<前の日記(2016年03月14日) 次の日記(2016年04月06日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 3390   昨日: 4173

2016年03月27日

行政機関匿名加工情報取扱事業者に再識別禁止の義務はかかるのか(パーソナルデータ保護法制の行方 その21)

前々回の「行政機関法では匿名加工情報が個人情報に当たるですって?」で書いていた、行政機関等が保有するパーソナルデータに関する研究会の最終報告書「行政機関個人情報保護法・独法等個人情報保護法の改正に向けた考え方」が公表された翌日、行政機関法の改正法案*1が閣議決定され、国会に提出された。

有意義な制度が誕生する予感

これは画期的な法案だと思う。去年成立した個人情報保護法の改正法では、民間部門に匿名加工情報の制度を設けたものの、その必要性が疑われるものとなってしまった*2のに対し、行政機関の匿名加工情報の制度は、非個人情報の提供にすぎない点では民間部門と共通であるものの、行政機関が自ら提案の募集をしなければならない点で、全く異なる性質のものだ。(独立行政法人もこれに同じ。)

正直ここまでやる気があったとは予想外だった*3一昨年12月の情報ネットワーク法学会のパネル「プライバシー・パーソナルデータアップデート」(動画)の席で、私は次のように述べていた。

板倉 (略)高木さんはほとんど傍聴に行かれていたと思いますが、何かこの研究会についてご感想があればお願いします。

高木 今、最後に石井先生からご指摘のあった、「提供しなければならない」ということがなぜ入っているかという部分は、研究会を傍聴していたところ、松村先生……。

板倉 松村雅生先生でしょうか。

高木 情報公開法の先生がおっしゃるには、結局、これはオープンデータとして活用していくことを推進するためだけども、行政に対して「利用できる」という形で個人情報保護法に穴開けをして、「やっていいですよ」としたところで、行政はやりはしないだろうと。オープンデータを推進するのであれば、「しなければならない」としないと、誰もやらないという指摘がありました。

それから、情報公開法の延長で、オープンデータ的なものができるかという話がありました。つまり、事業者が「こんなデータが欲しい」ということを行政機関に求めたときに、今の情報公開法の考え方では、情報をいじってはいけない。消すことについては一部隠すことはできるが、それ以外はそのまま出さなければいけないという制度ですから、統計化してほしいとか、k-匿名化して半生データが欲しいというような要求に対して、法の趣旨からして加工してはならないので、そういうのは成り立たないのだということで、そういう本当にやりたいことが、どちらの制度でも実はできないのではないか、という議論がありました。そのことがそのまま書かれているのだと思います。

私の意見としては、本当にオープンデータをやりたいのであれば、むしろオープンデータ推進基本法なりを作ってやらないと、この議論の延長ではできないというふうに思いました。

情報ネットワーク・ロレービュー講演録編, 第14回研究大会講演録, 190頁

これが本当に実現されることになった。オープンデータ法ではなく、保護法に盛り込まれたところには違和感があるにしてもだ。行政機関も独立行政法人も、情報公開と個人情報保護を担当してきた部署が、提案の募集と、提案の審査、匿名加工の発注と、受領者との契約など、これまになかった業務をこなさなくてはならなくなるわけで、その覚悟ができたことに驚いた。

また、昨年10月20日の日記「行政機関等パーソナルデータ制度改正に対するパブコメ提出意見」で示していた「意見2」の願いは叶った。この「意見2」は、匿名加工のソースとする元データは、散在情報の保有個人情報を対象とせず、個人情報ファイルを構成する保有個人情報に限るべきとしたものであったが、改正法案では、「行政機関匿名加工情報」*4の定義(2条9項)で、「次の各号のいずれにも該当する個人情報ファイルを構成する保有個人情報(略)の全部又は一部を加工して得られる匿名加工情報をいう。」とされたので、期待した通りとなった。

名称変更の謎

しかし解せないのは、「匿名加工情報」だったはずの用語が、どういうわけか、「非識別加工情報」などという別の名前になっており、名前を変える理由が謎になっていることだ。国会提出後に新旧対照表と同時に公表された「概要」の資料では、図1のように「匿名加工情報」のままとなっており、何か不測の事態が起きたように見える。

PDFの資料の1ページ
図1: 法案の「概要」の資料では「非識別加工情報」ではなく「匿名加工情報」と書かれている様子

この資料に、「個人の権利利益を侵害することにならないよう、民間事業者と行政機関等の双方に必要な規律を課す」とあるように、双方に義務を課すのだから、同じ名前でないと辻褄が合わないように思える。

民間事業者に規律を課すとあるが、今回の改正案に、民間事業者に再識別禁止の義務を課す新たな規定は含まれていない。行政機関個人情報保護法に民間事業者の義務を規定することを避けたのであろうか、どうやら、昨年の改正法で改正される個人情報保護法の38条(識別行為の禁止)でそれを拾う趣旨のようである。

今回の改正法は、個人情報保護法38条も改正するものとなっており、その改正部分は以下の下線部の挿入である。

(識別行為の禁止)
第38条 匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第36条第1項、行政機関の保有する個人情報の保護に関する法律(略)第44条の10第1項(同条第2項において準用する場合を含む。)若しくは独立行政法人等の保有する個人情報の保護に関する法律第44条の10第1項(同条第2項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。

この挿入部分は、取得を禁じようとする「36条1項の規定により行われた加工の方法に関する情報」に、行政機関法と独法法の規定で行われた加工の方法に関する情報も加えるという趣旨であり、それを超える意味はなさそうである。(ここに、「行政機関法2条8項の非識別加工情報を取り扱う場合もこの規定の◯◯を◯◯と読み替えて準用する。」といった規定があるわけではない。)

ここで疑問となるのが、行政機関法でいう「匿名加工情報」と、個人情報保護法でいう「匿名加工情報」は同一の概念なんだろうかという点である。

行政機関で作成した匿名加工情報(非識別加工情報)が提供されるとき、受領者には「匿名加工情報」の取扱いについて、再識別禁止の義務がかからなくてはならない。再識別禁止義務を前提として提供するのが匿名加工情報制度の元よりの趣旨であるからだ。

法案では名前が「非識別加工情報」となっていて、別の概念ではないかという疑義が生じるところ、別の概念であるとすれば、「非識別加工情報」の受領者に再識別禁止の義務がかからない場合が存在することになりかねない。

定義の内容が同じものを指しているか

名前の問題は置いておくとしても、それぞれの法律で定義された語が指す概念が同一のものであれば、再識別禁止義務は課されるということもできるだろう。

では、両者の定義は同一の概念を指しているのか。以下は、今回の改正法で規定される行政機関法の「匿名加工情報」(非識別加工情報)の定義と、昨年の改正法で規定される民間部門の「匿名加工情報」の定義を並べたものである。両者の違いは、下線部の括弧書き2つが挿入されている点のみである。

行政機関個人情報保護法
第2条
8 この法律において「非識別加工情報」とは、次の各号に掲げる個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。以下この項において同じ。)の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができない(個人に関する情報について、当該個人に関する情報に含まれる記述等により、又は当該個人に関する情報が他の情報と照合することができる個人に関する情報である場合にあっては他の情報(当該個人に関する情報の全部又は一部を含む個人情報その他の個人情報保護委員会規則で定める情報を除く。)と照合することにより、特定の個人を識別することができないことをいう。第44条の10第1項において同じ。)ように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

個人情報保護法
第2条
9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

1つ目の「(……もの(……ものを除く。)を除く。)」という二重の除外の括弧書きは、この法案で他のところでも何度も出てくるフレーズで、カオス感を醸し出しているが、これは、行政機関法の中でありながら、「個人情報」の語義を一時的に(「この項において」)民間部門の「個人情報」と同じにするという趣旨であろう。研究会がこだわっていた点である。民間部門と行政機関とで「個人情報」の定義が「容易に」の有無という点で異なるため、行政機関法の「個人情報」から照合による識別部分を除いた上で、容易照合による識別部分を戻すという規定となっている。

しかし2つ目の括弧書きが解せない。「委員会規則で定める情報を除く。」とあるので、委員会規則で範囲を調整できるようになっている。これはいったいどういう意図があるのだろうか。

2つ目の括弧書きは、「特定の個人を識別することができない」の後ろに「(……により、特定の個人を識別することができないことをいう)」と付いているので、「特定の個人を識別することができない」ことの明確化の括弧書きである。この括弧書きで何かを足したり引いたりしているわけではなさそうである。

そういえば、去年の改正法で、民間部門の「匿名加工情報」の定義においても、「特定の個人を識別することができないように」というのが、照合による識別を含むのか否かが解釈上の論点となっていた*5。もしここが、「特定の個人を識別することができないように加工して(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとならないように加工することを含む。)」と規定されていれば、元データとの照合もできないようにしたものという意味になる。

今改正案のこの括弧書きも、そういうことを言っているようにも見えるが、それならばそのように規定すればよいことであり、委員会規則に委任しているのが解せない。

この定義の趣旨について、日経コンピュータの大豆生田記者による、行政管理局への取材記事が先日出た。

  • 国立病院の医療データを活用できる?行政機関個人情報保護法改正案, 大豆生田崇志, 日経ITPro, 2016年3月22日

    ただし、行政機関個人情報保護法の改正案には、改正個人情報保護法にある「匿名加工情報」ではなく、「非識別加工情報」という新たな言葉が登場する。これについて改正案を提出した総務省は、「匿名加工情報と同じもの」(行政管理局)と説明する。

    あえて異なる名称にしたのは、行政機関個人情報保護法と個人情報保護法の間で「個人情報」の定義が異なるため、「匿名加工情報と差がないように、内閣法制局との議論で法制的に整理したもの」(同)という。総務省行政管理局は、今後の国会での議論に向けて分かりやすく説明したいとしている。

これによると、名前は違うが「匿名加工情報と同じもの」だといい、「匿名加工情報と差がないように」した趣旨であるが、「内閣法制局との議論で法制的に整理した」ことが原因でこうなったらしい。

委員会規則へ委任の謎

同じにするという趣旨はわかったが、条文がそうはなっていない。そもそも、このような丸投げの委任規定は合憲なのかという疑問もわく。

一般に、下位法令への委任規定は、何かしらの例示と共にその趣旨を一定程度規定した上で委任するのが通常だという*6。それなのにこの括弧書きは、照合の対象となる「他の情報」から「除く」とする情報の範囲について、「当該個人に関する情報の全部又は一部を含む個人情報その他の」という範囲で委員会規則で定めるとしているだけであり、範囲は「個人に関する情報」「個人情報その他」と広範なうえ、そこからどのように委員会規則で限定するのかという趣旨が何ら規定されていない。

そのため、例えば、委員会規則で定める「情報」の範囲を最大限にとるならば、照合の対象となる「他の情報」から「個人に関する情報」の全てが除外されることになるので、「措置を講じて特定の個人を識別することができないように個人情報を加工」するときに、元データとの照合による特定個人識別を一切考慮しなくてよいことになり、「k=1の仮名化」*7をしただけの詳細な記述の残るデータであっても、匿名加工情報(非識別加工情報)に該当することとなってしまう。

もしそのようになれば、氏名を黒塗りしただけの詳細な個人に関する情報が、行政機関から民間事業者に事業用途で提供されることになり、かなり深刻なプライバシー侵害が大量に発生する危険性が高まる。これは、情報公開法6条2項の規定により氏名を黒塗りして部分開示することに相当するが、情報公開法6条2項は、ただ単に黒塗りすればOKで開示せよとしているのではなく、「公にしても、個人の権利利益が害されるおそれがないと認められるときは」との個別の判断を求めている。これに対し、匿名加工情報(非識別加工情報)の制度には、提供するファイルの要素1個1個についての個別の判断をせよとする規定が存在しないのであるから、その歯止めがかからず、重大な事態を招きかねない。

また、この場合、「k=1の仮名化」では、元データとのデータセットによる照合*8により、特定の個人を識別できることとなるデータであるから、その行政機関においては依然として個人情報のままであって、目的外で提供すれば行政機関法8条(利用及び提供の制限)に違反することになってしまう。*9

そして、この場合、行政機関の匿名加工情報(非識別加工情報)は、民間部門の匿名加工情報とは、名称が異なるだけでなく、その指している情報の範囲も異なるものということになって、これらは別の概念だということになるから、受領者に再識別禁止の義務がかからない事態となってしまう。

他方、委員会規則で定める「情報」の範囲を最小限にとるならば、照合の対象となる「他の情報」に元データは含まれるままとなって、「k=1の仮名化」では匿名加工情報(非識別加工情報)に該当しないということにできる*10ので、民間部門の匿名加工情報と同じく「匿名加工情報は個人情報でない」という性質を確保でき(常にではないが、その点は後述)、匿名加工情報であれば提供できることになる。

委員会規則の定め方によってこんなにも結果が大きく違ってくるのだから、この丸投げ委任の不適切さは看過できないものだろう。どういう趣旨での限定なのか、民間部門の匿名加工情報と差がないようにというのが趣旨であるなら、それを条文に書き込んで然るべきだ。

というか、それ以前に、そもそも、これは明確化の括弧書きであるのに、委員会規則で変更できるということ自体がおかしい。

研究会報告書と提出法案の関係

このように条文を検討したうえで、前々回の「行政機関法では匿名加工情報が個人情報に当たるですって?」の件を再検討してみると、見えてくることがある。

なお、行政機関等が作成する匿名加工情報は、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものであるが加工に用いた個人情報自体などとの照合により特定の個人を識別することができることから、行政機関個人情報保護法・独法等個人情報保護法の個人情報に当たるものであると考えられる。本研究会においては、加工基準がまだ定められていない中、行政機関等の匿名加工情報が個人情報に該当する場合も検討対象に含めておくべきとして議論をしてきたところであるが、基本的な考え方としては、個人情報に該当しても、個人の権利利益の保護が図られるための規律が設けられ、また、官民の匿名加工情報の流通に支障が生じないのであれば問題は無いものと言えよう。

行政機関等が保有するパーソナルデータに関する研究会, 行政機関個人情報保護法・独法等個人情報保護法の改正に向けた考え方, 2016年3月7日, 13頁

松村構成員にあれだけしつこく論理的矛盾を追求されたにもかかわらず、頑として譲らず、この通り、「識別できないようにしたものだが識別することができるから」などと、直球で矛盾する文章を堂々載せたわけだが、これは、まさに前記の2つ目の括弧書きと関係しているように見える。

これは、「識別できないようにしたもの」と「識別することができる」とで、異なる意味で「識別」の語を用いているのだろう。後者は、この文に「照合により」とあるように、照合による識別を含む意味で言っていて、前者は、照合による識別を含むのか含まないのか曖昧なままとなっている。

この前者の曖昧性については、前記の通り、去年の改正法のときから論点になっていたところで、脚注5の通り、照合による識別を含む(省略されているだけである)と解するべきだというのが私の意見である。ここの政府解釈が定まっていないというのであれば、今改正を通じて明確にするのがよい。

さらに、ここで「照合による識別」と平易な文で述べたが、これも、「容易に照合することができそれにより識別」の意味なのか、それとも、「容易に」なしに「照合することができそれにより識別」という意味なのかという曖昧性がある。つまり、民間部門の「個人情報」定義に沿って「識別できないように」とするのか、行政機関法の「個人情報」定義に沿って「識別できないように」とするのかの違いである。

行政管理局は、定義を民間部門のものと「同じもの」「差がないように」したというのであるから、「容易に照合することができそれにより識別」の意味で「識別できないように」の「識別」を解釈することにするのが自然であるように思える*11。――(A)

そうすると、前者の「識別できないようにしたもの」と後者の「識別することができる」とで、「識別」の意味は、「容易に」の有無の分だけ異なるのであるから、研究会の報告書は、この理屈によって「個人情報に当たるものである」という結論を導き出している(この帰結もおかしいが、一旦置いておくとして)のだと、このように読解することができる。

ところが、国会に提出された法案の条文はそうはなっていない。前記2つ目の括弧書きは、「識別できない」の「識別」の意味を、「容易に照合することができそれにより識別」の意味として明確化してはおらず、どのような照合とするかを委員会規則に委任しているのである。どうしてこうなったのだろうか。

もしここを、「容易に」なしに「照合することができそれにより識別」という意味で「識別できないようにしたもの」としていれば、行政機関法の「個人情報」定義に沿って「識別できないように」の意味となるから、行政機関法における匿名加工情報は、行政機関において個人情報に当たらないこととなる。なぜその道を選択しなかったのだろうか。――(B)

どちらの道も選択せず、委員会規則に委任したというのが全く解せない。もしかして、直前まで人によって言うことが違っていて、決めきれなかったということではないのか。もしこれが図星なら、あんまりだ。

(B)の道を選択した場合どうなるか。行政機関において匿名加工情報は個人情報でないことになって都合がよいが、匿名加工の方法の基準(最低限の基準)が、民間部門のものとは異なることになるので、民間部門に向けて作られる匿名加工基準を行政機関でそのまま使えないことになってしまう。行政管理局はこれを避けたかったのではないか。

また、(B)を選択した場合は、「匿名加工情報」の概念が、行政機関法と民間部門とで異なることになるため、行政機関で作成した匿名加工情報について、受領者に民間部門の再識別禁止義務(改正個人情報保護法38条)が課されるのか、法解釈上怪しくなるという問題もある。

どうすればよいのか

結局、(A)を選択するしかないように思える。その場合に問題となるのは、行政機関では「匿名加工情報」に加工しても「個人情報」である場合があるという点である。

重要なのは、常に個人情報となるのではなく、あくまでも個人情報となる場合の存在が否定できないというだけである。その意味で、研究会報告書の「加工に用いた個人情報自体などとの照合により特定の個人を識別することができることから」という、あたかも常にそうなるかのような書きぶりは不適切である。

どうすればよいかの結論は、実は前々回も書いている。その部分を再掲すると以下である。

民間部門の匿名加工情報は、処理情報的照合性で個人識別性が排除されるので、元データの個人情報ファイルと加工データのファイルとの間で、照合ができないデータになっていれば足りることになるため、k=2のk-匿名化(というかグループ化)によって、加工ファイルは個人情報ファイルに該当しなくなる。

公的部門の匿名加工情報については、加工方法における匿名加工情報該当性判断と、当該匿名加工情報を提供してよいかの判断とで、2段階に分けられる。

加工方法については、民間部門の匿名加工情報と同じであり、元データの個人情報ファイルと、加工データである匿名加工ファイルとの間で、照合ができないデータに匿名加工すれば、匿名加工情報に該当する。ここでは、照合識別要件該当性は処理情報的照合性で判断される。

次に、そうして作成された匿名加工情報のファイルを、いざ提供しようというときには、そのファイルの各要素に、「保有個人情報」に該当するものが残存していないか確認し、存在すればそれを除去する必要がある。そうしなければ、保有個人情報の目的外提供となって行政機関法8条に違反する。ここでは、照合識別要件該当性は散在情報的照合性で判断される。

民間部門にはこの義務がなく、この作業は手間のかかるものかもしれないが、情報公開制度で個人情報ファイル丸ごとに対する開示請求があった場合には、その手間をかけているのだから、行政機関にとってはその延長といえるかもしれない。

このように整理すると、「容易に」の有無の違い、匿名加工情報の範囲、情報公開制度との関係、いずれも違和感なく整理できると思う。まとめると以下となる。

  • 行政機関の匿名加工情報は、加工方法における個人識別性排除のための照合識別要件は、民間部門と同じである。
  • 民間部門との違いは、保有個人情報の目的外提供とならないためのチェック工程が追加的に必要となることにある。
  • このチェック工程で想定すべき照合先は、「図書館等の公共施設で一般に入手可能なものなど一般人が通常入手し得る情報」であって、行政機関内の元データではない。(元データとの処理情報的照合性は匿名加工で既に排除されているから。)
行政機関法では匿名加工情報が個人情報に当たるですって?, 2016年3月6日の日記

この考え方を採用するには、「散在情報的照合性 vs 処理情報的照合性 説」を採用するのが前提である。現時点では、まだ私の独自の見解にすぎないので、これを前提にするわけにはいかないのは理解できる。

そこで、次善の策として次のように考えることもできる。

まず、前々回の「まとめると以下」の、最初の2つの事項はそのまま採用できる。

  • 行政機関の匿名加工情報は、加工方法における個人識別性排除のための照合識別要件は、民間部門と同じである。
  • 民間部門との違いは、保有個人情報の目的外提供とならないためのチェック工程が追加的に必要となることにある。

1つ目の事項は、要するに前掲の(A)を選ぶということである。法案の条文について言えば、委員会規則に委任するのをやめて、はっきりと「容易に照合することができそれにより識別」の意味で「識別できないようにしたもの」の意味である旨の括弧書きに修正すればよい。それが今からでは困難であるならば、いっそのことこの2つ目の括弧書きを削除してしまい、政府解釈で示すことにするという方法もあるだろう。

2つ目の事項は、作成された「行政機関匿名加工情報ファイル」(法案では「行政機関非識別加工ファイル」だが)を提供する前の段階で、ファイルの各要素について、保有個人情報に該当するものとなっていないか、人力で検査することである。

このようなチェック工程は、行政機関に対してならば無理な注文でもなかろう。情報公開制度を運用するのと似た作業である。

実は、これに類する作業を要求する規定が、今回の改正法案には規定されている。それは、2条9項の「行政機関匿名加工情報」(法案では「行政機関非識別加工情報」だが)の定義中にある、以下の強調部分である。

9 この法律において「行政機関非識別加工情報」とは、次の各号のいずれにも該当する個人情報ファイルを構成する保有個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。以下この項において同じ。)の全部又は一部(これらの一部に行政機関情報公開法第5条に規定する不開示情報(同条第1号に掲げる情報を除く。以下この項において同じ。)が含まれているときは、当該不開示情報に該当する部分を除く。)を加工して得られる非識別加工情報をいう。

匿名加工情報を作成する前に、ソースとする個人情報ファイルについて、その各要素について検討して、情報公開法の不開示情報(個人に関する情報以外の、法人情報や、国家安全、公共安全に係る情報等)に該当する部分を除去しなければならないとしている。

この作業が運用可能であるのなら、匿名加工された後の「行政機関非識別加工情報ファイル」に対して、個人情報に該当するものが残っていたら除去するという作業も、運用可能と考えられる。

次に、前掲3つ目の事項は、「チェック工程で想定すべき照合先は、行政機関内の元データではない。」としているが、これは「散在情報的照合性 vs 処理情報的照合性 説」を前提としているので、そのまま採用するわけにはいかないが、いっそのこと、チェック工程で元データとの照合できるかを確認してもよい。

ただ、実際にやってみると判明するのではないかと考えているのは、チェック工程で元データと照合できるかを確認してみると、いずれも照合できないという結果になるはずだ。なぜなら、民間部門の匿名加工情報の加工基準は、元データとの照合ができないように加工するものとなるはずだからである。ここで、前者の「照合できるか」は「容易に」なし基準であり、後者の「照合できないように」は「容易に」あり基準であるという違いがあるものの、元データとの照合という場面に限ると、両者による違いはなく、元データと照合できないということを実感できるはずだと考えている。

以上のことから、まとめると次のように言える。

  1. 民間部門の匿名加工基準で匿名加工して作成する「匿名加工情報ファイル」は、その一部の要素に行政機関法における「保有個人情報」に該当するものが残存する可能性は否定できないが、当該ファイルを提供する前に、該当する要素を取り除けばよいのであり、問題はない。
  2. 「保有個人情報」が残存する可能性があるものを「匿名加工情報」と呼ぶことに難があるのかもしれないが、名称を変えてしまうと、行政機関法と民間部門とで概念同一性が怪しくなり、受領者の再識別禁止規定の適用が怪しくなるから、名称は「匿名加工情報」という同じ名前とするのがよい。
    • もしくは、名前が同一であればよいので、改正個人情報保護法を未施行のうちに再改正して、民間部門の方の「匿名加工情報」を「非識別加工情報」に名称変更して統一するという案も考えられる。*12
  3. 「匿名加工情報」の定義は、民間部門のそれとの概念同一性を明確にするために、2番目の括弧書きを削除するか、又は、前記(A)に沿うよう修正して委員会規則への委任を削除するのがよい。
    • 後者を選択するなら、改正個人情報保護法を未施行のうちに再改正して、民間部門の方の定義でも「特定の個人を識別することができない」の部分を明確化する括弧書きを(A)の形で加えて、定義条文の一致を図る*13ことも考えられる。

残る瑣末な論点

このような匿名加工情報の定義の論点について、書き足りていないことが2つある。

  • 行政機関が保有する個人情報ファイルには、その各要素に、属性情報として他の個人についての個人情報が記載されているもの(これを「処理情報中のローカル散在情報」と私は呼んでいる。*14)が存在し、民間部門の匿名加工基準での匿名加工では、それが匿名化されない可能性がある。これが行政機関法では、散在情報としての保有個人情報に該当することになり、行政機関匿名加工情報ファイルに残存する可能性がある。しかし、前記の通り、提供前のチェック工程で保有個人情報の除去をすることで対処できる。
  • 研究会報告書が「行政機関が作成する匿名加工情報は、行政機関法の個人情報に当たる」とした理由に、「加工に用いた個人情報自体などとの照合により特定の個人を識別することができることから」とした背景には、民間部門では、36条5項で、自ら元データと照合することを禁じる規定を置いていることから、「照合が法的に禁止されることによって元データとの容易照合性が消滅する」とする理屈によって、「k=1の匿名化」であっても「匿名加工情報」に該当するものとすることができるとの考え方が一部にあるようであり、同じ理屈を行政機関法に適用できるかというときに、36条5項相当の禁止規定が行政機関法には改正案で導入されないから、その理屈は適用できず、その結果として、元データと照合が常にできてしまう(常にではないが)とする考え方が潜んでいるのかもしれない。これは、そもそも「照合が法的に禁止されることによって元データとの容易照合性が消滅する」とする考え方が法解釈として誤りと言うべき*15なので、採用する必要のない考え方である。

これらについては、いずれ時間のあるときに書こうと思う。

*1 行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案

*2 その理由は、「匿名加工情報は何でないか」の前編中編前編の2で途中まで書いた。後編ではっきり書く予定であるが、民間部門において匿名加工情報は、個人情報に当たらないもののみが匿名加工情報たり得るのであるから、元から提供が規制されていない情報の提供ができるにすぎないものであるし、規制強化というわけでもないので、匿名加工情報の制度を使う意思がなければ義務に従わなくてよいというものである。民間部門で唯一の意義として考えられるのは、グレーゾーンが怖くて非個人情報に加工しても提供できないという事業者にとって、大手を振って匿名加工情報に加工して提供できるという点である。

*3 昨年10月20日の日記「行政機関等パーソナルデータ制度改正に対するパブコメ提出意見」では、ここまでやる気はないだろうと思っていたので、「意見1 行政機関及び独立行政法人等の保有するパーソナルデータについては、民間部門と同等の「匿名加工情報」の制度を設けずとも同等の利活用は可能であり、「匿名加工情報」の制度を設ける必要性がない。」としていた。

*4 国会提出法案では、なぜか「匿名加工情報」が「非識別加工情報」という名称になっているが、そこはスルーして、ここでは「匿名加工情報」で通している。

*5 1月31日の日記「匿名加工情報は何でないか・中編」では、「定義は「特定の個人を識別することができないように個人情報を加工して得られる」を要件とするが、ここで言う「特定の個人を識別」が、照合による識別を含むのかがはっきりしない。改正前2条1項括弧書きに相当する文がないが、当然に含むとして省略されているだけなのか、意図して照合による識別を除いたものなのかが不明である。」としつつ、後に「(すなわち、改正前2条1項括弧書き相当の記述が改正後2条9項にないのは、省略であって、照合による識別を除く趣旨ではない。)ということになるように思える。」と書いていた。

*6 参考:「法制執務コラム 委任立法―国民の目に見える立法を―」, 参議院法制局

*7 3月6日の日記の「照合による識別の容易性要件を巡る混迷」参照。

*8 1月31日の日記の「法律ではどう規定されたのか」参照。

*9 民間部門の匿名加工情報で「23条1項の規定にかかわらず、当該匿名加工情報を第三者に提供することができる。」との規定を置かなかった(12月6日の日記の「匿名加工情報は「個人データであっても第三者提供を許す」の形ではなかった」参照。)のと同様に、今改正案でも、「8条1項の規定にかかわらず、当該匿名加工情報を提供することができる。」との規定は置かれていないので、匿名加工情報(非識別加工情報)が個人情報である限りは、本人同意なく提供することはできないこととなってしまう。

*10 この道を選択する場合、この委員会規則には何を規定するつもりなのだろうか。元データを除外に含めないようにするとなると、残るは、当該行政機関の外にある情報(例えば図書館にある情報)であり、これを「他の情報」から除くということが考えられるが、しかし、この委員会規則への委任規定では、対象範囲を「当該個人に関する情報の全部又は一部を含む個人情報その他の」としているので、当該個人に関する情報とは関係のない図書館にある情報を含めることはできないはずであり、いったい何を規定するつもりなのか解せない。委員会規則で定めるとしながら、規則では空集合を規定するというのもアリなんだろうか。

*11 もっとも、民間部門においても、「識別できないようにした」の「識別」を、「容易に」なしに「照合することができそれにより識別」という意味で解釈するものとする道も残ってはいる。なぜなら、「個人情報」が「容易に」入りの照合性で定義されているからといって、「匿名加工情報」の定義で「容易に」なしの照合性で識別性を排除することを妨げるものではないからだ。ただ、こちらの道を選択した場合は、私の独自説では、匿名加工情報の作成基準が「散在情報的照合性」(3月6日の日記の「散在情報的照合性 vs 処理情報的照合性 説」参照。)によって「照合による識別」を排除する必要が出てくることになるから、データの1個1個について個別に「他の情報と照合」できるかを見極めなくてはならなくなり、民間部門にとっては酷なルールとなるので、私はこの方向性には賛成しない。

*12 これが可能なら、むしろ「非識別加工情報」の方が適切なネーミングであるように思えてきた。民間部門においても「匿名加工情報」という用語はあまり適切ではなかった。昨年の改正法案の国会提出から1年が経ち、すっかり「匿名加工情報」の語に馴染んでしまったが、最初に目にしたときの違和感を思い出す。「匿名加工情報」という呼び名だと、仮名化をしただけのものを指すように聞こえかねない。医療分野で用いられてきた「連結可能匿名化」や「連結不可能匿名化」と同様にだ。元データと照合できないように加工することが匿名加工情報の要件であるなら、k≧2のグルーピングをすることとなり、それは、技術検討WGが一昨年整理した「識別/非識別, 特定/非特定」情報の概念からすれば、「非識別情報」に加工することを意味するのであるから、初めから「非識別加工情報」とするのが正しかったとも言える。

*13 「(……もの(……ものを除く。)を除く。)」の部分だけは異なることになるが。

*14 これについては、「散在情報と処理情報(パーソナルデータ保護法制の行方 その3)」で書く予定。

*15 これについては、「匿名加工情報は何でないか・後編」で書く予定。(前々回の脚註5の件)

検索

<前の日記(2016年03月14日) 次の日記(2016年04月06日)> 最新 編集

最近のタイトル

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|
<前の日記(2016年03月14日) 次の日記(2016年04月06日)> 最新 編集