最新 追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 2158   昨日: 3319

2017年06月04日

匿名加工情報は何でないか・後編(保護法改正はどうなった その7)

このシリーズではこれまでに以下のことを書いてきた。

「後編で書くつもりだ」と「中編」で予告していたのは以下のことだった。

これをどう理解するか。「匿名加工情報にすれば(容易照合性が否定されて)個人情報でなくなる」という意味なのか。そうだとすると、「個人情報である限りは匿名加工情報になり得ない」というわけではなく、加工したものが元データとの照合により依然として個人情報に当たるものであっても、匿名加工情報に該当することにしてしまえば、再識別が法的に禁止される(改正後36条5項)ことから、容易照合性が消滅して、個人情報に当たらないことになる……と、そういう意味なのか。

当時、何人もの有識者(私が知る限り少なくとも5人)がそんな解釈はあり得ないと反発した。これまでの個人情報定義にあった「照合することができ」というのは、データの性質あるいは状態を言う要件であるはずなのに、法律で禁止されることがその該当・非該当に影響を及ぼすというのは、法解釈論上あり得ないという反発だった。

一方で、そのような解釈を導入せざるを得ない事情も理解できる面がある。この論点をどう整理すれば決着するかは、そう簡単なことではない。私には理屈の見通しがあるが、それについては本シリーズの「後編」で書くつもりだ。

以上で結論は出ていると思うのだが、こうした論点が、12月に出版された文献1には書かれていない。文献1の匿名加工情報に関する記載内容は、無難なところをさらっと述べているだけで、肝心のことが書かれていない。これは、担当室の方々も整理しきれていないためではないかと推察する。

その原因は、先に示した、本シリーズ「後編」で検討する予定の、「匿名加工情報は、そもそも、作成に用いた個人情報と照合することが禁止されておりますので、容易照合性は認められないと私どもは解釈しております。」をどう整理するかが決着していないためであろう。

「後編」では、この論点を整理し、「k=1の仮名化」*1は匿名加工情報となり得ないという結論の妥当性の理由付けを提案する。また、そもそもこのような結論の解釈とすることでよかったのか、振り返って私見を述べようと思う。

これから1年以上が経過し、この間に、行政機関法の改正があり、施行令・施行規則・ガイドライン・Q&Aが固まるとともに、個人情報保護委員会「事務局レポート」なるものが出てきた。そして、こちらではJILISを設立し、内閣法制局の法律案審議録を情報公開請求して、その内容を分析した。今になってようやく考えがまとまったので、満を持してここに書く。

資料の写真
図1: 内閣法制局の開示文書「法律案審議録 個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案(平成27法律65)」

目次

問題の所在

問題の論点は、ビジネス法務2016年11月号の記事*2で以下のように整理した。

ここで、「匿名加工情報は非個人情報である」がどういう意味なのかが論点となる。「非個人情報でない限り匿名加工情報となり得ない」の意味(A説)なのか、「匿名加工情報に加工すれば非個人情報ということになる」の意味(B説)なのか。

2条9項の定義は、前記の△猟未蝓崙団蠅慮朕佑鮗永未任ないように加工したもの」としており、その意味は前記の通り個人情報定義を「反対から捉えたもの」であるから、A説が自然な解釈と思える。これに対し、B説は、36条5項及び38条の識別行為の禁止義務の存在によって、非個人情報の範囲が拡大するとする。すなわち、個人情報の定義が「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」(2条1項1号)とされているところ、照合禁止の義務の存在によって、「照合することができ」が否定され、非個人情報となるというのである。

B説をとると、極端な場合、氏名等を削除しただけのいわゆる「仮名化」を施しただけでも、匿名加工情報となり得て、非個人情報化できることを意味する。この場合、この制度は規制緩和をするものということになる。

しかし、この説に対しては批判がある。個人情報定義の容易照合性は情報の性質に関する要件であるのに、行為の制限によって該当性が変わるという解釈は無理があるとする批判である。また、第三者提供するに当たり匿名加工情報を作成するときは、36条5項の「自ら当該匿名加工情報を取り扱うに当たっては」に該当せず、照合禁止の義務は課されていないとの指摘もでき、この解釈をとる場合は、B説はとり得ない。

高木浩光, 匿名加工情報の制度概要と匿名加工基準の規則案, ビジネス法務16巻11号, 17頁, 2016年10月

政府がB説の立場をとっているのではないかとの推測は、2015年3月10日の衆議院予算委員会第一分科会での向井治紀内閣審議官の以下の答弁から窺われるものだった。

○向井政府参考人 お答えいたします。

匿名加工情報は、先ほども申しましたが、特定の個人を識別することができず、復元することができないように加工する。一方、さらに、当該事業者も含めて、他の情報と照合して再特定化することを禁止しているというところでございます。

したがいまして、匿名加工情報は、そもそも、作成に用いた個人情報と照合することが禁止されておりますので、容易照合性は認められないと私どもは解釈しております。

したがいまして、この匿名加工情報におきましては、容易照合性の問題は生じず、個人情報には当たらないというふうに考えてございます。

第189回国会会議録 平成27年3月10日 衆議院予算委員会第一分科会第1号

この答弁は、法案が国会に提出された後、内閣委員会に付託(4月23日)される前の段階(3月10日)で予算委員会で質問されたもので、本番の審議ではなかった。3月28日には、情報法制研究会の第1回シンポジウムの席で、この答弁について「照合を法律で禁止すれば、定義中の「照合することができ」が否定されるのか?」と疑問を呈していた。その後、第三者提供時の確認記録義務も酷いことになっているとわかり、審議入り直後の5月11日、向井審議官らと協議する時間を頂き、鈴木正朝先生と共に、「照合の法的禁止によって定義の該当性が変わるというのは法解釈上あり得ない」ということを強く申し伝えた。それが功奏したのかわからなかったが、結局、審議入りしてからは、衆議院でも参議院でもこれに類する答弁は出てこなかった。このことは、まとめておいた「国会会議録から重要部分を抜粋」で確認できる。

当時、私がここを問題にするとき、何のためにそれを言っているかは、建前上、「このままでは規制緩和にならない」という立場だった。つまり、条文を修正しなければ、これまで非個人情報だったものしか匿名加工情報となり得ないから、経済界からの要望に応えたことにならないのではないかというもので、条文の修正案(前編に掲載)も示していた*3

ただ、今になって告白すれば、それは本気で言っていたかというと、やや心にもないことを言っていたかもしれない。元はと言えば、パーソナルデータ検討会の第2回会合で鈴木正朝委員が提出した資料で「モデル2- 廚函屮皀妊2-◆廚領省を示したのは、本当は「モデル2- 廚世韻鯒Г瓩襪戮と思いつつも、個人情報保護法の改正に政府を動かすには、規制緩和の名目が必要であり、そのためには「モデル2-◆廖焚礁床修里澆把鷆_椎修箸垢襦砲鯀択肢に残さざるを得なかったのであり、法案が出たタイミングでも、その空気を維持していたのであった。

法案が国会提出される前の段階では、「仮名化のみで提供可能とする」案もしかたないと思っていた。ただ、無条件に許すのは危険すぎると考え、医学研究の分野など一部に限って認めることとし、匿名加工基準の委員会規則で、提供主体や利用目的によって基準を場合分けすればよいという構想を持っていた。このことは中編の脚注9でも書いている。

それが、条文の修正が絶望的となり、原案のまま改正法の成立が確実となると、今度は、「仮名化では匿名加工情報にならない。なぜなら、条文がそうなっているから。」という立場をとるように、私自身、変容して行った*4。鈴木正朝先生は、改正法が成立する直前の2015年8月の時点で、仮名化しただけでは個人情報であり(場合もあり)匿名加工情報とならないことについて確認する質問を、第15回行政法研究フォーラムの席でIT総合戦略室の瓜生参事官に投げかけ、その通りとする回答を得た。この話は中編で書いたところである。

その後、有識者の会合(経産省の「匿名加工情報作成マニュアル」ほか)でも、仮名化で良しとはせず、データの中身を加工することの重要性が確認されたし、改組されて活動を開始した個人情報保護委員会も、データの中身を加工することを求める施行規則19条5号を規定し、「事務局レポート」でもそういったことを書いている。

結果として、今日では、仮名化しただけでは(必ずしも)匿名加工情報とはならないという共通認識は確立されつつあると言え、めでたしめでたしであるのだが、前掲の「B説」の法解釈は、これをいつでもひっくり返しかねない力を持っている。「照合禁止義務があるから容易照合性は問われない」という法解釈なのだから、これが政府説だとなれば、仮名化しただけでも常に匿名加工情報ということにもできてしまう。このことは脅威であった。

その点、B説が公式に登場したのは前掲の本番審議前の向井答弁のみであり、後の施行令・施行規則・ガイドライン・Q&Aのいずれでも、この解釈が示されなかった(B解釈ともA解釈とも示されず)。

2015年12月に出版された、瓜生和久編著『一問一答 平成27年改正個人情報保護法』(商事法務)では、これに近い記載があったが、以下の文章になっており、「本人を識別することを禁止する等の制度的な担保」は、あくまでも「さらに」と補足的に書かれており、これ単独で非個人情報化が達成されるとまでは言っておらず、これはB説のことを言っているわけではない(B説になってしまうことを避けたもの)と私は理解している。

(注1)匿名加工情報を作成した事業者は、その作成に用いた個人情報を保有しており、第2条第1項括弧書のいわゆる「容易照合性」(Q8参照)があることから、作成した匿名加工情報は個人情報に該当し、個人情報の取扱いに関する各義務(第4章第1節)を守らなければならないのではないかとの懸念が想定されます。

匿名加工情報は、特定の個人を識別することができず、作成の元となった個人情報を復元することができないように加工したものでありさらに、個人情報の本人を識別することを禁止する等の制度的な担保がなされていることから、作成の元となった個人情報を通常の業務における一般的な方法で照合することができる状態にあるとはいえず、個人情報に該当しないとするものです。

したがって、匿名加工情報を作成した事業者がこれを当該事業者内部で取り扱うに当たっても、匿名加工情報の取扱いに関する義務(第36条)を守っていただくことで自由な利活用が認められることとなります。

瓜生和久編著, 一問一答 平成27年改正個人情報保護法, 商事法務, 49頁

このような、「Xであり、さらにYであることから、Zである。」という文は、「Xであることから、Zである。」という文ではない以上、「Yであることから」にも一定の効果があると読むのが一般人の人情である(そうでないなら普通、Yについて書かないのだから)が、霞ヶ関文学では、Yに何の効果もない場合であっても、「Xであり、さらにYであることから、Zである。」という文自体は誤りではないということになるのであり、様々な配慮の結果あえてこう書かれたもの(決め切れずに誤魔化した)として読むべきものだろう。

ところが、今年2月に公表された個人情報保護委員会事務局レポート「匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」では、以下の文章が記載されてしまった。一見、上の瓜生編「一問一答」の記述と同じに見えるが、強調部が異なっている。

3.4.2 容易照合性との関係

匿名加工情報を作成した事業者は、その作成に用いた個人情報を保有しており、また、当該個人情報を匿名加工する方法に関する情報として匿名加工情報と元の個人情報との対応関係を示す対応表等を保有し得るが、この個人情報や対応表について法第2条第1項第1号括弧書のいわゆる「容易照合性」があるとして、作成した匿名加工情報は個人情報に該当し、個人情報の取扱いに関する各義務(法第4章第1節)を守らなければならないのではないか、との懸念が想定される。

匿名加工情報は、特定の個人を識別することができず、作成の元となった個人情報を復元することができ ないように加工したものであり、さらに、個人情報に係る本人を識別することを禁止する等の制度的な担保がなされていることから、作成の元となった個人情報を通常の業務における一般的な方法で照合することができる状態にある(すなわち容易照合性がある)とはいえず、個人情報に該当しないとされるものである。

したがって、匿名加工情報を作成した事業者がこれを当該事業者内部で取り扱うに当たっても、匿名加工情報の取扱いに関する義務(法第36条)を守ることにより自由な利活用が認められることとなる。

個人情報保護委員会事務局レポート, 匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて, 2017年2月

瓜生編「一問一答」が言及していなかった「対応表」に言及している。これは瓜生編「一問一答」とは決定的な違いをもたらす。前記の「Xであり、さらにYであることから、Zである。」の「さらにYであることから」に何ら効果がなくても云々という理屈は、この文章では通用しない。なぜなら、「対応表」について、「Xであり」の部分(すなわち「特定の個人を識別することができず、作成の元となった個人情報を復元することができないように加工したものであり」の部分)は効果を持たないからである。「対応表」があるのに容易照合性がなくなるというのは、もはや「Yであることから」の部分(すなわち「本人を識別することを禁止する等の制度的な担保がなされていることから」の部分)のみによって実現されているという意味になるのであり、これは完全にB説を主張していることになる。

私はこれを見た瞬間、「嗚呼、敗北だ」と項垂れた。

だが、そのころちょうど、情報公開請求で開示された法律案審議録(12月末に開示された)の解読を進めていたことから、これは「事務局レポート」の誤りであるという結論を導きつつあった。さらに、4月に開示された行政機関法改正法案の法律案審議録の解読(前々回の日記「匿名加工情報が非識別加工情報へと無用に改名した事情」参照)と合わせて、それは確信に変わった。

というわけで、以下、法律案審議録を日付の古いものから順に見ていくことで、どのような過程を経てこうなっているのかを辿り、事務局レポートの記述が政府見解として誤りであることを指摘する。

最初の案で技術検討WG報告書に沿いつつも既に変容していた

まず最初は、制度改正大綱が決定された(2014年6月24日)直後の7月22日付の「論点表」である。図2の2枚目の写真に「【論点11】定義、義務(低減データ)【新設】」とあり、以下のことが書かれているのだが、そこに手書きメモで興味深いことが記されている。

資料の写真 資料の写真
図2: 2014年7月22日付「別紙論点表」の「【論点11】定義、義務(低減データ)【新設】」(右)

(略)具体的には、個人データ等を個人の特定性を低減すべく加工して作成したデータ(個人特定性低減データ)の定義や加工に関する規律を定め、さらに、同データの取扱いに関する規律を定めることを検討しているが、その際、個人特定性低減データの定義自体の明確性や、「適正な加工」という概念の明確性が問題となる。

(略)このような個人特定性低減データの取扱いについては、法第4章第1節の義務の適用がないものとして整理したいと考えているが、そのために適用除外等の規定を置くことの可否が問題となる。なお、その前提として、「個人データ」と「個人特定性低減データ」の関係を整理した上、「個人特定性低減データ」は本来「個人データ」の一部として法が適用されるものであるところ適用除外規程を置くこととするのか、本来「個人データ」に当たらず法の適用を受けないが、注意的に規定を置くこととするのかなど、法制的な整理をすることが必要であると考えている。

これに対して、手書きメモは、「特定はできるが、低い、というイミが分らない。」「個人情報なら、何故それだけは規制*5ゆるいのかの説明がつかない」「個人情報に当たらないだけではない*6 適用除外とするのはおかしい」「そもそもの個人情報の定ギの問題ではないか?」とコメントしている。

こうした手書きメモは、法制局側から出た意見を立案省庁側(この場合は内閣官房IT総合戦略室)がメモしたもので、この段階では、法制局側は参事官以下による対応だったと思われる。つまり、初っ端で、法制局参事官以下の意見により、原案の「個人情報だが提供できるものとする」の形が否定され、「個人情報に当たらないので提供が制限されない」という方向へと舵が切られたわけだ。

次は、以下の図3に示す、その次のタイミングで法制局に提出されたと思われる具体案の文書である。

文書に日付がなく、作成日が不明だが、2015年に出版された第二東京弁護士会情報公開・個人情報保護委員会編著「Q&A改正個人情報法保護法」(新日本法規)(IT総合戦略室に情報公開請求して開示された資料を基に、早い段階でこの改正法を解説した意欲的な本)には、その冒頭に「開示対象資料一覧」として、文書名と「内閣法制局への提出日時」が記載されていることから、これと照らし合わせることで、図3の文書の日付を推定することができる。同じ文書名のものが「2014/9/22」と記載されていることから、内閣法制局への提出日としては9月22日付と推定できる。

なお、この第二東京弁護士会が情報公開請求したもの(以下「二弁開示資料」)は、内閣法制局が文書管理している「法律案審議録」ではなく(2015年の時点ではまだ法律案審議録の形に整理されていなかったと思われる。)、請求文書名が「個人情報保護法改正(2015年)に関する内閣法制局への全条文に関するご説明資料の最終版(改正部分が全てわかる資料)」というものだったので、今回開示された法律案審議録より少ない文書量になっている。私も、この二弁開示資料と同じ文書を別途新潟大学法学部情報法研究室が請求したもの(中編では文献5として参照している。)を昨年入手しており、この差分を確認できるのだが、二弁開示資料には条文案や法制局指摘事項の手書きコメントは含まれていない。

さて、その図3は、「匿名加工データ(仮)(第2条第7項関係)」と題した全15頁の文書の一部である。

資料の写真 資料の写真 資料の写真 資料の写真 資料の写真 資料の写真 資料の写真 資料の写真 資料の写真 資料の写真
図3: 2014年9月22日付(推定)「匿名加工データ(仮)(第2条第7項関係)」(抜粋)

何が書かれているかというと、最初に「I 改正の背景・経緯」として、1枚目の写真のページの後半から「2 匿名加工データの概念について」として、特定の個人が識別されるリスクを3つの類型に分類し、それぞれのリスクを減じる方法が検討されている。(2枚目の写真のページ)

,離螢好は、「データから直接特定の個人が識別されるリスク(氏名、生年月日、住所等の項目から特定の個人が識別されるリスク)」とされ、それらを「特定の個人を識別することができないような状態とする」ことが有効であるとしている。

△離螢好は、「(共通サービスのユーザID等の識別子を用いて)機械的に個人の識別子又は識別子相当のものによる複数の情報とマッチングがなされ、その結果特定の個人が識別されるリスク」とされ、「法第2条第1項第2号に係る情報(識別子)や、これと同じく個人を識別する情報(例えば、パスポート番号やクレジットカード番号)」を削除することが有効であるとしている。なお、この「法第2条第1項第2号」は、後の「個人識別符号」相当のものを指している。

そして、のリスクは、「データの受領者の知識に依存して個別的に特定の個人が識別されるリスク(受領者が保有している情報又は取得可能な情報(私人又は行政が発信し、公開されている情報を含む。)との照合等によって個人が特定されるリスク)」であり、このリスクを減じる方法として以下が有効だとしている。

について

世界に一つしかないような珍しい商品を購入した記録や、詳細な行動履歴のように、特徴的な属性を有する情報については、氏名等によって特定の個人を識別することができる情報に付属する情報と照合するこ とによって個人を特定することが可能である。また、取引関係がある等データのやり取り以外に提供者・受領者の間で関係がある場合、両者が保有するデータに共通する項目、内容が含まれていることが考えられ、その場合には共通するデータから特定の個人を識別することができる情報と照合することによって特定の個人を識別する可能性がある。

同リスクを回避するためには、提供者と受領者で共有する情報について削除する、詳細な情報を一定程度丸める、他の情報を付加等するなどの措置をデータの状態等に応じて複数併せて講じることが有効である。

「匿名加工データ(仮)(第2条第7項関係)」, 2014年9月22日付(推定)

が言っていることは、提供先での照合であり、民間部門の個人情報定義が言ういわゆる「容易照合性」の範囲を超えたものである。「私人又は行政が発信し、公開されている情報を含む。」といったものとの照合は、公的部門の散在情報としての個人情報定義においては問われるものであるが、民間部門では本来問題としていないものである。

実は、ここまでの内容は、パーソナルデータ検討会の「技術検討ワーキンググループ報告書」(2014年5月)に書かれていた「個人特定リスク1」〜「個人特定リスク3」とそれらの「低減する方法」(21頁〜24頁)に沿ったものであり、同じことを書き直したものと言える。

しかし、以下の続く部分を見ると、その解決方法は同報告書の提案とは違ったものになっていることがわかる。

(3) 2(2)を受けた新たな類型及び措置

2(1) ,らの各リスクに対応する2(2)の方法は、提供先の事情を考慮することが求められ、社会に存在するすべての事情を基礎として匿名加工データを作成する者に特定リスクを予見し、これを減じなければ対応できないものである。しかしそのような対応を求めることは不可能を強いることと同義であるから、匿名加工データの作成者と受領者との間で、各リスクを公平に配分し、減じることが肝要である。そこで、匿名加工データとは、個人データに対し、当該個人データに含まれる氏名、生年月日その他の記述等の全部又は一部を削除する等の加工を施すことにより、特定の個人を識別することができないようにし、かつ、当該個人データに含まれる個人識別情報その他〔広く一般に流通している個人データの項目〕の全部を削除したものをいうこととする。併せて受領者(第二次取得者以降を含む。)に特定の個人を識別する等を禁止する、特定等禁止義務(後掲)を課すこととする。これにより、匿名加工データの作成者に求められる加工の要件が明確となり、他方、受領者にとっても最低限の法定要件を具備したデータを受領していることが担保され、かつ受領者において特にリスクに対応することとなる特定等禁止義務が課されることから、特定の個人を識別するリスクを両者で減じることとなるものである。

「匿名加工データ(仮)(第2条第7項関係)」, 2014年9月22日付(推定)

これはよく読まないと何が違っているのかわかりにくい。そこで、確認のため、「技術検討ワーキンググループ報告書」の内容がどういうものだったのか、以下で振り返ってみる。

同報告書の20頁からの「3 「(仮称)個人特定性低減データ」について」には、「3.1.1 事務局案の検討」として、以下のことが書かれていた。

3.1.1 事務局案についての検討

事務局から提案された「(仮称)個人特定性低減データ」の定義は、以下のとおりである。

【事務局案】

「(仮称)個人特定性低減データ」とは、次に掲げるものをいう。

個人データについて、当該データに含まれる氏名、生年月日その他の記述等により特定の個人が識別できるものを削除する等政令で定める方法による加工を施し、個人が特定される可能性を低減したもの

「(仮称)準個人データ」について、当該データに含まれる法○条○項各号に掲げるものを削除する等政令で定める方法による加工を施したもの(注:「(仮称)準個人データ」の定義規定)

)瑤廊△砲弔い董他の情報を加える等加工を施したもの
(「(仮称)準個人情報」、「個人情報」となったものを除く。)

(第7回パーソナルデータに関する検討会【資料1-2】より)

技術検討ワーキンググループ報告書, 第10回パーソナルデータ検討会【資料1-2】, 20頁, 2014年5月26日

これを見ると、一見、,鉢△、今で言う「匿名加工情報」の定義(2条9項)の1号と2号に対応しているかのように見えるが、それは少し違う。,1号相当のものであるが、△2号とは異なる。2号は「個人識別符号」であるが、当時の「準個人情報」案を確認すると、以下のように、「個人識別符号」より範囲の広いものであった。

●「(仮称)準個人情報」の定義について

個人情報に該当するものを除き、生存する個人に関する情報であって、次に例示するもの及びこれに類するものを含む情報について、新たに「(仮称)準個人情報」としてはどうか。

パスポート番号、免許証番号、IPアドレス、携帯端末ID等の個人または個人の情報通信端末(携帯電話端末、PC端末等)等に付番され、継続して共用されるもの

顔認識データ、遺伝子情報、声紋並びに指紋等、個人の生体的・身体的特性に関する情報で、普遍性を有するもの

移動履歴、購買履歴等の特徴的な行動の履歴

「個人情報」等の定義と「個人情報取扱事業者」等の義務について(事務局案)<詳細編>, 第7回パーソナルデータに関する検討会【資料1-2】, 2014年4月16日

△蓮後の1号個人識別符号相当であり、,蓮範囲は狭められた(IPアドレスや端末IDは入らなかった)ものの、概ね後の2号相当のものであるが、は、丸々消滅し、後の個人識別符号には入っていない。

ということは、第7回パーソナルデータ検討会(2014年4月16日)の時点では、「移動履歴、購買履歴等の特徴的な行動の履歴」を含めて、「準個人データ」とした上で、それを「削除する等政令で定める方法による加工を施したもの」を「個人特定性低減データ」としていたわけである。

これが、第10回(同年5月29日)の時点で、状況が少し変わり、「技術検討ワーキンググループ報告書」では、別の場所で以下のことが書かれている。

2.「(仮称)準個人情報」の定義等について

(略)

○事務局案にある「0榮依歴、購買履歴等の特徴的な行動の履歴」について、現時点では、位置情報、購買履歴、Web閲覧履歴を一律に「(仮称)準個人情報」に該当すると判断することは困難。

技術検討ワーキンググループ報告書, 第10回パーソナルデータ検討会【資料1-2】, 2014年5月26日

「準個人情報」案は、元々、保護対象情報の範囲を拡大するために検討されていたものだったので、この時点で、「移動履歴、購買履歴等の特徴的な行動の履歴」を単独で保護対象にすることは、経済界からの反発が強いこともあってか、断念せざるを得ず、この括りが消滅したわけだが、その結果、これと連動して概念整理されていた「個人特定性低減データ」の加工対象からも外れることになってしまった。

このことについて「技術検討ワーキンググループ報告書」はどのように対応したか。確認してみると、想定されるリスクとリスク回避の方法の検討として、「個人特定リスク3」にそれを反映させていた。

個人特定リスク3:「(仮称)個人特定性低減データ」から提供先事業者(受領者)の知識に依存して個別的に特定の個人が識別される(購買履歴から偶然SNSなどでそれに合致する購買行動を発見し、そこから特定の個人を識別)
これは、元々の「(仮称)個人特定性低減データ」自体が保有するリスクではなく、1.2.3に示す提供先事業者(受領者)において「(仮称)個人特定性低減データ」と照合可能な個人データ等の有無について予見できないことから生じるリスク

(略)

個人特定リスク3を低減する方法:
「個人データ」又は「(仮称)準個人データ」から「(仮称)個人特定性低減データ」に加工する場合、特徴的な値を持つ属性、複数属性の特徴ある組合せの削除や加工する方法、あるいはすべての属性の組合せに対して元の「個人データ」との1対1の結びつきを持たせないように加工する方法(例k−匿名化や適切な一部抽出(サンプリング)等)が有用である。
※ 本加工を技術的に達成することは難易度が高い。

技術検討ワーキンググループ報告書, 第10回パーソナルデータ検討会【資料1-2】, 22頁, 2014年5月26日

つまり、「移動履歴、購買履歴等の特徴的な行動の履歴」を無条件に入れられなかった替わりとして、「提供先の知識に依存して識別される」というリスクを掲げて、それへの対応として、「元の「個人データ」との1対1の結びつきを持たせないように加工」する必要性を訴える形になった。

これが、前掲図3の法律案審議録に綴じられた文書「匿名加工データ(仮)(第2条第7項関係)」の冒頭部分に反映されたわけである。

話を図3に戻して、この文書の続き(3枚目の写真4枚目の写真5枚目の写真)を見てみると、「III 内容 1 法第2条第1項「個人情報」との関係」として、「匿名加工データ」と「個人情報」との関係を以下のように説明している。

(1) データの状態

匿名加工データは、当該匿名加工データ単体から特定の個人を識別できるものではなく、かつ、当該匿名加工データを受領者が保有している情報又は取得可能な情報(私人又は行政が発信し、公開されている情報を含む。)と突合しても容易に特定の個人を識別できないものをいう。

(2) 現行「個人情報」及び法の趣旨との関係

現行「個人情報」(法第2条第1項)は、それ単体で特定の個人を識別できるもの及び単体では特定の個人を識別できない情報であっても事業者において通常の業務における一般的な方法で他の情報との照合が容易な状態にあり、それによって特定の個人を識別することができるものをいう(「容易照合性」。同項かっこ書)。このように、それ単体で特定の個人を識別できるもののみならず、容易照合性のあるものについても「個人情報」としているのは、事業者内部において特定の個人を識別できるのであれば個人情報として保護の客体とすることによってその取扱いによる個人の権利利益の侵害を未然に防ぐことができるという点にある。単体では特定の個人を識別できないような情報であったとしても広く保護対象としての射程に入り得ることとしつつ、事業者における情報の取扱いの実態に即して「個人情報」の該当性が判断され、個人の権利利益侵害の防止を図っているものである。

現行個人情報保護法は、個人情報を保有する事業者内部における取扱いを規律することとし、「個人情報」を当該事業者内部において保護されるべき客体として定めるものであるのに対し匿名加工データは、個人情報取扱事業者から第三者へデータを提供することを主眼として流通を企図したものであり両者は意図する状況が異なる。そこで、匿名加工データを作成した事業者内部において、当該事業者が有する他の情報との「容易照合性」の有無をもって特定の個人を識別できる状態にあるか否かを判断するのではなくより一般的に世の中に存在し得る他の情報との突合等により特定の個人が識別されるリスクを勘案して定義することが求められる。

「匿名加工データ(仮)(第2条第7項関係)」, 2014年9月22日付(推定)

これは、「技術検討ワーキンググループ報告書」の案に、法律上の解釈を用意した最初の案ということになる。先に述べておくと、この最初期案は、後に成立した改正法の匿名加工情報とは全く考え方が異なるものと言えるのだが、これは要するに、提供元基準から提供先基準へ転換させるという狙いの案になっている。

上記引用の強調部に書かれているように、「匿名加工データ」については、作成した事業者内部での容易照合性の有無をもって個人識別性を判断することをせず(※1)、「より一般的に世の中に存在し得る他の情報との突合等により特定の個人が識別されるリスクを勘案して定義する」(※2)と言っているのだから、これはまさに提供元基準から提供先基準への転換である。

そのようにする理由というのが、「個人情報」は「当該事業者内部において保護されるべき客体として定めるものである」のに対して、「匿名加工データ」は「第三者へデータを提供することを主眼として流通を企図したもの」であるからだという。

この理屈はおかしい。後半(※2)は理解できるが、前半(※1)は理屈が成り立たない。

後半は、提供先基準を加えるというものであり、グレーゾーンを解消して「匿名加工データ」を安心して提供できるように、これまで民間部門で規制してこなかった提供先で照合できる場合を、「匿名加工データ」では加味することにするというのは、制度設計としてあり得る案(この場合は規制強化になる*7が)だと思う。

しかし、前半は、提供元基準を捨てるというものであり、その理由がおかしい。提供元基準は「個人情報」に対して適用されるものだとし、「匿名加工データ」には適用しなくてよいのだとしており、その理由が「個人情報」は「内部において保護されるべき客体」だからというのである。この理屈は、なぜ「匿名加工データ」は内部において保護する客体としなくてよいのかについて何も言っていない。「個人情報」は依然として23条の第三者提供制限を提供元基準で残しているのに、「匿名加工データ」なら第三者提供時に提供元基準を捨てるというのには理由がない。

これは、立法技術的に稚拙な立案と非難されるべきものだろう。提供元基準は政府説であり変更できないという大前提があったのだろう。パズル解きのごとく形式的辻褄合わせで出口を見つけようとしており、法がなぜそのような提供元基準の規律を設けているのかという趣旨に立ち戻った検討をしていないから、このような論理矛盾に無頓着となる。

提供元基準と提供先基準は二者択一なのではなく、提供元基準と提供先基準の両方を採用するということもあり得るのだから、「匿名加工データ」には提供先基準が必要だと主張したところで、提供元基準が不要となる理由にはならないのである。このことは、ちょうど、2014年4月23日の日記「現行法の理解(パーソナルデータ保護法制の行方 その2)」で書いていた「文献[岡村2014]」に対する批判*8で指摘していたのと同じ非論理性に陥っている。

「技術検討WG報告書」はそういうことまでは言っていなかったはずだ。「技術検討WG報告書」が言っていたことは、「個人特定リスク3」で「提供先の知識に依存して識別される」リスクを掲げて、それに対応する必要性を示しただけだった。

この文書には、法制局側からのコメントがあまり書き込まれていないが、1枚目の写真のページには、「特定の個人を識別する可能性を減じるという視点が重要」との本文に対して、「可能性、減じる の意味が分らない。個人情報ではなくなるのでは?」とのコメントが手書きされており、前掲の7月の時点と同じことが再び指摘された様子が窺える。

そして、前掲引用部の続く部分には、以下のように書かれている。

また、匿名加工データは、個人の権利利益の侵害の恐れが低いものとして何らの本人関与も予定していないものであり、本人の同意に代え得る程度に特定の個人が識別されるリスクを減じることが求められる。

そのために、まずは、情報そのものから特定の個人を識別することができないようにする必要がある。さらに、法第2条第1項第2号に規定する「個人識別情報」や、特徴的な情報及び複数事業者間で利用されるID等が加工後のデータに残っている場合、その情報を用いてある人間の情報同士を推定の域を超えて突合することが可能であり、他のデータと共に分析するなどする過程で特定の個人を識別してしまう蓋然性が高いものである。この場合、提供者において個人データ加工時にこれらすべての削除を求めることは、広く特定の個人を識別するリスクを排除させる過度な負担を強いることとなるため、すべてを削除等加工によってリスクを減じることを求めることは妥当ではない。そこで、「個人識別情報」及び汎用性があるため広く一般に用いられているID(IDとしての機能し得るものを含む。例えば、パスポート番号のような公的機関から付与されるもの、クレジットカード番号や口座番号のような私企業から付与されるが社会実態として様々な業種で利用されているもの、サービスIDとして広く利用されているメールアドレスや携帯電話番号。)については広く社会で流通し、業種を超えて事業者において取り扱われていることが容易に想像でき、流通していく受領者においてこれを取り扱っていることが予見し得るため削除を求めることとする。一方で、特徴的な情報、詳細であるため他の情報との合致が容易な情報及び企業が付番して共用されるIDについては、匿名加工データを作成する者が削除することを要しないが、受領者において特定の個人を識別することが無いよう、特定等禁止義務(後掲)を設けることとする

「匿名加工データ(仮)(第2条第7項関係)」, 2014年9月22日付(推定)

ここを読むと、「技術検討WG報告書」の提案とどこが違っているかがはっきりとわかる。同報告書の「個人特定リスク1」と「個人特定リスク2」については、データを加工することで対処するとしているが、「特徴的な情報、詳細であるため他の情報との合致が容易な情報」について「作成する者が削除することを要しない」「特定等禁止義務を設けることとする」とあるように、「個人特定リスク3」についてはデータ加工で対処せず、法的禁止義務だけで担保するというのである。

「技術検討WG報告書」は、法的禁止義務を援用することはしても、全てをそれに任せてデータの加工を一切不要にしてよいとは言っていなかったわけで、この時点から同報告書の提案とは違うものになっていたことがわかる。

なぜこのような案になってしまったのか。IT総合戦略室自身がそういう方向へ考えを変えていたのか、それとも、法制局(参事官以下)の指摘を受けて、それに従ったせいでこうなったのだろうか。

前掲の7月22日の法制局(参事官以下)の指摘「特定はできるが低いという意味がわらない。」「個人情報なら何故それだけは規制がゆるいのかの説明がつかない。」「個人情報に当たらないだけではないのか。適用除外とするのはおかしい。」「そもそもの個人情報の定義の問題ではないか?」といった指摘を受けて、「匿名加工データ」と「個人情報」の定義上の整理を試みたところ、個人情報に該当しなくなる理屈を捻出する必要に追われて、不本意ながらこのようになってしまったのであろうか。

図3の残りの部分を見ると、5枚目の写真のページから、条文の案文についての説明がある。開示資料を探すと、この9月22日時点で、以下の図4の案文が作成されていた。

資料の写真
図4: 9月22日時点での条文の案文

7 この法律において「匿名加工データ」とは、個人データに対し、当該個人データに含まれる氏名、生年月日その他の記述等の全部又は一部を削除する等の加工を施すことにより、特定の個人を識別することができないようにし、かつ、当該個人データに含まれる個人識別情報その他〔広く一般に流通している個人データの項目〕の全部を削除したものをいう。

9月22日時点での条文の案文

「含まれる氏名、生年月日その他の記述等の全部又は一部を削除する等の加工」が前掲の‖弍の部分であり、「当該個人データに含まれる個人識別情報……の全部を削除」が前掲の対応の部分のようだ。

「個人識別情報その他」に続いている「〔広く一般に流通している個人データの項目〕*9」の部分は、個人識別情報とは別に何かを入れようとしているように見えるので、「個人特定リスク3」に当たるものの一部をここに入れるつもりだったのかなとも思えたのだが、図36枚目の写真のページに以下のように説明されていることから、そうではなく、「個人識別情報」そのもののことを単に言っていただけのようだ。

(4) 個人識別情報その他〔広く一般に流通している個人データの項目〕の全部を削除したもの

「広く一般に流通している個人データの項目」とは、パスポート番号や免許証番号のような公的機関によって付番される記号等や、社会実態として複数の企業がサービスを提供するためのIDとして用いる(個人に関して付番されるため、IDと同様に識別する機能を有するものを含む。)又はサービス提供時に取得していることが一般化しているクレジットカード番号、メールアドレス及び携帯電話番号等の情報の様に、広く社会で流通し、業種を超えて事業者において取り扱われていることが予見し得るものであって、そのため異なる事業者間において複数の情報の突合を可能とするものをいう。

ここで規律する個人識別情報その他〔広く一般に流通している個人データの項目〕については、匿名加工データが第三者へ提供することを前提としたものであるところ、第三者への提供によって匿名加工データの流通先において特定の個人を識別するリスクを可能な限り排除するため、その全部を削除することを求めるものである。

「匿名加工データ(仮)(第2条第7項関係)」, 2014年9月22日付(推定)

また、この部分の直前に、条文中の「特定の個人を識別することができない」について、次のように説明している。

(3) 特定の個人を識別することができない

「特定の個人を識別することができない」とは、匿名加工データそのものにより特定の個人を識別することができない状態になっていることをいう。データそのものから特定の個人を識別することができない状態とするためには、データに含まれる氏名、生年月日等の情報を、個人データに含まれる項目に合わせて削除する必要がある。例えば、個人データに氏名、住所、生年月日、電話番号、メールアドレス、購買履歴、Web閲覧履歴等の複数項目が含まれているとする。この場合、氏名と住所が組み合わされれば、その住所に居住するその氏名の者は通常一人しかおらず、また特定の人物を識別することができるから、氏名の削除、住所の詳細を削除し置き換える等の措置が求められる。加えて、電話番号やメールアドレスは、住所等の情報と合わせることで特定の人物を識別することができるから、削除や置き換えをすることが求められる。

「匿名加工データ(仮)(第2条第7項関係)」, 2014年9月22日付(推定)

これの言わんとしていることは、要するに、条文の「特定の個人を識別することができない」は、容易照合性の括弧書きを含まない意味での「識別することができない」の意味だと説明したものである。(この点は後で重要となるので覚えておきたい。)

これらのことから、9月22日時点で既に、技術検討WG報告書の内容から離れ、「履歴データは加工せずとも照合禁止の法的担保で個人情報でないことにする」という方向性が打ち出されていたと言える。

容易照合情報を3号個人情報に分離する案が作成される

前掲図4の条文9月22日案には、個人情報定義の案も出ていた。以下のように、後の1号個人情報と2号個人情報が、この段階で作られており、2号はこの時点では「個人識別情報」と呼ばれていた。

第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号に掲げるいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

二 当該情報に身体的特性に関するもの又は個人の特定に結びつくおそれが高いものとして政令で定めるものであって、個人を識別することができるもの(個人が容易に変更することができるもの又は短期間で変更されることが予定されているものを除く。第7項及び第34条において「個人識別情報」という。)を含むものをいう。

9月22日時点での条文の案文

これが、匿名加工情報の概念整理と連動して、以下のように変遷して行った。

まず、次に作成された10月5日付の案文で、以下のように、匿名加工情報の定義が、個人情報定義の区分に応じて削除や加工を求めるという現在の形に近いものになった。

資料の写真 資料の写真
図5: 10月5日時点での条文の案文

ここで、興味深い手書きコメントが書き込まれている。「(他の情報と容易に照合することが……」の部分に「」と書き込まれ、「……できることとなるものを含む。」の部分に対して「(匿)が取り扱う場合における(匿)を除く」と書かれている。

このコメントを反映したものが、次に作成された10月24日付の以下の案文である。

資料の写真 資料の写真
図6: 10月24日時点での条文の案文

第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等(第2号に規定する個人識別情報を除く。以下同じ。)により特定の個人を識別することができるもの

二 特定の個人に関する身体の全部若しくは一部を用いて電子計算機の用に供するために作成され、又は旅券の番号(略)、運転免許証の番号(略)、携帯電話番号その他の特定の個人若しくは専らその利用に供する物、割り当てられる文字、番号、記号その他の符号であって、政令で定めるもの(以下「個人識別情報」という。)を含むもの

三 個人情報取扱事業者において、他の情報と容易に照合することができ、それにより特定の個人又は個人識別情報を識別することができることとなるもの(第7項に規定する措置を講じた者以外が取り扱う場合における当該措置に係る匿名加工情報を除く。)

7 この法律において「匿名加工情報」とは、生存する個人に関する情報であって、次の各号に掲げる個人情報に当該各号に定める措置を講じて得られるもの(当該情報が含まれる情報であって、第1項第1号及び第2号のいずれにも該当しないものを含む。)及び第1項第3号に該当するものをいう。

一 第1項第1号に該当する個人情報 氏名、生年月日その他の記述等の全部又は一部を削除すること(他の情報に置き換えることを含む。)により、特定の個人を識別することができないようにすること。

二 第1項第2号に該当する個人情報 個人識別情報を全部削除すること(他の情報に置き換えることを含む。)

10月24日時点での条文の案文

このように、個人情報定義の容易照合性の括弧書きを分離して3号個人情報とし、匿名加工情報は除くとしたのである。

3号個人情報は、「個人情報取扱事業者において、他の情報と容易に照合することができ」とあって、容易照合性が提供元基準であることを明文で示そうとした様子も窺える。

3号個人情報から除かれているのは、「第7項に規定する措置を講じた者以外が取り扱う場合における当該措置に係る匿名加工情報」となっていて、これの意味するところは、要するに、匿名加工情報の受領者においては当該匿名加工情報は3号個人情報に当たらないとするもので、「第7項に規定する措置を講じた者以外が」とあるように、匿名加工情報を作成した事業者においては当該匿名加工情報を3号個人情報から除かないとしたものである。

なぜこうしたのか。

前の10月5日時点の案に戻ると、その時点では、匿名加工情報は個人情報でもある(場合もある)という想定だったようで、匿名加工情報は第三者提供できるものとするために、23条1項の例外規定に5号として「個人データ〔を加工して〕〔から〕匿名加工情報を作成し、第三者へ提供するとき。」を加えるものとなっており*10、また、個人情報に係る義務を外して安全管理義務だけは課すとするために、35条に準用規定として「匿名加工情報取扱事業者が取り扱う匿名加工情報は、個人情報に該当しないものとする。匿名加工情報取扱事業者の匿名加工情報の取扱いについては、第20条から第22条までの規定を準用する」という規定を置こうとしていた。

これが、10月24日の案で、匿名加工情報を個人情報に該当させなくするために個人情報定義の方を変更するという方向に舵が切られ、3号個人情報を定義して匿名加工情報を除くとしたわけである。(この結果、10月5日付案にあった23条1項5号の例外規定は撤回されている。)

このような方向転換は、前掲の7月22日付の法制局(参事官以下)の指摘「そもそもの個人情報の定義の問題ではないか?」、同じく9月22日付の指摘「個人情報ではなくなるのでは?」に従ったためではなかろうか。なお、この案の2日前の文書(後の12月の骨子案の素案に当たるもの)に「10/22部長」との手書きメモがあることから、この方向転換には法制局第2部長(法制局第2部の部長)も関与していた可能性がある。

その後この案は、10月30日付のものを経て若干の修正の上、10月31日付の案文で以下のように洗練されることになる。

資料の写真 資料の写真
図7: 10月31日時点での条文の案文

第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等(個人識別符号を除く。)により特定の個人を識別することができるもの

二 個人識別符号が含まれるもの

三 他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの(匿名加工情報を除く。)

2 この法律において「記述等」とは、(略)

3 この法律において「個人識別符号」とは、(略)

10 この法律において「匿名加工情報」とは、生存する個人に関する情報であって、次の各号に掲げる個人情報に当該各号に定める措置を講じて得られるもののうち、第三者に提供するために第41条の規程による公表をしたもの及び当該情報が含まれる情報であって、第1項第1号及び第2号のいずれにも該当しないものをいう。

一 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(他の記述等(個人識別符号を除く。次号において同じ。)に置き換えることを含む。)により、特定の個人を識別することができないようにすること。

二 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別情報の全部を削除すること(他の記述等に置き換えることを含む。)。

10月31日時点での条文の案文

このように、3号個人情報は、従前の括弧書き部分そのままの定義となり、シンプルに「匿名加工情報を除く」とされ、匿名加工情報は、1号個人情報を「特定の個人を識別することができないように」一部を削除又は置き換え、2号個人情報を全部削除又は置き換えたものということになった。そして、2号個人情報は現在と同じ「個人識別符号」の名称となった。

なお、この10月30日と31日は、一定の区切りの時期だったようで、それまでバラバラに作成されていた各条の案文が統合されて、法全体の新旧対照表が最初に作られた(二弁開示資料からの推測)ときだったようだ。

完全に仮名化のみで匿名加工情報とするものとして整理

そして、このころから骨子案の検討が始まっており、11月6日付のメモに、法制局第2部長の第1回審査の記録がある。

資料の写真
図8: 11月6日付「高度な情報処理技術の活用に伴う個人情報の保護及び利用の促進に資するための個人情報の保護に関する法律等の一部を改正する法律案の骨子(案)」

「匿名加工情報に関する規定の整備(新設)」のところに、手書きで、「個人情報には該当しないものとした上で」の部分が線で消され、「どういう意味?」「中途半端なので(条文には書くが)」「危ないもの〓〓?凄く〓〓ないのでは?」(判読困難)とのコメントが書き込まれている。

このときの部長審査の指摘事項をメモにまとめた資料があり、以下である。

資料の写真 資料の写真
図9: 11月6日付「個人情報保護法骨子案部長審査(H26.11.6)」

2枚目の写真のところに、匿名加工情報についての部長指摘が以下のように書かれている。

○ 匿名加工情報

容易該当性あったものなら、規制緩和になるはず。そこで、これも具体例を挙げながら、容易該当性はあるので危ないものではあるが、・・・の理由により個人情報とは別の扱いにするという。その措置を戻せば個人傭報になる。禁止違反をすれば個人情報になる。そのあたりの関係性を概念図にする。しかし、そのときに届出のような中途半端なものでいいのかもよく説明をすること。登録くらいは必要なのではないか容易に識別することができるかもしれないにもかかわらず届出のみでよいとする理由。一定の選別にはかからしめるべきと思うが。また、その届出はどんな意味があるのか。把握するだけというのはないと思う。届出という手法で何が達成されるのかを説明する。普通は変更を求めるとかそのたぐいの措置が別途あるはず。問題のある業者の場合の設例の下でどうなるのか、問題ないのかを解説すること。また、きちんと削除しているかどうかはどう担保するのか。

骨子案と条文案(2条1項3号)。「個人情報には該当しないものとした上で」とあるが、識別情報を削除したのに、まだ個人情報に当たっているというのが誤ったメッセージを与える。もしかしたら、復元禁止をもって、3号に当たらないとすることができるかもしれない。削除措置を戻したら個人情報になるという理解でよいか。(エ)提供を受けたを削除。

他の部分で、個人情報等として同じ扱いにしているところがあるが、個人情報と同じ扱いにしてよいのか。また、基本方針とかに出てくるのか。よく吟味を。その必要があるなら、保護だけ違うというのはおかしいし、題名も変えないとならないのでは?そうでないなら、最低限必要な場合に、含むくらいにしておけばよい。中途半端になっている。

これを見ると、部長も、「復元禁止をもって、3号に当たらないとすることができる」と考えていた様子が窺える。ただ、「もしかして、……かもしれない」と書かれているので、懐疑的だった可能性もある。

また、部長は、届出制では心許ないと指摘している。「容易該当性はあるので危ないもの」であるにも関わらず、登録制でない届出制で何の意味があるのかという指摘である。

そして、これと同じ時期に、(法制局への)「説明資料」(以下の図10)が作成されていた。日付がなく作成日が定かでないが、類似文書との前後関係から11月13日よりは前と推測され、内容に11月7日の国会答弁が引用されていることから11月7日以後のものである。

資料の写真
図10: 作成日不明(推定11月7日〜11月12日)「説明資料」

ここで注目は、資料番号2「個人情報と匿名加工情報(仮称)の関係性について」と、資料番号3「個人情報と匿名加工情報(仮称)における容易照合性の考え方について」である。

まず、資料番号2は以下である。

資料の写真 資料の写真 資料の写真
図11: 図10の資料番号2「個人情報と匿名加工情報(仮称)の関係性について」

ここに書かれている内容は、要約すると以下のことである。

  • 購入履歴と携帯電話番号を含む顧客データを題材として、氏名は削除か「Aさん」に置き換え、住所は削除か「東京都港区在住」などへ置き換えが求められ、生年月日は年齢に丸めることが望ましく、それ以外は「特に法律上加工が必要となるものでは無い」としている。
  • その上で、「新たに個人情報と位置付ける情報が含まれる場合」(個人識別符号のこと)があることから、「これを全部削除する必要がある」とし、この題材では携帯電話番号を削除することが必要としている。
  • 匿名加工情報について、「他の情報と照合することや削除された項目を復元すること等によって個人情報となり得るものではあるが、そのような行為がなされない限り個人情報ではないのであるから、個人情報に対して課されるような規律まで課す必要はない。」としている。
  • これについて、「匿名加工情報によって個人の権利利益侵害を侵害する場面とは」として、仝朕余霾鵑防元する、他の個人情報を追加する、B召両霾鵑半塙腓垢襪海箸砲茲辰篤団蠅慮朕佑鮗永未垢襪海箸できるようになった場合の3つだとして、それぞれの具体例を挙げて、「このように想定される場面を規制することによってそれらが実現しないよう配慮することで足りるものと考えられる。」としている。
  • ,龍饌領磴箸靴董◆崛蔀屬鮃屬犬深圓硫湛方法を入手し、元となった個人情報に含まれていた削除された記述等の削除アルゴリズムを解析し、削除された記述等を復元した。」を示し、「情報の削除に関するアルゴリズムが判明することにより、削除された情報を復元することができる。」としている*11
  • △龍饌領磴箸靴董匿名加工情報を分析して特定の人物であることを推定し、その人物に関する氏名、住所生年月日を匿名加工情報のデータセットに追加する場合を示している。
  • の具体例として、Tポイントの例を挙げ、「コンビニエンスストア○○板宿駅前点」が、「Tポイント会員番号、同人の平成26年9月28日午前7時29分同店舗において缶コーヒーとタバコを各1つ購入した」というデータセットをCCCに提供したというケース*12について、この提供情報が匿名加工情報であるとし、その受領者が、「各情報に含まれる情報の項目を介して特定の個人を識別することができる。」としている。
  • 加工した者について、「加工措置を施す前のデータセットや加工方法(削除のアルゴリズムや対応表)を保有していることがあり、匿名加工情報を元に戻すことができる。」とし、これを指して、「依然として「容易照合性」がある状態であり、現行法に照らせば個人情報に該当する。」としている。
  • これについて、「個人情報を復元しないこと及び個人情報と照合して特定の個人を識別すること等を禁止することによって」、「規制を免除することも認められると考えられる。」としている。

そして、これらの検討を結ぶ形で最後に以下のように結論づけている。

このように匿名加工情報は、復元行為等の禁止させ遵守していれば、特定の個人を識別することが無い情報であって、個人情報と同程度の規律を課すことまでは求める必要のないものである。

この帰結には問題があるだろう。

個人情報の定義は、昭和63年法の古来より、「個人を識別することができるもの」であって「個人を識別されるもの」ではなかった。OECDガイドラインでは「識別された又は識別されうる」となっているのだから、「識別することができる」はこれと同義のものと言うべきだろう。それなのに、ろくに検討することなく、実際に識別しなければ権利利益侵害がないと決めつけ、保護対象としなくてよいとしている。

真っ当な役人の仕事なら、ここで、なぜ「実際に識別しなければ権利利益侵害がない」と言えるのかを検討し、昭和63年法(その元となったOECDガイドライン)で、なぜ「識別することができる」ものを対象とし、識別すること自体を対象としなかったのか、その趣旨に立ち戻った分析から行う必要があることに気づくだろう。ここでは、そういった検討・分析が行われていない。

一方、資料番号3は、以下のことが書かれている。

資料の写真 資料の写真 資料の写真
図12: 図10の資料番号3「個人情報と匿名加工情報(仮称)における容易照合性の考え方について」
  • 容易照合性の解釈について、消費者庁の「容易照合性」解釈として、2014年11月7日の衆議院内閣委員会での答弁を引用し、「社内規定によるアクセス権限では容易照合性が否定されるとは一律に言えないとし、「容易照合性」の判断については実際に情報を取り扱う事業者が有する情報、組織体制、知識及び技術等すべての情報を基礎として、そのような状況にあれば特定の個人を識別することができるか否かを一般人の感覚をもって判断するとしている。」として、「「容易照合性」に関する規定及び解釈は、「個人情報」の定義につき、改正法案においてもこれを引き継ぐこととしている。」としている。
  • 容易照合性の事例として、Suica事案を示して、「同社は削除・置換のアルゴリズムを廃棄しているが、氏名等を含むデータセットと新たに作成されたデータセットを比較すると、詳細な内容を有する複数項目が合致する。このような場合、項目を突合させるのみで事業者は特定の個人を識別することが可能である。システム上両データセットは連結していないものの*13両データセットは一対一対応が可能な状態で照合によって特定の個人を識別し得る場合については全く知見を有しない者であっても照合によって特定の個人を識別することができ、かつ、両データに対してアクセスし得る人間が複数存在していることから、「容易照合性」があると言える。」としている。
  • 匿名加工情報について、「個人情報と照合することによって特定の個人を識別することが可能であるところ、事業者によっては「容易照合性」との関係で、個人情報の定義に含まれ得るものであるため「匿名加工情報」と「個人情報」の関係が問題となる。」として、次の2点を示している。
  • 匿名加工情報を作成した事業者について、「元となった個人情報を引き続き保持し、かつ措置方法を有していることが通常である」という理由で、「匿名加工情報と元となった個人情報は容易に照合することができる状態にあると言える。」としている。
  • それを、改正法は、復元行為等を禁止し、照合行為を禁止することから、「容易に照合可能な状態にあるとは言えず、解釈上個人情報に該当しない。」としている。
  • そのように解釈する理由として、「容易照合性の判断は、同事業者の規模、技術的措置、組織的措置等その他具体的な事情を元に総合的に判断する法的評価である。」とした上で、「社内規定によって照合を制限するのみでは容易照合性を否定しないと解釈する理由」を、「内規による処罰はあり得ても個人情報保護法においては何ら罰則等が規定されているものでは無く、照合禁止が実質的に担保されるもので無い」とした上で、それとは異なり、「改正法は復元行為等の禁止という法的義務を課し照合を禁ずるものであり、当該義務違反に対しては、個人情報保護委員会による執行等が担保され」るのだから、「現行法下の状況とは異なることとなる」からだとしている。
  • 匿名加工情報を取得した事業者について、「匿名加工情報の提供者との間で業務上個人情報のやり取りがあるため元データとの照合の可能性がある、又は取得者が保有している若くは特段のコストをかけることなく取得し得る情報と照合することにより特定の個人を識別することがあり得る。このような場合には、容易照合性がある状態と言える。」とした上で、「制度的担保があることから容易に照合可能な状態にあるとは言えず、解釈上個人情報に該当しない。」としている。

注目は、Suica事案についてJR東日本の日立への提供は個人データの第三者提供だったと整理しているところである。「同社は削除・置換のアルゴリズムを廃棄しているが」(実際には報道される前は廃棄していなかったと思われるが)と仮定した上で、それでもなお、元データとのデータセット照合によって容易照合性が認められるケースだと整理している。「詳細な内容を有する複数項目が合致」「項目を突合させるのみで」「両データは一対一対応が可能」「全く知見を有しない者であっても」とパワーワードが並んでいる。

その上で、そういう「容易照合性」解釈を「個人情報」に対しては改正法においても引き継ぐとしつつ、「匿名加工情報」については「現行法下の状況とは異なることとなる」として、照合禁止義務によって容易照合性は否定されるとした。

ここではっきりするのは、後の36条5項の、匿名加工情報作成者に対する照合禁止義務は、この時点から入れることになっていたのであり、2015年12月6日の日記「匿名加工情報は何でないか・前編」での推測(「どこぞの事業者の要望によって後からねじ込まれたこの規定」云々)は的外れだったことになる。

この文書は、11月13日付の「第二部長ご指摘事項」の文書に若干の加筆の上で引き継がれており、11月28日付の「ご説明資料」にも引き継がれ、12月1日の長官審査に持ち込まれたようである。

11月13日付「第二部長ご指摘事項」は、以下の内容であり、11月6日の部長指摘を受けて作成されたもののようである。注目は「資料番号2」と「資料番号3」であるが、ここでは「資料番号2」だけ取り上げ、「資料番号3」については後で取り上げる。

資料の写真 資料の写真
図13: 11月6日付「第二部長ご指摘事項」

ここの「資料番号2」は、前掲図10の「資料番号2」に若干の加筆をしたもので、1ページ目の事例が増えた他に、匿名加工情報に対する安全管理措置について加筆されたほか、以下の「まとめ」が加筆されている。

ウ まとめ

このように、匿名加工情報については、これを扱う匿名加工情報取扱事業者(第2条第11項)*14に対して復元行為等の禁止(第37条)の義務を課し、これにより、匿名加工情報は解釈上個人情報に該当しないものである

作成者においては、通常元データを保有し、対照表や加工のアルゴリズムを保持していること等から容易照合性が認められるところであり、復元行為等の禁止(第37条)を課せられることからこれが否定され、匿名加工情報について個人情報の規律から除外される点については、本人関与に関する義務等が課せられないことから規制緩和的な側面が認められる。また、受領者においては、元データとの照合や自ら保有する個人情報との照合によって容易照合性が認められることは、実際上作成者に比して多くないものであるところ、復元行為等の禁止規律を課されること自体が規制強化的な側面があることは否定できない。しかしながら、取得した匿名加工情報の容易照合性を逐一確認して個人情報該当性を判断することは、大量の情報が流通することが予想されることに鑑みても非常に煩瑣であることから、やはり規制緩和的な側面が認められるものである。

第2段落後段の「取得した匿名加工情報の容易照合性を逐一確認して個人情報該当性を判断することは」云々については、後で再び詳しく触れるが、これは新Q14(経産省ガイドラインQ&Aの改正後Q14)に照らせば、元々規制されていないものと言うべきであり、この理由から「照合禁止義務により容易照合性が否定される」とする解釈を導く必要はなかったと言うべきだろう。

そして、第2段落前段は、対照表による容易照合性も照合禁止義務によって否定されると言い切っている。ここは後で重要となる点であるので覚えておきたい。

なお、この説明に対して、法制局第2部長からダメ出しがあったようで、「ウ まとめ」の部分に「不明」と強い調子の手書きコメントが書き込まれている。下の部分の手書きコメントには、「容易なのか否かが問われている。」「復元禁止 → 容易でないと言っているだけ」「復元禁止義務を課している」「ハードルとしていかに高いか」と書かれているのだが、どういう趣旨の指摘かよくわからない。

そして、この資料には最後のページに以下の図が付け加えられている。前回11月6日の部長指摘に従って図式化したものであろう。

資料の写真
図14: 図13の文書中の図「7.個人情報と匿名加工情報の関係性について(概略図)」

この図は、容易照合性に係る情報を「3号個人情報」と位置付け、「匿名加工情報」の扱いにした情報は、提供元でも提供先でも「3号個人情報」に該当しないものとすることを端的に表している。

「3号個人情報」と「匿名加工情報」は「※外形上は同一」と書かれており、これは、完全に、仮名化のみで匿名加工情報とするものとして整理されたことを意味している。

すなわち、もしこの案のまま法案が提出されて成立していたら、2013年のSuica事案はそのままで合法化されるところだったわけである。「日経新聞の執拗な誤報」(日経新聞は繰り返し「名前や住所」を取り除けば匿名加工情報になると報じていた)も、この時点の情報を元にしていたのなら、あながち間違ってはいなかったことになる。

なお、ここで、3号個人情報として容易照合情報を分離したことと、照合禁止義務により容易照合性がなくなるとする法解釈とは、自己矛盾しているかのように見える。なぜなら、3号個人情報を分離し、匿名加工情報は容易照合情報に含めないものとすると個人情報定義の方を変更したのだから、「照合禁止義務により容易照合性がなくなるとする法解釈」はもはや不要となったはずである。それなのに前掲図13のように説明されているのは、法には過去からの継続性が求められるのであって、勝手に定義を変更してよいわけではなく、したがって、元から「照合禁止義務により容易照合性がなくなる」という法解釈ができたという前提で、このように定義を変更したということにする必要があり、この定義変更はそのことの明確化だと位置付けていたもの(担当者がそこまで意識できていたかは定かでないが)と推察できる。

内閣法制局長官がこの案を拒絶して現在の形に変更

そして、2014年12月1日、内閣法制局で最初の長官審査が行われたようだ。以下の図15は、長官審査での骨子(案)案と、長官指摘事項のまとめ文書である。

資料の写真 資料の写真 資料の写真
図15: 長官審査時のメモと長官指摘のまとめ(12月1日)

長官指摘(12月1日)

まだ粗いので、19日に公表というのは難しいのではないか。

(略)

○ 匿名加工情報(2)

復元禁止の規制で対応しようというのは無理がある。個人情報に戻りかねないものが容易に流通することになるのは危険すぎる。加工者が第三者に提供する時点で、復元ができないように、個人識別情報にたどり着けないように、加工しなければならないことにするべきである。(容易照合もできないような形で提供すべきである)

その上で、加工者と二次的な利用者は分けて規制を設けるべきである。

なんといういちいちごもっともな指摘であろうか。

骨子案への手書きメモにも興味深いコメントが山盛りになっている。「こんなものが出回る〓がもたない」「もたない。出すときにできないようにする」「出すところで復元できない様に」「照合できないデータを提供できるようにすること」「復元できないようにして出すべき。」「もらった方が照合できない(技術的に)」「復元不能にして出す。」「照合不能にして出すこと」「第1次の(匿)を出もとは全部削除して提〓〓ギムを課す」「いとも簡単に〓〓できるのはおかしい」と、同じことが繰り返し書かれていることから、そうとうガミガミ・クドクドと指摘されたのではなかろうか。

長官がこのように的確に指摘できたのはなぜであろうか。次のような可能性があるだろうか。

  1. 長官はこれまでの個人情報保護法の制定経緯を熟知していることから、この案が法の趣旨に反するとわかるから。
  2. 長官は匿名加工のあり方を独自に調査しており、EUのGDPRがpseudonymisation(仮名化)ではpersonal dataのままだとする方向に決まりつつあることを知っていたため、この案では致命的にEUと違う方向へ行ってしまうと危機感を持ったから。
  3. 単純に法律解釈論として、照合を禁止するという行為規制によって客体の定義該当性が変わるという解釈は「無理がある」のであり、「もたない」と考えたから。
  4. 長官は当然の業務として骨子(案)案の元になったパーソナルデータ検討会の技術検討WG報告書を読んでいたから、この案は技術検討WGの指摘に反するものと考えたから。
  5. 立案省庁側(この場合は内閣官房IT総合戦略室)の主張と法制局部長以下の指摘の全部を把握したことで、単純に論点の再整理によって、法制局部長以下のその場その場の指摘のせいで当初案から次第にズレてきた結果こうなっているにすぎないと気づき、リセットする必要があると考えたから。
  6. 長官はかしこいので。この局の長なので。

5.は、こういった決定を担う組織のトップに求められる必然的職務であり、局所解に陥った部下の指示をひっくり返すのはありそうな話だと思う。ただ、この件の場合に、IT総合戦略室が十分に本来の趣旨(技術検討WGの指摘)を主張していたのかは不明である。

1.がその通りであるなら、まさに内閣法制局の真骨頂である。内閣法制局の役割は、単なる案文に対する立法技術的な助言のみならず、他の法令を含めた過去の経緯や全体の法体系の整合性を維持することにあるのであり、3号個人情報に分離して本来の保護趣旨をなかったことにするのは到底認められないと判断したのかもしれない。(参事官以下ではそういったことまでわからず、こういう展開になりがちと思われる。)

4.や2.については、そこまで調べている時間が長官にあるのだろうかという疑問は感じるが、今の長官(このときの長官)は、2003年の個人情報保護法が成立したときの法案審査(旧法案ではなく新法案についてだけだが)に総務主幹の職で関与していたことから、この法について特別の思い入れがある可能性があるかもしれない。

3.については、そうだと信じるに足る証拠がないが、我々としてはそうだったものと期待したい。図15のメモは、長官の指摘を聞き取ったIT総合戦略室の理解で書かれたものにすぎず(法制局側では記録を残さないようだ)、十分に書かれていない可能性があるだろう。「無理がある」「もたない」という長官の指摘が、どういう意味で「無理がある」「もたない」ということだったのか。世論的に国会で「もたない」という意味だったのか、法解釈を巡って裁判となった場合にこの解釈では「もたない」という意味だったのか。

いずれにせよ、この長官指摘により、「3号個人情報」分離案はボツとなり、条文の案文も、考え方の説明資料も変更されていった。以下、その様子を確認していく。

まず、長官指摘から3日後の12月4日、次長審査があったようで、以下の文書が作成されていた。

資料の写真
図16:「個人情報保護法骨子案 次長指摘(H26.12.4)」

個情法制定時の資料がほしい。

○ 個人情報が流用されるとの不安感があるので、この不安感の上にさらに緩和するというのはよくない。まずは保護の上で現行法の不備と十分な点を明らかにして、不備の部分には保護の強化策をとるということを示してから、緩和措置を書くべき。(順序を逆転、あるいは現行法の規制の在り方の評価と個人情報の保護の強化策について)

そもそもの初期からの立案方法に対してダメ出しされている。この段階で言っても手遅れなわけだが。(この次長指摘は、利用目的変更オプトアウトの案に対する苦言だったかもしれないのだが、匿名加工情報についても共通する指摘だろう。)

次に、12月9日付と推定される(二弁開示資料から)文書「匿名加工情報(仮称)に関する規定の整備(新設)について」がある。これは以下の内容であり、これまでの前掲の「説明資料」を置き換えたものと考えられる。

資料の写真 資料の写真 資料の写真
図17: 12月9日(推定)「匿名加工情報(仮称)に関する規定の整備(新設)について」

文書は1ページ半と短く、制度趣旨から始まって、規律の考え方まで簡潔に書かれている。下線部は、法制局審査時のメモによって下線が引かれていた部分、強調部は、手書きコメントの対象部分である。

1. 改正の背景と要点

(1) 今般の改正が政府成長戦略の枢要であること

(略)

(2) 制度の要点

ビッグデータビジネスを振興するためには、(略)ところ、現行法下において、JR東日本が乗客の乗降履歴から氏名等特定の個人を識別する情報を削除したデータを個人情報に該当しないものとして本人同意を得ることなく第三者に提供したところ、世論が激しく反応し、同種の提供に関する事業は中止せざるを得なくなる事案が生じた。

規制改革会議は、現行法下においても個人情報を加工することで「非個人情報化」することによって本人同意なく個人情報を提供できるよう解釈で対応するよう法を所管する消費者庁へ求めていたところ、技術的側面より、汎用的で完全な匿名化措置というものはおよそ無いという意見を得た(IT総合戦略本部パーソナルデータ検討会・技術検討WG)ことから、法制整備によって措置を講じることとなった。

これらの事情を踏まえると、制度整備の要点は、.咼奪哀如璽織咼献優垢鮃圓Δ謀たって情報の有用性を喪失しないこと、加工を施しどのような情報とすれば足りるか等、制度が明瞭で利活用に躊躇しないものとなること、F碓佞紡紊錣訌蔀屬鮃屬検個人の権利利益侵害を防ぎうるものとして情報に係る本人の不安感を払しょくすることにあることとなる。

また、これまで経済団体、民間事業者、消費者団体等のステークホルダー間の調整を行い、さらに諸外国のデータ保護機関からヒアリングを行った結果、国際的な調和を保った事業者と個人情報に係る本人の利害のバランスが図られた制度として、骨子(案)のような制度とすることとした。

2. 規律の考え方

個人情報に加工を施し、データから特定の個人が識別できないようにしても、元のデータを保有している、加工方法を知っている、又は情報を照合することで、共通する内容から個人を割り出すことができ、再び特定の個人を識別するに至ることがある。そこで、本人の同意を得ずに情報を提供する制度とするためには、特定に至ることの無い様な仕組みを作ることが求められる

しかしながら、上述の通り、技術的には汎用的で完全な匿名化措置というものはおよそ無いこと及び技術の発展に伴い多種多様かつ大量な情報が集積されうる現代において情報が流通する先における特定に至るリスクを予測することは不可能に等しい。

このため、特定に至るリスクを匿名加工情報(仮称)の作成者と受領者に適切に分配することとし、併せて情報の有用性を喪失しない程度とすることを企図して骨子(案)の制度設計としている。どのような情報であれば提供できるのかという加工の程度が明確であり、かつ、個人情報に係る本人が安心できる制度でなければ、およそ情報の流通・利活用の環境整備がなされたということはできず、成長戦略で企図するところを実現することができない。またこれは、これまでステークホルダーらの調整を行いつつ制度を検討して受けた感触としても、今改正の重要な方向性であると考えられるものである。

匿名加工情報(仮称)に関する規定の整備(新設)について, 2014年12月9日付(推定)

このように、もはや、「照合禁止義務を置くことで容易照合性がー」といった記述は取り払われている。

手書きコメントには、「制度が明瞭で利活用に躊躇しないものとなる」「本人の不安感を払しょくすることにある」とされた部分に、「その通り。だから〓扱い〓〓」と☆マーク付きで書き込まれており、これまでと違った整理になったことを示している。

続く「規律の考え方」の「特定に至ることの無い様な仕組みを作る」の部分には、「可能な限り特定できるのす〓〓くことはできるはず。」と書き込まれており、仮名化だけでない加工もできるはずだということが指摘されたように見える。

そして、「加工の程度が明確であり」の部分には、「基準で定めればよい。」と☆マーク付きで書き込まれており、「取扱者のギムも、照合禁止の前の 照合できる状態に置くことを禁止 は変更する」と書き込まれている。

これらから、この段階で明確に、「仮名化のみで匿名加工情報とする」案は放棄されたように見える。

そうすると、それが規制緩和になるのかという疑問が湧くことになるのであろう。必ずしも規制緩和と言えなくても、「制度が明瞭で利活用に躊躇しないもの」とする意義があるのだと、この時点で改めて再整理されたように見える。

最後の文には、ステークホルダーらとの調整でもこれで受け入れられる感触だというようなことが述べられている。これがいつ行った調整のことか不明だが、パーソナルデータ検討会での検討のことを指すのなら、技術検討WGの提案に戻ったということであろう。

また、「制度の要点」の最後の文に、「諸外国のデータ保護機関からヒアリングを行った結果、国際的な調和を保った事業者と個人情報に係る本人の利害のバランスが図られた制度」と書かれていて、これは、前掲の「説明資料」には書かれていなかったことである。いつの間に諸外国制度との調和を図ったのか不明だが、「利害のバランスが図られた制度」とあることから、長官にダメ出しされるまでの旧案は、諸外国制度と乖離していて、国際的調和が保てないとの認識があって、ここで変更することは正しいのだと、この部分は言わんとしているように見える。

そして次に、翌週の12月16日に、長官・次長の第2回審査(対象は骨子案)があったようで、このときの長官指摘事項のメモが以下のように残されている。

資料の写真 資料の写真
図18: 12月15日付骨子(案)案と「個人情報保護法骨子案 長官御指摘事項(12/16)」

長官御指摘事項(12/16)

匿名加工情報の加工は、その情報から個人情報が辿れないことが重要。そこで、「容易に」ではなく、「復元ができないように」すること。漏洩防止は、加工とは別途記載することにして、「その他の復元を可能とする情報」は、復元ができると強調しているようなのでやめること。

どうやら、このときの長官指摘によって、匿名加工情報の定義に、「特定の個人を識別することができないように」に重ねて「復元することができないように」が加えられることとなったようだ。(前掲のように、10月31日時点での条文の案文では、「特定の個人を識別することができないようにすること」の方だけが書かれていた。)

法案が国会に出されたとき、「識別できないと復元できないは同じことじゃないか、どういう違いがあるんだ?」との疑問を持ったが、この経緯からすると、どうやら本質的な中身の違いはさしてない*15ようだ。

これは、これまでの法制局の整理で、「識別できない」の意味が、単に氏名等を削除する意味で使われて来てしまっているので、その延長線上で長官の指摘を確実に入れ込むには、追加的な何かが必要だったのではないか。長官の指摘を反映させたものとしての「復元できないように」なる概念が作られたにすぎないということではないだろうか。(この点については後で再度検討する。)

ところで、このときの骨子(案)案に手書きコメントがいくつかある。「復元を可能とする情報(……「復元可能情報」という。)」とある部分が、長官コメントで「やめること」と指摘された部分のようで、打ち消し線で消されている。

ここに、「復元可能情報」の部分を指して、「ハッシュは復元とは言わない」(「復元」の直後が判読困難だが「とは」と推定)、「復元は可能でない様に」とのコメントがある。ここが重要なところだが、どういう意味なのだろうか。

開示資料を見渡すと、12月16日付と推定される(二弁開示資料から)文書中に、以下の図が新たに作成されており、ここにハッシュの話が出てくる。この文書がこの長官審査に持ち込まれていたのだろう。

資料の写真 資料の写真
図19: 2014年12月16日付(推定)「匿名加工情報について(イメージ)」

この文書から言えることは何か。

まず、1枚目の写真のページには、「記述等の削除・加工の例」として、「3級区分への変更(グルーピング)」、「て端譴並粟をまとめる(トップコーディング)」、「ゥ離ぅ困良娉叩廖◆岫κ数者のレコード間で値を入れ替え、並べ替え」が書かれている。これらは一連の法令審査録の中でここで初めて登場しているものであり、12月1日の長官指摘によって方向転換された結果、初めて書かれたものであろう。

次のページ(2枚目の写真)に書かれているように、「、い砲弔い 特徴的な値が削除されるとともに、同一の値を持つデータが増えるため、容易に復元できないこととなるもの。」、「ァ↓Δ砲弔い 情報としての有用性が低下しない程度で誤った情報が含まれることとなり、仮に情報が復元された場合でも、その情報が正しい情報かについて疑義が生じるため、元の情報を容易に復元できないことととなるもの。」とあることから、11月までの案で「仮名化のみで匿名加工情報とする」としていた構想が破棄されていることを確認できる。

次に、2枚目の写真のページの「 廚砲蓮◆Suica番号」に鍵付きハッシュ関数*16を通して「ハッシュ値」を作ることについて書かれており、「ハッシュ値から元の符号(Suica番号又はソルト)が推知できないことから、Suica番号を復元できないもの」とある。

確かに、この方法で、受領者においては復元できないものとなるが、ハッシュ関数と鍵を持っている提供者においては、その下の部分に書かれているように、「事前に計算して照合できてしまう」わけで、提供元においては容易照合性があるというべきものだろう。

前掲のように、長官がこの部分について何かを指摘したようだが、「ハッシュは復元とは言わない。復元は可能でない様に。」では意味が通じない。「(提供元では)ハッシュで復元できなくなるとは言わない。復元は可能でない様に。」というのなら意味は理解できる。これはいわゆる「連結可能匿名化」であり、連結可能匿名化は、消費者庁見解の通り、提供元において容易照合性があって個人データとなるのであり、長官がそのことを指摘していたのだとすれば、照合禁止義務により容易照合性が否定されるとする法解釈は「無理がある」「もたない」ということがここでも指摘されたのかもしれない。ただ、残念ながらその確証はない。

そして、翌日の12月17日に、第3回の長官・次長審査があったようで、ここで骨子案について了承されている。骨子案がパーソナルデータ検討会の最終回にかけられたのは、予定通りの12月19日であった。

そして、その翌週の12月22日、部長審査があったようで、以下の指摘メモがある。

資料の写真
図20:「個情法新旧 部長指摘(H26.12.22)」

個情法新旧 部長指摘(H26.12.22)

(略)

(個情法)

  • 2条1項3号 容易照合というのを独立して規定するのは適当でない。ボーダーみたいな微妙なものを「含む。」と規定していたのを変えるのは問題をはらむのではないか。
  • 2条8項の要配慮個人情報は、(略)
  • 匿名加工情報の定義で、1号と2号を除き、3号を除かないというのは、匿名加工情報は、どうあっても復元しないようなものとした考え方と相容れないのでだめ作成者にとっても、物理的にはできるかもしれないが、もはや容易照合ができないものと整理してよいのではないか。
  • また、匿名加工情報取扱事業者の定義で、作成者を入れようとしているが、(略)
  • 23条の2等の配置が、(略)

この部長指摘により、条文の案文においても、3号個人情報を分離する案はボツとなったようだ。

ボツにする理由が2つあり、一つは、長官指摘による方向転換により、匿名加工情報の定義で1号2号個人情報を3号個人情報と区別する必要性がなくなった(長官は「容易照合もできないような形で」と指摘していたわけで)という理由であり、もう一つは、個人情報定義そのものとしても、「ボーダーみたいな微妙なものを」変えたら問題をはらむという理由となっている。この後者の指摘も至極真っ当なもので、残されていたら危ういところだったと思う。

部長も11月の時点では、前記のように「復元禁止をもって、3号に当たらないとすることができる」と考えていた様子があったが、12月の時点では、このように「どうあっても復元しないようなものとした考え方と相容れない」としており、長官の指摘に従って考え方を変更していることがわかる。このように、長官の指摘は無視されておらず、内閣法制局の総意として支持されていたことを確認できる。

そして、この部長コメントに、「作成者にとっても、(略)もはや容易照合ができないものと整理してよいのではないか。」との指摘がある。これは、長官の指摘「容易照合もできないような形で」を作成者においても適用することを想定しているのであり、文脈からして、照合禁止義務を援用せずとも、データ自体からしてもはや容易照合できないものと整理してよいと言っているのだろう。そうであるとすれば、消費者庁見解を維持するのであるから、対応表を残すことは容易照合性を残すことになるので、対応表は残さない前提で語られているのではなかろうか。

この変更により、匿名加工情報の定義の意義も変わったということになる。なぜなら、匿名加工情報の定義は、1号個人情報と2号個人情報に分けて処置方法を示して定義しているので、3号個人情報が撤廃され、容易照合情報が1号個人情報内に戻されたのであるから、匿名加工情報についても、1号個人情報に係る部分の処置方法の解釈が変わってくるからである。

前記のように、長官ダメ出し前の案では、匿名加工情報定義中の「特定の個人を識別することができない」の条文の解釈は、容易照合性の括弧書きを含まない意味での「識別することができない」の意味だと説明されていた(図36枚目の写真のページの「(3)」の部分)。それで自然であったのは、長官ダメ出し前の案では、1号個人情報の定義から容易照合性の括弧書きを外していたからである。

それが、長官ダメ出し後の案では、1号個人情報の定義に容易照合性の括弧書きが入ったのであるから、「特定の個人を識別することができない」の条文の解釈は、その括弧書きを含む意味で「識別することができない」と解する方が自然なものとなり、「特定の個人を識別することができない」に括弧書きがないのは省略されているのであって、除外しているのではないと見ることができる。

冒頭の「問題の所在」に戻り、A説かB説かを整理したビジネス法務2016年11月号の記事で書いた以下は、このことと整合している。

2条9項の定義は、前記の△猟未蝓崙団蠅慮朕佑鮗永未任ないように加工したもの」としており、その意味は前記の通り個人情報定義を「反対から捉えたもの」であるから、A説が自然な解釈と思える。

高木浩光, 匿名加工情報の制度概要と匿名加工基準の規則案, ビジネス法務16巻11号, 17頁, 2016年10月

この「反対から捉えたもの」は、前掲の瓜生編「一問一答」の以下の部分からの引用であった。

1 匿名加工情報は、個人情報を加工して、‘団蠅慮朕佑鮗永未垢襪海箸できず、当該個人情報を復元することができないようにしたものです。

この「特定の個人を識別することができない」とは、「個人情報」(第2条第1項の「特定の個人を識別することができる」という要件をいわば反対から捉えたもので、加工後の情報から、当該情報と具体的な人物との一致を認めるに至り得ないことをいいます(Q7参照)。

瓜生和久編著, 一問一答 平成27年改正個人情報保護法, 商事法務, 41頁

この文章からでは、「特定の個人を識別することができない」が、容易照合性の括弧書きを含めて言っているのか、含めずに言っているのか、はっきりしないが、今回確認した長官ダメ出し後の流れを見れば、含めた意味で解するものと言うべきだろう。12月1日の長官のダメ出し(図15)が、「容易照合もできないような形で」と指摘していたのは、容易照合性の括弧書きを含めて「特定の個人を識別することができない」ようにせよという意味だろう。

法制局ではその後、閣議決定の直前まで条文の微修正のための協議が続き、2月12日の与党修正を受け入れる際に、改めて長官からの指摘への対応として、IT総合戦略室から、「識別行為の禁止を匿名加工情報の作成者にも課すことについて」との文書が以下の内容で提出されていた。(38条とあるが、これは後の36条5項のことである。 )

資料の写真 資料の写真 資料の写真
図21: 2015年2月12日の法制局との協議

3. 識別行為の禁止を匿名加工情報の作成者にも課すことについて(改正法第2条による改正後の個人情報保護法第38条関係)

匿名加工情報は、規則で定めるところによる適切な加工によって、特定の個人を識別することができず、かつ、作成に用いた個人情報を復元することができないものであるから、基本的には、作成者を含めたいずれの事業者においても現行法第2条第1項(改正法第2条による改正後の第2条第1項第1号)に定める「個人情報」とは異なるものとなる。

そうであるとしても、匿名加工情報を作成した個人情報取扱事業者においては、作成の元となる個人情報が保有され、加工方法が明らかであり、また実際に加工に従事した者が存在することから、当該匿名加工情報と作成の元となる個人情報との間に「容易照合性(同項(改正後の第1号)カッコ書)」が認められ、作成者においては依然として個人情報に該当するのではないか、との疑問が呈されるところである。

これについては、今回、個人情報保護委員会規則で定める基準に従った加工によっておよそ作成の元となる個人情報との照合が困難な状態にするとともに、匿名加工情報を作成した個人情報取扱事業者についても、改正後の第38条第1項に規定する「識別行為の禁止」義務が課され、作成の元となる個人情報に係る本人を識別しないことを担保することとしており、「容易に」照合できるものではないことから、「容易照合性」は否定されると考えられるものである。

他方、個人情報から削除された記述等若しくは個人識別符号又は加工の方法に関する情報は作成者において既に保有されており、その取得を禁ずることは概念上無理であるから、これについては第三者から提供受けた者に限ることとしたい(同条第2項参照)。

この整理で、「問題の所在」で示した、瓜生編「一問一答」の記述「Xであり、さらにYであることから、Zである。」にだいぶ近い説明になっている。

よく読むと、この文は、瓜生編「一問一答」の記述よりも正確なものだ。以下に2つを並べてみる。

匿名加工情報は、特定の個人を識別することができず、作成の元となった個人情報を復元することができないように加工したものであり、さらに、個人情報の本人を識別することを禁止する等の制度的な担保がなされていることから、作成の元となった個人情報を通常の業務における一般的な方法で照合することができる状態にあるとはいえず、個人情報に該当しないとするものです。

瓜生和久編著, 一問一答 平成27年改正個人情報保護法, 商事法務, 49頁

これについては、今回、個人情報保護委員会規則で定める基準に従った加工によっておよそ作成の元となる個人情報との照合が困難な状態にするとともに、匿名加工情報を作成した個人情報取扱事業者についても、改正後の第38条第1項に規定する「識別行為の禁止」義務が課され、作成の元となる個人情報に係る本人を識別しないことを担保することとしており、「容易に」照合できるものではないことから、「容易照合性」は否定されると考えられるものである。

2015年2月12日付「3. 識別行為の禁止を匿名加工情報の作成者にも課すことについて(改正法第2条による改正後の個人情報保護法第38条関係)」

上の文では、Y部が「担保がなされていることから」と、Z部の理由の文になっているのに対し、下の文では、Y部が単に「担保することとしており」と書かれていて、必ずしも理由の文にしていない。

上の文では、「照合することができる状態にあるとはいえず」と、状態に焦点を当ててしまっているが、下の文では、「照合できるものではないことから」と、「もの」(つまり情報)の性質に焦点を当てている。前者だとアクセス制御説の復活を予感させかねないが、後者の文ではそれを予感させない。

そもそも、この文は、前の段落の「そうであるとしても、……との疑問が呈されるところ」という誤解に基づく疑問に答えるものであるから、単に「誤解」と答えればよいわけで、本来、理由など必要ないのである。照合できないようにしたものなのだから照合できないのである。

上の文の方が下の文より後に書かれたものであるにもかかわらず、下の文の方が、法制局が法案審査で認めた考え方に近いのではないか。これらは同じ人が書いた文章ではないのだろうか。下の文を書いた人は、法制局の手助けもあってか正確に理解していたのに、上の文を書いた人は、別の担当者なのか、それとも、法制局で言われたことの理解が浅かったのか、ダメ出し前の整理に引きずられて、独自の見解を若干ながら混ぜこんでしまったように見える。

これがその後どうなったのか

こうして内閣法制局の審査を通り、閣議決定された最終案は、国会に提出され、ほぼそのまま成立した。以下、国会提出後にそれがどうなったのか、展開を追い、検証してみる。

冒頭の「問題の所在」で示した、2015年3月10日の衆議院予算委員会第一分科会での向井治紀内閣審議官の「匿名加工情報は、そもそも、作成に用いた個人情報と照合することが禁止されておりますので、容易照合性は認められないと私どもは解釈しております。」との答弁は、こうしてみると、結局のところ、法制局長官がまさにダメ出しした古い内部文書「説明資料」(図10図11図12図13)を読んだ理解で答えたにすぎないのではなかろうか。つまり、このとき審議官は、法制局でダメ出しがあって作り変えていることを承知していなかったのではないか。

一般に、国会答弁に立つ内閣審議官や局長が、自らこうした内部文書に目を通すかは、人によりそうだが、当人が目を通していなくても、答弁案を作成して説明をしたIT総合戦略室(その中の「パーソナルデータ関連制度担当室」)の参事官以下が、古い内部文書に基づいて説明してしまったのではないか。そういうことが起きたとすれば、担当室内で、12月1日の長官ダメ出しがあったのを把握していた者が、かなり限られていたのかもしれない。瓜生参事官は把握していたはずと考えられるが、なぜこうなったのだろうか。

そして、法案が可決成立し、2015年12月に瓜生編「一問一答」が出版される。そこに書かれた「Xであり、さらにYであることから、Zである。」の記述が、間違ってはいないこと、しかしながらやや詰めが甘かったことは、前記の通りである。

その2か月前、2015年10月に、第二東京弁護士会情報公開・個人情報保護委員会編著「Q&A改正個人情報法保護法 −パーソナルデータ保護法制の最前線−」(新日本法規)が出版されている。

前記のように、この本は、IT総合戦略室に情報公開請求して開示された資料を基に書かれたもので、当時では誰も知らないことが書かれている最先端の本だった。内部資料に基づいた解説なので、正確な説明がなされていいるに違いないと受け取りがちである。

しかし、匿名加工情報について、この本は以下のように書いていた。(写真中の蛍光ペンでのマーキングは、発売当時に書き込んだもので、現在の関心部分ではない。)

資料の写真 資料の写真
図22: 第二東京弁護士会情報公開・個人情報保護委員会編著「Q&A改正個人情報法保護法 −パーソナルデータ保護法制の最前線−」(新日本法規、2015年10月)103頁、104頁

そうすると、「匿名加工情報」を作成したとしても、匿名加工情報を自ら作成した提供元事業者は、匿名加工情報を有し匿名加工措置の方法を有していたり、両データのシステム上の連結性が存在したり、両データにアクセス可能な人間が複数存在する等の事情があれば、容易照合性要件が満たされ、「匿名加工情報」が同時に「個人情報」であるという状態が生ずるのではないか、との疑義が生じます。(開示資料92)。

(略)

しかしながら、改正個人情報保護法においては、以下のとおり解釈上、提供元事業者及び提供先事業者のいずれにおいても「匿名加工情報」は「個人情報」に該当しないものと考えられます。

(2) 提供元事業者について

提供元事業者(匿名加工情報を自ら作成した個人情報取扱事業者)は、匿名加工情報と他の情報を照合することを禁止する義務を負っています(新法36ァ法この規制に事業者が違反した場合には、個人情報保護委員会による勧告、命令等の法執行(新法42)が予定されており、照合禁止の制度的・法的担保があります

容易照合性の判断は、事業者の規模、技術的措置、組織的措置等その他の具体的な事情を元に総合的に判断する法的評価であって、改正個人情報保護法の下では、照合禁止の制度的・法的担保が存在するがゆえに、他の情報と「容易に」照合可能な状態にあるとはいえない、と解することができます(開示資料92)。したがって、提供元事業者との関係で、「匿名加工情報」は解釈上、「個人情報」に該当しないものと考えられます(開示資料92、156)。

第二東京弁護士会情報公開・個人情報保護委員会編著, Q&A改正個人情報法保護法 −パーソナルデータ保護法制の最前線−, 新日本法規、2015年10月, 103頁, 104頁

あちゃー、これは、長官ダメ出し前の古い「説明資料」に書かれていたことをそのまま書いてしまっている。「開示資料92」は、図10の「説明資料」の長官審査用セット版(12月1日版)のことである。

「開示資料156」は、長官ダメ出し後、閣議決定直前(2月22日)に書かれた図21の「識別行為の禁止を匿名加工情報の作成者にも課すことについて」のことであり、この文書は、前記の通り、法制局が最終的に認めた考え方に最も近い書きぶりのものであり、この文書はそんなことは言っていないわけなのだが、古い「開示資料92」を読んで、それが取り消されたと知らないまま、この「開示資料156」を読むと、同じことを言っているように見えてしまい、これらの間の違いに気づかないのかもしれない。

二弁の著者らが、法制局長官のダメ出しで方向転換されていることに気づかなかったのは、しかたがなかった面がある。なぜなら、二弁が情報公開請求したのは「内閣法制局への全条文に関するご説明資料の最終版」だったので、法制局指摘事項のメモはそれに含まれなかった。手書きでメモ書きされた文書も請求対象でなかった。法制局への説明資料だけ見ても、法制局でどう修正されたかは、わからないわけである。

一つ皮肉を言えば、「説明資料の最終版」が請求されたのだから、IT総合戦略室は、長官にボツにされた古い「説明資料」を開示対象に含めてはいけなかったのだ。2月の「開示資料156」だけ開示すればよかったのだ。

二弁のこの本を買って拝見したとき、開示資料の話は信じるほかなかった*17が、後に、新潟大学法学部情報法研究室が請求した同じものを入手して読んだとき、それぞれ興味深いことが書かれているけれども、最終的に採用された考え方なのか疑問に思えるところが他にも多々あった。本シリーズの中編では、その開示資料を参照して、データセット照合による容易照合性のことが書かれていることに触れているが、出版された文書に書かれていない以上、最終的に生きている考え方なのかは不確定なものとして捉えていた。

一般に、情報公開請求で立案段階の内部文書を入手して解説書を書く際には、それぞれの文書が途中でキャンセルされている可能性に留意して取り上げる必要があるだろう。行政法学者の書く教科書にも言えることである。このことは今回の分析を通じて骨身に染みた。

そして、2016年1月、個人情報保護委員会が発足し、IT総合戦略室パーソナルデータ関連制度担当室の職員の多くは、委員会へ異動した。

2016年2月、行政機関個人情報保護法(行政機関法)の改正法案について、行政管理局が内閣法制局の審査を受けていた。これについては、前々回の日記「匿名加工情報が非識別加工情報へと無用に改名した事情(パーソナルデータ保護法制の行方 その30)」で詳しく書いたところである。

行政機関法の改正がいろいろおかしくなっていることは、それまでにも、「行政機関法では再識別禁止がないから個人情報に当たるですって?(パーソナルデータ保護法制の行方 その22)」(2016年4月6日の日記)などで書いていた。

どういう話だったかというと、行政機関法の匿名加工情報(非識別加工情報)は常に個人情報に該当するというもので、民間部門では非個人情報なのに、行政機関法では個人情報となる理由が、「行政機関法では再識別禁止義務がないから」というものであった。これは、民間部門の匿名加工情報は再識別禁止義務があるからこそ非個人情報になるのだという前提を基にしていた。

行政管理局のそのような考えは、内閣法制局への「説明資料」にも書かれていたことが、今年4月に開示を受けた法律案審議録で明らかになった。その様子は、前々回の日記の「行政機関法では匿名加工情報は常に個人情報である?」の節から書いたところである。

前々回の日記の図5が、行政管理局が2月19日に内閣法制局で長官審査を受けたときの「説明資料」であり、そこには、次のように書かれていた。

(1)「匿名加工情報」と改正後の個人情報保護法の「個人情報」

改正後の個人情報保護法における匿名加工情報は、「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」(第2条第9項)と定義されている。作成に用いた個人情報を「復元することはできない」が、自ら保有し、又は入手可能な他の情報との照合により特定の個人を識別することも概念上はあり得ることから※、「匿名加工情報」は、個人情報保護法の「個人情報」に当たることもあり得る

改正後の個人情報保護法では、匿名加工情報を作成する民間事業者及び取得する民間事業者に対して、特定の個人の識別のための照合の禁止を義務付けており(第36条第5項及び第38条)、その結果、民間事業者にとっては、当該匿名加工情報は、「個人情報」には該当しないものとなる

(※)実際には、現時点で想定している加工の方法により「個人情報を復元することができないようにした」情報であって、他の情報との照合により特定の個人を識別することができるものは、現時点では想定していない。

2016年2月19日付「長官・次長配布版 説明資料 別紙2」

あー、またやってしまったねぇ。そう、つまりこれも、平成27年個人情報保護法改正案の古い「説明資料」に基づいた解釈だったわけだ。長官は「照合不能にして出すこと」と指摘していたのに。

どうしてこうなったのだろうか。行政管理局は、匿名加工情報の考え方について、個人情報保護委員会に問い合わせていたはずである。対応した委員会の担当者が、長官ダメ出しによる方向転換の経緯を把握しておらず、古い資料を見て対応したのではないか。

いや、行政管理局の立案は、もっと早い段階から始められていたはずだから、IT総合戦略室と協議しながら進めていたのだろう。それでも、2015年のことだろうから、その時点で既に、長官ダメ出しと方向転換は済んでいたわけで、やはりそこでも、経緯を把握していない者が対応したのだろうか。あるいは、行政管理局が、IT総合戦略室の内部資料の提供を受けて、自ら読解した整理だったのかもしれない。資料だけ読んでも、それが撤回された整理だというのは、なかなか気づきにくい。

しかし、2015年から立案を進めていたのであれば、内閣法制局は何をやっていたのか。行政機関法の法律案審議録は、2016年2月からの分しか綴じられていなかったが、それより前の段階で、部長審査や参事官以下との協議があったはずだ。部長は指摘できなかったのか。

ここで問題となるのが、内閣法制局の縦割り構造である。内閣官房IT総合戦略室の案件を担当するのは、内閣法制局第2部だったが、総務省行政管理局の案件を担当するのは、第3部である。第3部長は、第2部で起きていたことを把握しなかったのだろう。

同じ個人情報保護法なのに、民間部門と公的部門でこうも細部で違ってしまっているのは、法制局の担当部が異なるということも、要因としてあるのかもしれない。

そして、行政機関法の改正案でも、長官のダメ出しを食らうことになった。これは、前々回の日記の「内閣法制局長官の大どんでん返し」で書いたところだ。長官は、「行政機関匿名加工情報は、個人情報にあたらない」と指摘したのである。

資料の写真
図23: 2016年2月29日付「行政機関個人情報保護法等改正法案 長官・次長御指摘(2月22日・23日)への対応概要」

これは、2014年12月1日のダメ出しと同じ趣旨だったと考えられる。長官は、行政管理局の「説明資料」を見て、2014年に撤回させたはずの古い整理に基づいていることに気づき、根本から間違っているのでやり直せという指示をしたのだろう。

そうはいっても、閣議決定直前の2月下旬の段階では、根本から直すことは不可能だったわけで、行政管理局は、「説明資料」をアップデートして凌いだ。このアップデートについて、前々回の日記では、以下のように書いた。

これは、修正前の図5と、言っていることが違っている。

図5の整理では、民間部門の個人情報保護法では、匿名加工情報について、「他の情報との照合により特定の個人を識別することも概念上はあり得る」としつつ、「特定の個人の識別のための照合の禁止を義務付けて」いることから、個人情報に該当しなくなるという整理だったが、その考え方が、この修正した整理では消滅している。

それに替わって、そういう照合は「容易に行えるものではない」という新たな考え方が登場し、それを理由として、民間部門では、「匿名加工情報」が「個人情報」にあたらないという整理になっている。

なぜこうなったのだろうか。推測にすぎないが、これが長官の指摘だったのではないか。つまり、長官が「匿名加工情報は個人情報にあたらない」とする指摘に際して、なぜそうなのかの理由が、民間部門における考え方として、このように説明されたのではないか。

もしそうだとすれば、照合禁止規定の存在により容易照合性が否定されるという、一昨年の個人情報保護法改正案の立案段階で一時、整理された考え方は、内閣法制局長官の頭の中ではその後否定されているのではないだろうか。これは、前記の「匿名加工情報は何でないか・後編」で書こうと思ってきた推測と符合する面がある。(これにつていは、その「後編」で書くこととしたい。)

匿名加工情報が非識別加工情報へと無用に改名した事情(パーソナルデータ保護法制の行方 その30)「内閣法制局長官の大どんでん返し

この「後編で書く」としていたのが、本稿である。前々回の時点では、「長官の頭の中ではその後否定されているのではないだろうか」と半信半疑だったが、本稿を書くために腰を据えて開示資料を読み込んだところ、これは確信に変わった。既に上記で整理したように、2014年12月1日の長官指摘により、根本的なところからの方向転換がなされており、第2部長を含めて、照合禁止義務により容易照合性が無くなるとする解釈は撤回されているのである。

行政管理局も、この「説明資料」のアップデートでそのことは理解したはずのように見えるのに、国会では、行政管理局長はアップデート前の「説明資料」に基づいて答弁を繰り返してしまった。また2015年の向井審議官答弁と同じことが起きたわけである。

前掲の、行政管理局の説明資料で、以下の部分が不可解だったのだが、これも、今なら腑に落ちる。

(※)実際には、現時点で想定している加工の方法により「個人情報を復元することができないようにした」情報であって、他の情報との照合により特定の個人を識別することができるものは、現時点では想定していない。

2016年2月19日付「長官・次長配布版 説明資料 別紙2」

これは、2014年の長官からの指摘を把握している者からの説明を踏まえて書かれたのではないか。これは、単なる仮名化では済まされない加工方法を指す。そのため、行政管理局は、「概念上はあり得る」ことにして、「実際には……現時点では想定していない。」と書くしかなかったのではないか。ただ、「概念上はあり得る」というのは理解できる。民間部門での「識別できないように」における照合による識別は、「容易に照合することができ」る場合に限られるのに対して、公的部門では、容易にでない場合を含めて「照合することができ」る場合を想定して「識別できないように」としなければ、公的部門における非個人情報には当たらないからだ。

こうして整理してみると、行政機関法の匿名加工情報の定義が、閣議決定直前で、なぜあのように変更させられたのかも見えてくる。前々回で確認したように、長官の指摘により、定義は以下のように変更されている。


変更前(2016年2月15日付の案文)

8 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。以下この項において同じ。)の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

変更後(成立した法の条文)

8 この法律において「非識別加工情報」とは、次の各号に掲げる個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。以下この項において同じ。)の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができない(個人に関する情報について、当該個人に関する情報に含まれる記述等により、又は当該個人に関する情報が他の情報と照合することができる個人に関する情報である場合にあっては他の情報(当該個人に関する情報の全部又は一部を含む個人情報その他の個人情報保護委員会規則で定める情報を除く。)と照合することにより、特定の個人を識別することができないことをいう。第44条の10第1項において同じ。)ように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。


この差分は、「特定の個人を識別することができない」の意味が括弧書き(強調部)で補足されている点である。

ここで思い出したいのは、前記で「この点は後で重要となるので覚えておきたい」とした、「特定の個人を識別することができない」の解釈について示した古い資料(図3)である。その6枚目の写真のページの「(3)」は、「特定の個人を識別することができない」の解釈を、容易照合性の括弧書きを含まない意味での「識別することができない」の意味だと説明していた。

これについて、長官ダメ出し後に変更された条文では、容易照合性の括弧書きは省略されているのであって、容易照合性を含めて「識別することができない」と解するべきということは、既に書いたところである。

このことが、行政機関法の改正案においても、長官から指摘があったのではないだろうか。民間部門の匿名加工情報定義でも、本当は、ここを省略せずに、括弧書きを入れるべきだったとも言えるわけで、行政機関法ではそこをちゃんと明記するようにという指示があったのではないか。特に、行政機関法の場合は、前記のように、「容易に」の有無の点で異なっていることから、ここの「識別することができない」の意味は省略ぜずに明確にしておく必要があるのである。

それにもかかわらず、行政機関法の改正案は、そこを適切に直せなかった。「他の情報(当該個人に関する情報の全部又は一部を含む個人情報その他の個人情報保護委員会規則で定める情報を除く。)」などという意味不明な委任規定で問題を先送りしたあげく、委員会規則には鸚鵡返しのナンセンス規定が制定され、これが大失敗だったことは明白となっている。それが、さらに地方公共団体の条例にまで広げようとされていて悲惨極まりないことは、前々回の日記で書いた。

さて、そして2017年2月、個人情報保護委員会の「事務局レポート」が公開された。冒頭で示した以下の部分が問題である。

3.4.2 容易照合性との関係

匿名加工情報を作成した事業者は、その作成に用いた個人情報を保有しており、また、当該個人情報を匿名加工する方法に関する情報として匿名加工情報と元の個人情報との対応関係を示す対応表等を保有し得るが、この個人情報や対応表について法第2条第1項第1号括弧書のいわゆる「容易照合性」があるとして、作成した匿名加工情報は個人情報に該当し、個人情報の取扱いに関する各義務(法第4章第1節)を守らなければならないのではないか、との懸念が想定される。

匿名加工情報は、特定の個人を識別することができず、作成の元となった個人情報を復元することができ ないように加工したものであり、さらに、個人情報に係る本人を識別することを禁止する等の制度的な担保がなされていることから、作成の元となった個人情報を通常の業務における一般的な方法で照合することができる状態にある(すなわち容易照合性がある)とはいえず、個人情報に該当しないとされるものである。

したがって、匿名加工情報を作成した事業者がこれを当該事業者内部で取り扱うに当たっても、匿名加工情報の取扱いに関する義務(法第36条)を守ることにより自由な利活用が認められることとなる。

個人情報保護委員会事務局レポート, 匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて, 2017年2月

これは、内閣法制局長官のダメ出しを無視して、キャンセルされた古い「説明資料」を根拠に書いてしまっているのだろう。なぜこんなことになるのか。

以前から、専門家らと話すと、時折、個人情報保護委員会から聞いた見解が担当者によって違うという話を耳にする。委員会の中でも、仮名化でOKとする派閥と、仮名化ではだめだとする派閥がいるらしいとか、照合禁止義務万能説を唱える者もいれば、そうでない者もいるらしいなどと聞く。

これも、結局のところ、2014年12月1日の法制局長官のダメ出しの経緯を知っている者と、知らない者がいて、それらの間でちゃんと話し合われていないのが原因ではないのか。

私も委員会の人と話して、「法制局の整理でもこうなっている」と言われたことがかつてあったが、それはどの整理なのだ?と、今なら確認するだろう。お前の見ている「法制局の整理」は、キャンセルされた参事官以下レベルの素人整理のことではないのか?と。

こんなことになってしまっている最大の原因は、IT総合戦略室が、法制局の指摘を踏まえて再整理した後の精密な整理文書を作らなかった(再整理後の「説明資料」は1ページ半のペラだった)ことにある。瓜生編「一問一答」も、間違いこそ書かれていないが、大事なことを書いていないため、誤読する人が続出しているわけである。

今からでもよいので、個人情報保護委員会がそうした内部文書を整備するべきである。そうしなければ、今後も同じ混乱が続いてしまうだろう。

(「後編の2」に続く)

*1 今になって思うに、この表現は誤解される(というか、本意を表せていなかったで)表現だった。改めた表現と説明をいずれしたい。

*2 高木浩光『匿名加工情報の制度概要と匿名加工基準の規則案』ビジネス法務16巻11号17頁以下(2016)

*3 ちなみに、条文を修正する必要があると主張した理由はもう一つあり、「このままでは規制強化になってしまう」という立場であり、こちらは本気だった。この点は、解釈で乗り切るべく、国会答弁で明らかにされ、個人情報保護委員会のガイドラインでも明記され、どうにか解決している。(2017年1月8日の日記「匿名加工情報の条文構成はどう壊れて行ったか(保護法改正はどうなった その6)」の「まえがき」参照。)

*4 このとき、経済団体の某氏から「マジかー」という声を頂いたのをよく覚えている。

*5 「規制」か「規則」か「規律」か判読できない。「ゆるい」の前にもう一文字あるはずだが判読できない。

*6 「当たらないだけである。」とも読めなくもないが、他のところにある「は」「な」「い」の文字と同じ筆跡なので、ここは「当たらないだけではない」と書かれているようだが、これでは意味が通らない。「当たらないだけではないか?」が途中で切れているのだろうか。隣の斜線で切れているようにも見えるが、この線が何なのかわからない。

*7 といっても、現在の匿名加工情報と同様に、使いたい者だけが使う制度だとすれば、規制強化というわけでもないのだが。

*8 「3. 第三者提供時の照合の主体」の以下の部分。

提供先にとって識別性がない情報と比べて、提供先にとって個人識別性がある情報のほうが、本人の権利利益を害するおそれが格段に大きくなることは当然である。したがって、第三者提供と個人識別性との関係について、提供先において識別情報か否かを基準とする提供先基準説のほうが、こうした制度趣旨に対して素直な解釈といえよう。

岡村久道, パーソナルデータの利活用に関する制度見直しと検討課題(中), NBL No.1020, 72頁

△僚斗彑は立法論として賛成する余地のあるものであるが、現行法解釈論としては,鯣歡蠅垢詬由にならない。(,鉢△聾澆い貿啾湘ではなく、両方を要求する立法論もあり得る。)

*9 「〔〕」書きは、検討不十分であり、仮に書いたものであること示している。

*10 この点は、2017年1月8日の日記「匿名加工情報の条文構成はどう壊れて行ったか(保護法改正はどうなった その6)」でも書いている。

*11 削除アルゴリズムが判明すると復元できるというのはIT素人のトンデモな主張だが、ここは、「削除または置き換える」の「置き換える」が選択された場合の復元について書くべきだったところだろう。

*12 ちなみに、このケースは、コンビニエンスストアからの第三者提供ではなく、CCCによる取得のコンビニエンスストアへの委託として整理すべきものという話は、2015年11月21日の日記「CCCはお気の毒と言わざるをえない」に書いた。匿名加工情報の用途を説明するには向かない事案だったと言うべきだろう。

*13 連結していないというのは嘘だろう。次々と新規の記名式Suica利用者が増えていく状況で、新規利用者の情報を氏名入りデータベースから氏名なしデータベースへとコピーしていたことは自明だから、連結していたと言うべきである。

*14 この時点の案では、匿名加工情報を作成する個人情報取扱事業者も匿名加工情報取扱事業者として整理されていて、改正法の36条5項の義務は、この時点の案では匿名加工情報取扱事業者の「復元行為等の禁止」で担保されていた。

*15 私の独自説としては、「識別できない」は提供元基準において非個人情報化する要件であり、「復元できないように」は、提供元に限らず、提供先においても復元できないことを求めたものと整理すればよいと考えている。前掲脚注2のビジネス法務の記事でもその説を唱えているが、個人情報保護委員会の公式文書にそうしたことは書かれていない。

*16 図では「ソルト」と書かれているが、これをソルトと呼ぶのは暗号技術用語として誤りであり、「鍵付きハッシュ関数の鍵」と呼ぶべきものである。個人情報保護委員会の「事務局レポート」では幸いここが改められている。

*17 ちなみに、この本のこの章には他にもおかしなことが書かれている。匿名加工情報についての99頁には、パーソナルデータ検討会の技術検討WGが、「個人情報を完全に非個人情報化する技術的手段はない旨の報告をしたため、解釈によるパーソナルデータの利活用は困難であるとの結論に至り、法改正により対応することになりました。」と書かれているが、技術検討WGの報告は、「汎用的な方法は存在しない」「合理的な匿名化水準を汎用的に達成可能な技術は存在しない」「有用性を全く失うことなく、いかなる個人情報をも対象にした汎用的な匿名化手法はない」としたのであり、非個人情報化する手段が存在しないなどとは言っていない。「開示資料95」(図17)でも、「汎用的で完全な匿名化措置というものはおよそ無いという意見を得た」という表現になっている。「完全な」が誤解させたのだろうか。また、同じ99頁のその直前部分には、「技術が進展した今日では容易照合が不可能な程度にまで技術的分離措置をとることはおよそ不可能であることから、通説及び消費者庁の解釈を前提にすると「非個人情報化」は極めて困難である、という状況にありました。」とも書かれているが、これはいったいどこから来た見解なんだろうか。長官ダメ出し前の内部資料でもそんなことは言っていない。ダメ出し前の内部資料が、やたらと照合禁止義務で非個人情報化すると主張しているものだから、そうするからには非個人情報化が困難なんだろうという類推が働いたのか。その点、長官ダメ出し後の法制局の指摘では、「可能な限り特定できなくすることはできるはず。」「特定に至ることのないような仕組みを作る」(図17の手書きメモより)としていて、法制局はちゃんとわかっていたんだなと思える。

本日のリンク元 TrackBack(0)

最新 追記

最近のタイトル

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|
最新 追記