追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 3747   昨日: 3618

2017年01月08日

匿名加工情報の条文構成はどう壊れて行ったか(保護法改正はどうなった その6)

まえがき

「匿名加工情報」の規定ぶりがおかしく、苦しい法解釈で凌がざるを得なくなっていることは、2015年12月6日の日記「匿名加工情報は何でないか・前編(保護法改正はどうなった その2)」と2016年2月5日の日記「匿名加工情報は何でないか・前編の2(保護法改正はどうなった その4)」で詳しく書いた。

そこでの結論は、「やはり、国会でも出ていたように、「法律上の匿名加工情報を作るんだという意思を持って加工したものが匿名加工情報である」という解釈をとるほかないのではないか。」というものだった。

この理解がなかなか普及せず*1歯がゆいところだったが、11月末に公表された個人情報保護委員会のガイドラインで、この件は決着しており、次のように書かれている部分がそれである。

(※2)「作成するとき」は、匿名加工情報として取り扱うために、当該匿名加工情報を作成するときのことを指す。したがって、例えば、安全管理措置の一環として氏名等の一部の個人情報を削除(又は他の記述等に置き換え)した上で引き続き個人情報として取り扱う場合、あるいは統計情報を作成するために個人情報を加工する場合等については、匿名加工情報を「作成するとき」には該当しない。

個人情報保護委員会, 個人情報の保護に関する法律についてのガイドライン(匿名加工情報編), 2016年11月, p.9

(※1)ここで「匿名加工情報を作成したとき」とは、匿名加工情報として取り扱うために、個人情報を加工する作業が完了した場合のことを意味する。すなわち、あくまで個人情報の安全管理措置の一環として一部の情報を削除しあるいは分割して保存・管理する等の加工をする場合又は個人情報から統計情報を作成するために個人情報を加工する場合等を含むものではない。

また、匿名加工情報を作成するために個人情報の加工をする作業を行っている途上であるものの作成作業が完了していない場合には、加工が不十分であること等から匿名加工情報として取り扱うことが適切ではない可能性もあるため「匿名加工情報を作成したとき」とは位置付けられない。

個人情報保護委員会, 個人情報の保護に関する法律についてのガイドライン(匿名加工情報編), 2016年11月, p.19

これらの注が確かにそういう趣旨であることは、パブリックコメントで確認している。

1015 3-2 匿名加工情報の適正な加工

意見24 【匿名加工情報編 3-2 p.9 ※2、 3-4 p.19 ※1】匿名加工情報として取り扱うためでなければ、匿名加工情報に係る安全管理措置・公表・明示・識別禁止義務についても対象とならないことを明記するべき

法36条1項のガイドラインに、「※2」として、「「作成するとき」は、匿名加工情報として取り扱うために、当該匿名加工情報を作成するときのことを指す。したがって、例えば、安全管理措置の一環として氏名等の一部の個人情報を削除(又は他の記述等に置き換え)した上で引き続き個人情報として取り扱う場合、あるいは統計情報を作成するために個人情報を加工する場合等については、匿名加工情報を「作成するとき」には該当しない。」との説明がある。

これは、法2条9項の匿名加工情報の定義に形式的に該当する情報を作成した場合であっても、匿名加工情報の制度を利用する意思がない場合には、「匿名加工情報として取り扱うために」作成したことに当たらず、よって法36条1項の「匿名加工情報を作成するとき」に当たらないとの解釈が示されたものとして理解できる。

同様に、法36条3項のガイドラインにおいても、「※1」として、「ここで「匿名加工情報を作成したとき」とは」として、同じ説明があり、これも、匿名加工情報の制度を利用する意思がない場合には、「匿名加工情報として取り扱うために」作成したことに当たらず、よって法36条3項の「匿名加工情報を作成したとき」に当たらないとの解釈が示されたものとして理解できる。

しかし、この解釈は、法36条2項の安全管理措置義務、法36条4項の提供時の公表・明示義務、法36条5項の識別行為の禁止、法36条6項の公表努力義務についても同様に解されるはずのところ、ガイドラインには示されていない。

この解釈は、匿名加工情報の制度が無用な過剰規制とならないために大変重要なものであり、これらの各義務についても同様に適用されるものと理解しているが、その理解でよいか確認したい。その通りであるならば、これらについてもガイドラインで明記するべきである。

また、法37条乃至39条の義務が適用される匿名加工情報取扱事業者の該当性(法2条10項)についても同様の解釈が必要であり、形式的に2条9項の匿名加工情報に該当する情報のデータベースを取扱う場合であっても、匿名加工情報の制度を利用する意思がない場合には、「匿名加工情報データベース等を事業の用に供している」ことに当たらないとの解釈が示されるべきである。この点についてガイドラインは触れていないので、このことについても明記するべきである。
【一般財団法人 情報法制研究所 個人情報保護法タスクフォース】

御意見等に対する考え方

御理解のとおり、匿名加工情報として取り扱うために、当該匿名加工情報を作成するのではなく、例えば、安全管理措置の一環として氏名等の個人情報の一部を削除して引き続き個人情報として取り扱う場合などは、匿名加工情報の作成には当たらず、加工後の情報は匿名加工情報に該当しないことから、改正後の法第36条は適用されません。本ガイドライン(匿名加工情報編)案においては、「匿名加工情報を作成するとき」の解説として、匿名加工情報の作成に該当しないことを記載しており、一般的に現状の案で御理解いただけるものと考えます。

個人情報保護委員会, 「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)(案)」に関する意見募集結果, 2016年11月

他にも、この「意見募集結果」を「として取り扱うため」をキーに検索して該当箇所を読んでいくと、委員会が確かにそのような考え方をしている様子を見ることができる。

ちなみに、統計情報と匿名加工情報との境界線の問題について、「匿名加工情報は何でないか・前編の2」の最後で次のように書いていた点についても、前掲の委員会ガイドラインの該当部分が、「あるいは統計情報を作成するために個人情報を加工する場合等については、匿名加工情報を「作成するとき」には該当しない。」としたことは、同じことを述べているものと言えるだろう。

ところで、匿名加工情報と統計情報を区分する基準をどうするのかが先送りになっているわけだが、これは、今になってみると、決めなくても問題とならないことに気づいた。

なぜなら、そもそも、上の前半の論点から、どのみち「法律上の匿名加工情報を作るんだという意思を持って加工したものが匿名加工情報である」という解釈をとるほかないのだから、統計情報として保護法の規制が係らないようにするには、「法律上の匿名加工情報を作るんだという意思を持って加工」しなければよい(通常、普通にしていればそうなる。)と言えるからだ。

つまり、後半の論点は、実は前半の論点に吸収されてしまっているのである。

匿名加工情報は何でないか・前編の2(保護法改正はどうなった その4)(2016年2月5日の日記)

とはいえ、このような、委員会ガイドラインの「匿名加工情報として取り扱うために」云々とする法解釈は、文理的に無理があるものとする向きもあるだろう。これがもし看過されないのであれば、3年毎の見直しとして、次の改正で条文構成を直す必要があるだろう。

そこで、ここでは、前回の日記で示した情報公開請求開示資料から、この条文構成がどのような経緯をたどってだどり着いたものなのかを追うことで、この失敗の原因を探ってみる。

本編

内閣法制局の「法令案審議録」(のうち、内閣官房IT総合戦略室で作成され、個人情報保護委員会に移管された資料)によると、最初の案文となったのは、9月22日(2014年)の以下の案のようだ。

開示資料の写真 開示資料の写真 開示資料の写真
図1: 開示決定通知と開示資料の9月22日案

9月22日案では、以下のものであった。

この法律において「匿名加工データ」とは、個人データに対し、当該個人データに含まれる氏名、生年月日その他の記述等の全部又は一部を削除する等の加工を施すことにより、特定の個人を識別することができないようにし、かつ、当該個人データに含まれる個人識別情報その他〔広く一般に流通している個人データの項目〕の全部を削除したものをいう。

9月22日案

当初は「匿名加工情報」ではなく「匿名加工データ」であった*2。これは、私もその案の方が「正しい」と思う(いずれ書く)のだが、即刻、「何故個人情報レベルでなく、データになるの?」、「個人情報レベルで定義し、匿名情報???データベースとデータを定義すべきである。」と指摘が入ったようで、次の10月5日の案で「匿名加工情報」に変わっている。

この法律において「匿名加工情報」とは、生存する個人に関する情報であって、次の各号に掲げる場合の区分に応じて、当該各号に定める方法(次の各号のいずれにも該当する場合には、当該各号に定めるすべての方法)により、個人情報を加工して得られるもの(匿名加工情報に別の情報を追加するなどの加工を施した場合を含む。)をいう。

一 当該個人情報が第1項第1号に該当する場合 特定の個人を識別することができないよう、当該情報に含まれる氏名、生年月日その他の記述等の全部又は一部を削除し又は置換する

二 当該個人情報が第1項第2号に該当する場合 当該情報に含まれる個人識別符号を全部削除し又は置換する

10月5日案

10月5日の時点で既に、最終案にわりと近い構造になっている。「個人に関する情報」であることの要件もこの段階で登場している。

ちなみに、興味深いことに、10月5日案では、23条に以下の規定を加える案となっていた。

(第三者提供の制限)
第23条(略)

一〜四(略)

五 個人データ〔を加工して〕〔から〕匿名加工情報を作成し、第三者へ提供するとき。

10月5日案

つまり、匿名加工情報が個人データである場合もあることを前提に、そうであっても第三者提供ができるように、23条1項の例外に、匿名加工情報を作成し提供するときを入れようとした案が存在していたということだ。

しかし、これが次の10月30日案ではボツになったのか、23条の例外案は消滅している。

そして、10月30日案では、定義パートで、以下のように、「第三者に提供するために」が挿入された。

この法律において「匿名加工情報」とは、生存する個人に関する情報であって、第三者に提供するために次の各号に掲げる個人情報に当該各号に定める措置を講じて得られるもの(当該情報が含まれる情報であって、第1項第1号及び第2号のいずれにも該当しないものを含む。)をいう。

一 第1項第1号に該当する個人情報 同号に規定する氏名、生年月日その他の記述等の全部又は一部を削除すること(他の情報に置き換えることを含む。)により、特定の個人を識別することができないようにすること。

二 第1項第2号に該当する個人情報 個人識別符号を全部削除すること(他の情報に置き換えることを含む。)。

10月30日案

このとき「第三者に提供するために」が挿入された理由は何だったのだろうか。こうすることによって、冒頭で述べた問題(の一部*3)は解消するのだから、もしやこの問題はこの時点で既に認識されていたのであろうか。10月5日案に書き込まれたメモにはそれらしき指摘は見当たらないので、法制局からの指摘というよりも、IT室内での議論によるものであろうか。

この部分に対し、図2の1枚目の写真のように、法制局から「自分ではなっていけないのか?」(?)との指摘が入ったようだ。なお、この時点の案では、義務の部分は、図2の写真2枚目と3枚目のように、加工方法に関する義務はなく、復元の禁止と公表等があるのみだった。

開示資料の写真 開示資料の写真 開示資料の写真
図2: 開示資料の10月30日案

そして翌日の10月31日案では、次のように「第三者に提供するために」の部分が後ろに移動して、「のうち、第三者に提供するために第41条の規定による公表をしたもの……」という限定が付くように変更された。41条は公表義務である。

この法律において「匿名加工情報」とは、生存する個人に関する情報であって、 次の各号に掲げる個人情報に当該各号に定める措置を講じて得られるもののうち、第三者に提供するために第41条の規定による公表をしたもの及び当該情報が含まれる情報であって、第1項第1号及び第2号のいずれにも該当しないものをいう。

一 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(他の記述等(個人識別符号を除く。次号において同じ。)に置き換えることを含む。)により、特定の個人を識別することができないようにすること。

二 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(他の記述等に置き換えることを含む。)。

10月31日案

10月30日案との違いは、「第三者に提供するために」という主観的要件を嫌ってか、「第三者に提供するために41条の規定による公表をした」と、公表行為という客観的要件にしたということであろうか。そういえば、国会審議でも、「どこで匿名加工情報になるのかは、公表されたときだ」という答弁があった(「匿名加工情報は何でないか・前編」参照)わけで、それはこの案を経ていたからこそだったのか。

これが11月5日の案では次のように微修正された。

この法律において「匿名加工情報」とは、生存する個人に関する情報であって、次の各号に掲げる個人情報に当該各号に定める措置を講じるとともに、第三者に提供するために第41条第1項の規定による公表をしたもの及び当該情報が含まれる情報のうち、第1項第1号及び第2号のいずれにも該当しないものをいう。

一 (略)

二 (略)

11月5日案

この変更での違いは何だろうか。10月31日案では、「次の……措置を講じて得られるもの」は客体の該当要件で、意図によらず広く該当してしまうところ、「公表をしたもの」という行為の要件で限定していたのに対し、11月5日案では、「講じる」ことと「公表する」ことが一体的となり、「41条1項の規定による公表」を前提とした「講じる」ことであるようなニュアンスが出ているだろうか。これは、最終的に委員会ガイドラインが「匿名加工情報として取り扱うために作成した」と限定したことの狙いに近いようにも思える。

そして、これに続く次の案が出てくるのは、12月19日で、パーソナルデータ検討会の最終回が開かれ「骨子(案)」が示された日だ。このときの案では、次のようになっている。

この法律において「匿名加工情報」とは、個人情報を用いて第31条の3第1項の規定により作成された情報(生存する個人に関するものに限る。)及び当該情報が含まれる情報(第1項第1号及び第2号のいずれにも該当しないものに限る。)をいう。

(加工の方法)
第31条の3 匿名加工情報取扱事業者は、第三者に提供するために匿名加工情報を作成するときは、個人情報保護委員会規則で定める加工の方法及びその情報の保護についての基準に従い、当該匿名加工情報を作成するために用いる個人情報について、特定の個人を識別することができないようにするために次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないようにするとともに、当該個人情報を復元することができないようにするために必要な加工をしなければならない。

一 第2条第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(他の記述等に置き換えることを含む。)。

二 第2条第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(他の記述等に置き換えることを含む。)。

12月19日案

大幅に変更されている。加工の方法は、定義パートから義務パート(31条の3)に移動し、義務パートに加工方法に関する義務が追加された。

この案では、「31条の3の規定により作成された情報」のみが定義パートの「匿名加工情報」に該当するように書かれているので、冒頭で述べた問題が避けられている。また、31条の3で、「第三者に提供するために匿名加工情報を作成するときは」となっているので、義務がかかる場合が目的によって限定されている。「骨子(案)」はまさにこれをベースに書かれていたわけで、それゆえ違和感を覚えなかったわけだ。

この変更の間に、11月13日の「部長審査第二回」とあるメモで、以下の指摘が法制局からあったことが記されている。

2(1) 匿名加工情報について

匿名加工情報については、定義に作用が書かれるのはわかりにくいので、単に個人情報から特定の個人を識別することのできる記述等を削除したものとすべき。一方、匿名加工の措置は個人情報と区別するために重要なものなので(※)、実体規定の中で厳格に書くべき。法律ではすべて書けないので、匿名加工情報を作る者は、指針に従い、次に定める措置をとらなければならないなどとする。また、匿名加工情報の取り扱いについても、指針に従い行わせたらよいのではないか。

開示資料「個人情報保護法骨子案(部長審査第二回 H26.11.13)」

この指摘に従って、加工方法の基準を委員会規則で定めることとし、その基準に従うことを義務としたようだ。

この日の部長審査では、定義は「単に……記述等を削除したものとすべき」と指摘されたようだが、12月19日の案では、そうではなく、前記の通り、「31条の3の規定により作成された情報」のみが定義に該当するように書かれているわけで、そこがどのような経緯なのか気になるところ、手がかりはまだみつけていない。

なお、「識別することができないように」に加えて「復元することができないように」が入ったのも、このときのようだ。12月1日の「長官指摘」とするメモに次のことが記されている。

○匿名加工情報(2)

復元禁止の規制で対応しようというのは無理がある。個人情報に戻りかねないものが容易に流通することになるのは危険すぎる。加工者が第三者に提供する時点で、復元ができないように、個人識別情報にたどり着けないように、加工しなければならないことにするべきである。(容易照合もできないような形で提供するべきである)

その上で、加工者と二次的な利用者は分けて規制を設けるべきである。

追加指摘(12月2日)
匿名加工情報の加工には、単純に削除や置換をする以外にも、精度を下げる(例えば住所のうち、番地は言わないなど)という方法も考えられ、それは情報の内容や使い道によって異なってくるのだから、法律上、加工の基準や方法について頭出しした上で、少なくとも規制レベルでそれを定める必要がある。事業者任せではだめである。

開示資料「個人情報保護法 長官指摘(12月1日)」

この指摘内容自体、別の論点で興味深いところだが、それは置いておくとして、この長官指摘によって、「識別できないように」と「復元できないように」が重ねて規定されるようになったのだろうか。しかし、その意味の違いについては明らかでない。

そして、この案が、1月8日の案で、次のように変更された。

この法律において「匿名加工情報」とは、個人に関する情報であって、第31条の3第1項の基準に従い個人情報を加工して得られるものをいう。

(匿名加工の方法)
第31条の3 匿名加工情報取扱事業者は、 匿名加工情報を作成するときは、個人情報保護委員会規則で定める加工の方法及びその情報の保護についての基準に従い、当該匿名加工情報の作成に用いる個人情報について、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないようにすることその他当該個人情報を復元することができないようにするために必要な加工をしなければならない。

一 (略)

二 (略)

1月8日案

ここで後退してしまっている。12月19日案では、「第31条の3第1項の規定により作成された情報」だったからこそ、定義が意図によらず該当してしまう問題を回避できていたのに、「第31条の3第1項の基準に従い」に変更されたことで、基準が一致していれば客体が該当してしまう問題*4が残ってしまう。加えて、31条の3から、「第三者に提供するために」が削除されてしまっており、意図による限定は消滅してしまった。

なぜこう修正されたのか、「……の規定により作成された情報」という言い方自体が法制局から許されなかったのだろうか。31条の3はあくまでも基準が示されているだけだという指摘があったのかもしれない。この修正は、12月19日案への手書きメモに書き加えられているが、理由は書かれていない。

そして、「第三者に提供するために」が削除されたのも、12月19日案への手書きメモで消されているのを確認できる。理由は書かれていない。

開示資料の写真 開示資料の写真 開示資料の写真
図3: 開示資料の12月19日案

そうすると、違和感のなかった「骨子(案)」どおりの案は、その日のうちに早々と消えていたというわけか。

これの次の案は、1月13日案、1月15日案、1月16日案であるが、いずれも大きな変更はないが、ここで、次の指摘が入っている。

開示資料の写真 開示資料の写真 開示資料の写真
図4: 開示資料の1月16日案

「定義とトートロジーでは?」、「匿名加工情報がでてくるのはいいのか?」とのコメントが手書きされている。

この点について、「個情法部長一読指摘事項その2(H27.l.19)」と題するメモ文書に、以下の記載があった。

31条の3

定義規定とトートロジーになっている気がする。ここで匿名加工情報を用いられないのではないか。(用例?)定義を変えるか?個人情報を復元できないように加工した情報?

開示資料「個情法部長一読指摘事項その2(H27.l.19)」, p.3

確かに、定義パートで「匿名加工情報とは……31条の3の基準に従い……得られるもの」としているのに、その31条の3が「匿名加工情報を作成するときは」としているのでは、循環参照になってしまっているように見えなくもない。

ただ、定義パートが参照しているのは「基準」であり、31条の3に書かれている基準は、「匿名加工情報を作成するとき」にだけ存在するものではないのだから、循環参照にはなっていないようにも思えるのだが……。

なるほど、こうしてみると、12月19日案では確かに循環参照だった。「匿名加工情報とは…31条の3の規定により作成された情報」としながら、31条の3で「匿名加工情報を作成するときは」というのでは、どちらも定まらないことになってしまう(法文解釈論上)のであろうか。

この1月16日案は直さなくてもよかったようにも思えるが、トートロジーだとの指摘で、大幅に変更され、1月26日案で、以下のようになった。

この法律において「匿名加工情報」とは、個人情報を加工して得られる個人に関する情報であって、次の各号に掲げる当該個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないようにし、かつ、当該個人情報を復元することができないようにしたものをいう。

一 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(他の記述等に置き換えることを含む。)。

二 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(他の記述等に置き換えることを含む。)。

(匿名加工情報の作成等)
第37条 匿名加工情報取扱事業者は、匿名加工情報を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会で定める基準に従い、当該個人情報を加工しなければならない。

1月26日案

この後も何度も修正されているが、この時点で、冒頭の論点の観点からは、概ね、現在成立している改正法の条文と同じ構成に辿り着いている。

この結果、定義パートの客体該当性要件に該当する情報の全てが「匿名加工情報」に該当してしまい、その全てに義務パートの義務がかかるように読めてしまう条文となってしまった。

こうして振り返ってみると、初期の案で既にその問題を抱えていたところ、なんとかそれを回避しようとした形跡が見られるものの、それが、その時々の法制局の局所的な指摘(視野の狭い指摘)によって台無しにされていき、最初に戻ってしまったように見受けられる。問題を回避する必要性が法制局に伝わっていなかったのだろうか。

なお、どうすればよかったのかについては、2015年12月6日の日記で「匿名加工情報に関する規定の不備を解消する条文修正試案(2015年4月3日作成の文書)」を示した。今回の開示資料を踏まえて改めて検討してみるに、これならばトートロジーにもなっておらず、問題は解決できていたのではないかと思う。

変更履歴(1月13日)

  • 図4の写真を差替え
  • 図4直後の段落の次に1段落と開示資料の引用部を追加
  • 誤字を修正
  • 最後の段落の表現ぶりを変更 (最後から2つ目の段落に)
  • 最後の段落を追加

*1 例として、11月29日の日記の脚注10

*2 このことは、1年前に情報公開請求したとき(2016年1月31日の日記の冒頭参照)の開示文書でも明らかになっていたが、今回の開示ではそこに含まれていなかった文書が大量に開示されている。

*3 この案でも、委託先に仮名化データを提供する場合が該当してしまう問題は解決しない。

*4 2016年2月5日の日記「匿名加工情報は何でないか・前編の2(保護法改正はどうなった その4)」で触れた、森亮二弁護士の法律時報での論文における、「委員会規則で定めた基準によって作成したもののみが匿名加工情報となる」とする解釈の提案がこれに該当する。

本日のリンク元 TrackBack(0)

2017年01月04日

速報 対象を個人データに限る案は初期段階で存在していた(パーソナルデータ温故知新 その5)

このところ(11月から)一般財団法人情報法制研究所(JILIS)の調査予算で、個人情報保護法関連法の立法過程を明らかにすべく、情報公開請求を試みている。第1弾として、内閣法制局の「法令案審議録」を請求したところ、その一部は元の文書を作成した省庁に移送され、その開示決定通知書と開示文書の写しが続々と到着している。

資料の写真 資料の写真 資料の写真 資料の写真
図1 続々と到着した開示資料を整理しているところ

年末までに、作成日付ごとに区分けして整理する作業のついでにざっと目を通したところ、これはそうとう有益な情報が満載のようだということがわかり、お宝の山にホクホクといったところである。

そんな中で、早速、最も大きな発見となりそうな資料が見つかったので、速報として、以下の点について少しだけ書いておきたい。

まず、背景として、8月23日の日記「「法とコンピュータ」No.34に34頁に及ぶ論考を書いた」で示した論文で、私は、「制定時の立法の過誤」として「なぜ「個人データ」としなかったのか」を問うており、平成15年の個人情報保護法でも(昭和63年法と同様に)本来の趣旨では(15条から18条の取得段階の義務でも)「個人データ」を対象とするものではなかったのかという疑問を投げかけていたのだが、それを裏付ける資料が乏しいという課題があった。

それに対して以下の資料である。

資料の写真 資料の写真
図2 最初に内閣法制局に持ち込まれたときの案文の束

これは、平成15年法の旧法案(2002年の臨時国会で廃案)の原案として、2000年10月の「個人情報保護基本法制に関する大綱」を受けて、同年12月に当時の内閣官房個人情報保護担当室が作成して、最初に内閣法制局に持ち込んだときの案文の束である。

図2の2枚目の写真に、「別案」が以下のように書かれている。

(利用目的の特定)
第9条 個人情報取扱事業者は、個人情報を利用するに当たっては、その利用目的(以下「利用目的」という。)をできる限り特定しなければならない。

(別案)個人情報取扱事業者は、個人情報データベース等を作成し、取得し、又は維持管理するに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

図2の開示資料より

ここは、現行法の15条に当たる*1部分で、最終案では「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。」となった部分である。

ここを「個人情報データベース等を作成し、取得し、又は維持管理するに当たっては」とする別案が存在していたのだ。

これはちょうど、2月20日の日記「入力帳票は個人データでない? ヤマト函館朝市営業所伝票横流し事件(パーソナルデータ温故知新 その1)」で書いていた、「以下の条文とすることができるのではなかろうか。」として示していた、以下の次期改正試案の案文と同趣旨のものと言えよう。

(利用目的の特定)
第15条 個人情報取扱事業者は、個人情報(個人情報データベース等を構成するものに限る。)を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

入力帳票は個人データでない? ヤマト函館朝市営業所伝票横流し事件(パーソナルデータ温故知新 その1), 2016年2月20日の日記

もっとも、図2の資料を見ると、この「別案」には「×」印が手書きで書かれており、次の日の案文で削除されているので、採用はされなかったということになる。

手書きの文字は、個人情報保護担当室が法制局の指摘を受けて指摘内容をメモしたものとみられ、「12/6の指摘を踏まえて修正したもの(第9条〜第15条)」とあり、「(別案)」のところには以下の記述が読み取れる。

データベースにしないつもりで開始した収集が読めない

図2の開示資料より

これが理由でボツになったと思われるが、逆に、12月4日の案文では「個人情報を利用しようとするときは」となっていて、そこに手書きメモが多々書き込まれていることから、この別案を新たに出すに至る何らかの指摘が法制局からあったはずだ。

その指摘こそが、対象を「個人データ」に限らなくて本当によかったのかの謎を解く鍵となるはずである。

詳細は休み明けに分析し、論文やここで示していこうと思う。

*1 当初の案では、現行法で言う2章(国及び地方公共団体の責務等)、3章(個人情報の保護に関する施策等 )が、「個人情報取扱事業者の義務等」より後に置かれていたため、条番号が大きくずれている。

本日のリンク元 TrackBack(0)

2016年12月30日

宇賀克也「個人情報保護法の逐条解説」第5版を読む・前編(保護法改正はどうなった その5)

宇賀先生の大著「個人情報保護法の逐条解説」(有斐閣)の第5版が11月に出版され、その中で拙稿(ビジネス法務16巻11号の特集「改正 個人情報保護法への最新対応」中の「改正はデータ利活用を促進するか――匿名加工情報の制度概要と匿名加工基準の規則案」)についても参照して頂いている*1と聞き、早速読ませて頂いた。すると、参照して頂いた部分とは別に、いくつか重要な第4版からの変更点が見つかった。また、法改正に伴って加筆された匿名加工情報関係のところにも、重要な論点となる部分があったので、これらについて私の考えをここに書いておく*2ことにする。

識別と特定が区分された

2条1項の「当該情報に含まれる氏名、生年月日その他の記述等……により特定の個人を識別することができるもの」の解説部分(38頁)に、なんと、以下のように加筆された。

個人を識別できるとは、誰か1人の情報であることが分かることを意味し特定の個人を識別できるとは、識別される個人が誰か分かることを意味する。特定を要件としているのは、名寄せが容易であり、個人との結びつきが明確であるため、その取扱いによっては本人の権利利益を侵害するおそれがあるからである。特定個人識別性の判断主体は事業者であるが、一般人の判断力・理解力により、当該情報を特定の個人に結びつけることが可能か否かが判断基準となる。個人識別情報を広く対象としており、要配慮個人情報(2条3項)のみを対象とするものではない。特定個人識別性のない情報であっても、知的所有権に係る情報のように、(略、以下変更なし)

宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 38頁

この部分は、これまでの第4版では以下のように書かれていた。

個人識別情報を広く対象としており、センシティブ情報のみを対象とするものではない。「氏名、生年月日その他の記述等」の「その他の記述等」とは、電話番号、会員番号等の番号も含まれる。また、映像、声、指紋、筆跡等により、本人を識別しうる場合も、「その他の記述等」に含まれる。個人識別性のない情報であっても、知的所有権に係る情報のように、(略、以下変更なし)

宇賀克也, 個人情報保護法の逐条解説《第4版》, 有斐閣, 28頁

このように、第4版までは「個人識別性」の語で書かれていたところが、第5版では「特定個人識別性」に書き換えられている。そして「識別非特定情報」の語も、後ろのページで以下のように使われている。

特定の匿名加工情報を容易に検索することができることが要件になっているので、識別性は存在するが、匿名加工情報であるので特定性はないいことになり、識別非特定情報を事業の用に供する者になる。

宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 38頁

これにはやや驚いた。「特定」と「識別」の区別は、正式な政府見解には至っていないと理解している。国会でもこの概念を用いた答弁はなかったと記憶している。宇賀先生は、パーソナルデータ検討会技術検討WG報告書(2013年12月)が示した概念を採用されたようだ。

実は、私は、政府はこのような見解を公式にとるべきではないと考えている。私自身も、2013年4月の総務省のパブコメで、「特定個人識別性と不特定個人識別性を区別した上で両方を論点とするべき」とする意見*3を提出していたわけで*4、その通りになったとも言えるわけだが、3年半前に私がこのように主張したのは、世間では、個人情報保護法の「個人情報」該当性が、このような意味での「特定個人識別性」に限定されていて、「不特定個人識別性」(識別非特定情報)まで含めて捉えられてはいないという現実に直面していたからだった。一方、昭和63年法(行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律)のときの「個人情報」定義には、「特定の」の語は付されておらず、また、「個人別に付された番号、記号その他の符号により当該個人を識別できるもの」との条文もあったことから、もしかすると、最初の立法時点では、このような意味での「特定個人識別性」に限定されてはいなかったのではないか(民間部門で言う会員番号等に相当する符号も当初から含めていたのではないか)という考えもあった。

仮に昭和63年法からそうだったのだとしても、現に多くの人々がそうは考えていない状況では、これらをまず区別しなければ議論が深まらないわけで、だからこのような区別をしてきたのであり、技術検討WG報告書がこれを記した趣旨も、議論のための概念整理であって、現行法の解釈がそうだと指摘したものではなかったはずだ。だから、正式な政府見解には採用されていないし、国会答弁にも出てきていない。

法案が国会に提出される直前、個人識別符号の定義条文に、政府案にはなかった「特定」の文言が(新経済連盟の意向を汲んだ)与党提言によって挿入されたが、「特定」の文言の有無によって何が異なるのかの見解は明らかにされておらず、個人情報の範囲はこれまでと同じだという見解しか示されていない。つまり、「特定」の文言があろうがなかろうが、従前も政府解釈は「識別非特定情報」の一部を個人情報としてきた(昭和63年法の言う「個人別に付された番号、記号その他の符号により当該個人を識別できるもの」がこれに該当)という余地が残されているとも言える。

それを、こうのようにして、あたかも現行法の解釈として「特定」と「識別」が区別されていて、「特定個人識別性」のあるもののみが保護対象である*5かのように解説するのは、政府解釈と異なる可能性のある理解が広まってしまい、次の改正でEU法との整合性を図ることへの障害として作用する恐れがあると批判しておきたい。

いわゆる「提供元基準」が明記された

続いて、「(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」の解説部分(39頁)に、以下の強調部が加筆された。

ある情報を他の情報と組み合わせることによって、不開示規定により守られるべき不開示情報が認識されるかを判断することをアメリカではモザイク・アプローチ(宇賀・情報公開209頁参照)、イギリスではジグソー・アプローチという。それで自体で特定の個人を識別できる場合のみならず、当該個人情報取扱事業者の内部において、他の情報と容易に照合することにより特定の個人を識別できる場合には、個人情報として保護することにより、個人の権利利益の侵害を未然に防止することとしている。

宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 39頁

この強調部は、第4版にはなかった記述である。平成15年法の立案担当者らによる逐条解説書にもこれに相当する記述はなかった。「当該個人情報取扱事業者の内部において、他の情報と容易に照合」と書かれたことから、いわゆる「提供元基準」が明確に言及されたことになる。

これは、昨年の法改正での国会審議で「提供元基準」が確認的に示されたところ*6であるが、それだけでなく、11月23日の日記「容易照合性が提供元基準でファイル単位なのは昭和61年からだった(パーソナルデータ温故知新 その4)」に書いたように、昭和63年法の原案を提案した行政管理局研究会のとりまとめで、「当該情報のみでは特定個人を識別できないが、当該機関が保有する他のファイル又は台帳等と照合することにより識別できるものは含む」と書かれていたことと付合するので、これでよいのだと思う。

ここで、「当該個人情報取扱事業者の内部において」照合できる場合を対象とすることが、なぜ、「個人の権利利益の侵害を未然に防止する」ことになるのかが重要であるところ、その説明はない。これについての私の考えは、「容易照合性が提供元基準でファイル単位なのは昭和61年からだった」の続きとしていずれ書く予定である。

ところで、ここの解説に、「不開示規定により守られるべき不開示情報が認識されるかを判断すること」云々が持ち出されている(これは第4版でも同じだった)ことについては、批判しなければならない。これは、情報公開法における「個人に関する情報であって……」(情報公開法5条1号)の概念について触れたものであろう。情報公開法の5条1号と個人情報保護法の個人情報は、条文こそよく似ているが、その趣旨は全く異なるものであった可能性がある(実際、「容易に」の有無の違いとして条文に現れている)にもかかわらず、その点を疑わずに同一視しているのは、容易照合性の解釈を本来趣旨から乖離させる原因となっている(どのように乖離しているかは上記の「続き」で書く予定)と私は考えるので、このような解説方法には問題があると指摘したい。

Q14問題が前進

「Q14問題」とは、「パーソナルデータ保護法制の行方 その9」で書く予定だった(が未だ書いていない)もので、2月24日の日記「防衛庁情報公開請求者リスト事件は10年先行くSuica事案だった(パーソナルデータ温故知新 その2)」の「Q14問題の元凶がここに」で若干触れていた件である。

すなわち、2013年のSuica乗降履歴提供事案において、JR東日本が「個人データの提供に当たらない」とした理由の一つに、「自社内で別々のデータベースで管理しているから容易照合性がない」*7としたのに対し、少なくとも鈴木正朝先生を含む我々の見解は、一つの事業者内でそれらのデータベースが存在する以上は容易照合性があると解釈すべきというものであった。

「別々のデータベースで管理しているならば容易照合性がない」とする立場のことを「アクセス制御説」と我々は呼んでいるが、そのような解釈に立つと、個人データ保護の趣旨からして制度が根底から瓦解すると我々は考えているところ、その理由を一言で説明するのは容易でなく(「その9」を未だ書けていない)、そういう中で、宇賀本第4版に以下の記述があったことは、アクセス制御説をとる人たちにとって格好の根拠となっていて、我々にとっては障害となっていた。

本項における「容易に」のの要件をいかに解するかは解釈に委ねられることになるが、他の事業者に通常の業務では行っていない特別な照会をし、当該他の事業者において、相当な調査をして初めて回答が可能になるような場合、内部組織間でもシステムの差異のため技術的に照合が困難な場合、照合のため特別のソフトを購入してインストールする必要がある場合には、「容易に」の要件を満たさないであろう。

宇賀克也, 個人情報保護法の逐条解説《第4版》, 有斐閣, 29頁

これが、今回の第5版で、上記の強調部が削られ、以下のように変更された。

本項における「容易に」の要件をいかに解するかは解釈に委ねられることになるが、他の事業者に通常の業務では行っていない特別な照会をし、当該他の事業者において、相当な調査をして初めて回答が可能になるような場合や、照合のため特別のソフトを購入してインストールする必要がある場合には、「容易に」の要件を満たさないであろう。

宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 40頁

これにより、宇賀説は「アクセス制御説」を否定したものと考えられる。

ただ、それでもなお、「照合のため特別のソフトを購入してインストールする必要がある場合」が残っている*8点には、賛同できない。

もっともこのフレーズは、平成15年法の立案担当者らによる逐条解説書にもあった。

「他の情報と容易に照合することができ」とは、それ自体では個人識別性がない情報について、特別の調査を行なったり、特別のソフトを組み込むといった特別の費用や手間をかけることなく、すなわち、事業者において通常の業務における一般的な方法で、個人を識別する他の情報との照合が可能な状態である。これに該当しない場合としては、例えば、日常的に行われていない他の事業者への特別な紹介を要する場合、内部でもシステムが異なる等の事情により技術的に照合が困難な場合が考えられる(事業者または内部組織の間で組織的・経常的に相互に情報交換が行われれている場合等は、「容易に照合することができ」る場合に当たると考えられる。)。

園部逸夫編 個人情報保護法制研究会著, 個人情報保護法の解説《改訂版》, ぎょうせい, 2005年, 49頁

この逐条解説書は政府見解を探る上で大半は信頼に足るものであるが、唯一受け入れがたい、勇み足ではないかと疑われる記述が、この部分だった。宇賀説はこれの一部を否定したことになる。

なお、先月公表された、個人情報後委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」では、ここの解釈について、次のように説明している。

「他の情報と容易に照合することができ」るとは、事業者の実態に即して個々の事例ごとに判断されるべきであるが、通常の業務における一般的な方法で、他の情報と容易に照合することができる状態をいい、例えば、他の事業者への照会を要する場合等であって照合が困難な状態は、一般に、容易に照合することができない状態であると解される。

個人情報後委員会, 個人情報の保護に関する法律についてのガイドライン(通則編)

このようにガイドラインは、逐条解説書の解説を採用しておらず、「事業者の実態に即して個々の事例ごとに判断されるべきであるが」と一般論でお茶を濁している。これは、委員会においてもどのような解釈をとるべきか決めあぐねていて、解釈の確定を先送りしているものと私は理解している。

ここの解釈は、前記のように、提供元基準の趣旨(なぜその場合を対象とすることが本人の権利利益保護となるのかの理由)に立ち戻って整理する必要があると私は考えている。今後、誰もが納得できるような整理を示していきたい。

(中編・後編に続く)

*1 235頁で「このように、個人情報保護委員会規則では、いずれの事業者にも適用される一般的な必要最小限の加工方法を示すにとどめており(これについて、高木浩光……17頁以下参照)、具体的な加工方法は……」との文脈で参照頂いている。ただ、拙稿では「いずれの事業者にも適用される一般的な必要最小限の加工方法を示すにとどめている」と書いた記憶がない。それは個人情報保護委員会(と法改正をした内閣官房IT総合戦略室)がかねてより示していた見解であり、私がビジネス法務誌で書いたことは、匿名加工基準の委員会規則である施行規則19条をどう読むのかについてであった。おそらく、宇賀先生が参照してくださった趣旨は、施行規則19条をどう読むかについて参照せよということなのだと思う。

*2 いずれは論文や解説記事で書いていきたいが、取り急ぎ。

*3 この意見は、総務省情報流通行政局情報セキュリティ対策室による「パーソナルデータの利用・流通に関する研究会」報告書の公表とともに、「「パーソナルデータの利用・流通に関する研究会」論点整理に対する意見募集で寄せられたご意見について」として公表されており、以下の内容が掲載されている。この仮の用語の「不特定個人識別性」は当時評判がすこぶる悪く(不特定では意味がわからないと何人もの識者に言われた。)、後の技術検討WGでは「識別非特定」の語が編み出された。

平成25年4月17日
産業技術総合研究所 セキュアシステム研究部門 セキュアサービス研究グループ

意見1 特定個人識別性と不特定個人識別性を区別した上で両方を論点とするべき

「論点整理」に書かれている「個人識別性」の言葉は意味が曖昧であり、二つの解釈があり得る。すなわち、個人情報保護法の「個人情報」定義が要件としている「特定の個人が識別される」場合(氏名住所等によりそれが実際に誰であるかまでが識別される場合、言い換えれば、個人が特定される場合)(以下、特定個人識別性という。)と、特定の個人は識別されない(個人は特定されない)が個人の識別は行われる(一人一人が区別・同定される)場合(以下、不特定個人識別性という。)である。後者の形態による個人に関する情報の収集・蓄積は、今日、一部の事業者により行われており、そこでは何らかの識別子を用いていわば仮名の状態で個人に関する情報が蓄積されている。

「論点整理」は、両者を明確に区別することなく「個人識別性」と表現しているため、後者を含む意味で書かれているのかが明らかでない。例えばp.2には「パーソナルデータの利活用が、プライバシー等の観点から問題となり得るのは、特定の個人と結びつきが強い場合である」との記述があるが、「特定の個人」とあることから、これは前者のみを指していて、後者を含めていないように読める。しかし、以下に示す意見2の通り、後者をも論点とするべきと考える。

したがって、まずは特定個人識別性と不特定個人識別性を区別した上で、両方についてを論点とするべきである。

*4 さらに遡ると、2010年の堀部政男情報法研究会の第3回シンポジウムで「インターネットにおけるID利用の現状とプライバシーの課題」と題して登壇させていただいたときに、「特定と識別」というスライド(5頁)を用いて、「識別して個人を特定する」と「識別するが個人を特定しない」とを対比させていた。

*5 ちなみに、「特定を要件としているのは、名寄せが容易であり、個人との結びつきが明確であるため、その取扱いによっては本人の権利利益を侵害するおそれがあるからである。」と書かれている文は、平成15年法の立案担当者らによる逐条解説書の以下の記述からの借用と思われる。

「個人に関する情報」のうち、特定の個人を識別できる情報は、コンピューター処理によって「名寄せ」が容易であることに加えて、当該情報と本人との結びつきが明確であることから、その取扱いによって本人に権利利益の侵害がもたらされる可能性がある。

園部逸夫編 個人情報保護法制研究会著, 個人情報保護法の解説《改訂版》, ぎょうせい, 2005年, 49頁

*6 国会で「提供元基準」に言及された部分として以下がある。

○政府参考人(向井治紀君) お答えいたします。

日本の個人情報の定義は、容易に照合できる、他のデータと合わせて個人が識別できるものというふうになっているところでございます。

その際に、情報を移転する際に、容易に照合するのは情報の移転元か移転先かという議論がございます。日本の場合、これは情報の移転元で容易照合性があるということで解釈が統一されておりまして、そういたしますと、一旦個人情報となりますと、その情報の一部を提供する場合でも、これは大抵の場合、提供元において容易照合性はありますので、個人情報になってしまうという、そういうことはございます。

第189回国会参議院内閣委員会第10号, 平成27年5月28日

*7 2013年7月25日付でJR東日本が発表した資料「Suicaに関するデータの社外への提供について」において、最終ページで、「情報ビジネスセンターでは、個人を特定できないデータを利用しています」、「情報ビジネスセンターと業務セクションとは厳格に分離※しています。※組織、作業環境、スタッフ(アクセス権限)、システム」として、2つのデータベース間にファイアウォールを置いている図を示していた。(2016年2月24日の日記脚注6再掲)

*8 ちなみに、今回の削除によって、この「照合のため特別のソフトを購入してインストールする」主体が誰なのかが、第4版と第5版とで違ってしまっているが、よいのだろうか。第4版では、「内部組織間でも」に続く文として読解され、インストールするのは当該事業者であったのが、第5版では、「他の事業者において」に続く文として読解され、インストールするのは他の事業者となってしまっている。

本日のリンク元 TrackBack(0)

追記

最近のタイトル

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|
追記