図12: 2016年2月29日付の案文に書き込まれた手書きメモ

そして、3月1日の資料の続きには、以下のようにその修正理由が整理されている。

図13: 2016年3月1日付「行政機関個人情報保護法等改正法案長官・次長御指摘（2月29日）への対応概要別紙1」

【修正点】
「匿名加工情報」を「匿名加工個人情報」に改めるとともに、「匿名加工情報」について設けていた第2条第9項での規定の内容を、「匿名加工情報」の定義において規定する。

【理由】
匿名加工情報が個人情報保護法における「個人情報」に該当しないのに対して、行政機関個人情報保護法では、「匿名加工情報」は「個人情報」に該当するものであることから、その違いを規定上明確にするため、「匿名加工情報」と定義していた情報について、「匿名加工個人情報」とするとともに、相違している部分について、定義において明確にすることとしたい。

名前変更の理由が「その違いを規定上明確にするため」とされているが、長官の指摘は本気でそういう必要性があると考えてのものだったのだろうか。激怒してか、拗ねてか、意固地になって名前を変えろとしたものに、こうして理由が後から作られていっているだけではないのか。

もう一つの変更点は、長官の2番目の指摘への対応で、前の指摘への対応で新設した9項を、8項の定義中に組み込むというものだ。やはり、条文解釈を定義条項で規定するというあのような形は認められなかったのか。

その結果、この修正で、匿名加工情報（匿名加工個人情報）の定義が以下のように煩雑なものになってしまった。

8 この法律において「匿名加工個人情報」とは、次の各号に掲げる個人情報（他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。）を除く。以下この項において同じ。）の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報（当該情報に含まれる記述等により、又は当該個人情報その他個人情報保護委員会規則で定める情報情報以外の情報と照合することにより、当該個人情報の本人その他の特定の個人を識別することができないものに限る。）であって、当該個人情報を復元することができないようにしたものをいう。

強調部が、図9の9項から移設されてた部分で、「……識別することができないことをいう。」が「……識別することができないものに限る。」に変更され、他にも若干の変更が加えられている。（その後さらに修正されている。）

そして、この3月1日の面談で、さらなる名称の変更が検討されたようで、3月1日付の案文に、以下の手書きメモがある。

図14: 2016年3月1日付の案文に書き込まれた手書きメモ

なんと、「匿名加工利用情報」という案もあったようだ。どうしてこうなったのか開示資料には記載がないが、昨年に鈴木先生らから聞いたところでは、「匿名加工個人情報」という名称には与党からの反対もあったとか。確かに、「匿名加工個人情報」という名称では、「個人情報なのに提供していいのか」という反発が起きかねず、国民の理解を得られないだろう。（名前がどうであれ中身は同じなのであり、中身をどうにかしないといけないわけだが。）

そして、翌日の3月2日、再々度、長官・次長の面談があったようで、「長官・次長指摘（3月1日）への対応概要」という資料が作成されていた。

図15: 2016年3月2日付「行政機関個人情報保護法等改正法案長官・次長御指摘（3月1日）への対応概要」

ここで、「非識別加工情報」という名称に変更となった。

もはや理由の説明文は付けられていないが、「御指摘内容」には、「匿名加工情報について、基本法の「匿名加工情報」とは異なる文言とすべきではないか。」とある。これは、推測するに、前回の指摘では、「個人情報なんだから「匿名加工個人情報」にせよ」としたものの、その名称には反対があったことから、個人情報であることを明確にするためでなくても、せめて基本法（個人情報保護法）の名称と違ったものにする必要があると、指摘の理由を譲歩したものではないか。

これも重要なところで、行政機関法で「非識別加工情報」という名称になっている理由は、それが個人情報であることを明確にするわけではなく（その理由は破棄されている）、とにかく個人情報保護法の「匿名加工情報」とは何かが違うのだといった程度の趣旨しかないものと解するべきだろう。

このようにして、「匿名加工情報」→1週間後→「匿名加工個人情報」→当日→「匿名加工利用情報」→翌日→「非識別加工情報」という変遷をたどり、その6日後に法案が閣議決定された。

国会審議での展開

国会では、衆議院と参議院のそれぞれで、ここも論点の一つとなった。その概要については、昨年6月12日の日記「行政機関法改正の論点国会会議録から抜粋（パーソナルデータ保護法制の行方その23）」で、以下のように書いていた。

「1. 匿名加工情報定義と照合による識別」については、個人情報保護法制全体の体系を破壊しかねない重要な論点であった。衆議院の参考人質疑に鈴木正朝先生が呼ばれ、問題点の指摘と修正案の例示がなされている。

問題点を簡潔にまとめると、「匿名加工情報」であったはずの名称が、閣議決定直前に「非識別加工情報」という別の名称に変更されたこと、また、その「非識別加工情報」の定義が、民間部門の「匿名加工情報」定義とは指している情報の範囲が異なり得る（個人情報保護委員会規則によって可変になっている）ことから、行政機関で作成された匿名加工情報である「非識別加工情報」と民間部門の「匿名加工情報」の概念同一性が不確かとなってしまった。「非識別加工情報」が民間事業者に提供されたときその受領者には再識別禁止の義務を課すのがこの制度のキモであるが、法案では行政機関法にその規定を盛り込んでおらず、改正個人情報保護法の38条（識別行為の禁止）でそれを担保する予定であったのに、閣議決定直前の変更により両者の概念同一性が不確かとなったことから、必ずこの義務がかかるのかが謎な法案となってしまったのである。

鈴木参考人の修正案は、定義中の2番目の括弧書きを削除して委員会規則への委任規定を排し、定義が指す情報の範囲を民間部門の「匿名加工情報」と同一にし、かつ、名称を「匿名加工情報」に戻すとするものであったが、結局は採用されていない。

この結果、この法案を正当化するために、行政管理局は、いくつもの無用な理屈を答弁せざるを得なくなった。まず、名称をわざわざ違える理由は、民間部門では匿名加工情報が当該事業者において非個人情報であるとされているのに対して、「公的部門では当該機関において個人情報に当たる」から、そのように違うものだということを明確化するためのものとされた。次に、公的部門でそのように匿名加工情報が個人情報に該当する理由が、民間部門と異なり「公的部門では再識別禁止の規定を入れていない」ことによるとされた。ここで、第1の誤りが固着してしまった。この理屈を正当化するために、「民間部門では匿名加工する事業者自身による再識別を禁止する規定がある」旨の答弁が繰り返されたが、改正個人情報保護法36条5項は、「自ら当該匿名加工情報を取り扱うに当たっては」と限定的なケースについて禁止しているだけであって、常に禁止しているわけではない。すなわち、民間部門で匿名加工情報が非個人情報となるのは、匿名加工する事業者に再識別禁止の義務が課されているからではないのである。この第1の誤解釈を前提として「再識別禁止の義務があれば容易照合性が否定される」という理屈が用いられ、これが第2の誤りの固着となった。次に、そうすると「なぜ公的部門にも再識別禁止規定を置かないのか」という指摘が入るものだから、置かないことの正当化に奔走することとなり、「公的部門では元データとの照合を必要とするから」という理屈が編み出され、ありもしない不必要な具体事例がでっち上げられて答弁される事態となった。さらに、「個人情報であるのに提供してよいのか」という指摘も出てくるので、これに対抗して、「民間部門では提供元基準かもしれないが、公的部門では提供先か提供元かという基準は設けていない」と答弁せざるを得なくなり、これが第3の誤りの固着となった。このとき、民間部門とでそのような違いが生ずる理由として、「公的部門では民間部門とは違い、利用目的以外の目的のために第三者に提供するという場面は例外的な場合に限られているから」などというイミフな理屈まで飛び出した。

このような答弁をせざるを得なくなった行政管理局は誠にお気の毒であったが、これら第1～第3の誤りは、基本法の解釈にも悪しき影響を及ぼす看過できないものである。このように法が成立したことで、今後、心ない有識者らがこれら多数の誤りを含む国会答弁の理屈をそれがあたかも当然の真理であるかの如く無批判に自身の教科書に転記していくことになるだろう。その読者らがそれを真に受けてしまえば、我が国の個人情報保護法制体系の完成は遠のくばかりである。せめて行政管理局におかれては、已む無く捻出した理由の部分についてはあえて逐条解説に書かないでおくという正義を示してほしいところである。

この論点については、次回以降で改めて詳細に検討する予定である。

行政機関法改正の論点国会会議録から抜粋（パーソナルデータ保護法制の行方その23）, 2016年6月12日の日記

「次回以降で改めて詳細に検討する予定」と言っていたのが、今ようやく書けているわけだが、改めて振り返ると、大筋で外していなかったと言えよう。上記の開示資料の検討を踏まえれば、新たに言えることもある。

まず、公的部門と民間部門とで匿名加工情報の概念同一性が重要であることは、当初案から意識されていて、定義する情報の範囲が一致することで担保しようとしていた（前記の通り）ことが確認できた。それが、名称が全く異なるものに変更され、定義条文に変更が加えられた（一時、9項としていたものが、8項へ組み込まれた）ことで、概念同一性が失われてしまった。

2月29日時点の行政管理局の対応では、8項の「匿名加工情報」の定義はそのままとしつつ、その解釈を9項に規定するという形だったので、まだ概念同一性は維持されていると言えたのに、3月1日の変更で、それを8項に組み込むことになった時点で、定義する情報の範囲が委員会規則に委任する形となり、概念同一性が失われてしまった。委員会規則に委任としてしまった理由は定かでないが、1週間で検討しなくてはならかった結果だということが判明した。2回目以降の長官指摘への対応は1日で成さねばならず、根本的な対応策を練る時間は全くなかった様子が窺えた。

このことについて、衆議院内閣委員会では以下のやりとりがあった。

○高井委員　全くお答えいただけていないんですけれども。

これは難しい部分なんですね。ただ、専門家の間ではかなりこの問題は話題になっていて、では、なぜそういうことになっているかというと、先ほど申し上げましたとおり、もともと匿名加工情報と同じ概念であれば問題なかったわけですよ。当初、総務省だって、行政機関個人情報保護法といえども、匿名加工情報という言葉でずっと検討会も進めてきたわけですよ。それが、二月の下旬になって、法制局から突然これはだめだと言われて、違う言葉になったことによって、いろいろな矛盾が生じているわけです。

其田事務局長にもう一度伺いますが、これは、きちんと総務省と議論はしているんですか。私は、非常に時間もタイトだし、個人情報保護法との整合性がとれていない。先ほど上村局長は、個人情報保護法のことは所管じゃないのでよくわからないとお答えになりましたけれども、これはまさに密接する法律ですから、ここに矛盾があったら大混乱になるんですけれども、本当にこれは一週間かそこらの時間で、しっかり法文全体を見て、どちらの方にもそごがないようにしっかり検討されたんですか。

○其田政府参考人　お答え申し上げます。

法案の検討の過程は、今委員がおっしゃったとおり、非常に急に短い間でということであったのは事実でございます。ただ、事前に私どもも総務省から法案の御説明をいただきまして、条文も御説明をいただきまして、確かに少し解釈は難しくなったなというふうには承知をいたしましたけれども、先ほど総務省の局長から御答弁申し上げましたような形で、法的な、論理的な整合性というものはできているというふうに認識をいたしまして、今後、法案の御審議をお願いすることになっているというふうに承知をしております。

第190回国会衆議院総務委員会会議録第11号, 2016年4月5日

次に、国会審議では、名称をわざわざ違える理由が、「公的部門では当該機関において個人情報に当たる」ことを明確化するためのものと答弁されていた。これは何度か答弁されているが、会議録から拾ってくると、例えば以下がそれである。

○高井委員（略）私は、変更したことによって、いろいろな法文、ほかの法文にも影響が生じていて、非常に大きな問題であると今思っているんですけれども、これはなぜ非識別加工情報という別な言葉に修正をしたのか。そして、これによってほかの条文への波及をする混乱というのは生じないんでしょうか。

○上村政府参考人　お答えを申し上げます。

委員御指摘のとおり、今回、この法案では非識別加工情報という名称でお諮りをしたいと思ってございますが、行政機関が作成する非識別加工情報というのは、もとの個人情報から氏名それから住所を削除する、あるいはデータを入れかえする、こうした方法によって作成するところなんですけれども、このもとになったデータというものは、これは非識別加工情報をつくった後においても行政機関において保有されるということになっております。

また、非識別加工情報につきましては、行政機関におきましては照合を行う必要がある場合もあり得ます。したがいまして、他の情報と非識別加工情報の照合を禁止するという規定は置いていないわけでございます。

そういたしますと、これは理論上、行政機関の内部におきましては、非識別加工情報は、作成のもととなったデータと照合することは可能ですので、個人情報に該当することになります。他方、委員御指摘の個人情報保護法におきます匿名加工情報は、これは個人情報に該当しないということになってございますので、この二者を区別する必要がある。そのために別の名称、この場合、非識別加工情報という名称を付しているというわけでございます。

第190回国会衆議院総務委員会会議録第11号, 2016年4月5日

○濱村委員（略）一方で、では、非識別加工情報と匿名加工情報、なぜ名称が違うのかという点、これはどういう違いがあるのかということについて法律上の観点で明らかにしたいと思いますが、どのような違いがあるでしょうか。

○上村政府参考人　御指摘のように、匿名加工情報と非識別加工情報は、双方とも、特定の個人を識別できず、もとの個人情報を復元できないように加工したものである、こういう点では共通するものでありますけれども、個人情報保護法が適用される民間事業者におきましては、この作成者それから需要者（転載者コメント：「受領者」の誤り（速記者の聞き違いが修正されなかったもの）と思われる。）ともに、識別行為の禁止義務、これは三十六条五項及び三十八条で課せられています。したがいまして、匿名加工情報は、いずれにおきましても個人情報の該当性が否定されるものでございます。

他方、行政機関におきましては、非識別加工情報の作成後におきましても、もとの個人情報のデータを保有するところ、民間事業者に課せられる識別行為の禁止義務に相当する規定を設けておりません。そのことから、理論上、非識別加工情報は、その作成のもととなったデータと照合することが可能であるために、基本的にこの非識別加工情報は個人情報に該当することになります。

このように、個人情報保護法が適用される民間事業者と行政機関個人情報保護法が適用される行政機関とでは、加工後の情報が個人情報に該当するか否かという点で法律上の位置づけが異なるわけでございます。このような法律上の位置づけを踏まえまして、名称を変えているということでございます。

第190回国会衆議院総務委員会会議録第14号, 2016年4月19日

これを改めて見ると、行政管理局長の答弁は、2月29日の修正前の整理（2月19日付説明資料）に基づいているようだ。

つまり、民間部門では「識別行為の禁止義務」があるから「個人情報の該当性が否定されるもの」だと言い、行政機関法では「作成のもととなったデータと照合することは可能ですので、個人情報に該当する」と言っている（常に該当するという意味になっていて、「該当する場合もある」とは言っていない。）が、それは、2月29日の修正後の整理で破棄された考え方のはず（前記の通り）だ。

2月29日の修正後の整理では、民間部門の「識別行為の禁止義務」の有無とは関係なく、民間部門では「容易に」要件があるから元データと照合できないのに対して、公的部門では「容易に」要件がないから元データと照合ができる場合が存在し得るという理屈で、「個人情報である場合もある」という整理に変更されたはずだ。行政管理局長は、それを踏まえずに答弁したのではないか。

もしくは、2月29日の整理がその後さらに破棄されたという可能性もあるが、それは内閣法制局長官の指摘を無視したことになるのではないか。

そして、名称を変更した理由も、「加工後の情報が個人情報に該当するか否かという点で法律上の位置づけが異なる」ことを明確にするためだと答弁されているが、これも、3月1日の法制局長官指摘で理由が変更されて、3月2日付の資料にあるように、個人情報か否かとは関係なく、単に基本法（個人情報保護法）のそれとは異なるものだと示す程度の意味しかないと再整理されたはず（前記の通り）ではないか。行政管理局長は、そういった議論があったことを踏まえずに答弁したのではなかろうか。

これについては、他にも以下の答弁がある。

○上村政府参考人　お答えいたします。（略）

それで、御指摘の、条文中の「他の情報」に係る括弧書きでございますが、その点を明確にしたものでございます。

このように明確化を図ることで、行政機関の内部におきましては、非識別加工情報が個人情報に当たるということを、職員も含めまして、不当な目的で利用することは許されないなど、法律上厳格な取り扱いを求めることとしたということでございます。

参考人の御意見は大変貴重なものだと思いますが、行政機関個人情報保護法は行政機関内部での厳格な規律を定めるものでございまして、このような観点から、政府としては、お示ししている今の定義が最適なものと考えております。御理解を賜りたいと思います。

第190回国会衆議院総務委員会会議録第15号, 2016年4月21日

これも後付けの理由で、全くおかしい。たとえ、非識別加工情報が個人情報に当たる（ものがある）としても、行政機関非識別加工情報は、従前の行政機関法の規律から除くように規定している（前掲図6）ので、個人情報だからといって従前の規律（正確性の確保だとか）に従う義務は課されないのであり、行政機関非識別加工情報には、行政機関非識別加工情報に係る規律に従えばよいわけで、職員に非識別加工情報が個人情報であると意識させる必要性はない。そのように法を構成したではないか。

そもそも、職員に意識させる必要があると言うなら、まさに「匿名加工個人情報」という名称にするべきだっただろう。「非識別加工情報」という名称では、職員に個人情報と意識させる効果はないわけだし、個人情報と意識させる意図は、3月2日の再整理で破棄された考え方ではないのか。

次に、「行政機関におきましては照合を行う必要がある場合もあり得ます。」という答弁も出ていたわけだが、これは、「名称を非識別加工情報にする必要がある」→「行政機関法ではそれは個人情報だから」→「行政機関法では識別行為の禁止義務を置いていないから」→「行政機関では識別禁止行為の義務を置けないから」→「行政機関では識別を行う必要があるから」と、流れ流れて出てきた理屈だが、前記の通り、2月29日付の資料（図10）では、「実際のところ、元となる保有個人情報を有する行政機関は、作成した行政機関匿名加工情報について、他の情報と照合する必要も動機もない。」と言っていたわけで、話が違ってきている。

国会では、以下のように、さも初めからその必要があったかのように答弁されていた。

○奥野（総）委員　（略）まず最初に、先ほどもちょっとございましたけれども、いわゆる匿名加工情報と非識別加工情報の違いですね。なぜ行政機関の方については非識別加工情報というワーディングを入れたのか、その違いについて伺いたいと思います。

○上村政府参考人　お答えいたします。

非識別加工情報は、行政機関が民間事業者に提供するために作成するものでございまして、適正に加工されることによりまして特定の個人を識別することができないようになったものではございますが、先ほども答弁をいたしましたように、新制度が施行されていく中におきまして、行政課題の解決等のために、提供元の行政機関等において照合行為を行う必要が生じることがあり得ます。そうしたことから、今回の行政機関個人情報保護法の改正案につきましては、照合禁止義務をまず置いていないわけでございます。

（略）

○奥野（総）委員　今のお話ですと、行政機関等については照合禁止義務を設けていないということなんですが、その理由、民間については照合禁止義務があり、そして行政機関等については照合禁止義務を設けていない理由について、もう一度伺いたいと思います。

○上村政府参考人　繰り返しになりますけれども、非識別加工情報の提供を受けた民間事業者から何らかの事故情報等あるいはそのおそれ等の情報のフィードバックがあった場合に、行政機関の責務と申しますか公共的な立場から、行政課題の解決のために、提供元の行政機関等において照合行為を行うという必要があり得る場合があるということでございます。これは、行政事務の適正かつ円滑な遂行を義務としております行政機関にとっては必要な規定であろうと思いますので、こういう禁止義務は置いていない、こういうことでございます。

○奥野（総）委員　直観ですごく気持ち悪いんですよね。これがあるということは、識別ができてしまうということですよね。復元はできないにしても、識別はできてしまう。要するに、特定の個人がわかってしまう。特定の個人がわかってしまうような情報を民間に渡してしまう。まさに個人情報を民間に渡すということになるわけですね。渡した瞬間にこれは名前が変わると言っていますが、しかし、個人情報ですよね。個人情報を民間に渡してしまう気持ち悪さというのがあると思うんですよ。

もう少し具体的に、では、どういう場合に識別しなきゃいけないか。民間に渡してしまった、その上で、では、どういう場合にもう一回照合しなきゃいけないか。具体的にもう少し例を挙げることはできますか。

○上村政府参考人　現時点で、まだどのような情報を非識別加工情報として御提供するかということも決まっていないわけでございますので、あくまでもこの法案立案担当部局として想定し得るケースということで御答弁させていただきたいと思います。

例えば、交通事故情報でございますけれども、こうした交通事故情報に関する非識別加工情報の提供を受けた民間事業者から、この事故が、原因が、運転者の過失ではなくて車両自体に問題がある可能性がある、こうした情報提供を受けた場合に、緊急にその事故関係者を特定して調査等を実施していく必要が生じた場合、そうしたものが一つ考えられるかと思います。

○奥野（総）委員　そもそも、やはり個人情報は出しちゃいかぬと思うんですね。今のは相当プライベートな情報ですね。個人の事故に係る情報、それを識別してフィードバックするということなんですけれども、個人情報そのものを出しているという、そこの気持ち悪さが残るんですね。（略）

第190回国会衆議院総務委員会会議録第14号, 2016年4月19日

繰り返しになるが、2月29日の行政管理局作成資料では、「実際のところ、元となる保有個人情報を有する行政機関は、作成した行政機関匿名加工情報について、他の情報と照合する必要も動機もない。」としていたわけで、元データを持っているんだから再識別なんて必要も動機もないと言っていたわけだ。この国会答弁で出てきた「事故情報のフィードバック」の事例も、元データを持っているのだから、フィードバックを受けて対処をすることはできるわけで、そこに、当該匿名加工情報との照合は必要ないと言うべきだろう。

この疑問には当然気づかれるわけで、参議院の審議では、以下のように、そのことが質問されていた。

○石上俊雄君　続きまして、基本法の照合禁止についてお伺いしたいと思います。

資料七の①の右側が書いてありますけれども、基本法では、匿名加工情報への照合禁止は提供元にも提供先にも課せられるわけであります。しかし、よく考えてみると、そもそも加工元は匿名化される前の元データを保有しているわけでありますから、このような制限が何で必要なのかという、そういう疑問が浮かんでくるわけでありますので、その辺についてお答えいただきたいのと、識別行為禁止の適用除外が必要な場合というのは本当にないのかというところをまた考えるわけであります。

資料の七の②にちょっと示させていただきましたが、加工者が主観的に匿名化できたと考えて出したものを客観的に識別可能で苦情が寄せられた場合、法律上の紛争解決もあるわけでありますけれども、当事者間における任意解決もあるわけでありまして、言わば、俺の情報を何で出したんだと、これは私の情報だといったことを訴えられて、じゃ、それをよしとしてあげるからちょっと金銭的なという要求がなされたときに、それが事実なのかというのを確認するために照合しないとできないわけであります。こういうことが本当できなくていいのかというところの疑問があるわけでありますので、この辺について、個人情報保護委員会、お答えいただけますでしょうか。

○政府参考人（其田真理君）　お答え申し上げます。

匿名加工情報は、個人情報の本人を識別することを禁止する等の制度的な担保を前提といたしまして、目的外利用でありますとか第三者提供に係る本人同意の取得が求められないことなど、個人情報、一般の個人情報の取扱いに比べて緩やかな規律の下で利活用を認める、可能にする制度でございます。

委員御指摘の苦情対応のための識別の必要性につきましては、事業者は作成の元となる個人情報を保有しておりまして、また加工日時でありますとか手法等、加工に関する情報を保有しておりますので、苦情の申出のあった方の情報がこれに含まれているかどうかということは、匿名加工情報を識別のために照合しなくても可能であると考えられます。

したがいまして、委員会としましては、識別行為の禁止義務について例外規定を設けなくても実務上の問題は生じないものと考えております。

○石上俊雄君　（略）あと、次にちょっと入りますが、今まで照合禁止についてお伺いをさせていただいたわけですが、資料七の①に示したように、今回の行個法では、提供元、行政機関ですね、での照合はこれ禁止していないんですね、可能ということになっているわけであります。総務省の研究会では、基本法同様に行個法でも、提供元、行政機関における照合禁止を明記しても問題ないんじゃないかという意見もあったわけなんですけれども、改正案では行政機関に照合禁止義務を置かなかったということで落ち着いたわけであります。

このことについて何なのかなというふうに疑問が湧きますので、そのことについてお答えいただきたいというふうに思いますし、照合の必要性がある場面としてどういう状況を想定しておられるのか、できれば具体的な例も挙げていただきながら御説明いただけますでしょうか。総務省、お願いします。

○政府参考人（上村進君）　お答えいたします。

委員御指摘いただきました総務省の有識者研究会では、確かに検討途上におきまして、そのような照合禁止を設けても問題はないのではないかという御意見もあったと、これは事実でございます。その段階ではまだ、後で申し上げますような照合が必要になり得る場合があるという具体的な検討まで至らなかったためではないかと思ってございます。

いずれにしましても、この研究会の最終報告におきましては、行政を適切に執行するため、識別行為を行う必要が生じる場合もあり得るか、検討の上、照合必要性を判断すべきというふうにされているところでございます。

このような御議論も踏まえまして、政府で検討した結果、委員も今御指摘になりましたとおり、非識別加工情報について照合禁止義務というのは課していないわけでございます。これは、新制度が施行されていく中で、行政課題の解決等のために提供元の行政機関において照合行為を行う必要性が生じることがあり得るということを想定しております。この際、照合禁止義務がありますと、行政事務の適正かつ円滑な遂行に支障が生じるおそれがあると、そういうふうに考えるに至ったものでございます。

それで、具体例はというお尋ねでございました。なかなか、想定でございますので、実際こういうことがあるということを今思っているわけではございませんが、立案担当部局としましては、例えばの例といたしまして、交通事故情報に関する非識別加工情報の提供があったといたしますと、この提供を受けた民間事業者から、この事故というのは運転者の過失ではなくて車両そのものに問題がある可能性があると、こういう情報提供を受けたケースがあるといたしますと、同種の事故というのは今後とも起こり得るわけでございますので、緊急に事故関係者を特定して調査を実施する必要というのが生じてこようかと思っております。

また、類似のケースになりますけれども、例えば製品事故情報に関する情報提供を受けた民間事業者から、一定の条件下ではこの製品が重大な欠陥が原因となって事故を起こす可能性があるというふうなことが見付かった場合に、緊急にその製品を使用している本人を特定して通知すると、仮定の例でございますが、そういうことは想定し得ると考えております。

以上によりまして、今回の御提案をしている法案におきましては照合禁止義務というものは課さないということにしたところでございます。

第190回国会参議院総務委員会会議録第14号, 2016年5月19日 *16

このように、個人情報保護委員会事務局長は、「事業者は作成の元となる個人情報を保有しておりまして（略）匿名加工情報を識別のために照合しなくても可能である」と答えたのに対し、行政管理局長は、「実際こういうことがあるということを今思っているわけではございませんが」としつつ、照合の必要があるとして、製品事故情報の例を示していた。

この製品事故情報の答弁は、まさに元データがあれば何ら問題ない事案だろう。「緊急にその製品を使用している本人を特定して通知する」には、元データから製品名で検索して購入者を抽出できる。そこに匿名加工情報は何の関係もない。

前掲の昨年6月12日の日記では、このことについて、「ありもしない不必要な具体事例がでっち上げられて答弁される事態となった」と書いたが、今回の開示資料でそれが図星だったと判明したと言えよう。

もっとも、匿名加工情報の作成者に対する照合禁止義務はあってもなくてもどちらでもかまわないのであり、瑣末な論点である。このことは、衆議院で鈴木正朝参考人が、次のように質問に答えて指摘していた。

○鈴木参考人　（略）ちなみに、提供元においては識別行為の禁止は照合性の判断の有無には一切影響がないのにもかかわらず、実は、その判断を間違えた上に今回の答弁が立脚しているところが極めて問題だと思っております。もともと、提供元にはもとデータはあるわけですから。鈴木正朝と書いたもとデータがあって、そのコピーは幾つでも、利用目的の範囲内で幾らでもコピーは出てきて、使うことができるわけです。そこから提供データに出したとしても、照合を原則的に禁止する必要はないんです。

なぜこの規定が出てきたかというと、もともとは、Ｓｕｉｃａ事件のように、匿名加工情報について相手方にどうやって引き渡すかというために匿名加工情報を設計していながら、パーソナルデータ検討会でもそこの第三者提供に本人同意が要らないための仕組みをつくりながら、実は、なぜか、どこかからのロビー活動によって社内利用というものが突如登場したわけです。社内利用するにおいて匿名加工情報を切り出したならば、別の規律が、社内において、個人情報とは異なる、非個人情報である特別な匿名加工情報について別な規律を置く必要があることから、分別して管理しなければならないということで、三十六条五項でしょうか、提供元においてもなおかつ識別行為禁止が出てきたんです。

これは、照合の有無の定義とは一切関係ない条文を捉えて、禁止規定があるからないからという無駄な議論をしている。これは、個人情報保護法の基本的解釈を誤った中で行政機関法を組み立てていることの証左であります。

したがいまして、ここの行管の答弁に関しては、もう一度精査して、やり直しを求めざるを得ないということを思っております。

第190回国会衆議院総務委員会会議録第14号, 2016年4月19日

この指摘は、前記の検討を踏まえると、2月29日までの内閣法制局長官の指摘でも、同様のことが言われていたのではないだろうか。2月29日の修正された整理では、「容易照合性を消滅させるための照合禁止義務」という考え方が破棄されたように見えるからだ。「禁止規定があるからないからという無駄な議論をしている」というのは、正に的を射た指摘だったのではなかろうか。

結局どうすればよかったのかは、一つには、単に、行政管理局の元の案に戻せばよかったかもしれないし、鈴木正朝参考人が質問に答えて読み上げていた以下の修正案でもよかったかもしれない。

○鈴木参考人　ここでは定義の話をしておりまして、定義と審査基準は異なると思いますけれども、どうやってここの定義を直したらいいか。

二条八項を見ていただきたいわけであります。

この前半部分の非識別加工情報の定義部分の、括弧、括弧、除く、除くとある、なかなかテクニカルな条項、これはなかなか一読了解にはならないわけですが、これは大変よくできておりまして、いわゆるこの作業は、ベン図を描いていきますと、時間をかけると、よくよく、よくできていることがわかります。

要するに、容易照合性の民間部門法と、容易性がない照合性のみの行政機関個人情報保護法の二つがある中で、非識別加工情報と匿名加工情報の概念を合わせるために、まず前半部分で、容易照合性のある民間法と概念をそろえるところをやっております。

それに引き続いて、今問題になっている「他の情報（当該個人に関する情報の全部又は一部を含む個人情報その他の個人情報保護委員会規則で定める情報を除く。）」という文言が続くわけであります。

すなわち、八項は何をしているかというと、民間法とそろえるということをやっております。したがいまして、容易にという言葉をここでも使ってしまえば、実は簡単に両法律の概念をそろえることができる。多分、やりたいことはそこではなかったのか。時間がなくて、いろいろ文言をひねくり出して詰め切れないから委員会規則に投げる、こういうことをしてしまったのではないかと拝察するわけであります。

修正案を考えてまいりました。ちょっと読み上げてみます。

括弧書きでありますが、個人に関する情報について、当該個人に関する情報に含まれる記述等により、または当該個人に関する情報が他の情報と照合することができる個人に関する情報である場合にあっては他の情報と容易に照合することにより、特定個人を識別することができないことをいう。四十四条の十第一項において同じ。括弧閉じ。

こうすることで、民間部門の匿名加工情報の定義と同じ内容になります。

用語が不一致であるならば、せめて定義を一致させる。でなければ、二つの違った法律の中の違った用語が、官から民に移った途端に当然に三十八条を適用されるというのはなかなかアクロバットなやり口だろうと思いますので、せめて、この括弧書きの内容を委員会規則に委ねず、今のように、容易にという言葉を使って、うまく両概念の整合を図るよう調整いただくことも一案ではないかというふうに思っております。

第190回国会衆議院総務委員会会議録第14号, 2016年4月19日

成立した法の条文と、鈴木参考人修正案の条文を、以下に並べてみる。

8 この法律において「非識別加工情報」とは、次の各号に掲げる個人情報（他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。）を除く。以下この項において同じ。）の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができない（個人に関する情報について、当該個人に関する情報に含まれる記述等により、又は当該個人に関する情報が他の情報と照合することができる個人に関する情報である場合にあっては他の情報（当該個人に関する情報の全部又は一部を含む個人情報その他の個人情報保護委員会規則で定める情報を除く。）と照合することにより、特定の個人を識別することができないことをいう。第44条の10第1項において同じ。）ように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

8 この法律において「非識別加工情報」とは、次の各号に掲げる個人情報（他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。）を除く。以下この項において同じ。）の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができない（個人に関する情報について、当該個人に関する情報に含まれる記述等により、または当該個人に関する情報が他の情報と照合することができる個人に関する情報である場合にあっては他の情報と容易に照合することにより、特定個人を識別することができないことをいう。第44条の10第1項において同じ。）ように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

今思うと、「容易に照合することにより」というのは日本語的におかしかったかもしれない。「容易に照合することができ」が日本語的に正しいのは、「容易に」が「できる」に係っているからであり、「容易に照合する」というのはやはりおかしいか。直すとすれば、以下でどうか。

8 この法律において「非識別加工情報」とは、次の各号に掲げる個人情報（他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。）を除く。以下この項において同じ。）の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができない（個人に関する情報について、当該個人に関する情報に含まれる記述等により、または当該個人に関する情報が他の情報と照合することができる個人に関する情報である場合にあっては他の情報と容易に照合することができ、それにより特定個人を識別することができないことをいう。第44条の10第1項において同じ。）ように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

鈴木参考人が述べた「やりたいことはそこではなかったのか」というのは、「特定の個人を識別することができない」という定義条文が、どのような意味で「できない」と言っているのかが、容易照合による識別ができないという意味なのか、それとも、（容易さを求めない）照合による識別ができないという意味なのか、これがどちらともとれることが問題で、その結果このようになったと考えたからで、「容易に」を入れて書き直したというものだった。

しかし、開示資料を見るに、行政管理局の意図はそれとはやや違ったようだ。

2月29日の修正された整理で、2条9項を導入しようとした狙いは、「他の情報と照合することにより、特定の個人を識別することができない」というときの「他の情報」から、元データ（加工に用いた個人情報）を外すというものだったと思われる。行政管理局は、元データと照合できる場合があるからその場合は個人情報となるとしていた（前掲図9の①～③）ので、その場合をここでは問題としない（ここでは「特定の個人を識別することができない」ということにする）ことによって、民間部門の匿名加工情報と合わせようという趣旨だったと考えられる。こうすることにより、行政機関法上は個人情報である場合もあるが、匿名加工情報（非識別加工情報）としては、そのような意味で「特定の個人を識別することができない」ものになっているということになる。

ということは、鈴木参考人案でもよかったとも言える。2月29日の整理では、前記の通り、民間部門では「容易に」要件があるから、元データと容易照合できないので個人情報とならないところ、公的部門では「容易に」要件がないから、元データと照合できて個人情報となる場合があるということで、この違いを理由にしていたのだから、その意味で「容易に」を捉えるなら、鈴木参考人案でもよかったはずだ。

ただ、前記の通り、ここで行政管理局が前提とした「容易に」の有無の違いは、技術的な困難性で区別しているようだから（とは限らないので、推測に過ぎないが）、我々はそのような意味に「容易に」を捉える解釈には反対の立場である。ここは、「容易に」の有無をどう整理するかの論点で、民間部門の定義をどうするかも合わせて、再検討しなくてはならないところだと考えているが、とりあえず、民間部門に合わせた定義にしておくという意味で、鈴木参考人案でもよかったはずだ。

一方、2月22日・23日の法制局長官の指摘では、どのような意味でここを問題視したのだろうか。残念ながら、内閣法制局には、法制局側がどのような指摘をしたのかの記録は一切存在せず*17、行政管理局がメモして作成した記録しか存在しないため、謎のままである。

改正法成立後の状況

そして、今年になって、個人情報保護委員会から、問題となった「個人情報保護委員会規則で定める情報を除く」の委員会規則「行政機関の保有する個人情報の保護に関する法律第四章の二の規定による行政機関非識別加工情報の提供に関する規則」が公布された。その内容は以下であった。

（他の情報から除かれる情報）
第2条法第2条第8項の個人情報保護委員会規則で定める情報は、同項で規定する個人に関する情報の全部又は一部を含む個人情報（同項で規定する個人情報をいう。）とする。

これはひどい。法の委任部分と比べてみよう。

【委任元】
当該個人に関する情報の全部又は一部を含む個人情報その他の個人情報保護委員会規則で定める情報

【委任先】
同項で規定する個人に関する情報の全部又は一部を含む個人情報（同項で規定する個人情報をいう。）

何も規定していない。これだったら、初めから委員会規則への委任など必要なかった。

個人情報保護委員会は、非識別加工情報についてのガイドラインも出している。そこでは、この件が以下のように説明されている。

なお、法は、個人情報保護法とは異なり、照合禁止義務（個人情報保護法第36条第5項）を定めていないことから、非識別加工情報は、その作成に用いた個人情報の全部又は一部を含む個人情報との照合によって特定の個人を識別し得ることとなり、法第2条第2項第1号の「個人情報」に該当し得る。このとき、非識別加工情報が、一般に他の情報との照合により特定の個人を識別することができるとの誤解が生じないよう、「特定の個人を識別することができない」について、その記述等自体によって特定の個人を識別できないことはもちろん、他の情報（法第2条第8項で規定する個人に関する情報の全部又は一部を含む個人情報を除く。）との照合によって特定の個人を識別できないように加工したものであることを明らかにしている。

行政機関の保有する個人情報の保護に関する法律についてのガイドライン（行政機関非識別加工情報編）, 個人情報保護委員会, 2017年3月

当初、このガイドライン案が出たとき、「誤解が生じないよう」というのが何なんだろうと疑問に思っていたが、今回の開示資料により、行政管理局の2月29日の整理に基づくものだったのだとわかった。

しかし、「照合禁止義務を定めていないことから」と書かれてしまったのは残念だ。行政管理局の修正前の整理に基づいているのではないか。2月29日の修正後の整理に基づけば、このような説明にならないはずだ。

「「個人情報」に該当し得る」と書かれた（常に該当するのではなく）ところは、せめてもの救いか。

規則2条に委任された部分については、依然としてどういう意味なのかわからない。「同項で規定する個人に関する情報の全部又は一部を含む個人情報」というのは、いったい何を指すのか。

この点は、ガイドライン案のパブリックコメントで、JILIS提出意見で尋ねていたところ、以下のように回答が得られている。

Q 意見1【規則2条】【ガイドライン3頁】規則2条が規定する情報として具体的にどのようなものが該当するのか明らかにするべき

意見

規則案2条は、「法第2条第8項の個人情報保護委員会規則で定める情報は、同項で規定する個人に関する情報の全部又は一部を含む個人情報（同項で規定する個人情報をいう。）とする。」としているが、具体的に何を指しているのかが明らかでない。ガイドライン案の3頁には、これに関して、「非識別加工情報が、一般に他の情報との照合により特定の個人を識別することができるとの誤解が生じないよう、「特定の個人を識別することができない」について、その記述等自体によって特定の個人を識別できないことはもちろん、他の情報（法第2条第8項で規定する個人に関する情報の全部又は一部を含む個人情報を除く。）との照合によって特定の個人を識別できないように加工したものであることを明らかにしている。」との説明があり、そこの括弧書きが規則2条の情報を指しているものと推察されるが、それが何を指していて、何を「他の情報」から除くとしているのかが明らかでない。規則2条が規定する情報として具体的にどのようなものが該当するのか明らかにされたい。

理由

法2条8項と規則2条は以下のように解釈されると理解した。

① 規則2条の「同項で規定する個人に関する情報」は、法2条8項の「当該個人に関する情報の全部又は一部を含む個人情報その他の個人情報保護委員会規則で定める情報」の「当該個人に関する情報」のことを指している。（この理解でよいか確認したい。）

② 法2条8項の上記①で参照した「当該個人に関する情報」は、同項の「個人に関する情報について、……に含まれる記述等により」の「個人に関する情報」のことを指している。（この理解でよいか確認したい。）

③ 法2条8項の上記①で参照した「当該個人に関する情報」は、同項の「特定の個人を識別することができない（……）ように個人情報を加工して得られる個人に関する情報」の「個人に関する情報」のことを指している。（この理解でよいか確認したい。）

このように解釈すると、規則2条の「同項で規定する個人に関する情報」とは、加工して得られる非識別加工情報のことを指していることになる。しかし、「特定の個人を識別することができないように」というときの、照合の対象から除外する情報として、加工して得られる情報を対象とするのは、意味不明と言わざるを得ない。このため、規則2条が規定する情報が何を指しているのか、不明である。

上記の解釈が誤りであるなら、どこが誤っていて、どのように解釈すべきなのか、お示しいただきたい。

A 本委員会規則案第2条は、非識別加工情報が、「他の情報」との照合により特定の個人を識別することができないよう加工したものとしつつも、行政機関において元の個人情報との照合による識別可能性が残ることから、非識別加工情報であることが否定されないよう、例外的に「他の情報」から元の個人情報が除外されることを確認的に定めるものです。

なお、本委員会規則案第2条では、法第2条8項において他の情報から除かれる情報を「当該個人に関する情報の全部又は一部を含む個人情報」と規定されていることを踏まえて規定しているものであり、「個人情報を加工して蹴られる個人に関する情報」を示すものではありません。

「行政機関の保有する個人情報の保護に関する法律についてのガイドライン（行政機関非識別加工情報編）（案）」に関する意見募集結果, No.1

回答では「元の個人情報」と言っている。それならばそのように、規則を定めるべきだろう。なぜしないのか。

いや、むしろ、あえて定めないでおき、あやふやにしておいた方がよいのかもしれない。ここで、「元の個人情報」と規定してしまうと、我々が反対している「「容易に」の有無の違いを技術的な困難性で区別する解釈」が固定されてしまいかねない。次の改正で直すべきポイントとして胸に刻んでおくのがよい。

さて、以上のような事情により、グダグダな定義となってしまった「非識別加工情報」だが、これから出版されてくる解説書では、どのように説明されるのであろうか。「行政機関では個人情報に当たるから、民間と区別するために非識別加工情報と呼ぶ」などと、訳知り顔で言う輩がこれから何人出てくるだろうか。そんな安直な話ではないし、名前を区別する意義なぞ実はないということを知るべきだ。

地方公共団体の2000の個人情報保護条例もどうなるのか。さっそく拙速に改正した鳥取県がやらかしてしまったわけだが、いちいち「非識別加工情報」という名前でやっていくのか。こんなの「匿名加工情報」と呼べばいいことだろう。

自治行政局が、「地方公共団体が保有するパーソナルデータに関する検討会」で、地方公共団体の個人情報保護条例に「非識別加工情報」の導入を促すべく、「条例改正のイメージ」を出そうとしているが、これを見ると、「非識別加工情報」の定義に、「（当該個人に関する情報の全部又は一部を含む個人情報その他の規則で定める情報を除く。）」と、例の無意味な委員会規則への委任をそのまま入れていて、それぞれの地方公共団体が定める規則に委任させようとしているのには、もう笑うしかない。

図16: 地方公共団体パーソナルデータ検討会が示そうとしている「条例改正のイメージ（未定稿）」（2017年3月29日）

最後に一言。

昨年、このようなグダグダな展開について、今の内閣法制局長官が悪いのだと言われていると（鈴木先生らから）耳にした。しかし、こうして開示資料を熟読してみると、むしろ、「匿名加工情報は個人情報じゃない」との指摘こそが、長官ならではの慧眼だったのではないかと思えてきた。

似たような話は以前にも耳にしたことがある。別の法案についての昔の話だが、閣議決定直前になって、法制局長官の鶴の一声で、全面書き直しとなり、結果的には最も良い案になったことがあったという。部長審査（内閣法制局の）までにいろいろな意見があって、こうしてみる、ああしてみると、時間をかけて少しずつ案を修正していたものが、しだいに矛盾を孕んでいったところ、最後の段で、長官がすべてえいやっと解決してしまったという例だ。

本来、長官にはそれだけの力量が求められるのだろう。その点、今回のケースでは、それができなかったわけである。ただ、個人情報保護法制は、体系が複雑すぎ、また未解明のところも多いため、長官一人で全部解決することを期待するのはさすがに無理があるのかもしれない。

そもそも、2月19日付の「説明資料」は、それまで何か月かかけて、行政管理局が内閣法制局（部長まで）の予備審査を受けて作成されていたものであり、部長と長官で言うことが違うじゃないかといった不満も出たかもしれない。どういう議論を経てこの最初の「説明資料」に至ったのか、そこを調べれば*18何かわかるかもしれない。

それにしても、もう少しうまいやり方はないものだろうか。立案担当部局と内閣法制局とのやりとりは、ずっと非公開の下で行われ、国会審議に入っても、こうした内部資料がオープンになるわけではない。もし、国会でこれらの資料を基に審議することができれば、長官の指摘の趣旨を汲んで、これは何かおかしいことになっているぞと、議員らは気づくことができたのではないか。これが日本の伝統的なやり方で変えられないのだろうが、矛盾を残したままの法律が成立してしまう、危ういものではないか。それが成立してしまえば、さもそれが当然であるかのように解説され、そのまま定着してしまうというのも、いかがなものか。

こうしたことを避けるには、改正の準備が始まる前から、その分野の専門家が、現行法の問題点と解決に向けた立法論を積み重ねておくことが肝要だろう。残念ながら、これまでこの分野では、決まった法律を追認するだけの有識者ばかりで、こんなことになっているようだ。

*1 行政文書ファイル管理簿に掲載されている法律案審議録「行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案（平成28法律51）」

*2 他の法律案審議録ではもっと前の段階からの協議内容が収載されたものもあったが、行政管理局作成の法律案審議録では、一定程度に案が完成した段階から収載するスタイルのようだ。

*3 「行政機関匿名加工情報取扱事業者」という用語は定義されている（成立した法では2条11項）が、どこで使われているかを見てみると、第4章の2（行政機関匿名加工情報の提供）の中で、いずれも「行政機関匿名加工情報取扱事業者となろうとする者は」の形で出てくるだけで、行政機関匿名加工情報取扱事業者に直接義務を課す規定は存在しないので、提供先をそこに絞ったからといって、個人情報保護法の匿名加工情報との関係について効果があるようには思えない。もしかして、さらに前の案では、行政機関匿名加工情報取扱事業者の再識別禁止義務を行政機関法に置く案もあったのではないか。その案が何らかの理由でボツになり、その残骸がこれだということはないか。

*4 加工の方法には鍵付きハッシュ関数の鍵などが含まれることになるので、その秘密性が求められ、取得が禁じられている。

*5 なお、この手当てが必要だということは、地方公共団体が、それぞれに個人情報保護条例を改正して「実施機関匿名加工情報」を導入した場合に、それぞれの条例における「加工の方法」も同様にこの個人情報保護法38条に追加する必要があるということではないか。2000個の条例をここに列挙するわけにはいかないだろうし、そもそも条例で法律を改正することはできないので、これは詰んでいると言えよう。3月5日の日記「鳥取県の条例改正案、非識別加工情報導入で矛盾噴出」にはこれも書いておくべきだった。

*6 本当は、37条も含めたいので、この括弧書きは37条に置く必要がある。

*7 この「等」は、行政機関法と独法法の両方を指すもの。

*8 「所掌事務の範囲内でしか匿名加工情報の入手はできず」と言うが、独立行政法人の国立大学や国立研究開発法人では、様々な研究の目的で情報を取り扱うわけで、それを「所掌事務の範囲内」という括りとしていいのかという論点もあるし、そう括るのだとすると、「他の第三者に提供することは想定しがたい」というのは、研究における情報の取扱いの実態からかけ離れている。

*9 ちなみに、EUの一般データ保護規則（GDPR）では、このような仮名化が施されている場合も、personal dataに該当するとした上で、本人情報開示請求その他の本人関与に係る義務の規則について、その義務を果たすだけのために本人を特定するための付加的な情報を取得したりすることを義務としないとし、本人から、本人関与の権利を行使するために、本人を特定するための追加的な情報が提供される場合を除いて、一部の義務規定を適用しないとする構成になっており、これはなかなかに合理的なルールだなと思う。

Article 11 Processing which does not require identification

1. If the purposes for which a controller processes personal data do not or do no longer require the identification of a data subject by the controller, the controller shall not be obliged to maintain, acquire or process additional information in order to identify the data subject for the sole purpose of complying with this Regulation.

2. Where, in cases referred to in paragraph 1 of this Article, the controller is able to demonstrate that it is not in a position to identify the data subject, the controller shall inform the data subject accordingly, if possible. In such cases, Articles 15 to 20 shall not apply except where the data subject, for the purpose of exercising his or her rights under those articles, provides additional information enabling his or her identification.

*10 2016年3月27日の日記の脚注15参照。

*11 この点について、当時噂で耳にしたところでは、法制局対応の担当者と研究会対応の担当者が別だったのではないかという見方がある。

*12 もっとも、非公式に見せられても、それを元にした議論は公の場ではできないであろうが。

*13 この「※」の記述自体は全く間違っていない。よく見ると、38条のことだけに触れており、36条5項に触れていないのであり、これは私の考えと違わない。（36条5項に触れると話がおかしくなる。）

*14 このことは、行政機関法の全部改正法案の立案報告書に、以下の記載がある。

ア適法かつ適正な方法による取得について

基本法制第5条では、個人情報は、適法かつ適正な方法で取得されなければならないこととされており、同法制第22条では、個人情報取扱事業者は、偽りその他不正な手段により個人情報を取得してはならないこととされている。

一方、行政機関法制では、個人情報の適法かつ適正な取得に関する規定を置くこととしていないが、行政機関における個人情報の取得が、適法かつ適正な手続によらなければならないのは、日本国憲法の下では特別の法律を待たずとも当然要請されるところである。また、行政機関の職員については、国家公務員法（法令遵守義務（第98条））等他の法規により規律されている。

基本法制第22条は、行政機関に関しては既に存在しているこのような行為規範の趣旨が、いわば民間の個人情報取扱事業者に対する具体的な行為規範として規定されたものとみることができるのであって、行政機関法制において、改めて規定する必要はない。

行政機関等の保有する個人情報の保護に関する法制の充実強化について－電子政府の個人情報保護－, 行政機関等個人情報保護法制研究会, 2001年10月26日, 9頁

*15 このことは、前掲の立案報告書に、以下の記載がある。

2 適正な取扱い

（略）個人情報の適正な取得に関する規定（基本法制第22条）に相当する規律については、行政機関の職員の場合、国家公務員法（法令遵守義務（第98条））等他の法規により規律されていること等から、改めて規定を設ける必要はないが、対象法人においては、必ずしもこのような仕組みになっていないことから、基本法制第22条に相当する規定を設ける。

行政機関等の保有する個人情報の保護に関する法制の充実強化について－電子政府の個人情報保護－, 行政機関等個人情報保護法制研究会, 2001年10月26日, 30頁

*16 ちなみに、この質問の様子は、質問者の石上俊雄議員のサイトに詳細にレポートされていた。

*17 内閣法制局に「法令審議録」を情報公開請求してわかったことだが、「法令審査録」のうち内閣法制局作成分は、閣議決定用に完成した最終版の法案だけであった。

*18 現在、追加の情報公開請求中。

本日のリンク元 TrackBack(0)

2017年04月08日

■ 匿名加工医療情報作成事業法案ファーストインプレッション（パーソナルデータ保護法制の行方その29）

かつて「代理機関」と呼ばれていた構想が、「医療情報取扱制度調整ワーキンググループとりまとめ」*1としてパブリックコメントにかけられていたが、これの法律案が3月10日に国会提出された。

医療分野の研究開発に資するための匿名加工医療情報に関する法律案, 内閣官房国会提出法案第193回通常国会
- 概要
- 法律案・理由

「概要」を見ると、法律の題名は、「医療分野の研究開発に資するための匿名加工医療情報に関する法律」なのに、その略称は「次世代医療基盤法」だという。「匿名加工医療情報作成事業法」の方が実態にそぐうように思えるくらいの内容だが*2、どうなんだろうか。

早速、法律案の内容を読み込んでみたところ、大筋では悪くないとの感触（そもそもの方向性に疑問はあるにせよ）を持ったものの、テクニカルなところで気になるところが多々あった。

登場する用語を中心に概念整理すると図1のようになる。

図1: 事業者種別と取扱情報の関係

ここで、「医療情報」と「匿名加工医療情報」は次のように定義されている。

第2条この法律において「医療情報」とは、特定の個人の病歴その他の当該個人の心身の状態に関する情報であって、当該心身の状態を理由とする当該個人又はその子孫に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等（文書、図画若しくは電磁的記録（略）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号（個人情報の保護に関する法律（略）第2条第2項に規定する個人識別符号をいう。以下同じ。）を除く。）をいう。以下同じ。）であるものが含まれる個人に関する情報のうち、次の各号のいずれかに該当するものをいう。

一当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）

二個人識別符号が含まれるもの

3 この法律において「匿名加工医療情報」とは、次の各号に掲げる医療情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように医療情報を加工して得られる個人に関する情報であって、当該医療情報を復元することができないようにしたものをいう。

一第1項第1号に該当する医療情報当該医療情報に含まれる記述等の一部を削除すること（当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。

二第1項第2号に該当する医療情報当該医療情報に含まれる個人識別符号の全部を削除すること（当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。

「医療情報」の定義は、個人情報保護法の「要配慮個人情報」の定義ぶりとはまた微妙に異なっている（「個人情報」からどのように限定するかが異なる）ようだ。「医療情報」が「要配慮個人情報」の部分集合なのかどうか*3がはっきりしない。「要配慮個人情報」の定義では、「病歴……その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取り扱いに特に配慮を要するものとして政令で定める記述等」であるのに対して、「医療情報」では「当該心身の状態を理由とする当該個人又はその子孫に対する不当な差別、偏見その他の不利益が……」となっている。「本人」以外に「その子孫」が加えられている。「を理由とする」と書かれたのは、個人情報保護法より条文を明確化したのだろう。「政令で定める記述等」となっているので、結局、個人情報保護法と同じものが政令で規定されれば、結果的に同じものとなり、「医療情報」が「要配慮個人情報」の部分集合となるのかもしれない。

「匿名加工医療情報」の定義は、個人情報保護法の「匿名加工情報」と同じ定義ぶりで、「個人情報」を「医療情報」に差し替えたものになっている。

「医療情報」の定義が「個人情報」を参照しておらず、これらはパラレルであり、同一の語を参照して共通概念であるのが明らかなのは「個人に関する情報」の部分のみとなっている。つまり、以下の図2の左の図の構造であって、右の図の構造ではない。（「医療情報」は、「個人に関する情報」の一種であるが、「個人情報」の一種ではない。）

図2: 情報の概念関係

これは、「医療情報」を生存する個人に関する情報に限定しないもの（死者に関する情報を含むということ）とすることから、開いて定義する必要があって、こうなったのだろう。これにより、「医療情報」における「特定の個人を識別することができる」ものに限るとする要件が、「個人情報」におけるそれと同一なのかが不確かとなるところ、定義ぶりの同一性（限定のかけ方が同じであること）から、同一と推定されるものとなっている。

結局、対象情報の範囲は図3のようになる。「医療情報」は、生存しない個人に関する情報を含む分だけ幅が広く、奥行きは前記の「定義ぶりの同一性」から等しいと推定されるもので、高さは「要配慮」のうち「病歴…その他…政令で定める記述等」の部分（図中の桃色領域）と等しいと推測されるものの政令を待つ必要があるということになろうか。

図3: 情報の範囲

この法律は、第3章で「認定匿名加工医療情報作成事業者」と「認定医療情報等取扱受託事業者」の義務規定等を置き、第4章で「医療情報取扱事業者」による医療情報の提供を可能とする規定を置いており、これにあたり、2条で以下の2つの用語を定義している。

4 この法律において「匿名加工医療情報作成事業」とは、医療分野の研究開発に資するよう、医療情報を整理し、及び加工して匿名加工医療情報（匿名加工医療情報データベース等（略）を構成するものに限る。以下同じ。）を作成する事業をいう。

5 この法律において「医療情報取扱事業者」とは、医療情報を含む情報の集合物であって、特定の医療情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の医療情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの（第四十四条において「医療情報データベース等」という。）を事業の用に供している者をいう。

4項の「匿名加工医療情報作成事業」は、8条中の「認定匿名加工医療情報作成事業者」の定義で参照されている。匿名加工医療情報作成事業を行う者は申請により主務大臣の認定を受けることができるとされ、認定を受けた者が「認定匿名加工医療情報作成事業者」であり、それを名宛人とした義務等が3章2節（医療情報等及び匿名加工医療情報の取扱いに関する規制）に並べられている。

5項の「医療情報取扱事業者」は、病院などの医療機関を指したもののようで*4、4章（医療情報取扱事業者による認定匿名加工医療情報作成事業者に対する医療情報の提供）で、医療情報取扱事業者は医療情報を認定匿名加工医療情報作成事業者に（一定の条件の下で）提供することができるとしている。ここがこの法案の肝であり、改正個人情報保護法の施行によって、要配慮個人情報を本人同意なく（オプトアウト方式で）第三者提供することが許されなくなるところを、この法律によって部分的にオーバーライドし、そのような提供を可能にするというというものである。

3章2節の「認定匿名加工医療情報作成事業者」に係る義務等の規定は、以下のものとなっている。

第2節医療情報等及び匿名加工医療情報の取扱いに関する規制

（利用目的による制限）
第17条認定匿名加工医療情報作成事業者は、第25条又は第30条第1項の規定により医療情報の提供を受けた場合は、認定事業の目的の達成に必要な範囲を超えて、当該医療情報を取り扱ってはならない。

2（略（例外規定））

（匿名加工医療情報の作成等）
第18条（略（後述））

（消去）
第19条認定匿名加工医療情報作成事業者は、認定事業に関し管理する医療情報等又は匿名加工医療情報を利用する必要がなくなったときは、遅滞なく、当該医療情報等又は匿名加工医療情報を消去しなければならない。

（安全管理措置）
第20条認定匿名加工医療情報作成事業者は、認定事業に関し管理する医療情報等又は匿名加工医療情報の漏えい、滅失又は毀損の防止その他の当該医療情報等又は匿名加工医療情報の安全管理のために必要かつ適切なものとして主務省令で定める措置を講じなければならない。

（従業者の監督）
第21条認定匿名加工医療情報作成事業者は、その従業者に認定事業に関し管理する医療情報等又は匿名加工医療情報を取り扱わせるに当たっては、当該医療情報等又は匿名加工医療情報の安全管理が図られるよう、主務省令で定めるところにより、当該従業者に対する必要かつ適切な監督を行わなければならない。

（従業者等の義務）
第22条認定匿名加工医療情報作成事業者の役員若しくは従業者又はこれらであった者は、認定事業に関して知り得た医療情報等又は匿名加工医療情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。

（委託）
第23条認定匿名加工医療情報作成事業者は、認定医療情報等取扱受託事業者に対してする場合に限り、認定事業に関し管理する医療情報等又は匿名加工医療情報の取扱いの全部又は一部を委託することができる。

2 前項の規定により医療情報等又は匿名加工医療情報の取扱いの全部又は一部の委託を受けた認定医療情報等取扱受託事業者は、当該医療情報等又は匿名加工医療情報の取扱いの委託をした認定匿名加工医療情報作成事業者の許諾を得た場合であって、かつ、認定医療情報等取扱受託事業者に対してするときに限り、その全部又は一部の再委託をすることができる。

3 前項の規定により医療情報等又は匿名加工医療情報の取扱いの全部又は一部の再委託を受けた認定医療情報等取扱受託事業者は、当該医療情報等又は匿名加工医療情報の取扱いの全部又は一部の委託を受けた認定医療情報等取扱受託事業者とみなして、同項の規定を適用する。*5

（委託先の監督）
第24条認定匿名加工医療情報作成事業者は、認定事業に関し管理する医療情報等又は匿名加工医療情報の取扱いの全部又は一部を委託する場合は、その取扱いを委託した医療情報等又は匿名加工医療情報の安全管理が図られるよう、主務省令で定めるところにより、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

（他の認定匿名加工医療情報作成事業者に対する医療情報の提供）
第25条第30条第1項の規定により医療情報の提供を受けた認定匿名加工医療情報作成事業者は、主務省令で定めるところにより、他の認定匿名加工医療情報作成事業者からの求めに応じ、匿名加工医療情報の作成のために必要な限度において、当該他の認定匿名加工医療情報作成事業者に対し、同項の規定により提供された医療情報を提供することができる。

2 前項の規定により医療情報の提供を受けた認定匿名加工医療情報作成事業者は、第30条第1項の規定により医療情報の提供を受けた認定匿名加工医療情報作成事業者とみなして、前項の規定を適用する。

（第三者提供の制限）
第26条認定匿名加工医療情報作成事業者は、前条の規定により提供する場合及び次に掲げる場合を除くほか、同条又は第30条第1項の規定により提供された医療情報を第三者に提供してはならない。
一法令に基づく場合
二人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合

2 次に掲げる場合において、当該医療情報の提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。
一第10条第1項、第2項又は第4項から第6項までの規定による事業譲渡その他の事由による事業の承継に伴って医療情報が提供される場合
二認定匿名加工医療情報作成事業者が第23条第1項の規定により医療情報の取扱いの全部又は一部を委託することに伴って当該医療情報が提供される場合

（苦情の処理）
第27条　認定匿名加工医療情報作成事業者は、主務省令で定めるところにより、認定事業に関し管理する医療情報等又は匿名加工医療情報の取扱いに関する苦情を適切かつ迅速に処理しなければならない。

2 認定匿名加工医療情報作成事業者は、主務省令で定めるところにより、前項の目的を達成するために必要な体制を整備しなければならない。

個人情報保護法4章の義務セットと似た義務セットが並べられているが、それぞれ強化されているようだ。「利用目的による制限」が、この認定事業の目的外での取り使いを禁止しているほか、「安全管理措置」（従業者・委託先の監督を含め）や苦情の処理で、主務省令で定められたものに従うとされており、19条の「消去」は、努力規定ではなく義務規定になっている。その他に、委託・再委託が、認定された事業者にしか委託できないことになっている。

そして、「従業者等の義務」として「みだりに他人に知らせ、又は不当な目的に利用してはならない」の規定があり、46条3号にその直罰規定が置かれている。この法案の罰則は公的部門よりも厳しくなっている。公的部門（行政機関個人情報保護法）では、7条で「みだりに他人に知らせ、又は不当な目的に利用してはならない」と、同様の規定を置いているものの、その直罰規定は置かれていないのであり、罰則は「正当な理由がないのに、個人の秘密に属する事項が記録された…個人情報ファイルを提供したとき」（53条）と「自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したとき」（54条）にしかなかった（この法案でも同様の直罰規定を44条、45条に置いている）ことと比べて、相当に厳しいものと言えよう。

ここで一つ疑問なのは、認定加工事業者において、「医療情報」に対する義務はこれらだけなのか、それとも、個人情報保護法4章の義務も併せて課されるのかである。もし「医療情報」が図1の右のように「個人情報」の一種として定義されていれば、個人情報保護法4章の義務も課されることは明らかであるところ、そういう定義になっていないせいで紛らわしいのだが、情報の範囲が図3の通りであるなら、「個人情報」に該当する部分については個人情報保護法4章の規定が適用されるということなのだろう。（ただ、この法案には、なぜか、「医療情報」に対する義務が課される場合について「個人情報保護法の規定は適用しない」とする規定が置かれていない。）

そうだとすると、大いに疑問なのは、個人情報保護法の「保有個人データ」に係る規定（開示・訂正・利用停止等）も「医療情報」（のうち生存する個人に関するもの）に対して適用されるのであろうか。ここが重要な点であるにもかかわらず、資料の「概要」からは読み取れない。

ちなみに、この法案は、個人情報保護法のように「個人情報」と「個人データ」の区別をしていない。この点は問題ないのだろうか。「医療情報」は散在情報でも全て該当することになるが、義務の対象とする取扱いがこの認定事業の用に供することに限られているから、個人情報データベース等（個人情報ファイル）を構成するものとすることを予定している情報しか取り扱わないはずであることから、実質的には処理情報に限定されているのに等しい*6と言えるだろう。*7

次に、上記で省略した「匿名加工医療情報の作成等」は、以下のように規定されている。

（匿名加工医療情報の作成等）
第18条認定匿名加工医療情報作成事業者は、匿名加工医療情報を作成するときは、特定の個人を識別すること及びその作成に用いる医療情報を復元することができないようにするために必要なものとして主務省令で定める基準に従い、当該医療情報を加工しなければならない。

2 認定匿名加工医療情報作成事業者は、匿名加工医療情報を作成して自ら当該匿名加工医療情報を取り扱うに当たっては、当該匿名加工医療情報の作成に用いられた医療情報に係る本人を識別するために、当該匿名加工医療情報を他の情報と照合してはならない。

3 匿名加工医療情報取扱事業者（匿名加工医療情報データベース等を事業の用に供している者をいう。以下同じ。）は、第1項（略）の規定により作成された匿名加工医療情報（…）を取り扱うに当たっては、当該匿名加工医療情報の作成に用いられた医療情報に係る本人を識別するために、当該医療情報から削除された記述等若しくは個人識別符号若しくは同項（…）の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工医療情報を他の情報と照合してはならない。

4 個人情報の保護に関する法律第36条の規定は認定匿名加工医療情報作成事業者又は第28条の認定を受けた者（以下「認定医療情報等取扱受託事業者」という。）が第1項（…）の規定により匿名加工医療情報を作成する場合について、同法第37条から第39条までの規定は匿名加工医療情報取扱事業者が前項に規定する匿名加工医療情報を取り扱う場合については、適用しない。

まず、注目は、1項で、「匿名加工医療情報を作成するとき」の加工基準は、「主務省令で定める基準に従い」とされている点である。「個人情報保護委員会が定める基準」ではない。

なぜこうしたのだろうか。一般の匿名加工情報と匿名加工の基準が異なるものとなったら、ややこしいことになりかねないと懸念されるところ、この法ではより厳しい匿名加工基準とすることも考えられる。なお、主務大臣は、「内閣総理大臣、文部科学大臣、厚生労働大臣及び経済産業大臣」としている（39条1項）が、「主務大臣は、主務省令を定め、又は変更しようとするときは、あらかじめ、個人情報保護委員会に協議しなければならない。」（同条3項）としているので、個人情報保護委員会により、ある程度は統一的な基準となるのかもしれない。

2項は、匿名加工情報を作成した者に再識別の禁止を課す規定であり、個人情報保護法36条5項と同趣旨のものであろう。この規定が何のためにあるのかについては、やっかいな論点であり、まだ書いていない「匿名加工情報は何でないか・後編」で書くつもりであるが、そこ以外のところを触れておくと、「自ら取り扱うに当たっては」というのが、個人情報保護法の36条5項では自社内での目的外利用を可能とするためという趣旨を含んでいたのに対し、この法案のここもその趣旨があるのかどうかが論点となる。

つまり、認定加工事業者が、作成した匿名加工医療情報を、認定事業から外れる目的で（22条の「不当な目的」に当たらない範囲で）自ら利用することができるのかどうか。個人情報保護法において「匿名加工情報」が「個人情報」でないとされているように、この法において「匿名加工医療情報」は「個人情報」でないという建て付けであろうから、「医療情報」でもないということのはずで、この法の17条（利用目的による制限）にも抵触しないはずだろう。ここは、認定加工事業者自身が「匿名加工医療情報」を用いた「医療分野の研究開発」を実施できる（と想定されている）かに関わる論点なので、重要である。

3項は、個人情報保護法で言うところの38条（識別行為の禁止）に相当するものである。これがここで規定された意義は大きい。行政機関法の改正においては、「非識別加工情報」を導入するに際してこの規定を置かず、その受領者には個人情報保護法の38条（識別行為の禁止）が適用されるという建て付けになっており、「非識別加工情報」と「匿名加工情報」と名称も異なり、用語定義の内容も異なるのに、どうしてそうなると言えるのかという疑問が出ていた*8のに対して、今回の法案では、直接この法に「識別行為の禁止」規定を置いたので、その問題は生じないようになっている。

ただ、ここがこのようになっている理由がそのような理由からなのかは定かでなく、「匿名加工医療情報取扱事業者」の監督を、個人情報保護委員会ではなく、主務大臣とするためにこうしたのかもしれない。5章（監督）は、「主務大臣は、この法律の施行に必要な限度において、認定匿名加工医療情報作成事業者若しくは認定医療情報等取扱受託事業者（これらの者のうち外国取扱者である者を除く。）、匿名加工医療情報取扱事業者若しくは医療情報取扱事業者に対し必要な報告を求め、（…）ことができる。」といった規定を置いている。なぜ個人情報保護委員会の監督下に置かなかったのかというのも、疑問の一つとなろう。

4項の規定は、「匿名加工医療情報」に対して個人情報保護法の匿名加工情報に係る規定（36条から39条）の全部を「適用しない」とする規定である。この規定があることから、この法の「匿名加工医療情報」が、個人情報保護法の「匿名加工情報」にも該当する（又は一部が該当し得る）ことを想定していることがわかる。この項の前半は、加工情報の作成は、この法の規定に従うものとして、個人情報保護法36条は適用しないとしており、後半は、その受領者である「匿名加工医療情報取扱事業者」に対して、個人情報保護法37条、38条、39条は適用しないとしている。

ここで疑問なのは、後半について、38条（識別行為の禁止）を抜くのは理解できる（この法の18条3項と被るから）が、37条（匿名加工情報の提供）と39条（安全管理措置等）まで抜かれているのはなぜだろうか。これらに相当する規定がこの法のどこかで別途規定されているようには見えない。

37条（匿名加工情報の提供）は、匿名加工情報を第三者に提供するときに、あらかじめ公表することを求め、当該第三者にその情報が匿名加工情報である旨を明示せよとする規定であったが、「匿名加工医療情報」についてはその公表を義務とせず、提供時の明示も義務としないということであろうか。前者は、認定加工事業者となった時点で、「匿名加工医療情報」を第三者提供することが当然であるので、公表が必要ないということなのか。しかし、個人情報保護法37条は、公表事項として「個人に関する情報の項目」を含めていたが、「匿名加工医療情報」ではこれを公表しなくてよいということなのだろうか。

39条（安全管理措置等）は、匿名加工情報は、加工されているとはいえ特定の個人を識別できるリスクが残存し得るものであることから、努力規定とはいえ安全管理措置を求めていたが、「匿名加工医療情報」については、受領者側の安全管理は不要だということなのだろうか。これはもしかして、前記の通り、加工の基準も異なるものとすることが可能にされているから、安全管理措置が不要になるほどまでに十分に加工することを基準とする予定でもあるのだろうか。

以上のように、この法は、個人情報保護法の「個人情報」「匿名加工情報」に関する規律とは別に、「医療情報」「匿名加工医療情報」に関する規律を新たに横並びで構築する形になっているように見える。

次に、病院等の「医療情報取扱事業者」が「医療情報」を「認定匿名加工医療情報作成事業者」に提供できるとする規定は、4章で以下のように書かれている。

第4章医療情報取扱事業者による認定匿名加工医療情報作成事業者に対する医療情報の提供

（医療情報取扱事業者による医療情報の提供）
第30条 医療情報取扱事業者は、認定匿名加工医療情報作成事業者に提供される医療情報について、本人又はその遺族（死亡した本人の子、孫その他の政令で定める者をいう。以下同じ。）の求めがあるときは、当該本人が識別される医療情報の認定匿名加工医療情報作成事業者への提供を停止することとしている場合であって、次に掲げる事項について、主務省令で定めるところにより、あらかじめ、本人に通知するとともに、主務大臣に届け出たときは、当該医療情報を認定匿名加工医療情報作成事業者に提供することができる。
一医療分野の研究開発に資するための匿名加工医療情報の作成の用に供するものとして、認定匿名加工医療情報作成事業者に提供すること。
二認定匿名加工医療情報作成事業者に提供される医療情報の項目
三認定匿名加工医療情報作成事業者への提供の方法
四本人又はその遺族の求めに応じて当該本人が識別される医療情報の認定匿名加工医療情報作成事業者への提供を停止すること。
五本人又はその遺族の求めを受け付ける方法

2 （略）

3 （略）

（書面の交付）
第31条医療情報取扱事業者は、前条第1項の規定による通知を受けた本人又はその遺族から当該本人が識別される医療情報の認定匿名加工医療情報作成事業者への提供を停止するように求めがあったときは、遅滞なく、主務省令で定めるところにより、当該求めがあった旨その他の主務省令で定める事項を記載した書面を当該求めを行った者に交付しなければならない。

2 （略）

3 （略）

（医療情報の提供に係る記録の作成等）
第32条医療情報取扱事業者は、第30条第1項の規定により医療情報を認定匿名加工医療情報作成事業者に提供したときは、（略）

（医療情報の提供を受ける際の確認）
第33条認定匿名加工医療情報作成事業者は、第30条第1項の規定により医療情報取扱事業者から医療情報の提供を受けるに際しては、（略）

（医療情報取扱事業者から医療情報の提供を受けてはならない場合）
第34条 認定匿名加工医療情報作成事業者は、次に掲げる医療情報について、法令に基づく場合を除き、医療情報取扱事業者から提供を受けてはならない。
一第30条第1項又は第2項の規定による通知又は届出が行われていない医療情報
二第31条第1項に規定する求めがあった医療情報

30条は、オプトアウト方式での提供を許す規定である。これは、改正個人情報保護法の施行により、要配慮個人情報のオプトアウト方式での提供が許されなくなることから、この法により、認定加工事業者への提供に限ってそれを可能とするものである。

しかし、「あらかじめ、本人に通知する」ことが条件になっている点が、従来のオプトアウト方式とは異なる。個人情報保護法23条2項のオプトアウト方式は、「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは」となっていて、「本人が容易に知り得る状態に置いて」いれば「本人に通知」する必要がないとされるものだった。「本人が容易に知り得る状態に置く」ことよりも、「本人に通知する」ことの方が高コストであるから、法案のこれは厳しいのではないか。

昨年末からパブコメにかけられていた「医療情報取扱制度調整ワーキンググループとりまとめ」の時点では、「②本人が医療機関等に対し、医療情報匿名加工・提供機関（仮称）への情報提供の停止を求めることを可能とするとともに、その旨及び手続に関する案内紙を本人に提示する、初診時に案内紙を本人に直接配布する等の措置を講じる。」（20頁）という案が書かれていたので、従来通りに「本人に通知、又は本人が容易に知り得る状態に置く」措置で足りるとする制度にするつもりなのだろうと思っていた。それが、法案では、意外なことに、「本人に通知」を必須とするというのである。

これは、個人情報保護の観点からは良いことである（掲示だけでは、事実上だまし討ちのようなものとの非難もあり得るのだから）ものの、これで本当に実施する医療機関等が出てくるのだろうかという点が心配になる。

他方で、前掲の「とりまとめ」には、続けて、「③本人が、医療情報匿名加工・提供機関（仮称）に対して、医療等情報の破棄（データベースからの消去）を求めることを可能とする。」（20頁）とも書かれていたのに、今回の法案には、それを義務とする規定が存在しない*9。確かに、この削除請求の手段を欠いているのに、通知なしのオプトアウトで許されるとするのが、認められないというのは理解できる。

理想的には「本人通知」かつ「削除対応」であるところ、無理だからどちらもやりたくないというのは、さすがに通らないのだろう。どちらか一方だけやるとすれば、「本人通知」を必須とするより「削除対応」を必須とする方が、利活用の余地は大きいように思えるのに、今回の法案は、なぜ「削除対応」を入れなかったのだろうか。

31条は、オプトアウトに際して書面で残すことを義務付けるようだ。

32条と33条は、改正個人情報保護法で導入される個人データ第三者提供時の確認・記録義務と同様のものを入れるようだ。しかし、改正個人情報保護法では「名簿屋対策だ」とされていたわけで、趣旨が異なるものをこのように共通のルールで規定するというのは、筋が悪いのではないだろうか。

34条は、適切なオプトアウトの実施を、受領者側の認定加工事業者にも求めるということのようだ。

以上を見渡して、疑問に思うのは、「認定匿名加工医療情報作成事業者」は、匿名加工に際して「医療情報」しか扱うことができないのか、という点である。

つまり、医療機関等から認定加工事業者に提供されて匿名加工に使うのに相応しい情報は、「医療情報」に限られるわけではなく、それ以外の「個人に関する情報」も使いたいはずと考えられる。

ただ、「医療情報」の定義は、「病歴その他の……であるものが含まれる個人に関する情報」であるから、「それ以外の個人に関する情報」も、「医療情報」に含めて扱えば、全体として「医療情報」ということになるので、そういう運用が可能とは思われる。しかし、元の「医療情報」と「それ以外の個人に関する情報」とを分けて提供する（別のタイミングで提供する）場合はどうなのか。

「医療情報」でない情報は「要配慮個人情報」ではない（ように政令が定められる）はずだから、医療機関側としては、元々、第三者提供は（個人情報保護法23条2項のオプトアウト方式で）可能なので、そこは問題とならないということであろうか。

では、そのように分けて提供を受けた認定加工事業者の側での扱いはどうなるのか。法案の18条は、「匿名加工医療情報を作成するときは、……当該医療情報を加工しなければならない。」としているから、「医療情報」以外を加工のソースに含めることは許されないことになるのではないか。

しかしここでも、分けて提供を受けた「医療情報」と「それ以外の個人に関する情報」とを、認定加工事業者が突合して一つの「医療情報」に一体化させる前処理をすれば、「医療情報」として匿名加工に用いることができるのであろうか。

同様のことは、認定加工事業者が、複数のソース（「医療情報取扱事業者」以外を含む）から情報（「医療情報以外の個人に関する情報」を含む）を集めてきて、同一人について突合して一つの「医療情報」に一体化させる場合についても疑問点となる。この法案は、そういう場合を想定しているのだろうか。

また、そういったことを想定しているとした場合、「要配慮個人情報」であるが「医療情報」でないものが問題となる。つまり、「人種、信条、社会的身分」、「犯罪の経歴、犯罪により犯罪により害を被った事実」その他政令で定める記述等である。これらが「医療情報」に該当しないのなら、今回の法案の30条（医療情報取扱事業者による医療情報の提供）の対象外なので、改正個人情報保護法の規定により、本人同意なく提供は許されないことになる。

つまり、「匿名加工医療情報」作成のソースに、人種、信条、社会的身分、犯罪の経歴、犯罪被害の事実は使うことはできないということになる。人種が使えないのは認定事業に支障ないのだろうか。さらに、「その他政令で定める記述等」には、「身体障害、知的障害、精神障害（略）その他の個人情報保護委員会規則で定める心身の機能の障害があること」が含まれるが、このうち、「身体障害」や「精神障害」が使えないのは、認定事業の支障とならないのだろうか。それとも、これらの一部を「医療情報」定義の「病歴その他の当該個人の心身の状態」に含めるように政令で定めるのであろうか。

そしてもう一つの疑問点は、そうして集めた「医療情報」を認定加工事業者が、「匿名加工医療情報」以外の形に加工して、利用・提供することは認められているのかである。法案の17条（利用目的による制限）は、集めた「医療情報」を「認定事業の目的の達成に必要な範囲を超えて取り扱ってはならない」としている。

この「認定事業」は、（8条1項の認定に係る）「匿名加工医療情報作成事業」のことを指し、その「匿名加工医療情報作成事業」は、定義（2条4項）から「医療分野の研究開発に資するよう、医療情報を整理し、及び加工して匿名加工医療情報を作成する事業」のことであるから、「加工して匿名加工医療情報を作成する」こと以外には「整理」することしか事業として想定されていない。

したがって、認定加工事業者は、「医療情報」を、「匿名加工医療情報」に該当しない（匿名加工情報にも該当しない意味で）ような、統計量に集計したデータ（「個人に関する情報」に該当しないところまで集計加工すると法の定義上「匿名加工情報」ではなくなる。）を作成して、利用・提供することは、認定事業の範囲を超えてしまうことになるのではないか。

個人情報保護法においては、以前にも触れたように、個人情報を統計量に集計して利用することは個人情報の利用に当たらないという解釈が、経産省ガイドラインQ&Aの「Q45」で示されていたところだが、これは、個人情報保護委員会が先ごろ公表した新Q&Aの「Q2-5」に引き継がれており、「統計データへの加工を行うこと自体を利用目的とする必要はありません。」と書かれた。

そのことと同様に解釈すれば、「医療情報」も、統計量に集計することは「医療情報の利用」に当たらないということになるようにも思える。しかし、個人情報保護法16条（利用目的による制限）は「特定された利用目的の達成に必要な範囲を超えて」と書かれているのに対し、この法案の17条（利用目的による制限）では「認定事業の目的の達成に必要な範囲を超えて」と書かれていて、「利用」という言葉が使われていない。新Q&A「Q2-5」は「利用目的」について言っているだけであって、この法案では、それとは別に「認定事業」の目的にそのような行為が含まれるかが問題となる。

もし、統計量に集計して提供する事業が「認定事業」に該当しないとなれば、統計量を提供したいときは、あえてわざわざ「個人に関する情報」の形で（つまり、個票の形で）提供することになるのであろうか。

以上が、先月、国会提出法案を見てのファーストインプレッションだった。

なお、情報法制研究所（JILIS）からは、昨年末のパブリックコメントに際して、以下の意見を提出していた。

「医療情報取扱制度調整ワーキンググループとりまとめ」にする意⾒, 一般財団法人情報法制研究所個人情報保護研究タスクフォース, 2017年1月26日

意見1
【該当箇所】p.8
【意見】本制度が法制化を目指している、匿名加工情報に加工して希望する匿名加工情報取扱事業者に提供する事業（以下、「加工提供事業」と言う。）と、本人のためのサービスであるEHR事業とは、情報管理が混同されることのないよう、明確に区別する必要がある。
【理由】（略）

意見2
【該当箇所】p.20
【意見】医療情報匿名加工・提供機関（仮称）は、安全管理措置として、氏名・生年月日・住所等を削除した仮名化データのみを保有するべきであり、また、「医療情報等の破棄」を実現するために、情報の提供元である医療機関等で対応表を管理する連結可能匿名化の仕組みを用いるべきである。
【理由】（略）

意見3
【該当箇所】p.20 脚注11
【意見】脚注11で、医療情報匿名加工・提供機関（仮称）が匿名加工情報ではない医療等情報の提供を可能としている理由は、個人情報保護法の適用除外の考え方を逸脱しているのではないか。
【理由】（略）

意見4
【該当箇所】p.8
【意見】医療情報匿名加工・提供機関（仮称）は匿名加工情報に該当しない統計情報の提供を可能としているのか、明らかにされたい。
【理由】（略）

意見5
【該当箇所】全体
【意見】医療情報匿名加工・提供機関（仮称）に集中するリスクを低減するため、将来は、暗号を用いたプライバシー保護データマイニング技術を導入することや、集中型ではない分散型の医療ICT基盤を目指していくべき。
【理由】（略）

このパブコメは回答しないタイプのものだったので、これがどのように考慮されたのか不明であるが、出てきた法案をこれに照らすと次のように思った。

意見1については、「とりまとめ」が、EHR事業との混同を積極的に促すような書きぶりになっていたのを懸念したものだったが、法案には、それを増長させるような規定はなかった。

ただ、EHR事業の事業者が「医療機関等」に該当するのかが論点となり得る。これは、脚注4に書いたように、医療機関から診療録等の取扱いを委託されている受託事業者が「医療情報取扱事業者」（2条5項）に該当するものとして想定されているのか（EHR事業が、医療機関からの委託により提供されていると捉える場合）という点が一つと、EHR事業が、本人の希望によって直接的に利用される事業（当該事業者が自らdata controllerとして個人情報の取扱い主体となる形）である場合に、その事業が「医療情報取扱事業者」（2条5項）に該当するものとして想定されているかである。これらの点は明確にされていないように思える。

意見2については、【理由】のところに書いているように、本人によるデータ削除の請求をどうやって実現するのかに絡めた意見であったのだが、法案では、データ削除の請求を受け付ける制度になっていなかった。

したがって、氏名等の特定の個人を識別するために用いる情報（氏名等）を保有しておく必要が完全になくなったように見える。となると、「医療情報取扱事業者」から提供を受ける時点で、氏名等を削っておくことが安全管理措置として望ましいということになるが、そうするつもりがあるのかが論点となり得る。

その場合に、氏名等を削ったデータの「個人情報」該当性（この法案では「医療情報」該当性）が論点となる。このことは、【理由】のところで以下のように主張していた。

なお、この場合、医療情報匿名加工・提供機関（仮称）が保有するデータが、仮名化データとなり、当該機関においては個人情報保護法の（保有）個人データ（個人情報）に該当しないものとなり得るかもしれないが、提供元で個人データに該当するものの提供を、本制度の下で受けたものであることを理由に、当該機関においても（保有）個人データに該当するものとみなして、本人からの開示等の請求等への対応を含み、個人情報保護法の義務を適用する制度とするべきである。

仮名化されたデータの受領者において当該データが「個人情報」に該当するかについては、医学系研究倫理指針の改正では、（対応表を保有しない限り）該当しないとして整理されたが、その解釈を採用すると、上記のようにした場合、認定加工事業者において、集めたデータが「医療情報」に該当しないことになってしまい、法案の18条の「匿名加工医療情報を作成するときは、……当該医療情報を加工しなければならない。」を実行できないことになってしまう。そういうわけにはいかないので、認定加工事業者においては「医療情報」として扱うのだろう。*10

そうすると、疑問となるのは、今回上の方で書いたように、「医療情報」が個人情報保護法の「保有個人データ」にも該当し、「認定加工事業者」に個人情報保護法の「保有個人データ」に係る義務も課されるのだとした場合に、氏名等を保有していないのに開示等の求めに対してどう応じるのだろうかという点である。もし、応じるのだとすれば、意見2の【理由】に書いた以下の部分の「削除」を「開示」に置き換えた方法が考えられる。

また、本人はどこに削除の要求をすることになるのか。本人にとって医療情報匿名加工・提供機関（仮称）は遠い存在であって、削除をどこに求めればよいかがわからず、制度に対する不信感を持たれてしまうことが懸念される。本人に近い存在は本人が診療等を受けている医療機関等であるから、そうした医療機関等に求めることができる体制とするべきである。また、そのようにすれば、必要な本人確認は自然な形で行われることになる。

要求を受けた医療機関等は、その要求を医療情報匿名加工・提供機関（仮称）に伝達して、これを受けて削除を実施することになるが、どの仮名化データの削除が要求されているのかを特定するためには、提供元の医療機関等で氏名等と仮名（識別子）との対応表を管理する必要があろう。すなわち、従前「連結可能匿名化」と呼ばれてきた方法を用いることができるのではないか。

ただ、そもそも「保有個人データ」の開示等請求権は何のためにあるのかから考え直す必要があるように思える。認定加工事業者に集められた「医療情報」は、本人に何らかの影響を及ぼすことを想定しておらず、出口は「匿名加工医療情報」のみ（あるいは統計量データも含むか）であるから、本人からしてみれば、正確性の確保はどうでもよいことだし、訂正請求をする必要性もないように思われる。プロファイリングされることもないのだから、開示請求をする意義にも欠けるように思われる*11。こういったことを議論する必要があるだろう。

意見3については、法案にはそれをよしとする規定はないように見えた。意見3の「脚注11」とは、「認定加工事業者」が、保有している「医療情報」を、個人情報に該当するようなデータのままで提供することが、提供先が学術研究機関で学術研究の目的のためであれば許されるのかという話である。

法案は、それを許しているようには見えない。26条（第三者提供の制限）には、1項で例外が規定されているが、「法令に基づく場合」（1号）と、「人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合」（2号）*12のみとなっており、個人情報保護法23条1項の例外には存在した「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。」（4号）と「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。」（3号）が削られているくらいなのだから、想定していないのだろう。*13

意見4については、前記の通りであり、明らかになっていないように思える。

意見5については、この法案のそもそも論である。

【理由】
本件「とりまとめ」が提案する構想では、医療情報匿名加工・提供機関（仮称）にあらゆる人々のあらゆる情報が集められ、突合され、継続的に蓄積されることになる。大量のデータ流出といった事故が起きれば、重大な権利利益侵害が発生することになるから、そのような事態を完璧に防ぐ万全の安全管理措置が計画されているのであろう。しかし、本来は、そうした事故を防ぎ切れなくとも、被害が最小化されるような仕組みの構築を検討するべきではないか。

例えば、複数の医療機関等に跨って保有されている同一人の医療情報等を突合して分析することは、準同型暗号を用いたプライバシー保護データマイニング（Privacy-Preserving Data Mining、PPDM）技術を用いれば、本件「とりまとめ」が提案するような、データを実際に一箇所に集める必要がない。現時点では、そのような技術が実用化されていないので、その実用化を待たずに、医療情報匿名加工・提供機関（仮称）を先に実現していく必要性は理解できるが、将来には、リスクを低減するため、こうした高度な技術を導入して、情報の集中を避けることも計画していくべきではないか。

また、そうした技術をまだ用いることができないにしても、データを分散させて管理する*14別案もあり得たのではないか。医療情報匿名加工・提供機関（仮称）は、データが必要とされる前から、あらゆる人のあらゆる分野の情報を集めて準備しておく方式であるがゆえにリスクが高いが、分野ごとに蓄積されているデータを、必要に応じて医学研究者等が必要最小限のデータを集めて突合し、分析を終えたらデータを返却するといった仕組みも考えられ、そちらの方がリスクが低いと言えるのではないか。そうした別案も検討していくべきではないか。

今これを言っても、この法案自体がどうなるというものでもないだろう。次の施策に向けて提案していきたい。

*1 内閣官房健康・医療戦略推進本部

*2 この法律は、国の施策も第2章で規定され、基本法の様相を呈しているので、事業法と言うのは相応しくないのだろう。しかし、「次世代医療基盤法」だと言うからには、匿名加工に限らずに、「医療分野の研究開発に資する」医療情報の利用について扱うものとなっていて然るべきところ、そうはなっていない。将来にそこまで広げる予定があるということなのかもしれないが、この法案を見る限りは、完全に匿名加工医療情報に関してだけ規定されており、基本法部分である第2章も、国の施策が「匿名加工医療情報に関する施策」「匿名加工医療情報に関する基本方針」と明記されてしまっているので、匿名加工医療情報からはみ出すことは想定されていないように見える。6条の「規格の適正化」では、「医療情報及び匿名加工医療情報について、適正な規格の整備」としており、「医療情報」まで規格の対象に含めているものの、「……匿名加工医療情報の作成に寄与するため」としているし、7条の「情報システムの整備」でも、「匿名加工医療情報の作成を図るため」の情報システムの整備を指しているにすぎない。

*3 後述のように、「要配慮個人情報」は死者の情報を含むので、その意味で「医療情報」は「要配慮個人情報」の部分集合ではないのだが、ここではその点をさし置いて、死者を含まない「医療情報」が「要配慮個人情報」の部分集合となるのかについて。

*4 しかし、資料の「概要」には「医療機関等」と書かれており、「等」が何を指すのかが不明になっている。医療機関以外が「医療情報」の処理情報（データベース等）を事業の用に供することもあり得るから、法案の定義からすれば、それら（例えば、本人の同意を得て医療情報を研究開発目的で取り扱っている研究機関や医薬品開発事業者）も「医療情報取扱事業者」に該当してしまいそうだが、そういう趣旨なのだろうかと疑問がある。また、医療機関から診療録等の取扱いを委託されている受託事業者がこれに当たるのかもはっきりしない。受託事業者はdata processorに徹するべきで、委託元の医療機関の判断（data controllerとしての）なしに受託事業者が勝手に提供することができるものとしてこの規定を解釈すべきではないように思える。

*5 なるほど、こういうときはこうやって規定すればいいのだな。法制執務的帰納法だな。番号利用法10条もそうなっていたのか。2015年12月6日の日記の脚注4の件もこうすればよかったか。

*6 その点、現行の個人情報保護法は、個人情報データベース等に格納される前の段階の個人情報は、たとえ個人情報データベース等を構成するものとすることを予定している場合であっても、「個人データ」ではないとするのが政府解釈となっている。ここは、私の意見としては、そのような情報も「個人データ」として扱うべく法改正するべきと考えているのだが、今回の法案では、そういう整理がされていないので、「医療情報」を「個人データ」相当のものに限るようにしなかったのは已むを得ない。

*7 気になったのは、取得の制限が規定されていないから、どこから「医療情報」を取得するのかが問題となりそうに思えた。17条（利用目的による制限）、25条（他の認定匿名加工医療情報作成事業者に対する医療情報の提供）、26条（第三者提供の制限）では、「第25条又は第30条第1項の規定により医療情報の提供を受けた」ものに限定している（30条1項は医療機関等からの提供）からよいが、他の義務にはその限定がない。認定加工事業者も従業者に関する自社での健康診断結果の情報を取り扱うはずで、その情報は「医療情報」に該当するはず（「医療情報」の定義は用途を要件としていないので）であり、その取扱いにもこの法が適用されるのか。その点、19条から24条及び27条は「認定事業に関し管理する医療情報」に限定しているので、そこの点は回避されるようにちゃんと手当てされているようだ。ただ、それでも疑問として残るのは、認定加工事業者の従業者の自社での健康診断結果の情報（「医療情報」に該当）を、この認定事業の用に供することは許されているのかどうかである。禁止はされていないので可能ではあるが、想定されたことではないように思える。（このような綻びが生じるのは、「医療情報」の定義を用途で限定しないからだ。）

*8 2016年6月12日の日記「行政機関法改正の論点国会会議録から抜粋」の論点「1」に書いた件。この件はその後、JILISからの情報公開請求により、何があったかが一部明らかになっている。この点は後日別途書く予定。

*9 前記のように、認定加工事業者が保有する「医療情報」について、個人情報保護法の「保有個人データ」に係る義務も課されるのだとしても、保有個人データに係る利用停止請求権は、個人情報保護法16条、17条、23条1項に違反して、取得・取扱い・提供されていることを理由に「利用の停止又は消去」を請求することができるものであって、無条件に請求できるものではないのだから、「とりまとめ」が書いていたことを実現するものではないはずだ。

*10 ここは、改めて、個人情報定義の「他の情報と容易に照合することができ」をどう解釈するかの論点を蒸し返すことになる。これについては日を改めて書くことにしたい。

*11 パブコメ意見の意見2で「個人データに該当するものとみなして、本人からの開示等の請求等への対応を含み、個人情報保護法の義務を適用する制度とするべきである」と主張したことと矛盾するが、これは、法案がどういうものになるかわからない中で、どうにか現行法にひっかけて、「個人情報でない」とかいう扱いにならないように釘を刺すために、こう言うしかなかったもの。

*12 この例外も、設ける必要があったのか疑問だ。元データは医療機関にあるのに、どういう場合を想定して必要があるとしたのだろうか。

*13 ただ、「法令に基づく場合」が例外として残ったことから、警察が提供を求めたら丸ごとデータを持っていかれることをこの法は阻止しないことになる。

*14 ここで言っている「分散させて管理」は、単にデータベースの置き場所を物理的に分散させろという意味ではない。同一の事業者（data controller）に全部を持たせるのが危ういという意味である。

本日のリンク元 TrackBack(0)

高木浩光＠自宅の日記

2017年05月13日

■ 医学系研究倫理指針における非識別加工情報の規定は無用の長物（研究倫理指針はどうなったその1）

指針の「匿名化」と法の「匿名加工情報」を巡る混乱

「非識別加工情報」の自発的作成は法違反か

2017年05月05日

■ 匿名加工情報が非識別加工情報へと無用に改名した事情（パーソナルデータ保護法制の行方その30）

目次

当初の案では「匿名加工情報」だった

用語と定義範囲が一致することの重要性

行政機関法では匿名加工情報は常に個人情報である？

匿名加工情報がそもそも照合によって個人情報に復元されるのか

内閣法制局長官の大どんでん返し

長官のちゃぶ台返し (ノ｀m´)ノ ~┻━┻ (/o＼)

国会審議での展開

改正法成立後の状況

2017年04月08日

■ 匿名加工医療情報作成事業法案ファーストインプレッション（パーソナルデータ保護法制の行方その29）

最近のタイトル

高木浩光＠自宅の日記

2017年05月13日

■ 医学系研究倫理指針における非識別加工情報の規定は無用の長物（研究倫理指針はどうなった その1）

指針の「匿名化」と法の「匿名加工情報」を巡る混乱

「非識別加工情報」の自発的作成は法違反か

2017年05月05日

■ 匿名加工情報が非識別加工情報へと無用に改名した事情（パーソナルデータ保護法制の行方 その30）

目次

当初の案では「匿名加工情報」だった

用語と定義範囲が一致することの重要性

行政機関法では匿名加工情報は常に個人情報である？

匿名加工情報がそもそも照合によって個人情報に復元されるのか

内閣法制局長官の大どんでん返し

長官のちゃぶ台返し (ノ｀m´)ノ ~┻━┻ (/o＼)

国会審議での展開

改正法成立後の状況

2017年04月08日

■ 匿名加工医療情報作成事業法案ファーストインプレッション（パーソナルデータ保護法制の行方 その29）

最近のタイトル

■ 医学系研究倫理指針における非識別加工情報の規定は無用の長物（研究倫理指針はどうなったその1）

■ 匿名加工情報が非識別加工情報へと無用に改名した事情（パーソナルデータ保護法制の行方その30）

■ 匿名加工医療情報作成事業法案ファーストインプレッション（パーソナルデータ保護法制の行方その29）