高木浩光＠自宅の日記

■ 匿名加工情報は何でないか・前編の2（保護法改正はどうなった その4）

前編の後半「匿名加工情報の定義に該当するからといって36条〜39条の義務が課されるわけではない」で書いた論点が、ジュリストの座談会（文献1）で話題にあがった。また同趣旨の議論が、森亮二弁護士による法律時報2016年1月号掲載の記事（文献2）とNBL 2016年2月号掲載の記事（文献3）でも論じられた。これらを参照してこの論点を確認しておく。

「委員会規則の基準で作成したもののみが匿名加工情報となる」では解決しない

ジュリストの座談会には次のやりとりがある。

森 統計情報にまでなっていない匿名化を施した個人情報についてはいかがでしょうか。個人との対応関係が十分希薄になっているか否かで、ものによっては匿名加工情報にはいってきてしまうような考え方は事業者にとっては厳しいのではないかと思います。36条1項（個人情報保護委員会規則の基準に従って加工する）と3項（作成時に一定の事項を公表する）は、匿名加工情報作成者の義務のような形で規定されていますが、この二つまたはどちらかを匿名加工情報作成の要件と考えることができれば、よかったのではないでしょうか。国会答弁では匿名加工情報として事業者が公表した場合だけが匿名加工情報になるようなご説明もあったと思いますが、いかがでしょうか。

向井 個人情報を非個人情報にするためにどういう加工を施せばいいのかは、現行法の解釈上一義的に明らかとはしていません。また、事業者ごとに取り扱っている情報が違う。含まれている項目も違いますので、加工の方法、残し得る情報の項目というのは変わってきます。それは、現行の個人情報保護法における統計情報の扱いも同様であったと思います。

今回の改正では、その点に配慮しつつ、加工基準等の取扱いルールを明確化することによって、事業者における判別がつくようにしています。また、匿名加工情報を作成するに当たって、個人情報取扱事業者には適正加工義務（36条1項）が課せられていますので、その意味では法律・規則等に従おうという意思が無ければ作成は難しいのではないか、と考えています。

森 なるほど、36条1項（個人情報保護委員会規則の基準に従って加工する）を定義に読み込むような考え方でしょうか。

寺田 個人情報から匿名加工情報を作って、これが統計情報の場合は、統計情報であってもそれは匿名加工情報になるのですか。

向井 あまり想定されませんが、匿名加工情報を作成しようとしたとしても、統計情報は統計情報であって、個人情報保護法の保護対象外ということです。

宇賀克也・大谷和子・寺田眞治・長田三紀・向井治紀・森亮二, 座談会 個人情報・マイナンバー法改正の意義と課題, ジュリスト 2016年2月号, 19頁

どうにも話が噛み合っていないが、森亮二弁護士は、「匿名加工情報の定義に該当するからといって36条〜39条の義務が課されるわけではない」件について、どういう法解釈をすればそのように辻褄を合わせられるのかを向井審議官に確認しようとしている様子である。話が噛み合っていないのは、推測するに、座談会ではそれなりに会話が繋がっていたものが、不用意な発言は残せないために編集時にカットされているからではないだろうか。

向井審議官の「法律・規則等に従おうという意思が無ければ……」は、もしかすると、座談会の場では「……意思が無ければ定義に該当しない」という趣旨の発言だったかもしれない。しかしそんな法解釈はやはり無理があるので、編集段階で、「……意思が無ければ作成は難しい」という、当たり前で無意味な文ともとれるものに差し替えられたのではなかろうか。

森先生の続く発言は「なるほど」となっているが、どう「なるほど」なのか。「……意思が無ければ作成は難しい」という発言を、「意思が無ければそれを作成したことにはならない」という意味で受け取ったのか。「36条1項を定義に読み込む」というのは、基準に従った作成の意思がある場合にのみ定義に該当するという解釈方法を提示し、そうなのか？と問いかけたものと思われるが、続く会話は別の話題になってしまっている。

ジュリストではここまでである*1が、法律時報2016年1月号の森弁護士の記事（文献2）で、次のように具体的に問題提起されている。（同一の文章が文献3にもある。）

(2) 課題――定義と義務発生の時期について

事業者において匿名加工情報を作成する意図がない場合でも、匿名加工情報を作成したこととなり、作成者の義務を負うのではないかとの疑問が提起されている9)。これは、匿名加工情報の定義が上記のとおり抽象的なものであることによる。すなわち、定義は、（略）とするに留まるものであり、いかなる方法でどの程度匿名化するのかについての具体的な指定を欠いている。この匿名加工手法について、委員会規則で定める等の規定ぶりもあり得たところ、そのようにはなっていない。簡単にいえば、この定義は、「匿名加工された個人情報」というものであり、「委員会規則に定められるところにより匿名加工された個人情報」ではないのである。そのため、ここには匿名加工された様々な情報が含まれうる。たとえば、事業者が業務の通常の過程において個人情報の取扱いの委託に際して安全管理措置として匿名化を行う場合に、その匿名加工された情報が匿名加工情報にあたると解することは不自然ではなく、法文上、このような事業者は匿名加工情報の作成者が負うべき義務を負うことになり得るのである10)。

このように前記の疑問には、理由があるのであり、事業者の正常な業務運営を阻害しないような解釈がもとめられるところである。

（略）

仮に、政府参考人答弁のとおり公表によってはじめて作成者の義務が発生するのであれば、事業者自身が手元で匿名化しようとした情報を、匿名加工情報であるものとするか、そうでないものとするか、事業者自身の裁量で決めることができるのであるから、この疑問は完全に払拭されることとなる。もっともこの解釈は、匿名加工情報作成者の義務として、つまり匿名加工情報がすでに作成されていることを前提として規定された36条3項の規定を読み替えて、これを匿名加工情報の定義に含めるものと捉えることになる。また、同項の公表義務は、作成と同時に履行されるという若干不自然なことにもなる。

この点に関するもう一つの方法は、やはり作成者の義務として規定された匿名加工方法に関する義務（新36条1項）を定義に含める解釈である。この場合、委員会規則で定めた基準によって作成したもののみが匿名加工情報となる。文理を離れることは公表義務を定義に含める場合と同じである。こちらの方が自然な解釈であるが、公表義務を定義に含める方が事業者にとっての利便性は高いであろう。

森亮二, 個人情報の保護と利用 ――法整備における課題――（小特集・第15回行政法研究フォーラム 個人情報の保護と利用変革と課題）, 法律時報 88巻1号, 83頁

森先生は、公表によって作成者の義務が発生するという解釈は不自然であるから、別の解釈案として、「委員会規則で定めた基準によって作成したもののみが匿名加工情報となる」という提案をされている。

しかし、その案では問題は解決しない。なぜなら、たまたま使用した加工アルゴリズムが「委員会規則で定めた基準」を満たすものである場合に、作成者としての義務がかかってしまうからである。

これが実際に問題となるのは、前編で述べたように、第三者に提供するわけでもなく、事業者内で目的外利用するわけでもなく、事業者内で目的内で利用するために加工する場合である。そのような加工はごく普通に行われるし、また、最終的に統計値に集計する途中段階としてそのようなデータ加工も行われる。そのような場合に際して、公表義務（36条3項）や再識別禁止義務（36条5項）、加工方法の漏えいを防止する安全管理措置義務（36条2項）を負わせるというのは、明らかに無用な規制であり、まったくばかげているとしか言いようがないのだから、そうならないための解釈が求められている。

やはり、国会でも出ていたように、「法律上の匿名加工情報を作るんだという意思を持って加工したものが匿名加工情報である」という解釈（前編参照）をとるほかないのではないか。

12月末には改正法の立案担当者らによる公式的な解説書（文献4） が出版されたが、この論点にまったく触れていない。問題の指摘は国会でなされていたのだから、答えを示さないのでは、無責任のそしりを免れないだろう。

十分に低減する加工をしたものは匿名加工情報に当たらない

ジュリストの座談会に戻ると、上で引用した部分の直前では、「個人情報を加工して統計情報を作成した場合、匿名加工情報の定義に該当すると読めるのではないか」について議論されている。

宇賀 統計情報は、個人識別性がなく個人情報に該当しないため、現在、個人情報保護法の規制を受けていませんが、個人情報を加工して統計情報を作成した場合、匿名加工情報の定義に該当すると読めるのではないかとの指摘もなされています。個人との対応関係がきわめて希薄な統計情報について、新たに匿名加工情報についての規律が及ぶと過剰規制にならないかとの懸念も示されていますが、この点については、いかがでしょうか。

向井 統計情報を作成する場合、個人情報を加工することが多いと考えられ、匿名加工情報の定義と重複するところがあるためにご懸念が生じているものと受け止めています。個人情報を加工した結果、個人との対応関係がきわめて希薄なものとなっていれば、「個人に関する情報」ではない。すなわち個人情報でも匿名加工情報でもない（2条1項・9項参照）ものとして、個人情報保護法の適用対象外となります。ご懸念については、今後、ガイドライン等で明確化することで払拭してまいりたいと思います。

森 統計情報にまでなっていない匿名化を施した個人情報についてはいかがでしょうか。（略）

（略）

寺田 個人情報から匿名加工情報を作って、これが統計情報の場合は、統計情報であってもそれは匿名加工情報になるのですか。

向井 あまり想定されませんが、匿名加工情報を作成しようとしたとしても、統計情報は統計情報であって、個人情報保護法の保護対象外ということです。

寺田 そうすると、そこの閾値みたいな部分は、はっきり決めないといけないですね。

向井 はっきり決められるかどうかは別として、仮名化を施すだけでは、その人物の属性情報がかなり残っていますので、元のデータすべてを戻すことはできないとしても、ある程度のものまでは分かり得ると考えます。そのような加工のレベルでは、問題があるのではないかと思います。（略）

宇賀克也・大谷和子・寺田眞治・長田三紀・向井治紀・森亮二, 座談会 個人情報・マイナンバー法改正の意義と課題, ジュリスト 2016年2月号, 19頁

この懸念は、2014年7月7日のOpenIDファウンデーション・ジャパン主催のセミナーの席で指摘していた。その様子は日経IT Proで報じられている。

• パーソナルデータ法改正、「不要な規制や、保護すべき情報に規制ない状況も」, 日経IT Pro, 2014年7月8日

  高木浩光・産業技術総合研究所主任研究員は、政府のIT総合戦略本部が公表したパーソナルデータ法改正の大綱について「必要のない規制がかかる一方、本来保護するべき情報には規制がかからないという状況になりかねない」と指摘した。（略）

  具体的に問題となる例として、高木氏は商品の販売記録のデータを挙げた。顧客が同時に購入した商品のデータなどは現行法でも問題なく活用されているものの、元データが内部で個人情報にひも付いていると個人特定性低減データに該当して規制が強化されてしまうと指摘。プライバシー保護を求める立場からは不要な規制という。

  技術検討ワーキンググループ（WG）の報告書では、個人特定性低減データへの最低限の加工方法は定義できず汎用的な基準もないとしている。だが高木氏は「十分に低減したデータ」の基準が議論されていないとして、「これさえやればよいと明確になれば産業界は困らないのではないか。そもそも低減データなる概念はいらないのではないかさえ思う」と述べた。

このときは図1のスライドを用いていた。

図1: 2014年7月7日のセミナーで示したスライド

「ニッポンの個人情報」でもこの図を用いて説明していた。

図2: 「ニッポンの個人情報」より

この指摘は向井審議官に届いていた様子で、2014年11月28日の日経コンピュータ主催のセミナー「プライバシーSummit Japan」で、パネル討論に向井審議官とご一緒したとき、十分に低減したデータは「個人に関する情報」に当たらないとすることで解決した（つまり、匿名加工情報は「個人に関する情報」として定義することになった）と聞かされたのを記憶している。

そこでやや疑問に思ったのは、「個人に関する情報」とは何だろうかという点である。当時その時点までの私の理解では、「個人に関する情報」は一人ひとりの情報を指す（すなわち、識別非特定情報と識別特定情報を指す）ものと理解していたが、どうやらそうとは限らないようだった。数人の個人についての情報であっても「個人に関する情報」ということらしい。いまいち納得しがたいが、できた法律の2条9項が、「この法律において「匿名加工情報」とは、（略）加工して得られる個人に関する情報であって、当該（略）ようにしたものをいう。」となったのだから（かつ、「k=1の仮名化」では匿名加工情報となり得ないのだから）、そうだと理解するほかない。

そこを区分する基準がどうなるかわからないものの、法律上の用語定義としては一応の決着だった。

こちらの論点については、立案担当者らによる公式的な解説書（文献4）にきっちりと書かれた。

Q23 匿名加工情報に関する規定を設けたのは、どのような理由によるものですか。また、匿名加工情報は個人情報とは違うものですか。

A （略）

4 なお、統計情報（注2）については、「個人に関する情報」とはいえないことから、改正前の本法において規制の対象外と整理されていることを踏まえて、今回の匿名加工情報に関する制度を運用するに当たっても同様に、個人情報保護委員会は、統計情報が本法の規制の対象とはならないようその運用を行う必要があります。

（注2）統計情報の中には、人数分布のように個人情報を基にしているものがあり、これが匿名加工情報に該当し、規制の対象となるのではないかとの不安の声がありました。このようなものは、個人情報に加工を施すことにより、複数人の情報を合わせて数量的に把握するものであって、情報を構成する共通要素に係る項目を抽出し、同じ分類ごとに集計して得られるデータであることから、個人との対応関係が排斥され、匿名加工情報として想定する情報以上に個人との関係が希薄となっています。したがって、統計情報は、個人情報でも匿名加工情報でもなく、本法の規制の対象とはなりません。

瓜生和久編著, 一問一答 平成27年改正個人情報保護法, 商事法務, 40頁

この「注2」の言っていることは、k≧2のいわゆる「全部黄色のk-匿名化」（グルーピング）をしたデータでも同じことが言えそうに思われるのだが、そこの区別はどうするのであろうか。

それはともかく、この解説は、図らずも、経産省Q&AのQ45を肯定したものとなっており、朗報である。

経産省Q45の重要性については、利用目的変更のオプトアウト方式の導入を阻止する際（2015年1月5日の日記参照）に散々言いつづけたことであり、2015年3月8日の日記で書いた「どうすればよかったのか（第1、第2の策）」で、「経産省Q&Aの「Q45」が言っている、「統計データへの加工の過程を利用目的とする必要はない」とする見解を、正式にガイドライン（告示）とすればよい。 」と主張していたが、なかなかそこを誰も明示的に同調してくれることがなかった。

それが、このように別の形で、公式な解説書で示されることとなった。経緯は異なるが、「統計情報は、個人情報でも匿名加工情報でもなく、本法の規制の対象とはなりません。」というのは、統計値への集計の入力とすることが個人情報の利用に当たらないとする経産省Q45と、同じことを言っている。これはもっと知られるべきだ。

ところで、匿名加工情報と統計情報を区分する基準をどうするのかが先送りになっているわけだが、これは、今になってみると、決めなくても問題とならないことに気づいた。

なぜなら、そもそも、上の前半の論点から、どのみち「法律上の匿名加工情報を作るんだという意思を持って加工したものが匿名加工情報である」という解釈をとるほかないのだから、統計情報として保護法の規制が係らないようにするには、「法律上の匿名加工情報を作るんだという意思を持って加工」しなければよい（通常、普通にしていればそうなる。）と言えるからだ。

つまり、後半の論点は、実は前半の論点に吸収されてしまっているのである。

参考文献

• [文献1] 宇賀克也・大谷和子・寺田眞治・長田三紀・向井治紀・森亮二, 座談会 個人情報・マイナンバー法改正の意義と課題, ジュリスト 2016年2月号（No.1489）, 2016年1月
• [文献2] 森亮二, 個人情報の保護と利用 ――法整備における課題――（小特集・第15回行政法研究フォーラム 個人情報の保護と利用変革と課題）, 法律時報 88巻1号, 80-85, 2015年12月
• [文献3] 森亮二, 実務解説 平成27年改正個人情報保護法 第3回 利活用のための改正, NBL No.1067, 31-37, 2016年1月
• [文献4] 瓜生和久編著, 一問一答 平成27年改正個人情報保護法, 商事法務, 2015年12月