追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 216   昨日: 3209

2016年08月23日

「法とコンピュータ」No.34に34頁に及ぶ論考を書いた

法とコンピュータ学会の学会誌「法とコンピュータ」の最新号(No.34 July 2016)に論考を書いた*1 。この学会では例年、11月ごろに開かれる研究会での依頼講演とパネル討論を各登壇者が後に文章にしたものが、翌年に学会誌として発刊されている*2。今回書いた論考も、30分の依頼講演で話したストーリーに沿って文章化した。

  • 高木浩光, “IoTに対応した個人データ保護制度のあり方”, 法とコンピュータ, No.34, pp.47-81(2016年7月)
    表紙の写真 論文1頁目の写真

頁数に制限なしとのことだったので、講演スライドに沿って文章化していったところ、34頁もの長編になってしまった。前半の8頁は一般向けの導入部なので、これまで私の話を耳にしたことのある方には冗長に思われるかもしれない。9頁目からの「3.個人情報保護法の改正」と、14頁目からの「4.定義の拡張ができなかったのはなぜか」が今回の本題となっている。内容は見出しレベルでは以下の通り。

1. IoTと個人データ保護の関わり
2. 日本における制度的取り組みと技術的動向の推移
2.1 経済産業省のRFIDプライバシーガイドライン
2.2 総務省のモバイルコンテンツビジネス環境整備研究会
2.3 総務省の利用者視点ICTサービス諸問題研究会第二次提言
2.4 ガラケーからスマートフォンへ
2.5 総務省の「スマートフォン・プライバシー・イニシアティブ」
2.6 無断で人を識別する技術の進展
3. 個人情報保護法の改正
3.1 個人識別符号の導入
3.2 米国の連邦法草案との類似性
3.3 国会での審議
4. 定義の拡張ができなかったのはなぜか
4.1 目的を見失っている日本の個人情報保護
4.2 識別子のみで個人情報となることの不合理
4.3 散在情報の個人識別符号は保護対象か
4.4 制定時の立法の過誤
4.4.1 自動処理とファイリングシステム
4.4.2 旧法案が廃案となった経緯
4.4.3 なぜ「個人データ」としなかったのか
4.4.4 反対解釈がもたらした混乱
4.4.5 小括
4.5 誤解に基づいた規制緩和論
5. 次の改正に向けての提案

今回文章にするに当たり、腰を据えて外国文献を読んだことで、だいぶ分析が進んだ。原稿を書き終えた後も、その勢いが続き、特に、EU加盟各国のデータ保護法の違いを分析した報告書を読んで、EUの一般データ保護規則の理解が進んだこと、また、その過程で見つけたノルウェー法とスウェーデン法の改正経緯が、特に重要であることを知ったことが大きい。

ノルウェー法については前回の日記に書いた。スウェーデン法は、今回の論考が主張している「散在情報を対象から外す」という方向性が、EU法との比較において、十分性認定を受けられるようなものと言えるかとの論点について、展望を開くものであった。今回の論考でそこまで少しなりとも言及したかったところが惜しまれるが、スウェーデン法との比較については近々、別のところで発表していきたいと考えている。

その他、この論考では、例えば、昭和63年法の「処理情報」概念がどのようなものかについて詳しく書いていない。全体として、必要な考え方の方向性とその妥当性を伝えるために書いたものであるため、個々の概念の詳細については詳しく書いていない。その辺りも、別稿で出していきたいと思っている。まだ文章化していない考えが頭のなかにどっさりある。なんとか全てを吐き出して行かねばならない。

*1 恥ずかしながら、今回の原稿に誤字等のミスがあったので、以下の通り訂正したい。

  • 69頁、右段、第3段落の冒頭「昭和63年法の逐条解説(28)にも似た文章があり……」のところ、「5条1項「処理情報」定義の解説部分で」とあるのは、「5条(個人情報の安全確保等)の1項の規定の解説部分で」に訂正。
  • 71頁、左段、第2段落の下から5行目、「国会が提出され」とあるのは、「国会に提出され」の誤入力。

*2 これより2年前にも、パネル討論に登壇したので投稿を打診されていたが、その時点では論文と言えるほどの論考が固まっておらず、原稿を書き上げることができなかった。それから2年半が経ち、ついに書けるところまで考えが固まってきた。(実は、15年前にも、脆弱性のテーマで登壇させて頂いたことがあり、投稿を打診頂いたものの、法律分野は全くの素人で、恥ずかしながらどういう書き方をしていいのかもわからず、そのときも原稿を提出できず、編集担当の方々にご迷惑をおかけして申し訳なく、トラウマとなっていた。)

本日のリンク元 TrackBack(0)

2016年07月23日

ノルウェー法の「de-identified personal data」と「anonymous data」そして「pseudonymous data」並びに「indirectly identifiable data」を調べた(パーソナルデータ保護法制の行方 その25)

まえがき

いろいろと一区切りついたのでこのところ腰を据えて外国法を調べていた。以前は、どこから調べればよいのか、調べてもはたして理解できるのか不安で、調べるのに億劫だったが、自説の補強のために使えそうという様子が見えてきたので調べていたところ、芋づる式にいろいろなことがわかった。

気になっていたのは、法律時報2016年1月号の小特集「第15回行政法研究フォーラム 個人情報の保護と利用 変革と課題」に掲載の藤原静雄先生の記事「公的部門の個人情報保護法制の見直しー前提及び自治体条例の対応を含めー」の中で、「匿名加工情報という考え方に比較的近い発想に、スイスの個人情報保護法の間接個人情報という概念があり、これは医療情報の利用のためのものともいわれているという点を指摘しておきたい3)。」と書かれていたことだった。調べてみると、スイス法にはそのような規定が見当たらなかったが、オーストリア法に「only indirectly personal」の概念があることがわかった。また、これとは別に、ノルウェー*1の「健康記録と健康データの処理に関する法律」*2に「indirekte identifiserbare helseopplysninger (indirectly identifiable health data)」の定義語が用いられていることがわかった。

しかも、ノルウェーのこの法律は、2014年に全部改正されたもの(施行は2015年)で、改正前の法律は、「Act of 18 May 2001 No.24 on Personal Health Data Filing Systems and the Processing of Personal Health Data (Personal Health Data Filing System Act)」(個人健康データのファイリングシステム及び個人健康データの処理に関する法律)であり、そこでは、「de-identified personal health data」、「anonymous data」、「pseudonymous health data」の語が使われていて、2014年の全部改正でこれらの用語は廃止されて、「indirectly identifiable data」に置き換えられていたことがわかった。これらの概念定義とその適用規則、全部改正への変遷が大変興味深いので、ここに記しておく。

de-identified と anonymous と pseudonymous の区分

「匿名化」という語は曖昧なもので、人、業界、国によって異なる意味で使われ得るということは、一昨年のパーソナルデータ検討会でも言われていたことであったが、2001年のノルウェー法「Personal Health Data Filing System Act」(政府による非公式英訳)は、第2条で「de-identified personal health data」と「anonymous data」とを次のように明確に区別して定義していた。加えて「pseudonymous health data」の定義もこれに並べている。

2. de-identified personal health data: personal health data from which the name, personal identity number and other characteristics serving to identify a person have been removed, so that the data can no longer be linked to a natural person, and where the identity can only be traced through alignment with the same data that were previously removed,

3. anonymous data: data from which the name, personal identity number and other characteristics serving to identify a person have been removed, so that the data can no longer be linked to a natural person,

4. pseudonymous health data: personal health data in which the identity has been encrypted or otherwise concealed, but nonetheless individualized so that it is possible to follow each person through the health system without his identity being revealed,

まず第4号の「pseudonymous health data」だが、「the identity has been encrypted or otherwise concealed」とあるが*3、これは暗号論的ハッシュ関数などを用いて元データとの対応表相当のものを作成して管理される、日本の医学系倫理指針で言うところの「連結可能匿名化」のことそのものを指していると思われる。

次に、第2号の「de-identified personal health data」と第3号の「anonymous data」を見比べると、いずれも、「data from which the name, personal identity number and other characteristics serving to identify a person have been removed」(氏名、個人識別番号その他の個人を特定する特性のものを除去したデータ)という部分で共通であり、また、「, so that the data can no longer be linked to a natural person」(その結果、当該データはもはやある自然人にリンクできない。)という部分でも共通であるところ、両者の違いは、「, and where the identity can only be traced through alignment with the same data that were previously removed」が「de-identified」の方にだけ付いているところにある。

この部分の意味は、「前で削除した同じデータとの並びを通じてのみ当該識別性を辿ることができる場合」といったところであろうか*4。これはもしや、データセットによる元データとの照合可能性のことを要件としているのではないか。

つまり、「氏名、個人識別番号その他の個人を特定する特性のものを除去」という同じ加工方法であっても、加工後のデータが加工前のデータとデータ自体の突き合わせによって辿れる(照合できる)ようなデータであるときは、「de-identified personal data」となり、そうでない場合にのみ、「anonymous data」となるという、そういう区分をしているように見えるがどうだろうか。

de-identified とは別に pseudonymous が定義されているので、これらは異なるものという趣旨であろうから、de-identified の方は、対応表(又は、鍵付きハッシュ関数を用いた仮名化方式における鍵)を持たない場合を指しているのだと思われる。*5

このような区分をした趣旨がどういうものだったのかはまだ確認できていないが、推測するに、実態として、pseudonymous data のようには対応表を作らない加工方法が現にあって、それを pseudonymous data とは呼びたくないところ、かといって anonymous data と同一視してよいかといったときに、データが詳細なものであれば、元データとの照合によって、pseudonymous data と同様の性質(加工元において誰のデータなのか特定することができる性質)を持つことになるから、このように区分したのではないだろうか。

そして、この法律では、「pseudonymous health data」と「de-identified personal health data」は、personal dataであるとされ、「anonymous data」は、非personal dataとされている。

つまり、これは、日本におけるここ3年の議論で、対応表がなければ個人データに該当しないのか、そうではなく、データ自体が元データと照合できるときは依然として個人データと言うべきではないのかという考え方が出てきた*6が、15年以上も前にノルウェー法でまさにそのような概念が明文化されていたということではないだろうか。

加工元において元データとの照合が可能なことに如何なる実質的意義があるのかは、疑問に感じられる向きもあるだろう。これは、一つには、連結可能匿名化の趣旨として、本人同意の取り消しに応じて提供先でデータを削除させたいときに対応できるという観点があり、対応表がなくても元データとの照合により個人を特定できるのなら同意の取り消しに対応が可能であるという点で、連結可能匿名化と共通の性質を持ち、その点から、依然として個人データであるとすることに意義がある。そしてもう一つには、元データとの照合ができないようなデータというのは、荒いデータであるということであり、グループ化がされたものに等しい(誤解を恐れずに言えばk-匿名性でk≧2のようなもの*7)ことから、もはや一人ひとりのデータではないということを意味するという観点があり、そのような条件を満たす場合に限り非個人データであるとすることに意義がある。

ノルウェーのこの法律においても、そのような観点(特に後者の観点を含む)で、de-identified data と anonymous data が区分されたのではないだろうか。

このような条件を満たす場合に限り anonymous data (非personal data)とする考え方は、今年4月に採択されたEU一般データ保護規則(General Data Protection Regulation、GDPR)においても見られる。

GDPRの前文(26)は、データ保護指令のときより幾分詳しく書かれ、次のようになった。

(26) The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.

ここで言われていることは、まず、pseudonymisationしたデータは「identifiable natural person」とみなすべきであるとし、その一方で、「anonymous information」に対してはこの規則を適用してはならないとして、「anonymous information」がどのようなものかは、「does not relate to an identified or identifiable natural person」と説明している。これは、日本法で言うところの「個人に関する情報」ですらないことに相当するものと思われるが、この説明では依然として「identified」や「identifiable」の意味がはっきりしないところ、真ん中あたりに、「such as singling out」との文がある。これは、「To determine whether a natural person is identifiable」つまり、自然人がidentifiableであるかどうかの決定には、「singling out」といった手段を含めて考慮すべきと書かれている。

「singling out」とは、一人ひとりを区別しているという意味での「識別」を表す表現の一つで、ISO/IEC 20889「Privacy enhancing data de-identification*8 techniques」の用語定義でも使われるようだ。情報法制研究会第4回シンポジウムでの佐藤慶浩氏の報告によれば、「singling out information」は、日本のパーソナルデータ検討会で技術検討WGが「識別非特定情報」とした概念(識別特定情報も含むが)に一致しているとのことだ。

つまり、GDPRでも、識別非特定情報ですらない状態にしない限りanonymous informationとならないと整理されたということである。この要件は、ノルウェー法が、de-identified と anonymous を区分した要件と同じなのではないか。*9

なお、ドイツのFederal Data Protection Act (Bundesdatenschutzgesetz, BDSG)では、2003年の改正法から、「anonymisieren」と「pseudonymisieren」の語が定義されて使われてきており、それぞれ次のように定義されている。

§ 3 Weitere Begriffsbestimmungen

(6) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

政府の非公式英訳*10
“Rendering anonymous” means the modification of personal data so that the information concerning personal or material circumstances can no longer or only with a disproportionate amount of time, expense and labour be attributed to an identified or identifiable individual.

(Google機械翻訳による原文の英訳)
Anonymize is mean to modify personal data in such a way that details of personal or material circumstances can no longer or only be associated with a disproportionate investment of time, cost and labor of an identified or identifiable natural person.

(Excite機械翻訳による原文の英訳)
Make anonymous changing personal data is such that the single data about personal or objective relations cannot be assigned any more or only with an unreasonably big expenditure in time, costs and worker of a certain or determinable natural person.

(6a) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

政府の非公式英訳
“Aliasing” means replacing a person’s name and other identifying characteristics with a label, in order to preclude identification of the data subject or to render such identification substantially difficult.

(Google機械翻訳による原文の英訳)
Pseudonymisation is the replacement of the name and other identifying characteristics of an indicator for the purpose preclude the identification of the data or substantially more difficult.

(Excite機械翻訳による原文の英訳)
Pseudonymisieren is the replacement of the name and other identification signs by a sign for the purpose to exclude the regulation of the affected person or to complicate substantially.

anonymisationの方の要件はぼんやりしている感じだが、pseudonymisationは普通の仮名化の定義であり、ドイツ法では、anonymisationしたものは非personal dataであるとし、pseudonymisationしたものはpersonal dataとして扱うとされてきたようだ。

このように、外国法の状況やEU法の動向を見れば、日本法においても、「匿名加工情報」が非個人情報であることを要件とするならば、やはり、前々回の日記「個人情報該当性解釈の根源的懸案が解決に向け前進」で述べたように、「元データとのデータセットによる照合」が容易照合性に当たることを個人情報保護委員会が公式に認めるのが自然な流れであるように思える。

「匿名加工情報」という名称は、骨子案として出たときには紛らわしい名称だと失望する声も聞かれたが、こうして見ると、EU法の「anonymous information」や、ノルウェー法、ドイツ法とも名称が一致しており、これでちょうどよかったし、概ね同一の概念(再識別禁止義務をかける点では異なるが)だといえるのではないか。

逆に言えば、外国法との整合性を欠くことにならないためには、ドイツ法やノルウェー法の「pseudonymous data」に当たるデータを「匿名加工情報」としてはならないし、ノルウェー法の「de-identified data」に当たるデータも「匿名加工情報」としないべきだろう。

indirectly identifiable への再編成

ノルウェーのこの法律は、2014年に全部改正され、前記の3つの用語は廃止されて、新たに「indirectly identifiable health data」の語が次のように定義された。

b) indirekte identifiserbare helseopplysninger: helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, men hvor opplysningene likevel kan knyttes til en enkeltperson,

(機械翻訳による原文の英訳)
b) indirectly identifiable health data: health information which names, numbers and other unique personal characteristics are removed, but the information still can be linked to an individual,

これは、改正前の「pseudonymous data」と「de-identified data」を含むものであろう。それらの間の区別をやめたということになる。

この改正の趣旨は、ノルウェー保健・ケアサービス省による改正提案のための文書「HØRING: Forslag til ny pasientjournallov og ny helseregisterlov」(Consultation - proposal for a new patient and new health registers)を英訳しながら読んで、概ね理解できた。

その第18章冒頭には次のように書かれていた。「The Ministry does not want to continue the concepts of de-identified and pseudonymous information in the new Filing Systems Act. The terms proposed replaced by the broader term "indirectly identifiable health information".」「The rules for extradition, assembly and use of health information from the central health registers have seemed vague and difficult to manage for operators in the sector. This has resulted in different interpretations of the concepts of anonymous and de-identified data.」「The Ministry has considered whether it should establish simpler procedures, for example, a researcher should be given indirectly identifiable information than for direct personal identifiable information.」(機械翻訳より)

つまり、anonymous と de-identified の概念は異なる解釈を生んで、運用が難しくなっているので、省としては、もう、de-identified と pseudonymous の区別をやめて、よりシンプルな手続きを制定したいということが書かれている。

そして、これらについてどのようなルールを課しているのか(いたのか)について、条文で確認したところ、おそらく次のようなことになっている(いた)のではないかと思う。

旧法では、例えば第7条では、氏名や個人識別番号その他の直接に個人を識別するものは本人の同意の上でのみ扱うこととしている一方で、pseudonymised 又は de-identified された形でのみ処理される規則が提供される場合には、本人同意が不要となっていた。ただし、そのような規則は処理の目的を宣言して、適切な場合にはpseudonymisationについて追加的なルールを規定すべしとされていた。

これが、新法では、第20条(Exceptions to confidentiality for indirectly identifiable health information)に集約されて、「特定の目的(research, health analysis, quality assurance, administration, planning or management of health and care services)において、indirectly identifiable health information をデータコントローラが開示することを(機密性の規定は)妨げない。ただし、この規定は11条に従って確立されるレジストリにあるhealth dataにのみ適用される。health dataは、その取り扱いが社会の重要な利益によるものである場合に限り開示され、患者のプライバシーへの心配及び機密性は保護され、処理は、倫理的に、医療と健康に配慮して行われる。data controllerは、引き渡しのための条件を課すことができる。」となった。

つまり、旧法では、pseudonymised 又は de-identified されたデータは、personal data ではあるものの、同意なき開示を許していたのが、新法では、それを特定の目的に限るとして、社会の重要な利益によるものである場合に限るとなったということであろうか。

ノルウェーのデータ保護法は、これとは別の「Personal Data Act」が制定されている。そこには、「indirectly identifiable」や「de-identified」「anonymous」「pseudonymous」といった語は定義されていない。つまり、この「健康記録と健康データの処理に関する法律」や「個人健康データのファイリングシステム及び個人健康データの処理に関する法律」は、特別法の形になっていて、医学系分野のこうした特有のやり方を規定して、Personal Data Actを特定の分野についてオーバーライドするものとなっているのだろう。おそらく、「indirectly identifiable」や「de-identified」「pseudonymous」なデータはpersonal dataなのだから、Personal Data Actでは同意が原則となっているはずである。

このようなノルウェー法の状況は、今の日本の個人情報保護法と医学系研究倫理指針が置かれている状況が非常によく似ているものではないだろうか。

まず、「de-identified personal data」と「anonymous data」の違いは、このところの日本の3省合同会議(医学研究等における個人情報の取扱い等に関する合同会議)で出ていた、見直し案の「案2」(前々回の日記「個人情報該当性解釈の根源的懸案が解決に向け前進」参照)が置かれている状況に似ている。

「案2」は、「匿名化」(連結可能匿名化と連結不可能匿名化の両方を指す)データのうち、個人情報に該当しない場合と、個人情報に該当する場合とを分けて、同意等の要否を場合分けするというものであった。ノルウェー法の「pseudonymous data」は連結可能匿名化のことであり、「de-identified personal data」は、連結不可能匿名化データのうち非個人情報になっていないもの(元データとのデータセットによる照合ができるデータである場合)に相当する。

合同会議の前回(第4回)を先日傍聴したところ、事務局は案2で行きたいとしていたが、そうすると、個人情報該当性の判断を各研究機関の倫理委員会で判断しなければならないということで、「そんなのは無理だ」との意見が委員から続出する展開となった。これは、ノルウェーでも、anonymous と de-identified の違いがあまり理解されず運用が難しくなったとされていることと似ているのではないか。

そしてノルウェーでは、その区別を捨てて、「de-identified」と同じ加工をしたものを、「anonymous data」に当たる場合があってもそれを区別せず、「personal data」とみなして扱うことにし、そうすると「pseudonymous data」との区別も不要となるので、どちらも「indirectly identifiable data」で扱ってしまうという流れである。これは、合同会議の「案1」の「仮名化」の方のみ(表の右列のみ)を使う案に相当するのではなかろうか。

ノルウェーの新法では、「anonymous data」の定義語は廃止されたが、第16条(Obligation to report data for statistics)で、「……to report anonymous data or indirectly identifiable health information, without regard to confidentiality, to statistics.」という形で出てくる。

合同会議第4回でも、「案2」が困難ならばいっそ「案3」にしてしまえ(どんなに加工しても元が個人データならば全て個人データとみなすという案)という意見に対して反対の声が出ていた。すべてが個人データならば統計的な処理をした学会発表ですら本人同意が必要になってしまうので、さすがにその案も無理があるだろう。ノルウェーの新法でも、定義こそしていないものの、当然に非personal dataと言えるものについては、裸の「anonymous data」の語を用いているわけで、何もかもが「indirectly identifiable health data」に該当するというわけではなかろう。

合同会議でも、それと同様のアプローチをとるしかないのではないだろうか。それが、ちょうど、前々回の日記「個人情報該当性解釈の根源的懸案が解決に向け前進」の「私の意見」で書いた「案4」の提案になっていると思う。「非個人情報化」の定義を細かく言い出すと、ちょうどぴったり「個人情報」と「非個人情報」が区分される境界など示すのは無理という話になりがちだが、明らかに非個人情報と言える場合はあるわけで、それを軽く規定に盛り込んでおけばよいだけではないか。

こうしてみると、まさに同じような悩みをノルウェーから数年遅れで辿っているように思えてくる。

ノルウェーでは、2014年の改正で、特定の分野の特定の場合に限って同意不要とする方向に舵を切った。改正の提案書を読むと、EUのGDPR(当時は案の段階)の動向を見ながら検討された様子があった。

一方、日本では、合同会議では当初、医学系研究倫理指針は、個人情報保護法に「上乗せ横出し」したルールであって、学術研究の適用除外を前提に義務を緩めることなどできないとしていた。ノルウェーもそうであるように、EU法の方向性は、personal dataとした上で、研究目的についてルールを緩和するというアプローチである。ここの舵を切らない限り、日本の医学系研究は立ち行かなくなるか、または、日本の個人情報保護法制が崩壊するかのどちらかの道しかないだろう。特別法の立法措置が望ましいだろうが、それが無理だというのならば、適用除外と例外規定を活かして凌ぐしかない。

あとがき

冒頭で、藤原静雄先生が法律時報の記事で、どこかの国に「間接個人情報」の概念があって、それが日本の「匿名加工情報の考え方に比較的近い発想」とお書きになっていることに触れたが、少なくとも*11ノルウェーの「indirectly identifiable data」については、上記のように、連結可能匿名化と、連結不可能匿名化(のうち、元データとの照合性がないデータである場合を除く)に相当するものであるから、「匿名加工情報」とは全く別の概念と言うべきである。「匿名加工情報」は改正個人情報保護法2条9項の定義からして非個人情報に加工したものを言うのであって、間接的に識別される個人情報などでは全くない。逆に、もし仮に連結可能匿名化や連結不可能匿名化しただけのデータが常に「匿名加工情報」に該当するなどとする解釈をとったとすれば、日本の個人情報保護法の体系が根底から崩壊してしまう。

*1 ノルウェーはEU非加盟国のひとつ。

*2 ノルウェーは、電子カルテ導入率が世界一の国として知られている。

*3 原語の条文を機械翻訳で英訳したところ、政府非公式訳とは若干表現の違う、「pseudonymous health data: health data where identity is encrypted or concealed in any other way, yet individualized so that it is possible to follow each person through the health system without identity disclosed.」という文が出た。

*4 原語の条文を機械翻訳で英訳したところ、政府非公式訳とは若干表現の違う、「de-identified personal health data: health information from which names, identification numbers and other unique characteristics are removed so that the information can no longer be linked to an individual, and where identity can only be recovered by combining it with the same information that was previously removed.」という文が出た。やはりこの理解でよいように思える。

*5 「de-identified health data」の原語である「avidentifiserte helseopplysninger」でググって出てくるサイトや文書を(機械翻訳で英訳して)眺めてみると、「de-identified health data」と「anonymous data」の違いを、鍵の有無として説明しているものがいくつか見つかるので、現地でもいささか混乱があるのだろうか。私の解釈が間違っているのかもしれないが、「de-identified personal health data」の定義に鍵という記述はない。

*6 もっとも、平成15年法が成立した当初からの識者の解説本の中にもこの考え方を示唆する記述のあるものもあった。例えば、岡村久道「新訂版 個人情報保護法」商事法務の79頁には次の記述がある。これはすなわち、目の部分へのマスキングをしても、画像中のそれ以外の部分で元データと照合できることをもって、容易照合性があり、個人データに該当することを述べているものと言える。

顔写真と匿名化 医療介護GL6頁は、顔写真は一般的には目の部分へのマスキングにより、連結可能匿名化の場合を除いて個人識別性を失い、特定の患者の症例・事例を学会発表・学会誌報告する場合等は、(中略)氏名、生年月日、住所等を消去すれば匿名化されるとする。この場合、医師としては発表・報告用の複製物のみをマスキングによって匿名化しつつ、顔写真の原本にはマスキングせずに別途残しておく方法が通常であろう。したがって、当該原本と容易に照合しうる当該医師にとって、むしろ上述の諸事例は連結可能匿名化である場合が一般的であろう。

*7 「誤解を恐れずに言えば」と釈明しているのは、これは本来のk-匿名の意味で言っているのではないからである。2014年4月23日の日記「現行法の理解(パーソナルデータ保護法制の行方 その2)」の「5. k-匿名性の法的位置付け」で書いたように、「すべての列を黄色の部分として扱う」場合の「k-匿名化」を前提とした意味で言っているのであり、しかしそれは、k-匿名化の本来の用途から逸脱しているので、本当はこれをk-匿名化と呼んではいけないのだが、そうはいっても、「グループ化」と言っただけでは通じにくいだろうし、k-匿名の「k≧2」というのは通じやすいから、どうしてもこのように言いたくなるという事情があり、このように釈明している。

*8 奇しくも、このISO規格での「de-identification」は、anonymous information化することを指すようなので、ノルウェー法の「de-identified」とは明確に異なる用法のようだ。

*9 この2つの間の若干の違いはこうではないか。singiling outでないことをanonymousであることの要件とするのは、実際のところ、取扱事業者において、データをどのように扱っているか(一人ひとりのデータとして扱っているか)という、事業者の意図によって決定されざるを得ない(と私は思う)のに対し、元データとの照合可能性を要件とするのは、そうした事業者の意図から離れて、データ内容から客観的に決定されるという違いがあろう。結果的に同じことになる場合が多いと思われるが、重要な論点となりそうなところである。

*10 「anonymisieren」は「anonymisation」、「pseudonymisieren」は「pseudonymisation」と訳すのが自然としか思えないのだが、政府の非公式訳で「rendering anonymous」だの、「aliasing」などと訳されているのは、どうにも解せない。

*11 オーストリア法の「only indirectly personal」についてはまた別の回で書く予定。

本日のリンク元 TrackBack(0)

2016年07月16日

名古屋市ではアンケートで「統計的な処理にのみ用いる」は生データ公開の意だそうな

先月こういう話題があった。

そのデータは名古屋市の保健医療課が以下で公開していた。

なるほど、自由記載の回答項目まで公表されていると。それはひとまず置いておくとして、「調査回答データ」は、Excelから印刷出力しただけのPDFのようだ。

これを有志でCSVファイルに変換したものが、奥村先生のところに掲載されている。

ここにある「kaito.csv」を用いて、名古屋市が一般公開したデータがはたして匿名加工情報(非識別加工情報とも言われるが)に該当し得る内容なのか*1、検証してみた。

まず、同じ行が何件ずつあるかを集計して、多い順に並べて、上位を抽出してみた。

sed 's/^[^,]*,//' kaito.csv | sort | uniq -c | sort -nr | head

で処理してみると、以下の結果となり、最大グループは47件、その次に29件、28件、20件……と続くものとなった。

  47 0,0,1,0,0,0,0,0,0,1,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,NA,0,0000,0,0,0,0,0,NA,0,0000,0,0,0,0,0,0,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,1,0000,0,0000,0,0000,0,1,0000,0,0000,0,0000,0,1,0000,0,1,0000,0,1,0000,0,1,0000,0,1,0000,0,0,NA,1,0000,0,1,0000,0,0,0,0,0,0
  29 0,0,1,0,0,0,0,0,0,1,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,NA,1,0000,0,0,0,0,0,NA,1,0000,0,0,0,0,0,0,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,1,0000,0,0000,0,0000,0,1,0000,0,0000,0,0000,0,1,0000,0,1,0000,0,1,0000,0,1,0000,0,1,0000,0,0,NA,1,0000,0,1,0000,0,0,0,0,0,0
  28 0,0,1,0,0,0,0,0,0,1,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,NA,0,0000,0,0,0,0,0,NA,0,0000,0,0,0,0,0,0,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,1,0000,0,0000,0,0000,0,1,0000,0,0000,0,0000,0,1,0000,0,1,0000,0,1,0000,0,1,0000,0,1,0000,0,0,NA,0,0000,0,0,0000,0,0,0,0,0,0
  20 0,1,0,0,0,0,0,0,0,1,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,NA,0,0000,0,0,0,0,0,NA,0,0000,0,0,0,0,0,0,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,1,0000,0,0000,0,0000,0,1,0000,0,0000,0,0000,0,1,0000,0,1,0000,0,1,0000,0,1,0000,0,1,0000,0,0,NA,1,0000,0,1,0000,0,0,0,0,0,0
  19 0,0,1,0,0,0,0,0,0,1,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,NA,0,0000,0,0,0,0,0,NA,0,0000,0,0,0,0,0,0,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,1,0000,0,0000,0,0000,0,1,0000,0,0000,0,0000,0,1,0000,0,1,0000,0,1,0000,0,1,0000,0,2,0000,0,1,NA,1,0000,0,1,0000,0,0,0,0,0,0
  15 0,0,1,0,0,0,0,1,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,NA,0,0000,0,0,0,0,0,NA,0,0000,0,0,0,0,0,0,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,1,0000,0,0000,0,0000,0,1,0000,0,0000,0,0000,0,1,0000,0,1,0000,0,1,0000,0,1,0000,0,1,0000,0,0,NA,1,0000,0,1,0000,0,0,0,0,0,0
  13 1,0,0,0,0,0,0,0,0,1,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,NA,1,0000,0,0,0,0,0,NA,1,0000,0,0,0,0,0,0,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,1,0000,0,0000,0,0000,0,1,0000,0,0000,0,0000,0,1,0000,0,1,0000,0,1,0000,0,1,0000,0,1,0000,0,0,NA,1,0000,0,1,0000,0,0,0,0,0,0
  13 0,1,0,0,0,0,0,0,0,1,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,NA,1,0000,0,0,0,0,0,NA,1,0000,0,0,0,0,0,0,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,1,0000,0,0000,0,0000,0,1,0000,0,0000,0,0000,0,1,0000,0,1,0000,0,1,0000,0,1,0000,0,1,0000,0,0,NA,1,0000,0,1,0000,0,0,0,0,0,0
  13 0,0,1,0,0,0,0,0,1,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,NA,1,0000,0,0,0,0,0,NA,1,0000,0,0,0,0,0,0,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,1,0000,0,0000,0,0000,0,1,0000,0,0000,0,0000,0,1,0000,0,1,0000,0,1,0000,0,1,0000,0,1,0000,0,0,NA,1,0000,0,1,0000,0,0,0,0,0,0
  13 0,0,1,0,0,0,0,0,0,1,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,1,0000,0,0,0,0,0,NA,1,0000,0,0,0,0,0,NA,1,0000,0,0,0,0,0,0,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,0,0,0,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,0,00,NA,1,0000,0,0000,0,0000,0,1,0000,0,0000,0,0000,0,1,0000,0,1,0000,0,1,0000,0,1,0000,0,2,0000,0,1,NA,1,0000,0,1,0000,0,0,0,0,0,0

続いて、1行しか存在しない(つまりユニークな)回答が存在するか、何件存在するかを、以下のようにして数えたところ、29,836件あった。

% sed 's/^[^,]*,//' kaito.csv | sort | uniq -c | grep "^ *1 " | wc -l
   29836

全数が30,793件なので、96.9%がユニークな回答だということになる。

これでは匿名加工情報(非識別加工情報)に該当し得ないデータであろう。

まあ、そうなることは、設問項目の多さからすれば、確かめてみるまでもなく明らかである。

では、このようなユニークデータの大量公開が、回答者の一部についてプライバシー侵害をもたらし得るものかというと、なかなか簡単には判断がつかない。ぱっと見では問題ないようにも思えるが、個別の事情まで見ないと本当のところはよくわからないのではないか。

まあ、そこは置いておくとしよう。問題は、このように公表されることが、調査時に調査対象者(回答者)らに説明されていたか、回答者らはそれを認識あるいは予見できていたかである。

その点、名古屋市は、次のように、調査票において「ご回答いただいた内容は統計的な処理にのみ用いられます。」と約束していたのである。

これは回答者に対する重大な裏切りではないかと考え、問い合わせ先として書かれていた、保健医療課感染症係に電話で尋ねてみたところ、次のようなやりとりとなった。


私:「ご回答いただいた内容は統計的な処理にのみ用いられます。」と書いてあるのに、統計的な処理なんですか?

係:生データの公表がということですよね。そうですね、えーと、ちょっとお待ちいただけます?

(2分待ち)

係:お待たせしております。えーと、一応その、うーん、まあ、あの、特にそのデータがですね、何かしらその改変とかされないような形で集計のみに使えるような形でうちとしても出させてもらってるっていうのが一つと、あとーその、調査している段階でですね、生データの方は公表いたします、皆様の方で集計等やっていただく、また、解析等をっていうようなお話もさせてもらってましてー、ええ、であのー、今回出したことについても、なので、そういった観点からですね、とくにあのー、違反をしているわけでもないといような回答なんですけども。

私:今、質問に関係ないことをたくさんおっしゃいましたね。例えば、改ざんできないようにしているとか、

係:あはい。

私:別にそういうことは聞いてないんですよ。

係:はいはい。

私:そういった問い合わせがいっぱいあることは知ってますよ。CSVで出せとか言ってる人達がいますからね。PDFで出すなんてトンデモないとか。言われてますけど、

係:ええ、ええ。

私:そんなことは聞いてないんですよ。私が聞いていることは、調査票には「統計的な処理にのみ用いる」と書いてあるのですから、回答した人は自分の記入したことがそのまま公表されることはないという意味だと思って、いろいろ書いていると思うんですよね。

係:はい。

私:ということだけを聞いているんですよ。そのことについてだけ回答してください。

係:あ、そういうことですね。であればですね、うちとしましては、えーっとー、なので、えー、違反しているというふうには、えー

私:理由を、聞いているんです。

係:あ、はい。理由ですね。個人を特定されるような内容等は特に出してない。で、えー、ま、そのー……。そうですね。なので、……。えーと……。ちょっとお待ちいただけますか。

(2分待ち)

係:何度もお待たせしてもうしわけないです。

私:はい。

係:っとー、集計の、集計につながるデータですね、なんで、集計……。うん、集計につながるデータ、まあ、集計に用いたデータしか出してない。なんでまあその、中身の個人につながるようなデータとかは出してないのでー、あくまで集計上で使ったデータしか出してないということです。

私:いやいや、集計して……。じゃもう一回お尋ねしますが、この調査票の「ご回答いただいた内容は統計的な処理にのみ用いられます。」というのは、

係:はい。

私:どういう意味なんですか?

係:あ、なので、うちのあのー、回答結果報告書の方に用いた集計にのみ使ったデータていうことです。

私:最初に出して消したやつのことをおっしゃってるんですね?

係:最初に出したやつというのは?

私:え?

係:今ホームページに載っている結果報告書のデータです。

私:例えばこの、「のみに用いられます」と書いてあるということは、

係:はい。

私:「こういうふうには用いない」という意味の裏返しで書かれていると思うんですけど、

係:はい。

私:どういうことはしないという意味で、この文章はあるんでしょうか?

係:あのーなので、調査票、ご回答いただいた調査票の、そのままのデータで出すことはないということです。

私:そのままのデータが公表されたんではないんですか?今回。

係:そのままのデータではなくてですね、まああの、数字とかその点、まあ数字というか番号で選ぶようなところはそのままかもしれませんが、その他の個人につながるようなデータについてはこちらの方であのー、消させていただいています。

私:個人に関するデータというのは、何のことでしょうか?

係:えっとー、なので、個人につながるような、特定されるようなデータですね。

私:どこにあるんですか? あったんですか?

係:えー、記載欄とかですね。自由記載欄とかですね。その他あのー、ま、言葉で書くようなところですね。

私:そこに名前とかがあったら消してますと、いうことをおっしゃっている?

係:はい。

私:そこはそのまま出したりはしないと。

係:してないです。

私:じゃその、名前を消したりする部分というのは、「統計的な処理」とおっしゃるんですか?

係:統計的な処理……。……。名前を消したりするのは統計的な処理……。ですか?

私:ええ。今どういう質問をしたかというと、

係:はい。

私:統計的な処理のみに用いると書いてあるから、

係:はい。

私:それ以外のことはしないと書いてあるという意味であって、

係:ええ。

私:それ以外っていうのはどういうことが考えられるかとうかがったらば、

係:はい。

私:自由記入欄について名前などが入っていたら消して処理すると、消さずに出すことはしないと、そういう意味だとおっしゃいましたけども、

係:ええ。

私:ということは、名前を消したりすることっていうのは、「統計的な処理」と名古屋市では言っていると、こういうことになりますね?

係:統計的な処理……。えー……。ええ、ええ、はい。

私:名前を消すっていう作業は「統計的な処理」なんですか?

係:ではないですね。

私:ほう。そうすると違反してませんか?

係:……。あの、集計上のデータだと思ってますのでー。あのー、違反しているとは思ってはいないんですが。

私:だって、今のロジックわかりました?名前を消すっていう作業は統計的な処理ではないんですね?

係:はい。

私:そうすると、「統計的な処理のみに用いる」というのに違反していますよね? 統計的な処理をせず、名前を隠しただけで生データを出しちゃった、っていうのは統計的な処理に当たらないんではないですか?

係:ふん、ふん……。はあ、そういうことですね。はははあ。あーと、そうですね、えーと、うーん、ちょっとお待ちください。

(2分待ち)

係:何度も申し訳ないです。えーと、やっぱりですね、先ほど、データですね、については、えー特に違反していないというような、あの、ごめんなさい、

私:そうおっしゃるのは勝手ですが、理由を尋ねてますからね。違反してないんです違反してないんですと言ったところで、何の説明にもなっていないですから、お願いします。

係:なので、えーと、集計に用いたデータですね、回答データにつきましては、基本的には調査票からそのまま持ってくるのではなくですね、どの方が回答したかっていうのをですね、順番等も全然違いますので、そういうところもわからないような形にした形で、ま、集計に用いたデータとして出していると、いうことで、えーと、違反してないと、うちとしては考えております。

私:えーと、順番を入れ替えたと。

係:順番を入れ替えたというか、来たものについてやってますので。

私:え?

係:あの、回答をいただいたものについてやってますので、誰がどのデータっていうのも全くわからないです。

私:元々、無記名アンケートですよね?

係:そうですね。

私:だからそこはべつに問題にしてないんですよ。個人情報がどうこうとか、個人情報保護条例がどうとか、そういうことはべつに言ってなくてですね、

係:はい。

私:単にその、調査票に書いてある約束を、破ったのではないか?ということだけを言ってるんですけどね?

係:それについては、集計に用いたデータですので、

私:集計に用いたデータっていうのは、統計処理の前のデータじゃないんですか?

係:……。いや、あのー、結局そのまま……、あの、調査票のものをまた集計かけてますので。集めたものですけども。

私:集計っていうのは、並べ替えただけで集計とは言わないと思うんですけども?

係:はい。まそうですね、計算等をしたものですね。

私:うん?

係:ま、えーそうですね……。うん、そうですね、集計、集めただけではそう言わない。

私:名古屋市ではあれですか? 紙で出た調査票を、1個にまとめてExcelにしたらそれで集計って言うんですか? データが元データと一対一対応しているものでも

係:ごめんなさい、それはちょっと違いますね。

私:一人ひとりのデータ全部出しているのに、集計って言うんですか?

係:それは違います。

私:はい。じゃどういうことですか。よくお考えください。

係:なので、えーと、ま、ごめんなさい、えー……。集計、ごめんなさい、さきほどから何度も同じことを言って申し訳ないですけど、ま、集計に用いたデータである。で、えっとま、そのー、集計結果の一部として出してます、報告書の一部として出してますので、あの、で、そのー、違反じゃないかと言われるんですけども、そこについてはですね、ま、集計上で必要なデータということで、とくに違反と思ってはいない、というのがうちの考えですのでー

私:まあ何度も同じことをおっしゃるならこちらも何度も同じことを伺いますけど、

係:ええ。

私:「のみ」って書いてるじゃないですか。

係:ええ。

私:「のみ」ってことは、こういうことはしないって約束をした文章だと思うんですけど、どういうことはしないっていう意味なんですか?この「統計的な処理のみに用いられます。」というのは、何をしないという意味で書いたのかというのをお尋ねしたい。

係:……。

私:安心して記入していただくために書いている約束ですよね?

係:ええ。……。そうですね。なのでえーっとまあその、書いたことで個人が特定されたりとかですね、そういったことの心配がないように、統計処理のみっていうふうな書き方をしてあると。

私:それで、統計処理なんですか?この生データが。

係:……。ま、統計処理、の一部ですね、はい。

私:統計処理の、元データだから、統計処理だって、おっしゃってるんですか?

係:ま、そうですね、はい。

私:統計的な処理のみに用いるっていうのは、統計的な処理をした結果のみ公表するっていう意味だと普通とるんではないんですか?

係:ま、ごめんなさい、一部と考えています。

私:統計処理した結果のみ公表するというふうに普通の人は受け取るんじゃないんですか?なのに、名古屋市としては、そんなはずはないと。統計処理の過程であれば、元々の全データを公表することも「統計的な処理のみに用いる」という意味になると、こうおっしゃるんですね?

係:まあ、そうです。

私:今後もそういうふうに調査をされていくんですか?

係:今後もとおっしゃいますと?

私:名古屋市として統一的な調査時の考え方なんですか? これから名古屋市の調査に答える人は、「統計的な処理のみに用いられます」と書いてあっても、生データが公表されると思わないといけないわけですね?

係:いや、ま、そういうわけではないと思います。

私:どういうわけなんですか?

係:まあその、ま、

私:そういうことは本来許されないけど、今回はやっちゃいました、でも問題ありませんと、そういうことをおっしゃってるんですか?

係:いえ、そういうわけじゃないです。

私:じゃあどういうことですか?

係:まあなんであのー、公表の仕方だと思うんですが、今回の報告書としましては、そちらの方を統計上の一部として出させてもらっているという、そういう考えです。

私:今後も同じようにされるということですね?

係:……。

私:名古屋市の調査はすべてそうであると。

係:まあ、そのときのその公表の判断だと思いますけども。調査としてそれが統計の一部として出すっていう判断が下れば出すんじゃないかと思いますが。

私:統計の一部っていう点についてじゃあお尋ねしますが、

係:ええ。

私:調査票のチェックで書き込んでいく、はい・いいえと、チェックがどんな具合だったかは見えなくなってますけど、つまり、乱暴なチェックなのか、丁寧なチェックなのかとか、見えなくなりましたけど、データとしては全く失われてないですよね? 回答が何であったかということについては。たとえば、一部の人を削除したとかいうことはないわけですね?

係:そうですね。

私:それって、統計処理なんですか?

係:……。

私:統計的な処理なんですか?

係:統計的な処理……?

私:データは何も加工してないんですよね、元データのまま。

係:まあ、なので、個人につながるところは消させてもらってます。

私:そこの話はしてないんですよ。選択肢で回答する部分のことについて伺っているんです。統計的な処理してないんじゃないですか?

係:なんでえーと、そのー、今回出した報告書の統計のデータの中の一部です。

私:え? 「のみ」って書いてあるじゃないですか。

係:調査票の方ですよね?

私:ええ。この「のみ」ってどういう意味ですか?

係:なのでそのー、個人につながるような、まそういった心配がないようなふうにしますよ、という意味。

私:生データは出すということですね? このチェックで回答したものは。

係:は、出てます。はい。

私:名古屋市としては、統計的な処理というのは生データを出すと、そういうことなんですか?とさっきからお尋ねしているんですけど。

係:なのでごめんなさい、今回の調査につきましては、えーと、それも統計の一部として出させてもらってます。

私:統計の一部。統計化する前なのに統計の一部だと。

係:統計のデータの一部ですね。

私:統計化の結果とは書いてないと言いたいわけですか?「統計的な処理のみに用いる」っていうのはべつに「統計の結果だけ公表します」とは言ってないと、元データも公表することも含まれると。

係:まあ、そうですね、はい。

私:はっ。ちょと最初にいただいたご回答に気になる点があったので、確認したいんですが、調査票にはそう書いてあるけども、実際にお尋ねする際には公表するって説明したっていうようなことをチラっとおっしゃいましたけど、

係:ええ。

私:その部分について本当なのかを確認したいんですが。

係:うん、あのー……。そうですね、速報時にも、えー説明はしてあります。

私:誰に説明したんですか?

係:誰に?

私:速報時に説明したというのは誰に説明したと? 記入した人にですか?

係:あー、記入した人、いや、えーと、記入した人、一人ひとりにはしてないです。

私:記入した人には何も説明していないということでいいんですね?

係:何も……、うん、直接はしてないです。

私:調査票に書いてある約束のみしか説明してないということですよね?

係:届いた人にはそうですね。

私:届いた?

係:調査票を受け取った方にはそうですね。

私:じゃあ、冒頭でなんかおっしゃったことは言い間違いということでいいですかね?

係:言い間違いというと?

私:調査票にはそう書いてあるけどもちゃんと説明していたと、

係:ああ、その方々に対してですか。

私:ええ。

係:ええとー、そうなりますね。

私:そうなるというのは?

係:……。

私:そうなりますねというのはどういう意味ですか?

係:えーとなんでその個々一人ひとりに対してということですね。

私:対して何ですか?

係:えーなんで、直接、その、えー、生データの公表をいたしますというような説明はしていないです。

私:ああ、わかりました。ありがとうございました。

係:はい。


ということで、名古屋市のアンケート調査に答える方は注意されたい。

*1 もっとも、このアンケート調査は無記名方式であるので、元データからして、日本の個人情報保護法では(名古屋市個人情報保護条例でも)「個人情報」に該当しない(とはいえ、日本法でも「個人に関する情報」ではあるし、EU法ではpersonal dataに該当するものと考えられるが。)のであるから、改正個人情報保護法の「匿名加工情報」には該当し得ない(匿名加工情報はその定義上「個人情報を加工して得られる個人に関する情報」に限られるので)から、このような問いはそもそもナンセンスなのだが、あえて、仮に元データが記名式で個人情報であったとした場合に、この公表データが匿名加工情報に該当し得る内容かという意味。

本日のリンク元 TrackBack(0)

追記

最近のタイトル

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|
追記