岡村久道先生の「個人情報保護法入門」を読んで同法について少し勉強中。同法のポイントがわかりやすく整理されており、そのように制定された背景の根拠や、残された課題も解説されている。技術屋にも読みやすいかもしれない。まだ三分の一ほどしか読んでいないところなのだが、まずは「個人情報」の定義のところに興味深い点があった。
個人情報保護法(平成十五年五月三十日法律第五十七号)では「個人情報」を次のように定義している。
この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
こうした「個人情報」を定義しようとする法文は、この個人情報保護法だけでなく、職業安定法(昭和二十二年十一月三十日法律第百四十一号)や、労働者派遣事業法(昭和六十年七月五日法律第八十八号)、港湾労働法(昭和六十三年五月十七日法律第四十号)、クローン技術規制法(平成十二年十二月六日法律第百四十六号)などにもみられるのだそうだ。
この法律において「個人情報」とは、個人に関する情報であつて、特定の個人を識別することができるもの(他の情報と照合することにより特定の個人を識別することができることとなるものを含む。)をいう。
個人情報(個人に関する情報であつて、特定の個人を識別することができるもの(他の情報と照合することにより特定の個人を識別することができることとなるものを含む。)をいう。以下同じ。)を適正に管理し、及び派遣労働者等の秘密を守るために必要な措置が講じられていること。
個人情報(個人に関する情報であつて、特定の個人を識別することができるもの(他の情報と照合することにより特定の個人を識別することができることとなるものを含む。)をいう。)を適正に管理し、及び派遣労働者等の秘密を守るために必要な措置が講じられていること。
第六条第一項又は第九条の規定による届出をした者は、その届出に係る特定胚の作成に用いられた胚又は細胞の提供者の個人情報(個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と照合することにより、特定の個人を識別することができることとなるものを含む。)をいう。以下この条において同じ。)の漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずるよう努めなければならない。 ヒトに関するクローン技術等の規制に関する法律 第十三条
同様に、行政機関保有個人情報保護法(昭和六十三年十二月十六日法律第九十五号)、警察個人情報保護法(平成二年六月八日国家公安委員会規則第二号)では、
個人情報 生存する個人に関する情報であつて、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号により当該個人を識別できるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できるものを含む。)をいう。ただし、法人その他の団体に関して記録された情報に含まれる当該法人その他の団体の役員に関する情報を除く。
としている。個人情報 個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号により当該個人を識別することができるもの(当該情報のみでは識別することができないが、他の情報と容易に照合することができ、それにより当該個人を識別することができるものを含む。)をいう。
これらの定義にはほとんど同じ文章が使われているものの微妙に異なっているところが興味深い。職業安定法、労働者派遣事業法、港湾労働法では、
特定の個人を識別することができるもの
となっているのに対し、クローン技術規制法では、
当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの
と、特定の個人を識別する方法について言及する文が追加されている。さらに、行政機関保有個人情報保護法と警察個人情報保護法では、
当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号により当該個人を識別できるもの
と、個人別に付された番号、記号、符号のことが付け加えられている。
また、括弧書きされている部分について比べてみると、職業安定法、労働者派遣事業法、港湾労働法、クローン技術規制法では、
(他の情報と照合することにより、特定の個人を識別することができることとなるものを含む。)
となっているのに対し、行政機関保有個人情報保護法と警察個人情報保護法では、
(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できるものを含む。)
と、「当該情報のみでは識別できないが」が挿入され、「識別することができることとなるもの」が、「容易に照合することができ、……識別できるもの」という表現になっている。
この行政機関保有個人情報保護法は全面改正され、行政機関個人情報保護法(平成十五年五月三十日法律第五十八号)に置き換わったらしい。
この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
(なぜか、法令データ提供システムには出てこないので、上の引用では総務省のページへリンクした。)
これを改正前と見比べると、「又は個人別に付された番号、記号その他の符号」が削られ、「当該情報のみでは識別できないが」のくだりがなくなり、「他の情報と容易に照合することができ」が「他の情報と照合することができ」に変更されている。
これと、個人情報保護法を比べてみると、
この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
となっており、「容易に」が追加されている点だけが異なっている。
このことについて、岡村先生の「個人情報保護法入門」には、
本項において容易性が要件とされた趣旨については、行政機関個人情報保護法は行政機関が保有する個人情報を対象とすることから、より厳格な個人情報保護が必要であるから、容易性を要件とすることなく、保護される個人情報の範囲を広くする必要があるのに対し、民間の場合には営業の自由への配慮から個人情報をある程度限定することが必要であると考えられたことに基づくものとされている(衆議院個人情報の保護に関する特別委員会議録平成15年4月21日(第7号)中の宇賀克也・東京大学大学院法学政治学研究科教授の発言)。
と解説されている。
しかし、容易であるかそうでないかは、具体的にどのような違いなのだろうか。
岡村先生の解説には、
なお、インターネット接続プロバイダはアクセスログ(通信履歴)をとっているが、会員のIDと連動して照合しうるようなデータ形式で管理している。したがって、インターネット接続プロバイダの中では容易に会員個人を特定することが可能であるが、外部の者にとっては特定できない。住民基本台帳コードで特定された場合であっても同様であり、一般人には照合が困難であるが、同コードにアクセスできる者にとっては容易である。
こうしてみると、照合対象となる「他の情報」が、誰でも照合可能なものである必要がある絶対的なものなのか、それとも特定の者だけに照合可能なものでも足りる相対的なものであるのか、「他の情報と容易に照合すること……により特定の個人を識別することができる」の解釈をめぐって、なお問題が残されていることを指摘しておきたい。
とある。
たしかに、インターネット接続プロバイダのIPアドレス発行履歴のように、「内部の者であれば容易」という点で考えることもまず重要だが、加えて、外部の者にとっての容易性は、「誰でも照合可能か否か」だけでなく、携帯電話のサブスクライバーIDやRFIDの固定ID(や固定のIPアドレス)のように、中間的な場合を考える必要がある。つまり、「特定の者」≠「内部の者」となる場合がある。あるいは「内部」とはどういう範囲なのかだ。
たまたま来たWebアクセスに含まれていたサブスクライバーIDや、たまたまカウンターの前に来た人のRFIDタグのIDは、受信した者がそのIDの発行者でなければ「外部の者」であるが、ID保有者の情報を過去に(もしくは未来に)別の正規の手段で入手していたなら、容易に照合することができ、特定の個人を識別できる。しかし、他の人たちにとっても「容易に照合できる」かどうかはわからないわけで、その受信したIDを個人情報として扱う必要があるか否かは、情報(ID)の渡し先が他に何の情報を持っているかを確認しない限り、定まらないのではなかろうか。