高木浩光＠自宅の日記

■ 岡村久道「個人情報保護法〔第3版〕」を読む・前編

前回の宇賀先生の逐条解説に続き、今年6月末に出版された岡村先生の逐条解説「個人情報保護法〔第3版〕」について。この本の第2版は、2013年6月30日の日記でCCCからの回答においても参照されていたように、企業法務の現場で絶大な信頼を誇り多大な影響力のある大著であった。宇賀本の特徴が政府の文書を元に淡々と書かれたものであるのと対照的に、岡村本は条文から見えない部分を独自の見解で詳しく論ずる部分が好評を博していた。第3版で改正法について加筆されており、匿名加工情報の解釈がどうなっているのかが気がかりなところである。この岡村逐条3版に加え、文庫本「個人情報保護法の知識」（日経文庫）が第3版と第4版と立て続けに出版されていたので、こちらもあわせて確認してみた。

図1: 岡村逐条3版（2017年6月）と、岡村文庫3版（2016年3月）、岡村文庫4版（2017年5月）

1号・2号匿名加工情報？ 1号個人情報は個人識別符号が含まれないもの？

まず、岡村文庫第3版224頁〜225頁に、「1号匿名加工情報」と「2号匿名加工情報」という奇妙な見出しが目に入った（図2）。「個人情報」なら1号と2号ができたが、「匿名加工情報」に1号と2号があるとするのは初めて見た。

図2: 岡村久道『個人情報保護法の知識』第3版（日本経済新聞社, 2016）224頁〜225頁の様子

その内容は以下のように書かれている。

(2) 1号匿名加工情報

まず、個人識別符号を含まない個人情報（2条1項1号）を加工元情報とするときは、当該個人情報に含まれる記述等の一部を削除することによって、匿名加工情報となります（2条9項1号）。以下、1号匿名加工情報といいます。

一部削除の対象となる記述等とは、個人識別性を有する部分です。基本4情報（氏名、住所、生年月日、性別）が含まれる個人情報を元情報として、氏名や（略）ようなケースが想定されています。

この一部削除には、当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含みます（同号カッコ書き）。先のケースで（略）ようなケースが想定されています。（略）といったデータになります。

(3) 2号匿名加工情報

次に、個人識別符号を含む個人情報（2条1項2号）を加工元情報とするときは、当該個人情報に含まれる個人識別符号の全部を削除することによって、匿名加工情報となります（2条9項2号）。以下、2号個人識別符号といいます。

2号個人識別符号では、個人識別符号の全部削除が要件です。1号匿名加工情報の場合と違って、個人識別符号それ自体が個人識別性を有しているからとされています。（略）

岡村久道『個人情報保護法の知識』第3版（日本経済新聞社, 2016）224頁〜225頁

これは変だ。この説明だと、個人情報に個人識別符号が含まれる場合には氏名等を削除しなくてよい（1号の措置を求めない）ことになってしまう。匿名加工情報がどういうものかが頭にあれば、そんなわけがないことはすぐにわかる。氏名等と個人識別符号の両方が含まれるときは、2条9項の1号と2号の両方の措置を講じることになるのは、自明のことだと思っていたが、この本では、1号と2号は排他的なものとして書かれている。

というか、それ以前にそもそも、2条9項の各号は、「区分」と「措置」であって、「匿名加工情報」ではない。言うならば「1号措置」と「2号措置」なのであって、「1号匿名加工情報」「2号匿名加工情報」と呼ぶこと自体がおかしい。このことは以下のように条文から明らか。

9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

一 第1項第1号に該当する個人情報  当該個人情報に含まれる記述等の一部を削除すること（当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。

二 第1項第2号に該当する個人情報  当該個人情報に含まれる個人識別符号の全部を削除すること（当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。

さすがにこれは、うっかりミスか編集者のミスで、第4版では修正されるだろうと思っていたのだが、5月になって出版された第4版でも、本文には変更があるのに、この部分はこのまま、直されていなかった。

一方、6月に出版された岡村逐条3版では、1号・2号個人識別符号との言葉は用いられていない。これに相当する箇所は、以下のように書かれている。

X 匿名加工情報（法2条9項関係）

1 概説

「匿名加工情報」とは、法2条9項各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう（同項柱書）。平成27年改正によって新設された概念である。

「匿名加工」に要する措置内容は、加工元となる個人情報が個人識別符号を含むものか（同項2号）、含まないものか（同項1号）によって、〔表2-4〕のとおり区分されている。個人識別符号は法2条2項が定義している。

岡村久道『個人情報保護法〔第3版〕』（商事法務, 2017）118頁〜119頁

図3: 岡村久道『個人情報保護法〔第3版〕』120頁に記載の表2-4

1号・2号匿名加工情報の語は用いられなくなったものの、ここでも、2条9項の1号措置と2号措置が排他的なものとして書かれている。どうしてこうなるのだろう？

どうやらこれは、2条1項1号の条文が読み違えられているようだ。2条1項1号は以下のようになっている。

一 当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録（略）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）

ここに「個人識別符号を除く」とあるからと、1号個人情報は「個人識別符号が含まれないもの」と読まれてしまったようだ。

しかし、条文に目を凝らせば明らかなように、個人識別符号が除かれているのは、「記述等」の定義部分で除かれているだけである。そして、「「記述等」が個人情報」なのではない。「記述等……により……できるもの」という文である。

つまり、ある「個人に関する情報」が個人情報であるか否かというときに、何によって特定の個人を識別することができることとなるのかについて、個人識別符号によるものが2号個人情報であり*1、それ以外によるものが1号個人情報であると、そういう定義である。

このことは、ある「個人に関する情報」が1号個人情報でありかつ2号個人情報でもあるという状況を排除しない。したがって、1号・2号の両方の個人情報に該当するときは、2条9項も、1号・2号の両方の措置を講じることになる。

実は、同じ間違いが前回の宇賀本にもある。

(13) 「第1項第1号に該当する個人情報」（9項1号）

本法2条1項1号に該当する個人情報である。個人識別符号が含まれない個人情報であって、それ単独で個人情報である場合（氏名、顔の画像等）もあれば、他の情報と容易に照合されて個人情報になる場合もある。

宇賀克也『個人情報保護法の逐条解説《第5版》』（有斐閣, 2017）75頁

どうしてこんな基礎的なところで二人とも間違うのだろうか。

検索方法が電子計算機を用いたものである場合にも容易検索性を要件としている点で異なる？

次に、匿名加工情報取扱事業者（2条10項）の定義中に出てくる「匿名加工情報データベース等」の定義について。岡村逐条3版に以下の記載がある。

「匿名加工情報データベース等」について政令で定めるものとは、これに含まれる匿名加工情報を一定の規則に従って整理することにより特定の匿名加工情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう（令6条）。この要件の大半は「個人情報データベース等」（法2条4項）のそれと同様であるから、本章Vを参照されたいが、検索方法が電子計算機を用いたものである場合にも容易検索性を要件としている点で、法2条4項と異なる。

岡村久道『個人情報保護法〔第3版〕』（商事法務, 2017）122頁

このような解説も初めて見た。ここは、従前の「個人情報データベース等」に電算処理情報（2条4項1号）とマニュアル処理情報（2条4項2号）の2つがあったのと同様に、「匿名加工情報データベース等」にもその2つがあることについて解説している部分だが、その2つは完全にパラレルになっているかと思いきや、「容易検索性」の点で違いがあるというのである。

しかしどうだろう。以下に条文を並べてみる。

4 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの（利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。）をいう。

一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

10 この法律において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの（第36条第1項において「匿名加工情報データベース等」という。）を事業の用に供している者をいう。ただし、第5項各号に掲げる者を除く。

このように、緑で強調の部分、青で強調の部分、それぞれを対比させると、「個人情報」と「匿名加工情報」の違いだけで、他は完全に同一である。（ここに違いを設ける必然性がないので当然そう立案するだろう。）

ではなぜ、岡村逐条3版はここに違いがあると言うのか。おそらく、次のように誤読したのではないか。（赤で強調した「の」が上との差）

10 この法律において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他の特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの（第36条第1項において「匿名加工情報データベース等」という。）を事業の用に供している者をいう。ただし、第5項各号に掲げる者を除く。

法制執務において、「A その他 B」と「A その他の B」とでは意味が違ってくることは、基礎中の基礎であり、前者は並列的例示、後者は包括的例示と呼ばれる。後者の場合では、AはBに含まれることになる（AはBの一種）ので、B＝「容易に検索することができるように体系的に構成したもの」なら、Aも「容易に検索……」という性質を持つものということになる。それに対し、前者の場合では、AはBとは別に並置したもの（上の「前号に掲げるもののほか、」と同じ意味）ということになるから、Bが「容易に検索……」とあるからといってAもその性質を備えるとは限らない。法の条文は前者になっているから、直ちにAも「容易検索性を要件としている」とするのはおかしい。

もっとも、ここでは、「電子計算機を用いて検索することができるように体系的に構成」することは、「容易に検索することができるように体系的に構成」することの一つの手段ではある。そもそも電子計算機を用いた検索は元々、容易にできるものであるところ、マニュアル処理情報においても電子計算機による方法に準ずる程度に「容易に」できるように「一定の規則に従って整理」されたものを要求しているところである。その意味では、「電子計算機を用いたものである場合にも容易検索性を要件としている」とする文自体は間違ってはいない。

だが、そのように言うのならば、従前の「個人情報データベース等」でも同様に「電子計算機を用いたものである場合にも容易検索性を要件」としていることになるから、岡村逐条3版の「容易検索性を要件としている点で、法2条4項と異なる。」という記述は、そういうことを言っているわけでもない。

以上のことから、この解説は、誤読によるものか、そうでないならば、論理的な誤りがあるか、単なる思い違いと思われる。

「個人に関する情報」との要件は団体情報等を除外するために設けられたものにすぎない？

次に、前回も取り上げた論点の、統計情報と匿名加工情報の関係について。岡村文庫3版には、このことについて以下の記述があった。

他方で、匿名加工情報は「統計情報」を含む概念です。改正担当者は否定していますが、法文上、36条1項の基準を満たす匿名加工を徹底したものともいえるものだからです。にもかかわらず、本条の義務が新たに課せられるとすれば、規制強化に該当する疑いがあります。

本条に関係する個人情報保護委員会規則によって、こうした不合理をできる限り軽減することを明確化し、それが困難であれば早期の改正による正常化が求められるところです。

岡村久道『個人情報保護法の知識』第3版（日本経済新聞社, 2016）236頁

これは、前回も書いたように、匿名加工情報は定義上「個人に関する情報」であることを要件としたことで、法案の起草初期の時点から解決されている。統計情報は「個人に関する情報」ではないので、統計情報は匿名加工情報に該当しない。このことは2015年12月出版の瓜生本にも書かれていたことなのに、「改正担当者は否定していますが」というのはそのことなのだろうか。岡村文庫3版は、2016年3月の時点で、このように書いてしまっていた。

それが、岡村文庫4版（2017年5月）では、以下のように変更されている。個人情報保護委員会のガイドラインを踏まえての修正であろうか。

匿名加工指針は「統計情報」と「特定の個人との対応関係が排斥されている」か（統計情報）、いないか（匿名加工情報）で区別しています。2条9項の法文に照らすと無理があるように思えますが、「統計情報」に規制を及ぼさないための苦肉の策といえるでしょう。

岡村久道『個人情報保護法の知識』第4版（日本経済新聞社, 2017）243頁

いちおう撤回されて、政府の説明に沿うように改められたが、「無理がある」とか「苦肉の策だ」などと書かれていて、なぜ無理があるのかの理由はここには書かれていなかった。

これが、岡村逐条3版で、以下のように、理由を含めて詳しく書かれた。

**個人に関する統計情報との関係: 匿名加工GL2-1は、統計情報は、「複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に把握するもの」であり、「特定の個人との対応関係が排斥されている限りにおいては、法における『個人に関する情報』に該当するものではないため、改正前の法においても規制の対象外と整理されており、従来同様に規制の対象外となる」とする。もともと「個人に関する情報」という要件は団体情報等を除外するため設けられたものにすぎないので、特定の個人との対応関係を加工して導出した「特定の村の後期高齢者男性数」のような情報が「個人に関する情報」に該当しないということには躊躇を感じ、匿名加工情報の定義内容等に照らしても解釈に無理があるが、統計情報を除外するために、やや極端な解釈を導入せざるをえなかったものと思われる。それにしても、統計情報と匿名加工情報は燦然と区別しうる性格のものか疑問が大きく、その境界線が不明確なままとならないか懸念される。

岡村久道『個人情報保護法〔第3版〕』（商事法務, 2017）119頁〜120頁

「「個人に関する情報」という要件は団体情報等を除外するため設けられたものにすぎない」とある。これが、政府見解と齟齬をきたす原因となっているようだ。

「個人に関する情報」が何であるかについては、前回も書いた。データベースやファイルを構成している場合には、要するに「個票」の一つひとつのことである。

このことはたしかに気づくまで理解が難しいもので、私も岡村本その他の個人情報保護法の解説書で勉強していた6年前には全くわからなかった。どの本を読んでも、「「個人に関する情報」には、個人の属性・行動、個人に対する評価、個人が創作した表現等、当該個人と関係するすべての情報が含まれる」（宇賀逐条第3版27頁）といったように、「個人に関する情報」にどんな情報が含まれるかの説明ばかり書かれていて、そもそも「個人に関する情報」とは何を指しているものなのかがすっ飛ばされている。

私が理解に至ったのは、情報公開法の解説書を読んでからだった。宇賀克也『新・情報公開法の逐条解説第5版』（有斐閣, 2010）で、情報公開法5条1号と6条2項について勉強すると、繰り返し「個人に関する情報」というフレーズを用いて書かれており、それ自体がひとくくりの用語なのだということに気づかされた。（「2014年4月23日の日記の「1.個人に関する情報」の節を参照。）

不幸なことに、個人情報保護法では、条文が「生存する個人に関する情報であって」と始まることから、「生存する」と「個人に関する」の2つの連体修飾語が「情報」にかかる独立した要件として修飾しているだけのように読めてしまい、「個人に関する情報」がひとくくりの用語であることが見えにくくなっている。たしかに、文法的にも、「個人に関する情報」に「生存する」が修飾しているというのはおかしい（情報の生死を言うのはおかしい）ので、「個人に関する情報」でひとくくりの用語だとは読めないという問題点*2はある。「個人（生存する個人に限る）に関する情報であって」の方が誤解のない条文だっただろう。

この形の条文は、英国のData Protection Act 1984を参考に*3、昭和63年法で初めて用いられたものである。2016年11月23日の日記「容易照合性が提供元基準でファイル単位なのは昭和61年からだった」に書いたように、英国法の「personal data」定義が、「"Personal data" means data consisting of information which relates to a living individual who can be identified from that information (or from that and other information in the possession of the data user), including ……」となっていて、日本法の定義はこれに瓜二つである。

ここで明らかなように、英国法では「a living individual」と、単数の不定冠詞のついた「個人」を指している。英国法に限らず、EUのデータ保護指令でも「'personal data' shall mean any information relating to an identified or identifiable natural person」と単数の不定冠詞のついた「natural person」を指していたし、OECDガイドラインでも同様であった。当然すぎてなのか、どの解説書にも書かれていないが、「個人に関する情報であって」とは、ある一人の個人についてを定義したものなのである。このことを強調して条文にすれば、「この法律において「個人情報」とは、生存するある一人の個人に関する情報であって、当該情報に含まれる氏名、……により当該個人を識別することができるもの（略）をいう。」とすべきところ、日本語には冠詞に係る区別が希薄であり、そこをあえて書くのは日本語として美しくないということなのか、法文上は現状のようになっているわけである。

それに対して、岡村本の解釈はこれとは違っている。岡村逐条3版には以下の記載がある。

したがって、たとえ生存する個人に関する情報であっても、「昨年度末時点における成人の島根県民数」のような、識別性を欠く統計情報は個人情報たりえない。ただし、識別性を有しない情報が、個人情報ではなく匿名加工情報として義務の対象となる場合がある（略）。

岡村久道『個人情報保護法〔第3版〕』（商事法務, 2017）71頁〜72頁

このように、岡村本は、島根県民数といった情報も「個人に関する情報」と捉えていて、これが個人情報に該当しないのが、識別性がない（特定の個人を識別することができるものではない）からだという整理になっている。つまり、岡村本では、「個人に関する情報」の「個人」を「an individual」ではなく「some individuals」で捉えているわけである。この前半の文は岡村逐条の第1版から記載されており、ずっとこの前提で語られてきたようである。

というわけで、前掲の引用に戻ると、「もともと「個人に関する情報」という要件は団体情報等を除外するため設けられたものにすぎないので」という岡村逐条3版の主張は、このように、「個人に関する」を「生存する」と並置の単なる修飾語と捉え、「個人」を「some individuals」として捉えているから、そのような発想になっているのだと考えられる。*4

岡村逐条3版には、別の場所で以下の記載もある。

2「個人に関する情報」

(1)「個人」に関する情報 以下、本項が定義する個々の要件について詳論するが、第一に「個人に関する情報」であることを要する。この要件を満たすもの全般を、生存者性・個人識別性の一方または双方有無にかかわらず、近時は「パーソナルデータ」と呼ぶことがあるが、これは通称であって法令上の概念ではない。

岡村久道『個人情報保護法〔第3版〕』（商事法務, 2017）67頁

なるほど、岡村先生は「パーソナルデータ」を「島根県民数」のようなものまで入ると捉えていたのだなと改めて気づかされる。政府のパーソナルデータ検討会では当然に「an individual」に関する情報をパーソナデータと呼んでいたわけで、そこからして隔たりがあったわけだ。

ここの解釈の齟齬は、今年1月の総務省自治行政局「地方公共団体が保有するパーソナルデータに関する検討会」でも、岡村構成員の発言によって議論の俎上に載っていたようで、議事概要に以下のように記録されている。

• 地方公共団体が保有するパーソナルデータに関する検討会（第3回）, 議事概要, 総務省自治行政局, 2017年1月31日

  【岡村構成員】
  ○統計情報と匿名加工情報はどこで線を引くのか。
  

  【小川参事官】
  ○ガイドラインに記載しているように、「特定の個人との対応関係が排斥されている」形で加工されているものは、今までと同様に統計情報として扱われる。
  ○統計情報の場合は集計した形で数値が出てくるが、匿名加工情報の場合は個票のデータを個人が特定できないような形にして出すというイメージである。
  ○特定の個人との関係が残したまま匿名化したものが、匿名加工情報ということになる。

  【佐藤構成員】
  ○非識別加工情報については、各個人の情報が1人ずつ行になって入っているデータであり、ある意味で1人1人が区別できるようになっている。一方、統計情報は、基本的には1人1人が区別できないデータである。

  《議事3について》
  （略）

このように、岡村構成員がここでもこの疑問を投げかけたのに対し、個人情報保護委員会事務局の参事官から、個票のことだと回答され、佐藤一郎構成員からも、個票とはどういうものかが説明されている。

1月の時点でこのようなやり取りがあったにもかかわらず、6月出版の著書で前掲のように書かれたということは、この説明を受けてもなお、納得がいかなかったということであろうか。公表された議事録が「議事要旨」として内容が丸められてしまっているので、この説明を受けて岡村構成員が何と発言したのか不明（議事要旨上は発言がない）である。

なお、「個人に関する情報」がこのように「個票」のようなものであるとすることは、データベースやファイルを構成している場合に限らず、情報公開法（散在情報の状態で法の対象となる）においても、重要な意義を持つ。

情報公開法では、部分開示決定をする際に、1号不開示情報（個人に関する情報）が文書中のどの範囲までを指しているのかが問題となる。そこをどう解釈するかは逐条解説書にも明記されていないが、政府の情報公開・個人情報保護審査会における運用で直面する課題であり、審査会の元常勤委員の森田弁護士による以下の書籍で詳細に論じられている。

• 森田明, 論点解説 情報公開・個人情報保護審査会答申例, 日本評論社, 2016年7月
  

  図4: 森田明『論点解説 情報公開・個人情報保護審査会答申例』（日本評論社, 2016）100頁「第3章 保有個人情報の範囲の考え方」——「ひとまとまりの情報」という難問

ここでは、「保有個人情報」とあるように、行政機関個人情報保護法における本人情報開示請求の運用の話として書かれているが、「保有個人情報」は、「個人に関する情報」のうち特定の個人を識別することができるもので、かつ、行政文書に記録されているものなので、情報公開法の「個人に関する情報」とパラレルである。しかも、行政機関個人情報保護法の部分開示規定は、情報公開法の部分開示規定の引き写しであり、請求した本人の個人情報の中に本人以外の個人の「個人に関する情報」が含まれている場合などは、まさに、このような「個人に関する情報」の範囲をどう捉えるかが重要となっている。

このことからしても、「個人に関する情報」という句がそのような「ひとまとまりの情報」を指していること（島根県民数を含むような概念ではない）がわかる。

その他の匿名加工情報に係る論点

その他、匿名加工情報の加工基準に関わる解釈上の論点（前回までに論じたような）について気になるところであったが、岡村逐条3版は、加工基準についてはさらっと触れただけになっており、これまで論点となっていたことはほとんど書かれていなかった。