現行個人情報保護法の「個人情報」の定義に不備があることを、これまでずっと書き続けてきた。「どの個人かが(住所氏名等により)特定されてさえいなければ個人情報ではない」(のだから何をやってもよい)とする考え方がまかり通ってしまいかねないという危機についてだ。
2003年からはRFIDタグ、2008年からはケータイIDによる名寄せの問題を中心に訴えてきたが、当時、新聞記者から説明を求められるたび、最後には「被害は出ているのでしょうか」と、問われたものだった。当時は悪用事例(不適切な事例)が見つかっておらず(表沙汰になるものがなく)、これが問題であるという認識は記者の胸中にまでしか届かなかった。
それが、昨年夏から急展開。スマホアプリの端末IDを用いた不適切事案が続々と出現し、それぞれそれがなぜ一線を越えているか説明に追われる日々になった。スマホの端末IDの問題は米国でも顕在化したことで、AppleがUDID廃止に動き、この問題への理解はようやく広まった。今では、この業界で堂々と「個人が特定されていなければ個人情報でない」を持ち出す人は少なくなったのではないか。
近ごろでは、さらに進んで、「統計情報なので(無断で収集しても)問題ない」という言い訳が聞かれるようになってきた。例えば、4月27日のNHK総合テレビ「情報LIVEただイマ!」でも、以下の説明がなされていた。
不思議!?グッドタイミングで届くクーポン
(略)行動履歴とは、私達が通販サイトのどのページで、何を買ったのかという、いわば「ネット上での足跡」です。通販サイト運営側などには、私達の行動履歴が蓄積されていきます。この行動履歴を分析する事で、ユーザーが便利に感じるサービスを提供できると言うのです。(略)
ただし、(略)番組で紹介した行動履歴の分析は個人を特定出来ないようにグループ化したデータを分析しています。個人情報保護法に触れたり、個人のプライバシーを侵害する情報の分析は紹介していません。
これは言っていることがおかしい。「個人を特定出来ないようにグループ化」したというのに、いったいどうやって、その個人に届けることができるというのだろう?
行動履歴を収集する事業者の間で、「個人を特定できない暗号化をしています」とか、「個人を特定できないよう統計化しています」といった、根拠不明な宣言が目立つようになってきた。それらは本当に個人特定ができないものなのか?
そしてとうとう地方公共団体の首長までもがそれを持ち出すようになってしまった。
「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものですので、匿名の貸出情報の公開は個人情報には当たりません。 RT @(cont) tl.gd/hadesn
— 武雄市長 日本ツイッター学会長 樋渡啓祐さん (@hiwa1118) 5月 7, 2012
ユーストでも言いましたが、「貸出情報は個人情報には当たらないというのは僕の持論」。皆さん、個人情報ってどういうものなのか、一度まとめてみますね。(略)
そうなんです。法令においては、「特定の個人が識別することができるもの」となっているんですね。
では、論点の図書館の貸出履歴が、個人情報に当たるかというと、ちょっと具体的に言うと、「樋渡啓祐が「深夜特急」「下町ロケット」「善の研究」を5月6日に借りた。」この情報が外部に出るとこれは個人情報の関係法令の適用に当たる、これは当然。
僕が言っているのは、「5月6日20時40分、42歳の市内在住の男性が、「深夜特急」「下町ロケット」「善の研究」」を借りた。」ということそのものについては、個人が特定できないし、仮にこれが外部に出ても法令に照らし、全く問題がない、これが僕の見解であり、図書館の貸出履歴は、これをもとに、個人情報に当たらないって言っているんです。
これを「リコメンドにあてたい」とのことだが、個人を特定できないようにしたのに、どうやってその個人にリコメンドするのか。
たとえ法令上の個人情報に該当しない(という解釈が可能)としても、まずはそれを個人情報(と同等)とみなしたうえで、それをどう保護するか、どう利活用するかを検討するべきところを、どうしてこうも真っ先に「個人情報でない」としてしまいたがるのだろうか。ルールの箍が外れた時点で、恣意的にどうとでもできてしまいかねない危うい事態となってしまうではないか。
真面目に取り組んでいらっしゃる事業者の方から個人識別性について質問を受けたことがあるが、そのとき私は、「いっそのこと(法の言う)個人情報と同等にみなして扱えばいいのでは? それで何か困ることがありますか。」と答えたことがある。(実際、既にそのようなプライバシーポリシーを掲げている事業者もある。)
総務省も、2年前の「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」の第二次提言で、個人識別性と行動ターゲティング広告の関係について、
配慮原則の対象となる情報は、特定の端末、機器及びブラウザ等(以下「端末等」という。)を識別することができるものとする。対象情報は、個人情報保護法上の個人情報であるか否かを問わない。
利用者視点を踏まえたICTサービスに係る諸問題に関する研究会第二次提言, 総務省, 2010年5月26日
とした上で、「配慮原則」として、(1)広報、普及・啓発活動の推進、(2)透明性の確保、(3)利用者関与の機会の確保、(4)(以下略)を挙げている。
このような捉え方は、米国の消費者プライバシー権利章典でも以下のように、スマホの端末IDに紐付けられた履歴情報などを明確に「personal data」と位置付けており、今後の主流となっていくはずだと思う。
The Consumer Privacy Bill of Rights applies to commercial uses of personal data. This term refers to any data, including aggregations of data, which is linkable to a specific individual. Personal data may include data that is linked to a specific computer or other device. For example, an identifier on a smartphone or family computer that is used to build a usage profile is personal data. This definition provides the flexibility that is necessary to capture the many kinds of data about consumers that commercial entities collect, use, and disclose.
しかし、日本の個人情報保護法上は、端末ID等は、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」に該当しないとされており、「個人情報」ではないことになってしまう。(総務省の「第二次提言」は単なる提言にすぎない。)
このように狭く規定された定義は、10年前にこの法律が制定された際に、民間の事業の自由に配慮したためと言われている。これは、行政機関個人情報保護法ではこの部分が「他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの」と「容易に」の要件がなく、広めに定義されているのと対照的である。行政機関はそれだけ責任が重いということでもあろう。
対して、地方公共団体ではどうかというと、それぞれの独自の個人情報保護条例に従うことになるわけだが、「個人情報」の定義が自治体によって異なり、大別して3種類存在する*1ことが判明している。
武雄市の定義は、照合によって「特定の個人を識別することができることとなる」場合を含むとの括弧書きが欠けているため、民間向けの「個人情報」定義よりもさらに狭く、民間よりもフリーダムなものになっている。この定義を採用している地方公共団体は他にもあるが、全国でもかなりの少数派のようである。
こんなバラバラの個人情報保護条例でいいのか?という問題提起が、昨今、番号制度に係るシンポジウムの席などで、鈴木正朝先生から度々指摘されている。鈴木先生の著書にはこれについて以下のように述べられている。
個人情報保護法制において、個人情報概念は、行政規制の対象(保護の対象)となる情報の範囲を画定する基本用語であると同時に、法の適用の有無を決する重要な機能を担っている。個人情報の定義がこのように微妙に異なっていることに積極的意義は見出しがたい。自治体クラウド、医療クラウド、その他官民にわたる広域的な情報ネットワークを流通する個人情報を法的に規律するうえで阻害要素の1つになっている。基本概念は統一し、必要があれば保有個人情報などの別の用語で調整することで十分に対応可能であろう。法技術的な問題であるが、その背景には個人情報保護法の理論的基礎のあいまいさがある。
(略)
自治体クラウドの場合は、47都道府県と1747の市区町村ごとに異なる個人情報保護条例に対応していかなくてはならない。合計1794に分立した地方議会ごとに個人情報保護条例が制定されている現状は、さながら国内におけるデータ越境問題であり、ベンダ等に対してその法的対応コストを過剰に強いている面がないわけではない。
(略)本格的な情報ネットワーク時代に入り莫大な情報化投資が予想される今日、再度根本から問い直す必要がある。
(略)それぞれの主体の中で個人情報が完結的に取り扱われるという前提が崩れ、官民シームレスに情報が流通し得る分野が登場してきた今日、個人情報保護法制上の基本用語の統一はもとより、その法理論の統一を図っていかなければならない。
「クラウド・コンピューティングの法律」第5章「個人情報保護法制とクラウド」, 鈴木正朝, 2012年2月発行
照合除外型がなぜ生まれてしまったのかは不明である。何らかの配慮があって民間よりフリーダムなものに規定したのか、それともミスの部類なのか。
そもそも、市区町村に個人情報保護条例を独自に規定して運用するだけの専門性のある人材がいるのか怪しいという話も、プライバシー法制研究者の間では度々語られている。
そういう状況で浮上してきたのが、今回の、図書館の貸出履歴の扱いである。
個人情報保護法上の扱いは別として、日本法において、パーソナルデータやプライバシーデータの保護は、その情報の取得手段ごと、また、その情報の種類ごとに継ぎ接ぎで、部分的に特別に保護されている状況となっている。
網羅的でないが上記のように整理して、取得手段で見てみると、電気通信事業法では、どんな情報であれ盗聴した時点で違法であり、その内容が特定の個人が識別されるものか否かは関係ない。「DPI広告」について総務省の第二次提言が整理したように、もし利用者の同意を得てDPI広告をやるというのであれば、「個別かつ明確な同意である必要がある」*2とされているし、不正指令電磁的記録の罪の観点からも、スマホアプリがそれに該当するときは、盗む情報に特定の個人が識別される情報が含まれているかは関係なく、欺瞞的なアプリ実行のさせ方が問題となる。
また、これらでは、取得の手段が違法である限り、いくら取得したデータを統計化するなどしてプライバシーに配慮した情報に加工して活用すべく努力したとしても、許されるものではない。
対して、図書館の貸出履歴はどうなのかというと、図書館法には貸出履歴の秘密に関する規定はないのだという。
図書館法に規定がないとなると、「同意があればやっていい」というときの「同意」はどの程度のものになるのか。通信の秘密においては、「個別」かつ「明確」な同意である必要があるとされ、「ホームページ上の周知だけであったり、契約約款に規定を設けるだけであったりした場合は、有効な同意があったと見なすことは出来ない」とされているが、図書館の貸出履歴においても同様のことを求めることができるのか。
少なくとも、民間の購買履歴を扱っているTポイントカードでは、利用者の同意は「個別」かつ「明確」なものでは全然なく、単に契約約款に規定があるだけであり、人々のほとんどは、何が行われているのか知らないまま、Tポイントカードを店で提示しているのが実態と思われる。*3
類似の話は、公共交通機関における乗車履歴について2月27日の日記で書いた。鉄道事業法に乗車履歴の秘密に関する規定はなく、国土交通省告示の「国土交通省所管分野における個人情報保護に関するガイドライン」にも乗車履歴に関する特記事項は見当たらない。これは、乗車履歴が事業者側で記録されるようになったのが、Suicaが登場して以降の最近のことであるため、追いついていないのではないか。
一方の図書館はといえば、長い歴史があるわけで、なぜ法令に規定されていないのか私にはわからないが、「図書館の自由に関する宣言」というものがあるらしいことを、(それまで関心がなく知らなかったが)一昨年になって知った。ここで次のように宣言されている。
第3 図書館は利用者の秘密を守る
読者が何を読むかはその人のプライバシーに属することであり、図書館は、利用者の読書事実を外部に漏らさない。ただし、憲法第35条にもとづく令状を確認した場合は例外とする。
図書館は、読書記録以外の図書館の利用事実に関しても、利用者のプライバシーを侵さない。
利用者の読書事実、利用事実は、図書館が業務上知り得た秘密であって、図書館活動に従事するすべての人びとは、この秘密を守らなければならない。
図書館の自由に関する宣言, 日本図書館協会
これは法令ではなく協会の宣言にすぎないわけだが、業界の自主的ガイドラインとして機能し、それがこれまで非常に良く機能していたために、図書館法にあえて貸出履歴の秘密の保護を規定するまでもなかったということだろうか。
そうした、いわゆる「soft law」(法的拘束力を持つ「hard law」ではない)による規律というものが、果たして日本で機能するのかが問われるところ、今回の武雄市の事案では、首長が以下のように主張している。
僕はね、一言も法令を無視するとも「図書館の自由に関する宣言」を無視するとも言っていないんですね。そもそも、この図書館の自由に関する宣言がまたくせ者。「図書館の自由に関する宣言」「図書館員の倫理綱領」に反する、という意見も見られましたが、中身そのものも僕は話にならないと考えている。まぁこれはいろんな人のいろんな考えがあるでしょう。問題はこの宣言の立ち位置。この宣言は日本図書館協会という図書館関係者の「部分社会」(法学用語)の宣言で、一般社会には法規性は何らないんですよね。
「ビッグデータ」が叫ばれ、こういう状況までもが出てくるようになった今となっては、もはや、立法措置によるちゃんとした法規制が急務ではないだろうか。特に、武雄市の個人情報保護条例は民間よりもフリーダムなものになっている点でまずい。
海外の図書館のことは私は門外漢でわからないが、専門家によると、図書館や読書について特別にプライバシーを保護する規制が見られるとのこと。
ちなみに武雄の図書館Tカード読書プライバシー問題、『デジタルコンテンツ法制』3章でも触れた通り米では電子書籍を含む読書プライバシー法(SB602、カリフォルニア)が制定されるなど、国際的に読書履歴は普通の個人情報よりずっと規制厳しいです。 takagi-hiromitsu.jp/diary/20120504…
— Naoto Ikegaiさん (@ikegai) 5月 7, 2012個人的には図書館Tカードみたいな官民連携はどんどん進めてほしいと思うけど、これはさすがに穏当に進めるには相応の制度的措置が必要な領域かなあと思う。書籍じゃないけど連邦法ではVideo Privacy Protection Actもご参照。 en.wikipedia.org/wiki/Video_Pri…
— Naoto Ikegaiさん (@ikegai) 5月 7, 2012なお日本ではあまり話題になってないけど米国の読書プライバシー問題は最近ではグーグルブックサーチで盛り上がったのでした。多分CDTのこちらが一番論点が明確かな。カリフォルニア読書プライバシー法制定(2011)はこの騒動の影響。 cdt.org/copyright/2009…
— Naoto Ikegaiさん (@ikegai) 5月 7, 2012ちなみに先の米ビデオプライバシー保護法(1988)は今でも結構重要で、最近だとフェイスブックのビーコン騒動ではシステムに乗ったビデオレンタル大手のブロックバスターが同法違反で訴えられたりしてます。結局破綻しちゃいましたが。 computerworld.com/s/article/9078…
— Naoto Ikegaiさん (@ikegai) 5月 7, 2012米国では最近ではこういう「情報別」プライバシー立法の機運が強くて、ビデオの他にも読書情報、位置情報、電力情報などなど。最近はFTCが顔写真含む生体認証に注目中。この傾向が続くと(EU系のオムニバス方式に対置される)「セクトラル方式」という呼称自体少々再考が必要になってくるかも?
— Naoto Ikegaiさん (@ikegai) 5月 7, 2012
私にできることはここまでです。ここから先は私の役割ではないと考えています。必要だと思われる方々で行動して頂くほかありません。昨年夏以来、次々と登場する事案に、私的な時間のほとんど全てを費やしてきましたが、そろそろ限界を感じています。「もしここで自分が書かなかったら」「そのままスルーになってしまうのではないか」そういう想いでこれまで走り続けてきました*4が、いったいいつまで続くのでしょう。私個人の行動ではなく、社会の仕掛けによってこれまでの各種問題が解決されていくようになっているべきです。欧州や米国に見られるような仕組みが早く日本にも確立されることを願ってやみません。
関連:「[解決への道]プライバシーコミッショナー制度を確立せよ - 法制度面から見たビッグデータ時代のプライバシー」, 日経コミュニケーション, 2012年3月号
*1 他にも、「生存する」の要件の有無など、別の切り口での分類もできる。
*2 「通信の秘密という重大な事項についての同意であるから、その意味を正確に理解したうえで真意に基づいて同意したといえなければ有効な同意があるということはできない。一般に、通信当事者の同意は、「個別」かつ「明確」な同意である必要があると解されており、例えば、ホームページ上の周知だけであったり、契約約款に規定を設けるだけであったりした場合は、有効な同意があったと見なすことは出来ない。」と書かれている。
*3 2011年8月14日の日記「Tポイントカード3人に1人が持つ」は本当か、街角で聞いてみたのときに、このことについて簡単に調べたが、ちゃんとした調査が必要だろう。
*4 今回も、記者会見の席で私の4項目の質問が読み上げられ、回答もされ、その場に新聞記者の方々が何人もいらしたはずなのに、この観点を取り上げて報道した新聞社は一社もなかった。
[「個人情報」定義の弊害、とうとう地方公共団体にまで] より気になった点を『「どの個人かが(住所氏名等により)特定されてさえいなければ個人情報ではない」(のだから何をやってもよい)とする考え方がまかり通ってしまいかねないという危機』『何をやってもよい』と..
なんだか面白い武雄市