高木浩光＠自宅の日記(2015-03)

2015年03月08日

■ 世界から孤立は瀬戸際で回避（パーソナルデータ保護法制の行方その14）

前回、1月5日の日記で、最後に「どうすればよいか」を書こうとしたものの、完成しないうちに急ぎ途中までで公開したところ、あれよあれよと展開し、けっきょく書くタイミングを逸してしまった。

当時は、各方面向けにいくつかのバージョンのスライド資料を作成し、パーソナルデータ関連制度担当室の担当者も出席する1月21日の研究会向けに「パーソナルデータ論点メモ（2015年1月21日）」*1を作成していた。しかし既に、正論を述べたところでどうともならない状況となっており、原案を正当化しようとするばかりで、OECDガイドラインには違反しないだの、OECDガイドラインに違反しても違法ではないだのと、「これはもうだめかもしれない」という状況だった。スライド資料を一部の産業界の方々に託すとともに、22日には一般公開して、どこかに届けばいい！と祈った。

毎日のように悪い夢にうなされながらあらゆる手を尽くしましたが、私の力では解決できませんでした。心ある産業界の各個人の方々に今すぐアクション頂くほかありません。この声が真の産業界の皆様に届きますように……。 https://t.co/CKAAeyM3qv
— TAKAGI, Hiromitsu (@TakagiHiromitsu) 2015, 1月 22

23日には、「ニッポンの個人情報」のあとがきの原稿締切が最終期限まで来ており、「それからどうなった」を一気に書き、次のように締めくくった。「本書が発刊される2月中旬は、ちょうど法案が閣議決定されるころだろう。あとがきを書いている今の時点ではどういう展開になるか予想できないが、利用目的変更のオプトアウト方式だけは法案から削除されていることを夢見て、今日は床に就きたいと思う。」

その後、30日の読売新聞朝刊に、若江雅子編集委員の解説が掲載された。（この解説は2月6日にはテレビでも放送された。）*2

個人情報保護法改正案が波紋…海外の顧客データ活用遠のく？解説スペシャル, 読売新聞, 2015年1月30日
波紋呼ぶ個人情報保護法改正案, 日テレNEWS24, 2015年2月6日

29日には、自由民主党政務調査会の内閣部会・消費者問題調査会合同会議で、多数の消費者団体から相次いでこの「利用目的変更をオプトアウトで許す」案に反対する意見書が出たと聞く。続く2月4日には内閣部会・IT戦略特命委員会合同会議が開かれ、経済団体からの意見が出たようである。そして、2月12日に同党から「個人情報保護法改正に関する提言」が示され、「個人情報の取得後のオプトアウトによる利用目的の変更は認めないこと。」とされた。その後の報道によれば、利用目的変更オプトアウトに係る条項は完全に削除されたようであり、世界の笑いものとなる事態*3は瀬戸際で回避されたのであった。

完全にボツとなったので、もはや「どうすればよいか」は書くまでもなくなったわけだが、いったいどういうことであったのか、以下に書き留めておきたい。

どうすればよかったのか（第1、第2の策）

まず第1に、前回の「誤解1」の曖昧さを解決するために、経産省Q&Aの「Q45」が言っている、「統計データへの加工の過程を利用目的とする必要はない」とする見解を、正式にガイドライン（告示）とすればよい。

ここが取り沙汰されることは過去にあまりなかったようだが、1月30日の読売新聞の記事に、「例えば、現在、最も需要が高いと思われるのはマーケティングへの活用だが、経済産業省は「匿名化して*4統計データとして活用するのはOK」との見解を示しているし」とあるように、Q45が有効であることは経産省が認めている。（なお、前回の「誤解1」で書いたように、どんな場合でも利用目的として特定する必要がないわけではないことに注意が必要である。）

このような考え方については、昨年、朝日新聞11月19日朝刊の「耕論ビッグデータの正体個人データ保護明確に」でも、「法律は企業が自社の個人データを統計に使うことを規制していません」「統計化に使うのは大いに結構」と述べていた。

朝日新聞2014年11月19日朝刊「耕論ビッグデータの正体個人データ保護明確に」
朝日新聞社データベース事業部の許諾のもと転載（承諾書番号：A14-1999） ※朝日新聞社に無断で転載することを禁止する

そして第2に、前回の「誤解2」の誤解を払拭するために、「誤解2」は明らかに個人データに当たらないケースであるとして、ガイドラインに例示すればよい。

この2つで、大半の「ビッグデータ利活用」はできるようになる。というか、現行法で合法なのでやればいいいだけの話なのだが、技術と法に疎い法務が慎重すぎて障害になっている気の毒な事業者にとっては、できないことだったのだろうから、心配なくできるようになることだろう。

そもそも、このような利用目的変更を自由化する改正案が出てきた発端は、2012年11月の「経済活性化ワーキンググループ」で、経団連提出資料として出された、富士通株式会社の「ビッグデータのビジネス活用に関する規制改革要望について」の以下の要望が大元だと思われる。*5

図1: 富士通株式会社コンバージェンスサービス本部戦略企画統括部長小林午郎, 「ビッグデータのビジネス活用に関する規制改革要望について」, 規制・制度改革委員会経済活性化ワーキンググループ第4回経団連提出資料, 2012年11月26日

「現状」の図で、2点が障害とされていたわけだが、片方の「収集時に明示していない限り第三者に提供することはできない」とある部分は、今回の改正で、「匿名加工情報」の取り扱いとして法制化される。もう一方の「収集時に明示していない目的で利用することはできない」が、今回の大穴を開ける愚かな案へとつながったのだろう。「要望」の図には、「匿名化を行うことで…除外していただきたい」とあるが、統計化に利用するのなら、わざわざ匿名化を経る必要もなく、直接統計化すればよいだけである。

図2: 経済界のエアー要望を真に受けて大穴を開けようとした様子

統計化以外にどういう用途があるかは、前掲の朝日新聞のインタビュー記事でも述べていたように、各個人データの本人へのターゲティング利用ということになるが、その場合は、前回の「誤解3」で書いたように、新しい利用目的を掲げて新たなデータ取得を開始して、数か月程度待てばいいだけなのだから、これについては法改正もガイドラインも必要ない。

変更が禁止されている「利用目的」の概念（第3の策）

しかし、ここで「新しい利用目的を掲げて」としたが、「それこそが利用目的の変更に当たるのでは？」という疑問を持つ法務担当者もいるのだろう。これが、前回の「誤解4」である。

おさらいすると、「利用目的」の概念には「経常的に公表される利用目的」と「個別のデータの利用目的」の2つがあって、15条2項が「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない」として変更を禁止している「利用目的」は、どちらの意味なのかという問題である。

OECDガイドラインが禁止しているのは後者の「利用目的」の変更であり、個々のデータについて、そのデータの取得時点で特定していた「利用目的」を、そのデータの利用に際して維持することが求めらている。OECDガイドラインは、前者の「利用目的」の変更を禁止してはいない。

日本法の15条2項が前者の「利用目的」の変更を禁止していると解釈すると、事業者に1つの「利用目的」としている場合には、新しいサービスを開始しようにも、既存の顧客の全員の同意がないとできないことになり、確かに困ったことになる。

いくらなんでもそんな解釈をしている事業者はいないのではないか？という疑問があるかもしれないが、例えば、ソフトバンクモバイル株式会社の経常的公表文書「電気通信事業等における個人情報の取り扱いについて」に興味深い記述がある。改訂履歴を見ると、2013年4月1日の改訂で、「利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行わないものとします。」という条項が書き加えられている。なぜ2013年4月に今さらこんな説明を追加するのか、不自然だ。

図3: ソフトバンクモバイル社のプライバシーポリシーの改訂履歴

そもそも個人情報保護法の規定を逐一プライバシーポリシーで繰り返す必要性がないわけだが、わざわざこれをこの時期に書き足すということは、社内で何らかの議論があってこのルールが意識されたのだろう。可能性として、同社において、15条2項の規定を「経常的に公表される利用目的」の変更禁止だと解釈したのではないか。実際、プライバシーポリシーの改訂ぶりを見ると、「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲」の小ぶりな改訂ばかりとなっている。もしや、このような改訂しかできないことに社内で不満が渦巻いていたのではないか。

であれば、どうすればいいかは、15条2項の「利用目的」が後者の意味である（OECDガイドラインと同じ趣旨である）ことをガイドラインで明確化すればよい。これが第3の策である。

ちなみに、前回の日記を書いた時点では、落とし所をどうするかについて、大綱で利用目的変更オプトアウトの制度を入れることにしたからには、何らかの形で入れたことにしなくてはいけないのだろうと思っていたので、15条2項の「利用目的」を前者の意味と捉えた上で、オプトアウトでの変更を認める改正にしてはどうか、という提案をスライド資料に書いていた。

図4: 当初考えていた「修正提案」

図の1段目の太い矢印は「経常的に公表される利用目的」であり、2段目と3段目の細い矢印は「個別のデータの利用目的」である。

骨子案は、15条2項で禁止されている変更は「個別のデータの利用目的」の方であると解釈した上で、それをオプトアウト方式で変更可能にしようというものであり、5本並ぶ赤い矢印のうち最初の2本がその変更をした状況を表しており、黄色の部分で示したように「OECDガイドラインに違反」となってしまうものであった。

そこで、大綱の意味を、15条2項で禁止されている変更は「経常的に公表される利用目的」の方であり、この禁止をオプトアウト方式で解除する（1段目の矢印の色変更）ものだということにして*6、加えて、「個別のデータの利用目的」の変更に制限を設けて*7、OECDガイドラインに準拠させる（3段目の矢印は途中で色変更がない）という案を考えたのだった。

これで大綱に従ったことにできるわけだが、実は、これでは規制強化になってしまうとも言える。「経常的に公表される利用目的」の意味で変更禁止だと思っている事業者からすれば、オプトアウト方式であってもその変更できるようになって嬉しいのだろうが、「個別のデータの利用目的」の意味で変更禁止だと思っている事業者からすれば、「経常的に公表される利用目的」の変更は元より自由であり、オプトアウト手段の提供が義務になるなら、重大な規制強化ということになる。

このような落とし所を考えていたところ、自民党修正によってバッサリ削除となったので、こんな面倒な辻褄合わせは不要となった。OECDガイドライン違反を回避できたし、重大な規制強化も避けられたことになる。単に、15条2項の「利用目的」が「個別のデータの利用目的」の意味であることをガイドラインで明確化するだけでよい。

ただし、これには保護派の立場からすると異論があるかもしれない。プライバシーポリシーを大幅に変更してよいのかという問題である。つまり、OECDガイドラインに準拠して実際の「個別のデータの利用目的」を取得時の利用目的で維持するにしても、「経常的に公表される利用目的」を予告なく、本人同意もなく、変更してしまってよいのか。例えば、ポータルサイトの利用をこれから開始しようとする人が、アカウント作成時にプライバシーポリシーを読んで、納得して登録し、ログインしたとして、その後、そのポータルサイトを使い続けているうちに、いつの間にか「経常的に公表される利用目的」が変更されて、それ以降に自動取得される個人データについて、新しい利用目的で利用されていくときに、本人は、毎日プライバシーポリシーを確認するわけではないのだから、気づかないことになってしまう。

たしかにこの問題はあるのだが、現行法が、利用目的は公表で足りるとしている以上、そういうものだと言わざるを得ない。そもそも、本人の与り知らぬところで個人データを収集（間接取得）されても合法（例えば名簿屋がこれに当たる）なのが現行法である。それぞれに独自の利用目的を掲げる事業者が次々と登場して、個人データを間接取得してそれぞれの利用目的で利用することは、現行法では合法である。

パーソナルデータ検討会でも、これに関連する論点が出てはいた。第10回で、情報経済課の提案が示された後、森委員から、取得の規制と目的外利用の規制が不均衡だから、目的外利用の規制を下げてもいいとの発言があり、議事要旨では以下のようになっている。*8

（森委員）
やはり3回前にお時間をいただき、取得の規制と目的外利用の規制ということでお話をさせていただいた。不均衡になっているのではないかということである。取得の際には、利用目的を特定する、明示する、通知、公表とある。取得について本人が何か言えるか。嫌だと言えるかというと言えないので、その取得する企業の利用目的で利用されてしまう。それに対して、目的外利用のときは、既に持っている事業者については目的を変えようとすると嫌だと言える。これはいかにも不均衡であり、取得のほうは、例えばプライバシーマークなど一部では、取得についてもできるときには、可能なときには同意をとりなさいとなっているが、その取得の際の規制を強化すべきであるという声が余り聞こえてこないことからすると、目的外利用のほうの規制を下げてもいい。

今回の先ほどの経産省のご説明はそういう趣旨なのかなと思うが、それも一定の合理性があるだろうと思う。特に、オプトアウトにするということは一考の余地があるかと思う。

第10回パーソナルデータに関する検討会議事要旨

これを傍聴していたときは、「はあ？何が不均衡なんだかわからない。利用目的の方を緩めるよりも、取得の方を強めるのが先では？」という程度の感想しか持たなかったが、12月になって、前記の通り「利用目的」には2つの概念があることを整理してからは、この「不均衡」の意味が腹に落ちるようになった。

つまり、森委員のこのときの発言が、「経常的に公表される利用目的」の方を指して「利用目的」としているならば、名簿屋のような事業者が次々と新しく現れてそれぞれに自由な利用目的を掲げて取得を開始できるのに、真っ当な事業者が一度決めた利用目的を変更できないというのは、まさに「不均衡」そのものであると言え、腹に落ちる*9。一度決めた利用目的を変更できないなら新しい会社を作って利用目的を決めるという話になりかねない。

しかし、前記の通り、15条2項の「利用目的」はOECDガイドラインと同じく「個別のデータの利用目的」の方だ、という決着なので、そのような意味での不均衡はない。取得時に表示していた利用目的は、新しく現れる名簿屋であっても、そのデータについては維持しなければならない。

この意味からも、利用目的変更をオプトアウトで認めるという案に妥当性はなかった。

その一方で、15条2項の「利用目的」を「個別のデータの利用目的」と捉えたことによって、前記の「保護派の立場からすると異論」のあるものになっているわけだが、これは、利用目的を本人に知らせる手段について、現行法がザルすぎるという別の問題と捉えるべきである。

現行法は、「本人に通知し、又は公表しなければならない」としており、「通知」と「公表」を同列にしている。「公表」はWebサイトに一度掲載するだけでも足りるとされているので、怠惰にやろうとする事業者や、利用者に気づかれないようにしたいと企む事業者からすれば、誰も「通知」など選択せず「公表」で済ますだろう。ここに現行法の修正すべき欠陥がある。

今回の改正で、「利用目的」の変更禁止は「経常的に公表される利用目的」のことではありませんよということを明確にし、ガイドライン化するのであれば、その代わりとして、利用目的を本人に知らせる手段についても見直すという道が考えられたが、それはこの段階では到底無理だった。次の改正以降でこの点も検討していくべきだろう。

legitimate interests からの要請（第4の策）

これらをまとめて、以下の図5を作成した。青の矢印は「元々適法」なもの、緑の矢印は「部分的に適法」であり、それで困らないもの、赤の矢印は「本質的に不可」であり、委託で目的を達成するなり匿名加工情報の取り扱い制度で達成するべきものである。

図5: 多方面からの要請の整理

残る橙色の矢印「要改正」は、前回の日記の時点では想定していなかったもので、1月15日頃に書き足した。

気になっていたのは、昨年11月28日の日経コンピュータ主催の「プライバシーSummit Japan」で、ヤフーの別所直哉社長室長のご講演を拝聴したところ、中身スッカスカで何一つ意味のある話がなかった*10ところ、最後の5分ほどで要するに何が必要かの話がようやく出てきて、その中にEUデータ保護指令の「legitimate interests」のことがチラっとだけ出ていた点であった。もっとも、それも、「legitimate interests をやっていきます！」みたいな説明しかなく、何をおっしゃりたいのかはわからなかった。また、翌月12月18日の「JIPDEC感謝の集い」に出席したときにも、ヤフーの宮田洋輔さん*11がいらしたので、「利用目的変更のオプトアウトって正気じゃないでしょ？どういうつもりなの？」と話しかけたところ、「EUで言う legitimate interests でしょ？」とだけ言われていた*12のが気になっていた。

EUデータ保護指令の所謂「legitimate interests」とは、第7条の最後に規定された、例外規定とも言える(f)のことである。（以下の日本語訳は、堀部政男研究室仮訳より。）

SECTION II

CRITERIA FOR MAKING DATA PROCESSING LEGITIMATE

Article 7

Member States shall provide that personal data may be processed only if:
構成国は、次の条件を満たす場合にのみ、個人データが取り扱われるように定めなければならない。

(a) the data subject has unambiguously given his consent; or
データ主体が明確に同意を与えた場合、又は、

（略）

(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by the third party or parties to whom the data are disclosed, except where such interests are overridden by the interests for fundamental rights and freedoms of the data subject which require protection under Article 1 (1).
管理者又はデータの開示を受ける第三者若しくは当事者の正当な利益のために取扱いが必要な場合。ただし、これらの利益より、第1条第1項の規定に基づいて保護が必要とされるデータ主体の基本的な権利及び自由に関する利益が優先する場合には、この限りではない。

Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data

この規定は、事業者の正当な利益という曖昧な要件と、「保護が必要とされるデータ主体の基本的な権利及び自由に関する利益が優先する場合」というこれまた抽象的な要件で構成されているので、どういう場合がそうなのかがはっきりしていない。そのため、2014年4月に、EUデータ保護指令第29条作業部会が、「WP 217 - Opinion 06/2014 on the "Notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC」との意見書を出していた。

その後、考えてみるに、ヤフーのプライバシーポリシーを見ると、たしかに、どうでもいい利用目的（そんなこと書かなくても当たり前でしょう？という利用目的）がいっぱい書かれており、こういうのを逐一書く義務があって、書き忘れたら最後、本人同意を取り直さないと書き加えられないというのでは、さすがに難儀だな、というのは理解できる。

そういうケースは利用目的変更の検討に入れる必要があると考え、図5に「⑤」の橙色の矢印を書き加えた。⑤の説明スライドは以下のものである。

図6: EU指令における legitimate interests に依拠できる/できない例

WP 217にはたくさんの例示があるが、一つの象徴的なケースをここに挙げておいた。宣伝文を送りつけるという利用目的が、関連商品を単純に案内する程度なら(f)に該当するという。これに倣って、日本法においても、この程度の利用目的であれば、目的外利用してもよいとするか、利用目的の変更を認めるとすることが考えられる。

しかし、ここの例示にあるように、医薬品販売サイトがWeb閲覧履歴から顧客プロファイルを作成してそれに基づいて健康食品などをすすめるメールを送る場合は、legitimate interests に依拠できない、つまり、本人同意などの原則が適用されるとされているわけで、当然ながら、どんな場合でも目的外利用OK、利用目的変更OK、なわけではない。

したがって、現行法に⑤の観点からの手当が必要なのは理解できるものの、このために、原案のような無条件の全面的な大穴を開けるのは、全くのお門違いである。

事務局は、12月下旬の時点で、一部の検討会委員に、「第三者提供は除くことにするが、それでどうか」という打診をしていたと耳にした。つまり、「第三者提供しない」から「第三者提供する」への典型的な騙し討ち変更は認めず、それ以外の利用目的変更についてオプトアウト方式で認める制度にするというのである。だが、前掲のWP 217の検討例を見ても、EUでは、プロファイリングに基づいて行われる処理をプライバシー保護の必要性とみなしているのであるから、第三者提供だけが問題なのではない。1月30日の読売新聞の解説記事でも、「検査のために自分の遺伝子情報を提供したつもりが、いつの間にか広告に使われ、遺伝子から予測される病気にあわせた健康食品の勧誘がくるようになったら……」というケースが問題点として指摘されていた。

図7: 第三者提供だけ除外すればいいというものではないことの説明

本当に必要だったもの

以上をまとめると、けっきょく本当に必要だったものは、丸ごとの大穴ではなく、必要十分な小穴達だったわけである。

図8: 本当に必要だったものはいくつかの小穴だった

⑤の解決のために、どのような法改正をすればいいのかは、私からはノーアイデアだったが、報道によれば、自民党修正により、15条2項の「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない」の、「相当の関連性」から「相当の」が削られることになったとされている。

個人情報保護法:改正案「原案」本人同意なし転用を撤回, 毎日新聞, 2015年2月18日

一方、現行法では、個人情報を契約当初の目的以外に利用することができる場合について、本人が同意した利用目的と「相当の関連性」がある場合と規定している。原案では、この文言のうち「相当の」を削除することを盛り込んだ。契約当初の利用目的と大きく離れていない範囲内で、本人の同意なしでの目的外利用を容易にすることが狙い。経済界の意向に配慮した。

なるほどー。なるほどだが、これで足りるのかは今後の検討課題となりそうである。

こうして、ここには書けない沢山の方々がそれぞれご尽力いただいたことで、この問題はどうにかギリギリで大事に至らずに済んだ。しかし、利用目的変更オプトアウトという大穴を無理やり捩じ込み続けた情報経済課と別所直哉ヤフー社長室長らは、一切こうした議論を我々とすることはなかった。

こうした議論は本来、日頃からやっておくべきことだろう。産業界は本当に必要なことは何なのかを提示し、我々はどうすれば問題なくできるかを提示する。そして困難があれば、どこに改正の必要があるか一緒に追求していく。そういう姿勢が今の経済界には見られない。

*1 2枚目のスライド最下行の「2011年」は「2012年」の誤記。

*2 その前の1月7日には、NHK総合テレビ「くらし☆解説」の三輪誠司解説委員による「個人情報保護法改正でプライバシーは守れるか」で、利用目的変更の問題が指摘されていた。

*3 1月下旬には、「もういっそのこと、このまま法案を通して、世界から干されるところまで一度行けばいいんじゃないか。そうしなければ目が覚めないだろう。」とまでその筋の人たちに言われていた。

*4 ここは、「統計化して」の誤りだと思う。

*5 この富士通の資料は今になって見ると興味深いことが書かれている。利用できない例として「Suica等の乗降履歴」が書かれており、「乗降履歴は登録された個人情報とセット」と書かれている。この資料が書かれた2012年12月は、JR東日本のSuica事件が発覚する前であり、富士通はこの時点で違法だと考えていたことが窺える。その半年後の2013年6月に、日立製作所は、提供するSuicaの乗降履歴が個人データに当たらず合法と判断して、プレスリリースをした。富士通と日立製作所とで議論はされていなかったのだろうか。情報経済課は相談を受けていなかったのか、どういう指導をしていたのか、問題となる。

*6 前回の日記で、「12月19日の検討会で長田委員が「端的にお答えください」とした質問に、事務局が明確に回答していれば、このどちらなのかが明確になるところ、回答はあやふやなものだった。」と書いたが、その後に公開された議事要旨を確認すると、実際のところは、「個別のデータの利用目的」の方を前提に答えていたようである。もし事務局の回答が、「経常的に公表される利用目的」の変更の方を前提としたものであったなら、この提案がそのまま事務局の案にできるところだった。

*7 大綱では、「検討に当たっては、本人が十分に認知できない方法で、個人情報を取得する際に特定した利用目的から大きく異なる利用目的に変更することとならないよう、実効的な規律を導入することとする。」とされていたのだから、それに対応した追加の規定だということにできる。

*8 森先生のこの発言は、その後、2014年10月号のジュリストの鼎談においても同じ考えが示されおり、次のように書かれている。

森以前から、取得の規制と利用日的変更の規制のバランスがとれていないように感じていました。個人情報保護法は、個人情報の取得については、きわめて緩やかな規制になっています。事業者が取得する個人情報をどのような利用目的で利用するかについては、取得に際して本人に対する通知等が義務付けられているだけで、本人としては、好むと好まざるとにかかわらず、個人情報を取得した事業者に所定の利用目的で利用されてしまいます。それに対して、既に個人情報を取得済みの事業者が、利用目的を変更しようとすると、本人の同意という個人情報保護法上もっとも厳しい制約を受けることになります。この不均衡の解消という点で、利用目的変更の規制をオプトアウト方式に落とすことは一定の合理性があると思います。ただ、消費者側からは不安の声も上がっており、法案化に当たってさらに議論があるのではないかと推測しています。

宇賀克也＋宍戸常寿＋森亮二, 鼎談パーソナルデータの保護と利活用へ向けて, ジュリスト, 2014年10月号, No.1472

*9 ただし、12月中旬に森先生に面会したときに、このことについて、どちらの意味で「利用目的」を捉えていたかを尋ねたところ、「個別のデータの利用目的」の方を前提としていたとのことだった。その意味でならばやはり同意し難い。ただ、「経常的に公表される利用目的」の方を前提に考えていた人からすれば、検討会での話や、ジュリストの記事を読んで、「そうだそうだ」と思ったのではないか。

*10 石器時代から農耕社会へ、そして産業革命、IT革命へと、数万年分の人類史を何十分もかけてご説明され、産業革命が人間と家畜を肉体労働、手作業から解放したとか、1万年前からのGDPの伸びだとか、そういう話を聞きたかった聴衆は、そこの会場には誰一人いなかっただろう。

*11 元情報経済課の課長補佐で、「完全匿名化処理技術メルセンヌツイスター」で知られる「匿名化委員会」事案（2012年12月17日）の担当者。その件で一度、情報経済課に呼び出された（2012年12月19日に呼ばれ、25日に伺った）ことがあった。パーソナルデータ検討会では事務局席に座っておられたのが、途中でヤフーにご転職されたようで、後半の検討会では傍聴席を活発に動き回っておられた人物。ヤフーでは社長室で別所さんの下で働いておられるとのことで、日経コンピュータの「プライバシーSummit Japan」の席でも、昼の控え室で、別所さんがまだお越しにならないので、代わりに弁当を食べておられた。

*12 「どういう意味でですか？」と尋ねたところ、「知りません。僕に聞かれても。」という返答でお話にならず、彼らが何を考えているかは不明だった。

本日のリンク元 TrackBack(0)

2015年03月10日

■ 匿名加工情報の規定ぶりが生煮えでマズい事態に（パーソナルデータ保護法制の行方その15）

個人情報保護法の改正を含む法案が、国会に提出されたとのことで、条文がWebに掲載された。

内閣官房国会提出法案第189回通常国会
個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案

新旧対照表をパッと見てスッと気づくのは、「匿名加工情報」の取扱い義務の規定ぶりに重大な不具合がある点である。

まず「匿名加工情報」の定義を見てみると、次のようになっている。

第二条

9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

一第1項第一号に該当する個人情報　当該個人情報に含まれる記述等の一部を削除すること（当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。

二第1項第二号に該当する個人情報　当該個人情報に含まれる個人識別符号の全部を削除すること（当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。

「次の各号に掲げる個人情報の区分」云々は、改正される「個人情報」定義の方を見る必要があるが、ここでの論点には影響しないので、その辺りを飛ばして理解すると、要するに、ざっくり言えば、「匿名加工情報」とは、個人情報の一部を削除したり他の記述に置き換えたりする加工をしたもので、当該個人情報を復元することができないようにしたものである。

この定義には、何のために作成したものかといった、その情報を取り扱う者の主観的要件は入っておらず、客体の該当性が客観的に決まるように定義されている。したがって、どんな状況であれ、どんな情報であれ、個人情報の一部を削除したり他の記述に置き換えたりする加工をすると、それが客観的に、元の個人情報を「復元することができないようにしたもの」と言えるものならば、いつでも「匿名加工情報」に該当する。

加工方法はほとんど限定されておらず、一部を削除したり他の記述に置き換える加工は、何ら特殊なものではないので、ごく普通に誰でも日頃から「匿名加工情報」を何の気なしに作成していることになる。

次に「匿名加工情報取扱事業者」の定義を見てみると、次のようになっている。

10 この法律において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの*1（第三十六条第一項において「匿名加工情報データベース等」という。）を事業の用に供している者をいう。ただし、第五項各号に掲げる者を除く。

「匿名加工情報データベース等」、つまり処理情報（「行方その3」参照）に限定されていて、「事業の用に供している者」とあるので、義務がかかるのはそういう者に限られる。

ここで、「匿名加工情報」とはどういう趣旨のものだったか、12月の「骨子（案）」で確認してみると、図1のように書かれていた（強調部は筆者による）。つまり、いずれの義務も、「第三者提供するために作成された匿名加工情報」に関する規律であり、また、それを受領した者に対するその情報の取扱いについての規律である。

図1: 「パーソナルデータの利活用に関する制度改正に係る法律案の骨子（案）」（2014年12月19日）より

では、義務規定の条文はどうなっているだろうか。

第4章に新たな第2節「匿名加工情報取扱事業者等の義務」が挿入され、36条から39条に「匿名加工情報」の取扱いに関する規定が並んでいる。

第二節匿名加工情報取扱事業者等の義務

（匿名加工情報の作成等）

第36条 個人情報取扱事業者は、匿名加工情報（匿名加工情報データベース等を構成するものに限る。以下同じ。*2）を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。

2 個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。

3 個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。

4 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。

5 （略）

6 個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

これを見るとすぐにわかるように、「第三者提供するために」という限定は消散してしまっている。

4項では「匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは」とあるから、骨子案の（イ）の通りになっているが、1項、2項、3項、5項、6項はそうなっていない。

36条1項によれば、匿名加工情報を作成するときは、委員会規則で定められた基準に従わなければならないそうだ。委員会規則で定められた基準に従った加工をしたものが「匿名加工情報」なのではない。ほとんどどんな方法であれ加工をしたものは皆「匿名加工情報」に当たるのに、そういう加工をするときは、常に委員会規則で定められた基準に従わなければならないというのである。

つまり、委員会規則で定められた基準に従わない「匿名加工情報」の作成は法律で禁止されることになる。第三者提供するつもりがなくても、である。

これは大変マズい。これまでも、個人情報取扱事業者は、自社内で個人データを取り扱うときに、氏名を削除するなどの加工をして、その後に統計化するなどの処理を、ごく普通に当然の適法な行為と疑うことなく行ってきただろう。それが、この改正によって違法となってしまう。そんなバカなと思われるかもしれないが、条文上はそうなっている。

また、同条3項によれば、匿名加工情報を作成したら、その項目を公表しなければならないそうだ。いついかなる時もである。事業化する前の段階でテストとして試しにちょっと匿名加工情報を作ってみただけでも*3、公表しないでいると違法になってしまう。そんなご無体な。これじゃまるで危険物の取締りのようだ。

同様に、第三者提供するつもりがなくても、同条2項により、「行った加工の方法に関する情報の漏えいを防止するため」の安全管理措置義務を負うことになるし、同条6項により、苦情の処理も受け付ける努力が求められる。自社内でどんな匿名加工しようが勝手なのに。

どうしてこんなことになってしまったのだろうか。

36条5項を見ると興味深いことが書かれている。「匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては」とある。なんと、匿名加工情報を自社内で扱う場合についても個別に義務が規定されているのである。

5 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。

この規定はいったい何のためにあるのだ？第三者提供するために匿名加工情報を作成した場合であっても、提供元でそれを再識別して何が悪い*4というのだろう。元のデータを持っているのに。

ここで思い出すのが、昨年4月の事務局案である。次のように、「個人特定性低減データを内部において活用する場合について」が資料では検討されていた。図のように、本人同意なしに目的外利用できるようにする策として検討されている。

図2: 「「個人情報」等の定義と「個人情報取扱事業者」等の義務について（事務局案）」（2014年4月16日）より

この論点は検討会の席では全く議論されなかったと記憶している。6月の大綱でどう書かれていたかを確認してみると、「個人データの第三者提供や目的外利用に関して、本人の同意に基づく場合に加え、新たに「個人データ」を特定の個人が識別される可能性を低減したデータに加工したものについて」と、「目的外利用」が一応残っていたようである。

そのような措置は全く必要がない。その理由は、前回の日記の利用目的変更の件と同様で、統計化への入力は個人情報の利用に当たらない（経産省Q45）からである。統計化以外の利用というと、本人へのターゲティングやオーソドックスな連絡など、本人に対して何かする利用しか残らない*5。本人に対して何かするには、匿名加工情報から本人を再識別しなくてはならないのだから、匿名加工情報の基本ルールに違反するので、そのような用途は元々意味をなさない。

まさか、匿名加工情報にして、そのまま、統計化するのでもなく、第三者に提供するわけでもなく、本人に再識別化して何かするでもなく、ただただ匿名加工情報の状態で保管するという謎の「目的外利用」を合法化したいとでも言う話なのだろうか？*6

骨子案では完全に「第三者提供するために」と限定されていたので、安心していたのだが、こんなことになってしまうとは……orz。

不具合は他にもある。

先ほどから「第三者提供」「第三者に提供」という言葉を使っているが、これの意味は、現行法でも注意を要する言葉である。

委託・事業承継・共同利用の場合は、23条の制限から除外されているわけだが、これは、これらの相手先が（言葉の自然な意味として）「第三者ではない」からではなく、同条4項で「第三者に該当しないものとする」とあえて規定されていることによる。

4 次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。

一個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合

二合併その他の事由による事業の承継に伴って個人データが提供される場合

三個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

今回の改正案を見てみると、23条のこの規定は次のようになっている。（新4項が挿入されたため、5項にずれている。下線部は現行法から変更される部分を表す。）

5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。

一個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

二合併その他の事由による事業の承継に伴って個人データが提供される場合

三特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

基本的に変わっていない*7。「前各項の規定の適用については」とあるので、改正後でも、委託・事業承継・共同利用での提供が第三者提供に当たらないのは、23条内に限られる。

ここで、匿名加工情報の提供に関する規定である、36条4項と37条を見てみると、次のようになっている。

第36条

4 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。

第37条

匿名加工情報取扱事業者は、匿名加工情報（自ら個人情報を加工して作成したものを除く。以下この節において同じ。）を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。

23条と同様の除外がない。ということは、委託・事業承継・共同利用の場合も、これらは適用されることになる。

これはマズい。これまでも、一般に、データ処理の委託のために、個人データを半生データに加工（氏名を削除するなど）して「匿名加工情報」の形で委託先にデータを預託することは、安全管理措置の一環として、ごく普通に行われている。これが、今回の改正で、委託元に「項目及びその提供の方法について公表する」義務が新たに課されることになる。

こうした加工をしないで生データのまま個人データを委託先に預託する場合は何ら義務がかからない（22条の委託先の監督義務はあるにせよ）のに、安全管理措置として良かれと思って半生データに加工すると、「項目及びその提供の方法について公表する」義務がかかることになる。これでは、余計な義務を嫌がって、生データのまま預託する事業者が続出するだろう。この改正によって、安全管理措置の一つが蔑ろにされ、社会全体のデータ漏洩の脅威が増大することになる。

それだけではない。匿名加工情報の加工方法は、36条1項により、委員会規則で定める基準に強制されるので、もし、その委員会規則の基準が、仮名化（氏名を削っただけ）では匿名加工として認めないレベルで制定された場合には、委託の際の安全管理措置として半生データを作成・提供することが、違法になってしまう。そのため、委託のときは生データで預託するしかない場合が続出しそう（k-匿名化したら用をなさないような委託ではそうするしかない）である。

これは意図した規定ぶりなのか？ミスではないのか。それとも、「第三者」の語は断らなくても、委託・事業承継・共同利用の場合は該当しないという前提なのか？

新25条（第三者提供に係る記録の作成等）を見ると、こちらにはちゃんと、「ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれか（前条の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか）に該当する場合は、この限りでない。」との除外規定が入っている。ここでは意識されていたようだから、断らなくても該当しないという前提ではないだろう。

これを見てさらに気づいたが、個人データの提供では、23条1項各号の例外で、法令に基づく場合、人の生命、身体又は財産の保護のために云々、公衆衛生の向上又は児童の健全な育成の推進のため云々などの場合で、各義務や禁止が解除されるが、匿名加工情報を提供する場合には、これらの適用除外がない。

したがって、匿名加工情報を提供するときは、法令に基づく場合であっても、「第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表する」義務が課される。これは、匿名加工情報取扱事業者に警察が捜査協力を求めるときに支障をきたすことにならないか。大丈夫か。

まあ、ここは、「個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表する」なので、委員会規則で、法令に基づく場合は公表しなくてよいと規定することで、どうにかできるか。しかし、「個人情報保護委員会規則で定めるところにより」というのは、適切な公表のあり方を定めるものと普通は読むのだろうから、「公表しなくてよい」という「公表のあり方」を委員会規則が定めるというのは、アリなのだろうか？

不具合らしき点はさらにある。

この制度の趣旨は、匿名加工情報に加工すれば本人同意なく第三者提供できるとするのであるから、36条の次あたりに、「匿名加工情報は、23条の規定にかかわらず、第三者に提供することができるものとする。」といった規定が入るものだとばかり思っていたが、そういう規定がない。23条側にも、「匿名加工情報を除く」といった除外が入っていない。

ということは、もし、匿名加工の委員会規則の基準で、仮名化もアリだとされた場合を想定すると、個人データを仮名化しただけでは、提供元基準において、元データと照合することができる場合には、個人データの提供に当たるから、匿名加工情報に加工して提供しても、個人データの提供にも該当してしまって、23条により提供禁止になってしまう。

いや、もっと簡単に言うと、個人データの提供に当たらない匿名加工情報の提供しか認められないのだから、それって、現行法でも合法なのでは？と。匿名加工情報の制度を設けた意味がまるでなし！

はー。どうしてこうなった。

大綱から半年以上もあったのに、いったい何をやっていたのか。もっと早い段階から条文案を公開して皆で議論するなり、専門家に見せて意見を集めるなり、できないのだろうか。いや、条文は役人が作るものであって、外部で検討するのは骨子までだというのは、国のこれまでの慣習なのだろう。骨子さえ完成させれば、あとは内閣法制局が完全無欠の条文に落とし込んでくれるはずだと。

しかしこの体たらくは何だ。内閣法制局がいかに天才プロフェッショナル集団であろうとも、直せるのは条文上の形式的な綻びまでで、委託先に仮名化データを渡すのが普通といった、ビジネスの現場がどうなっているかまでは、察知できないということなのか。

奇しくも、今日、新経済連盟代表理事の三木谷浩史様から、ありがたいお言葉があった。

改正個人情報保護法案に関する代表理事コメントを公表しました, 新経済連盟, 2015年3月10日

改正個人情報保護法案に関するコメント

新経済連盟代表理事

三木谷　浩史

　本日、閣議決定された改正個人情報保護法案に関して以下のとおりコメントします。

１．パーソナルデータの利活用は、日本の産業競争力強化の最も重要なファクターであり、ユーザビリティの向上としても重要な要素である。

２．インターネットというグローバルネットワークにより、ビジネスは国境をまたぐ。わが国の行政執行が外国企業に対しては直接執行できないもとで、日本の事業者のみが規制強化となり競争力がそがれる事態になることは避けるべきである。

３．保護と利活用のバランスを図っていくためには、第三者委員会での解釈運用に依存するので、第三者委員会（委員及び専門委員）と事務局のメンバー構成が重要である。民間のビジネス実態がわかるものがどちらでも半数以上を占めるようにすべきである。

以上

まさに至言！ここはひとつ、民間のビジネス実態がわかる者の頂点に立つ、三木谷浩史様にこそ、この条文の不具合を直すよう、国会に働きかけていただきたくお願い奉ります。*8

第三者委員会の専門委員には、こうした不具合を直すクイズに正解できる者だけが、就任の資格を得られるよう、お取り計らいいただきたい。

*1 現行法の「個人情報データベース等」定義（2条2項）の一号と二号に並ぶものであろう。その類推から、後段の「その他政令で定めるもの」は、カルテのように紙媒体が整理されて並べられているものを想定していると思われる。

*2 この括弧書きは、「個人情報」に対して散在情報（「行方その3」参照）を除外した「個人データ」が定義されているように、「匿名加工情報」に対して散在情報をを除外した「匿名加工データ」を定義するべきところ、そのような用語定義をしないで、義務規定内で直接、散在情報を除くよう限定をかけたものである。ちなみに、これが「散在情報 vs 処理情報」の論点（「行方その3」参照）に関連して、大変興味深いのだが、それについては、「行方その3」を書いてから、次回以降で。

*3 事業化する前なら、匿名加工情報データベース等を事業の用に供していないので、匿名加工情報取扱事業者に当たらないが、36条の名宛人は個人情報取扱事業者なので、事業化前でも該当してしまう。36条の対象情報は、1項の括弧書きで「匿名加工情報データベース等を構成するものに限る」とされているが、匿名加工情報データベース等は事業の用に供しているものに限られていないので、テストで作成しただけの事業化前であっても、やはり該当してしまう。

*4 プライバシー権（個人の権利利益）に対するインパクトなどありやしない。

*5 ここでは自社内利用の話をしているので、第三者提供は関係ないので。

*6 図2には、「事業者ヒアリングにおいて指摘された」とあるが、その事業者は具体的に何をしたかったのか？抽象的にただ「目的外利用がしたい」とだけ言っていたのか？

*7 変更された下線部は、「個人データが提供される場合」に揃えただけの、法技術的修正にすぎないと思われる。

*8 というか、すでに条文をご覧になったのでは？お気づきにならなかったのかしら？

本日のリンク元 TrackBack(1)

2015年03月15日

■ 個人情報定義は新経連の意向で米国定義から乖離しガラパゴスへ（パーソナルデータ保護法制の行方その16）

今回の国会提出法案で、個人情報の定義を拡充するとされていた点は、次の条文となった。

（定義）
第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。）で作られる記録をいう。第十八条第二項において同じ。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）

二個人識別符号が含まれるもの

2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。

一特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの

二個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

黄色で強調した部分は、現行法の定義そのままのところである。背景灰色の部分は、「記述等」を明確化するための補足であり、現行法解釈の通説を踏襲したもの*1なので気にする必要のないところである。

残る部分が今回追加されるところであるが、赤で強調した「特定の」の部分が問題となる。自民党の「個人情報保護法改正に関する提言」では「4. 個人情報の定義（範囲）の拡大は行わないこと。」とされ、報道によれば、自民党修正によって「特定の」が挿入され、「「特定の個人を識別できるもの」に限定」されたとされている。

保護法改正案個人情報定義振り出し端末ID 対象見送り - 解説スペシャル, 読売新聞2015年2月24日朝刊, p.7

どんでん返しが起きたのは、検討会の手を離れた今月中旬。原案では個人情報の定義に「特定の」の文字が挿入され、現行法と実質的に同じ内容に戻されていたのだ。利活用を唱える自民党の反対で押し戻された形だ。

いろいろ得た情報*2によると、個人識別符号の定義の条文（新2条2項）は、元の案では以下のものだったようで、次の赤の強調部分が挿入されたようである。

元の案

一特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該個人を識別することができるもの

二個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されるもの
修正され国会に提出された法案

一特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの

二個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

この変更は何を意味することになるのか。読売新聞の解説記事の通り、この2条2項の「個人識別符号」は、1号も2号も、「特定の個人を識別することができるもの」に限定される。したがって、2条1項2号の「個人識別符号が含まれるもの」も、「特定の個人を識別することができるもの」に限定される。

となると、2条1項2号の「個人識別符号が含まれるもの」は、同項1号の個人情報（現行法の個人情報と同じ）とどう違うのか？

この1号（現行法の個人情報と同じ）は、「生存する個人に関する情報」のうち、あらゆる情報について、その内容から「特定の個人を識別することができるもの」は全部が該当するものである。そのため、2号の「個人識別符号が含まれるもの」は、それが定義からして「特定の個人を識別することができるもの」に限定されているならば、追加されてもされなくても、どのみち1号の方で該当するものである。

つまり、今回のこの改正は、冗長な条文に変更するだけ*3のものとなってしまった。「特定の」が挿入される前の元の案ではそんなことはなかったのに、だ。

どうしてこんなことになったかというと、新経済連盟の三木谷浩史氏の意向によるものらしい。たしかに、新経連は、以前から個人情報の定義を拡張してはならないとする意見書を繰り返し出していた*4し、今回も、自民党の修正に際して、同党の「内閣部会・IT戦略特命委員会合同会議」の席で以下の資料を用いたプレゼンテーションをしたらしい。

三木谷浩史, 個人情報保護法改正案の問題点, 2015年2月4日

このように、三木谷氏は、「ガラパゴスな規制」「定義拡大による広範は規制は社会混乱」「日本企業だけ規制される」と主張されたようである。

ところで、そのような自民党修正が加えられ、閣議決定を待つばかりとなっていた2月28日（現地時間では2月27日）、米国は、連邦法「Consumer Privacy Bill of Rights Act of 2015」の案（administration discussion draft）を発表した。

Administration Discussion Draft : Consumer Privacy Bill of Rights Act of 2015, the White House, 2015年2月27日

これを見て私はびっくりした。この連邦法案の「personal data」の定義は、日本法の個人情報定義とそっくりだったからだ。

そっくりなのは、今回の個人情報保護法改正案の、自民党修正前の、元の案の定義とである。両者を共通部分を比較すると以下のようになる。共通する文に同じ色を付けておいた。

SEC. 4. Definitions.

(a) “Personal data”

(1) In General.―“Personal data” means any data that are under the control of a covered entity, not otherwise generally available to the public through lawful means, and are linked, or as a practical matter linkable by the covered entity, to a specific individual, or linked to a device that is associated with or routinely used by an individual, including but not limited to―

(A) the first name (or initial) and last name;

（略）

(E) any biometric identifier, such as a fingerprint or voice print;

（略）

(F) any unique persistent identifier, including a number or alphanumeric string that uniquely identifies a networked device; commercially issued identification numbers and service account numbers, such as a financial account number, credit card or debit card number, health care account number, retail account number; unique vehicle identifiers, including Vehicle Identification Numbers or license plate numbers; or any required security code, access code, or password that is necessary to access an individual’s service account;

(G) unique identifiers or other uniquely assigned or descriptive information about personal computing or communication devices; or

（略）

（定義）
第2条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一当該情報に含まれる氏名、生年月日その他の記述等（略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）

二個人識別符号が含まれるもの

2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。

一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該個人を識別することができるもの

二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されるもの

まず注目すべきは、黄色で強調した部分。「any data that are linked to a specific individual」というのは、日本法の「個人に関する情報であって、特定の個人を識別することができるもの」にちょうど対応している。「個人に関する情報であって」が、氏名等の「特定の個人の識別を可能にする情報」だけを指すのではなくそれに紐付いた情報の全体を表しているとされている点が、「any data that are linked」で表されているし、「特定の個人を識別することができる」が、「that are linked to a specific individual」で表されている。

ここで特に「a specific individual」に注目したい。日本法の「特定の個人を識別する」の「特定の」は如何なる意味なのか、そもそも意味などあるのか、「特定の個人を識別する」も「個人を識別する」も同じ意味ではないかという意見もあるところ、米国法もまた「a specific individual」と、「specific」の語を使っている*5。しかも、後段の青で強調した部分では、「used by an individual」と、こちらには「specific」の語がなく、区別して書かれていることがわかる。

次に、緑で強調した部分。先ほどの「any data that are linked」に並ぶものとして「or」でつないで、「as a practical matter linkable by the covered entity」とある。これは、ちょうど「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」に対応している。この「linkable」は（先のlinkedとは違って）「照合することができ、それにより……できるもの」に対応しており、「as a practical matter」が「容易に」にちょうど対応している。しかも、「by the covered entity」とあるではないか！

「covered entity」は対象事業者のことであり、日本法では第4章の名宛人「個人情報取扱事業者」のことである。「linkable by the covered entity」とは、「当該個人情報取扱事業者によって照合することができ、それにより……できるもの」ということになる。かつて、日本法の定義の解釈において、「提供元基準説」と「提供先基準説」の争点（「行方その2」「3. 第三者提供時の照合の主体」参照）があったが、米国法案は、「linkable by the covered entity」と、提供元基準であることを明文で規定してきたと言える。

これはすごい！まるで日米が申し合わせたかのようだ。日本法の解釈を真似たのかそれとも、これが当然に行き着くべき真理であるということなのか。*6

次に注目するのは青で強調した部分。ここは、日本法が今回の改正で追加しようとした部分に当たる。「個人識別符号」に相当するのは、米国法案で「linked to a device that is associated with or routinely used by an individual」となっている。例示の(F)からわかるように、これは、日本法の言う「個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号」とほぼ同じものを指している。

ここで大注目なのが、赤で強調した部分。黄色の部分に付随したところでは、各々「a specific individual」、「特定の個人」と規定されているのに対し、青の部分に付随したところでは、各々「a device」「an individual」、「個人に」「利用者ごとに」「購入者ごとに」「者ごとに」と書かれていて、ここには「specific」「特定の」という限定が付いていない。

つまり、ここでも日本法改正案と米国法案は有意に一致していると言え、本当にまるで日米が申し合わせたかのようである。

いや、ただし、それは、自民党修正前の、元の改正案についての話である。

自民党修正後の法案、つまり今国会に提出されている改正法案では、「特定の」が挿入されたのだから、米国法案とは明らかに異なるものになってしまった。米国法案には青の部分に「specific」の語が書かれていない。

要するにこういうことが言える。日本政府は、米国大統領府が連邦法の案として示した「Consumer Privacy Bill of Rights Act of 2015」に合わせる（もしくは結果的に合う）形で、日本の個人情報保護法をほぼ同一の個人情報定義にすべく改正を試みていたが、新経連三木谷浩史氏の意向によって、米国とは違うものにされてしまった。三木谷氏自身が「駄目だ」と拒否する「ガラパゴスな規制」に自ら押し込めてしまったのである。

残念ながら誰もこれを止めることはできなかった。

もっとも、三木谷氏の言い分にも理解できるところがある。新経連は、2月4日の資料で、個人情報定義を拡張するとどのような問題が生じるのかの具体的な理由を、初めて明らかにした。

三木谷浩史, 個人情報保護法改正案の問題点, 2015年2月4日

なるほど、確かに、アカウントのIDがそれ単体で個人情報に該当し、その利用目的をあらかじめ特定して通知又は公表しなくてはならないとなると、指摘されている例②のように*7面倒なことになる。また、例①のご指摘もその通りだろう。

米国法案では、上記で灰色で強調した部分のように、「not otherwise generally available to the public through lawful means」（合法的手段を通じて一般に公開されているものを除く）とされていることから、これらの心配がないことになる。日本法は、元々、公開情報も規律の対象としてきた経緯があり、ここの折り合いをどうつけるかという課題がある。公開情報も、プロファイリングの目的で使用される場合には保護の必要性がある（正確性の確保、開示・訂正等）ので、米国法案のこの除外を真似ればいいとは思わない。

私の意見としては、一昨年11月から主張してきた*8ように、第4章の民間事業者を名宛人とした義務規定の全てを、「個人情報」ではなく「個人データ」対象とする（散在情報を対象から外す）よう改正するべきだ*9と考えている（「行方その3」「行方その6」に書く予定）。新経連の指摘する例①②は、まさに、散在情報の取り扱いに規制がかかることを問題視しているものであるから、私と同意見ということになる。

個人情報定義を拡張して、米国法案に合わせ、世界に合わせていくためには、同時にその改正も必要なのだ*10と思う。そのためには、そもそも何のための保護法なのか、単なる漏洩防止法ではなく、プロファイリングの問題への対処としての法律なのだという、目的の確認から始めなくてはならないだろう。今回の「パーソナルデータ検討会」は、その整理を初めからすっ飛ばして、ただ外国の定義に合わせようとしたから、このような結果に陥ったのだと思う。

次の改正に向けて、引き続き論点整理をしていきたいと思う。

参考文献

[園部編2005] 園部逸夫/編集, 藤原静雄+個人情報保護法制研究会/著, 個人情報保護法の解説《改訂版》, ぎょうせい, 2005年
[内閣官房2002] 内閣官房, 個人情報の保護に関する法律案逐条解説
[NICT2014] 映像センサー使用大規模実証実験検討委員会, 調査報告書

*1 例えば、「音声」が含まれることは、文献[園部編2005]49頁にも「映像や音声情報も、それによって特定の個人が識別される場合は、「個人情報」に含まれる。」とされていたし、[内閣官房2002]においても「映像、音声もそれによって個人の識別に至る限りは「等」に含まれる。」とされていた。

*2 私に守秘義務が発生しない経路で入ってきた情報に限る。

*3 ただし、現行法の定義を明確化するという意義はあるかもしれない。2条1項に挿入される「（文書、図画若しくは電磁的記録に記載され、若しくは記録され……をいう。以下同じ。）」の括弧書きが、あってもなくても現行法解釈と変わらないのに入れるのは、「グレーゾーン解消」という今回の改正の目標のためであるように、「個人識別符号」を特別にわざわざ条文化するのもそれと同様と見ることができるかもしれない。それでもなお、やはり、「個人識別符号」がそれ単独で「特定の個人を識別ことができるもの」でない限り、この条文を足す意味はない。そのようなものがあるのかどうか。2条2項1号の個人識別符号については、現行法における個人情報該当性について文献[NICT2014]での検討例がある。本人が再び映像センサーの画角内に現れた時点で、過去の「特徴量情報」で記録された履歴が、当該本人のものとして特定の個人を識別することができるものとなるという考え方だが、こちらは、「特徴量情報」（これが2条2項1号の「特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号」に当たる）を他の情報と照合すること（その瞬間の映像センサーから得られる特徴量情報との照合）によって特定の個人を識別することができるという整理だった。しかし、今回の改正案では、「他の情報と照合すること」による特定の個人の識別可能性は、2条1項1号の方だけにあり、2条1項2号の「個人識別符号が含まれるもの」の方にはその括弧書きが及ばないので、この理屈は適用できない。「特徴量情報」それ単独で「特定の個人を識別することができる」という解釈はこれまでに示されたことはなかったのではないか。一方、2条2項2号の個人識別符号については、少なくとも、「個人番号」（行政手続における特定の個人を識別するための番号の利用等に関する法律における「個人番号」）については、それ単独で個人情報に該当するとされている。条文でそう定義されてはいないが、法律の名前が「特定の個人を識別するための番号」であるからというのがその理由という。それ以外の番号・符号はどうなのか。これについて、文献[園部編2005]49頁に、「「その他の記述等」としては、例えば、住所、年齢、性別、電話番号、個人別に付された番号、記号（会員番号、金融機関の口座番号、試験の受験番号等）等が挙げられる。」との記述がある。これを素直に読めば、口座番号や受験番号もそれ単独で個人情報に該当すると言っているように聞こえるので、今回の改正で新たにこれらが個人番号として追加されるわけではなく、現行法は最初からそれらを個人情報としていた（起草者の意思としては）のであって、今回の改正はそれを明確化するだけだという見方ができる。ただ、これにも反対意見があり得て、この文献[園部編2005]49頁の例示は、「個人別に付された番号、記号」と同列に「年齢、性別」も並べていることから、これらの要素情報を組み合わせて「特定の個人を識別することができる」場合の「その他の記述等」に何が当たり得るかを述べたにすぎず、これら例示が、それ単独で「特定の個人を識別することができる」ものとして説明したわけではないという言い方ができる。実際、「行方その11」の脚注5にも書いたように、同じ条文を持つ情報公開法の運用においては、「特定の「基礎年金番号及び年金コード」のみで示された情報が「特定の個人を識別することができるもの」に該当するとは認められない。」と判断された例がある。結局、「特定の個人を識別する」とはどういう意味なのか（「行方その4」参照）という話になる。

*4 「総務省「パーソナルデータの利用・流通に関する研究会論点整理」に対する意見」（2013年4月）、「総務省「パーソナルデータの利用・流通に関する研究会報告書案」に対する意見」（2013年5月）、「「パーソナルデータに関する検討会」ヒアリングでの意見」（2013年11月）、「「パーソナルデータに関する検討会」でのプレゼンテーション」（2014年5月）、「「パーソナルデータの利活用に関する制度改正大綱」パブリックコメント提出意見」（2014年7月）、「個人情報保護法改正骨子案に対する要望書」（2014年12月）、「自民党内閣部会・IT戦略特命委員会合同会議における三木谷代表理事ヒアリング」（2015年2月）、「改正個人情報保護法案に関する代表理事コメント」（2015年3月）。

*5 米国における個人情報の法的な定義は、分野を超えた一般的なものはなかったが、かつて、「personally identifiable information (PII)」の一般的定義として、OMB（アメリカ合衆国行政管理予算局）のmemorandum文書「Safeguarding Against and Responding to the Breach of Personally Identifiable Information」（2007年5月）の中に、「Information which can be used to distinguish or trace an individual's identity, such as their name, social security number, biometric records, etc. alone, or when combined with other personal or identifying information which is linked or linkable to a specific individual, such as date and place of birth, mother’s maiden name, etc.」として定義されていたものがあり（これは、今回の米国法案の元となった2012年2月の「Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy」の脚注12でも参照されている。）、ここに「a specific individual」とあることから、個人識別概念に「特定の個人を」と「特定の」を入れるのは日本だけのものではないことはわかっていた。

*6 EUデータ保護指令（1995年）での定義では、「'personal data' shall mean any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;」となっていて、誰にとって「identifiable」なのか、どの程度「identifiable」なのかが曖昧になっており、そのまま解釈すると範囲があまりに広すぎて現実的でないとも言えたところ、日本法と米国法案はそこのところをきっちり限定していると言えるのではないか。

*7 この指摘もおかしなところはある。この指摘を真に受けるならば、現行法においても、氏名を含むSNS書き込みを事業者が引用するときに「利用目的を通知したり第三者提供の同意を取るのは非現実的」という主張が可能になるが、そんなことは誰も求めていないし、氏名を削ればいいというものでもない。

*8 法とコンピュータ学会第38回研究大会「パーソナルデータ保護法制に向けての提案」と、情報ネットワーク法学会第13回研究大会パネルディスカッション「個人情報保護法制のグローバルダイナミズム」で示した。

*9 しかも、現行法も元々そういう趣旨だったはずで、15条から18条が「個人情報」を対象としているのは、旧法案が廃止になって新法案に修正した際の不備にすぎないと考えている。このことについては、情報ネットワーク法学会第14回研究大会の一般発表「個人情報保護法における「処理情報」概念を再考する」（同発表スライド）で示した。

*10 米国法やEU法が、散在情報をどのように規律するとしているのか、それと日本法との対応関係はどうなっているか、検討が必要である。今回の米国法案では、上記で灰色で強調した「that are under the control of a covered entity」のところが、日本法で言うところの「個人情報データベース等を構成するものに限る」（すなわち、散在情報は除外される）の意味に相当するようにも見え、気になるところである。