高木浩光＠自宅の日記(2017-07)

2017年07月22日

■ 匿名加工情報は何でないか・後編の2（保護法改正はどうなったその8）

「匿名加工情報」に今もなお根強い解釈のブレが残存していることについて、前回の日記は、内閣法制局への情報公開請求で開示された「法律案審議録」の記載内容を根拠として、その謎解きをした。結論としては、2014年11月までに準備されていた当初案が存在していて、それが翌月12月1日の内閣法制局長官の指摘によって却下され、作り直されたものが国会提出法案となっていたにもかかわらず、長官指摘での修正それ自体の考え方を説明する文書が作成されておらず、初期案の説明文書と修正後の案の説明文書が並存しているだけであるため、却下された初期案の「説明資料」を読んだ者が、それがキャンセルされていることに気づかず、その内容を真に受けていることが、解釈のブレが出てくる原因だろうと推測したのであった。

この分析には複数の有識者の方々から「なるほど」という声を頂いた。しかし、本当に長官の指摘によって当初案はキャンセルされているのか？という疑問はあるだろう。誰かからそう言われたわけではないが、私自身も完全に確信を持てたわけではなかった。また、逆に、そもそも「根強い解釈のブレなど本当にあるのか」「古い資料に基づく解釈なんて今や存在しないのでは？」という疑問をもたれたかもしれない。

そこで「後編の2」をすぐに書かねばと思っていたところ、そうこうしているうちに、4月末に情報公開請求していた文書が開示決定され、今週その写しが到着した。早速、関係するところだけささっと目を通したところ、長官による却下は確実にあったことが確認できたので、取り急ぎ核心部分だけ先に以下に書いておく。

新たな開示資料にてIT室曰く「長官指摘によってひっくり返った」

図1: 到着した総務省行政管理局の開示資料「行政機関・独法等個人情報保護法の改正等経緯行政機関個人情報保護法等改正法案（平成27年度）法制局提出資料・審査録」

この資料は、2016年の行政機関法改正案に係る立案担当部局側の保管文書であり、5月5日の日記「匿名加工情報が非識別加工情報へと無用に改名した事情」で参照した法律案審議録では2016年2月15日以降の文書しか存在しなかったため、「追加の情報公開請求中」としていたもので、箱を開けてみると、2015年4月という最初期からの検討記録であった。大変素晴らしいことに、それぞれの日付ごとに、「法制局説明の模様（未定稿）」というタイトルで、内閣法制局第三部の参事官との議論（議論というよりは、法制局参事官からの一方的な助言という感じだが）の内容が整然と克明に記録されている。

この中で、行政機関法に「匿名加工情報」の制度を取り入れるにあたり、基本法（行政機関法の立場から見ると個人情報保護法は「基本法」と呼ばれる）の「匿名加工情報」はいったいどういう設計になっているのか？という疑問が繰り返し呈されており、当時、国会で基本法改正案の審議が中断されていた6月から8月にかけて、その立案担当部局である「IT室」（内閣官房IT総合戦略室パーソナルデータ班のこと）に対して何度も問い合わせている様子が記録されていた。

先に決定的なところを挙げておくと、2015年9月14日（改正法案成立の直後の時点）の記録に、以下の記載がある。

図2: 2015年9月14日付「法制局説明の模様（未定稿）」

【基本法の考え方の確認（IT室）】
◯: 基本法改正案の次長・長官説明資料について提供依頼があったところだが、お渡ししているものが全て。長官指摘によってひっくり返った後は、長官・次長指摘に対し論点ごとにその都度打ち返したところであり、まとまった資料や逐条的なものはない。

このように、「長官指摘によってひっくり返った」と説明されており（この発言者は、IT室の日置参事官補佐）、「提供依頼」があった行政管理局に対して、初期案の法制局説明資料を提供していないことが示唆されている*1。実際、今回の開示資料を確認してみると、例えば、6月12日付*2の行政管理局作成の「内閣法制局御説明資料」の中に、「IT室個人情報保護法改正案説明資料」が添付されているが、初期案の「説明資料」はこれに含められていない。

このことから、やはり、初期案の「説明資料」はキャンセルされているのであって、無効なものと見るべきなのは確定的と言ってよいだろう。

今もなお初期案を信じる人々（JEITAの場合）

次に、そもそも「根強い解釈のブレなど本当にあるのか」という点について、今もなお古い資料に基づく解釈を信じる人々が存在する（先月の時点で）ことを示しておきたい。

まずこの事例を見てもらいたい。今年6月7日（前回の日記の2日後）に開かれた、「放送を巡る諸課題に関する検討会視聴環境分科会視聴者プライバシー保護ワーキンググループ」（総務省情報流通行政局放送政策課）の第8回会合の配布資料「視聴履歴等の取扱いに係る検討に対する御意見について（3. 匿名加工情報の取扱い）」に、一般社団法人電子情報技術産業協会（JEITA）の意見として以下のものが載っている。

図3: 視聴者プライバシー保護WGにおけるJEITA意見

JEITAが主張していることは、視聴履歴の匿名加工基準について、履歴データの時刻情報を丸めたり誤差を入れよとしているWG案に対して、反対するものであり、その根拠として、要するに「照合禁止義務があれば容易照合性は消滅するはずじゃなかったのか」ということを言っている。つまり、法制局長官によってボツにされた初期案の考え方に基づいた誤った法解釈をしているわけである。

これに対して示された「本WGの考え方」は明快である。「法で再識別が禁止されていることをもって加工方法の基準を緩和することは、制度趣旨に照らすと適切ではない」としている。

この「本WGの考え方」が言う「さらに再識別の禁止を課しているものであって」との文が言わんとしていることは、つまり、確かに個人情報保護委員会の事務局レポートでも「本人を識別することを禁止する等の制度的な担保がなされていることから」「照合することができる状態にある（すなわち容易照合性がある）とはいえず、個人情報に該当しないとされる」との説明がある（前回の日記の6番目の引用部）けれども、これはあくまでも、「特定の個人を識別することができず、作成の元となった個人情報を復元することができないように加工したものであり、さらに、」に続けて書かれた文なのであって、「さらに」以下を単独で取り上げて解釈するのは制度趣旨に反するとしているわけである。

これがまさに、長官指摘で変更された後の考え方に沿った説明であろう。「本WGの考え方」は総務省電波政策課が書いたものと思われるが、おそらく個人情報保護委員会事務局と調整の上で書かれたものだろう。

面白いのは、JEITAが主張する理由に、「外部観測性はないため、個人の特定につながるリスクが一般にありうるかには疑問」としている点である。すなわち、委員会の事務局レポートでデータを丸めるように言われているのは、位置情報のように外部で観測される（通りすがりの人に目撃されるなどの）性質がある場合であって、そうでなければ提供データから「特定の個人を識別される」ことはないと主張しているわけである。これに対して、「本WGの考え方」は、事務局レポートのその記載は例に過ぎないのであり、「当該情報の本人の行動を外部から直接観察ができるか否かを判断基準と（略）したものではありません。」と指摘している。

私の意見としては、匿名加工情報が「非個人情報」として整理されているからには、提供先で「個人を特定される」ことのリスクのみに着目して加工の基準とするのはダメだという考えだったので、この「本WGの考え方」には安堵するところだが、このことは、要するに、匿名加工情報定義の「特定の個人を識別できないようにし、かつ、復元できないようにしたもの」が、どういう意味で規定されているのかが問われる論点である。その答えも、今回の開示資料で明らかになったのだが、そのことは後で触れる。

今もなお初期案を信じる人々（元委員会事務局上席政策調査員の場合）

次に、これがJEITAが吠えている程度ならまだよかったのだが、深刻なのは、以下の本が出版されてしまった（前回の日記の2日前に発行）ことである。この本は、「個人情報保護委員会事務局上席政策調査員」の肩書き*3で大角良太氏が執筆したもの*4である。

個人情報保護委員会事務局大角良太ほか, Q&Aで理解する！パーソナルデータの匿名加工と利活用, 清文社, 2017年6月2日発行

図4:「個人情報保護委員会事務局上席政策調査員」の肩書きで出版された本

問題箇所は、その44頁、45頁にある。

図5: 「Q&Aで理解する！パーソナルデータの匿名加工と利活用」44頁～45頁

ここには以下のことが書かれている。

一方、匿名加工情報を定義している個情法2条9項では単に、個人情報の区分に応じて各号の措置を講じて「特定の個人を識別することができないように個人情報を加工」したものとされているため、個情法2条1項1号のかっこ書きの要件までを考慮することが求められるものではないと解されます。

また、匿名加工情報については、個情法36条で規定される安全管理措置や識別行為の禁止等の制度的な担保があるため、作成された匿名加工情報と元の個人情報との間では、「容易に照合できる状態にない」と解されます。

つまり、個人情報を保有する事業者の内部において容易に照合することができる情報まで考慮して特定の個人を識別することができないように加工する必要があるか否かで、非個人情報にするために必要な加工の程度と匿名加工情報にするために必要な加工の程度が異なるということができるでしょう。

匿名加工情報は、個情法改正の趣旨からも、利用・流通過程における安全性を確保しつつ個人に関する情報の利活用を図る制度であり、個人情報に対して一定の加工及び規律を課した上で第三者提供等を可能とするものです。また、匿名加工情報は、その作成事業者の内部において、匿名加工情報に加工される前の元となる個人情報や加工方法等に関する情報が保存されることが制度的に前提とされています（個情法36②）。

したがって、非個人情報と同様に事業者内部において容易に照合することができる情報まで考慮するのではなく、一般人及び一般の事業者における判断力や理解力を考慮した上で安全性を判断することが妥当であると考えられます。

「2条1項1号のかっこ書き」とはいわゆる容易照合性のことであり、この記述は要するに、「匿名加工情報ということにすれば元データとの容易照合性は法的に消滅する」ということを主張している。前掲のJEITA意見も、これと同じ考え方に基づいたものであろう。前掲の通り、「視聴者プライバシー保護WG」はこのような考え方を「制度趣旨に反する」と一蹴している。

大角氏のこのような見解は、IT室、個人情報保護委員会ともに、これまでに公式には示してこなかったものである。事務局レポートでも、前回の日記で示したように一部に筆が滑った挿入句があったものの*5、ここまで踏み込んだ見解は書かれていなかった。

したがって、大角氏個人の独自の見解と言うべきだが、これは、法制局長官によりボツにされた古い初期案の「説明資料」を読んでこういう理解に陥ったものではないか。

大角氏のご略歴を拝見すると、早稲田大院の理工学研究科（電子情報通信学専攻）を修了され、自動車会社にて知的財産部で知的財産戦略に従事し、ビッグデータの活用企画を担当された後、2015年から特定個人情報保護委員会事務局に出向したとのこと。したがって、IT室が改正法案を巡って内閣法制局と協議した現場には居合わせてはいなかったということだろう。委員会事務局では「匿名加工情報に係る委員会規則やガイドライン等の策定」に携わられたとのことだが、後から個人情報保護委員会にやってきて、ビッグデータ利活用の観点から、仮名化するだけで匿名加工情報ということにしようと尽力されたのだろう。だが、委員会規則にもガイドラインにも、そして事務局レポートにもこんな跳ねた記述はないという事実からして、彼の主張は内部でも受け入れられなかったものと推察される。*6

この本には、冒頭の「はじめに」で、「また、本書のうち意見にわたる部分は個人的見解にすぎず、筆者の所属する組織の公式見解を示すものではない点にご留意ください。」と申し訳程度に1行のエクスキューズが書かれているが、「意見にわたる部分」というけども、上記引用部は、「……と解されます。」との表現が使われており、政府の公式見解に沿った記述であるかのごとく読まれるであろう。

一般に、民間出向者は役人の仕事のやり方をわかっていないことがあり、このような出すぎた出版は、役人や法曹出向者が記事や本を書く際にはあり得ないことだろう。役所のこうした業務では、「決まっていないこと」というのがしばしば存在しているのであって、そこは書かないようにしてこそプロの仕事なのであり、何もかも結論を出して書いてしまおうというのは（外部の人間ではない以上は）素人の仕事と言う他ない。研究者でも公職に置かれたらこのようなことはしない。自分の独自見解と公式に固まっている見解とは分けて記述して然るべきである。こういう出版を許してしまうとは、昨今の霞ヶ関はいささか緩みすぎているのではないか。

そういう本は無視すればよいのだが、読者は表紙に書かれている「個人情報保護委員会事務局上席政策調査員」との肩書きを見て、これが正解なんだと信じてしまうだろう。匿名加工情報の制度がスタートしつつあるこの段階でこのような状況は危うい。

今もなお初期案を信じる人々（日本経済新聞社の場合）

既に実害が出つつあるかもしれない。日経新聞（本紙と産業新聞）が執拗に誤報を繰り返してきたことについては、「匿名加工情報は何でないか・中編」の冒頭で書いたように、これらはずっと「「名前や住所」を取り除けば匿名加工情報になる」と報じ続けてきた。

その成果があってか、改正法の施行に伴って改定された日本経済新聞社のプライバシーポリシーに、目出度く以下のように記載されたのである。

図6: 日本経済新聞社の個人情報取り扱いについての考え方

7. 「匿名加工情報」を第三者に提供することがありますが、氏名や住所などを削除して本人の特定ができないように加工したうえで提供します。

誤報を繰り返しているうちに、自社の法務部門まで騙してしまったようで、甚だお気の毒である。違法な匿名加工情報提供が始まっていなければよいのだが。

ここでも、「本人の特定ができないように」とはいかなる意味なのかが問題となる。改正法は、「特定の個人を識別できない」ことと「復元できないこと」の両方を求めているのに、なぜ、日本経済新聞社の法務部門は、「復元できないように」を欠かして構わないと思うのだろうか。

確かに、「復元できないように」には大した意味はないのではないかというのは、私も以前はそう思っていた。だが、今回の開示資料により、「復元できないように」には重大な意味が含められていたことが判明したので、以下に書いておきたい。

内閣法制局長官が「復元できないように」を加えた意義とは

まず、私のかつての理解（先週までの時点）を書いておくと、こうである。

2条9項の「特定の個人を識別することができないように」は、容易照合による「特定の個人を識別」を含む意味で「できないように」という意味であって、条文上書いてないのは括弧書き部分の省略であると解釈した。これを図解したのが以下である。

図7: 長官指摘前の個人情報定義と匿名加工情報定義の関係と、長官指摘後の変更

詳しくは前回の日記の通りだが、初期案では、個人情報定義を1号から3号に区分しようとしていた（図7の左）。

2号は現在の個人識別符号相当のものだが、1号は、「当該情報に含まれる氏名、生年月日その他の記述等（…）により特定の個人を識別することができるもの」で、3号は「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」とされていて、要するに、容易照合性の部分を切り分けようとしていた。その上で、匿名加工情報の定義を、個人情報の区分の各号に応じて「措置」を定め、1号については「氏名、生年月日その他の記述等の全部又は一部を削除する（他の情報に置き換えることを含む）」とし、2号については個人識別符号を削除するものとし、3号については何も加工しなくてよい（3号個人情報を「匿名加工情報を除く」と定義し、それに対応する3号措置を設けない）とした。

この案では、匿名加工の加工基準は設けられていなかった。委員会規則への委任はなかったのである。なぜなら、加工方法が単純明快で曖昧性がなかったからである。2号措置が単純なのは現在も同じだが、1号措置が、よく見ると、成立した改正法の1号措置とは異なり、削除（置き換えを含む）の対象が「氏名、生年月日その他の記述等」と書かれていて、これは、情報公開法6条2項の「当該情報のうち、氏名、生年月日その他の特定の個人を識別することができることとなる記述等の部分を除く」に相当するものとなっていた。つまり、情報公開法における部分開示のように*7、氏名等の部分を墨塗りにして出すのと同じ（違いは、墨塗りにする以外に丸める等の変更を許しているところ）であるから、その方法は明快なので、加工基準は必要とされなかったわけだ。

ところが、法制局長官の指摘によってこの案がボツとなり、図7の右の形に変更となった。

個人情報定義を3号までに区分する案もボツとなって、「3号個人情報」だった部分が、1号個人情報へ統合された（水色の矢印）。そして、「1号措置」の内容が微妙に変更され、「特定の個人を識別することができないようにする」の部分が柱書きに移動し（緑の矢印部分）、削除（置き換えを含む）の対象が「氏名、生年月日その他の記述等」ではなく、「当該個人情報に含まれる記述等」に変更されて、それ以外の部分を含む「個人に関する情報」の全域が対象になった。つまりは、個人属性に限らず履歴データをも対象としたあらゆる「置き換え」が想定されるように変更されたわけである。

そして、加工基準を委員会規則に委任する形に変更された。これは、ボツになった初期案とは違って、どのように加工すればよいかを、法律に明確に規定することが不可能だったからである。

そうすると、長官指摘後では、匿名加工情報定義の柱書きにある「特定の個人を識別することができないように」の「特定の個人を識別する」は何を指していることになるのか。

「次の各号に掲げる当該個人情報の区分に応じて……」としているのだから、1号措置については、当然に「1号個人情報」で言われるところの「特定の個人を識別する」を指しているのであって、そうならば、「（他の情報と容易に照合することができ……を含む）」の括弧書きも含んだ意味での「特定の個人を識別する」を意味しているはずだと考えた。

つまりは、匿名加工情報の「特定の個人を識別することができないように」は、容易照合による識別も含めた意味で「できないように」の意味だと解釈するのが自然だろうと考えていた。*8

このことについて、実は以前、委員会事務局の担当者の方と議論させていただいたときに、容易照合による識別は含めていない（法制局でもそう整理されている）と言われたことがあった。そうすると、「照合禁止義務によって容易照合性が解消される」と理解するほかなく、それはまずいでしょうと意見して、議論は平行線となっていた。

前回の日記の時点では、この「特定の個人を識別することができないように」に容易照合による識別が含まれないと解釈するのは、ボツになった長官指摘前の説明資料に基づいているのではないかと推測した。図7の左では、「特定の個人を識別することができないように」は「1号措置」の中に書かれている（緑の部分）から、容易照合による識別を含まないのは明らかだからである。

そして、長官指摘後に加えられた「復元することができないように」（ピンク部分）が何を意味するかは、大した意味はないのだろうと考えていた。

このような私の理解では、匿名加工情報定義の各号措置と、施行規則19条の加工基準の各号との関係は、以下の図の通りであろうと考えていた。

図8: 匿名加工情報定義の各号措置と施行規則19条の加工基準各号との対応関係（長官指摘前の案での当て嵌めと、長官指摘後での対応関係）

つまり、成立した改正法においては、加工基準の3号、4号、5号は、1号措置を具体化したもの（図8の右）であろうと。容易照合による識別を含めた意味での「特定の個人を識別できないようにし」を1号措置に求めているからこそ、3号、5号の加工基準が1号措置の具体化なのだろうと、そう考えていた。

こうして見ると、なんだか不恰好な形になっており、なぜ「3号措置」を作らなかったのだろうかという違和感がなくもない。また、このような対応関係であれば、わざわざ措置を「1号措置」と「2号措置」に区分する必要もなかった*9のではという疑問も感じる。そこは、長官指摘前の初期案が、図8の左のように、1号措置と2号措置が、加工基準1号と2号にちょうど対応していたことの残骸なのだろうと考えれば、「まあ仕方がないか」と納得することはできる。

ところが、今回の開示資料で、これとは違う整理がされていたことが判明したのである。

以下の図9に示す文書が、2015年4月2日付IT室作成「個人情報の保護に関する法律改正案改正事項説明資料（抜粋）」として、参考資料の「別紙」に含まれていた。（これは、前回の日記で参照した開示資料（法律案審議録）には含まれていなかった*10ものである。）

図9: 2015年4月2日付「個人情報の保護に関する法律改正案改正事項説明資料」（抜粋）「匿名加工情報の考え方について（第2条、第4章第2節関連）」

(2) 匿名加工情報の作成等（第37条*11第1項・第2項）

匿名加工情報は、特定の個人を識別することができないこと及び復元することができないことが担保されることによって、個人情報とは別の取扱いが許容されるものであって、その加工が適切なものでなければならない。また、いかなる加工を施せば足りるかについて、定義からは一義的には明らかではないことから、第37条第1項において、匿名加工情報の作成に当たっては個人情報保護委員会規則で定める基準（以下「加工基準」という。）に従うこととする。

また、流通・利活用の過程で特定の個人を識別することとならないよう、加工基準については、匿名加工情報該当性につきその情報の状態から判断し得るものとなるように、また、復元することができないものとするよう、客観的な指標を定めるものとする。

（ア）必要な加工について（第2条第9項各号及び第37条第1号）

特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従った加工とは、第2条第9項各号に定める記述等及び個人識別符号の削除その他の必要な加工をいうところ、具体的には、次の措置を講じる必要がある。

①第2条第9項各号に定める措置

・氏名、年齢、住所、生年月日等、個人情報に含まれる特定の個人を識別することができる事項を削除し、又は他の記述等に置き換える。
例）（略）

・個人識別符号の削除又は他の記述等に置き換える。
例）（略）

②復元することができないようにするために必要な加工

（略）

・階級区分への変更（グルーピング。なお（略）
例）（略）

・特殊な属性をまとめる（トップコーディング）
例）（略）

・ノイズの付加
例）（略）

・複数者間のレコード間で値を入れ替え、並べ替え

・識別しながら扱えるようにしない
例）元データと加工した情報とに共通の識別子を付番しない。

など

なんと、これはつまり、後の施行規則19条のうち、3号、4号、5号は、2条9項各号の措置を具体化したものではなく、2条9項柱書きの要求する「復元することができないようにする」ことを実現するものとして整理されていたということだ。これは、長官の指摘がこういう趣旨だったということなのだろうか。

確かに、2条9項柱書きの「次の各号に掲げる…区分に応じて…各号に定める措置を講じて」の文が、「特定の個人を識別することができないようにし」のみに係っていているのか、「かつ、…復元することができないようにし」にも係っているのかが、どちらともとれそうだが、前者の解釈の方が自然のようにも思える。

前掲の図8の図解を、これに合わせて直すと、以下のようになる。

図10: 匿名加工情報定義の各号措置と施行規則19条の加工基準各号との対応関係（長官指摘前の案での当て嵌めと、長官指摘後での対応関係）【2015年4月2日付「改正事項説明資料」に基づく】

これは納得できる。そういうことだったのか！

前掲図9の資料には、続く部分で以下のようにも書かれている。

（ウ）個人情報との関係

このように、適切な加工を施すことによって、匿名加工情報は特定の個人を識別することができないものとなり、かつ、作成の元となる個人情報と匿名加工情報との間の対応関係を曖昧化した照合困難なものとなるから、作成の元となる個人情報に復元することができない。そのような状態の情報であることから、基本的には、いずれの事業者においても法第2条第1項に定める容易照合性が認められず、本法が保護対象とする「個人情報」とは異なるものとなる。そうであるとしても、作成者においては、作成の元となる個人情報が保有され、加工方法が明らかであり、また実際に加工に従事する人間が存在することが通常であることから、なお「容易照合性」があるのではないか、との疑問が呈されるところである。これについては、第38条「識別行為の禁止」義務が課せられ、罰則*12をもって作成の元となる個人情報に係る本人を識別しないことを担保されるものであることから、解釈上、「容易に」照合できるものではないとして「容易照合性」が否定されるものである。

つまり、「復元することができない」は、「作成の元となる個人情報と匿名加工情報との間の対応関係を曖昧化」することによって実現されるもので、作成の元となる個人情報と「照合困難なもの」となるからそうなのだという。

すなわち、元データとの容易照合をなくすような加工を指して、長官は「復元もできないようにしろ」と指示したということか。

このような考え方への言及は、今回の開示資料で、他の日付のものにも繰り返し出てきていた。例えば、2015年8月17日付の「説明資料」には、行政管理局側が作成した文書として、基本法における匿名加工情報定義の解釈が以下のように説明されている。

図11: 2015年8月17日付「匿名加工情報の個人情報該当性について」（行政管理局）

1 規定上（第2条第9項）は、「特定の個人を識別することができないように個人情報を加工」するとは、情報単体で特定個人を識別することができないように個人情報を加工することをいい、「当該個人情報を復元することができないように」するとは、他の情報（作成の元となった個人情報を含む。）と照合しても元の個人情報の一部又は全部を復元することができず、特定個人を識別することができないようにすることをいうと解されている。（別紙1）

なるほど、やはり、「復元できないようにする」の方が、元データとの容易照合をできなくする加工を求めるという解釈だったわけだ。

このように理解すると、前記のように以前に委員会事務局の担当者から「特定の個人を識別することができないようにする」に容易照合による識別は含めていない（法制局でもそう整理されている）と言われたことは、矛盾していない。「復元できないように」の方でカバーされていたわけだ。だが、そのとき、その担当者はなぜそのことを教えてくれなかったのだろうか。

IT室・行政管理局・法制局第三部での混乱

今回の開示資料には、こんな記載もあった。時間を戻して、2015年5月25日付「法制局説明の模様（未定稿）」では、法制局第三部参事官（◎）と行政管理局（●）の会話が以下のように記録されている。

【匿名加工情報の位置付け、範囲】

◎：基本法における匿名加工情報は非個人情報と言っているが、その位置付けが相変わらずよく分からない。

●： IT室の資料によると、匿名加工情報は、作成元の個人情報との対応関係を曖昧化されたものであり、又、識別行為の禁止義務が課され、罰則をもって本人を識別しないことを担保されるものであることから、解釈上、容易照合性が否定されるとしている。又、現行法下においても匿名加工情報と同様のものを作成することは可能としており、匿名加工情報の作成主体において、加工に関する情報をファイアーウォールなどを設けて厳重に切り離して管理することで、容易照合はできないものと解釈している模様。

◎：それはつまり識別行為の禁止をもって、個人情報であっても照合することにより特定の個人を識別することができないものとしているということか。

●： IT室の説明からするとそうである模様。第2条第9項の解釈について、他の情報との容易照合は加工対象外とのことであり、飽くまでも情報に含まれる氏名等の記述等から直接特定個人を識別できる部分だけが加工対象とのこと。

◎：第2条第9項では、加工の元になる個人情報には他の情報との容易照合も含まれており、これが加工対象外というのは分からない。

●：そこは確認中。いずれにしても、基本法の考え方をそのまま行個法に持って来ることができるかどうかは検証が必要と考えている。（略）

いろいろと混乱している。1つ目の「●」の冒頭部分は、前掲図9の続き部分に記載されたことと同じことを言っているようだから、2015年4月2日付のIT室整理に基づいた説明を受けたように見えるが、それなのに、「識別行為の禁止をもって……識別することができないものとしているということか」という「◎」の問いに対して「● IT室の説明からするとそうである模様」と答えてしまっている。「他の情報との容易照合は加工対象外とのことであり……」は、長官指摘でボツになった初期案のことを言っているようだし、あるいは、「復元できないように」の部分を欠かしてIT室から説明を受けたのかもしれない。

このことから、ここの考え方が如何に誤解されやすいものであるか、その様子が窺える。

しかし、これに対して「◎」は「これが加工対象外というのは分からない。」と述べており、やはり直感的にそこを加工しないというのはおかしいと法制局には思えるのだろう。

これが、翌週の6月2日付「法制局説明の模様（未定稿）」では、以下のやりとりとなっている。

【匿名加工情報の位置付け】

◎：基本法改正案第2条第9項の匿名加工情報の定義における「特定の個人を識別」とは、結局どのような意味か。

●： IT室に確認したところ、基本法改正案第2条第9項の「特定の個人を識別」は、他の情報との照合による識別を含まない。つまり、その情報単体から特定の個人を識別できる記述等のみ加工するという意味とのこと。その上で、同項では「当該個人情報を復元することができないようにしたもの」としており、「復元できないように」加工する際に他の情報との容易照合による識別も含めて復元できない状態になっていると解するとのこと。

◎：そうであれば、第2条第9項の匿名加工情報にすることで、識別・復元のできない完全な非個人情報となっており、匿名加工情報の受領者に識別行為の禁止義務をかけることは不要ではないか。この規律を新設した意味が分からない。

●： IT室の説明としては、識別できないようにしても、技術上識別可能性を完全に無くすことは不可能であることから、規律を設けているとしている。

このやり取りでは正しいものになっている。

ところが、6月12日付「内閣法制局御説明資料」に添付された「個人情報保護法改正案における匿名加工情報の概念」とする資料は、再び混乱させる記述を掲載していた。

図12: 2015年6月12日付「内閣法制局御説明資料」に添付された「個人情報保護法改正案における匿名加工情報の概念」

この文書には、基本法における匿名加工情報概念の説明が書かれており、IT室側が作成した文書のように見えるが、前掲図9の4月2日付「改正事項説明資料」とはまた違った説明になっている。しかも文体も違う感じがするので、別の担当者が書いたとかそういったものであろうか。

ここに、「(2)判断基準」の最後の段落で、以下のことが書かれている。

なお、「匿名加工情報」の定義を検討するにあたって、容易照合性を無くすための措置を講じるという観点をもって検討したことは無く、「特定の個人を識別することができない」「復元することができない」という各要件については法制局（二部）においても別の概念として整理している。

これは、行政管理局側からの問い合わせに対して返すために書かれた文書なのだろうか。「容易照合性を無くすための措置を講じるという観点をもって検討したことは無く」としているが、ならば、4月2日付の資料（図9）はいったい何なのか。少なくとも「検討したことがない」というのは誤りであろう。「識別できない」と「復元できない」は「別の概念」だと言っているが、復元の意味を、「復元しようとしても戻ることのないような状態になること」だと言っており、説明になっていない。

そして、その後、8月17日に再びこの「個人情報保護法改正案における匿名加工情報の概念」の文書が、「別紙1 匿名加工情報の定義における「識別」及び「復元」についてのIT室の見解」として添付されるのだが、そこでは、この「検討したことは無く」との段落はカットされていた。

図13: 2015年8月17日付「匿名加工情報の定義における「識別」及び「復元」についてのIT室の見解」

そして、冒頭図2に示した9月14日の会合に至る。図2の続きは以下の会話となっていた。（◯＝IT室日置参事官補佐、◎＝法制局第三部参事官、●＝行政管理局）

【基本法の考え方の確認（IT室）】

◯: 基本法改正案の次長・長官説明資料について提供依頼があったところだが、お渡ししているものが全て。長官指摘によってひっくり返った後は、長官・次長指摘に対し論点ごとにその都度打ち返したところであり、まとまった資料や逐条的なものはない。

◎：状況については分かった。こちらの部長説明資料中、基本法の考え方を端々に記載しており（概要P.7※1など）、こちらとしては無邪気に書いているものだが、内容として次長・長官に上がっている説明と整合性がとれているかの確認をしてほしい。こちらから上げていった時に、次長・長官で基本法の考え方はこうではないはずとなってしまうと非常にまずく、基本法も倒れてしまうことになる。

◯：承知した。そちらの部長説明資料の内容を確認するとともに、次長・長官説明資料については、今一度精査してみる。次長・長官に上げた際の記憶も薄れてきているところだが、一つ言えるのは、長官の認識では匿名加工情報は非個人情報として安全な情報になっているというものであり、識別行為の禁止も本来必要ないものというスタンスのはず。行個法の説明の際にはそのあたりの説明のラインを崩さないことが肝要かと思う。

うはー。ここでこんなにはっきりと忠告されていたのに、まさにそこを崩すことをやってしまい、翌年2月、行政管理局は（というより、法制局第三部はと言うべきだろうか）「行政機関では匿名加工情報は個人情報である（キリッ）」と主張して、長官にちゃぶ台返しされ、泣く泣く名前変更という大迷走に至ることとなったわけである（詳しくは、5月5日の日記「匿名加工情報が非識別加工情報へと無用に改名した事情」の「内閣法制局長官の大どんでん返し」参照）。そこに至る経緯は、今回の開示資料で判明するはずなので、いずれ分析したい。

ともあれ、ここで重要なのは、「長官の認識では匿名加工情報は非個人情報として安全な情報になっているというものであり、識別行為の禁止も本来必要ないものというスタンス」という点である。

IT室では「復元できないように」の解釈を巡って、2つの異なる解説文書が作成されていたようだが、これはどういうことなのだろうか。

次の9月16日の会合では、以下の会話があった。

【基本法の考え方の確認（IT室）】

◎：匿名加工情報の定義について、「作成に用いた個人情報を復元することができないものであるから、基本的には、新個人情報保護法の「個人情報」とは異なるもの」としているが、復元できないから個人情報ではないという理屈が分からない。復元できないとしても照合して特定の個人を識別できる場合もあるのではないか。かねてからこの復元という言葉の意味するところが曖昧で、この解釈に苦慮してきたのだが、結局「復元」と「照合」の意味するところの包含関係とか重なり具合とか文言上の整理はどうなっているのか。

◯：「復元」と「照合」の関係については長官のところでも詰められていないところであり、明確には整理していない。

◎：基本法では保有者にとって容易照合性をなくせば個人情報該当性をなくすことができるが、行個法では、保有者だけでなく、一般人基準で照合できれば個人情報ということになり、保有者である行政機関に照合禁止義務をかけても非個人情報になるわけではないと整理している。そこで復元できないようにするという言葉が一般人基準での照合識別も出来ないようにするという意味を含んでいるということであれば、行個法としても匿名加工情報が基本法と同様に非個人情報であると整理できるわけだが、そのようには解せないのか。

◯：行個法の整理は分かるが、「復元」と「照合」は別概念。復元できないことが照合識別できないことを完全にカバーしている訳ではない。*13

◎：現行法においても匿名加工情報と同様の情報を作成し、元データなどを適切に管理すれば、非個人情報として自由に利活用できるはず。そう考えると照合禁止の義務といった新たな義務は必要ないと考えられ、今回の改正は規制の強化ということか。

◯：容易照合性をなくして非個人情報化する際の基準やルールが曖昧であったところを、今回の改正で明確化したものであり、実際上は規制強化の面があるのは確かであるが、対外的にはあまりそういう説明はしたくないところ。

◎：考え方は分かった。（略）

さらに次の9月17日の会合では、以下の会話があった。

【個人情報と匿名加工情報の重複】（IT室）

◎：「個人情報保護委員会規則で定める基準による適切な加工を施すことによって、特定の個人を識別することができないものになると想定される」とあるが、加工の基準に従えば特定の個人を識別できないものなると言っているのはなぜか。説明が飛躍しており、別紙3の本文上は行個法の説明をメインにして基本法の考え方をなんとなくふわっと書くことで切り抜けられても、別紙3参考2において、基本法の整理を詳細に書くことを避けられない。

考えるに、復元できないが他の情報と照合して特定の個人を識別できる領域をどう捉えるかについては、
①復元できないが照合識別できるという領域は概念上あり得ない。
②復元できないが照合識別できるという領域は概念上あり得るが、非常に限定的であり、かつ、強い加工基準を設ける予定なので、そのような領域が実際に出てくることは予定していない。
②復元できないが照合識別できるという領域は概念上あり得るが、実態としてそのようなものは想定されない。
という3つの方向（あるいは、②と③は排他的でないため、②及び③）の説明があり得ると思うが、どのラインが望ましいのか。

◯：少なくとも、概念上は、復元できないとしても照合識別しようと思えば出来る領域はあると考える。ただ、一般人が入手可能な情報をどう捉えるかということがあり、昨今ではSNS上の情報などインターネット等を通じて入手できる情報が拡大しており、これらとの関係も踏まえて説明の言葉を選ばないといけないと思う。

前回説明したように、復元と照合識別との概念の整理はこれまで明確にはしてこなかったところであり、指摘は分かるが、この辺りを整理するに当たっては、非常に微妙な言葉のニュアンスの選択が必要で、それ次第では事業者が暴れることも想定され、加工基準の設定にも影響を及ぼしかねない。非常にセンシティブなものであるので、今ここでどういう説明のラインにしてどういう言葉を選ぶかは決めかねる。持ち帰って検討したい。

◎：取りあえず分かった。行個法の部分の必要な修正は管理局で案を作るとして、基本法の部分についてはIT室において作成してほしい。

おそらく、基本法は保有者基準で容易照合性をなくせば良いわけで、復元と照合識別との差分についても識別禁止義務をかけることでクリアできることから、長官もその部分を詰める実益がないと判断して特にこれまで整理を要されなかったのではないか。

いずれにしろ基本法ではこれまで整理してこなかった部分について今回整理するわけだから時間を要しそう。

なるほど、この頃は業界の圧力がかかっていたのだろうか。そうすると、IT室の一部は、長官が「ひっくり返した」方針に逆らった解釈を導き出そうとしていたのではないか。

その後の展開

結局、その年の12月に出版された、立案担当者らによる解説書「一問一答平成27年改正個人情報保護法」（瓜生和久編著, 商事法務）は、「復元することができない」の意味を以下のように説明した。

Q24 匿名加工情報の要件である「特定の個人を識別することができない」、「復元することができない」とは、どのようなことですか。

A 1 匿名加工情報は、個人情報を加工して、①特定の個人を識別することができず、②当該個人情報を復元することができないようにしたものです。

この「特定の個人を識別することができない」とは、「個人情報」（第2条第1項）の「特定の個人を識別することができる」という要件をいわば反対から捉えたもので、加工後の情報から、当該情報と具体的な人物との一致を認めるに至り得ないことを言います（Q7参照）。

また、「復元することができない」とは、匿名加工情報の作成の元となった個人情報に含まれていた、特定の個人を識別することとなる記述等や個人識別符号の内容を特定し、元の個人情報へと戻すことができないような状態にすることをいいます。

2 この2つの要件を満たしているかどうかの判断は、通常人の能力等では特定の個人を識別することができず、また、元の個人情報に復元することができない程度を基準とするものであり、あらゆる手法によって特定や復元を試みたとしてもできないというように、技術的側面から全ての可能性を排除することまでを求めるものではありません。

3 なお、（略）

これはほとんど何も言っていないに等しい。我々としては、公式な解説として目にしたのはこれが初だったから、これを信じる他ないわけで、このように書かれると、ほとんど意味のない規定で、何らかのよくわからない経緯で入ったのだろうなあとしか思わなかった。しかし、今回の開示資料を踏まえた上記の理解を前提にすると見えてくるものがある。

まず、前掲図9の続き部分に記載されていた「作成の元となる個人情報と匿名加工情報との間の対応関係を曖昧化した照合困難なもの」とすることが「復元することができないようにする」の意味だとした解釈は、ここには書かれていない。図9の文書は取り消されたのだろうか。

しかし、よく読んでみると、それを含む意味で書かれているとも読めなくもない。つまり、作成者において、「特定の個人を識別することとなる記述等や個人識別符号の内容を特定し、元の個人情報へと戻すことができないような状態にする」（瓜生編）ためには、「作成の元となる個人情報と匿名加工情報との間の対応関係を曖昧化した照合困難なもの」（図9）とすることが有効であることに違いないと言え、それを明示してはいないが暗に想定しているとも理解できる。少なくとも、それを排除しているとは読めないだろう。

これはおそらく、法制局長官の「ひっくり返し」がある一方で、業界からの圧力か何かもあったのか、図9の文書の整理があるとはいえ、結局は決めかねてしまい、このようなどちらとも取れる薄い記載にあえて落としたということなのだろう。

そして、個人情報保護委員会のガイドラインでは、この部分が以下のように説明された。

なお、法において「特定の個人を識別することができる」とは、情報単体又は複数の情報を組み合わせて保存されているものから社会通念上そのように判断できるものをいい、一般人の判断力又は理解力をもって生存する具体的な人物と情報の間に同一性を認めるに至ることができるかどうかによるものである。匿名加工情報に求められる「特定の個人を識別することができない」という要件は、あらゆる手法によって特定することができないよう技術的側面から全ての可能性を排除することまでを求めるものではなく、少なくとも、一般人及び一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者又は匿名加工情報取扱事業者が通常の方法により特定できないような状態にすることを求めるものである。

また、「当該個人情報を復元することができないようにしたもの」とは、通常の方法では、匿名加工情報から匿名加工情報の作成の元となった個人情報に含まれていた特定の個人を識別することとなる記述等又は個人識別符号の内容を特定すること等により、匿名加工情報を個人情報に戻すことができない状態にすることをいう。

「当該個人情報を復元することができないようにしたもの」という要件は、あらゆる手法によって復元することができないよう技術的側面から全ての可能性を排除することまでを求めるものではなく、少なくとも、一般人及び一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者又は匿名加工情報取扱事業者が通常の方法により復元できないような状態にすることを求めるものである。

これも、前掲の瓜生編Q&Aと同じことが書かれている。ガイドラインでも詳細な記載を避けたということだろう。両者の違いを見ると、「の内容を特定し」だったところが「の内容を特定すること等により」と改められており、「等」が付けられているから、さらに言外のことを想定している余地を残したことになる。

そして、それに対し、先月出版された前掲の大角氏の著書は、この「復元することができないように」の解釈でもまた随分と踏み込んだことを書いてしまっている。

図14: 「Q&Aで理解する！パーソナルデータの匿名加工と利活用」27頁～28頁

2 「復元することができない」が意味すること

①「復元することができない」の解釈

「復元することができない」の解釈については、個情法ガイドライン（匿名加工編）2-1で次のように記載れています。

（略）

また、同ガイドラインによれば、（略）と説明されています。

後述する個情法36条5項、38条では、匿名加工情報を他の情報と照合して本人を特定することを「識別」と表現しているため、このような行為と「復元」とは明確に区別されることになります。

したがって「復元」とは、あくまでも個人情報から匿名加工情報に加工する具体的な加工方法（加工に用いた手法やパラメータ等）を特定して、加工後の情報から加工方法を逆向きにたどることによって元の個人情報に戻すことをいうと解されます。

例えば、氏名をあるハッシュ関数を用いて別の文字列に変換したものを含む匿名加工情報がある場合に、用いたハッシュ関数を特定するとともに、繰り返しの試行などによって変換された文字列の元となった氏名を特定できた場合は、「復元」に該当すると考えられます。

一方、性別の情報が削除された匿名加工情報に含まれる購買履歴に化粧品の購入が多いことから、元の個人情報に係る本人が女性であることを特定したとしても、加工方法を特定しているものではありませんから、「復元」には該当しないと解されます。

表面上、特定の個人を識別できないようになっていればよいわけではなく、単純な記述等の置換えを防いで、匿名加工情報としての安全性をより高めるために規定されているといえるでしょう。

これはいったいどこに根拠があるのだろうか。このような意味での「復元」もできないようにしなければならないのはその通り*14だろうが、「あくまでも」このようなものの「ことをいうと解されます」と書いてしまっており、これでは、それが全てだという意味になってしまう。

「単純な記述等の置換えを防いで（略）安全性をより高めるために規定されている」というのは、法制局長官に聞いてきたのか？「具体的な加工方法」を特定することだとか、「加工方法を逆向きにたどることによって」だとか、法律に疎い技術者が字面だけで条文を読むときにやりがちな希望的読解（私も経験がある）でしかないのではないのか。

大角氏は、委員会の事務局レポートの作成にも携わったはずで、このような記載が事務局レポートにはない事実からすれば、彼のこのような主張は、委員会内に出されるも却下されたものと見るべきだろう。

ここで気づいたが、これはもしや、2条9項各号にある括弧書き「（……を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）」の「復元」と混同しているのではないか。こちらの復元は、確かに、「加工する具体的な加工方法（加工に用いた手法やパラメータ等）を特定して」「加工方法を逆向きにたどることによって」といったことを想定して、「単純な記述等の置換えを防いで、匿名加工情報としての安全性をより高めるために規定されている」ものと言える。だが、こちらは条文上、「復元することのできる規則性を有しない方法」でひと塊りの概念なのであり、「復元」という字面の共通性だけで、2条9項柱書きの「復元することができないように」も同じだとみなすのは論外だろう。

まとめとつづき

というわけで、以上のように、今もなお初期案を信じる人々がいる一方、再識別が禁止されていることをもって加工方法の基準を緩和することは制度趣旨に反するという公式見解は固まってきている。

それでもなお、「識別することができないように」あるいは「復元することができないように」が、「作成の元となる個人情報と匿名加工情報との間の対応関係を曖昧化した照合困難なもの」（※1）を求めているのだという解釈は、一度は内部で文書化されたものの、公式には出てきていないわけであり、そこの事情を汲みつつ、今後ここの解釈の明確化を図っていく必要があろう。

その際にどうやら障害となっているらしいのが、「仮ID」の問題である。事務局レポートによると、元データとの対応表を残した仮IDを匿名加工情報に付けたまま第三者に提供することを認めてしまっており、これを許すために、「※1」を要件とするわけにはいかないという事情があるように見える。

しかし、匿名加工情報（の提供時）に「仮ID」は不要なのであり、「仮ID」を許すべきではなかった。この論点について、次の「後編の3」で書く。

*1 なお、この前の会合（9月9日）で、法制局第三部の参事官が、行政管理局に対して、「今回参考資料として基本法の長官・次長説明資料の一部を付けてもらっているが、これが全体とは思えないので、改めてIT室に発注すること。」と指示していた記録があり、9月14日のこのやりとりはそれを受けてのものと思われる。

*2 ここは9月9日付の「参考資料」を確認するべきところだが、今手元にないので、後日確認する。

*3 その後、任期を終えて親元へ帰任され、現在はこの職にないようである。

*4 もう一人の著者は（技術的な部分以外は）ほとんど関与していないものと推察する。

*5 前回の日記の6番目の引用部で強調表示した部分がそれ。これが挿入されたのも、事務局レポートの完成が近づいている最終段階で、この大角氏が入れたものだというチクリ情報が入ってきている。

*6 もしくは、彼の中では、自分の書いていることは、ガイドラインや事務局レポートに記載された公式見解と同じだと思っているのかもしれない。つまり、前掲のJEITA意見でもそうだったように、「Xであり、さらにYであることから、Zである。」という文のニュアンスを読み取れておらず、Xを飛ばして「YならばZ」とだけ書いても同じことを言っているのだと、彼の中で信じて疑わない状態である可能性も考えられる。

*7 なお、情報公開法の部分開示規定では、このような部分を除く措置をしても、なお、「公にしても、個人の権利利益が害されるおそれがないと認められる」に至らない場合には、開示してはならないことになっているのであり、常に墨塗りで出せるわけではないことに注意。

*8 ちなみに、同様の考え方は、今回の開示資料中で、行政管理局側の発言として出てきている。2015年8月19日付「法制局説明の模様（未定稿）」には、以下のように、行政機関法14条（保有個人情報の開示義務）の不開示情報の2号（開示請求者以外の個人に関する情報）に係る規定を挙げている。そこに「又は開示請求者以外の特定の個人を識別することはできないが」とある部分が、照合による識別に触れていないのが、暗黙的に含むものと捉えていることを指摘しているものと思われる。なお、これに対して法制局第三部参事官は、ただでさえ曖昧なのだからとして、採用できない旨の助言をしている。

行個法第14条第2号における「識別」には他の情報との照合による識別も含むと解するべきと考えられるところ、行個法における匿名加工情報の定義についても、「特定の個人を識別することができないように個人情報を加工」と規定すれば、当該定義中の「識別」に他の情報との照合による識別も含むこととなると考えられないか。

*9 2号措置の個人識別符号の削除（置き換えを含む）は単純なので、1号措置とまとめてしまう方が自然な規定ぶりではないか。

*10 法律案審議録には、国会提出の時点までしか収録されていない。

*11 成立した法では、36条のこと。

*12 間接罰のこと（委員会の命令に従わなかったときの罰則）であろうか。

*13 これは、照合による識別に「容易に」要件のない行政機関法において、「復元できない」においてもそのような差があるのかという論点であり、そのような差は明確には設けられていないから不明だけども、もし、「復元」にも同様の差があるとすれば、基本法で「復元できないように」を満たす加工が行政機関法では「復元できないように」なったとは言えないことになるかもしれないから、そういう意味で「完全にカバーしている訳ではない」と答えたものと思われる。（基本法において「完全にカバーしている訳ではない」と言っているわけではないことに注意。）

*14 前回の日記の図11に掲載した初期案の説明資料「個人情報と匿名加工情報（仮称）の関係性について」では、「個人情報に復元する」の例として、「措置を講じた者の加工方法を入手し、元となった個人情報に含まれていた削除された記述等の削除アルゴリズムを解析し、削除された記述等を復元した。」が示されていたわけで、これと同じことを指しているつもりなのかもしれない。だが、長官指摘後の変更で導入された「復元できないようにする」がこのことのみを指しているとは限らない。

本日のリンク元 TrackBack(0)

高木浩光＠自宅の日記