前から書かねばと思っていたが*1、今がまさにこれを周知すべき時なので、取り急ぎ書いておく。
個人情報保護法の「個人情報」定義にある括弧書き「(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」の「他の情報と容易に照合することができ」は、今や「容易照合性」と繰り返し呼ばれるようになり、色々なところで聞かれるようになった。この「容易照合性」の解釈について、いわゆる「提供元基準」なのかそれとも「提供先基準」なのかという論点は、昨年の個人情報保護法改正案の国会審議の中で、「日本の場合、これは情報の移転元で容易照合性があるということで解釈が統一されておりまして」と政府参考人が答弁した*2ことで決着したわけだが、これについて、「いったい誰がそんな取り決めをしたのか」「そんな解釈を決めたのが悪いんじゃないのか」といった不満分子が一部で燻っているかもしれない。
しかし、古い文献を読み漁っていたところ、なんと、昭和61年(1986年)の時点ですでに、提供元基準であることが明確に示されていたことを、私は比較的最近になって知った。
日本で国レベルの法として初めて制定されたデータ保護法は「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」(昭和63年法)であり、この制定に向けての法案の骨子は、昭和60年7月から総務庁行政管理局で開催された「行政機関における個人情報保の保護に関する研究会」で検討され、昭和61年12月に取りまとめられたのが、「行政機関における個人情報の保護に関する研究会意見」であった。
この研究会意見は、「第2 保護対策の対象範囲」として、「(2)個人情報の定義」を次のように提案している。
(2)個人情報の定義
個人情報とは、個人に関する情報であって、当該個人を識別できるものをいうが、個人が識別できるとは、情報の内容から、その情報が特定個人のものと識別し得ることをいうとすることが適当であると考えられる。
なお、当該情報のみでは特定個人を識別できないが、当該機関が保有する他のファイル又は台帳等と照合することにより識別できるものは含むものとすることが適当であると考えられる。
識別の方法は、氏名、住所、生年月日等で識別するか、個人別に付された番号その他の項目で識別するかを問わない。
行政機関における個人情報の保護に関する研究会意見, 行政機関における個人情報保の保護に関する研究会, 1986年
これが、その2年後に成立した法律では、次の定義条文となった。
第2条 この法律において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
二 個人情報 生存する個人に関する情報であつて、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号により当該個人を識別できるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できるものを含む。)をいう。ただし、法人その他の団体に関して記録された情報に含まれる当該法人その他の団体の役員に関する情報を除く。
行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律 2条2号
これは、研究会意見をそのまま条文に落とし込んだものと言うべきであろう。とすれば、「他の情報と容易に照合することができ」というのは、「他の情報」と言っても任意の場所にあるあらゆる情報を指すのではなく、特に「当該機関が保有する」ものとの照合を想定した定義だったことが窺える。
つまり、まさに「提供元基準」が、「当該機関が保有する……と照合」という表現で明記されていたのである。
しかし、なぜそのような定義にしたのか。その趣旨について私には考えがあるが、それを書いているとまたいつまで経っても完成しないので、そこはまたの機会に書くとして、ここでは英国法との対比をしておきたい。
英国のデータ保護法は、1984年に制定されたもので、そのときの「personal data」の定義は次のものであった。
(3) "Personal data" means data consisting of information which relates to a living individual who can be identified from that information (or from that and other information in the possession of the data user), including any expression of opinion about the individual but not any indication of the intentions of the data user in respect of that individual.
英国, Data Protection Act 1984
前段部分を訳せばこうだろう。
(3) この法律においてpersonal dataとは、生存する個人に関する情報からなるdataであって、当該情報から(又は、当該情報とデータ利用者が保有する他の情報とから)その個人を識別することができるものを言い……
このように、昭和61年(1986年)の「行政機関における個人情報の保護に関する研究会意見」が提案した個人情報定義の骨子は、英国法のpersonal data定義に瓜二つとなっている。
「who can be identified from that information」のところが、研究会意見では「情報の内容から、その情報が特定個人のものと識別し得る」となり、「who can be identified …… from that and other information in the possession of the data user」が、「当該機関が保有する他のファイル又は台帳等と照合することにより識別できる」となった。英国法には「ファイル又は台帳」という言葉は出てこないし、「照合する」との語も出てこないが、これらは「identified from that and other ……」とのフレーズの意味するところを具体化したものなのだろう。そして、「in the possession of the data user」が、照合可能性を想定する範囲が提供元基準であることを英国法も示している*3のである。
ちょうどこの研究会の直前に英国法が成立していることからしても、総務庁行政管理局のこの研究会は、英国法を参考にして個人情報定義を立案したのではないだろうか。そして、ほぼ同様の定義条文を持つ現在の民間部門での「個人情報」においても、この意義は受け継がれていると言うべきであろう。
つまり、容易照合性のことを目の上のたん瘤のように煙たがっている人からすれば、このような定義は「日本独自のもので、悪しきガラパゴス規制だ」ということにしたい向きもあるのであろうが、このように、決してそうではなく、30年も前から英国などヨーロッパでのデータ保護の考え方を取り入れてできたものなのだと言うべきだろう。