先日ようやく公開した「Cafe JILIS」のインタビュー記事は、9万字ほどの長文にも関わらず、おかげさまで、想定を超えて多くの読者に刺さったようだ。未だ研究当事者界隈からの反応は薄いものの、役所の偉い方々や業界の職業人の方々には届いている様子で、一般の方からも「目から滝のように鱗が」といった感想を頂くなど、一回読切の構成にした思惑通りであった。早速マスコミからも問い合わせが来ているので、これから大々的にこの方向性を打ち出していくことになるだろう。なぜ今「緊急で」だったのかは最後で述べている。情報公開学派・プライバシー学派との訣別の時来たれりなのである。
緊急で話さなければならないことがある!といいつつ3ヵ月くらいかかってしまいました。ようやく高木浩光さんのインタビューを公開することができました。https://t.co/gDDSrNJtT6
— えびまゆ (@ebimayu) March 18, 2022
とても長いです。3連休にお読みください。これはラフなインタビューで、こちらで語られた内容はいずれ論文になる予定
昨年注力した1970年代からの海外文献の原典をあたる調査の成果です。当初予想を超える根拠が得られています。まとめる作業が大変で論文には時間がかかるところ、今すぐ知っていただく必要のある状況が迫っているため、インタビューで答えました。〔読了目安2時間〕https://t.co/rOpBevULvs
— TAKAGI, Hiromitsu (@TakagiHiromitsu) March 18, 2022
方々の講演会で前振りしてきたが、とうとう高木説の全貌がまだラフではあるが公開された。これで混迷の議論に出口が見出せるはず。理論的な反論を待ちたい。
— 鈴木 正朝 (@suzukimasatomo) March 18, 2022
「高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱」CafeJILIS(2022年3月18日)https://t.co/gFBYd9itrQ
前期にGDPRの概要をざっと学んだとき、授業の冒頭で「プライバシーとdata protectionは別物」とさらっと説明されたけど、これを読んでようやく腹落ちしました。dataとinformationの違い、processとhandleの違い、言葉への理解もクリアになった。ありがとうございます🙏https://t.co/DOZkGlh41x
— NaokoMurai (@murainaoko) March 28, 2022
内容はこれで完結しているので、改めて加えることはほとんどないが、何箇所か、「既に書いたことなので」として省略したところがあった。そのうちの一つである以下のところ、……
なお、この達増の質問に、政府参考人の藤井昭夫内閣官房内閣審議官は次のように答弁しています。「あくまで基本原則の部分については、そういった効果というのは努力義務でございますし、5章の方は、先ほど来御指摘のような、IT処理される個人データということでございます。」と。「5章」というのは旧法案の5章で、現行法の4章のことです。つまり、個人情報取扱事業者の義務は全て「IT処理される個人データ」が対象と言っていますね。ここ、重要なところです。ちゃんと「処理」の言葉を用いていますね。
—— おや?現行法4章は、15条から18条までは「個人データ」ではなく「個人情報」が対象なんじゃないんですか?
高木: そこですよ問題は。話が長くなるので今日はその話は省略します。内閣法制局の横槍でおかしくなったんだろうと推察していますが、詳しくは前出の「法とコンピュータ」34号69頁あたりから書いてあります。いずれにせよ、立案当局の政府参考人が4章の義務は「IT処理される個人データ」だと答弁して成立した法律なんですから、そう解釈すべきですよ。あ、マニュアル処理情報が「IT」かは疑問ですが、そこは目を瞑りましょう(笑)。
……この件について、実は、現行法のままでもそのように解釈できるという独自の新解釈がある。まだチラッとしか公言していなかった*1のだが、このところ、本気でその通りだと思えてきたので、4月1日という改正個人情報保護法施行日の今日を記念して書き留めておくこととしたい。
まず、平成27年改正と令和2年改正で、「〇〇情報取扱事業者」という用語が増えた。全部で4つになった。これが令和3年改正で、用語定義が一箇所に集められ、見通しが良くなった。そこを抜粋すると以下である。
(定義)
第16条 この章及び第8章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(……)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
2 この章及び第6章から第8章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
(略)
5 この章、第6章及び第7章において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第41条第1項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。
6 この章、第6章及び第7章において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第43条第1項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。
7 この章、第6章及び第7章において「個人関連情報取扱事業者」とは、個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第31条第1項において「個人関連情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。
これら4つは同じ構造をしていることがわかる。すなわち、「X情報」なる概念があって、それを含む情報の集合物であって特定のそれを電子計算機を用いて検索することができるように体系的に構成したものその他政令で定めるものを「X情報データベース等」と呼び、「X情報データベース等」を事業の用に供している者が「X情報取扱事業者」である。
「〇〇情報取扱事業者」の種別がこうも増えてくると、「当社は〇〇情報取扱事業者であろうか?」といった問いはほとんど意味をなさなくなってくる。平成27年改正より前では、5000件要件があったため、自社が個人情報取扱事業者であるか否かという問いには大きな意味があったが、平成27年改正でその要件もなくなり、今やどんな事業を行う者も個人情報取扱事業者であるから、そこを問う意味はなくなった。
となると、この用語は何のためにあるのか。それは単に、義務規定の「名宛人」にすぎない。日本法は、「X情報取扱事業者は、X情報を、Pしてはならない。」とか、「X情報取扱事業者は、X情報を、Qするときは、Rしなければならない。」といったスタイルの規定の羅列で成り立っている。
つまり、「Pしてはならない」という禁止規定を設けようとすると、義務対象の客体が「X情報」であれば、自動的に「X情報取扱事業者」が義務対象の主体として名宛人となるわけである。*2
したがって、「当社は仮名加工情報取扱事業者であろうか?」とか「当社は個人関連情報取扱事業者であろうか?」ということを気にする意味はほとんどない。気にすべきは、「仮名加工情報(仮名加工情報データベース等を構成するものに限る)」を取り扱うことがあるか否かであり、取り扱うことがあるならば、取り扱う際に義務規定において「仮名加工情報取扱事業者」に該当することになるというだけの話である。
さて、ここで興味深いのが、令和2年改正後に初めて現れることとなった「仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。以下この条において同じ。)」(41条3項)というフレーズである。「ガイドライン(仮名加工情報・匿名加工情報編)」では、「個人情報取扱事業者である仮名加工情報取扱事業者」というフレーズになっている。これはどのような意味であろうか?
おそらく、これまでの通説的解釈をしている人からすれば、ほとんどの事業者は(何かしらの個人情報データベース等を事業の用に供しているので)「個人情報取扱事業者」に該当するのであるから、したがって「個人情報取扱事業者である仮名加工情報取扱事業者」なる概念は単に「仮名加工情報取扱事業者」と違わないものだ(A解釈)と解釈するはずである。
しかし、これはそういう意味ではない。「個人情報取扱事業者である仮名加工情報取扱事業者」が名宛人になっている義務規定では、客体が必ず「個人情報である仮名加工情報」となっており、それに連動して名宛人が自動的に決まっているだけなのだ。
ここで「え?そんなバカな!」とプログラマーなら思うはずだ。一般に「法律のコードとコンピュータプログラムのコードは似ている」などと言われるが、このような捻れは、コンピュータプログラムではあり得ないことだ。概念の定義に失敗しており、意図したものとは別物になっている。それが法律の世界では、このような捻れが平然と許され、パブコメ回答や国会答弁は「一般的に現状の記述で御理解いただけるものと考えます。」となるわけである。
いや、ところが、そうでもないのである。私はこの規定ぶりを見た2年ほど前から、「いや、おかしくないぞ?」という理解に達した。それはどういうことなのか、というのが本題であり、以下である。
この「X情報取扱事業者」なる概念は、通説的解釈で言われるような「任意の『X情報データベース等』を事業の用に供している場合に該当することとなる事業者の区分」という概念(A解釈)なのではなく、ある一つの「X情報データベース等」に従属して観念される概念なのであり、当該「X情報データベース等」を事業の用に供している事業者を指す概念(B解釈)なのである。
したがって、「X情報データベース等a」を事業の用に供する「X情報取扱事業者a」と、別の「X情報データベース等b」を事業の用に供する「X情報取扱事業者b」とは区別されるのであり、「X情報取扱事業者は、X情報について、Rしなければならない」という規定は、「X情報取扱事業者aは、X情報a1,2,3,…(X情報データベース等aの要素)について、Rしなければならない」とは解されるが、「X情報取扱事業者bは、X情報a1,2,3,…について、Rしなければならない」とまでは言っていないと解する(B解釈)ことになる。(実際、このように解釈しないと、仮名加工や匿名加工の規定を破綻なく説明できない*3。)
そうすると、このように解するならば、「個人情報取扱事業者である仮名加工情報取扱事業者は、個人情報である仮名加工情報について、Rしなければならない」という規定は、次のように解することになる。
すなわち、まず、「個人情報である仮名加工情報」とのフレーズは、ある一つの要素について、それが個人情報に該当するし仮名加工情報にも該当するという状況を前提としているのだから、同一の客体である「個人情報データベース等a」兼「仮名加工情報データベース等a」の各要素である「個人情報a1,2,3,…」兼「仮名加工情報a1,2,3,…」のことを指している。したがって、「個人情報取扱事業者である仮名加工情報取扱事業者」とのフレーズも、「個人情報取扱事業者aである仮名加工情報取扱事業者a」と解することになる。それゆえ、これは「個人情報取扱事業者bである仮名加工情報取扱事業者a」を指すわけではない。なので前記のA解釈は誤りである——ということになるのである。
このような解釈(B解釈)は、平成27年改正の前では不可能だった。なぜなら、5000件要件は、ある一つの「個人情報データベース等」の本人の数を指しているのではなく、当該事業者が保有している全「個人情報データベース等」の本人の数の合計値であり、すなわち、個々の「個人情報データベース等」毎に個別に規制の有無を線引きする要件なのではなく、事業者が扱う全体の規模で線引きするものだった。それゆえ、例えば、作業服小売業の会社が、顔識別カメラで顧客データベースを構築し始めた際に、5000件を超えない「個人情報データベース等」であるから個人情報保護法の適用外だと主張しても、その会社の従業員数が5000人を超えていれば個人情報取扱事業者に該当し、5000件に満たない小さな顧客データベースにも個人情報保護法の義務は適用されると解されていた。(すなわち、従業員DBである「個人情報データベース等b」の存在によって、顧客DBに係る義務規定の名宛人である「個人情報取扱事業者a」の該当性が左右される解釈(A解釈)がなされていた。)
それが、平成27年改正で5000件要件が撤廃されたことから、そのような解釈(A解釈)を採る必要がなくなった。それと同時に、匿名加工情報の制度が創設されたことで、A解釈では説明がつかなくなり、B解釈を前提としていると解することで合理的に説明できる状況が生まれた。それがさらに、令和2年改正で「X情報取扱事業者」が4つに増えたことで、そのような合理的解釈が前提であることの確からしさが高まった。*4
そして、このようなB解釈を採ると、「個人情報取扱事業者は、個人情報を、Qするときは、Rしなければならない」という規定は、「個人情報取扱事業者aは、個人情報a1,2,3,…を、Qするときは、Rしなければならない」と解することになるのであるから、「個人情報a1,2,3,…」は「個人情報データベース等a」の要素ということになるのである。すなわち、どの「個人情報データベース等x」にも関係しない裸の「個人情報」は義務の対象となり得ないのである。
このように解釈すると、前掲の、2002年の国会で藤井昭夫内閣官房内閣審議官が「個人情報取扱事業者の義務は全て「IT処理される個人データ」が対象」である旨の答弁をしたことは、現行法の条文上も辻褄が合っているのである。これが立法時から意図してのことなのかは定かでない*5が、少なくとも結果として、現在ではそうなっていると言えよう*6。
個人情報取扱事業者の義務の対象が個人情報データベース等である(散在情報ではない)ことは、平成15年当時、藤井審議官と江崎補佐から繰り返し出版物で説明されていた。委員会はこれを忘れてはいけない。
— Hiromitsu Takagi (@HiromitsuTakagi) April 25, 2019
藤井昭夫「個人情報保護法の成立と概要(四・完)」自治研究80巻1号 69頁より pic.twitter.com/05iQfbHefI
平成14年末、旧法案が廃案になって新法案が用意された時点で、この問題は意識されていた様子があり、この図が作成されていた(情報公開開示資料より)。このように、「個人情報データベース等」が16条、17条の対象である(かの)ように書かれている。 pic.twitter.com/U4DNKvKW3k
— Hiromitsu Takagi (@HiromitsuTakagi) April 25, 2019
そしてこの図は、立案担当者らによる逐条解説書にも掲載され、後の第二次改訂版にも掲載されているわけだが、問題の図は掲載されていないのだ。https://t.co/kPgRhsx9ok 87頁、98頁より pic.twitter.com/dpixx5lBbY
— Hiromitsu Takagi (@HiromitsuTakagi) April 25, 2019
そしてこの苦しい言い回しを続けていることの意味を忘れてはいけない。個人情報保護委員会はこの経緯を捨ててはいけない。https://t.co/kPgRhsx9ok 139頁、161頁 pic.twitter.com/axPTAyRLOj
— Hiromitsu Takagi (@HiromitsuTakagi) April 25, 2019
「個人情報取扱事業者a」の義務対象の客体が、22条(令和3年改正後)以降では「個人データa1,2,3,…」であるのに対して、17条乃至21条(令和3年改正後)では「個人情報a1,2,3,…」となっていることの理由は、「個人情報a1,2,3,…」以外の「個人情報」までもを対象とする意図があるわけではなく、上の4つ目のtweetで引用した部分の記載にある通り、単に、「いずれ個人情報データベースに記録され「個人データ」となるものであっても、取得段階では「個人情報」の状態であることによる。」という、法制執務上の法技術的な法制局の拘りにすぎない。(法目的の観点から言えばこのように区別する理由は立たない。)
つまり、個人情報取扱事業者aの義務対象であるところの(「個人データ」でない)「個人情報a1,2,3,…」とは、「いずれ個人情報データベース等aに記録され個人データa1,2,3,…となるもの」を言うのである。これは、EU法における「This Regulation applies to the processing of … personal data which form part of a filing system or are intended to form part of a filing system」(GDPR 2条1項)と同じことである。
いかがでしたか? おわかりいただけただろうか。
*1 去年か一昨年の、PFCだったか、JILISのTFミーティングだったかで、少し述べて、板倉先生から「そこまで言いますか」とツッコミを受けた記憶がある。意図は伝わったのだろうとは思った。それから昨年9月に一度、この説をtweetしている。
*2 これとは対照的に、公的部門では、名宛人は全て「行政機関等」又は「行政機関の長等」であり、客体の種別毎に名宛人を合わせるという規定スタイルを採っていない。なぜこの違いが生じているのだろうか。
*3 例えば、匿名加工情報の加工基準を示す施行規則34条(令和3年改正後)は、「個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し」としているが、これは、「個人情報aiに含まれる記述等と当該個人情報aiを含む個人情報データベース等aを構成する他の個人情報aj(j≠i)に含まれる記述等との差異その他の当該個人情報データベース等aの性質を勘案し」と解釈するほかなく、個人情報b1,2,3,…はこの規定に関係しないし、どの「個人情報データベース等x」にも関係しない裸の「個人情報」も関係しない。
*4 「X情報データベース等」の単位についても、解釈の変遷がある。平成27年改正前では、「個人情報データベース等」は事業者に1個と観念されるものと解されていた。それは5000件要件の数え方とも連動していたが、別の理由として、公的部門のように「個人情報ファイル」単位で利用目的を特定する義務を課すのは、民間においては酷だとの理由で、どんぶり勘定を許す緩い規制とするための配慮があった。それが平成27年改正で「匿名加工情報データベース等」が導入されると、「事業者に1個」と解することはできなくなった。匿名加工情報は、その加工方法の基準からしても、1つのテーブル(すなわち、公的部門の「個人情報ファイル」に相当する)を加工元として前提とするしか考えられないわけで、平成27年改正前までの「どんぶり勘定」の「X情報データベース等」の解釈には無理が生じた。平成27年改正で、「匿名加工情報データベース等」ではなく「匿名加工情報ファイル」と規定する道はあっただろうが、民間部門での統一性を重視してなのか、どのような理由かは定かでないが、「匿名加工情報データベース等」と規定された。そうすると、もはや平成27年改正後では、「X情報データベース等」の単位は「事業者で1個」ではなくなっているのであり、「個人情報ファイル」と同一概念となっているのか、あるいは、「個人情報ファイル」と同一概念と解することもできれば「事業者で1個」と解することもできるという概念に変遷しているのかもしれない。さらには、単純に「「X情報データベース等」は「X情報ファイル」の集合物である」という解釈が妥当となっているのかもしれない。
*5 そのように意図したところがあったとしても、他方では「どんぶり勘定」や5000件要件のための「事業者で1個」概念とする必要があって、混乱していたということであろう。その混乱を知っていて平成27年改正でその解決を図ったのか、それとも単に結果的にそうなったにすぎないのか、この点は未解明である。
*6 もっとも、これに矛盾した規定やガイドライン解説が多々ある。例えばこのtweetで示したもの。それは主に平成27年改正時に生じた。平成27年改正に際しては有識者も立案担当者も法制局も大いに混乱したということであろう。今ではその混乱は収まりつつあるものと信じたいところだが、平成27年改正までにそのような混乱に陥っていた原因は、それまでの識者がこのような図を解説書に載せ、多くの人がそれに引きずられた結果であろう。
「えー?この図の通りじゃないの?見たことあるよ」と思う人がいるだろうが、この図は、岡村鈴木本で発明された独自の図(をちょっと変えたもの)であり、歴代の所轄だった内閣府も消費者庁も、ついこの間までの個人情報保護委員会も、示したことはなかったんだよ。https://t.co/pWYLBeLGCC 51頁より pic.twitter.com/LCBILvcgWl
— Hiromitsu Takagi (@HiromitsuTakagi) April 25, 2019
その点、つい先月、個人情報保護委員会がとうとうこの図を公式資料に出してしまって、衝撃を受けた。このような解釈を示してはいけないし、これまでも示されてこなかったのに、残念でならない。https://t.co/W0yVlZJjZc pic.twitter.com/JJd0JQwpX2
— Hiromitsu Takagi (@HiromitsuTakagi) April 25, 2019
消費者庁から引き継がれたパンフレットでは先の図を載せていなかった。似ているが載っているのはこの図であり、前記の問題が回避されている。(定義の関係は示されていても、義務との対応関係は示されていない。)https://t.co/Nq31k1uzA1 pic.twitter.com/0MyGpiYo8p
— Hiromitsu Takagi (@HiromitsuTakagi) April 25, 2019