高木浩光＠自宅の日記

2022年12月30日

■ 情報法制研究12号に画期的な論文（連載第6回）を書いたのでみんな読んでほしい

こう言っては何だが、画期的な論文ができた。「情報法制研究」の連載「個人情報保護から個人データ保護へ」の第6回である。非会員でも有斐閣からオンデマンド出版で買えるようになるはずなので、みんな読んでほしい。

高木浩光, 個人情報保護から個人データ保護へ(6)——法目的に基づく制度見直しの検討, 情報法制学会「情報法制研究」第12号

今回の章の構成はこうなっている。見出しの数は前半が多いが、本文の分量的には後半の節が長く、「3. (3) 」までが前半となっている。各節のダイジェストを載せようかと思ったが、どの段落も省略できず全文転載に近くなってしまうので、やっぱり見出しだけ。

VII. 個人データ保護の法目的

1. 本章の概要 (p.49)
2. 日本法の法目的についての政府見解と学説 (p.50)

(1) 「個人の権利利益」とは何か (p.50)
(2) 疑問視する指摘 (p.50)
(3) プライバシー保護法ではないということ (p.51)
(4) 「データ保護」であるということ (p.52)
(5) さらなる疑問視 (p.53)
(6) プライバシーとは別の独自の法理 (p.54)
(7) 「個人情報を保護する」とは規定していない (p.55)
(8) 何を拠り所とするか (p.56)

3. 「データ保護」とは何か (p.57)

(1) OECDガイドライン制定までの経緯 (p.57)
(2) OECDガイドラインとCoE条約108号の異同 (p.59)
(3) 「プライバシー」の語が用いられた経緯 (p.63) ← ここまでが前半
(4) 「data protection」の起源 (p.69)

4. 意思決定指向利益モデルと関連性の原則 (p.71)

(1) Bingの説明 (p.71)
(2) 日本法での理解 (p.75)
(3) Bing以外による説明 (p.79)

5. 小括 (p.82)

内容は、3月の「Cafe JILIS」インタビューで予告していたものだが、まだその半分くらいしか論文化できていない。残りは次号に書く。（論点の出現順序は想定読者に合わせて入れ替えてある。）

新しいこともいくつか書いている。3月のインタビューでは「米国の意向が強かったのではないか」と単なる推測でしかなかったところ（「見え隠れする米国の意向」の節）について、その後の文献発掘で根拠が見つかり、残りのピースが埋まったところを書いている。特に決定的な資料は、Transnational Data Report誌が掲載した、米国国務省が代表団に宛てた指示書公電の全文である。（なぜこれが掲載されたのかは不明だが、機密扱いではなかったようだ。）

Transnational Data Report 1巻7号（1978）22頁

これから何が言えるかは、論文中に書いた通りだが、少しだけここにも書いておく。

欧州評議会条約108号は、1978年に最終案がまとまる手筈だったのに、オブザーバーの米国が「今後一切関与しない」と声明を読み上げたため延期になった。その声明の内容がこの指示書に書かれており、米国国務省の指摘は、条約108号の草案が「privacy」に言及していないことを非難するものであった。その意図は、1978年当時、欧州の一部の国がdata protectionのデータ対象者（data subject）を自然人だけでなく法人にも適用する法律を制定し始めたことに対して、それの広がりを阻止したかったことにあった。その背後にはIBMの反対があったようで、フランスは、データ対象者に法人を入れようとしたが、当初は歓迎されていたものの、内外の反対にあって取りやめたという。IBMの言い分も別の文献に書かれていた。注81に書いたので以下に抜粋しておく。

⁸¹ Harry B. DeMaio「Transnational Information Flow: A Perspective」『Data Regulation: European & Third World Realities』（Online Conferences、1978）169頁以下に、IBMデータセキュリティプログラム担当ディレクターの見解が書かれている。「プライバシー保護法の擁護者が表明する懸念の多くは基本的に妥当なものである。」としながら、「我々は、多くの立法提案に関連するいくつかの欠点と思われるものを指摘してきた。」として、「全体として、コンピュータ化された医療記録は、手作業による記録よりも安全に保管・処理されており、プロジェクトが発見した漏洩や不正使用の事例は、ほとんど手作業のファイルで起きていることがわかった。」とか、「我々は、自然人と法人を区別しなければならず、個人のプライバシー保護は、自然人と、自然人が容易に識別できるパートナーシップなどの法人形態にのみ拡大されるべきであると述べてきた。個人のアイデンティティがビジネスに直接結びついている中小企業の経営者はその典型例である。」などと述べられている。

高木浩光, 個人情報保護から個人データ保護へ(6)——法目的に基づく制度見直しの検討, 情報法制研究12号 (2022), p.66

法人に拡大することの問題性は理解できる（実際、その後GDPRでも法人を含めていないわけである）ものの、「privacyに言及しろ（言及しないのはけしからん）」という米国国務省の主張は、本当は理屈が合っていない。1970年代に欧州で出現した「data protection」はprivacyから切り離された「法理の新機軸」を打ち出していた。そのことは法人に拡大してもしなくても変わりないからだ。ただ、確かに、privacyから切り離された法理の妥当性が見えれば見えるほど、法人に拡大しやすくなる傾向はあるだろうから、privacyへの言及を強制することによって、法人への拡大を防ぐというのは、政治的には効果があったということであろう。その結果、条約108号は「right to privacy」に言及することとなったし、後の1995年のデータ保護指令でもそうなった。このことが、data protectionの理解を難しくし、誤解を招き、各国で混乱をもたらした。GDPRで晴れてprivacyの語を排除できたのは、リスボン条約によってEU基本権憲章の法的拘束力が発効したことによるもの（この点は論文にまだ書いてない）と思われ、それまでは、欧州人権条約（ECHR）8条に根拠を置いていた（米国国務省はその点も指摘している）ため、privacyに言及せざるを得なかったのではないか。このように、privacyの語を排除したかったのは1978年当時からだったのである。

OECDガイドラインでも、privacyについて揉めた様子がある。OECDガイドラインの原案作成担当者だったPeter Seipelがこのことを後日談として書いており、どの国のせいでそうなったとは言及がないものの、以下のように、最後の文で皮肉が述べられているのである。

（略）Seipel*1は、次のように述べているのである。

「CoEとOECDは、作業の重複や両者の文書間の不必要な差異を避けるよう努力してきた。草稿やオブザーバーの交換は日常的に行われており、数名の専門家が自国を代表して両機関に参加している。両文書の調和をもたらすために協力する努力は、いくつかの肯定的な結果をもたらした。しかし、プライバシーの保護や国際的なデータネットワークにおける協力に関する事項については、一定の異なる考え方が存在した。」（34頁）

「主な困難は、自動処理以外の方法による個人データの取扱い（handling）に関するものであった。当初、専門家部会の作業はコンピュータによる個人データの処理（processing）にのみ向けられるべきであると、多かれ少なかれ考えられていた。データバンク・パネルの以前の活動や委任事項の条件から、そのようなアプローチは自然なものだった。しかし、ガイドラインを自動的なデータ処理に限定するのは概念的に間違っている、ガイドラインの焦点は個人のプライバシー保護一般であるべきだ、という意見が出された。この提案は、様々な反応を引き起こした。いくつかの国はそのようなアプローチを支持したが、その理由は様々であった。おそらく最も重要な論点は、自動的なデータ処理（processing）に限定すると、他のデータ処理（processing）方法を選択するだけで管理を回避できる可能性が残されてしまうということであった。（略）非自動的なデータ取扱い（handling）を含めることに対する反対意見は、主に2つの論拠に基づいていた。(a)このようなアプローチの結果について十分な調査が行われていないこと、(b)専門家部会はコンピュータネットワークにおける個人データの国境を越えた流れに努力を向けるべきで、人権保護に関する一般的な問題には触れないこと、であった。専門家会合は、代替案について長期的かつ詳細な議論を行った後、最終的に、ガイドラインを個人データの自動処理に限定しないことを決定した。第2項によると、ガイドラインは『個人データ......が、その処理方法、性質、または使用される状況により、プライバシー及び個人の自由に対して危険をもたらす場合』に適用される。このように、ガイドラインの範囲はリスクというかなり曖昧な基準で決定されている。説明覚書では、ガイドラインはプライバシー保護のための一般的な手段ではないとし、ガイドラインは『検索、意思決定、研究、調査および同様の目的のために編成されたデータの集合体』（38段落）だけを取り扱うとして、問題の明確化を試みている。この制限の正確な意味は明確でないが、データ収集の規模に関する定量的な要求と解釈すべきではないことは確かである。（略）これは、OECDの活動の方向性が、コンピュータ、データ・ネットワーク、貿易問題および関連事項に重点を置いていた過去および現在と、CoEが人権に関する問題に抱いていた関心とを比較すると、やや意外に思われるかもしれない。」（38頁）

どの国が「プライバシー保護一般であるべき」と主張したのかは書かれていないが、最後の文の「やや意外に思われるかも」というのは、CoEの方が人権の観点からで、OECDの方は経済の観点からだったはずなのに、話が逆転しているではないかという皮肉であろう。

高木浩光, 個人情報保護から個人データ保護へ(6)——法目的に基づく制度見直しの検討, 情報法制研究12号 (2022), p.61

俗耳に馴染みやすいありがちな言説としては、欧州が人権優先で米国が経済優先という対立構造であるが、このように、実際は、米国だけが（もしかするとカナダやオーストラリアもだったかもしれないが）「privacy」への言及に拘っていた（英国はdata protectionを理解したのでprivacyの語を避けている）のである。この点について注91に以下のように書いた。

⁹¹ 名和小太郎『個人データ保護』（みすず書房、2008）は、「OECDの議論のなかで目立ったのは、米国と欧州諸国とにおける考え方の違いであった。（略）そのタイトルには『プライバシー保護』と『個人データの国際流通』という言葉があった。前者には人権を尊重したい欧州の思い入れが、また後者にはビジネスを優先させたい米国の思惑が透けてみえる。データ保護といわないでプライバシー保護といった点に保護範囲をできるだけ拡げたい欧州の思いが、（略）『個人データ』といった点に情報流通をできるだけ自由にしたい米国の意図が、それぞれ示されている。」（106頁）と指摘しているが、上記のように、実際は逆であり、欧州諸国はプライバシーから切り離した「データ保護」を追求し、「プライバシー」の語に引きずられているのは米国なのである。

高木浩光, 個人情報保護から個人データ保護へ(6)——法目的に基づく制度見直しの検討, 情報法制研究12号 (2022), p.69

一言加えておくと、「引きずられた」ではなく「引きずられている」と書いたのは、現在も引きずられていて混乱しているからである。SoloveやSchwartzなどの米国の主要な情報プライバシー学説の論者らは、data protectionを未だ理解していない様子であり、この44年前のIBMを背後にした米国の政治的駆け引きによってもたらされた混乱の犠牲者たちであろう。それらを頼りに勉強してきた本邦の研究者たちもである。

次に、もう一つ、3月のインタビューでは述べていなかった大事なポイントを紹介。

欧州評議会で条約108号の起草担当者だったFrits W. Hondiusが、Westin流の自己情報コントロール権説を採用していないことを明確に述べていた部分。その文献を引用している様子を以下に抜粋しておく。

1983年のHondius（前掲注90*2）は、次のように述べている。

「Alan Westinは1968年、情報収集に特化した形で、『個人が自分に関するどのような情報を誰と共有するかを決定する権利』と表現した。しかし、これでは解決に近づかない。現代社会では、市民は、コンピュータ化された情報に基づいて他人が下す自分についての決定に、多種多様に依存している。Westinが描いた、自分に関する情報を誰が保存してよいかを主権的に決定する個人のイメージは、現実とは一致しない。多くの場合、人々が心配するのは、保存の事実そのものや、データに親密な秘密が含まれる危険性よりも、むしろ情報の正確さとその利用をコントロールできないことなのである。」（109頁）

さらに、1985年のHondius（前掲注50*3）は、次のように述べている。

「個人の親密な私生活に関連する情報が、その個人の意思に反してコンピュータ化されたデータファイルに体系的に保存されることのリスクは、むしろ低いのである。人々が欧州人権条約第8条に基づき欧州人権委員会に提訴した事例を分析すると、人々は、自分に関する情報を明さない権利よりも、自分で選択した私生活を送る権利の方を心配していることがわかる。Westinが作り出した、まるで君主のように自分のプライバシーゾーンを管理し、誰が自分に関する情報を受け取ってはいけないかを決める個人というイメージは、現代社会におけるデータ処理の現実と一致しない。」（91頁）

このように、Hondiusは、Westin的な自己情報コントロール権説を否定し、それでは解決に近づかないし、現実とは一致しないと指摘していた。これは、データの流れをコントロールするのではなく、データに基づく自己に対する他者による決定をコントロールするという、Westin説から脱却した着想の転回があったことを意味している。データ保護はこのような考え方で設計されているものということになろう。

高木浩光, 個人情報保護から個人データ保護へ(6)——法目的に基づく制度見直しの検討, 情報法制研究12号 (2022), p.81

これの意味するところを理解するには、「4. 意思決定指向利益モデルと関連性の原則 (p.71)」の節を読んでおく必要がある。そこは3月の「Cafe JILIS」インタビューでもよい。「決定」の文言の意味を噛み締めて読まないと、脳がスルーしてしまうだろう。

ほかにもいっぱい紹介したい論点があるが、このくらいで。

このように、みんな太陽が天球と共に回っていると信じて疑わなかったが、実際は、地球の方が回っていたのである。宇宙は最初からそのように創造されていて、みなそこで生きてきていた。観測されるものに疑問を感じながらも、わかってみるまでわからない。わかってみれば、あれもこれもそれで説明がつくのである。（こんなことを公言していると内容証明が届いて裁判にかけられるのであろう。）

なお、この論文のことは、規制改革推進会議の11月7日のWGでもお話しした。議事録が公開されたので、質疑パートと合わせて見てほしい。

第2回医療・介護・感染症対策ワーキング・グループ議事概要（36頁以下）

また、この論文の帰結から導かれる政策論のエッセンスは、先日発表された「GLOCOM六本木会議」の提言書に簡潔にまとめられているので、こちらもご覧いただきたい。

【提言書公表】デジタル社会を駆動する『個人データ保護法制』に向けて, GLOCOM六本木会議, 2022年12月22日

もはや学説よりも、一般人の理解の方が先に着いて来ている。

*1 Peter Seipel「Transborder Flows of Personal Data: Reflections on the OECD Guidelines」Transnational Data Report 4巻1号（1981）32頁以下

*2 Frits W. Hondius「A Decade of International Data Protection」Netherlands International Law Review 30巻2号（1983）103頁以下。

*3 Frits W. Hondius「The Human Rights Aspect of Data Protection」J J P Kenny編『Data Privacy and Security: State of the Art Report』（Pergamon Infotech Limited、1985）86頁以下。

本日のリンク元 TrackBack(0)

2022年12月25日

■ 情報法制研究11号に連載第5回の論文を書いた

5月発行の情報法制研究11号に連載論文「個人情報保護から個人データ保護へ—民間部門と公的部門の規定統合に向けた検討」のシリーズ(5)を書いた。報告が遅くなったがここでも宣伝しておきたい。もう次の12号が出るので、しばらく後に11号はオープンアクセスになって会員でなくても閲覧できるようになるはず。

高木浩光, 個人情報保護から個人データ保護へ—民間部門と公的部門の規定統合に向けた検討(5), 情報法制学会「情報法制研究」第11号（2022年5月）

そういえばシリーズ(4)の報告もしていなかった。前回ここで報告したのは、シリーズ(3)の時の2018年12月26日の日記「情報法制研究4号に連載第3回の論文を書いた（パーソナルデータ保護法制の行方その3前編）」で、もう4年前のことになる。「パーソナルデータ……」何もかもみな懐かしい。「パーソナルデータ」の語はもう使わないようになって久しいのだ。改めて読み返してみると、4年前の時点では、次のシリーズ(4)では「V. 個人に関する情報と非個人情報性」を書く予定だった。さらに「VI. 匿名加工情報と自治体条例」も書くつもりで計画していたのであった。

V. 個人に関する情報と非個人情報性（以下・次号）
VI. 匿名加工情報と自治体条例
VII〜（表題未定）（次々号以降予定）

2018年12月26日の日記「情報法制研究4号に連載第3回の論文を書いた（パーソナルデータ保護法制の行方その3前編）」

これは、何を書くつもりだったのかというと、いわゆる「容易照合性」の「提供元基準」を元データとのデータセット照合で捉えることによって非個人情報化要件の判断指標が個人情報定義から導けるようになるということ*1と、平成27年改正の「匿名加工情報」は実際そうなっているという話*2、この2つをちゃんと論文化して、それらのことを踏まえて自治体条例は改正されるべきであると注意喚起*3すべく、鳥取県の条例改正は悲惨なことになっている*4のでみんな真似しちゃダメだよと書く構想であった。

ところが、シリーズ(4)で「V. 個人に関する情報」の章を書き始めたら、書くべきことがいっぱい見つかって、それだけで1回分のページ数限界まで使い切ってしまい、残りは次号送りにしてしまった。実はこの間に何度か原稿を落としており、(1)は1号（2017.5）、(2)は2号（2017.11）、1回休んで、(3)は4号(2018.11)、ここで2回休んで*5、(4)は7号（2020.5）という掲載になっており、(4)の2020年5月というタイミングでは、「個人に関する情報」概念の理解が重要な鍵となっている時期で、令和2年改正の「個人関連情報」もこの解釈を前提にしているということを書いている。すなわち、「個人に関する情報」は、英語で言えば「any information relating to an individual」のことであり、「ある（一人の）個人に関する情報」を指していることが重要なのであった。学説と下級審裁判例にはこれと矛盾するものがあって*6、そのことが個人情報定義の理解を混乱させてきたのだということを指摘した。当時、この見解がだいぶ浸透したようで、ガイドライン通則編の「個人に関する情報とは……」の説明文が、「……に限られず、ある個人の身体、財産、職種……」との文に改善*7され、また、裁判例においても「ある個人」と解釈するのを前提とした判決*8が出始めている。

そうこうしているうちに、公民一元化の動き（後の令和3年改正）が始まり、「容易に照合」と「照合」の違いは結局何なのかという本シリーズの結論が求められる時期となってしまった。令和3年改正法案が出る前に出したかったが、ここでまたもや原稿を落とし、何としても10号（2021.11）に載せたかったが身内の不幸も重なって断念。結局、11号（2022.5）に掲載ということになった。

実は、この原稿を落とし続けた2021年は、1980年前後の海外文献の調査が急速に進み始めた時期でもあった。それまでは、昭和63年法の処理情報概念の意義を明らかにすることによって現行法の法目的を推定するというアプローチをとっていたが、もはや、海外文献から直接的に法目的を説明できるようになっていた。それを早く書きたくて気もそぞろだったが、その前に、残してきた論点をシリーズ(5)に出し切らないといけないので、新しい発見は次の(6)に書くことにして、(5)を必死になって片付けた。

そんなわけで、シリーズ(5)の構成（第VI章）はこうなっている。

IV. 個人情報ファイル概念と容易照合性（第4号）
V. 個人に関する情報とは何か（第7号）
VI. 個人を識別することができるとは何か（本号）

1. 本章の概要
2. 個人情報の空間的範囲と条件的範囲
3. 保護法における「個人を識別することができる」の意義

(1) 昭和63年法の「処理情報」概念
(2) 外国法との対比
(3) 現行法への示唆

4. 公民一元化での定義の統一

(1) 「個人情報」定義の統一
(2) 「匿名加工情報」への統一

5. 小括

VII. 個人データ保護の法目的（第12号予定）

以下、この内容を要点だけ紹介しておく。

まず、2節の「個人情報の空間的範囲と条件的範囲」は、前回、シリーズ(4)の小括で「次章（次号）で詳しく述べるが」と予告していた件である。「個人情報の範囲」といってもその「範囲」には空間的な範囲と条件的な範囲があるという説明方法に気づいたのは、(4)の原稿を書いている中でのことであった。内閣法制局での予備審査に提出された説明文書中に、「不開示情報としての『個人に関する情報』の範囲（内容）が、……ではなく、……であることを明確化するためである」と書かれていた*9ところを見てピンときた。「範囲」といっても「範囲（内容）」とそれとは別の「範囲」があるわけである。「範囲（内容）」は空間的範囲のことであり、それとは別に、該当要件となる「条件的範囲」の概念が想定されていた様子が窺える。

その区別については既にシリーズ(4)で書いていたが、(5)で新たに書いたのは、いわゆる「容易照合性」の括弧書きが、空間的範囲を画定する（拡張する）要素であって、条件的範囲を画定する（拡大する）要素ではないということである。他方、情報公開法における「照合」の括弧書き（不開示情報としての「個人に関する情報」の識別可能性に係る括弧書き）は、条件的範囲を画定する（拡大する）要素である。つまり、「含む」の意味が両者で異なるのである。保護法での「含む」は空間的範囲として「含める」という意味（範囲の拡張）であり、公開法での「含む」は条件的範囲に「含む」という意味（範囲の拡大）なのである。

後者は、宇賀学派の人たちが「モザイクアプローチ」と呼んでいるものであるが、これは個人情報保護法に当てはまるものではない（個人情報保護法において「モザイクアプローチ」言うのはナンセンスである）ということを主張するものであった。ここを履き違えていると、個人情報保護法における個人情報概念の理解がおかしくなり、「容易に照合」の本来の意味を理解できなくなって、照合の容易さの程度の問題だとの誤解が生じていた*10という主張である。

この概念整理を表にしたのが下の表1である。これは、シリーズ(3)の小括で、「処理情報的照合性」と「散在情報的照合性」の2つがあり、「容易に照合」が前者で「照合」が後者であるということを述べていたのを、さらに、保護法と公開法に分けて整理したものである。

情報法制研究11号91頁に記載の表

表の最下段「……照合することができ……を含む」（「容易に照合することができ……」もここに入る）が上下2段になっている部分がある。これは、シリーズ(3)で、「処理情報的照合と散在的照合の2層構造」との説を唱えていたことに対応している。すなわち、「※A1」の欄には「条件的範囲を拡大」が入り、「※B」の欄には「空間的範囲を拡張」が入って、2層構造になるというのが当初の構想だった。しかし、最終的な結論として、「※A1」の欄も「※B」の欄も、それらは入らないということがわかった。その理屈を本文で2箇所に分けて書いている。まず、「※B」が空欄となる理由を述べた部分は以下である。

本稿シリーズ(3)では、IV章６(3)「処理情報的照合と散在情報的照合の2層構造」で述べたように、公的部門の「照合することができ」の語は、昭和63年法に由来する「容易に照合することができ」の概念をも含意しているのであって、処理情報に対する空間的範囲を拡張する要素（昭和63年法に由来の「第1層」）と、散在情報を含めた対象の条件的範囲を拡大する要素（平成15年全部改正での追加分の「第2層」）との、「2層構造」になっている（表1では※A1欄とその上の欄がその「2層構造」）との説を唱えていた。

ここで問題となるのが、公開法においても同様に、開示請求の対象が個人情報ファイル（処理情報）となっている場合に、処理情報的照合性として空間的範囲の拡張の意義も併せ持つ2層構造（表1では※B欄とその下の欄がその「2層構造」）となっているのかどうかである。

この点を検討すると、結論としては否定される。なぜなら、公開法においては、対象情報の空間的範囲は、開示請求者が指定した行政文書の範囲によって画定するからである。すなわち、開示請求者が指定した行政文書の中に「個人に関する情報」のリストが含まれていて、その1号不開示情報該当性が検討される際に、被請求機関において、当該リストが他のリストと処理情報的照合性によって「容易に照合」することのできる取扱い実態があったとしても、対象文書が「他のリスト」まで拡張（空間的範囲が拡張）されるわけではない。それに対して、保護法における開示請求の場合には、本人開示であるが故に、請求された行政文書の範囲は、本人により指定された部分にとどまらず、被請求者において当該本人のものとして処理している「他のリスト」まで空間的範囲が拡張される必要がある。この違いは、「個人に関する情報」が、公開法では請求対象中の不開示部分を決めるものであるのに対して、保護法では請求対象それ自体を決めるものという、公開法と保護法の根本的な非対称性からの必然である。

なお、保護法においても、本人開示に係る規定（公的部門に限る）中の「開示請求者以外の個人に関する情報」の部分を不開示とする規定（行政機関個人情報保護法14条2号）に現れる「……ものを含む」の括弧書きについては、公開法の1号不開示情報と同じ構造のものであって、保護法の「個人情報」定義のそれとは別の概念であるので、表1では「公開法における1号不開示情報」の欄に含めている。

高木浩光「個人情報保護から個人データ保護へ—民間部門と公的部門の規定統合に向けた検討(5)」情報法制研究11号、92頁

つまり、公開法では、開示請求の対象文書（の空間的範囲）は、請求者の指定した文書名で決まるので、請求者が指定してもいない、内部的に容易照合される他の文書まで対象になるわけではないから、「※B」に「空間的範囲を拡張」（処理情報的照合性）は入らないのである。これに対して保護法では、本人開示の趣旨は、どのような個人データによって当該本人に対する決定がなされ得るかが問題にされていることから、容易照合されて処理され得るデータは開示の対象に含める必要があって、「空間的範囲を拡張」を意味する容易照合性の括弧書きが設けられているのである。抜粋した本文からの繰り返しになるが、この違いは、「個人に関する情報」が、公開法では請求対象中の不開示部分を決めるものであるのに対して、保護法では請求対象それ自体を決めるものという、公開法と保護法の根本的な非対称性からの必然である。

次に「※A1」欄が空欄となる理由だが、これは令和3年改正を待つ必要があった。シリーズ(3)で「2層構造」説を唱えたのは、照合の括弧書きが、公的部門では「容易に照合」ではなく「照合」であるという現実は変わらないものとの前提で、文理的に「容易に照合することができ」は「照合することができ」に含意されるとの理屈から、表1中の「公的部門」の「処理情報」の「照合」の欄は、上段の「空間的範囲を拡張」の「容易照合」（処理情報的照合性）と下段の「条件的範囲を拡大」の「照合」（散在情報的照合性）の2層構造になっているとしたのであった。ところが、令和3年改正で、公的部門の「個人情報」定義も「容易に照合」に統一されてしまった。これは私としては期待を超えた展開、すなわち、そこまで割り切れるとは思わなかったのだが、結果としてそのようになったことを踏まえて再検討してみると、実はそれで理屈が通るということがわかった。その理屈では、もはや保護法において散在情報的照合性は適用されないので、「※A1」は空欄になるのである。

「実はそれで理屈が通る」とはどういうことなのか、「※A1」が空欄になる理由の説明として、本文4節「公民一元化での定義の統一」の「(1) 「個人情報」定義の統一」中から抜粋すると以下である。

これに対して、村上は、「そうすると、『制度の谷間』の問題は残るように思われる。」と批判する。「制度の谷間」とは、上記の「中間整理」が整理していた問題で、公開法は「個人に関する情報」を本人による開示請求（本人開示）であっても不開示とし、本人開示は保護法に委ねることとしてきた経緯があり、昭和63年法では処理情報のみが開示の対象であったため、散在情報が本人に開示されない問題があって、これを「制度の谷間」と呼び、行政機関個人情報保護法は「制度の谷間」を埋めるために散在情報まで対象を広げた経緯があったところ、「照合」を「容易に照合」に戻したら再び「制度の谷間」が生じてしまうと、村上は指摘するのである。上記の宇賀の指摘もこのことを指していたのであろう。

村上が疑問視するのは、最終報告が「容易照合性のない情報はそもそも開示等請求の前提としての本人性の確認を行うことが事実上極めて困難」としたことについて、「『個人情報』に当たる（容易照合可能性がある）かと、本人確認ができるかは、一応別問題だと思われる。」（61頁）とする点である。巽も、村上のこの指摘を肯定的に引用して、最終報告のこの理由を「開示等請求の実務」（122頁、注31）の問題と捉えている。

しかし、この理由付けは、実務上の不都合を述べたものではなかろう。令和3年改正の立案担当者解説は、最終報告のこの文を記載し、続けて、「……困難であり、このような情報は、現行制度においても、開示等請求の対象とはなっていないものと考えられます。」（42頁）と説明している。そもそも、公開法によって不開示となる「個人に関する情報」の部分について、自己の情報であると確信した者が、保護法によって当該部分を本人開示請求する場合に、開示が許されるのは、当然に、当該「個人に関する情報」の「個人」が当該請求者と同一人であることが確かな場合に限られる。このことは、仮に本人開示を公開法の側で担うよう制度設計されていたとしても同じことになる。実務においては、まず、開示請求者が当該文書を指定して請求する必要があり、その上で、当該文書の内容が当該請求者に関する情報となっている旨を請求者が説明することになるだろう。その際に、確かに請求者に関する情報であると判明した場合には、その時点からその文書は当該請求者を本人とする個人情報であるということになる。

つまり、村上は「容易に照合できないとしても、開示請求を受けて調査をしたり、本人が提出した書類を確認することによって、本人確認ができる場合も十分ありうる。」（61頁）と指摘するが、まさにそのような確認がなされた場合は、当該行政機関においては、当該文書の記述により「特定の個人を識別することができる」ものとなるのであるから、「照合」による識別可能性以前の問題である。公開法と異なって保護法でこのような解釈となるのは、保護法では、本人（と主張する請求者）の関与（請求による指定）によって当該文書の該当性が決まるからであり、対する公開法では、本人の関与のないところで不開示の対象を決めなければならないが故に、「照合」による識別可能性という一般人基準が必要となっているからである。この違いは、公開法と保護法の根本的な非対称性からの必然であり、村上が指摘する「制度の谷間」の批判は当たらない。

このことについては、本稿シリーズ(3)IV章６(3)において、「本人に開示されるのであるから、対象情報が当該本人のものであることは初めから識別されており、一般人が通常入手しうる情報と照合することによって識別されるか否かは問題の外にある。」（98頁）と述べていた。令和3年改正が「照合」を「容易に照合」に戻した理由付けは、この見解と整合しているように見受けられる。

高木浩光「個人情報保護から個人データ保護へ—民間部門と公的部門の規定統合に向けた検討(5)」情報法制研究11号、103頁

つまり、保護法の本人開示における対象情報の個人識別性（条件的範囲）は、開示請求者が対象を指定するのであるから、元より「照合」による識別は関係ないのである。保護法と公開法とでこんなにも違いが出ることが意外に思われるかもしれないが、このような違いは、保護法の本人開示では、本人（と主張する請求者）の関与（請求による指定）によって当該文書の該当性が決まるのに対して、公開法では、本人の関与のないところで不開示の対象を決めなければならないが故に「照合」による識別可能性という一般人基準が必要となっているからなのである。公開法の「個人に関する情報」の不開示と、保護法の「個人情報」の開示は、似て非なるもの、というか、縦と横くらい別次元のものであって、そこに類似のものを見出そうとすること自体がそもそもの間違いだったのである。

こうして整理してみると、実は、平成15年の行政機関個人情報保護法の全部改正において、昭和63年法の「容易に照合」から「照合」に変更する必要性は元々なかったのである。注76に書いたように、これは当時、宇賀委員が事務局に指摘したことで「容易に照合」が「照合」に修正されたのだそうで、それが混乱の始まりで、そこには何の根拠もなかったのである。令和3年改正によって「容易に照合」に戻され、本来の形に戻ったと言えよう。

令和3年改正で「容易に照合」に統一することには何やら困難があったようで、立案関係者からは、「容易に照合」ではなく「照合」の方で統一してもいいかと問われたことがあった。それに対して私はこう答えた。確かに文言は何でもいいかもしれないが、その場合は、「照合」の解釈を明文化しておく必要がある。昭和63年法制定時に行政管理局と警察庁及び環境庁との覚書で確認されていた解釈が維持されていることを明文化する必要がある。「容易に照合」に統一すれば、明文化しなくともその解釈が維持されているということになる、と。令和3年改正後の公的部門ガイドラインのパブコメで、JILISから「この解釈が、平成15年の行政機関個人情報保護法への全部改正を経て、現在も受け継がれていると理解してよいか。」との意見を出したところ、「ある行政機関等が保有している情報について、オンラインで結ばれている他の情報又は別の個人情報ファイルに記載され、若しくは台帳等の形で備え付けられている他の情報と容易に照合することができる場合であって、それにより特定の個人を識別することができる場合には、当該情報は個人情報に当たることとなります。」との回答*11が得られている。

というわけで、結局、表1のように全部バラバラに場合分けしてみたものの、結論としては、「……照合することができ……を含む」の括弧書きは、単純に、保護法と公開法とで別物なのだという話になった。別物なのに条文をそっくりに作ったのが誤解の始まりだったのだ。そもそも、公開法の立案時に、行政改革委員会行政情報公開部会が取りまとめた「要綱案」の段階では、「個人に関する情報……であって、特定の個人が識別され又は他の情報と照合することにより識別され得るもの」という、保護法とは別の文であり、保護法と同じ概念というつもりは希薄だった様子がある。それが、内閣法制局の予備審査の過程で、昭和63年法の「個人情報」定義の条文と同じ文に変更されたわけであるが、「要綱案」の案文のまま通していれば、後の20年にわたる混乱は生じなかったかもしれない。

なお、「照合」の意義について、本人開示関係だけでなく、安全管理措置や提供制限においてはどうなのかという点については、注89、90、91、92、93のあたりに書いている。

次に、前章で先送りにしていた、「いわゆる「容易照合性」の「提供元基準」を元データとのデータセット照合で捉えることによって非個人情報化要件の判断指標が個人情報定義から導けるようになる」件についても、2節の中で書いている。いくつか大事な点を抜粋しておくと以下である。

個人情報保護法平成27年改正までの時点で、非個人情報化の要件と「匿名加工情報」定義の解釈を巡って混乱が生じたのは、公開法の解釈を保護法に当てはめて、保護法における容易照合性を「条件的範囲を拡大させるもの」と誤解したことが原因であった。
平成27年改正を通じて確認された「容易照合性の提供元基準」は、そのような混乱を解消することができる解釈であった。すなわち、個人情報を加工した結果が非個人情報と言えるかは、元データとのデータセット照合が可能であるか否かで決まり、提供先等の状況によらず、個人情報を保有する者の状況のみから決まるとするものであり、「容易照合性」の解釈をそのような元データとの照合を含むものとすることにしたものであった。
その後、令和2年改正で「仮名加工情報」が新たに規定されるに際して、仮名加工情報が依然として個人情報に該当する場合が多いことについて、元データを保有していることが理由に挙げられているのは、「容易照合性」が元データとのデータセット照合を含めて解釈されていることの現れである。
「容易に照合」との字句は、字面通りに解釈するものではなく、このような意義を持つ法令用語ということになろう。
平成27年改正時には、匿名加工情報の作成後もそれらを温存することが許される解釈（「個人情報保護委員会事務局レポート匿名加工情報パーソナルデータ利活用推進と消費者の信頼性確保の両立に向けて」（2017年2月）において、そのことを窺わせる「仮ID」に係る記述（20頁）があった。）がとられていた。そのため、それらが温存されれば、元データと「容易に照合」できる状態が続くことになることから、「容易に照合」の上記の解釈は、匿名加工情報が非個人情報であることと矛盾してしまう問題があった。これが、令和2年改正時に、前掲注33)のガイドラインが改正（令和3年10月一部改正）され、「氏名等を仮IDに置き換えた場合における氏名と仮IDの対応表は、匿名加工情報と容易に照合することができ、それにより匿名加工情報の作成の元となった個人情報の本人を識別することができるものであることから、匿名加工情報の作成後は破棄しなければならない。」（3-2-3-1節注※ 尚書き）と明記されたことにより、この矛盾は解消されることとなり、「容易に照合」の解釈は確定的となった。「事務局レポート」の問題の記述も第2版（2022年3月）で矛盾がないよう修正された。
元データと容易に照合して特定の個人を識別することができない程度に加工することが、結果として、加工後のデータがもはや当該個人に関するものとは言えない程度まで曖昧化され、個人の人格から切り離されるところに、本人の権利利益保護のうち秘密保持の効果があるということになる。事業者が識別する行為を問題としているわるわけではない。
松村雅生日大教授（元昭和63年法立案担当者）も平成27年改正の時点で同種のことを指摘していた。
英国Information Commissioner’s Office (ICO) が2001年に出版した「Data Protection Act 1998: Legal Guidance」は、Data Protection Act 1998における「personal data」定義の解説中、「2.2.5 Can personal data be anonymised?」の節で、個人識別子を取り除くことによる匿名化（現在で言う「仮名化」に相当）について、「真の意味での匿名化は実際には困難であろう」と指摘し、その理由を、「data controllerは、『匿名化』データを作成する際に、個人識別子を取り除くこととなった元のデータセットを存置するかもしれない。data controllerがこのデータセットを保有している事実は、もし当該データセットが、個人識別子を全て取り除いたデータをこの元のデータセットにリンクすれば生存する個人を識別することが可能となるようなものであるならば、個人識別子を取り除いたデータを含む全データが、依然として当該data controllerの手中にあるpersonal dataであることを意味し、匿名化されたとは言えないことを意味する。data controllerにこれら2つのデータセットをリンクするつもりがないかもしれないという事実は関係ない。」（13頁）と説明していた。本稿の容易照合性の解釈は、ICOのこの見解と軌を一にしていると言え、このことは、日本法の容易照合性の括弧書きが英国Data Protection Act 1984に由来すること（本稿シリーズ(3)IV章５(2)参照）からの必然とも言える。
残る論点、II章4節「容易照合のアクセス制御説」で示した論点と、II章5節「非個人情報化の要件」のデータセット照合との関係の情報技術的側面を含む詳細については、次号以降で検討する。

もっとじっくり書きたかったが、他に書くことも多いため、簡潔な説明になってしまった。読解がやや難しいかもしれない。また、「非個人情報化の要件」は到底書ききれず、またもや先送りにしてしまった。これについては、1970年代のドイツ法における議論を参照しながら、改めて書く予定である。

次に、この説明を踏まえ、4節「公民一元化での定義の統一」の「(2) 「匿名加工情報」への統一」では、次のことを書いている。

「個人情報」定義の括弧書きが「容易に照合」に統一されたことの有難味は、単に「わかりやすい」ことにあるのではない。本章第2節で述べたように、平成27年改正を通じて確認された「容易照合性の提供元基準」は、個人情報を加工した結果が非個人情報と言えるかが、元データとのデータセット照合が可能であるか否かで決まるとすることによって、加工基準の足掛かりとし、「容易に照合」の解釈をそのような元データとの照合を含むものとしたのものであった。公的部門にも「匿名加工情報」を導入するのであれば、この解釈に依拠する必要があった。
ところが、行政機関個人情報保護法の平成28年改正は、匿名加工情報を新設するはずが、名称も異なって、「非識別加工情報」という、似て非なる概念となってしまった。
ここで最大の問題は、このような解釈の「非識別加工情報」では、加工の基準の足がかりが定まらないということであった。日本法においては、非個人情報化の要件を、元データとのデータセット照合ができなくするという基準を、法の既存の概念であった「容易照合性の提供元基準」に依拠することで実現するしかなかったところ、この理論が公的部門には適用できなくなってしまった。
早速、鳥取県が個人情報保護条例を改正して、「実施機関非識別加工情報」なる制度を創設したが、この不可解な条文をそのまま真似て、意味もなく「規則」に委任するところまで真似るという事態に至った。このままでは全国に不可解な個人情報保護条例が大量に作られてしまうと懸念された。
令和3年改正は、この平成28年改正の失敗をリセットするものでもある。名称を「非識別加工情報」から「匿名加工情報」に変更しただけでなく、定義を本来のものに戻し、行政機関においても「匿名加工情報」は非個人情報であるとの前提に変更された。このようなリセットが可能となったのも、「個人情報」定義を「容易に照合」で統一したからこそである。
本稿シリーズ(1)I章では、「容易に照合」と「照合」の違いが明らかにされないまま「非識別加工情報」の制度が地方公共団体の条例にまで導入されることになると「今後さらに混迷を深めることになる」との懸念を示していたが、この危機は令和3年改正によって回避された。
匿名加工情報の制度を公的部門に設けることについて、需要がないとの批判があるが、一貫した「匿名加工」と「仮名加工」の概念が定義されたことで、どのような加工によって非個人情報化したと言えるかの基準が公民を通じて確立することの意義が大きい。従前は、仮名化しただけであるのに「匿名化した」と称して第三者提供していた事例があり、地方公共団体においてもそのような提供が横行しかねない危惧があったところ、令和3年改正によってそのような事態は回避されることになる。

以前の計画では、鳥取県条例の悲惨さを詳述する予定であったが、令和3年改正でリセットされ、もう解決済みなので、簡単に済ませておいた。

次に、残るは、3節「保護法における「個人を識別することができる」の意義」であるが、これは、2014年7月18日の日記「日記予定」で、「パーソナルデータ保護法制の行方その4 特定の個人を識別するとは」として予告していた件である。シリーズ(3)を書いた時点では「次号に書くことにした」としていたが、どんどん先送りになっていた。2018年の時点で、昭和63年法の立案資料を読み込んで、色々見えていたことがあった。特に、昭和63年法の定義語「処理情報の本人」概念に重要な鍵が隠れているということを書きたかった。しかし、これが難産だった。「私はこう思う」と書くのは簡単だが、根拠が必要である。その根拠が足りず、ずっと悩んでいたのだったが、去年から、1980年前後の海外文献の調査が急速に進んだことで、決定的な根拠が見つかったのであった。海外文献の話は次号のシリーズ(6)で書くことにしたが、ここの関係だけ少し先出しした格好になっている。

3節の構成は、(1)昭和63年法の「処理情報」概念、(2)外国法との対比、(3)現行法への示唆、という3段階で書いている。

昭和63年法には「処理情報の本人」という定義語があり、「処理情報中の散在情報」と呼べる概念（「処理情報の本人」以外の個人の個人情報に当たるもの）が存在していたことを指摘している。処理情報中の散在情報として含まれるにすぎない個人に、当該処理情報に対する開示・訂正の請求権はないという話である。なぜそうなのかというのは、法目的から理解する必要があり、個人に対する評価・決定のあり方を問題としているからこそ、そうなるのであるということを述べている。

そして、この「処理情報の本人」の定義と解説に不可解な点があるのだが、立案時の法制局審査資料を確認すると、例によって例の如く、法制局での直しによって当初案から変わっていった様子があった。最初の案の方が素直だったと言え、法制局参事官の理解不足があったのか、チグハグな結果になってしまっていた。最初の案に戻れば、「本来は、「個人を識別することができる」の真の意義は、処理情報を前提とした場合には、処理情報化によって識別される状態にあることを言うものであった」と書いている。

そして、「検索できるように」の「検索」はserarchの意ではなくretrieveの意であり、結局のところ、「当該個人を識別できる」ことと「検索（retrieve）し得る」こととは同義だったのだとの説を唱えている。

「(2)外国法との対比」では、このような解釈が妥当であることを裏付ける文献を挙げている。特に、米国Privacy Act of 1974が、まさしくそのような意図で設計されていたのであった。「日本法の「処理情報」が「処理情報中の散在情報」である個人を「処理情報の本人」に含めなかったことは、米国法のretrievabilityの基準と同様の想定があったことが窺える。」と書いている。

「(3)現行法への示唆」では、この解釈は現行法にも引き継がれて生き続けているはずだと主張している。しかし、それを裏付けるためには、法目的から導く必要があって、まずは現行法の法目的を明らかにする必要がある。それについてはシリーズ(6)で書く……ということで、次号へと繋いでいる。

以上が、連載第5回の内容である。

ところで、私がこのような論文を書いていることについて、この分野の識者らからは、あまりに微細な技術的解釈論に終始していて法律論として見る価値もないと言われているフシがある。実際、この分野の識者らからの反応は現在までに皆無に等しい。しかし、これまでの有力な学説にどんな誤解があるかを明らかにすることがこの論文シリーズの目的であるので、このような分析手法とならざるを得ない。今回の成果は、微細に分析してみたら結論は単純だったというものであるが、最初から「個人情報保護法は情報公開法とは違うんです」と言ったところで全く説得力はなかったであろう。できる限り公開法と同列に保護法を捉えて検討した結果、そして令和3年改正の決断を経て、「個人情報保護法は情報公開法とは違う」ということが明らかになった。

ここまでは、過去の立案経緯を辿ることによって、法目的と解釈を推定しようという試みであったが、次号、シリーズ(6)では、OECDガイドラインの制定経緯に遡って、これまで日本では語られることのなかったその法目的を明らかにし、その次のシリーズ(7)で、法目的から各種の解釈を導くことを試みる。

*1 2014年4月23日の日記「現行法の理解（パーソナルデータ保護法制の行方その2）」の「照合による特定個人識別」以下で書いていた件。

*2 2017年6月4日の日記「匿名加工情報は何でないか・後編（保護法改正はどうなったその7）」の「内閣法制局長官がこの案を拒絶して現在の形に変更」で書いた「ひっくり返し」の件。

*3 このことについては、情報法制研究1号の連載開始冒頭で以下のように書いて予告していた。

これらの論点を残した状況で、……行政機関法……の平成28年改正が進められ、「容易に照合」と「照合」の違いが依然として明らかにされないまま、「非識別加工情報」の制度が新たに導入されることとなり、さらにこれを地方公共団体の個人情報保護条例にまで展開する動きもあることから、今後さらに混迷を深めることになると懸念される。

高木浩光「個人情報保護から個人データ保護へ—民間部門と公的部門の規定統合に向けた検討(1)」情報法制研究1号88頁

*4 2017年3月5日の日記「鳥取県の条例改正案、非識別加工情報導入で矛盾噴出（パーソナルデータ保護法制の行方その28）」の件。

*5 この時期（2018〜2020年）は本当にいろいろあった。産総研事件、Coinhive事件、ブロッキング事件、アラートループ事件、アクセス警告方式事件、7pay事件、リクナビ事件、Yahoo!スコア事件、ドコモ口座・ゆうちょ事件など。

*6 シリーズ(4)に誤字があったのでここで訂正。99頁左段下から5行目の「匿名加工指針」は「匿名加工情報」の誤記。

*7 平成27年改正直後のガイドライン通則編では、「「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、……」となっていたのが、現行版では「「個人に関する情報」とは、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報である。」となっている。また、令和3年改正で統合された公的部門についても、「「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、」との記述に改善された。

*8 福島地裁令和2年12月1日判決。このことはシリーズ(5)の注2で書いている。

*9 これは、照合の括弧書きではなく、公開法6条2項の部分開示規定において「個人に関する情報」が空間的範囲を画定する要素であることを説明した文である。シリーズ(4)注40参照。

*10 このことは、シリーズ(1)の小括で、「……質的に別々の概念（容易さの程度ではなく）であり、この前提に基けば全体が矛盾なく説明される解釈を確立できる」と予告していた。

*11 「「個人情報の保護に関する法律についてのガイドライン（行政機関等編）を定める告示（案）」に関する意見募集の結果について」「（別紙２）意見募集結果」の回答番号48。

本日のリンク元 TrackBack(0)

2022年06月09日

■ 競争政策が消費者の安全・詐欺被害耐性を破壊しに来た

内閣デジタル市場競争本部の「デジタル市場競争会議ワーキンググループ」が、「モバイル・エコシステムに関する競争評価中間報告」に対するパブリックコメントを募集している（今月10日23時59分まで）。これについては先月、ITmediaニュース「小寺信良のIT大作戦」で、「「iPhoneにサイドローディングさせろ」を国が言うのは妥当か」との記事が出ていて話題になっていた（はてブの反応、スラドの反応）。

中間報告の内容は多岐にわたっており、全部を把握していないが、ざっと見ると、技術的に誤った理解を前提にし、ろくに調査することなく技術面を蔑ろにしている箇所が、チラホラある。会合の記録を見ると、会議は非公開で行われ、パブコメ開始までに議事録も出して来ない*1。委員に技術者はいないし、技術者からの意見聴取もしていないようだ。そのくせ、技術的な問題があればパブコメで意見がくるだろうという丸投げスタンスのようだ。

○成田審議官（略）中間報告をまとめて外に出すことによって、それでパブコメもやりますし、そこでいろいろコメントをくださいねという言い方をしております。広告のときもそうでありましたけれども、中間報告の段階でそのプロセスをとろうとすると、いつまでも中間報告が出せなくなるという意味で、広い意味での関係者に広く問題意識を伝えて、広く意見を募っていくというプロセスを早い段階でやったほうがいいという意味で、今回、事前にこの案をプラットフォームと調整するということは我々のほうでは考えておりません。そういう前提の中で、先ほど御指摘のあったようなコミュニケーションのことをよく考えていく必要があるのかなと思ってございます。（略）

（略）

○増島議員（略）ここはどうしても専門的なものになってしまうというのは、デジタル広告のときもそうだったのですけれども、仕方がないのかなと感じがしているところであります。

その結果、パブコメをかけて誰が回答をしてくれるのですかという話になると、回答をしてもらえる人たちというのは相当少なくなってくるように思うのですけれども、事柄の性質上これはやむを得ないとも感じているところであります。

具体的には、今我々として誰からコメントを欲しいと考えているのかということで言うと、例えばこれを出したときに、規模が小さい事業者からはあまり回答は期待できない。もしあるとすると、すごく大ざっぱな、ビッグテックの横暴はやめてほしい、そういう回答はあるのだと思うのですけれども、今回のレポートを全部ただしく消化したうえでの回答は基本的には考えにくいだろうということがまず一つ。

（略）それから、日本のデジタルの分野でそれなりの地位を占めている事業者ないし事業者団体が、自分たちのビジネスに影響が及びかねないところについて、大きな観点から何か意見してくるだろうということと、逆にビッグテックに煮え湯を飲まされているトピックについて、ここをもっとこうするべきだとか、これに賛成であるということを言ってくる。多分大きく言うと、そういうような分布になるのではないか、こんな感じがするのですね。

我々が世の中から欲しいコメントは基本的にそういうものでよかったのかどうかというところが、先ほど上野山委員がおっしゃったところの一つ、我々としての向き合い方ということなのではないかなと感じたところです。

例えば、消費者団体から、今回のトピックにつき、これをきちんと消化して、真意を酌んだコメントがもらえるような状態はあり得るのだろうかということを考えたときに、ふだん我々は消費者団体の方々といろいろな場面でお付き合いをしていますけれども、彼らの持っているエクスパタイズとの関係でもなかなか難しいところがあるのだろうなと感じておりまして、そこは彼らが勉強不足だとかリテラシーが足りないというよりは、扱っているトピックとの関係でどうしても限界というものがあるのではないか。逆に言うと、幾らこうした反応を欲しいセクターに答えてもらおうと思って書こうとしても、扱っているものの事柄上、そのようなプロダクトはつくりにくいのではないか、こういう感じがいたしました。

デジタル市場競争会議ワーキンググループ第34回議事録

これは甚だ面倒臭いが、私からは「サイドローディング」の部分についてだけ苦言を出しておこうと思う。

まず、「サイドローディング」という言葉は、Androidの方の用語のようだが、この中間報告では以下のように定義している。「OS事業者の提供するアプリストア以外のアプリストア」の利用も「サイドローディング」に含めているようだ。（元のGoogleの定義（注16）では「ウェブサイトからダウンロード」の方だけのところ。）

7. アプリストアの拘束（Apple）

(1) 事実関係とそれを踏まえた課題と評価
1) 事実関係（サイドローディングの禁止）
○ iPhone向けのアプリは、Appleが運営するAppStoreでのみ配信されており、AppStore以外のアプリストアからアプリをダウンロードすること、又はウェブサイトから直接アプリをダウンロードすること（以下、OS事業者の提供するアプリストア以外のアプリストアやウェブサイトからダウンロードすることを総称して「サイドローディング」という。）についてはAppStoreのサービス開始以降、一切認められていない。

モバイル・エコシステムに関する競争評価中間報告

中間報告が主張することは以下。法的に義務付けることが予定されている。

(3) 対応のオプションと主に御意見をいただきたい事項
1) 対応のオプション
上記のような競争上の懸念がある場合に、対応のオプションとして、以下のようなものが考えられるか。

（オプションA：サイドローディングを許容する義務）

○現状、iPhoneにはAppStoreのみがプリインストールされ、AppStoreがデフォルトのアプリストアとして設定されており、かつ、AppStore以外のアプリ配信方法が認められていない。その結果、全てのユーザーがAppStoreでiOS用アプリをダウンロードしている。

○その結果として、競争上の懸念が生じていると認められるときは、iPhoneユーザーがAppStore以外のアプリストアを利用できるようにするとともに、ウェブサイトからのアプリの直接ダウンロードも可能となるようにすることで、iOS用アプリの配信において競争が生じるようにすることが考えられる。

○そこで、一定規模以上のOSを提供する事業者がアプリストアを提供する場合には、ユーザーが
①サードパーティのアプリストアをインストールでき、それをデフォルトとして選択できるようにする
②ブラウザを使ってアプリを直接ダウンロードできるようにする
③プリインストールされているアプリストアを非表示又はアンインストールできるようにする
義務を課す規律を導入することが考えられるのではないか。

○また、上記義務を課すとともに、サイドローディングを認めた場合でも、プライバシーやセキュリティを担保するための何らかの手段を検討することも考えられるのではないか。例えば、他のアプリストアの選択肢を排除するのではなく、当該他のアプリストアについても、自社のアプリストアにおけるアプリ審査と同水準の審査を実施することを担保する何らかの仕組み(例えば、関係事業者等による認証制度、ガイドライン等)を設けた上で、当該他のアプリストアのサービス提供を許容することも考えられるのではないか。

モバイル・エコシステムに関する競争評価中間報告

「オプションA」とあるが、Bはなく、もうこれ一択になっている。

まあ、競争がないから手数料が高止まりしているという話は理解できるし、競争上の問題があることは、10年前にスマホが普及し始めた時にも、総務省の「スマートフォンプライバシーイニシアティブ」で、アプリストアの選択制は論点には挙がったし、もっと言えば、20年前のガラケー全盛期にも、iモードの公式メニューの運営や公式サイトの認定がdocomo独占なのがけしからんという業界の声があって、公式メニューを利用者が選択できるようにするとか、そもそも水平分業にするのだという計画が、総務省で検討されていて、頓挫した歴史がある*2。

アプリストアの選択制は、まあ、やってみてもいいんじゃないの？でもやるところあるの？という感じだ。選べるようになったとして、アプリ開発者側は複数のアプリストアに出品せざるを得なくなってかえって高コストになったりしない？といった疑問は湧く。（そういう話は10年前に済んでいたのではなかったのか？）

しかし、今回のデジタル市場競争本部の動きはそれに止まらない。「ウェブサイトからのアプリの直接ダウンロードも可能となるようにする」「ブラウザを使ってアプリを直接ダウンロードできるようにする」とも主張しているのだ。

Androidがまさにそれを可能にする機能を設けているので、まあ、それもやったらいいんじゃない？という声は、エンジニア界隈にはありそうだ。自己責任で選べるようになってたらいいじゃないの？というわけだ。

しかし、さらに、今回のデジタル市場競争本部の動きはそれに止まらない。Androidの方のサイドローディングについても、以下のように法的義務付けが計画されているのだ。

8.サイドローディングの制限（Google）
(1) 事実関係とそれを踏まえた課題と評価
1) 事実関係
（略）

（サイドローディング時にユーザーが実行する手順）
○Android端末は、初期設定ではサイドローディングは無効にされており、ユーザーが設定を変更することでサイドローディングが有効になる。
（略）

（サイドローディング時の警告表示や手順がサイドローディングを躊躇わせるおそれ）
（略）

○ しかしながら、「セキュリティ上の理由から、・・・インストールすることはできません。」、「お使いのデバイスに悪影響を与える可能性があります。」、「電話と個人データが攻撃を受けやすくなります。」などの表示がなされており、そのような表示に接したデバイスの仕組み等に詳しくないユーザー等は、セキュリティ上のリスクを恐れてサイドローディングを躊躇するおそれが高いと考えられる。

○ また、上記の警告は、ダウンロードしたアプリが有害なものかどうかをスキャンするGooglePlayProtect(GPP)によってPHAとして検出されていないアプリである場合でも表示される点では、注意喚起としては過剰であるとも考えられる。

○ また、Android端末でアプリ・デベロッパのアプリをサイドローディングする手順については、GooglePlayからのダウンロードの場合と比較して手順が多く、それも、サイドローディングを使いにくくする方向に作用している懸念もある。

○ APKファイルをダウンロードするときは、さらにダウンロードフォルダに移動するといった追加的手順も必要になるとされており、以上の懸念は強まる。

○ 実際、以下の具体的な指摘がなされているところ。
・サイドローディングをするに当たってはセキュリティ設定の変更が必要、警告の表示が仰々しい、警告に付された説明が難しいといったこともあり、ユーザーからするとそこまでしてアプリをサイドローディングしようとはならない。デベロッパの開発したアプリストアを利用する人はいない。
・サイドローディングの際には、警告が表示され、インストールされるまでの手順も多く、不安が煽られていることもあり、人々はサイドローディングのアプリはFraud等のリスクが大きく、Google Playは安全性があると考えている。
・サイドローディングの際の警告の表示や、煩雑な手続は不当だと思う。セキュリティ等の警告を出している中には既に信頼できるアプリであることは分かっているものも含まれるはずである。サイドローディングに対してそうした煩雑なプロセスを取らせることで、アプリストアからインストールさせるようにしている。AppleやGoogleの主張は、AppStoreやGooglePlayStoreを経由することでさらに安全になるというものだが、そうしたアプリストアの審査を経たところでより安全になるというわけではない。要するに、警告のメッセージはアプリストア外でのサイドローディングを思いとどまらせることに意味がある。
・APKファイルのダウンロードは可能だが、APKファイルを一旦フォルダにダウンロードし、当該フォルダを開いてアプリをインストールするなどの手順が増え、また、その際にも警告が表示されるため、実際にはアプリストア経由の方がダウンロードしやすい。
・アプリをサイドローディングする場合は、設定の変更も含めで15段階程度の手順が必要となるのに対し、GooglePlayでアプリをダウンロードする場合は少ない手順で済む。それでも敢えてサイドローディングを選ぶ人がいるかは疑問である¹⁸。

（略）

(2) 現時点での競争上の評価
（サイドローディングの抑制）

（略）

○ しかし、警告の表示方法（表示頻度、警告の際の文字のフォントサイズ、警告の文言、メッセージの処理方法等）次第では、ユーザーにセキュリティ・リスクを過大評価させ、サイドローディングに対する警戒心を持たせて思いとどまらせるおそれがあり、結果的にサイドローディングを実質的に抑制する効果が生じることにもなり得る。

（略）

○ 実際にも、前記のとおり、サイドローディングがGooglePlayからのダウンロードと比べて大幅に少ないとする指摘がある。Googleからは、アプリの全ダウンロード件数に占めるサイドローディングの割合について、サイドローディングが低調であるという指摘に反証するデータが示されていない。

○ 以上のことから、警告の表示や手順などの要因が、ユーザーにサイドローディングを思いとどまらせているという疑念は払しょくできないのではないか。

（アプリ配信分野における事実上の独占による影響）
○ サイドローディングが抑制されれば、Android用アプリの配信は事実上、GooglePlayが専ら利用され、Android用アプリの配信分野における競争が機能し難い状態になり、その結果、Appleによるアプリストア拘束と同様に、手数料の競争価格より高い水準での設定、アプリストアのサービス面における競争による改善の阻害などの競争上の懸念が生じるおそれがあると考えられる。

○ また、ブラウザを使ったウェブ・サービスがOS環境に依存しないことに鑑みれば、ブラウザを使ったアプリの直接ダウンロードが警告表示などによって躊躇されることにより、ブラウザからのサイドローディングがGooglePlayからのダウンロードに対して競争上不利になることで、モバイルOS間の競争が減少するおそれもある。

（略）

1) 対応のオプション
上記のような競争上の懸念がある場合に、対応のオプションとして、以下のようなものが考えられるか。
（オプションA：サイドローディングによるアプリ配信を制限する行為の禁止）

○ サイドローディングによるアプリの配信を事実上制限するような警告表示、複雑な手順等の行為一般を禁止する必要があるのではないか。また、エンドユーザーの判断力を低下させたり、誤認させるような表記やデザインなど多様な行為によって、サイドローディングが事実上制限されることもあることから、サイドローディングに関してユーザーにとって不利な決定に誘導するような行為も禁止する必要があるのではないか。

○ そこで、一定規模以上のOSを提供する事業者がアプリストアを提供する場合には、サイドローディングによるアプリの配信を制限することを禁止する規律を導入することが考えられるのではないか。

モバイル・エコシステムに関する競争評価中間報告

またしても「オプションA」しかない。

つまり、警告や余分なステップなしに任意のWebサイトからアプリをインストールできるようにしろというのである。エンジニア的発想からすれば、自己責任でセキュリティを解除して独自アプリを入れられたら楽しいと思うかもしれないが、これはそういう話ではない。これは、高齢者等の情報弱者を含めた一般の利用者に対して、公式ストアからの利用と「平等に」野良アプリも利用できるようにしろ、という話になっている。

それもそのはず、これは競争政策の話だからだ。どのストアも一切優遇されることなく任意に選べるべき、ということになるし、狭義のサイドダウンロードも、全く確認なしに即動くようにしろ、ということになる。これはトンデモだ。

「煩雑なプロセスを取らせることで、アプリストアからインストールさせるようにしている。」「警告のメッセージはアプリストア外でのサイドローディングを思いとどまらせることに意味がある。」のあたりに至っては、もはや陰謀論の世界。こんなのを真に受けた中間報告をよくもまあ委員は素通ししたものだ。恥を知った方がいいよ。

セキュリティをいったいどう心得てるのか？というと、どうもこの会議は以下のような認識らしい。

（サイドローディングの禁止がデバイスのセキュリティ確保に資する程度）
（略）

○ デベロッパの中には、iOSデバイスのセキュリティは、ハードウェアに組み込まれた数多くのセキュリティ対策（データの暗号化、ファイアーウォール、アンチウイルス等）と、アプリによるモバイル・デバイスのリソースへのアクセスを制限するサンドボックス・モデルによって実現されており、AppStore審査では、追加のセキュリティ機能はほとんどないと述べる者もいる。また、以下の指摘もなされている。

（略）
・Appleはプライバシーやセキュリティを理由にあげることがよくあるが、こういってしまえば、プライバシーやセキュリティを保護する必要性については否定できず、どういう点に問題があり得るかは技術的専門性やAppleのデバイスの詳細等も分からないと何とも言えず、それ以上突っ込めなくなるので、便利な口実になっているという印象を受ける。
（略）

○ アプリストア拘束が、セキュリティ、プライバシーの問題にどの程度寄与しているか疑問の声がある中で、アプリストアの拘束が様々な懸念や競争上の懸念を生じさせている状況にあることに鑑みれば、同拘束は、総合的にみて、弊害（コスト、リスク）の方が大きい可能性があるのではないか。

（サイドローディングが認容されているMacデバイスとの違い）
○ 同じAppleのコンピューティング・デバイスであっても、iPhoneではサイドローディングが禁じられている一方で、Macではサイドローディングを自由にすることができるようになっている。

○ セキュリティを確保する必要性は、MacパソコンにもiPhoneにもあると考えられるが、サイドローディングが可能か否かについて、両デバイス間でここまで完全なる相違があることに正当な理由があるのかという疑問があるとの指摘もある。

モバイル・エコシステムに関する競争評価中間報告

いやいやいや、あのねえ、今やmacOSも主要なアプリはApp Storeから購入だし、野良でダウンロードしたものもそう簡単には起動できないようになってるんだよ。

そもそもMacでアプリを頻繁にインストールするものじゃない。基本的な作業環境を整えたら滅多に追加アプリを入れないというのが普通。それに対して、スマホのアプリ場合は、Webサイトとの中間に位置する。つまり、Webサイトは、SNSからのジャンプで初めて訪れるサイトも毎日閲覧するわけだけども、これはWebの機能が限定されていてどんな怪しいサイトを閲覧しても安全なように仕様が設計されているのに対して、それでは使える機能が少なすぎるからということで、スマホアプリという中間のものが登場したわけだ。なので、スマホアプリはWebサイトより危険なものであるし、Macの扱いと違って、わりと頻繁に新しいアプリをインストールする生活を送ることになる。ここにどうやって安心を確保するのかだ。

中間報告は、「リソースへのアクセスを制限するサンドボックス・モデルによって実現されており」というが、permissionモデルで足りると言うのであろうか。ボタン一発押したら即アウトなアプリが蔓延しても、高齢者にボタンを押すのは自己責任だと君らは言うのか？

今更「「署名済みActiveXコントロールのダウンロード」を有効にしてください」と同じ過ちを繰り返すの？もう17年前だよこれ？ *3

何がどう危険なのか全く調べてないじゃないか。いちからか？いちからせつめいしないとだめか？めんどくさいわ。なんでこんな陰謀論報告書にいちいち我々が手弁当で意見を書いて出さないといけないんだ。💢💢💢

とりあえず、パブコメが終わったら、近頃のワームの実態を追いかけているリサーチャの証言や、警察庁の話を聞くべきだろう。

05/31 17時半過ぎから「【KDDI重要なお知らせ】サービスは利用停止される場合がございますので必ずご確認下さい。」というSMSが配信。cuttly経由のduckdnsサイトでAndroidに「KDDIセキュリティ」の偽アプリ(KDDIセキュリティ.apk)投下(図1-2)。iPhoneはVプリカで支払う架空請求2万円(図3-4)。 pic.twitter.com/c9k55aDzWW
— Naomi Suzuki (@NaomiSuzuki_) May 31, 2022
MoqHao系偽佐川急便、15時半頃から「佐川急便よりお荷物のお届けに上がりましたが宛先不明の為持ち帰りました。hxxp://●●●●.duckdns.org」というSMSを配信。Anroidに佐川急便の偽アプリ「SAgawa」投下(sagawa0.0.0.apk 0は任意の数字)、iPhoneはAppleのフィッシング(別の●●●●.duckdns[.]org)。 pic.twitter.com/D1pn1BW9l6
— Naomi Suzuki (@NaomiSuzuki_) July 16, 2021
おいおい更に酷い事実が判明したぞ。この偽サイト、まだ生きているので見に行ったら、画面の続き部分に「設定マニュアル」と称して、「提供元不明のアプリ」の設定を変更しろと指示してるじゃないか。NHKはこれこそを伝えなあかんやろ。この設定の意味と、ONにしてはダメ、戻しましょうと報じるべき。 pic.twitter.com/Rx1PXeZbrn
— Hiromitsu Takagi (@HiromitsuTakagi) July 27, 2018
そして既に視聴者の声がリアルタイムでツイートされていたように、この番組が決定的に悪なのは、伝えるべき真の対策方法を言わず、ウイルスバスターを買えと言っていることだ。通常、ダウンロードが始まってしまっても、インストールしてしまうことはない。このテレビ局社員氏は何をしたのか。 pic.twitter.com/4jmZUaGuDg
— Hiromitsu Takagi (@HiromitsuTakagi) October 30, 2018
http://t.co/HSVXwGZPZA #アンドロイド #android 楽天がアプリストアを開設するも、「提供元不明のアプリ」を常に許可する設定の危険性が指摘される
— スラド公式 (@sradjp) August 24, 2015
↓（「提供元不明のアプリ」を許可する設定にする必要があるが危険ではないか、と言う質問に対し）
"楽天アプリ市場に限らずGoogle Playでも完全にセキュリティーが保たれているわけではないので、そうならないように万全を期したい"
って楽天クオリティとしても酷すぎワラタw
— 林司＠るーしゃんず (@Archangel_HT) August 21, 2015
なにしろこんな情報弱者騙しの宣伝しているのだからね。「「セキュリティ」のここをONにする」などと、まるでセキュリティを高める機能であるかのように騙している。悪質極まりない。 pic.twitter.com/jNqw9yDxiE
— Hiromitsu Takagi (@HiromitsuTakagi) August 22, 2015
『楽天アプリ市場』の記者発表会。その存在自体がセキュリティホールとの指摘に参加した記者達が皆頷き、楽天側の回答にそれでは甘すぎると指摘があったという。
出だしの発表会で大失敗の烙印が押されたので、1年後を目処にサービス終了かな？ http://t.co/vfWbfBwjG7
— 野尻隆裕 (@TakaNojiri) August 22, 2015
早かった・・・

「楽天アプリ市場」が終了へ　開設から1年半と経たずhttps://t.co/tU6LyXUtDr pic.twitter.com/KrIPfJIqW9
— ねとらぼ (@itm_nlab) September 12, 2016
これ提供元不明アプリのインストールで話題になったやつね。。。そりゃなー。 / 楽天、Androidアプリストア「楽天アプリ市場」のサービス終了を発表- IT速報 https://t.co/GQHSlJJKfS
— jeinoji (@jeinoji) September 12, 2016
登場当時、楽天はAndroidユーザーをマルウェアの海に沈めるのか、と非難轟々だった楽天アプリ市場。使いたいと思う人がいなかったのか、遂に終了。野良アプリのインストールを許可することの危険性を、大多数のユーザーは認識していた？ https://t.co/18hs31Cnxc
— 野尻隆裕 (@TakaNojiri) September 13, 2016
母のガラケーをiPhoneに替えてあげる件、その後、母が店に行くと、代替機用に無料で安Androidを付けると言われたらしく、後にせいと止め、正月に店に同行。店員開口一番「今日はセキュリティですね」私「は？」
ウイルスバスターやらのサブスクに入る契約が用意されていた。お断りして端末だけ頂いた。 https://t.co/L3FGjEopSt
— Hiromitsu Takagi (@HiromitsuTakagi) January 10, 2022

*1 パブコメが始まってだいぶ経ってから第34回の議事録だけ出てきた。

*2 この件については2007年6月30日の日記に書いてある。

*3 ちなみに、今日、これをやれと指示するのは、政府統一基準の遵守事項6.3.1(2)(a)（オ）「情報セキュリティ水準を低下させる設定変更を、OSやソフトウェア等の利用者に要求することがないよう……」違反である。

本日のリンク元 TrackBack(0)

高木浩光＠自宅の日記

2022年12月30日

■ 情報法制研究12号に画期的な論文（連載第6回）を書いたのでみんな読んでほしい

2022年12月25日

■ 情報法制研究11号に連載第5回の論文を書いた

2022年06月09日

■ 競争政策が消費者の安全・詐欺被害耐性を破壊しに来た

最近のタイトル