<前の日記(2015年12月12日) 次の日記(2016年02月05日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 1942   昨日: 3961

2016年01月31日

匿名加工情報は何でないか・中編(保護法改正はどうなった その3)

前回の「前編」の後、文献1が出版された。これは、改正法の立案担当者ら(内閣官房IT総合戦略室の参事官・企画官以下参事官補佐らが著者となっている。)による唯一の公式的な解説書ということになる。また、ジュリスト2016年2月号が改正法の特集であり、向井審議官の発言を含む座談会の記事(文献2)が出ているのと、法律時報2016年1月号に8月の行政法研究フォーラムの質疑応答の様子(文献3)が掲載されており、立案担当者の見解が出ている。さらに、第二東京弁護士会による解説書(文献4)において情報公開制度で開示された資料(内閣官房IT総合戦略室が内閣法制局に提出した内部資料)が参照されているところ、新潟大学法学部情報法研究室が同じものを公開請求して開示された資料(文献5)があり、これを入手した。以下では、これらを参照して根拠としつつ、改正は結局どうなったのかを探っていく。

日本経済新聞の執拗な誤報

昨年の改正法の成立に際し、日本経済新聞本紙(日経新聞)が毎度のことながら記者の希望的観測ベースの思い込み記事を流していた。日経新聞は繰り返し「名前や住所」を取り除けば匿名加工情報になると報じている。これを真に受けた読者は少なくないであろう。

  • 販売・開発に個人情報活用 保護法改正案成立へ ビッグデータ利用しやすく, 日本経済新聞2015年8月28日朝刊

    個人情報保護法改正案が9月3日に成立する見通しになった。匿名の個人情報を企業などに提供できるようにして商品の購入履歴などの「ビッグデータ」を経済活動に生かす狙いがある。(略)

    改正案ではICカードを使った交通機関の利用記録やネット通販の購入履歴などの個人情報から名前や住所などを除いて個人が特定できないようにした「匿名加工情報」の規定を設けた。本人の同意がなくても、データを活用したい企業などに渡せるようになる。(略)

  • 匿名化した個人情報 活用する「7%」 , 日本経済新聞2015年12月28日朝刊

    今年9月に改正個人情報保護法が成立した。商品の購買履歴などを本人が特定できない「匿名加工情報」にすることで、企業がマーケティング活動に生かしやすくなる。

    匿名加工情報は、交通機関の利用記録やネット通販の購買履歴などの個人情報から、名前や住所などを除いて個人を特定できないようにしたもの。改正法施行後は加工すれば、企業は本人に断りなく、情報を取得時の利用目的以外に使うことができるようになる。

    企業に、匿名加工情報を今後活用するか聞いたところ、「活用する」と答えた企業は7%、「検討中」は42%で慎重姿勢が目立った。(略)

その点、朝日新聞はちゃんと、次の記事の通り、「のほか、行動履歴を加工して丸め」と報じている。これがちゃんと取材をしている記者の記事*1である。

  • 行動履歴、加工すれば売買可能に 個人情報保護法改正案, 朝日新聞, 2015年7月27日朝刊

    この騒動を踏まえ、企業が第三者に個人情報を提供する条件を明確化したのが改正案だ。個人が特定されないように、氏名や住所の一部のほか、いつ、どこで何をしたかといった「行動履歴」を加工して丸め、「匿名加工情報」にすることが義務づけられる。加工することで、駅の乗降履歴やポイントカードの使用履歴、サイトの閲覧履歴などを、本人の同意がなくても企業間で売買できるようになりそうだ。

日経新聞は今月になってさらなるトンデモ記事を出した。以下のように、匿名加工情報の加工基準が「住所は都道府県まで」「生年月日は誕生年まで」と定められるというのだ。そんなわけがないのは明白であり、これは単なる記者の勘違いを超えた完全なる誤報だろう。*2

  • 個人情報、匿名化に基準 企業の活用促す 住所は都道府県まで, 日本経済新聞2016年1月27日朝刊

    政府は企業が個人情報をビジネスで活用するための新たな指針を作る。本人の同意なしに外部に提供する時に義務付ける匿名化の条件を氏名や誕生日、居住する市町村などの削除と明確にする。誕生年や都道府県は提供できる。購買情報などのビッグデータを安心して使えるようにし、新たな商品やサービスの開発を後押しする。

    1月に一部施行した改正個人情報保護法で企業は個人情報を匿名に加工すれば、本人の同意なしで利用できるようになった。どこまで匿名化すれば利用できるかの基準を新指針で示す。政府の個人情報保護委員会が6月にも公表する。

    購買情報をマーケティング会社に分析してもらう場合、氏名を削除したうえで住所は都道府県まで、生年月日は誕生年にとどめれば提供できる。企業は年代別や地域別の購買傾向を分析し商品開発に生かせる。(略)

例示としてたまたま出たにすぎない1つのケースを、取材しない記者はそれこそが要件であると解釈してしまうのだろう。匿名化はデータセット全体で評価するべきなのに、生年月日や住所にだけ着目して固定的な基準を設けてしまっては、むしろ逆に、もっと利活用できるはずの情報が無用の加工をされて情報が落ちてしまう事態(履歴部分が元々曖昧なデータである場合がこれに該当する)が生じて、利活用を阻害してしまう。当然ながらそういう指摘が出ていた。

専門家の解説記事も、けして誤解ないように書かれているとは言い難い。たとえば、「パーソナルデータの教科書」で知られる野村総研の小林慎太郎氏の記事でも、流し読みする読者は日経新聞と同様の誤解をしてしまう危険性がある。

この図を見た読者は、氏名を削除して生年月日を「生年」に丸めれば、購入商品、購入金額及び購入日時を一切加工せずとも匿名加工情報とすることができるという話だと受け取りかねない。記事をよく読むと、前のページでこの図について「会員IDと変換IDの対照表があれば、たちまちデータセットBにある個人を特定できてしまう。また、購入商品が珍しいものであったり、購入日時が限定的であったりすると、当該商品を購入した人物は限られるので、個人が特定されるリスクは高まる。」 という説明があるので、この図は匿名加工情報としては不適切な加工の例のつもりで掲載されたようであるが、図のキャプションにその記載がないため、日経新聞のような誤解が生じかねない。

二郎本では、日経新聞と同じ間違いがダイレクトに書かれている。

本文中では、「といった情報が匿名加工情報となるはずです。」という説明で、「購買履歴データ」が丸々残った状態でOKということになってしまっている。

米粒のような絵の図では、胚芽様の部分が氏名・生年月日等を示している様子で、ここだけ除去すれば匿名加工情報になるなどと、日経新聞と同じ誤りが書かれている。図中の下段にある「そもそもここのみを取得」とある部分は、Suicaデータで言えば無記名Suicaのように初めから個人データとならないケースを示した様子であり、上段の絵は下段と同じ結果にさえなれば個人データでなくなって当然という趣旨で書かれた図なのだろう。これはたしかに誤解し易いところであるが、上段は元データとの容易照合性があれば依然として個人データなのであり、下段の(無記名Suica様の)ケースは、現行法で(そして今改正後も)保護対象とされていないだけで、将来の改正であるべき姿としては保護対象とするべき(場合のある)もの*3であるから、むしろ上も下も同様に保護対象とする(場合がある)ことを本来は考えるべきものである。

法律ではどう規定されたのか

とはいえ、法律は本当にそのように規定されたのか、つまり、日経新聞や二郎本の言っていることの方が正しい可能性はないのか?という疑義があるだろう。以下その点を検討しておく。

まず、匿名加工情報の定義条文(改正後2条9項)を見ると、「次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて」として、「当該個人情報に含まれる記述等の一部を削除すること(……ことを含む。)」(同項1号)だとか、「当該個人情報に含まれる個人識別符号の全部を削除すること(……ことを含む。)」(同項2号)となっているため、ここだけを読んで、特定の部分を削除するだけで足りるかのように誤読する人が出てくるわけだ。

しかし、条文は「各号に定める措置を講じて」の続きの部分が肝心であり、「……措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」というのが定義である。

2条9項は、「削除すること」だけを求めているのではなく、括弧書きとして「他の記述等に置き換えることを含む。」とあり、特に同項1号は、「当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を……他の記述等に置き換えることを含む 。)」となっている*4から、(ほぼ)全部を置き換えることも想定されている*5と言え、履歴情報の列を含めて総合的に加工して匿名化する方法が条文上もちゃんと想定されていると言えるだろう。実際、文献1には次のことが書かれている。

Q25 匿名加工情報の加工方法とはどのようなものですか。

(略)例えば、以下のようなものが考えられます。

特定の個人を識別することとなる項目を削除すること(例:氏名の削除、住所の市区町村以下を削除)
詳細な項目を一定のまとまりや区分に置き換えること(グルーピング。例:生年月日の年代への置き換え)
作成の元となる個人情報と個別に関連付けられているID等の識別子を削除すること
匿名加工情報データベース等に含まれる複数者間のデータの値を入れ替えること
分析対象のデータに一定の誤差(ノイズ)を付加すること
分析対象のデータの平均から大きく乖離するデータ群をまとめること(トップコーディング)

瓜生和久編著, 一問一答 平成27年改正個人情報保護法, 商事法務, 41頁

むろんこれは、これらのすべての実施が常に必要だと言っているわけではないのだろうが、*6や、ぁ↓ァ↓Δ挙げられていることから、履歴データ部分の列全体の加工が想定されていると理解するべきであろう。

では次に、2条9項の「特定の個人を識別することができないように」「復元できないように」というのが、どのような手段まで含めて「できない」という意味なのか。

具体例で言えば、2013年のSuica事案でJR東日本が日立製作所に提供したデータ(氏名は削除されていたが、履歴データはそのままだった)が、匿名加工情報となり得るのかである。すなわち、加工後のデータが、元データと「データセットによる照合」が可能なものである場合に、この定義の要件を満たすかである。

「データセットによる照合」とは、図1を例にすれば、「購入日時」が秒単位であるなど(さらに他の履歴まで含む場合のような)データの内容が詳細である場合に、加工後のデータが元データとレコード単位で一対一対応する場合があり、その場合はいわゆる「容易照合性」(改正前2条1項括弧書き)によって加工後のデータも個人データであることになるという考え方である。この考え方は、2014年4月23日の日記「現行法の理解(パーソナルデータ保護法制の行方 その2)」の第9節「4. 照合による特定個人識別」でも述べていたが、初出は藤村明子氏、間形文彦氏らの情報ネットワーク法学会での発表であり、論文(文献6)が出版されている。「ニッポンの個人情報」では、74頁から76頁で以下の図を用いて説明している件のことである。

書籍の原稿より 書籍の原稿より
図3: 「ニッポンの個人情報」より

まず、この考え方が政府説として採用されているのかどうか。

国会の審議では、このことに直接言及する発言はなかったが、次の答弁が、それを前提としていることを窺わせるものであった。

○政府参考人(向井治紀君) お答えいたします。

日本の個人情報の定義は、容易に照合できる、他のデータと合わせて個人が識別できるものというふうになっているところでございます。

その際に、情報を移転する際に、容易に照合するのは情報の移転元か移転先かという議論がございます。日本の場合、これは情報の移転元で容易照合性があるということで解釈が統一されておりまして、そういたしますと、一旦個人情報となりますと、その情報の一部を提供する場合でも、これは大抵の場合、提供元において容易照合性はありますので、個人情報になってしまうという、そういうことはございます。

それは解釈で変更するか、いろんな手はあろうかと思いますけれども、今回は(略)

第189回国会会議録 平成27年5月28日 参議院内閣委員会第10号

「大抵の場合に提供元で容易照合性がある」というのは、データセットによる照合を想定してのことであろう。そうでないとすると、連結可能匿名化のような対応表を持つ場合を指して「大抵の場合」と述べていることになるが、対応表の存在を「大抵の場合」とするのは無理があるように思える。

この推測が確からしいことが、開示資料(文献5)で明らかになった。IT総合戦略室が2014年12月1日に内閣法制局に提出した文書に、これを直接肯定する記載があることが判明した。該当部分は以下である。

3 個人情報と匿名加工情報(仮称)における容易照合性の考え方について

イ 事例

鉄道会社が、記名式ICカードの乗降履歴について、「氏名、性別、住所、電話番号、ICカードID、乗車駅と通過改札番号、乗車駅改札通過時間(秒単位)、降車駅と通過改札番号、降車駅改札通過時間(秒単位)、残高」というデータセットから、氏名、住所、電話番号を削除し、かつICカードIDを仮IDに置き換えて事業者内部に保存している。同社は削除・置換のアルゴリズム及び両データセットを照合するための対応表を廃棄しており、両データセットは別々のデータベースに保管され、システム上連結していない。データベースのメンテナンス等を理由として両データに対しアクセスし得る人聞が社内に複数名存在しているものとする。

実務においては個人情報取扱事業者において、特定の個人を識別することができる情報を取得し、その後、氏名等と履歴を別々に管理することが、安全管理措置(第20条)の一環として行われている場合が多くみられる。具体例の場合、同社は削除・置換のアルゴリズムを廃棄しているが、氏名等を含むデータセットと新たに作成されたデータセットを比較すると、詳細な内容を有する複数項目が合致する。このような場合、項目を突合させるのみで事業者は特定の個人を識別することが可能である。システム上両データセットは連結していないものの、両データセットは一対一対応が可能な状態で照合によって特定の個人を識別し得る場合については全く知見を有しない者であっても照合によって特定の個人を識別することができ、かつ、両データに対してアクセスし得る人聞が複数名存在していることから、「容易照合性」があると言える

個人情報保護法の改正(2015年)に関する内閣法制局への全条文に関するご説明資料の最終版(改正部分が全てわかる資料), 2014年12月1日「個人情報と匿名加工情報(仮称)における容易照合性の考え方について」より

このように、データセットによる照合のことが、容易照合性ありと認められる場合の例として示されている。

そうすると、このようなデータセットによる照合が可能な加工データが、2条9項の匿名加工情報の定義を満たすかである。

定義は「特定の個人を識別することができないように個人情報を加工して得られる」を要件とするが、ここで言う「特定の個人を識別」が、照合による識別を含むのかがはっきりしない。改正前2条1項括弧書きに相当する文がないが、当然に含むとして省略されているだけなのか、意図して照合による識別を除いたものなのかが不明である。

続く要件の「復元することができないようにしたもの」はどうか。データセットによる照合が可能であれば、当該事業者においては、技術上は「復元することができる」と言うことができそうである。

ちなみに、法案が成立する前、昨年4月の時点での私の解釈では、そのような場合でも2条9項定義の要件は満たすという立場だった。前回の「前編」で書いた、法案の修正試案を作成したとき(国会提出法案は無用な規制を招く欠陥法案であるという理由で4月に修正試案を作成していた。)に、36条〜39条を修正するだけで、2条9項の修正はしなかったのも、その解釈に基づいたためであった。その修正試案では、個人データに該当するデータセットであっても「23条1項の規定にかかわらず第三者に提供できる」とする構成を目指していたので、「個人データであり、匿名加工情報でもあるもの」というデータの存在を想定しており、また、36条〜39条の義務規定は「匿名加工情報」の全てに係るのではなく、36条の規定により作成した匿名加工情報についてのみ係るように構成していたので、2条9項の「匿名加工情報」定義の要件が緩く広範な情報が該当するものであっても、それで構わないという想定だった。つまり、この解釈での2条9項は、便宜的に用語を規定したスタブのようなもので、義務対象に直結していない用語だという想定だった。

そのような解釈が条文上可能なのかについても当時検討しており、そのときの考え方はこうだった。「復元することができないようにしたもの」とは、実際に復元ができないことまでを要しない。加工する者の意図(客観的に推定される)として、復元できないようにしたのであれば足りる。そういう解釈をとった。これにより、ちょっとした加工でも該当することになる。私の想定ではそのような定義でかまわないのであった。

当時、この解釈について、電波法109条の2になぞらえて説明している*7。3月16日に開催した「第4回プライバシーフリーク・カフェ「改正個人情報保護法案の解説」」で、以下のスライドを用いた。

スライド
図4: 第4回プライバシーフリーク・カフェより

電波法109条の2は、「暗号通信」の定義として「その内容を復元できないようにするための措置」が行われていることを要件としている。その一方で、「その内容を復元した」者を処罰するという規定である。この規定は、2004年の改正により追加されたものであり、当時、情報ネットワーク法学会のイベントだったかで、立案担当者の方だったか(記憶があやふやだが)の解説があり、この「復元できないように」というのは、およそ復元不可能な状態にするという意味ではなく、実際は復元できるものであっても該当し得る(当時の状況では、無線LANの「WEP」がこれに該当する典型例であった。)という説明だった。そういう解釈としなければ、復元した者を処罰するというのが論理矛盾となるからであろう。

これと同様の解釈が、2条9項「匿名加工情報」にも言えるのだろう。3月の時点、4月の時点ではそのように考えていた。

実際、このような解釈、すなわち、「復元することができないようにしたもの」が、現実に復元ができないことまでを要しないというのは、政府の見解においても、似たものが示されている。文献1は、Q24で次のように解説している。

この2つの要件を満たしているかの判断は、通常人の能力等では特定の個人を識別することができず、また、元の個人情報に復元することができない程度を基準とするものであり、あらゆる手法によって特定や復元を試みたとしてもできないというように、技術的側面から全ての可能性を排除することまでを求めるものではありません

瓜生和久編著, 一問一答 平成27年改正個人情報保護法, 商事法務, 41頁

これは、匿名加工情報の取扱事業者対して再識別禁止の規定を置いていることから、このような解釈ということにせざるを得ないものであろう。国会でも以下の答弁があった*8

○高井分科員 (略)復元できないように加工しなければならないと。復元できないとまで言うと相当厳しい基準になるおそれがあって、そういう厳しい基準を課されると、逆に匿名加工情報というものがうまく使えない、流通できないということになってくると思うんですけれども、そのあたりはいかがでしょうか。

○向井政府参考人 お答えいたします。

(略)先生の御懸念は多分、復元できないというと、今のいろいろな技術を使ったら、およそ復元できないものなんてないんじゃないかという御懸念ではないかと想像いたしますが、そこまで厳しいことを考えていることは当然ございません。

この措置は、あくまでビッグデータの利活用を推進するための措置でございますので、ビッグデータの利活用にならないほど匿名化が必要になるような措置は考えてございませんので、当然、通常復元できないぐらいのイメージかというふうに考えてございます。

第189回国会会議録 平成27年3月10日 衆議院予算委員会第一分科会第1号

このように、私の4月時点の解釈と政府見解の解釈には共通するものがある。しかし、それらは異なるものであることが、後の国会審議等を通じて明らかになった。

改正法では、匿名加工情報は個人情報でない(個人情報でないものが匿名加工情報となり得る)という解釈がとられている。私の修正試案は採用されていないので、「23条1項の規定にかかわらず第三者に提供できる」という規定はないのであるから、匿名加工情報が23条に抵触しないものであるためには、それが個人情報に該当しないことが必然的に要されるというのである。このことは5月28日の参議院内閣委員会で明確に確認された。

○石橋通宏君 (略)加工されてでき上がった、法律上定義には合致した匿名加工情報は、個人情報とは別のものになるということでよろしいですね。

つまり、これなぜ大事かというと、法案で言うと第一節第十五条から第三十五条までの規定と、第二節の規定というのがあるわけです。これ改めて確認しますが、第十五条から第三十五条までの規定というのは、これは匿名加工情報、匿名加工情報取扱事業者には適用されないものだということでよろしいですね。

○政府参考人(向井治紀君) 匿名加工情報は個人情報に該当いたしません。したがいまして、御指摘のとおりになります。

○石橋通宏君 実はここが大事なところだろうなと。衆議院の審議でも若干そこが混同されているような議論が散見されたものですから。(略)

○政府参考人(向井治紀君) お答えいたします。

元々、匿名加工情報の元は個人情報でございますので、個人情報であるうちは当然されますが、それが匿名加工情報になったら個人情報ではございませんので、それらの規定は適用されません。

第189回国会会議録 平成27年5月28日 参議院内閣委員会第10号

そうすると、「復元できないように」というのは、取扱事業者にその意図があれば足りるなどというものではなく、元の個人情報と照合することによって復元できてしまうようなものでは足りないということになる。同様に、2条9項の「特定の個人を識別することができないように個人情報を加工して」についても、照合によって識別できる場合はこれを満たさないと解釈するべき(すなわち、改正前2条1項括弧書き相当の記述が改正後2条9項にないのは、省略であって、照合による識別を除く趣旨ではない。)ということになるように思える。

ところが、ここに、別のやっかいな論点が関係してくる。国会で初期の審議で次の答弁があった件である。

○向井政府参考人 お答えいたします。

匿名加工情報は、先ほども申しましたが、特定の個人を識別することができず、復元することができないように加工する。一方、さらに、当該事業者も含めて、他の情報と照合して再特定化することを禁止しているというところでございます。

したがいまして、匿名加工情報は、そもそも、作成に用いた個人情報と照合することが禁止されておりますので、容易照合性は認められないと私どもは解釈しております。

したがいまして、この匿名加工情報におきましては、容易照合性の問題は生じず、個人情報には当たらないというふうに考えてございます。

第189回国会会議録 平成27年3月10日 衆議院予算委員会第一分科会第1号

これをどう理解するか。「匿名加工情報にすれば(容易照合性が否定されて)個人情報でなくなる」という意味なのか。そうだとすると、「個人情報である限りは匿名加工情報になり得ない」というわけではなく、加工したものが元データとの照合により依然として個人情報に当たるものであっても、匿名加工情報に該当することにしてしまえば、再識別が法的に禁止される(改正後36条5項)ことから、容易照合性が消滅して、個人情報に当たらないことになる……と、そういう意味なのか。

当時、何人もの有識者(私が知る限り少なくとも5人)がそんな解釈はあり得ないと反発した。これまでの個人情報定義にあった「照合することができ」というのは、データの性質あるいは状態を言う要件であるはずなのに、法律で禁止されることがその該当・非該当に影響を及ぼすというのは、法解釈論上あり得ないという反発だった。

一方で、そのような解釈を導入せざるを得ない事情も理解できる面がある。この論点をどう整理すれば決着するかは、そう簡単なことではない。私には理屈の見通しがあるが、それについては本シリーズの「後編」で書くつもりだ。

ここではとりあえず、これを「程度問題だ」ということにしておく。すなわち、照合による識別が可能な場合であっても匿名加工情報となる(それは非個人情報となる)場合もあれば、依然として個人情報であって匿名加工情報となり得ない場合もあるということである。

そうすると、元の話題に戻り、日経新聞が言うように「氏名や住所」だけを削除して、履歴データを加工しないもの、そしてその履歴データが元データとのデータセットによる照合が可能なほどに詳細なものである場合(例として2013年のSuica事案)について、はたしてそれが匿名加工情報に該当し得るのか。これは、条文だけ見ていても、国会会議録を見ても、はっきりしないということになる。

仮名化すれば匿名加工情報になるわけではない

ここで視点を変えて、結論の方から見ていくと、そのような場合(2013年のSuica事案)は、匿名加工情報に該当し得ないということでよいと思われる。なぜなら、まず、文献2の座談会で、向井審議官によってそのことが示唆されているからだ。

森 生年月日はこのぐらい丸めなさいとか、40代とかにしなさいとか、住所は市区町村までとか、そういうこととの合わせ技で匿名加工情報になり得るということでしょうか。

向井 どこまでかというのは非常に難しくて、何をどうやればいいのかというのは、イメージとしてはそのようなところです。匿名加工情報の定義(2条9項)からも明らかなように、仮名化だけでよいということとはされていません

(略)

森 加工方法については、先ほど「仮名化では不十分」というご説明がありました。「匿名加工情報は個人情報ではない」ということの意味について、これまで、\質上完全に個人情報でなくなっている必要があるのか、それとも、匿名加工情報として括りだしたものと、匿名加工前の情報の照合が36条5項で禁じられることにより、匿名加工情報は個人識別性を失っているという評価を受けるだけなのか、どちらかよく分からないと思っておりましたが、基本的には前者であるということかと思います。そうであるならば、匿名加工情報の制度には、これまで規制の対象ではなかった情報を規制対象とする側面がありますから、規制緩和ではなくグレーゾーンの解消であるということをはっきりさせておく方がいいのではないかと思います。

宇賀克也・大谷和子・寺田眞治・長田三紀・向井治紀・森亮二, 座談会 個人情報・マイナンバー法改正の意義と課題, ジュリスト 2016年2月号, 19頁〜20頁

この座談会は話が噛み合っていない部分も見受けられるので読解に注意が必要だが、この部分では、匿名加工情報はその定義からして「仮名化だけでよいということとはされていない」と向井審議官が述べている。ここで、「仮名化」というのが何なのかが問題となる。

実は、「仮名化で匿名加工情報となり得るのか」という問いは、我々(私と鈴木正朝先生)が、向井審議官と瓜生参事官(IT総合戦略室、当時)に何度か問いかけていた*9ものであり、その際に、「仮名化といってもいろいろある」と言われたので、私からは次のようにその趣旨を説明している。

「ここで言っている仮名化は、正確にはいわば『k=1の仮名化』のことだ。氏名を削るか他の識別子に置き換えることが一般的な意味での仮名化であるが、その全ての場合を指しているわけではなく、加工後のデータがレコード単位で元データと1対1対応するものである場合を『k=1の仮名化』とここでは呼んでいる。消費者庁のワインを飲む・飲まないの例示のように、1対1対応しないデータの場合のことは指していない。」

そのような経緯があるので、向井審議官は、「仮名化」について同じ認識の下で、このような座談会での発言をされたのだと思う。*10

とはいえ、そうとは限らない可能性もある。座談会のこの会話は、よく見ると、直前で生年月日と住所を丸める例示があったのに対して、「イメージとしてはそのようなところです。」と応じていることから、「仮名化だけでよいということとはされていない」という発言の意味が、「単に氏名を削っただけでは足りず、生年月日や住所も丸めなくてはならない」という意味だとも取れなくもない。

向井審議官の発言趣旨は、11月の「ゲノム情報医療等実用化推進タスクフォース」での発言内容からも窺うことができる。2015年11月23日の日記「ゲノム情報医療等実用化推進タスクフォースを傍聴してきた(パーソナルデータ保護法制の行方 その19)」に書いたように、向井審議官は、「個人情報とは何かが意外と世の中で誤解されている。」「名前を抜けば個人情報じゃなくなるんじゃないかと考えられる方がおられるが、決してそうではない。」と強調し、ゲノム指針の規定ぶりは個人情報保護法とは異なる個人情報定義を用いていると指摘していた。

その結果、その後のタスクフォースの「改正個人情報保護法におけるゲノムデータ等の取扱いについて(意見とりまとめ)」において、「「ヒトゲノム・遺伝子解析研究に関する倫理指針」等の見直し」が示されることとなった。

これは、医療分野でこれまで用いられてきた「連結可能匿名化」や「連結不可能匿名化」の概念*11について、一部の指針(その一つがゲノム指針)において、「連結可能匿名化」や「連結不可能匿名化」したデータは「個人情報でない」と書いてしまっているものがあり、それを是正するものとみられる。

「連結可能匿名化」は、対応表を提供元が保持しているケースなので、2013年の消費者庁の見解の時点からして、「個人情報でない」は誤りだということになっていたし、「連結不可能匿名化」についても、データセットによる照合が可能なデータの場合(医療分野ではほとんどの場合がそれに該当すると思われる)は、同様に「個人情報でない」は誤りだ*12ということが明らかになってきた。

向井審議官のタスクフォースでのこの発言は、「連結可能匿名化」に限定せず、「連結不可能匿名化」を含めて指摘したものであり、ジュリストの座談会における「仮名化だけでよいということとはされていません」との発言と同趣旨だと思う。タスクフォースでは、「連結可能匿名化」や「連結不可能匿名化」を匿名加工情報として扱うという話は全く出ておらず、「連結可能匿名化」は匿名加工情報となり得ず、「連結不可能匿名化」についてもデータが詳細な場合には匿名加工情報となり得ないことが、すでに関係者の間で共通認識となっていることが窺える。

そもそも、我々が「仮名化で匿名加工情報となり得るのか」という問いかけをしつこくしていたのは、医療分野のデータが匿名加工情報となり得るのかを心配していたためであった。なり得ないとの解釈となった場合、医療分野での利活用をどのようにして実現していくのか、別の立法措置が必要になると考えていた。5月の意見交換の席でも我々はそのように意見を申し述べていたのであり、向井審議官もそのことを承知であるはずである。

このような経緯から、ここは根幹に関わる大変重要な論点であるので、鈴木正朝先生が、8月1日の第15回行政法研究フォーラムの席で、登壇された瓜生参事官に対して会場から質問を投げていた。このときの様子が、法律時報2016年1月号に掲載(文献3)された。

(3) 匿名加工情報の範囲、とりわけ個人情報との境界線について

鈴木正朝氏(新潟大学)から、仮名化データは個人情報に当たるか、匿名加工情報は非個人情報か、F震床湛情報の定義にある「当該個人情報を復元することができないようにしたもの」(改正個人情報保護法2条9項)という要求の中には、「擬似ID」の削除や「単射性(1対1対応)」の喪失も含まれると解されるか、ご蕁∋慳罅虹彩等の映像情報から算出された「特徴量情報」単体(当該映像情報を消去したもの)は個人情報に当たるか、という4点にわたる質問が出された。これに対し報告者である瓜生和久氏(経済産業省、報告時・内閣官房)からは、仮名化データでも個人識別・照合可能であれば個人情報に該当する、匿名加工情報はもとより個人情報に該当しない、F震床湛された個人情報でも、技術的に元の名前の復元が可能なものであれば、当該加工情報は依然として個人情報に当たる、て団量情報もそこから個人が識別可能であれば個人情報に当たるとの回答がなされた。

質疑応答の概要(小特集・第15回行政法研究フォーラム 個人情報の保護と利用変革と課題), 法律時報 88巻1号, 87頁

これで明確になったと言えるだろう。「仮名化データでも個人識別・照合可能であれば個人情報に該当する」と答えられているので、「k=1の仮名化」は匿名加工情報となり得ないということであろう。「照合可能」というのが、データセットによる照合を含むかが問題となるが、「「単射性(1対1対応)」の喪失も含まれると解されるか」との問いに対して、これを否定せず、「技術的に元の名前の復元が可能なものであれば、当該加工情報は依然として個人情報に当たる」と答えられているので、データセットによる照合を「照合可能」な場合として肯定したものであろう。

以上で結論は出ていると思うのだが、こうした論点が、12月に出版された文献1には書かれていない。文献1の匿名加工情報に関する記載内容は、無難なところをさらっと述べているだけで、肝心のことが書かれていない。これは、担当室の方々も整理しきれていないためではないかと推察する。

その原因は、先に示した、本シリーズ「後編」で検討する予定の、「匿名加工情報は、そもそも、作成に用いた個人情報と照合することが禁止されておりますので、容易照合性は認められないと私どもは解釈しております。」をどう整理するかが決着していないためであろう。

「後編」では、この論点を整理し、「k=1の仮名化」は匿名加工情報となり得ないという結論の妥当性の理由付けを提案する。また、そもそもこのような結論の解釈とすることでよかったのか、振り返って私見を述べようと思う。

参考文献

  • [文献1] 瓜生和久編著, 一問一答 平成27年改正個人情報保護法, 商事法務, 2015年12月
  • [文献2] 宇賀克也・大谷和子・寺田眞治・長田三紀・向井治紀・森亮二, 座談会 個人情報・マイナンバー法改正の意義と課題, ジュリスト 2016年2月号(No.1489), 2016年1月
  • [文献3] 亘理格・佐伯祐二・村上裕章, 質疑応答の概要(小特集・第15回行政法研究フォーラム 個人情報の保護と利用変革と課題), 法律時報 88巻1号, 86-87, 2015年12月
  • [文献4] 第二東京弁護士会情報公開・個人情報保護委員会編集, Q&A 改正個人情報保護法, 新日本法規, 2015年10月
  • [文献5] 個人情報保護法の改正(2015年)に関する内閣法制局への全条文に関するご説明資料の最終版(改正部分が全てわかる資料), 平成27年閣副第1197号(行政文書開示決定通知書)
  • [文献6] ビッグデータビジネスにおける個人情報の容易照合性についての考察, 情報ネットワーク・ローレビュー 13巻2号, 1-14, 商事法務, 2014年10月

*1 もっとも、「義務付けられる」というのは正しくないし、これによって初めて可能になるわけでもない。その点は前回の「前編」に書いた通り。

*2 日経新聞は、一連の制度改正に向かうことになった直前の2012年11月から誤報を垂れ流しており、そのときはGoHoo(日本報道検証機構)に「日経「個人情報売買解禁」 実際は「個人情報匿名化」と書かれていた。

*3 このことは、2014年4月23日の日記「現行法の理解(パーソナルデータ保護法制の行方 その2)」の第9節「9. 現行法の不完全性(改正による仕切り直しへ)」で述べている。

*4 この規定ぶりは、情報公開法6条2項の部分開示の規定にある「当該情報のうち、氏名、生年月日その他の特定の個人を識別することができることとなる記述等の部分を除くことにより、」とは異なっている点に注意。二郎本のような胚芽様の部分を除去する発想は、情報公開法6条2項の部分開示規定に近い。部分開示では「……識別することができることとなる記述等の部分を」となっているのに対し、匿名加工情報定義の1号は、単に「……に含まれる記述等の一部を」となっているのだから、これは、胚芽様の部分に限られず、個人情報の全体が削除・置き換えの対象となることを意味する。誤解を招きやすいのは、2号の方では、「個人識別符号の全部を削除すること(当該個人識別符号を……他の記述等に置き換えることを含む。)」となっていて、情報公開法の部分開示規定に近いことから、1号も同様だと早とちりしてしまう面があるのかもしれない。なお、情報公開法の部分開示では、胚芽様の部分を除くだけで常にOKとしているわけではなく、「公にしても個人の権利利益が害されるおそれがないと認められるときは」との条件が付いているのであり、無条件に提供が許される匿名加工情報とは前提が異なっている点にも注意したい。

*5 条文が「一部又は全部を」とは書かれておらず、「一部を」となっていることから、全部を対象とするのは想定していないのでは?という疑義があるかもしれない。それでも、論理的には「一部を……する」という規定は「全部を……する」場合を含むという解釈をすることができるようにも思えるが、どうか。

*6 例に生年月日を示すのは誤解されそうだが、ここは様々な履歴データのグルーピングを含む話のはずだ。

*7 電波法109条の2との対比は、3月28日の情報法制研究会第1回シンポジウムで、板倉陽一郎弁護士の講演でも言及されている。

*8 同様の趣旨の質疑が、平成27年5月15日 衆議院内閣委員会第6号(文献1のQ24と同じ内容)と、平成27年5月28日 参議院内閣委員会第10号にもある。

*9 1回目は、1月21日の研究会の席(法案が固まる直前の時点)で、匿名加工情報の規定はどうなりましたかと問う中で、仮名化しただけのものも結局入ることになったのか、「入るのですよね?」という問いをした。このときの様子は、本シリーズの「前編」でも、「モデル2-△盪弔辰討い襪里どうかを尋ねたところ、残っているというような様子だった。」として触れている。2回目は、5月11日に向井審議官及び担当室の方々と意見交換の機会を頂いた際に、修正試案(「前編」参照)の必要性を説明する中で、「このように修正しなければ、仮名化しただけのデータが匿名加工情報となり得なくなってしまう。」という趣旨で指摘をした。修正試案は、仮名化しただけのデータも法律上は匿名加工情報に該当するものとし、委員会規則によって、分野や場面に応じて、仮名化で足りるとする場合を設けたり、仮名化だけでは足りないとする場合を設けられるようにするという構想だった。

*10 座談会の別の部分(19頁)では、「JR東日本のSuica乗降履歴販売の話などは、本人同意をもともと取ろうと思えば取れる話なのです。」との発言があるので、2013年のSuica事案のケース(氏名は削除されていたが、履歴データはそのままだった)を匿名加工情報として認めるものではないという前提で話されている様子が窺える。

*11 2014年9月7日の日記「医学系研究倫理指針(案)パブコメ提出意見(パーソナルデータ保護法制の行方 その10)」参照。

*12 その意味で「連結不可能匿名化」という用語は誤解を招くものである。この用語が言う「連結不可能」というのは、単に対応表を残さないという意味でしかなく、実際に連結が不可能なのかはデータの詳細さによるわけである。ここは、「連結可能匿名化」ではないものという意味で、「非連結可能匿名化」とでも呼ぶべきものだったと思う。

検索

<前の日記(2015年12月12日) 次の日記(2016年02月05日)> 最新 編集

最近のタイトル

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|
<前の日記(2015年12月12日) 次の日記(2016年02月05日)> 最新 編集