追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 5479   昨日: 7687

2016年12月04日

国土交通省が散在情報(散在個人情報)は個人情報保護法第4章の対象外と判断か

ミュージシャンのASKAが逮捕前に乗ったタクシーでの車内録画映像が複数のテレビ局に提供されたことについて、関係するタクシー会社グループから状況報告の発表があり、国土交通省がこの事態を「誠に遺憾」として関係団体へ「適切な管理の徹底」を求め通知するという展開になった。

  • この度のチェッカーキャブ加盟会社の車内映像がテレビ等マスコミ各局にて放送されている事態につきまして, 株式会社チェッカーキャブ, 2016年11月30日
  • ドライブレコーダーの映像の適切な管理の徹底について, 国土交通省 報道発表資料, 2016年12月1日

    今般、タクシーに装備されたドライブレコーダーにより後部座席の乗客が撮影された映像がテレビ等で放映されるという事案が発生したことから、映像の適切な管理の徹底について関係団体あて通知しました。

  • ドライブレコーダーの映像の適切な管理の徹底について, 国土交通省自動車局 安全政策課長 旅客課長, 2016年12月1日

    公益社団法人日本バス協会会長殿
    一般社団法人全国ハイヤー・タクシー連合会会長殿
    一般社団法人全国個人タクシー協会会長殿

    (略)

    今般、タクシーに装備されたドライブレコーダーにより後部座席の乗客が撮影された映像がテレビ等で放映されるという事案が発生した。

    いうまでもなく、ドライブレコーダーの映像は、運転者に対する安全運転指導や事故調査・分析を効果的に行うなど事業用自動車の安全確保のために活用されるべきであるにもかかわらず、安全・安心な運送を提供するべ自動車運送事業者が、その趣旨に反し乗客のプライバシーに配慮することなくマスコミに映像を提供するという行為が行われたことは、誠に遺憾である。

    このため、ドライブレコーダーの映像に関しては、乗客のプライバシーを十分に配慮した上で、社内規程の作成を含め適切な管理を徹底するよう、貴会傘下会員に対し改めて周知されたい。

さて、この事案、個人情報保護法の観点からはどうだろうか。国土交通省は「個人情報」の語を一度も使っていないのだが、朝日新聞では以下のように報じられ、個人情報保護法の観点が持ち出されている。

  • ASKA容疑者 逮捕前のタクシー内 映像提供 公益性どう判断 「プライバシー侵害」批判も, 朝日新聞2016年12月3日朝刊(東京37面)

    国土交通省は1日、タクシーやバスの業界団体に対し、乗客のプライバシーに配慮してドライブレコーダーの映像の管理を徹底するよう求める通知を出した。「乗客のプライバシーに配慮することなく、マスコミに映像を提供するという行為が行われたことは誠に遺憾」としている。国交省の担当者は「取材の妨害をする意図はなく、判断材料にしてほしい」と話した。

    (略)

    《鈴木秀美・慶応大教授(メディア法)の話》 映像に個人情報が含まれている場合も、報道目的であれば個人情報保護法の適用除外とされ、報道機関への提供は認められている。今回は芸能人が「公人」にあたるか、好奇心を満たす以上の意義があるかという点で、判断が難しい事例。自宅を特定されないなどの配慮は必要だが、薬物犯罪について理解を広げるためという観点からいえば、法的には許容されるのではないか。(略)

    《西原博史・早稲田大教授(憲法学)の話》 個人情報保護法は報道機関への適用除外を認めているが、今回の映像は犯罪事実の立証にかかわる情報を含むとも思えず、「興味本位」を超える公共性はないのではないか。(略)

1人目の法学者は、個人情報保護法を正しく理解していない。この法が適用除外としているのは、報道機関が報道目的で取り扱うことについてであり、報道機関でないタクシー会社が、報道機関に報道目的で提供する行為は、適用除外(現行法66条)ではなく、(提供したものが「個人データ」に該当するならば)違法である。

ただし、報道機関に対して報道目的で提供する行為について主務大臣*1は「その権限を行使しないものとする」との規定がある(現行法35条)。この規定があるからといって、提供行為が違法でなくなるわけではなく、違法行為である。

この「違法だが権限行使せず」という制度*2に対して、新聞協会などマスコミ団体は、これも適用除外にするべきだと繰り返し主張してきているのに、この朝日新聞の識者コメントはそれを踏まえていないようだ。

ところで、その2日前、以下の報道もあった。国土交通省の担当者が「法律に違反するわけではない」とコメントしているのだが、これは正しいのだろうか。

まず、監視カメラに顔が映り込んでいる場合は、その映像は個人情報に該当するとされている。先日公表されたばかりの、個人情報保護委員会のガイドラインにおいても以下の記述がある。

【個人情報に該当する事例】

事例3) 防犯カメラに記録された情報等本人が判別できる映像情報

個人情報の保護に関する法律についてのガイドライン(通則編), 個人情報保護委員会, 2016年11月, p.5

しかし、単に録画されただけの映像は、「個人データ」(個人情報データベース等を構成する個人情報)には該当しない。したがって、個人データの本人同意なき提供を原則的に禁ずる23条の規定には違反しない。*3

問題は、本人同意なき目的外利用を禁じた16条の規定に違反するかどうかである。

第16条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

16条ではこのように、客体が「個人データ」ではなく「個人情報」という語で指定されている。これをどのように解釈するのかが論点となる。

これについて、私は以前より、個人情報保護法の第4章の規定は、個人データ(及び個人データとなることが予定されている個人情報)に係る規律であって、そうでない個人情報(散在情報と呼ばれる)は(公的部門とは違って)民間部門では規律の対象外とするべきであり、また、元々そういう趣旨だったのではないかとの説を唱えている。

8月23日の日記「「法とコンピュータ」No.34に34頁に及ぶ論考を書いた」で紹介した論文「IoTに対応した個人データ保護制度のあり方」では、このことについて以下のように論じている。

4.4 制定時の立法の過誤

筆者は、このような、散在情報についてまで15条〜18条の義務がかかると解釈されるのは、2003年の個人情報保護法制定時の立法の過誤ではないかと考えている。

(略)

4.4.3 なぜ「個人データ」としなかったのか

(略)では、なぜ、15条〜18条を「個人データ」としなかったのか。このことについて、逐条解説書(18)は、15条と19条の解説部分で次のように説明している。

(15条)「なお、取り扱う対象を『個人情報』し『個人データ』としていないのは、いずれ個人情報データベースに記録され『個人データ』となるものであっても、取得段階では『個人情報』の状態であることによる。本条から第18条までの規定は、個人情報の取得段階を含む個人情報の取扱い全般を規律するものであることから、『個人データ』(第2条第4項)ではなく『個人情報』(第2条第1項)を規律の対象としている。」(117頁)

(19条)「本法第4章は、基本的に個人情報取扱事業者が事業の用に供する個人情報データベース等を対象としていることから、取得段階の規律は『個人情報』を対象としているが、その後の段階における個人情報の取扱いを規律する場合は『個人データ』が対象となる。」(135頁)

この説明は、解説書全体を通してこれだけしか書かれていないことに注意したい。15条のこの説明は、規制の趣旨を全く理由としておらず、「取得段階では『個人情報』の状態であることによる。」という説明は、法制技術上の都合でしかない。19条の説明に至っては、4章全体が基本的に「個人情報データベース等」を対象とするものだと言いながら、理由もなく「取得段階の規律は『個人情報』を対象としているが、」との文を挿入して、その後の段階は個人データが対象だなどと、不自然な説明で終わっている。

この法制技術上の都合とは、別の例で言えば次のことと同じである。行政機関個人情報保護法は「保有個人情報」が対象情報であるのに、3条の取得段階の規定では「個人情報を保有するに当たっては、」とか、「個人情報を保有してはならない。」といったように「個人情報」の語で規定しているが、その理由は、「保有する前の段階では未だ(保有個人情報ではない)個人情報の状態であるから。」である。こちらの場合は、「保有するに当たっては」と、保有個人情報となることを前提とした規定であるし、「保有してはならない」というのは、違反すれば保有個人情報となることを前提とした規定だから、これで問題とならない。

(略)

4.4.4 反対解釈がもたらした混乱

他方、識者らによる解説書では、15条〜18条と19条以降とで対象情報が異なる理由を、規制の強弱を付ける政策的意図によるものと位置付けるものがほとんどである。

例えば、宇賀(37)は、15条の解説において、「『個人データ』ではなく、『個人情報』全体について、利用目的の特定義務が及ぶ。本条1項にいう個人情報の取扱いは、取得段階も含んでおり、この段階においては、個人情報全般を規制する必要があるからである。」(78頁)としているが、立案担当者らは「規制する必要がある」とはどこにも記していない。

宇賀(37)は、19条(データ内容の正確性の確保)の解説で、「個人情報ではなく、個人データに範囲が限定されているのは、容易に検索しえない散在情報としての個人情報にまで正確性の確保を要求することは、個人情報取扱事業者に過度の負担を課すことになるからである。」(96頁)としている。その指摘自体はその通りに違いないが、そのことが、必ずしも、15条〜18条の義務を散在情報まで対象とする理由となるわけではない。

逐条解説書(18)においても、23条の解説部分に、「特に電子的に処理することが容易な個人データが本人の意思にかかわりなく第三者に提供されれば、本人の全く予期しないところで当該個人データが利用されたり、他のデータと結合・加工されるなどして、本人に不測の権利利益侵害を及ぼすおそれが高まることとなる。」(145頁)という記述があるが、これは、4章全体が「個人情報データベース等」を対象としている理由の一つを説明しているのであって、15条〜18条と違って23条が「個人データ」対象であることの理由を説明しているわけではないと読むことができる。それにもかかわらず、こうした記述が反対解釈を生み、15条〜18条についてはそれ以外に対しても義務を課すのが相当とされているのだと解されるようになったのではないか。

岡村(38)は、定義の総説部分で、「『個人情報』を対象に一定の義務を負うという構造を基本に、『個人情報』のうち『個人データ』に限定して義務の内容が加重され、『個人データ』のうち『保有個人データ』と呼ばれるものである場合には、さらにいっそう義務の内容が加重されるという、いわば『積み上げ構造』とでも呼ぶべき形式が採用されている。」(61頁)とし、「個人情報」と「個人データ」の義務の違いを積極的に区別しているが、立案担当者らはそのようには説明していない。

鈴木(39)は、図2に示す図を用い、「個人情報」と「個人データ」の区分と、義務の条番号とを矢印で結んで、これらの対応関係を積極的に扱った。

しかし、逐条解説書(18)はこのような図を載せていない。似た図として、「『個人情報』・『個人データ』・『保有個人データ』の関係」と題する図(64頁)で、これら定義語の情報の範囲の包含関係をベン図で示してはいるものの、義務との関係を明示していない。その代わりに、「対象となる個人情報、事業者の範囲等」と題する図(70頁)で、図3に示す図を掲載している。この図では、「個人情報データベース等」の枠が「第4章 個人情報取扱事業者の義務」の枠に矢印で直結されており、あたかも、16条、17条の義務が「個人情報データベース等」に対してかかるものであって、それを除いた「個人情報」にはかからないかのような図になっている。

もっとも、この図は、4章の義務がかかるのは「個人情報データベース等」を事業の用に供している者のみであることを言わんとしたものでもあるのだろう。それでも、「対象となる個人情報、事業者の範囲等」と題されているので、上記のようにも読める。この図の構成は、後に消費者庁が発行したパンフレット「よくわかる個人情報保護のしくみ」にも引き継がれており、そこでは、図2のような図が示されることはない(40)

識者らの解説と政府の解説とでこのような微妙なずれが生じたとすれば、その原因として、識者らは、立案段階の旧法案の趣旨に引きずられたまま、新法案へ変更した立法者意思の趣旨を明確に知らされなかったことがあるのではないだろうか。

(略)

5. 次の改正に向けての提案
(略)

また、民間部門で、散在情報を対象から完全に外すことが適切かを検討しなければならない。例えば、防犯カメラに録画される顔を含む映像(顔識別が行われていないならば「個人データ」に該当しない。)に個人情報保護法の規律が何ら及ばなくなる(46)ので、別の規律が必要となろう。

(略)

注釈

(37) 宇賀克也『個人情報保護法の逐条解説〈第4版〉』有斐閣、2013年(初版2004年)
(38) 岡村久道『新訂版 個人情報保護法』商事法務、2009年(初版2004年)
(40) 鈴木正朝『個人情報保護法とコンプライアンス・プログラム 個人情報保護法とJIS Q 15001:1999』商事法務、2004年

(40) 消費者庁のパンフレットには、冒頭で「法の義務の対象となる個人情報は、主として「検索することができるように体系的に構成された個人情報(法律上「個人データ」(法第2条)と呼ばれる情報)です。」とも書かれている。とはいえ、その一方で、Q&Aのページには、「カメラで個人を勝手に撮影することは、個人情報保護法違反になりますか。」の問いに、個人情報取扱事業者には15条、16条、17条が適用されるとしており、個人情報データベース等を構成する予定すらない撮影に対しても個人情報保護法が適用されるとしている。

(46) 現行法においても、防犯カメラの録画映像は、15条〜18条の義務は適用され得るが、肝心の安全管理措置(20条)は適用されないのであり、防犯カメラを規律する法律というにはあまりに中途半端である

高木浩光, “IoTに対応した個人データ保護制度のあり方”, 法とコンピュータ, No.34, pp.47-81(2016年7月)

注釈(40)で述べているように、消費者庁のパンフレットには、Q&Aのところに、監視カメラの録画映像について15条、16条、17条が適用されるとする記述があるが、注釈(46)で述べているように、個人情報保護法を防犯カメラの取り扱いを規律する法律とするには、肝心の安全管理措置義務がないなど、あまりに中途半端すぎる。

経産省ガイドライン(告示)では、ガイドライン本体には、前掲の個人情報保護委員会ガイドラインと同様に、「個人情報に該当する事例」のところに、「事例3)防犯カメラに記録された情報等本人が判別できる映像情報」との記述があるだけで、それ以上の説明は何もなかったが、そのQ&A(告示ではない)で、2005年という早い時期から次の回答がなされていた。

Q 146 店内等に防犯カメラを設置する場合、どのような点に注意が必要ですか。

A 防犯カメラの撮影により得られる容姿の映像により、特定の個人を識別することが可能な場合には、 原則として個人情報の利用目的を本人に通知又は公表しなければなりません。もっとも、「取得の状況からみて利用目的が明らかであると認められる場合」には、その利用目的を公表等する必要がないとされており(法第18条第4項第4号)、一般に、防犯目的のためにビデオカメラを設置し撮影する場合は、「取得の状況からみて利用目的が明らか」であると認められるものと解されます。しかし、防犯以外の目的で利用する場合には、「取得の状況からみて利用目的が明らか」とは認められない可能性が高いため、当該利用目的を公表等する必要があります。(2005.7.28)

これは結局、何もしなくてもよいと言っている。本来必要とされていると考えられる防犯カメラに対する何らかの規制が日本法にはない状況*4において、防犯カメラが広く普及し始めた時期にちょうど成立した個人情報保護法を、その場しのぎにテキトーに当てはめてお茶を濁した*5だけのように見える。*6

先日公表された個人情報保護委員会のガイドラインでは、監視カメラの録画映像に15条〜18条が適用されるとの記載はない。しかし、今後出てくるQ&Aに記載される可能性はあるだろう。

個人情報保護委員会には、安全管理措置義務がないのに利用目的関係義務だけ課すというこの半端さ加減に、疑問を持ってもらいたいものである。もっとも、その半端さを解消するために、安全管理措置義務を散在情報にまで広げるというのには大反対である。その理由は、前掲の論文にも書いているように、本来民間部門において保護の対象とするべきでない情報についてまで義務が課されてしまうのは、弊害が大きすぎるからである。

なお、顔識別カメラを用いて、顔ごとに検索できるよう体系的に構成している場合*7には、「個人データ」に該当し、個人情報保護法第4章の義務が全部かかるということでよい。顔識別をしない録画するだけの監視カメラについてだけ、どう規律すべきかが、お座なりになっているのである。

以上は私の主張にすぎないが、今回の国土交通省の対応は、どういう整理になっているのだろうか。

まず、今回のASKAの映像が「個人情報」に当たらないという見解はまずあり得ないだろう。しかし、自動車局の担当者は「法律に違反するわけではないがモラルとして良くないことなので通知をした」と朝日新聞の取材に答えている。前記のように、報道機関に報道目的で報道機関以外の者(この場合タクシー会社)が提供する行為は、個人情報保護法第4章の適用除外対象ではなく、(提供するものが「個人データ」に該当する場合は)違法である。もっとも、提供された映像は「個人データ」には該当しないので、23条違反ではない。ただ、目的外利用禁止(16条)違反という解釈もあり得るところ、これまでそこがはっきりとは整理されてこなかった。

そうすると、今回の国土交通省の対応は、散在情報である映像は個人情報保護法第4章の義務の対象外であると判断した(個人情報保護法に基づく主務大臣の判断として)ものではないだろうか。そのように理解しない限り、どこかで国土交通省は法解釈を間違えていることになる。*8

だとすれば、私の主張を裏付けるものとなって朗報、ということになる。

もっとも、国土交通省は、JR東日本のSuica乗降履歴提供事案について、未だ、個人データの提供であったという見解を公式に示していない*9ような組織であるから、個人情報保護法の考え方に疎く、単に無頓着なだけという可能性もありそうではある。

*1 来年に予定されている改正法の全面施行までは、この権限は、個人情報保護委員会ではなく、主務大臣にある。

*2 この点は、ちょうど今ホットなトピックとなっている、医学系研究において病院から学術研究機関への提供を適用除外とできるかの論点にも関係するところである。

*3 もしこれが、昨今実用化されつつある顔識別技術を用いて、個人識別符号で検索できるように体系的に構成している場合には、個人データに該当する。

*4 EU諸国においては、2004年の時点で、欧州委員会データ保護指令29条作業部会のWP89「Opinion 4/2004 on the Processing of Personal Data by means of Video Surveillance」で、加盟各国にも、監視カメラに係る特別の規制を設けている国があれば、そうではない国もあり、データ保護法制の中で明示的な規律を置いている国と、そうでない国もあり、まちまちであることが報告されている。

*5 もし、防犯カメラに対する規制が必要では?と政府に問いかければ、個人情報保護法のこの説明が出てきて、既に解決済みであるかのような印象を与える回答がなされて、お茶を濁されるだろう。

*6 このQ&Aにも、防犯カメラ録画映像の目的外利用が16条違反かどうかについては何も触れられていないが、当然のこととして書かれていないのかもしれない。

*7 実例として、読売新聞2015年12月28日朝刊, 「顔データ化 客は知らず 利用目的告知なし 法抵触も」参照。

*8 別の理解として、主務大臣は何も判断していないのであり、この自動車局の対応は、個人情報保護法とは別のところでこのような「通知」をしたにすぎないという見方ができるが、その場合でも、担当者が「法律に違反するわけではない」との見解を示したことは勇み足で、誤っているということになる。

*9 昨年の国会審議では、以下の答弁がなされただけであった。

○福島みずほ君 消費者の立場からすれば、自分のデータをビッグデータにしてそれを売買するということは予想していないと思うんですよ。そんなこと頼んでいないし、そんなこと同意していないよというのが消費者の立場ではないでしょうか。

JR東日本と日立製作所の連携による四千三百万枚のSuica情報売買問題に関して、国土交通省はどのような注意、指導を行っているでしょうか。

○政府参考人(篠原康弘君) お答え申し上げます。

御指摘の平成二十五年六月のJR東日本の事案でございますが、JR東日本によりますと、Suicaの旅客流動に関するデータの中で、氏名、連絡先、Suica番号等を削除して、個人が特定できないような加工をした上で日立製作所に提供したということでございましたが、国土交通省といたしましては、利用者の不安を惹起するおそれのあるデータの提供につきましては個人のプライバシーに配慮して慎重かつ丁寧な対応を行うことが望ましい旨の指摘を行ってございます。

○福島みずほ君 このSuica情報売買は、現行法において、適法なんでしょうか違法なんでしょうか。

○政府参考人(二宮清治君) お答え申し上げます。

事案の発生当時、Suicaに関するデータにつきましては、氏名、連絡先、Suica番号等を除くことなどによりまして、個人が特定できないよう加工した上で日立製作所の方に提供されたものだというふうに承知をしているところでございます。

個人情報保護法上、個人情報とは、特定の個人を識別することができるものをいい、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含むというふうに規定をしているところでございます。

他の情報と容易に照合できるかどうかにつきましては、当該情報にアクセスできる者の範囲、アクセス制限の技術的な措置等を踏まえて総合判断をする必要がございまして、御指摘の事案につきましては直ちに違法性があるとまでは言えないということで、このような事案につきまして、JR東日本を始め、グレーゾーンとして対応が困難という意見があるところでございます。

したがいまして、現在、匿名加工情報という新たな類型を設けることといたしまして、法改正案を国会で御審議をいただいているところでございます。

参議院地方・消費者問題に関する特別委員会第5号, 平成27年6月10日

本日のリンク元 TrackBack(0)

2016年11月29日

医学研究等倫理指針見直し3省合同会議が迷走、自滅の道へ(パーソナルデータ保護法制の行方 その26)

7月2日の日記「個人情報該当性解釈の根源的懸案が解決に向け前進」で書いていた、文科省・厚労省・経産省の3省合同会議「医学研究等における個人情報の取扱い等に関する合同会議」*1が、終盤になって迷走している。

これまでの経緯

事の経緯を確認すると、まず、7月2日の日記の時点を要約すると、こうだった。

  • 元々、連結可能匿名化は、提供元においては個人情報であるとされていた。*2
  • 元々、連結不可能匿名化は、非個人情報化に当たるとされていた。*3
  • 個人情報保護法の改正により、個人識別符号が導入され、そこに遺伝子配列が入ることから、ゲノムデータが含まれている場合は連結不可能匿名化しても個人情報のままということになる。
  • 個人情報保護法の改正を通じて、容易照合性の解釈に係るいわゆる「提供元基準説」が政府の解釈であると確認されたため、これまでのような連結不可能匿名化をしても個人情報のままとなる場合があると指摘された。
  • 研究の現場では、匿名化(連結可能匿名化及び連結不可能匿名化)の方法として、氏名・連絡先等を単に削除するだけの措置が一般的に行われており、このような処置をもって非個人情報化であるとして、インフォームドコンセントにおいて「個人情報は提供しません」などと説明している実態がある。
  • 合同会議第2回と第3回で、別所委員から、対応表があろうがなかろうが元データとデータセットによる照合ができるデータは元々個人情報なのであり、氏名や住所を削除しても個人情報であるのに、その点が理解されていないとする指摘が出た。*4
  • 指針の「匿名化」の定義は、一見、保護法の個人情報の定義を裏返した(A or B を not A and not Bの形に書き換えた*5)もののように見え、非個人情報化の要件を示したもののように見えるが、実はそうではなく、Bの部分が保護法とは異なっていた。*6
  • これらを踏まえ、事務局は、匿名化の概念を変更する案1から案3を示した。
  • 案2は、「匿名化」の定義を変更して、照合による識別の部分(上記で言う「and not B」)を削除し、実態として行われている匿名化処置(氏名や住所を削る)に定義を合わせるというもの。その上で、「匿名化」を施しても個人情報である場合と個人情報でない場合があるとして、ルールを場合分けするものであった。

その後、次のように展開した。

  • 案1〜案3の中からは案2が採用となった。
  • 複雑すぎるので「連結可能匿名化」と「連結不可能匿名化」の区分をやめることになった。
  • 案2の新匿名化定義の加工方法と、加工結果の個人情報該当性でルール分けする(一部に、対応表の保有の有無による場合分けが残る)ことになった。
  • 同意なき提供が認められないと研究が立ち行かなくなることから、学術研究機関の学術研究目的と、公的部門(国立大学を含む独立行政法人)の研究目的例外の規定を活用して、個人情報保護法及び行政機関・独法等個人情報保護法に違反しないものと整理することになった。

このような展開について、私の考えとしては、7月23日の日記「ノルウェー法の「de-identified personal data」と「anonymous data」そして「pseudonymous data」並びに「indirectly identifiable data」を調べた」に書いたように、ヨーロッパ方面の動向に合わせるならば、案2もいまいち(十年周回遅れ)であり、案1とも案3とも異なる「案4」が良いのではないかとしていたが、もはやそれは無理な情勢だった。

そして、改正指針案が9月22日から10月21日までパブコメにかけられていた。

パブコメにかけられた案について、私としては、周回遅れだと思うものの、個人情報保護法の「個人情報」定義の解釈としては正しいところへ到達できたので、まあ及第点であり、仕方がないと思っていた。

パブコメ後に出てきたトンデモ案

ところが、パブコメ明けの11月16日、第7回の合同会議で、大どんでん返しがあったのである。

第7回の資料2-2「論点整理」に、次のように、トンデモない案が示されている。

論点1 容易照合性(照合性)について

]静棲詰

(略)

対応方針

ア 今般、個人情報保護法ガイドライン等で示された法の一般的な解釈も踏まえ、実態に即して個別事例ごとに判断を要することを前提としつつ、指針においては、「対応表」が適切に管理されている場合(※2)には、通常の場合、(容易)照合性がないものとして取り扱うこととしてはどうか。(ガイダンスで明確化)

<(※2)適切に管理されている場合の考え方(案)>

  • 研究者等以外の者(研究実施から独立した者)のみが取り扱うことが研究計画書によってあらかじめ適切に定められていること
  • 対応表の利用目的・方法が、研究計画書によってあらかじめ適切に限定されていること
  • 機関内で「対応表」の管理に関する適切な規程が整備されていること
<考え方>
  • 例えば、元の個人データ(情報A)について、「対応表」を作成しつつ、単体では特定の個人を識別することができない情報(情報B)を作成した場合、「対応表」が適切に管理されている場合は、通常の場合、情報Bは情報Aとの間で法律上のいわゆる(容易)照合性が存在するとは考え難い
  • したがって、「対応表」が適切に管理されている場合は、通常の場合、当該機関において(容易)照合性は存在しないと考えられる。

(※)行個法・独個法においては、照合の容易性を要件としていないが、そもそも個人情報に該当する場合であっても、相当な理由や特別な理由等があれば、利用目的以外での利用・提供が可能である。

第7回の資料2-2「論点整理」p.2

PDFファイルにある図からキャプチャ
図1: 第7回の資料2-2「論点整理」p.5に掲載されている図

これがどうトンデモないのかは、その場で即座に別所委員から指摘されていた。

別所委員:(略)対応表云々のところについては、もう少し考えていただきたいと思っています。一つは、対応表の有無が容易照合とか照合性を決めるわけではなくて、対応表があろうとなかろうと、照合できれば個人情報になるというのが、独立行政法人頭個人情報保護法と行政機関個人情報保護法の考え方ですし、容易に照合することができるのであれば個人情報になるというのが個人情報保護法の考え方で、対応表というのを持ち出してしまうと、また、世の中に混乱を招くというふうに考えていますので、対応表ということではなくて、正しく法律を説明していただきたいというふうに考えています。そうしないと、今も多少混乱起きていると思いますけど、混乱が収集するということが将来期待することができないというふうになってますので、前から申し上げてますように、法律が改正されたいい機会ですので、法律の条文に沿った正しい解釈をきちんと明確にしていただくということが必要だと思います。もう一つは、容易照合性のところの基準は、個別のガイダンスではなく、個人情報保護委員会から容易照合性のガイドラインが出ると思いますので、そちらに従うべきだと思っていて、特別に何かこの領域で配慮すべきというようなものではないというふうに、そこのところは、一般の個人情報の取り扱いと同じ基準で、容易照合性は判断されるべきと思っている。ちなみに、ここに書かれているような基準は、少なくとも私が知っているところでは、個人情報保護法でこうなっているから容易照合ではないと言われるようなことが書かれているとは認識しておりませんので、そこは明確にしていただきたいと思っています。

事務局(厚労):4ページ目の参考のところで、「個人情報の範囲にかかる法律上の解釈について」を示しているように、個人情報保護法上の「容易照合性」あるいは、行政機関個人情報保護法上の「照合性」に関しては、こちらのような考え方が示されているものと認識しております。個人情報保護法は、に記載しているが、今般示された個人情報保護法ガイドライン(通則編)(案)で、今後変わる可能性はあると理解しているが、抜粋しているものであり、「他の情報と容易に照合することができるというのは、事業者の実態に即して個々の事例ごとに判断されるべきであるが、通常の業務における一般的な方法で、他の情報と容易に照合することができる状態をいい、例えば、他の事業者への紹介を要する場合であって照合が困難な状態は、一般に、容易に照合することができない状態であると解される。」といったことが個人情報保護委員会の方から示されていると認識している。また、行個法についても、説明が長いので省略するが、「個人を識別するために実施可能と考えられる手段について、その手段を実施するものと考えられる人物が誰であるかも視野に入れつつ、合理的な範囲で考慮することが適当である。」ということになっておりまして、情報が何かとくっつく可能性が少しで存在すればといたような解釈ではないというふうのではないかというふうに、まずあの、あの、事務局としては理解しておったところでございます。

別所委員:個人情報保護法に関しては、ガイドラインにあるだけではなくて、これまでの積み重ねがあります。少なくともここに書かれているのは、「他の事業者に照会」なので、自分の事業者内での照合の話は例示されていないです。なので、管理が適切にされていればというのは別の論点だというふうに思ってます。外に紹介しなければわからないという状態というのと、自施設内で管理されているかっていうのはぜんぜん違うと思っています。もう一つは、先ほど言いましたように、対応表の有無ではなくて、対応表の有無に関わらず容易照合することができるかどうかという状態を判断すべきなので、対応表の有無をですね、ここに入れるべきではないというふうに考えています。先ほどの行個法との話で言うと、基本的に立法趣旨を考えていただければ理解していただければ私の説明理解していただけると思いますので、きちんと立法趣旨に遡って差異を認識してきちんと明示をしていただきたいということです。

事務局:個人情報保護法と差異がある、概念上「容易に」のあるのないのでは、概念上違いがあるということは事務局としてもまあ認識しております。まあ今後あの、対応表の管理というのがどうなのかということにつきましては、えー個人情報保護委員会等と、えー調整させていただきながら、まあ、あの、決めさして、いただきたいというふうに考えております。

別所委員:対応表の管理で容易照合性の判断をするということになると、他の産業までの影響が大きいので、他の産業のところはかなりの点をつめていると思っています。そう言う意味で、個人情報保護法の改正のときにですね、いろんな意見を申し上げて来ましたし、それの結果こうなっているというところですので、できあがってしまった後で、法律そのものを変えることはできないという認識を持っていただいて、今の法律を正しく適用されるという形で、きちんとしていただきたいと思ってます。

藤原康弘委員(国立がん研究センター):別所委員は産業界を代表されてたぶん言われていると思いますけども、私どもがここで検討しているのは、学術研究とか、医学研究をやっている領域の人たちの指針の改定を中心にしているのであって、そもそも個人情報保護法には学術研究目的は除外すると言っているのを、上乗せ規定でいろんな規定をここで考えているわけで、例えばこの、対応表の管理ありの有無を記載しないでほしいとおっしゃられますけど、今まで連結不可能匿名化とかというので議論されてる医学研究者の方々は、対応表ありの有無でいろいろ考えて来たという経緯があるので、こういうのがあった方が、これまでやってきた先生方には変更の内容がわかりやすいんじゃないかというふうに私は思っています。それから、個人情報保護委員会のこれまでいろんな議論をされてるんだと思いますけども、個人情報保護委員会の中には医学界とか医療界とかの代表の方いらっしゃいませんよね。そういう議論は、本当に、日本医師会の方が個人情報保護委員会の委員に入っているとか、かつての委員に、議論に参画されていたのならば、今回のこの検討委員会と全6回はあまり混乱しなかったと思うんですけども。やっぱり、産業界の方々を対象にした個人情報保護法と、医学・医療という領域を対象にした個人情報の解釈というのは、線引きというか、別の観点からここでは議論した方がいいと思います。

別所委員:問題の所在は、すでに法律は存在しているということだと思っています。法律に定められたことは正しく解釈されるべきだと思っていて、医学のところとか研究のところを抜くのであれば、例外条項をどうやって使うかというところで抜くべきだと思っていて、定義のところですとか、容易照合のところか、そういうところでそもそもチャレンジするのが(笑)まちがっているということ。平仄が取れるように例外事項を入れたので、例外事項の解釈をどういうふうに広げて考えることができるかというところを推し進めていくべきで、べつにあの、私、学術研究を推めるのを反対しているわけじゃなくてですね、法律の建てつけ上、きちんと整理した方がいいと、いうふうに申し上げているだけです。

課長(厚労):別所委員のおっしゃられたことについては、別の方でちょっと話をさせていただきたいと思いますが、ただ、基本的に、我々そのー、おー、いわゆる(笑)、委員のおっしゃられた通り、えとー、対応表というのは、非常に、ありなしとか、そいうことに関して非常にあの、馴染み深いと言うか(笑)、いうところでしたのでそれがどういう意味を持つのか、それの管理というのがどういう意味を持つのか、とか、それが管理されているのはどういうなのか、というようなところを、明示した方が、よりわかりやすいというようなところもありますので、そこの表現ぶりですとか、というふうなことであれば、えー、どういう、あのー、なん、それについて少し、事務局で少し引き取らせていただきたいというふうに思います。

座長:法律の平仄は取っていただくのは当然としまして、医学研究において、対応表がかなり具体的に使われて来たというところを必要ですので、そこのところを示していただいたのは、私も個人的にはいいのではないかなというふうに思いますけども。他にはいかがでしょうか。

医学研究等における個人情報の取扱い等に関する合同会議, 第7回 (議事録未公表につき、傍聴時メモより)

この、国立がんセンターの藤原康弘とかいう人の口ぶりが酷かった。公正な議論の場に一方的に立場性を持ち込み、別所委員の指摘に「お前は産業界だろうが、俺たちは医学界だ。ここは医学界なんだぞ。」という発言。こういう言い方をする人間にはそもそも一般的に言って議論をする資格がない。ご自身が言っているように、「そもそも個人情報保護法には学術研究目的は除外する」ことになっているのだから、独自のルールを作ればいいわけで、「個人情報だが提供できる」というルールを作ればいいだけの話。「上乗せ規定でいろんな規定をここで考えているわけで」というのが間違っているわけで、そのことはこの合同会議で初期の段階から指摘されていた*7ことだ。

合同会議事務局は、医学系のルールのために法の定義を捻じ曲げようという、トンデモない方向に出た。こんなことを個人情報保護委員会が放置すれば、法の解釈も医学系指針と同様だと言い出す人がまた出てきてしまう*8。別所委員が「また世の中に混乱を招く」と指摘しているのはそういう懸念だろう。

法解釈がまた狂わされれば、「他の産業までの影響」(別所委員)が出るのであり、「混乱が収集するということが将来期待することができない」(別所委員)というのは、EUから見放されて十分性認定が遠のくということだ。がんセンターの藤原とかいう人は「ここは産業界じゃない医学界だ」と言うが、その医学界こそ、「氏名・住所を削除すればpersonal dataでなくなる」などという周回遅れの定義を2016年にもなって打ち出していたら、EUから野蛮国扱いされて、医学のための個人データ国際流通も止められてしまうだろう。そんなことも知らないでよくもまあこういう委員会がやっていられるものだ。*9

要するに、この指針が不幸なのは、ルールを個人情報該当性で場合分けしてきたことにある。学術研究の適用除外の中での独自ルールだと割り切るのなら、個人情報に該当するか否かとは独立の基準でルールを場合分けすることができる。EUでは既にそういう方向に向かっているのに、なぜそう指摘しないのか。

どうしてこうなった

パブコメ後にこのように急にひっくり返ったのはなぜか。考えられるのは、医学系学会11団体による共同「要望書」が、どこかに対して強力に効いたものと考えられる。この要望書は、あちこちに出回っていたが、10月31日の健康・医療戦略推進本部の参与会合の「資料9」に添付される形で公開されている。これが次のように主張していた。

要望書

個人情報保護委員会 御中

(略)

学術目的で実施される医学研究に限り、厚労省・文科省が制定する現行の『人を対象とする医学系研究に関する倫理指針』(以下、「指針」)に規定された、「連結不可能匿名化又は連結可能匿名化であって当該研究機関が対応表を保有しない場合に限る」という匿名化がなされた診療情報や臨床情報であれば、法における「匿名加工情報」及び「非識別加工情報」相当であり個人情報には該当しないことを何らかの形で明確に示して欲しい。

(略)

(理由)

 蔑)医学研究では、例えば血圧値の1mmHgの違いが心疾患の発症や予防にどのような影響を及ぼすか、といったことを精緻に検討しなければならないことから、常に精確な検査値や診断名を機関相互に利用・提供しあうことのできる社会制度・規制環境が必要となる。そのため、一般化やトップ(ボトム)コーディングなど、改正個情法ガイドライン案(匿名加工情報編)で示されたような加工に係る手法を用いて特定の個人を識別することのできる情報ではないものに加工する、といった方法は医学研究には全く馴染むものではない。したがって、医学研究が社会の期待に応え、公益上必要な活動を行い、医療イノベーションをはじめとする健康で活力ある国民生活の実現に資するものであるためには、これら医学研究の特殊性を鑑みて、学術研究を目的とする医学研究を実施する場合においては、個情法体系における事業者等の属性と課される義務の違い及びその属性の違いに伴う「個人情報」の範囲(即ち、個人情報の定義における「容易」照合性の有無)の違いを超えた統一的なルールの下で、「病歴」を含む診療情報の利用・提供がスムーズに行える制度を整える必要がある。

しかし、そうした統一ルールとしての役割が本来期待されて制定・施行されたはずの厚労省、文科省による『人を対象とする医学系研究に関する倫理指針』の改正案(以下、「指針改正案」という。)においては、これと逆行して、「病歴」を含む診療情報を医学研究に利用・提供することを困難とするものとなりつつある。

(略)

,能劼戮芯未蝓改正個情法ガイドライン案(匿名加工情報編)で示されたような加工に係る手法を用いて特定の個人を識別する情報ではないものに加工する、といった方法は医学研究には全く馴染まない。一方、医学研究では、現行指針までの十数年の長きに亘り「連結不可能匿名化又は連結可能匿名化であって当該研究機関が対応表を保有しない場合に限る」という匿名化ルールの下で、刑法その他による守秘義務を元来負っている医療者が、診療情報と患者のプライバシーを厳格に保護しながら、医学研究のためにオプトアウトで利用・提供してきているが、本匿名化ルールでの運用においてプライバシー侵害等の問題が生じた例はこれまでない。すなわち、個人情報の保護及び本人意思の尊重と、国民の健康・福祉に資する医学研究の実施との両立は、現行法制及び指針の下で絶妙な均衡を保って実現してきたのである。そのため、医学研究に関する限りは、本匿名化ルールでの運用であれば改正法の定める「匿名加工情報」及び「非識別加工情報」に相当するものとして取り扱うことには一定の合理性がある

(略)

日本循環器学会, 日本癌学会, 日本糖尿病学会 日本心臓血管外科学会, 日本血管外科学会, 日本胸部外科学会, 日本老年医学会, 日本脳神経外科学会, 日本脳卒中学会, 日本疫学会, 日本循環器病予防学会, 「要望書」, 2016年10月22日

この要望書は、まず、改正法で新設される「匿名加工情報」に対する典型的な誤解がある。匿名加工情報に加工しなければ指針の「匿名化」に当たらなくなってしまうと勘違いしている。もっともこの勘違いは非常に多く*10、誤解されやすいところであり、合同会議事務局も、そのことを知りながら、そこをちゃんと資料に書かないのが悪いとも言えるが、これが誤解であることは、昨年の国会審議でも繰り返し答弁されたこと*11であるし、先月パブコメにかけられたばかりの個人情報保護委員会のガイドライン(案)にも書き込まれたところだ。そういうところをまるでウォッチしていない不勉強な輩が書いた*12要望書であることがわかる。

この要望書の主張は、要するに、「十数年の長きに亘り」そうしてきたという、これまで通りの、「連結不可能匿名化又は連結可能匿名化であって当該研究機関が対応表を保有しない場合」であれば「オプトアウトで利用・提供」できるままにしてくれというものだろう。*13

こうした圧力が強烈にかかった結果(かどうかは定かでないが)、出口を探してたどり着いたのが、前掲の「論点概要」にある「「対応表」が適切に管理されている場合は、通常の場合、情報Bは情報Aとの間で法律上のいわゆる(容易)照合性が存在するとは考え難い」などというトンデモ説なのだろう。

事務局資料をよく見てみると、興味深いのは図1に引用したPDFである。以下の図2に拡大したものを載せるが、不思議なことにいつもと違って、JPEGのモスキートノイズが出ているのだ。

PDFファイルにある図からキャプチャ
図2: 図1の図のPDFを拡大して画面キャプチャしたPNG画像(これ自体がJPEGなのではない)

いつもなら、PowerPointか何かで作図されたベクトルデータの絵がPDFに張り込まれているのに、今回だけ、JPEGの画像なのである。フォントの様子も異なるようだ。これは憶測に過ぎないが、誰か事務局外から渡された図をそのまま入れ込まざるを得なかったということではなかろうか。

誰かの思いつきで「対応表の管理で分ければいい」というアイデアが持ち込まれたもので、ろくに議論されていないものだろう。第7回の合同会議でも、前掲の別所委員の指摘があっただけで終わっている。

医学系固有の匿名化なぞ初めから無かったことが判明

さて、こういう状況になると、どういう落とし所に持っていけばよいのか。

法律の「個人情報」定義では、このようなトンデモ説は政府説とは異なる。合同会議がどうしてもこの案で行くというのであれば、これはあくまでも法の適用除外の下での、指針の独自「個人情報」定義の解釈であって、法律の「個人情報」定義の解釈とは異なるものであるということを、合同会議事務局は明示することが必須であるし、個人情報保護委員会もそのような見解を示すべきである。

医学系学会11団体の言い分は、「医学研究では、現行指針までの十数年の長きに亘り」として、そういう独自の定義解釈でやってきたのだから、「独自のものとして開き直らせてくれ」と言っていることになる。

ここで次のような疑問を挟む人がいるだろう。つまり、実は高木が言っていることの方が間違いで、「対応表を適切に管理していれば容易照合性は無い」という解釈の方が政府説なのだと。

これはいわゆる「Q14問題」そのものであり、かつて経産省ガイドラインQ&Aにそれっぽいことが書かれていたが、今は修正されている。国会でもここが質問に出たことがあった(2013年)が、JR東日本がSuica乗降履歴を日立製作所に提供しても個人データの提供に当たらないと主張していた根拠の一つも、この旧Q14に基づくもので、ファイアウォールで隔てられていれば容易照合性がないとする主張(「アクセス制御説」と呼んでいる。)であった。これがちょうど今の「対応表を適切に管理していれば」ということに相当する。

この「アクセス制御説」が政府説ではないことは、残念ながら未だ明確にはされていない。個人情報保護委員会のガイドライン案では、この点をぼんやりと曖昧に書いて、極端な該当例を挙げるだけに止められている*14。これは、設立されたばかりで勉強途上にある個人情報保護委員会が、迷って決断しかねており、結論を先延ばしにしているパターンとみるべきだろう。

しかし、日本の個人情報保護法制は、過去を遡ると、昭和63年法の制定時からずっと、容易照合性は、提供元基準であったし、ファイル単位の照合であったし、組織として保有しているか否かであったし、また、それは英国法のpersonal data定義を真似て作られた条文と考えられる旨を、前回の日記「容易照合性が提供元基準でファイル単位なのは昭和61年からだった(パーソナルデータ温故知新 その4)」で示した。また、2月24日の日記「防衛庁情報公開請求者リスト事件は10年先行くSuica事案だった(パーソナルデータ温故知新 その2)」でも、当時からそういう議論があったことを示した。

ここで、歴史はそうだとして、その実質的な意義は何か?と疑問を挟む声があるかもしれない。これについて書きたいことは頭の中にはあり、今年の「CSS秋田」での議論はそこだったのだが、時間がないのでそこは次回以降で書くこととしたい。

それでもなお、高木の言っていることの方が間違いと言う人がいるかもしれないが、ここにきて、今更ながら、決定的な根拠を見つけたので、以下に示しておきたい。

今回の事務局案で、「対応表が適切に管理されている場合には照合性がないものとして取り扱うこととし(ガイダンスで明確化)」とあったので、その「ガイダンス」とやらはどんなことが書いてあるのだろう?と、今ごろになって初めて読んでみた。なんと、次のように書かれているではないか。

2 (20)及び(21)の「個人に関する情報」とは、個人の内心、外観、活動等の状況のみならず個人の属性に関する情報のすべてを指し、また、例えばインターネット上で公開されている等、公知であるか否かにもよらない。

(20)の「当該情報に含まれる氏名、生年月日その他の記述等」は、「個人情報」の一部分であって、これらだけが「個人情報」であるとすることは適当でない。「その他の記述等」としては、住所、年齢、性別、電話番号、保険証番号、診療録番号等が挙げられる。また、顔写真等の映像や音声記録も、それによって特定の個人を識別することができることとなる場合には、「個人情報」(故人である場合には「個人情報等」)に含まれる。

3 個人の医療等に関する情報は、その情報自体が身体的特徴を表すことがあり、例えば、氏名、生年月日その他の「特定の個人を識別することができることとなる記述等」を機械的にマスキングすることだけでは、特定の個人が識別されることを不可能にしたと言い難い場合がある。このため、研究の実施に伴って取得された個人情報等を「匿名化」(「連結可能匿名化」又は「連結不可能匿名化」)する場合は当該情報の内容や用途等に応じて、特定の個人が識別される可能性が十分に低減する加工方法である必要があるとともに、「他で入手できる情報と照合することにより特定の個人を識別することができる」ことのないよう留意する必要がある

なお、「匿名化」は本来、個人情報等の保護のためになされるものであり、研究者等又は既存試料・情報の提供を行う者が本人同意の手続等を免れるための便法として行うことは適当でない

4 (23)の「連結可能匿名化」に関して、医療機関を有する法人等が研究機関として研究を実施する場合において、診療録番号と患者を結びつける情報にアクセス制限を行っていても、当該診療情報は「連結不可能匿名化」されたものとはいえない。当該診療情報は、当該研究機関内において特定の個人を識別することができる者が限定的であるか、また、当該研究機関内の誰がアクセスすることができるかによらず「連結可能匿名化」された情報である。例えば、同一法人が管轄するA病院とB研究所において、A病院で取得された試料・情報を連結可能匿名化して、B研究所に提供する場合には、B研究所で対応表を保管していなくても、当該法人(研究機関)として対応表を保有することに変わりなく、個人情報等として適正に取り扱う必要がある。

5 研究機関が対応表を保有しない場合には、当該研究機関においては個人情報等を取り扱わないものとみなしてよい。ただし、例えば、当該研究機関の指示により、他の機関から特定の個人を識別することができることとなる情報(対応表を含む。)の提供を受け得るような場合は、当該情報によって特定の個人を識別することができる情報を個人情報等として適正に取り扱う必要がある。

この指針は、研究機関が保有する個人情報等を適正に取り扱うことを規定しており、適正な管理を免れるための便法として対応表の保有を他に委ねることや、移転させることは適当でない

文部科学省, 厚生労働省, 人を対象とする医学系研究に関する倫理指針ガイダンス, 2015年, p.20より

なんと、ここまではっきり書かれていたとは、想像もしていなかった。「4」にはっきりと、対応表を適切に管理していようが(アクセス制限を行なっていても)「連結不可能匿名化」されたものとは言えず、誰が対応表にアクセスできるかに関係なく、その機関内においては、それが存在すれば常に(容易照合性があることになって)個人情報に該当すると指摘している。(旧Q14を完全に否定している。)

つまり、今回示された事務局案は、現行指針の自らのガイダンスを真っ向から否定することになる。しかも、「適正な管理を免れるための便法として」はいけないと戒められていることを、事務局自身が今やろうとしているのである。

これは、役所としては絶対にやってはいけないことだろう。役人として将来までの汚点になるだろいう。これは、できるはずもないことを気づかずにやろうとしているのではないか。自滅への道を歩んでいる。

しかも、「3」のところには、「氏名、生年月日その他の「特定の個人を識別することができることとなる記述等」を機械的にマスキングすることだけでは、特定の個人が識別されることを不可能にしたと言い難い場合がある」として、元データとのデータセット照合による識別のことを指していると思しき記述もある。

なんだ、初めからこうだったんじゃないの。

てっきり、医学系では、氏名・住所さえ削除すれば非個人情報化されるという誤った法解釈の下で動いていたと思っていたので、今回の法改正を機会に、正しい法解釈に合わせるための努力がこの合同会議でなされてきたと思っていたが、とっくの昔に既に現行指針でそうなっていた。

いや、この現行指針も、2015年とあるので、最近のものであるから、もっと昔は違っていたかもしれない。この医学系指針は、旧「疫学研究に関する倫理指針」(疫学研究指針)と旧「臨床研究に関する倫理指針」(臨床研究指針)が2014年に統合されたものである。

疫学研究指針のガイダンスを探したところ、ガイダンスではなく「Q&A」があり、以下のように書かれているのを確認できた。

Q7-1 指針第4 2(2)[1]の「連結可能匿名化であって対応表を有していない場合をいう。」とありますが、対応表を有している場合はなぜ除外されているのですか。また、「対応表を有していない」とは、例えば、研究担当部署において有していなければ良いのですか。

A7-1 連結可能匿名化された情報の場合で、研究を行う機関において対応表を有している場合は、当該情報は個人情報に該当するためです。従って、同一法人内で対応表を保有している部署と研究担当部署が分かれている場合であっても、対応表を有している場合に該当します。また、別法人に匿名化された情報のみを提供し、提供機関で対応表が保管される場合は、提供を受けた法人において当該情報は個人情報に該当しません。

「疫学研究に関する倫理指針」についてのQ&A, 2007年

2007年当時からちゃんとこのような考え方が示されていたわけだ。事務局はこれを覆すというのか。

繰り返しになるが、歴史はやはりこうなのだが、その実質的な意義は何かから検討しなければ、皆納得しないだろう。今日は時間切れなので、次回以降で書いていくことにする。

米国やEUのルールとの比較

この主張が説得性を持つには、海外ではどうなっているのかとの比較が必要であろう。これまでの、日本の「連結可能匿名化」や「連結不可能匿名化」は海外と同じなのか違うのか。どういう経緯でこれが決まり、現在はどうなっているのか。

この点についても調べたが、時間切れとなってしまったので、今日はここまでとして、次回以降で書いていきたい。

*1 文科省の「ライフサイエンス研究における個人情報の取扱い等に関する専門委員会」と、厚労省の「医学研究における個人情報の取扱いの在り方に関する専門委員会」と、経産省の「産業構造審議会商務流通情報分科会バイオ小委員会個人遺伝情報保護ワーキンググループ」の合同会議。

*2 ズバリそう書かれてはいないが、「人を対象とする医学系研究に関する倫理指針」(医学系指針)では、「試料が匿名化(連結不可能匿名化又は連結可能匿名化であって当該研究機関が対応表を保有しない場合に限る。)されていること」という記述を含む規定があり、「連結可能匿名化であって当該研究機関が対応表を保有しない場合」を連結不可能匿名化と同列にしていることから、連結可能匿名化したものは、提供元において個人情報だが、提供先においては(対応表を持っていなければ)非個人情報であるという前提を置いていたように見える。「ヒトゲノム・遺伝子解析研究に関する倫理指針」(ゲノム指針)も同様。

*3 ゲノム指針では、「個人情報を連結不可能匿名化した情報は、個人情報に該当しない。」と明記されている。医学系指針では、そのような明記はないが、「第3 適用範囲」において「既に連結不可能匿名化されている情報」は指針の適用外とされていることから、非個人情報であることを前提としているように見える。

*4 具体的には、 「もう1つ、多分、混乱が起きているのは、ゲノム情報そのものが個人識別符号になるかどうかということだけではなくて、その前の段階があって、実はここの対応表の有り無しが今まで、もともと議論の1つのポイントになっていたのですが、対応表の有り無しが、意味がないということを、皆さんに御理解いただいたほうがいいのではないかと思っています。対応表が仮になかったとしても、もともとのデータが特定の人についてユニークなデータだった場合は、その人の名前を外そうと、住所を外そうと、それは個人情報なのです。それは現行そうなのですね。ですので、対応表があるとかないとかで、個人情報に該当する、しないという概念が、個人情報保護法上ないのです。そういう誤解が既にあって、なので、仮にゲノム情報が識別符号に該当しないとしたとしても、ユニークな情報の集まりのものについて言うと、個人情報として取り扱わざるを得ないのだということを、まずそもそもの前提として御理解いただく必要があるのではないかと思っております。」との発言(第3回議事録より)。

*5 保護法の個人情報定義では、「記述から特定の個人を識別できる(A) or 他の情報と照合することができそれにより特定の個人を識別できることとなる(B)」であるから、これを裏返すと、「記述から特定の個人を識別できない(not A) and 特定の個人を識別することができることとなるような他の情報との照合ができない(not B)」ということになる

*6 保護法では「他の情報と照合」であるのに、指針では「他で入手できる情報と照合」となっている。

*7 (****執筆中****)

*8 実際、一昨年、2014年9月7日の日記「医学系研究倫理指針(案)パブコメ提出意見(パーソナルデータ保護法制の行方 その10)」に書いたように、文献[岡村2014](岡村久道, パーソナルデータの利活用に関する制度見直しと検討課題(中), NBL No.1020, pp.68-74)が、72頁で、文科省・厚労省の「疫学研究に関する倫理指針」が個人データの第三者提供について提供先基準での解釈をしていると主張していた。

*9 他にも、位田隆一委員(滋賀大学学長)の発言にも唖然としたシーンがあった。「外国から日本に提供されるときはどうか。日本はOECDガイドラインに従っているのだから、日本の方が基準が低いということはないはずだが。」というような発言があったが、これについては議事録が公表されてから再び取り上げることにする。

*10 例えば、文献[岡村2016](岡村久道, 個人情報保護法の改正とデータを用いた学術研究, オペレーションズ・リサーチ, 2016年5月号, pp.283-288)に、次のように書かれている(288頁)のも、その典型例であろう。

以上のような匿名加工情報制度の新設に対し、これまで自由であったはずの非個人識別情報たる匿名情報の取扱いに対し、新たに多様な義務が課されるに至ったので、その利活用が妨げられるのではないかという疑問が呈される一方、これによって本当にプライバシーが守られるのかという、逆方向の立場からの疑問も呈されている。

いずれにしても、必ずしも適用除外対象となるか明らかでない学術研究等については、この匿名加工情報に関する諸規定を順守せざるを得ないことになる

岡村久道, 個人情報保護法の改正とデータを用いた学術研究, オペレーションズ・リサーチ, 2016年5月号, pp.283-288

*11 2月5日の日記「匿名加工情報は何でないか・前編の2(保護法改正はどうなった その4)」参照。

*12 小耳に挟んだところによれば、11団体もの医学学会の総意であるかのような形になっているが、実際は、数人がろくに外と議論せず独自の思い込みで書いて、学会でもよく吟味されないまま決定されて流されているものらしい。

*13 ちなみに、この要望書は「本匿名化ルールでの運用においてプライバシー侵害等の問題が生じた例はこれまでない」と主張しているが、こうした「匿名化」を非個人情報化として許してきた結果、悪用された事例が、2011年に以下のように報じられている。

個人の医療情報が詳しく記載されたレセプト(診療報酬明細書)のチェックを健康保険組合などから請け負っている民間事業者が、個人情報に当たる記載情報を第三者に売っている懸念があるとして、厚生労働省が5日までに指導文書を出したことがわかりました。

(略)

しかし、データ分析の民間事業者が「氏名や生年月日を削除すれば、個人情報にならず第三者に売っても問題ない」などとして、健保組合や医療機関に情報提供を求めていた事例を7月になって把握。氏名や生年月日などを削除しても、受診医療機関名などを他の情報と照合すれば特定の個人を識別することは可能で、厚労省は「個人情報に当たる」としています。

個人医療情報を販売 製薬企業などに請負業者 患者特定の懸念も 厚労省が指導文書, しんぶん赤旗, 2011年8月6日

*14 前掲の別所委員と事務局のやりとりで、ここが論点となっている。事務局(厚労)が読み上げた、「他の情報と容易に照合することができるというのは、事業者の実態に即して個々の事例ごとに判断されるべきであるが、通常の業務における一般的な方法で、他の情報と容易に照合することができる状態をいい、」という文がそのぼんやりと曖昧に書かれたもので、続く「例えば、他の事業者への紹介を要する場合であって照合が困難な状態は、一般に、容易に照合することができない状態であると解される。」との文が、極端な該当例を挙げるだけに止めたものである。この極端な該当例は、何ら今回の事務局解釈の根拠になっておらず、別所委員はその点を「少なくともここに書かれているのは、「他の事業者に照会」なので、自分の事業者内での照合の話は例示されていないです。」としっかり指摘している。厚労の補佐も課長も、何を言われているか理解できなかったのか、しどろもどろで、意味不明のことを答えるしかなかった。

本日のリンク元 TrackBack(0)

2016年11月23日

容易照合性が提供元基準でファイル単位なのは昭和61年からだった(パーソナルデータ温故知新 その4)

前から書かねばと思っていたが*1、今がまさにこれを周知すべき時なので、取り急ぎ書いておく。

個人情報保護法の「個人情報」定義にある括弧書き「(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」の「他の情報と容易に照合することができ」は、今や「容易照合性」と繰り返し呼ばれるようになり、色々なところで聞かれるようになった。この「容易照合性」の解釈について、いわゆる「提供元基準」なのかそれとも「提供先基準」なのかという論点は、昨年の個人情報保護法改正案の国会審議の中で、「日本の場合、これは情報の移転元で容易照合性があるということで解釈が統一されておりまして」と政府参考人が答弁した*2ことで決着したわけだが、これについて、「いったい誰がそんな取り決めをしたのか」「そんな解釈を決めたのが悪いんじゃないのか」といった不満分子が一部で燻っているかもしれない。

しかし、古い文献を読み漁っていたところ、なんと、昭和61年(1986年)の時点ですでに、提供元基準であることが明確に示されていたことを、私は比較的最近になって知った。

日本で国レベルの法として初めて制定されたデータ保護法は「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」(昭和63年法)であり、この制定に向けての法案の骨子は、昭和60年7月から総務庁行政管理局で開催された「行政機関における個人情報保の保護に関する研究会」で検討され、昭和61年12月に取りまとめられたのが、「行政機関における個人情報の保護に関する研究会意見」であった。

この研究会意見は、「第2 保護対策の対象範囲」として、「(2)個人情報の定義」を次のように提案している。

(2)個人情報の定義

個人情報とは、個人に関する情報であって、当該個人を識別できるものをいうが、個人が識別できるとは、情報の内容から、その情報が特定個人のものと識別し得ることをいうとすることが適当であると考えられる。

なお、当該情報のみでは特定個人を識別できないが、当該機関が保有する他のファイル又は台帳等と照合することにより識別できるものは含むものとすることが適当であると考えられる。

識別の方法は、氏名、住所、生年月日等で識別するか、個人別に付された番号その他の項目で識別するかを問わない。

行政機関における個人情報の保護に関する研究会意見, 行政機関における個人情報保の保護に関する研究会, 1986年

これが、その2年後に成立した法律では、次の定義条文となった。

第2条 この法律において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

二 個人情報 生存する個人に関する情報であつて、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号により当該個人を識別できるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できるものを含む。)をいう。ただし、法人その他の団体に関して記録された情報に含まれる当該法人その他の団体の役員に関する情報を除く。

行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律 2条2号

これは、研究会意見をそのまま条文に落とし込んだものと言うべきであろう。とすれば、「他の情報と容易に照合することができ」というのは、「他の情報」と言っても任意の場所にあるあらゆる情報を指すのではなく、特に「当該機関が保有する」ものとの照合を想定した定義だったことが窺える。

つまり、まさに「提供元基準」が、「当該機関が保有する……と照合」という表現で明記されていたのである。

しかし、なぜそのような定義にしたのか。その趣旨について私には考えがあるが、それを書いているとまたいつまで経っても完成しないので、そこはまたの機会に書くとして、ここでは英国法との対比をしておきたい。

英国のデータ保護法は、1984年に制定されたもので、そのときの「personal data」の定義は次のものであった。

(3) "Personal data" means data consisting of information which relates to a living individual who can be identified from that information (or from that and other information in the possession of the data user), including any expression of opinion about the individual but not any indication of the intentions of the data user in respect of that individual.

英国, Data Protection Act 1984

前段部分を訳せばこうだろう。

(3) この法律においてpersonal dataとは、生存する個人に関する情報からなるdataであって、当該情報から(又は、当該情報とデータ利用者が保有する他の情報とから)その個人を識別することができるものを言い……

このように、昭和61年(1986年)の「行政機関における個人情報の保護に関する研究会意見」が提案した個人情報定義の骨子は、英国法のpersonal data定義に瓜二つとなっている。

「who can be identified from that information」のところが、研究会意見では「情報の内容から、その情報が特定個人のものと識別し得る」となり、「who can be identified …… from that and other information in the possession of the data user」が、「当該機関が保有する他のファイル又は台帳等と照合することにより識別できる」となった。英国法には「ファイル又は台帳」という言葉は出てこないし、「照合する」との語も出てこないが、これらは「identified from that and other ……」とのフレーズの意味するところを具体化したものなのだろう。そして、「in the possession of the data user」が、照合可能性を想定する範囲が提供元基準であることを英国法も示している*3のである。

ちょうどこの研究会の直前に英国法が成立していることからしても、総務庁行政管理局のこの研究会は、英国法を参考にして個人情報定義を立案したのではないだろうか。そして、ほぼ同様の定義条文を持つ現在の民間部門での「個人情報」においても、この意義は受け継がれていると言うべきであろう。

つまり、容易照合性のことを目の上のたん瘤のように煙たがっている人からすれば、このような定義は「日本独自のもので、悪しきガラパゴス規制だ」ということにしたい向きもあるのであろうが、このように、決してそうではなく、30年も前から英国などヨーロッパでのデータ保護の考え方を取り入れてできたものなのだと言うべきだろう。

*1 「行方その3」の「散在情報と処理情報」を書いてからにするつもりだったが、なかなか完成しないので。

*2 第189回国会参議院内閣委員会第10号(平成27年5月28日)

*3 「data user」が誰のことを指しているのかに異論の余地が残るかもしれないのではあるが。

本日のリンク元 TrackBack(0)

追記

最近のタイトル

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
追記