追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 1367   昨日: 2889

2016年04月23日

「食べログ」アプリの「ブックマーク」デフォルト公開で利用者の意図に反して特定個人識別される危険

「食べログ」は著名なサービスであるが、その利用者の多くは店を探す目的のみに使い、レビュー(「口コミ投稿」)を書く気は全くないという人がかなりの割合で存在すると推察される。私もその一人で、出先でGPSを使って近くの店を探すため、もっぱらスマホアプリ版の「食べログ」を使ってきた。

一昨年の2月まで、オレンジ色のアイコンだった旧版の「食べログ」アプリは、「ブックマーク」機能があり、これは、スマホにローカルに記憶しておくものであったため、ログインが不要であり、私も、ログインせずに、このローカルブックマーク機能を活用していた。このような利用者は、完全に匿名であり、閲覧するだけの利用であって、一切の情報の公開に関与していないという意識で「食べログ」を使っていただろう。

画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ
図1: 旧バージョンの「食べログ」スマホアプリ

これが、一昨年、白アイコンの新版「食べログ」アプリが登場し、旧版は使えなくなるから「ブックマーク」を「データ移行」手続きせよと強制する画面が出るようになった。当時の不評の様子がITmediaニュースにある。

  • 「食べログ」iPhoneアプリのレビューが炎上 リニューアルで使い勝手激変, ITmediaニュース, 2014年2月17日

    新アプリでは、ログイン不要で気になる店を記録しておける「ブックマーク」機能を削除。行きたい店・行った店を記録できる「行った、行きたい」機能を使うにはログインが必須になった。以前のアプリをログインなしで利用していたユーザーは過去の記録を引き継げず、レビューに不満をぶつけている。

このとき私は、「ああ、ログインユーザを増やしたいんだな。ブックマークを吸い上げてビッグデータの肥やしにしたいんだな。」と思い、「意地でもログインしてやるもんか」と、旧版のブックマークを放置して、新版アプリの「行った、行きたい」を使わず、ログインせずに使っていた。

しかし、ブックマークできない不便さに痺れを切らし、1年後の去年2月、ついに、ログインすることを決意し、アカウントを作成することにした。このとき、旧版のブックマーク移行機能はもう使えなくなっていた(エラーが出る)ので、「データ移行」の手続きは行わなかった。

アカウントの作成は、ID連携による他サービスからのログインができるとなっていたので、取り急ぎ、Facebookアカウント経由でログインした。図2は、その手順を、後になって再現したもの(2016年3月27日時点)である。

画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ
図2: ID連携でFacebookアカウントで食べログアカウントを作成する様子

これらの一連の画面の通り、「行った・行きたい」を利用しようとしている人に対して、それが公開状態になる旨の説明は一切ない。最初のログインを促す画面には、「ログインすると、「行ったお店」「行きたいお店」を食べログ上で管理できるようになります。「行った・行きたい」に登録したお店は、あとからエリアやキーワードで簡単に検索できます。」と説明されている。旧版アプリを使っていた利用者にとっては、旧版同様、自分だけのための機能としか見えない。

最後の画面で、「……のレストランガイド」という画面が出るが、「レストランガイド」というデフォルトの名称に若干の違和感を持つものの、「行った」「行きたい」は、旧版の「ブックマーク」と同様の機能だろうと思った。

そう信じて、私は、旧版に登録していた店を含め、どんどん「行った・行きたい」に店を登録していった。「行った」店も登録しておくのは、休業日・営業時間を確認するために便利だったからだ。

このリニューアルのときのカカクコムのプレスリリースを今になって確認してみても、「自分だけのお店リストを作成できます。」とあって、当然に非公開の機能と思わせる発表になっている。

ところがある日、「行った・行きたい」に登録しようとしたとき、「非公開にする」というチェックボックスがあることに激しい違和感を覚えた。どういう意味なんだろうか?と。

画面キャプチャ 画面キャプチャ 画面キャプチャ
図3: 「行った」の登録画面に「非公開にする」というチェックボックスがある様子(2016年3月27日時点)

この「非公開にする」というチェックボックスは、見えにくい場所にあるうえに、初めからチェックされているようにも見えるデザインであるため、「既に非公開という意味かな?」という誤解も与える。(実際には、チェックすると緑色になるもので、図3の画面の灰色のチェックボックスは、チェックされていない状態にある。)

しかも、この画面のUIは、この1年の間に何度か変更されている。画面キャプチャをとっていなかったのが悔やまれるが、1年ちょっと前、私がログインして使い始めたころには、「非公開にする」はなかったような気がするがどうだろうか。

今から数ヶ月前の時点では、「行った」の登録画面は、図3とは異なり、昼と夜を区別せずにスコアをつける方式(旧版の「ブックマーク」と同様の)だった。これが、最近になって、図3の画面のように、「口コミ投稿」と同じ、夜と昼に分けてスコアを付ける方式に変わった。このあたりで、「ああ、公開レビューと統合されたんだな。」とようやく気付いた。つまり、「行った・行きたい」のブックマーク機能が、いつの間にか、「行った」については、コメントなしの公開レビューと同等のものになっていたわけだ。

Twitterを検索して探してみたところ、ちょうどこのころに、少ないものの以下の声があった。

こうした仕様変更の案内は一切目にすることはなかった。スマホアプリ版の「食べログ」を使っていると、そうした告知が目に入ってくることはない。

ここでようやく、「◯◯のレストランガイド」でググってみた。「食べログ」にログインしていないWebブラウザでだ。すると、私の「◯◯のレストランガイド」が出てきて、「行った・行きたい」がすべて公開状態になっていた。

幸い、「◯◯」は、私が「食べログ」アカウント作成時に付けたIDで、直ちに他人に知られるものではなかったので、私の秘め事が世間にもろバレ!と直ちに慌てふためくことではなかった。

しかし、いずれはバレる可能性があるので、全部非公開にしようと試みたところ、これがどうもよくわからない挙動だった。「非公開にする」にチェックを入れたのに公開状態のままだった記憶があるが、画面キャプチャをとっていないので定かでない。

設定画面で、丸ごと非公開にできないものかと、設定画面を見に行くと、図4のように、どこにもそういう機能はなかった。「公開設定」というメニューがあるが、これは、「フォロー中・フォロワー一覧」を非公開にするものでしかない。

画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ
図4: 設定画面に全体非公開の機能が存在しなかった様子(2016年3月27日時点)

「おいおいこれはヤバいぞ」と、すわブログネタかと色めき立ったが、自分のアカウントを非公開にできていないうちは書けないし、忙しくてそれどころではないしと、しばらく放置していた。

そこに転機が訪れたのは、今年3月27日のことだった。たまたま、Webの「食べログ」画面を訪れたとき、ログインしてみようという気になったので、ログインしたところ、図5の画面に、何やらお知らせが出ていることに気付いた。

画面キャプチャ
図5: 「Facebook設定のご確認のお願い」との告知が出ている様子(2016年3月27日時点)

「Facebook設定のご確認のお願い」……とな? 「ご確認のお願い」という時点で悪い予感しかしない。

これをクリックしたところ、以下の説明が出ていた。

画面キャプチャ 画面キャプチャ
図6: 「Facebook設定のご確認のお願い」の中身と、その設定画面の様子(2016年3月27日時点)

これはアカン。デフォルトが有効やないか。なーにが「この機能をご利用になりたい場合、以下で設定してください」だ。しかも、「Facebookでログインしていない方は、ご利用いただけません」ということは、私のように、Facebookアカウントでログインした利用者は、問答無用でFacebookの友達らに私の「食べログ」アカウントがバレて、「行った・行きたい」が全バレになってしまうということじゃないか。なーにが、「この機能をご利用いただくかどうか事前に設定いただけますので」だよボケが。「ご注意事項」って、ヤバいってこと自覚してるじゃねえか。「3月2日」付になっているが、27日まで気づかなかったぞ。

「食べログ」アプリの通知は許可していたが、通知による告知はなかった。いちおう、図7のように、目立たないところにある「その他」の画面にたどり着くことができれば、「食べログからのお知らせ」があって、そこに掲載されていたが、こんなところをいちいち見ている人は皆無だろう。

画面キャプチャ 画面キャプチャ 画面キャプチャ
画面キャプチャ 画面キャプチャ
図7: アプリで「Facebook設定のご確認のお願い」を見る方法(2016年3月27日時点)

これは大変なことになると思ったが、じっくり書いている暇が全くなかったので、取り急ぎ以下のツイートをした。

すると、数日後、この「Facebook設定のご確認のお願い」の「お知らせ」が消滅していた。その後の状況からすると、どうやら、この時点で、関係者に問題点が理解され、対策が進められたようだ。

画面キャプチャ
図8: 「Facebook設定のご確認のお願い」が「お知らせ」から削除されている様子(2016年4月2日時点)

そして、4月14日ごろ、アプリのアップデートと共に、この新機能がリリースされた。

画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ
図9: 新機能が登場した様子(2016年4月14日時点)

このように、この機能は、本人が自らボタンを押して利用開始しない限り有効にならない仕様に変更され、かつ、ボタンを押したときに、「相手からも自分が見つけられるようになりますので、ご注意ください。」と警告が出るようになっていた。Facebookでログインしている私のアカウントでも、さらにFacebookで連携しない限りこの機能は有効とならないようになっていた。

これならOKだ。こういうのが「プライバシー・バイ・デザイン」である。

設定画面も改善されていた。(この点については私は何もツイートしなかったが、誰かが指導してくれたのか、それとも元々社内でもヤバいと心配している社員さんがいたのであろうか。)

画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ
図10: 改善された設定画面(2016年4月14日時点)

このように、設定画面直下に「プライバシー」のメニューが用意され、「アカウント公開・非公開」の設定が設けられ、「行きたい」全体を非公開にする設定がここに設置された。最初からこうなっていなければならないところだ。

これで一件落着……かというと、そうではない。ここからが本題である。

Facebook連携でのアカウント・バレは避けられたものの、依然として、自分の「行った・行きたい」が公開されているとは露知らず、旧版アプリの「ブックマーク」の延長として使い続けている人たちが、大量にいることだろう。

「行った・行きたい」が意思に反して公開されると何が問題か。アカウント名が誰だとわからない名前なら、誰だとわからないから問題ないじゃないかと思われるかもしれない。

では、私のアカウントを実際に見ていただきたい。以下は、本アカウントとは別に、このブログを書くためのデモンストレーション用のアカウントを新たに作成し、ダミーの「行った・行きたい」を登録したものである。

地図からわかるように、東京都、茨城県、新潟県、愛知県、岐阜県、京都府、広島県に登録がある。それぞれを見ていくと、以下の特徴があることがわかる。

  • 茨城県を見ると、筑波研究学園都市の南部で、ランチばかり利用した記録が多数ある。
  • 東京都では、溜池山王駅の周辺で、ランチばかり利用した記録が多数ある。

画面キャプチャ 画面キャプチャ
図11: 特徴的な登録地点その1

このことから、産総研か環境研、気象研ないしJAXAあたりに勤務していて、溜池山王駅周辺にも勤務しているっぽいことがわかる。日付から、同時期に双方に行っていることもわかる。

  • 新潟大の隣の店でランチし、夜に寿司屋に行っている。
  • 名工大の近くの店を登録している。
  • 岐阜県東濃地方でラーメン店を複数登録している。
  • 目白駅の近くで昼・夜共に登録がある。
  • 文京グリーンコートの近くに夜の登録がある。

画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ
図12: 特徴的な登録地点その2

私が、岐阜県東濃地方出身であること、名工大出身であることはWikipediaに掲載されているし、目白駅の近くに以前住んでいたことは2011年11月26日の日記で明かしているし、新潟大は、夏の集中講義に行ったことが鈴木正朝先生によってツイートされている。文京グリーンコートはJITEC関係として公開事項である。

このことから、私のアカウントを探そうとしている人からすれば、これがひとたび見つかれば、高木であることは相当な確度を持って確信できることだろう。

そして、その他に、墨田区の言問橋近辺に多くの昼と夜の登録がある。これは自宅に違いないという推定ができる。

画面キャプチャ
図13: 自宅近辺が推定される様子

今回のこれは、デモ用にダミーの登録をしたものであり、自宅は言問橋近辺ではないが、本アカウントがバレていたら、自宅は特定されるところだった。

こうやって、非公表の事項がわかってしまうわけで、その他、京都駅近くのラーメン店、尾道のラーメン店に行ったのだなといったこともバレバレだ。今回は、本アカウントから公表しても平気な店を選んで登録したので問題ないが、本アカウントがバレていたら、いらぬ詮索をされてけっこうつらいところだった。デモ用アカウントでは、登録日はすべて3月27日になっているが、本アカウントでは、実際に行った日などが登録日となっている。

このように、疑いのアカウントが見つかると、確信を持たれてしまうだろうが、では、疑われるアカウントをどうやって見つけるのか、簡単には見つけられないだろうと思うかもしれない。しかし、各アカウントごとに、勤務地と自宅らしき場所を推定するアルゴリズムは作成できるだろう。クローラーで大量に集めたデータから、機械的にそれを分析して、あとは、勤務先等で検索していくことで、疑いのアカウントを絞っていくことはできてしまうのではないか。

むろん、「口コミ投稿」を書いている利用者の方々は、自ら公表しているのであって、特定され得ることも承知で使っているのだろう。だが、冒頭に示したように、旧版の「食べログ」アプリから移行組の「口コミ」無投稿勢にとっては、予期せぬことではないか。

カカクコムは、今月のFacebook連携の新機能リリースで、「プライバシー・バイ・デザイン」を実践してみせた。それは大変結構だ。しかし、この「行った・行きたい」がデフォルト公開であることの周知は、未だできていない。現在も、初めて使う利用者が「行った・行きたい」を使おうとしたときに出てくる画面は、図14のとおりであり、左の画面は、3月時点の図2と変わっていない。

画面キャプチャ 画面キャプチャ
図14: 初めて使う利用者が目にするであろう画面(現時点)

図14の右の画面には、「Facebookの友達と行った・行きたいお店を共有できます。」とあり、この点は先月と違うが、これがどういう意味かもよくわからない。以前とは違って、アカウント作成時にFacebook連携を選ぶと、Facebookの「友達」から探される状態になる(つまり、4月からの新機能が最初から有効になる)という意味なのだろうか? そうだとすると、これはよけいに誤解を招くものになっている。実際には、Facebookの友達だけでなく、一般公開の状態になるのである。

この類のトラブルは、かつてのFacebookで度々起きていたものと同種である。SNSサービスを提供する側からすれば、せっかく作ったのだから公開設定で使って欲しいという願いがあるのだろうし、作っている開発者は公開で当然という思い込みをしがちなのかもしれない。Facebookは、トラブルを繰り返した結果、米国連邦取引委員会(FTC)の厳しい監督下に置かれることになり、これまでにだいぶ改善されてきた。今では、プライバシー設定の画面が用意され、アカウント作成時にまずそこを確認するように促されるようになっている。

  • Facebook、プライバシー問題でFTCと和解, ITmediaニュース, 2011年11月30日

    米Facebookは11月29日(現地時間)、同社サービスのプライバシー設定をめぐる訴訟で、米連邦取引委員会(FTC)と和解することで合意したと発表した。

    合意の条件は、FTCが米Twitterや米Googleに提示したものとほぼ同じで、包括的プライバシープログラムの実施と、向こう20年間にわたる第三者機関による定期的(2年に1度)な査察の受け入れなどが義務付けられる。

「食べログ」も同様に、利用者への適切な案内が必要であり、誰かにそれを指導して欲しいところだ。しかし、残念ながら、日本にはそういうFTCが存在しない。今年1月、ようやく日本にも「個人情報保護委員会」が創設され、本来ならばこの委員会が、プライバシーコミッショナーとして、FTCと同様の役割を果たすことが期待されるところであるが、おそらく、そういうことはまだ5年は先のことになると思われる。

追記

地図の図(図11〜図13)を追加した。

本日のリンク元 TrackBack(0)

2016年04月06日

行政機関法では再識別禁止がないから個人情報に当たるですって?(パーソナルデータ保護法制の行方 その22)

これまで静かに憂慮されてきた論点が、昨日の衆議院総務委員会での答弁で、曲解された形で披露されるに至り、もはや座視できない危険水域に達していることが明らかとなった。

昨年の個人情報保護法改正で誕生した「匿名加工情報」は、その定義の解釈を巡って、今もこの分野の研究者の間で憂慮され続けている論点が残っている。それは、匿名加工情報が個人情報に該当しないとされる理由に、「法律によって再識別行為が禁止されていることにより、他の情報と容易に照合できないこととなり、個人情報に該当しなくなる。」とする理屈が、政府見解の一部として出てくることの問題である。この理屈がどう不味いのか、昨年の情報ネットワーク法学会での発表*1に続き、今年2月19日に、情報処理学会EIP研究会での発表があった。

この論文(研究会報告)は、「容易照合性包含説」と「容易照合性非勘案説」に分けた上で、前者を、「政府説1(法的禁止説)」と「政府説2(立案担当者説)」に分けて比較し、政府説2の方がベターだが、政府説2でも問題が残ると指摘している。

論点は、匿名加工情報の定義にある「特定の個人を識別することができないように」の解釈について、他の情報と照合することによる識別の可否を含むのか否かについて、まずは含む(「容易照合性包含説」*2)とした上で、政府説1が、「安全管理措置義務(法36条2項)と識別行為禁止義務(法36条5項)という法的義務規定が法文上存在していることをもって照合することができないと結論付け、容易照合性の問題は生じないという主張をしている」とし、これには次の問題があると指摘する。

仮に、政府説1に沿って容易照合性を解するとなると、禁止義務が法文上存在さえしていれば容易照合性の問題が生じず、特定個人の識別性も排除できることになる。そうすると、データに何らの加工を施す必要がなくなるから匿名加工情報の作成に関する条文すら不要となってしまい、匿名加工情報の措置(法2条9項1号)や加工基準(法36条1項)といった規定が存在していることと相反する。

また、突合の問題に配慮されていない状態の匿名加工情報の流通を許せば、禁止義務の存在を知りながら識別行為を試みる不正も起こり得るという実務的な懸念もある。

ゆえに、容易照合性を論じるにあたっては、法的義務が存在していることと、対象となるデータが性質上突合できる状態にあること、という両者はそれぞれ分けて検討すべきであろう[5]。

政府説1に関する記述については、引用資料における扱いが本文ではなく欄外のコラムに過ぎない点、改正案への具体的批判などが展開される前に初期の国会で発言されたものに過ぎない点を考慮すると、立案担当者らの本来の意図はむしろ政府説2にあるといえそうである。

藤村明子, 間形文彦, 亀石久美子, 板倉陽一郎, 匿名加工情報及び個人情報における容易照合性概念の整合性に関する考察, 情報処理学会研究報告, Vol.2016-EIP-71, No.3, 2016年2月

ここに問題があることは、私も、2015年3月の情報法制研究会第1回シンポジウムと、6月の第2回シンポジウムで提起しており、要するに、「「してはならない」との規定によって「できるもの」該当性が否定されるというのは、法技術論的にありえない。」ということを指摘していた(資料p.12)。前掲の藤村らの論文では、「法的義務が存在していることと、対象となるデータが性質上突合できる状態にあること、という両者はそれぞれ分けて検討すべき」と指摘している。

この論点は、これまでに、「匿名加工情報は何でないか・中編(保護法改正はどうなった その3)」で少し触れつつ、以下の通り予告していたように、「匿名加工情報は何でないか・後編」で結論的な提言を書くつもりだった。

これをどう理解するか。「匿名加工情報にすれば(容易照合性が否定されて)個人情報でなくなる」という意味なのか。そうだとすると、「個人情報である限りは匿名加工情報になり得ない」というわけではなく、加工したものが元データとの照合により依然として個人情報に当たるものであっても、匿名加工情報に該当することにしてしまえば、再識別が法的に禁止される(改正後36条5項)ことから、容易照合性が消滅して、個人情報に当たらないことになる……と、そういう意味なのか。

当時、何人もの有識者(私が知る限り少なくとも5人)がそんな解釈はあり得ないと反発した。これまでの個人情報定義にあった「照合することができ」というのは、データの性質あるいは状態を言う要件であるはずなのに、法律で禁止されることがその該当・非該当に影響を及ぼすというのは、法解釈論上あり得ないという反発だった。

一方で、そのような解釈を導入せざるを得ない事情も理解できる面がある。この論点をどう整理すれば決着するかは、そう簡単なことではない。私には理屈の見通しがあるが、それについては本シリーズの「後編」で書くつもりだ。

匿名加工情報は何でないか・中編(保護法改正はどうなった その3), 2016年1月31日の日記

ところが、ここに来て、この論点が新たな局面を迎えることとなった。今国会に提出された行政機関個人情報保護法の改正案について、昨日、衆議院総務委員会で質問があり、答弁に立った行政管理局が、この論点に関わる明らかに間違った答弁をしたのである。

  • 衆議院総務委員会、2016年4月5日(衆議院インターネット審議中継 2:01:59より)

    (総務省行政管理局長の答弁より要約)

    「非識別加工情報」は、元の個人情報から氏名、住所を削除する、あるいはデータを入れ替えして作成するものであるが、元になったデータは、「非識別加工情報」を作った後においても、行政機関において保有されることになっている。また、「非識別加工情報」は行政機関においては、照合を行う必要がある場合もあり得る。したがって、他の情報と「非識別加工情報」と照合を禁止するという規定は置いていない。そうすると、これは理論上、行政機関の内部においては、「非識別加工情報」はこの作成の元となったデータと照合することは可能であるので、個人情報に該当することになる

    他方、個人情報保護法における「匿名加工情報」は、個人情報に該当しないということになっており、この2者を区別する必要がある。そのために別の名称「非識別加工情報」という名称を付しているというわけである。

    他に混乱が生じないかとのことだが、他方、行政機関から外に出て行った場合は、民間事業者に提供された場合は、受け取る側の民間事業者にとっては、個人情報保護法が一律に適用になることになる。したがって、この情報は民間事業者が受け取った段階で「匿名加工情報」となる。したがって、個人情報保護法の規定に沿い照合禁止の義務もかかるので、他のデータと照合することはできない。民間事業者にとっては、法運用は統一されているので、混乱は生じない仕組みとなっておると考えている。

これは、3月6日の日記の脚注5で書いていた悪い予感(前回の日記の「残る瑣末な論点」の2つ目参照)が的中してしまったものだ。

つまり、行政機関等パーソナルデータ研究会の最終報告書で書かれていた、行政機関法では匿名加工情報が個人情報に当たるとする理由の、「加工に用いた個人情報自体などとの照合により特定の個人を識別することができることから」という部分*3が、てっきり、個人情報定義の「容易に」の有無の違いからくる意味で言っているものと思いきや(前回の日記参照)、そうではなく、「他の情報と照合を禁止する規定を置いていないから」との理由であることが、この国会答弁で初めて明るみになった。

これが「明らかに間違った答弁」であることを、書いておかねばならない。

この答弁は、論理が一部省略されているので解りにくいかもしれないが、「他方、個人情報保護法における「匿名加工情報」は、個人情報に該当しないということになっており」というのが、要するに、「個人情報保護法には再識別禁止の規定があるから、匿名加工情報が個人情報でなくなるのだ。」という前提を置いているということだろう。それに対して行政機関法には「照合を禁止するという規定は置いていない」ことから、その違いによって、行政機関法では匿名加工情報が個人情報になってしまうと言っている。

この論理展開自体もおかしいが、それはともかくとして、「個人情報保護法には再識別禁止の規定があるから、匿名加工情報が個人情報でなくなるのだ。」という前提には、前掲の通り研究者からの批判がある。

研究者からの批判は、再識別禁止の法的義務とデータが性質上突合できる状態にあることは別だというものだが、ここでは百歩譲って、「法律によって再識別行為が禁止されていることにより、他の情報と容易に照合できないこととなり、個人情報に該当しなくなる。」という理屈を、正しいものと仮定しよう。

「後編」で書くつもりだったが、この理屈が必要とされるのは、匿名加工情報の提供を受けた匿名加工情報取扱事業者において、受け取った匿名加工情報が、もし、元々保有している自社内の様々な個人情報と容易に照合することによって個人情報となってしまうなら、この制度の意味がなくなってしまうことに端を発する。ここに何らかの手当てをしなければならないのは確かであろう。個人情報保護法38条の「識別行為の禁止」規定が置かれたことによって、そこを気にしなくてよいとするのが、政府見解の本来の趣旨であったはずだ。

ところが、これが、匿名加工情報を作成した個人情報取扱事業者が、自社内で目的外利用するために、この制度を使おうという話が途中から出てきて*4、話がおかしくなり始めた。昨年3月の国会答弁で初めて表に出てきたこの解釈は、以下のものであった。

○高井分科員 (略)今度は、容易照合性という問題について、ちょっと専門的な話ばかりで大変恐縮なんですが。

今、現行法では、それ単体で個人情報とは言えないデータでも、他の情報と容易に照合することができて、それによって特定の個人を識別することができるものは個人情報に含まれるんだと。つまり、容易に照合できてしまえば個人情報になってしまう。

それは、例えば、個人情報のデータベースと、それから匿名加工した情報のデータベース、二つ分けて置いているんですけれども、実際に一人の人間がこれにアクセスするということは、企業であればあると思うんですね。やはり、もともと同じデータベースから端を発しているものですから、これが、一人の人でもアクセスしたら、それは容易に照合できることになるから、これは全て個人情報にみなされてしまうと、では、それを分けるために会社は担当者を二人置かなきゃいけないとか、非常に煩雑なことになると思うんですが、このあたりはいかがでしょうか。

○向井政府参考人 お答えいたします。

匿名加工情報は、先ほども申しましたが、特定の個人を識別することができず、復元することができないように加工する。一方、さらに、当該事業者も含めて、他の情報と照合して再特定化することを禁止しているというところでございます。

したがいまして、匿名加工情報は、そもそも、作成に用いた個人情報と照合することが禁止されておりますので、容易照合性は認められないと私どもは解釈しております。

したがいまして、この匿名加工情報におきましては、容易照合性の問題は生じず、個人情報には当たらないというふうに考えてございます。

第189回国会会議録 平成27年3月10日 衆議院予算委員会第一分科会第1号

質問者の高井分科員は、質問の趣旨を明確にしていない*5が、今から思うと、これは、個人情報取扱事業者が、自社内で目的外利用をするために匿名加工情報の制度を使うときに問題となることについて質問したもの*6だったのだろう。答弁に立った向井審議官は、その前提で答えており、「作成に用いた個人情報と照合することが禁止されておりますので、容易照合性は認められない」としていた。

この解釈が、昨日の行政管理局の答弁の前提に使われているのだろう。

だが、条文をよく見てほしい。匿名加工情報を作成した個人情報取扱事業者自身による「識別行為の禁止」(36条5項)は、以下の規定となっている。


(匿名加工情報の作成等)
第36条
5 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。


そう、答弁では「作成に用いた個人情報と照合することが禁止されておりますので」と口にされていたが、条文では、「自ら当該匿名加工情報を取り扱うに当たっては」*7と、場面の限定付きなのである。*8

つまり、それ以外の場面では、自社内での元データとの照合は禁止されていないのであり、例えば、匿名加工情報を第三者に提供するときは、提供元において元データとの照合は禁止されないまま提供されるのである。(実質論としても、第三者提供時に元データとの照合を禁止しようが、しまいが、本人の権利利益への影響に違いはない。提供されるデータは同一なのだから。)

このことと、匿名加工情報を本人同意なく第三者に提供できる(特別の許可規定がないにもかかわらず*9)のが、提供される匿名加工情報が提供元において(提供元基準)個人情報に該当しないからとされていること、この2点を合わせて導かれる帰結は、匿名加工情報は常に提供元において加工の元データと照合しようとしても照合できないレベルに丸め加工がされる(匿名加工情報の加工基準がそのように規定される)ことが前提となっているということだ。

そうすると、昨日の行政管理局の国会答弁が前提としている、「個人情報保護法には再識別禁止の規定があるから、匿名加工情報が個人情報でなくなるのだ。」という見解は、単純に間違いだということがわかる。再識別禁止の義務が提供元にかかるのは、自ら利用する場合だけであり、それとは関係なく、匿名加工情報は個人情報でないのである。

行政管理局は、「行政機関法では作成した匿名加工情報の他の情報との照合を禁止する規定を置いていないから」云々と言っているが、民間部門においても(匿名加工情報の提供に際して)そのような規定はないのである。

去年の向井答弁「匿名加工情報は作成に用いた個人情報と照合することが禁止されておりますので」が、前提を省略して話したものであったにもかかわらず、その文脈に気づかない人たちによってこれを拡大解釈され、その結果、行政機関法の改正において、法案の立案に重大な狂いが生じてしまったということのようだ。

そもそも、行政機関法が、作成した匿名加工情報を他の情報と照合することを禁止する規定を置いていないのは、行政機関法では、去年の民間部門のときのように、自社内(自機関内)で目的外利用するために匿名加工情報の制度を用いる気など端からなかったからだろう。

昨日の答弁で、行政管理局が「「非識別加工情報」は行政機関においては、照合を行う必要がある場合もあり得る。したがって、他の情報と「非識別加工情報」と照合を禁止するという規定は置いていない。」と述べたのは、後付けで辻褄合わせのために作り出した虚偽の理由だろう。いったい、どういうときに、匿名加工情報を元データと照合する必要があるのか。そして、それがなぜ民間部門では必要とされず、行政機関だけで必要だというのだろうか。

昨日の答弁では、こんな発言もあった。

  • 衆議院総務委員会、2016年4月5日(衆議院インターネット審議中継 2:10:28より)

    恐縮でございますが、ちょっと個人情報保護法の解釈はちょっと私はよく存じ上げておりませんけども、

これには椅子から転げ落ちた。個人情報保護法の解釈をよく知らないと言って憚らない人たちが、行政機関個人情報保護法を改正するというのだ。

思えば、これまでに、行政機関パーソナルデータについて、2年弱にわたってウォッチしてきたが、行政管理局の言うことは徹頭徹尾出鱈目だった。なぜ外部の話を聞こうともせず事を進めるのだろうか。日本の法律がこんなにも杜撰な形で作られていくとは、嘆かわしくて涙が出る。

*1 藤村明子, 間形文彦, 匿名加工情報における「特定の個人を識別することができない」容易照合性について, 情報ネットワーク法学会第15回研究大会予稿集, 2015年11月

*2 「改正法2条9項柱書の文言中に改正法2条1項1号の括弧書きに相当する記述がないのは、単に文言が省略されているに過ぎず、改正法2条9項1号の匿名加工情報が「特定の個人を識別することができない」かどうかを判断する場合においても当然に容易照合性を考慮に入れることが相当であるという見解」(p.2)とされている。

*3 以下の強調部分のこと。

なお、行政機関等が作成する匿名加工情報は、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものであるが加工に用いた個人情報自体などとの照合により特定の個人を識別することができることから、行政機関個人情報保護法・独法等個人情報保護法の個人情報に当たるものであると考えられる

行政機関等が保有するパーソナルデータに関する研究会, 行政機関個人情報保護法・独法等個人情報保護法の改正に向けた考え方, 2016年3月7日, 13頁

*4 日経IT Pro, 「個人情報保護法改正案、「匿名加工情報」は社内利用にも適用」(2015年3月27日)参照。

*5 最初に読んだときは、Q14問題の一般論についての質問かと思い、匿名加工情報の自社内目的外利用の話だとは思わなかった。改めてよく見ると、「匿名加工した情報のデータベース」とあり、匿名加工情報に関する質問であることは示されていた。

*6 おそらく、匿名加工情報の自社内目的外利用を法案に入れ込んだ事業者の人たちからの要望による質問ではないか。

*7 「自ら当該匿名加工情報を取り扱う」の意義については、立案担当者らによる公式的な解説書(瓜生和久編著, 一問一答 平成27年改正個人情報保護法, 商事法務, 2015年12月)において、Q27とQ29で次のように書かれているように、「自らこれを取り扱う」とは、「自社内で利用すること」を指している。Q29の回答にある「自らが当該匿名加工情報を取り扱う場合であっても」との文から、これが第三者提供を含まない意味であることは明らかであろう。

Q27 匿名加工情報は、どのような利用が想定されていますか。また、作成した匿名加工情報は、自社内で利用することはできますか。

A (略)また、匿名加工情報が基本的に個人の権利利益を侵害することがないという性質を有するものであることから、匿名加工情報を作成した個人情報取扱事業者(以下、「事業者」といいます。)が、自らこれを取り扱うことも認めています(注1)。これにより、事業者は、その取得した個人情報を匿名加工情報に加工し、第36条に規定する一定の規律(注2)に則りつつ、個人情報に比べて緩やかな規律の下で自社内でも利用することができます。

瓜生和久編著, 一問一答 平成27年改正個人情報保護法, 商事法務, p.47

Q29 匿名加工情報を作成の元となった個人情報に戻すことは認められていますか。

A (略)また、この匿名加工情報は、これを作成した個人情報取扱事業者が自ら利活用することを制限していません(Q27参照)。そこで、匿名加工情報を作成した個人情報取扱事業者自らが当該匿名加工情報を取り扱う場合であっても、匿名加工情報の作成の元となった個人情報の本人を識別するために他の情報と照合することを禁止することとしました(注)

瓜生和久編著, 一問一答 平成27年改正個人情報保護法, 商事法務, p.47

*8 質問もその場面についての問いだったのだから、答弁ではこの限定を省略して答えたものとみるべきだろう。

*9 2015年12月6日の日記「匿名加工情報は何でないか・前編」の「匿名加工情報は「個人データであっても第三者提供を許す」の形ではなかった」参照。

本日のリンク元 TrackBack(0)

2016年03月27日

行政機関匿名加工情報取扱事業者に再識別禁止の義務はかかるのか(パーソナルデータ保護法制の行方 その21)

前々回の「行政機関法では匿名加工情報が個人情報に当たるですって?」で書いていた、行政機関等が保有するパーソナルデータに関する研究会の最終報告書「行政機関個人情報保護法・独法等個人情報保護法の改正に向けた考え方」が公表された翌日、行政機関法の改正法案*1が閣議決定され、国会に提出された。

有意義な制度が誕生する予感

これは画期的な法案だと思う。去年成立した個人情報保護法の改正法では、民間部門に匿名加工情報の制度を設けたものの、その必要性が疑われるものとなってしまった*2のに対し、行政機関の匿名加工情報の制度は、非個人情報の提供にすぎない点では民間部門と共通であるものの、行政機関が自ら提案の募集をしなければならない点で、全く異なる性質のものだ。(独立行政法人もこれに同じ。)

正直ここまでやる気があったとは予想外だった*3一昨年12月の情報ネットワーク法学会のパネル「プライバシー・パーソナルデータアップデート」(動画)の席で、私は次のように述べていた。

板倉 (略)高木さんはほとんど傍聴に行かれていたと思いますが、何かこの研究会についてご感想があればお願いします。

高木 今、最後に石井先生からご指摘のあった、「提供しなければならない」ということがなぜ入っているかという部分は、研究会を傍聴していたところ、松村先生……。

板倉 松村雅生先生でしょうか。

高木 情報公開法の先生がおっしゃるには、結局、これはオープンデータとして活用していくことを推進するためだけども、行政に対して「利用できる」という形で個人情報保護法に穴開けをして、「やっていいですよ」としたところで、行政はやりはしないだろうと。オープンデータを推進するのであれば、「しなければならない」としないと、誰もやらないという指摘がありました。

それから、情報公開法の延長で、オープンデータ的なものができるかという話がありました。つまり、事業者が「こんなデータが欲しい」ということを行政機関に求めたときに、今の情報公開法の考え方では、情報をいじってはいけない。消すことについては一部隠すことはできるが、それ以外はそのまま出さなければいけないという制度ですから、統計化してほしいとか、k-匿名化して半生データが欲しいというような要求に対して、法の趣旨からして加工してはならないので、そういうのは成り立たないのだということで、そういう本当にやりたいことが、どちらの制度でも実はできないのではないか、という議論がありました。そのことがそのまま書かれているのだと思います。

私の意見としては、本当にオープンデータをやりたいのであれば、むしろオープンデータ推進基本法なりを作ってやらないと、この議論の延長ではできないというふうに思いました。

情報ネットワーク・ロレービュー講演録編, 第14回研究大会講演録, 190頁

これが本当に実現されることになった。オープンデータ法ではなく、保護法に盛り込まれたところには違和感があるにしてもだ。行政機関も独立行政法人も、情報公開と個人情報保護を担当してきた部署が、提案の募集と、提案の審査、匿名加工の発注と、受領者との契約など、これまになかった業務をこなさなくてはならなくなるわけで、その覚悟ができたことに驚いた。

また、昨年10月20日の日記「行政機関等パーソナルデータ制度改正に対するパブコメ提出意見」で示していた「意見2」の願いは叶った。この「意見2」は、匿名加工のソースとする元データは、散在情報の保有個人情報を対象とせず、個人情報ファイルを構成する保有個人情報に限るべきとしたものであったが、改正法案では、「行政機関匿名加工情報」*4の定義(2条9項)で、「次の各号のいずれにも該当する個人情報ファイルを構成する保有個人情報(略)の全部又は一部を加工して得られる匿名加工情報をいう。」とされたので、期待した通りとなった。

名称変更の謎

しかし解せないのは、「匿名加工情報」だったはずの用語が、どういうわけか、「非識別加工情報」などという別の名前になっており、名前を変える理由が謎になっていることだ。国会提出後に新旧対照表と同時に公表された「概要」の資料では、図1のように「匿名加工情報」のままとなっており、何か不測の事態が起きたように見える。

PDFの資料の1ページ
図1: 法案の「概要」の資料では「非識別加工情報」ではなく「匿名加工情報」と書かれている様子

この資料に、「個人の権利利益を侵害することにならないよう、民間事業者と行政機関等の双方に必要な規律を課す」とあるように、双方に義務を課すのだから、同じ名前でないと辻褄が合わないように思える。

民間事業者に規律を課すとあるが、今回の改正案に、民間事業者に再識別禁止の義務を課す新たな規定は含まれていない。行政機関個人情報保護法に民間事業者の義務を規定することを避けたのであろうか、どうやら、昨年の改正法で改正される個人情報保護法の38条(識別行為の禁止)でそれを拾う趣旨のようである。

今回の改正法は、個人情報保護法38条も改正するものとなっており、その改正部分は以下の下線部の挿入である。

(識別行為の禁止)
第38条 匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第36条第1項、行政機関の保有する個人情報の保護に関する法律(略)第44条の10第1項(同条第2項において準用する場合を含む。)若しくは独立行政法人等の保有する個人情報の保護に関する法律第44条の10第1項(同条第2項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。

この挿入部分は、取得を禁じようとする「36条1項の規定により行われた加工の方法に関する情報」に、行政機関法と独法法の規定で行われた加工の方法に関する情報も加えるという趣旨であり、それを超える意味はなさそうである。(ここに、「行政機関法2条8項の非識別加工情報を取り扱う場合もこの規定の◯◯を◯◯と読み替えて準用する。」といった規定があるわけではない。)

ここで疑問となるのが、行政機関法でいう「匿名加工情報」と、個人情報保護法でいう「匿名加工情報」は同一の概念なんだろうかという点である。

行政機関で作成した匿名加工情報(非識別加工情報)が提供されるとき、受領者には「匿名加工情報」の取扱いについて、再識別禁止の義務がかからなくてはならない。再識別禁止義務を前提として提供するのが匿名加工情報制度の元よりの趣旨であるからだ。

法案では名前が「非識別加工情報」となっていて、別の概念ではないかという疑義が生じるところ、別の概念であるとすれば、「非識別加工情報」の受領者に再識別禁止の義務がかからない場合が存在することになりかねない。

定義の内容が同じものを指しているか

名前の問題は置いておくとしても、それぞれの法律で定義された語が指す概念が同一のものであれば、再識別禁止義務は課されるということもできるだろう。

では、両者の定義は同一の概念を指しているのか。以下は、今回の改正法で規定される行政機関法の「匿名加工情報」(非識別加工情報)の定義と、昨年の改正法で規定される民間部門の「匿名加工情報」の定義を並べたものである。両者の違いは、下線部の括弧書き2つが挿入されている点のみである。

行政機関個人情報保護法
第2条
8 この法律において「非識別加工情報」とは、次の各号に掲げる個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。以下この項において同じ。)の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができない(個人に関する情報について、当該個人に関する情報に含まれる記述等により、又は当該個人に関する情報が他の情報と照合することができる個人に関する情報である場合にあっては他の情報(当該個人に関する情報の全部又は一部を含む個人情報その他の個人情報保護委員会規則で定める情報を除く。)と照合することにより、特定の個人を識別することができないことをいう。第44条の10第1項において同じ。)ように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

個人情報保護法
第2条
9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

1つ目の「(……もの(……ものを除く。)を除く。)」という二重の除外の括弧書きは、この法案で他のところでも何度も出てくるフレーズで、カオス感を醸し出しているが、これは、行政機関法の中でありながら、「個人情報」の語義を一時的に(「この項において」)民間部門の「個人情報」と同じにするという趣旨であろう。研究会がこだわっていた点である。民間部門と行政機関とで「個人情報」の定義が「容易に」の有無という点で異なるため、行政機関法の「個人情報」から照合による識別部分を除いた上で、容易照合による識別部分を戻すという規定となっている。

しかし2つ目の括弧書きが解せない。「委員会規則で定める情報を除く。」とあるので、委員会規則で範囲を調整できるようになっている。これはいったいどういう意図があるのだろうか。

2つ目の括弧書きは、「特定の個人を識別することができない」の後ろに「(……により、特定の個人を識別することができないことをいう)」と付いているので、「特定の個人を識別することができない」ことの明確化の括弧書きである。この括弧書きで何かを足したり引いたりしているわけではなさそうである。

そういえば、去年の改正法で、民間部門の「匿名加工情報」の定義においても、「特定の個人を識別することができないように」というのが、照合による識別を含むのか否かが解釈上の論点となっていた*5。もしここが、「特定の個人を識別することができないように加工して(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとならないように加工することを含む。)」と規定されていれば、元データとの照合もできないようにしたものという意味になる。

今改正案のこの括弧書きも、そういうことを言っているようにも見えるが、それならばそのように規定すればよいことであり、委員会規則に委任しているのが解せない。

この定義の趣旨について、日経コンピュータの大豆生田記者による、行政管理局への取材記事が先日出た。

  • 国立病院の医療データを活用できる?行政機関個人情報保護法改正案, 大豆生田崇志, 日経ITPro, 2016年3月22日

    ただし、行政機関個人情報保護法の改正案には、改正個人情報保護法にある「匿名加工情報」ではなく、「非識別加工情報」という新たな言葉が登場する。これについて改正案を提出した総務省は、「匿名加工情報と同じもの」(行政管理局)と説明する。

    あえて異なる名称にしたのは、行政機関個人情報保護法と個人情報保護法の間で「個人情報」の定義が異なるため、「匿名加工情報と差がないように、内閣法制局との議論で法制的に整理したもの」(同)という。総務省行政管理局は、今後の国会での議論に向けて分かりやすく説明したいとしている。

これによると、名前は違うが「匿名加工情報と同じもの」だといい、「匿名加工情報と差がないように」した趣旨であるが、「内閣法制局との議論で法制的に整理した」ことが原因でこうなったらしい。

委員会規則へ委任の謎

同じにするという趣旨はわかったが、条文がそうはなっていない。そもそも、このような丸投げの委任規定は合憲なのかという疑問もわく。

一般に、下位法令への委任規定は、何かしらの例示と共にその趣旨を一定程度規定した上で委任するのが通常だという*6。それなのにこの括弧書きは、照合の対象となる「他の情報」から「除く」とする情報の範囲について、「当該個人に関する情報の全部又は一部を含む個人情報その他の」という範囲で委員会規則で定めるとしているだけであり、範囲は「個人に関する情報」「個人情報その他」と広範なうえ、そこからどのように委員会規則で限定するのかという趣旨が何ら規定されていない。

そのため、例えば、委員会規則で定める「情報」の範囲を最大限にとるならば、照合の対象となる「他の情報」から「個人に関する情報」の全てが除外されることになるので、「措置を講じて特定の個人を識別することができないように個人情報を加工」するときに、元データとの照合による特定個人識別を一切考慮しなくてよいことになり、「k=1の仮名化」*7をしただけの詳細な記述の残るデータであっても、匿名加工情報(非識別加工情報)に該当することとなってしまう。

もしそのようになれば、氏名を黒塗りしただけの詳細な個人に関する情報が、行政機関から民間事業者に事業用途で提供されることになり、かなり深刻なプライバシー侵害が大量に発生する危険性が高まる。これは、情報公開法6条2項の規定により氏名を黒塗りして部分開示することに相当するが、情報公開法6条2項は、ただ単に黒塗りすればOKで開示せよとしているのではなく、「公にしても、個人の権利利益が害されるおそれがないと認められるときは」との個別の判断を求めている。これに対し、匿名加工情報(非識別加工情報)の制度には、提供するファイルの要素1個1個についての個別の判断をせよとする規定が存在しないのであるから、その歯止めがかからず、重大な事態を招きかねない。

また、この場合、「k=1の仮名化」では、元データとのデータセットによる照合*8により、特定の個人を識別できることとなるデータであるから、その行政機関においては依然として個人情報のままであって、目的外で提供すれば行政機関法8条(利用及び提供の制限)に違反することになってしまう。*9

そして、この場合、行政機関の匿名加工情報(非識別加工情報)は、民間部門の匿名加工情報とは、名称が異なるだけでなく、その指している情報の範囲も異なるものということになって、これらは別の概念だということになるから、受領者に再識別禁止の義務がかからない事態となってしまう。

他方、委員会規則で定める「情報」の範囲を最小限にとるならば、照合の対象となる「他の情報」に元データは含まれるままとなって、「k=1の仮名化」では匿名加工情報(非識別加工情報)に該当しないということにできる*10ので、民間部門の匿名加工情報と同じく「匿名加工情報は個人情報でない」という性質を確保でき(常にではないが、その点は後述)、匿名加工情報であれば提供できることになる。

委員会規則の定め方によってこんなにも結果が大きく違ってくるのだから、この丸投げ委任の不適切さは看過できないものだろう。どういう趣旨での限定なのか、民間部門の匿名加工情報と差がないようにというのが趣旨であるなら、それを条文に書き込んで然るべきだ。

というか、それ以前に、そもそも、これは明確化の括弧書きであるのに、委員会規則で変更できるということ自体がおかしい。

研究会報告書と提出法案の関係

このように条文を検討したうえで、前々回の「行政機関法では匿名加工情報が個人情報に当たるですって?」の件を再検討してみると、見えてくることがある。

なお、行政機関等が作成する匿名加工情報は、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものであるが加工に用いた個人情報自体などとの照合により特定の個人を識別することができることから、行政機関個人情報保護法・独法等個人情報保護法の個人情報に当たるものであると考えられる。本研究会においては、加工基準がまだ定められていない中、行政機関等の匿名加工情報が個人情報に該当する場合も検討対象に含めておくべきとして議論をしてきたところであるが、基本的な考え方としては、個人情報に該当しても、個人の権利利益の保護が図られるための規律が設けられ、また、官民の匿名加工情報の流通に支障が生じないのであれば問題は無いものと言えよう。

行政機関等が保有するパーソナルデータに関する研究会, 行政機関個人情報保護法・独法等個人情報保護法の改正に向けた考え方, 2016年3月7日, 13頁

松村構成員にあれだけしつこく論理的矛盾を追求されたにもかかわらず、頑として譲らず、この通り、「識別できないようにしたものだが識別することができるから」などと、直球で矛盾する文章を堂々載せたわけだが、これは、まさに前記の2つ目の括弧書きと関係しているように見える。

これは、「識別できないようにしたもの」と「識別することができる」とで、異なる意味で「識別」の語を用いているのだろう。後者は、この文に「照合により」とあるように、照合による識別を含む意味で言っていて、前者は、照合による識別を含むのか含まないのか曖昧なままとなっている。

この前者の曖昧性については、前記の通り、去年の改正法のときから論点になっていたところで、脚注5の通り、照合による識別を含む(省略されているだけである)と解するべきだというのが私の意見である。ここの政府解釈が定まっていないというのであれば、今改正を通じて明確にするのがよい。

さらに、ここで「照合による識別」と平易な文で述べたが、これも、「容易に照合することができそれにより識別」の意味なのか、それとも、「容易に」なしに「照合することができそれにより識別」という意味なのかという曖昧性がある。つまり、民間部門の「個人情報」定義に沿って「識別できないように」とするのか、行政機関法の「個人情報」定義に沿って「識別できないように」とするのかの違いである。

行政管理局は、定義を民間部門のものと「同じもの」「差がないように」したというのであるから、「容易に照合することができそれにより識別」の意味で「識別できないように」の「識別」を解釈することにするのが自然であるように思える*11。――(A)

そうすると、前者の「識別できないようにしたもの」と後者の「識別することができる」とで、「識別」の意味は、「容易に」の有無の分だけ異なるのであるから、研究会の報告書は、この理屈によって「個人情報に当たるものである」という結論を導き出している(この帰結もおかしいが、一旦置いておくとして)のだと、このように読解することができる。

ところが、国会に提出された法案の条文はそうはなっていない。前記2つ目の括弧書きは、「識別できない」の「識別」の意味を、「容易に照合することができそれにより識別」の意味として明確化してはおらず、どのような照合とするかを委員会規則に委任しているのである。どうしてこうなったのだろうか。

もしここを、「容易に」なしに「照合することができそれにより識別」という意味で「識別できないようにしたもの」としていれば、行政機関法の「個人情報」定義に沿って「識別できないように」の意味となるから、行政機関法における匿名加工情報は、行政機関において個人情報に当たらないこととなる。なぜその道を選択しなかったのだろうか。――(B)

どちらの道も選択せず、委員会規則に委任したというのが全く解せない。もしかして、直前まで人によって言うことが違っていて、決めきれなかったということではないのか。もしこれが図星なら、あんまりだ。

(B)の道を選択した場合どうなるか。行政機関において匿名加工情報は個人情報でないことになって都合がよいが、匿名加工の方法の基準(最低限の基準)が、民間部門のものとは異なることになるので、民間部門に向けて作られる匿名加工基準を行政機関でそのまま使えないことになってしまう。行政管理局はこれを避けたかったのではないか。

また、(B)を選択した場合は、「匿名加工情報」の概念が、行政機関法と民間部門とで異なることになるため、行政機関で作成した匿名加工情報について、受領者に民間部門の再識別禁止義務(改正個人情報保護法38条)が課されるのか、法解釈上怪しくなるという問題もある。

どうすればよいのか

結局、(A)を選択するしかないように思える。その場合に問題となるのは、行政機関では「匿名加工情報」に加工しても「個人情報」である場合があるという点である。

重要なのは、常に個人情報となるのではなく、あくまでも個人情報となる場合の存在が否定できないというだけである。その意味で、研究会報告書の「加工に用いた個人情報自体などとの照合により特定の個人を識別することができることから」という、あたかも常にそうなるかのような書きぶりは不適切である。

どうすればよいかの結論は、実は前々回も書いている。その部分を再掲すると以下である。

民間部門の匿名加工情報は、処理情報的照合性で個人識別性が排除されるので、元データの個人情報ファイルと加工データのファイルとの間で、照合ができないデータになっていれば足りることになるため、k=2のk-匿名化(というかグループ化)によって、加工ファイルは個人情報ファイルに該当しなくなる。

公的部門の匿名加工情報については、加工方法における匿名加工情報該当性判断と、当該匿名加工情報を提供してよいかの判断とで、2段階に分けられる。

加工方法については、民間部門の匿名加工情報と同じであり、元データの個人情報ファイルと、加工データである匿名加工ファイルとの間で、照合ができないデータに匿名加工すれば、匿名加工情報に該当する。ここでは、照合識別要件該当性は処理情報的照合性で判断される。

次に、そうして作成された匿名加工情報のファイルを、いざ提供しようというときには、そのファイルの各要素に、「保有個人情報」に該当するものが残存していないか確認し、存在すればそれを除去する必要がある。そうしなければ、保有個人情報の目的外提供となって行政機関法8条に違反する。ここでは、照合識別要件該当性は散在情報的照合性で判断される。

民間部門にはこの義務がなく、この作業は手間のかかるものかもしれないが、情報公開制度で個人情報ファイル丸ごとに対する開示請求があった場合には、その手間をかけているのだから、行政機関にとってはその延長といえるかもしれない。

このように整理すると、「容易に」の有無の違い、匿名加工情報の範囲、情報公開制度との関係、いずれも違和感なく整理できると思う。まとめると以下となる。

  • 行政機関の匿名加工情報は、加工方法における個人識別性排除のための照合識別要件は、民間部門と同じである。
  • 民間部門との違いは、保有個人情報の目的外提供とならないためのチェック工程が追加的に必要となることにある。
  • このチェック工程で想定すべき照合先は、「図書館等の公共施設で一般に入手可能なものなど一般人が通常入手し得る情報」であって、行政機関内の元データではない。(元データとの処理情報的照合性は匿名加工で既に排除されているから。)
行政機関法では匿名加工情報が個人情報に当たるですって?, 2016年3月6日の日記

この考え方を採用するには、「散在情報的照合性 vs 処理情報的照合性 説」を採用するのが前提である。現時点では、まだ私の独自の見解にすぎないので、これを前提にするわけにはいかないのは理解できる。

そこで、次善の策として次のように考えることもできる。

まず、前々回の「まとめると以下」の、最初の2つの事項はそのまま採用できる。

  • 行政機関の匿名加工情報は、加工方法における個人識別性排除のための照合識別要件は、民間部門と同じである。
  • 民間部門との違いは、保有個人情報の目的外提供とならないためのチェック工程が追加的に必要となることにある。

1つ目の事項は、要するに前掲の(A)を選ぶということである。法案の条文について言えば、委員会規則に委任するのをやめて、はっきりと「容易に照合することができそれにより識別」の意味で「識別できないようにしたもの」の意味である旨の括弧書きに修正すればよい。それが今からでは困難であるならば、いっそのことこの2つ目の括弧書きを削除してしまい、政府解釈で示すことにするという方法もあるだろう。

2つ目の事項は、作成された「行政機関匿名加工情報ファイル」(法案では「行政機関非識別加工ファイル」だが)を提供する前の段階で、ファイルの各要素について、保有個人情報に該当するものとなっていないか、人力で検査することである。

このようなチェック工程は、行政機関に対してならば無理な注文でもなかろう。情報公開制度を運用するのと似た作業である。

実は、これに類する作業を要求する規定が、今回の改正法案には規定されている。それは、2条9項の「行政機関匿名加工情報」(法案では「行政機関非識別加工情報」だが)の定義中にある、以下の強調部分である。

9 この法律において「行政機関非識別加工情報」とは、次の各号のいずれにも該当する個人情報ファイルを構成する保有個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。以下この項において同じ。)の全部又は一部(これらの一部に行政機関情報公開法第5条に規定する不開示情報(同条第1号に掲げる情報を除く。以下この項において同じ。)が含まれているときは、当該不開示情報に該当する部分を除く。)を加工して得られる非識別加工情報をいう。

匿名加工情報を作成する前に、ソースとする個人情報ファイルについて、その各要素について検討して、情報公開法の不開示情報(個人に関する情報以外の、法人情報や、国家安全、公共安全に係る情報等)に該当する部分を除去しなければならないとしている。

この作業が運用可能であるのなら、匿名加工された後の「行政機関非識別加工情報ファイル」に対して、個人情報に該当するものが残っていたら除去するという作業も、運用可能と考えられる。

次に、前掲3つ目の事項は、「チェック工程で想定すべき照合先は、行政機関内の元データではない。」としているが、これは「散在情報的照合性 vs 処理情報的照合性 説」を前提としているので、そのまま採用するわけにはいかないが、いっそのこと、チェック工程で元データとの照合できるかを確認してもよい。

ただ、実際にやってみると判明するのではないかと考えているのは、チェック工程で元データと照合できるかを確認してみると、いずれも照合できないという結果になるはずだ。なぜなら、民間部門の匿名加工情報の加工基準は、元データとの照合ができないように加工するものとなるはずだからである。ここで、前者の「照合できるか」は「容易に」なし基準であり、後者の「照合できないように」は「容易に」あり基準であるという違いがあるものの、元データとの照合という場面に限ると、両者による違いはなく、元データと照合できないということを実感できるはずだと考えている。

以上のことから、まとめると次のように言える。

  1. 民間部門の匿名加工基準で匿名加工して作成する「匿名加工情報ファイル」は、その一部の要素に行政機関法における「保有個人情報」に該当するものが残存する可能性は否定できないが、当該ファイルを提供する前に、該当する要素を取り除けばよいのであり、問題はない。
  2. 「保有個人情報」が残存する可能性があるものを「匿名加工情報」と呼ぶことに難があるのかもしれないが、名称を変えてしまうと、行政機関法と民間部門とで概念同一性が怪しくなり、受領者の再識別禁止規定の適用が怪しくなるから、名称は「匿名加工情報」という同じ名前とするのがよい。
    • もしくは、名前が同一であればよいので、改正個人情報保護法を未施行のうちに再改正して、民間部門の方の「匿名加工情報」を「非識別加工情報」に名称変更して統一するという案も考えられる。*12
  3. 「匿名加工情報」の定義は、民間部門のそれとの概念同一性を明確にするために、2番目の括弧書きを削除するか、又は、前記(A)に沿うよう修正して委員会規則への委任を削除するのがよい。
    • 後者を選択するなら、改正個人情報保護法を未施行のうちに再改正して、民間部門の方の定義でも「特定の個人を識別することができない」の部分を明確化する括弧書きを(A)の形で加えて、定義条文の一致を図る*13ことも考えられる。

残る瑣末な論点

このような匿名加工情報の定義の論点について、書き足りていないことが2つある。

  • 行政機関が保有する個人情報ファイルには、その各要素に、属性情報として他の個人についての個人情報が記載されているもの(これを「処理情報中のローカル散在情報」と私は呼んでいる。*14)が存在し、民間部門の匿名加工基準での匿名加工では、それが匿名化されない可能性がある。これが行政機関法では、散在情報としての保有個人情報に該当することになり、行政機関匿名加工情報ファイルに残存する可能性がある。しかし、前記の通り、提供前のチェック工程で保有個人情報の除去をすることで対処できる。
  • 研究会報告書が「行政機関が作成する匿名加工情報は、行政機関法の個人情報に当たる」とした理由に、「加工に用いた個人情報自体などとの照合により特定の個人を識別することができることから」とした背景には、民間部門では、36条5項で、自ら元データと照合することを禁じる規定を置いていることから、「照合が法的に禁止されることによって元データとの容易照合性が消滅する」とする理屈によって、「k=1の匿名化」であっても「匿名加工情報」に該当するものとすることができるとの考え方が一部にあるようであり、同じ理屈を行政機関法に適用できるかというときに、36条5項相当の禁止規定が行政機関法には改正案で導入されないから、その理屈は適用できず、その結果として、元データと照合が常にできてしまう(常にではないが)とする考え方が潜んでいるのかもしれない。これは、そもそも「照合が法的に禁止されることによって元データとの容易照合性が消滅する」とする考え方が法解釈として誤りと言うべき*15なので、採用する必要のない考え方である。

これらについては、いずれ時間のあるときに書こうと思う。

*1 行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案

*2 その理由は、「匿名加工情報は何でないか」の前編中編前編の2で途中まで書いた。後編ではっきり書く予定であるが、民間部門において匿名加工情報は、個人情報に当たらないもののみが匿名加工情報たり得るのであるから、元から提供が規制されていない情報の提供ができるにすぎないものであるし、規制強化というわけでもないので、匿名加工情報の制度を使う意思がなければ義務に従わなくてよいというものである。民間部門で唯一の意義として考えられるのは、グレーゾーンが怖くて非個人情報に加工しても提供できないという事業者にとって、大手を振って匿名加工情報に加工して提供できるという点である。

*3 昨年10月20日の日記「行政機関等パーソナルデータ制度改正に対するパブコメ提出意見」では、ここまでやる気はないだろうと思っていたので、「意見1 行政機関及び独立行政法人等の保有するパーソナルデータについては、民間部門と同等の「匿名加工情報」の制度を設けずとも同等の利活用は可能であり、「匿名加工情報」の制度を設ける必要性がない。」としていた。

*4 国会提出法案では、なぜか「匿名加工情報」が「非識別加工情報」という名称になっているが、そこはスルーして、ここでは「匿名加工情報」で通している。

*5 1月31日の日記「匿名加工情報は何でないか・中編」では、「定義は「特定の個人を識別することができないように個人情報を加工して得られる」を要件とするが、ここで言う「特定の個人を識別」が、照合による識別を含むのかがはっきりしない。改正前2条1項括弧書きに相当する文がないが、当然に含むとして省略されているだけなのか、意図して照合による識別を除いたものなのかが不明である。」としつつ、後に「(すなわち、改正前2条1項括弧書き相当の記述が改正後2条9項にないのは、省略であって、照合による識別を除く趣旨ではない。)ということになるように思える。」と書いていた。

*6 参考:「法制執務コラム 委任立法―国民の目に見える立法を―」, 参議院法制局

*7 3月6日の日記の「照合による識別の容易性要件を巡る混迷」参照。

*8 1月31日の日記の「法律ではどう規定されたのか」参照。

*9 民間部門の匿名加工情報で「23条1項の規定にかかわらず、当該匿名加工情報を第三者に提供することができる。」との規定を置かなかった(12月6日の日記の「匿名加工情報は「個人データであっても第三者提供を許す」の形ではなかった」参照。)のと同様に、今改正案でも、「8条1項の規定にかかわらず、当該匿名加工情報を提供することができる。」との規定は置かれていないので、匿名加工情報(非識別加工情報)が個人情報である限りは、本人同意なく提供することはできないこととなってしまう。

*10 この道を選択する場合、この委員会規則には何を規定するつもりなのだろうか。元データを除外に含めないようにするとなると、残るは、当該行政機関の外にある情報(例えば図書館にある情報)であり、これを「他の情報」から除くということが考えられるが、しかし、この委員会規則への委任規定では、対象範囲を「当該個人に関する情報の全部又は一部を含む個人情報その他の」としているので、当該個人に関する情報とは関係のない図書館にある情報を含めることはできないはずであり、いったい何を規定するつもりなのか解せない。委員会規則で定めるとしながら、規則では空集合を規定するというのもアリなんだろうか。

*11 もっとも、民間部門においても、「識別できないようにした」の「識別」を、「容易に」なしに「照合することができそれにより識別」という意味で解釈するものとする道も残ってはいる。なぜなら、「個人情報」が「容易に」入りの照合性で定義されているからといって、「匿名加工情報」の定義で「容易に」なしの照合性で識別性を排除することを妨げるものではないからだ。ただ、こちらの道を選択した場合は、私の独自説では、匿名加工情報の作成基準が「散在情報的照合性」(3月6日の日記の「散在情報的照合性 vs 処理情報的照合性 説」参照。)によって「照合による識別」を排除する必要が出てくることになるから、データの1個1個について個別に「他の情報と照合」できるかを見極めなくてはならなくなり、民間部門にとっては酷なルールとなるので、私はこの方向性には賛成しない。

*12 これが可能なら、むしろ「非識別加工情報」の方が適切なネーミングであるように思えてきた。民間部門においても「匿名加工情報」という用語はあまり適切ではなかった。昨年の改正法案の国会提出から1年が経ち、すっかり「匿名加工情報」の語に馴染んでしまったが、最初に目にしたときの違和感を思い出す。「匿名加工情報」という呼び名だと、仮名化をしただけのものを指すように聞こえかねない。医療分野で用いられてきた「連結可能匿名化」や「連結不可能匿名化」と同様にだ。元データと照合できないように加工することが匿名加工情報の要件であるなら、k≧2のグルーピングをすることとなり、それは、技術検討WGが一昨年整理した「識別/非識別, 特定/非特定」情報の概念からすれば、「非識別情報」に加工することを意味するのであるから、初めから「非識別加工情報」とするのが正しかったとも言える。

*13 「(……もの(……ものを除く。)を除く。)」の部分だけは異なることになるが。

*14 これについては、「散在情報と処理情報(パーソナルデータ保護法制の行方 その3)」で書く予定。

*15 これについては、「匿名加工情報は何でないか・後編」で書く予定。(前々回の脚註5の件)

本日のリンク元 TrackBack(0)

追記

最近のタイトル

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|
追記