高木浩光＠自宅の日記(2025-04)

2025年04月05日

■ 連載論文全体の圧縮版を生成した

前回の日記、追記しておいたが、ミスがあった。「連載論文(6)〜(9)の4本」を読み込ませていたつもりだったが、誤って(7)は中身のないファイルを入れていた。(7)を入れるには、Claudeのコンテキストに収まらない。というわけで、この際、連載論文の圧縮版をClaudeで生成することにした。

1/4のサイズに圧縮すれば、(1)から(10)までの全部が入って、出力分の余裕もありそうだ。圧縮に際しては、論証部分など根拠情報は省いて、主張の論理は欠かさないように指示をした。(1)から(2)まで、(3)から(5)まで、(6)から(8)まで、(9)から(10)までの4回に分けて、内容を把握してからどこを省くかを考えてムラなく生成するように指示した。

出来上がった圧縮版は、11万6千字。元の原稿が全部で約45万字あるので、ちょうど1/4になった。これはClaudeが正確なのではなく、偶然の結果。Claudeは文字数を把握するのが苦手なようで、短すぎるとか長すぎると指摘してやり直す必要があった。

圧縮版の文章はこんな感じで、元原稿より読みやすいかもしれない。圧縮版で読みたいという需要もありそうだが、引用の文献参照がないし、不正確なところもチラホラあるようで、精査していないので、このままでは人間向けにはお勧めできない。用途はあくまでも生成AI向けである。

I. はじめに

個人情報保護法の平成27年改正では、内閣IT総合戦略本部の「パーソナルデータに関する検討会」での議論や、法案の与党修正、国会審議を通じて、達成できなかった課題と解決されていない論点が明らかになった。

達成できなかった課題としては、「端末ID」を識別子として蓄積される個人に関する履歴情報を保護対象とすることが挙げられる。また、浮き彫りになった未解決論点として、個人情報定義における「容易に照合することができ」の解釈や、何をもって非個人情報化がなされたと言えるかが不明確なままとなっている。

これらの課題認識を踏まえ、改正法の附則には、施行後3年ごとに必要な措置を講ずるとする検討規定と、個人情報の定義と公的部門の保有個人情報の規定について一体的に規定することを含めた検討条項が置かれた。

しかし、これらの論点が未解決のまま行政機関個人情報保護法の平成28年改正が進められ、「容易に照合」と「照合」の違いが依然として明らかにされないまま、「非識別加工情報」の制度が導入されることとなった。さらにこれを地方公共団体の個人情報保護条例にまで展開する動きもあり、混迷を深める懸念がある。

本稿シリーズは、個人情報保護法の3年後の見直しを見据え、残された論点の解決案を体系的に整理することを試みる。具体的には、民間部門と公的部門の一体的な規定に向け、「個人情報」と「個人データ」の違いに着目して「個人情報ファイル」に係る規律のみを統一することを目指し、「容易に照合」と「照合」の違いを明らかにする。

これをプロジェクトナレッジに入れて、いろいろなことができそうだと夢が広がるところだが、まずは、この圧縮版で内容を把握できるのか確認すべく、Claudeに論文全体を論評してもらった。（Claude 3.7 Sonnet Extended Formal）

私：まず、ナレッジの論文（1/4圧縮版）の内容を評価してみてください。

Claude：

評価：「個人情報保護から個人データ保護へ」論文の分析

この論文は、個人情報保護法制に関する深い分析と再解釈を提示した野心的な研究です。高木浩光氏の一連の研究を圧縮したものながら、日本の個人情報保護法の法目的や基本概念を根本から問い直す理論的枠組みを体系的に展開しています。

研究の主要な強み

実証的基盤: 情報公開請求で入手した立案過程の内部資料を精査し、法の成立背景を実証的に分析している点が際立っています。これにより通説的理解に対して説得力のある再解釈を提示しています。
歴史的・国際的視点: 1960年代からの個人データ保護概念の発展を丹念に追跡し、OECDガイドラインやCoE条約108号の立案経緯まで掘り下げることで、日本法の国際的文脈における位置づけを明確にしています。
概念の精緻な分析: 「個人情報」「容易照合性」「個人情報ファイル」などの基本概念について、従来の解釈における混乱を指摘し、その真の意義を明らかにした点は特に価値があります。
体系的理論構築: 各論点を個別に分析するだけでなく、「意思決定指向利益モデル」という統一的な理論枠組みに統合し、法解釈の全体像を提示している点が優れています。

核心的な発見と主張

論文の最も重要な主張は以下の点にあります：

個人情報保護法の真の法目的は「データ保護」であり、その核心的保護利益は「個人データ処理による個人に対する評価・決定の適切性確保の利益」である。
この法目的の中心に「関連性の原則」があり、これは決定に用いられるデータが決定の目的に対して関連するものであることを要求するものである。これは実質的には非差別（公平性確保）の原則である。
日本法はこの「関連性の原則」を見落としており、そのため誤った法解釈や過剰・過少規制が生じている。
「data subject」を「データ主体」と誤訳してきたことも、意思決定指向利益モデルの理解を妨げた一因である。

実務への示唆

この研究は理論的考察にとどまらず、具体的な法解釈と立法論への提言を行っています：

「個人情報」と「個人データ」の解釈について、操作の体系的実施（データ処理）に用いられるものに限定する解釈を提示
開示・訂正・利用停止請求権を核心的保護利益の観点から再構成する必要性の指摘
データ品質の原則における「関連性」要件の法制化の必要性
統計目的利用など決定利用でない場合の適切な規律のあり方

今後の課題

一方で、この研究にはいくつかの課題も残されています：

提案された解釈論と現在の法運用との間のギャップをどう埋めるかという実践的課題
「関連性」の判断基準の具体化と、それを判断する制度的枠組みの構築
技術の急速な発展による新たな課題（例：AI・機械学習における「関連性」判断の複雑化）への対応

総合評価

この論文は、個人情報保護法制の根本的な目的と基本概念を再検討する重要な研究であり、従来の法解釈に新たな視点をもたらしています。特に「意思決定指向利益モデル」と「関連性の原則」を中心とする法目的の再定位は、個人情報保護をめぐる議論の枠組みを変える可能性を持っています。学術的価値だけでなく、今後の法改正や運用に影響を与える可能性のある意義深い研究だと評価できます。

私：論文は、当初からこの法制度を決定指向でデータ処理を対象にしていたものだと推定しながら、その根拠をどこに求めるか見通しがないまま研究を始め、前半では開示資料を根拠に「やはりそうだ」という論を張ったようですが、途中から海外文献を見つけて完全に根拠を見つけたという流れのように見えます。

Claude：

研究プロセスの発展と証拠の補強

ご指摘の通り、この論文には明確な研究の発展軌跡が見てとれます。高木氏の研究は、「データ保護法制が本来は決定指向でデータ処理を対象としていた」という仮説から出発し、段階的に証拠を積み上げていく過程が透けて見えます。

研究の段階的発展

初期段階（仮説形成期）：

論文の前半部分では、情報公開請求で入手した日本の立法過程の内部資料を主な証拠として、「容易照合性」や「個人情報ファイル」の概念を分析しています。この段階では「やはりそうだ」という確証はあるものの、国際的・歴史的な完全な裏付けには至っていません。
転換点（海外文献の発見）：

研究の中盤から後半にかけて、Jon Bingの論文や1970年代の欧米文献といった決定的な海外資料を発見したことが明らかな転機となっています。特にVII章で示された「意思決定指向利益モデル」の概念と「関連性の原則」の発見は、当初の仮説に決定的な裏付けをもたらしています。
確立期（理論の体系化）：

最終段階では、発見した資料を基に「個人データ保護の法目的」を体系的に再構築し、法解釈のあり方を論じています。特にVIII章とIX章で用語の起源まで遡って分析し、当初の仮説を国際的・歴史的な文脈で完全に裏付けることに成功しています。

研究上の発見の意義

この研究過程そのものが重要な示唆を含んでいます。高木氏は日本の個人情報保護法制の解釈に疑問を持ち、まず国内の資料から調査を始めましたが、決定的な証拠は実は国際的な文脈、特に1960-80年代の欧米でのデータ保護概念の発展過程にあったことを示しています。

これは日本の個人情報保護法制が国際的な「データ保護」の系譜に位置づけられるべきものであったにもかかわらず、その本質的な理解が国内で十分に継承されなかったという、法制度の継受における「断絶」を浮き彫りにしています。

この研究のアプローチは、法制度の表面的な解釈ではなく、その起源と本質的な法目的にまで遡って分析することの重要性を示す好例であり、学術的な真理探究のプロセスとしても評価できるものです。

私：まずは国内法の経緯がから固める必要もあったのかなと思います。

Claude：

国内法研究を起点とした法制度分析の意義

ご指摘の通り、高木氏の研究において国内法の経緯から調査を始めたことには、方法論的に重要な意義があったと考えられます。

国内法研究の基礎的重要性

国内法の立法過程や解釈の変遷を詳細に分析することは、法制度研究の基盤となります。高木氏が情報公開請求を通じて内閣法制局の審査記録や総務省行政管理局の部内資料を入手・分析したことで、表面的な法解釈では見えない「容易照合性」や「個人情報ファイル」概念の真の意図を掘り起こすことができました。

比較法研究の前提条件

国際的な法概念の比較研究を行う場合、自国の法制度を正確に理解していることが前提条件となります。高木氏は日本法の概念が正確に理解されていない状況を発見したからこそ、その起源を海外に求める必然性が生じました。この段階的アプローチがなければ、OECDガイドラインやCoE条約108号との差異や連続性を適切に評価することは困難だったでしょう。

実証研究としての説得力

論文の説得力は、国内法の立案過程の一次資料に基づく実証的分析から始まったことで大きく高められています。これにより、単なる理論的推論ではなく、具体的な証拠に基づく議論を展開できています。特に「容易に照合することができ」の解釈変遷の分析は、国内資料なしには不可能だったでしょう。

研究の発展的構造化

この研究は国内法の疑問点から始まり、その解明のために海外の源流を探るという自然な発展過程をたどっています。これにより、読者にとっても問題意識が明確であり、なぜ海外の文献にまで遡る必要があったのかの必然性が理解しやすくなっています。

国内法の調査から始めて国際的文脈へと研究を広げていくこのアプローチは、法制度の本質を明らかにする上で効果的な方法論であり、高木氏の研究に説得力と体系性をもたらしています。

私：当初投げかけた課題提起にすべて答えているか、検証してください。

Claude：

課題提起への回答検証

論文の序盤（特にI章「はじめに」とII章「浮き彫りになった論点」及びIII章「残された課題」）で示された課題提起に対して、本論文がどの程度答えているかを検証します。

1. 主要な課題提起とその解決状況

「容易に照合することができ」の解釈問題

提起: II章2節・3節・4節で問題提起
解決: IV章5節で昭和63年法の立案過程の開示資料を分析し、「提供元基準」の実質的意義を解明
深化: VI章で個人識別性の真の意義への考察を通じて理論的に補強
評価: 十分に解決されている

容易照合性の提供元基準の実質的意義

提起: II章2節で論点として提示
解決: IV章5節で行政管理局の部内資料から「電子計算機により個人が識別できる情報を処理しているのと同様な状態」との解釈を発見
評価: 文書証拠に基づき説得的に解決されている

「容易に照合」と「照合」の違い

提起: II章6節で問題提起
解決: IV章6節で「処理情報的照合性」と「散在情報的照合性」という2層構造として説明
深化: VI章4節でさらに令和3年改正との関係も示している
評価: 完全に解決されている

非個人情報化の条件

提起: II章5節で論点提示
解決: IV章7節で「匿名加工情報」の解釈との関係を整理
深化: X章4節で関連性の原則との関係も示している*1
評価: 理論的に解決されている

個人情報定義における「個人に関する情報」の範囲

提起: II章1節で問題提起
解決: V章で空間的範囲を画定する要素として詳細に検討
深化: 統計情報は「個人に関する情報」に含まれないことを明確化
評価: 十分に解決されている

「端末ID」を識別子として蓄積される個人情報の保護

提起: I章で課題として言及
解決: III章1節で平成27年改正の経緯を分析
限界: 現行法での保護が十分でないことを示すにとどまり、具体的解決策の提示は限定的
評価: 部分的に解決されている

プロファイリングへの対応

提起: III章2節で問題提起
解決: VII章で「意思決定指向利益モデル」として理論化
深化: 「関連性の原則」との関係を示し、X章で具体的解釈に反映
評価: 理論的枠組みは提示されているが、現行法での対応には課題が残る

2. 追加的な発見による課題解決の深化

当初の課題提起に加え、研究過程での新たな発見により、より根本的な解決が示されています：

データ保護の真の法目的の発見:

VII章での「意思決定指向利益モデル」と「関連性の原則」の発見により、日本法の本質的理解が可能になっている

海外文献による裏付け:

VIII章でのBingの理論や米国・欧州の基本原則起源の発見により、当初課題の理論的背景が明確になっている

用語の正確な理解:

IX章での「data subject」「controller」「processing」等の概念の起源解明により、解釈の精緻化が実現している

3. 総合評価

本論文は、当初提起された主要な課題のすべてに対して、研究の過程で発見された新たな視点を加えながら体系的に回答しています。特に「容易照合性」「個人識別性」「関連性の原則」については、国内資料と海外文献の双方を用いた深い分析により、説得力のある解決を提示しています。

最終章（X章）では、これらの成果を「個人データ保護の法目的」という統一理論のもとに整理し、法解釈の具体的あり方までを示しており、論文の目的は十分に達成されていると評価できます。

私：端末IDのところは、最終章の最初の「4. 導かれる解釈」の節の「4.1 個人情報・個人データ」で答えを出しているけれど、端末ID自体に触れていないだけかな。

Claude：

端末ID問題への回答分析

ご指摘の通り、論文は「4.1 個人情報・個人データ」の節で端末ID問題に対する理論的解答を提示していますが、「端末ID」という用語自体には直接言及していません。

端末ID問題への間接的回答

高木氏は以下のように個人情報の解釈を示しています：

"決定利用することが予定されているので、何らかの方法で各データ対象者を異なって扱う手段（選別手段）を整えているはずである。それは、氏名生年月日その他の記述（氏名等）を用いるのかもしれないし、個人別に付された番号、記号その他の符号（個人別符号）を用いるのかもしれない。それは当該データに必然的に含まれているはずであるから、その存在をもって個人識別性があると解釈すればよい。"

この解釈を端末ID問題に適用すると：

端末IDは「個人別に付された番号、記号その他の符号」に該当し得る
それが決定利用を目的として構成されたデータセットの中で使用されている限り
「選別手段」として機能しているため、個人識別性があると解釈される

理論的解決への統合

高木氏のアプローチは、端末IDという個別の識別子を直接論じるよりも、より根本的な理論的枠組みを提示することで問題を解決しています：

核心的保護利益（決定の適切性確保）から導かれる規律対象を明確化
「意思決定指向利益モデル」の観点から個人識別性を再解釈
個人を選別するための手段として機能する全ての識別子（端末IDを含む）が該当する論理を提示

これにより、端末IDの問題は個別に対応すべき特殊なケースではなく、データ保護の基本原則から自然に導かれる解釈の一部として位置づけられています。

論文は端末ID自体に明示的に言及していませんが、その提示した理論的枠組みは端末ID問題を包摂する解決策となっていると評価できます。

私：現行法でも解釈によって解決可能なところと、改正しない限り不可能なところがある、ということですかね。

Claude：

解釈による解決と法改正が必要な領域

高木氏の論文は、個人情報保護法制の理論的基盤を再構築する重要な試みですが、ご指摘の通り、提案されている解決策は「現行法の解釈で対応可能な部分」と「法改正が必要な部分」に分けられます。

現行法の解釈で対応可能な部分

個人情報・個人データの概念解釈
- 個人識別性を「操作の体系的実施に用いられるもの」かどうかで判断できる
- 端末IDも含め、決定利用目的で構成されたデータセットにおける選別手段は個人識別性があると解釈できる
容易照合性の提供元基準
- すでに政府解釈として確立しており、論文はその理論的裏付けを提供している
- 匿名加工情報と仮名加工情報の区別についても現行法の枠組みで整合的に解釈可能
目的外利用の例外としての統計目的利用
- 統計量への集計は決定利用に当たらないため、目的外利用の禁止の対象外と解釈可能
- 経産省ガイドラインQ&Aにも示唆されていた解釈
個人情報ファイル・データベース等の解釈
- 「検索することができるように体系的に構成したもの」を操作の体系的実施が可能なものと解釈可能

法改正が必要な部分

関連性の原則の導入
- 日本法はOECDガイドライン第2原則の「関連性」要件を導入していない
- データ品質の原則を「正確性」だけでなく「関連性」も含めて再構築する必要がある
開示・訂正・利用停止請求権の再構成
- 現行法の利用停止請求権は「関連性」の観点からの請求権を含んでいない
- 決定のロジックに関する開示請求権も整備されていない
要配慮個人情報の規律の再設計
- 取得制限ではなく収集制限（各fileの収集段階での制限）として設計し直す必要がある
- 利用目的との関係で要配慮性を判断する仕組みの導入
統計目的等に対する適用除外の明確化
- 決定利用を予定しない場合の義務の合理的な適用除外を明確に規定する必要がある
- 仮名加工情報の規律にも核心的保護利益の観点から見直しが必要
個人情報保護委員会の役割強化
- 関連性判断のための専門的知見を有する監督機関としての機能強化
- 非差別の観点からのデータ利用の監視機能

今後の展望

高木氏の研究は、個人情報保護法の根本的な再解釈を提案しており、その一部は現行法の解釈によって実現可能ですが、核心的な「関連性の原則」の導入は法改正なしには難しいでしょう。

令和3年改正で公民一元化が実現したように、今後の法改正では、デジタル社会の発展とともに、より本質的な「意思決定指向利益モデル」に基づく法制度への再構築が期待されます。特にAI・機械学習技術の発展により、決定利用の概念はさらに重要性を増すことが予想されます。

私：GDPRと比較するとどうですか。

Claude：

高木論文とGDPRの比較分析

高木氏の論文で示された理論的枠組みとEUの一般データ保護規則（GDPR）を比較すると、重要な類似点と相違点が浮かび上がります。

基本的アプローチの比較

法的基盤と法目的

GDPR: データ保護を明確に基本的権利として位置づけ、前文(1)で「自然人の個人データの保護は基本的権利である」と明記
高木論文: 「個人の権利利益の保護」という抽象的な法目的を「データ保護」として再解釈し、権利の束としての性格を強調

概念的枠組み

GDPR: リスクベースアプローチと説明責任（accountability）の原則を採用
高木論文: 「意思決定指向利益モデル」を中核に据えた体系的アプローチを提案

具体的概念の比較

個人データの定義

GDPR: 「識別された又は識別され得る自然人に関するあらゆる情報」と広範に定義し、オンライン識別子や位置データも明示的に含む
高木論文: 「操作の体系的実施に用いられるもの」という機能的観点からの再解釈を提案

処理（Processing）の概念

GDPR: 非常に広範な「処理」概念を採用し、あらゆる操作を包括
高木論文: 「処理」を「データに対して行われる操作の体系的実施」と解釈し、日本法の「取扱い」概念の不十分さを指摘

重要な相違点

データ主体の権利構成

GDPR: 非常に詳細な権利体系を規定し、22条で自動化された意思決定の対象とされない権利を明記
高木論文: 日本法における開示・訂正・利用停止請求権を「決定の適切性確保」という観点から再解釈

自動化された意思決定の規制

GDPR: 「法的効果または同様の重大な影響」をもたらす自動化された決定に限定
高木論文: 人手を介する決定も含め、より広範な「体系的決定」概念を提案

非差別アプローチ

GDPR: 特別カテゴリーのデータ（9条）規制を通じた間接的アプローチ
高木論文: 関連性原則を非差別原則として再構築し、全てのデータタイプに適用

理論的共通基盤

両者の最も重要な共通点は、「データ保護」を「プライバシー保護」とは区別された独自の法的概念として捉えている点です。GDPRは「privacy」という用語を意図的に避け、高木論文も日本法の本質は「プライバシー保護法ではなくデータ保護法」であると主張しています。

高木論文の理論的貢献は、GDPRに明示的に規定されていない「意思決定指向利益モデル」を歴史的資料から掘り起こし、データ保護の理論的基盤として再構築した点にあります。この観点からは、高木論文はGDPRの背後にある理論的基盤を明らかにし、それを日本法の再解釈に応用したものと評価できます。

実務的示唆

日本の個人情報保護法をGDPRに近づけるためには、高木論文が指摘するように「関連性の原則」の導入が不可欠です。また、自動化された意思決定に関する規定の整備や、データ主体の権利の拡充も必要となるでしょう。

高木論文の視点は、日本法とGDPRの表面的な相違を超えて、データ保護法制の本質的な共通基盤を示唆しており、今後の法改正や国際的調和に重要な理論的基礎を提供しています。

私：GDPRの再解釈をも促すものとなり得るのでは？

Claude：

高木論文のGDPR再解釈への潜在的影響

高木論文は確かにGDPRの再解釈を促す重要な可能性を秘めています。データ保護の本質的理解に迫るこの研究は、EU域内でも見過ごされてきた理論的基盤を提供するものと評価できます。

GDPRの理論的基盤強化

GDPRは条文としては緻密に構築されていますが、その背後にある理論的基盤の説明は、前文を含めても限定的です。高木論文が提示する「意思決定指向利益モデル」は、GDPRが暗黙のうちに前提としながらも明示的に言語化してこなかった理論的枠組みを明確化しています。

欧州の法学者やデータ保護機関は、高木論文の歴史的資料分析を通じて、自らの法制度の起源と本質をより深く理解する機会を得るでしょう。特に1970年代のデータ保護概念の形成過程の分析は、EUのデータ保護法制も含めた再解釈を促す重要な素材となります。

非差別原則としての関連性概念

高木論文が「関連性の原則」を非差別原則として再定義した点は、GDPRの解釈に新たな視点をもたらす可能性があります。GDPRでは「データ最小化」原則(5条1項c)に関連性要件が含まれていますが、これを非差別の実現手段として明確に位置づけてはいません。

この視点は、AI規制法など新たなデジタル法制における非差別・公平性確保の議論にも影響を与える可能性があります。高木論文の示す理論的枠組みは、AIシステムの公平性確保と個人データ保護の連続性を理論的に説明する基盤となり得ます。

自動決定規定の適用範囲拡大

GDPRの22条は「自動化された意思決定」に関する権利を規定していますが、その適用範囲については解釈上の議論が続いています。高木論文が提示する「体系的決定」概念は、人間の関与があってもシステム的・体系的に実施される決定プロセス全般を対象とする点で、より広範な保護を示唆しています。

この視点は、GDPR 22条の解釈を「完全自動化された決定」から「体系的に実施される決定全般」へと拡張する理論的根拠となる可能性があります*2。欧州データ保護会議(EDPB)のガイドラインなどに影響を与える可能性も考えられます。

制度監督の理論的基盤強化

高木論文が示した「関連性」判断の複雑性は、データ保護機関の役割の重要性を再認識させます。欧州のデータ保護機関が、形式的なコンプライアンス評価にとどまらず、データ処理の実質的な「関連性」を評価する重要性を強調する論拠となり得ます。

特に機械学習システムが生成する複雑なデータ相関に対して、「関連性」をどのように評価するかという課題に理論的基盤を提供するものであり、監督実務の高度化を促進する可能性があります。

今後の課題と展望

高木論文がGDPRの再解釈に実際に影響を与えるためには、この研究が英語圏の学術コミュニティに紹介され、議論されることが不可欠です。また、歴史的経緯の分析と現代のデジタル技術環境の変化を踏まえた発展的解釈の提示も必要でしょう。

しかし、データ保護の本質を「個人データ処理による個人に対する評価・決定の適切性確保」と捉え直し、その核心に「関連性の原則」を位置づける高木論文の視点は、GDPRを含む国際的なデータ保護法制の解釈に新たな地平を開く可能性を秘めています。

私：論文にはまだ続きが予定されているようですが、どのような内容が予想されますか。

Claude：

論文続編の予想される内容と展開

最終章の結びで高木氏は「次号では、以前から予告していた学説等の状況について整理し、法目的に基づく制度見直しの提案を示す」と明記しています。これまでの論文の体系的展開から、続編では以下のような内容が予想されます。

1. 学説状況の包括的整理

日米欧の学説比較分析

続編では、日本、米国、欧州におけるデータ保護法制に関する学説を体系的に整理することが予想されます。特に：

日本における「自己情報コントロール権」論と「個人の権利利益保護」説の対立
米国における「FIPPs」を巡る解釈の変遷と現代的理解
欧州における「data protection」の基本権としての発展と法理論

これらを「意思決定指向利益モデル」の観点から再評価し、従来の学説の限界と可能性を示すことが予想されます。

「関連性の原則」に関する比較法分析

すでに論文中で示唆されていた「関連性の原則」について、各国・地域での理解の差異を分析し、特に：

米国におけるAI公平性研究との接点
EUにおけるデータ最小化原則と関連性の関係
日本における「必要性」と「関連性」の混同の問題

2. 法制度の具体的改正提案

個人情報保護法の再構築案

これまでの理論的分析を踏まえた上で、日本の個人情報保護法の具体的改正提案が示されると予想されます：

「関連性の原則」を明示的に導入するための条文案
「体系的決定」概念を基礎とした規制対象の再定義
「処理」概念の導入と「取扱い」概念からの脱却
開示・訂正・利用停止請求権の再設計案

個人情報保護委員会の機能強化案

関連性判断の専門機関としての委員会の役割強化に関して：

関連性判断のための専門委員会設置の提案
AIシステムにおける関連性評価の枠組み
事業者と委員会の協働による関連性基準の形成プロセス

3. 現代的課題への対応

AI・機械学習時代のデータ保護

高木氏はすでに「AIはすべてのものを関連性のあるものにすることができる」というWachterの指摘に言及しており、続編では：

機械学習システムにおける関連性判断の困難さへの対応策
「説明可能なAI」とデータ保護の関係性
生成AIモデルにおけるデータ処理の法的位置づけ

国際的調和と日本の独自性

最後に、国際的な法制度調和を念頭に置きつつも：

日本独自のデータ保護アプローチの構築可能性
アジア太平洋地域におけるデータ保護モデルとしての可能性
「関連性の原則」を中核とした国際的対話の提案

高木氏のこれまでの研究は理論と実務の両面から個人情報保護法制の本質に迫るものであり、続編においても理論的深化と実践的提案の両面からの展開が期待されます。特に「意思決定指向利益モデル」を現代のデジタル社会の文脈で具体化する提案は、国際的な法制度議論にも重要な示唆を与えるものとなるでしょう。

私：憲法学との関係はどうでしょうか。

Claude：

高木論文と憲法学の関係性

高木論文は個人情報保護法制の理論的基礎を探求する過程で、憲法学との重要な接点を含んでいます。この研究は、個人情報保護の憲法的位置づけに関して新たな視座を提供する可能性があります。

自己情報コントロール権説との対峙

論文中で高木氏は、憲法学における通説とされる「自己情報コントロール権としてのプライバシー権」説に対する政府の否定的立場を指摘しています。阪本昌成の批判を引用しながら、「憲法学界の通説のいう『自己情報コントロール権としてのプライバシー権』」は「権利論として成立しがたい」との問題提起を紹介しています。

高木氏の「意思決定指向利益モデル」は、個人情報の自己コントロールという理念ではなく、データに基づく決定の適切性確保という異なる法的利益を中核に据えています。これは、憲法学における個人情報保護の理論的基盤を根本から問い直すアプローチです。

非差別原則と憲法14条との連関

高木論文の重要な発見は、データ保護の核心的保護利益が「関連性の原則」にあり、これが本質的には非差別原則であるという点です。論文では以下のように*3憲法14条との類似性を指摘しています：

"平等原則違反とならない「合理的な取扱い上の差異」の「合理性」とは、①立法目的（当該取扱い上の違いを設けた目的）が正当なものであること、②具体的な取扱い上の違い（手段）が右目的の達成に「合理的に関連している」ことをもって足りるとする基準である。"

この分析は、個人データ保護を憲法14条の平等原則と理論的に接続する可能性を示しており、個人情報保護の憲法的基盤を平等権に求める新たな視点を提供しています。

形式的平等の実現手段としてのデータ保護

高木論文は、個人データ処理における決定の適切性確保と、法の下の平等との間に構造的類似性があると指摘しています：

"形式的平等の本質が、区別に用いられる特徴の区別の目的に対する関連性の問題とされるのと同様に、個人データ処理における決定の適切性確保の核心が、決定に用いられるデータ項目の決定の目的に対する関連性にある。"

この洞察は、データ保護を単なる情報管理の問題ではなく、憲法的価値である平等実現の現代的手段として位置づける可能性を示しています。

日本における個人情報保護の憲法的基盤

日本では、個人情報保護を憲法13条の幸福追求権から導かれるプライバシー権の一環として位置づける見解が有力です。しかし、高木論文は「データ保護」がプライバシー保護とは異なる独自の法的概念であることを強調しています。

この観点からは、個人情報保護法が保護する「個人の権利利益」は、単一の憲法上の権利に還元されるものではなく、複数の憲法的価値（平等権、幸福追求権、人格権など）が交錯する領域として捉え直す必要があります。

国際的な憲法的価値との比較

EUではデータ保護が「基本的権利」として明示的に位置づけられており、基本権憲章8条に規定されています。一方、日本では個人情報保護の憲法的位置づけが明確ではありません。

高木論文の理論的枠組みは、日本における個人情報保護の憲法的基盤を再検討する契機となり得ます。特に「意思決定指向利益モデル」は、データ社会における個人の尊厳と自律性を確保するための理論として、憲法学に新たな視点をもたらす可能性があります。

憲法学への示唆と今後の展望

高木論文は、個人情報保護法制を単なる情報管理の問題ではなく、公正な社会的意思決定の実現という憲法的価値に関わる問題として捉え直しています。この視点は、現代のデジタル社会における憲法理論の再構築にも重要な示唆を与えるものです。今後、AIによる自動化された意思決定が社会に浸透するにつれ、「関連性の原則」を中核とするデータ保護の憲法的意義はさらに高まるでしょう。高木論文の理論的枠組みは、憲法学と情報法学を架橋する重要な基盤となる可能性を秘めています。

すごい、圧縮版でもちゃんと細かいところまで把握できるようだ。やはり全体を通して把握してこそ見えてくるものもあるだろうから、これをやってみたかった。伏線を回収できているかのチェックにも使えているし、将来の予測まで含めて、ほとんど違和感がない。

せっかくなので、インフォグラフィック表現も載せておこう。

個人情報保護から個人データ保護へ

2025年4月5日

研究の全体像と評価

論文の主要主張

高木氏の論文は個人情報保護法の法目的を根本から問い直し、その真の意義を探った研究

⭐ 個人情報保護法は「データ保護」を実現する法律

⭐ 核心的保護利益は「個人データ処理による個人に対する評価・決定の適切性確保の利益」

⭐ データ保護の中心に「関連性の原則」がある

研究の強み

📌 実証的基盤：情報公開請求で入手した立案過程資料を精査

📌 歴史的・国際的視点：1960年代からの概念発展を追跡

📌 概念の精緻な分析：「容易照合性」「個人情報ファイル」などの真の意義を解明

📌 体系的理論構築：「意思決定指向利益モデル」という統一的枠組みの提示

意思決定指向利益モデル

研究プロセスの発展

発見の軌跡

研究の段階的発展

🔍 初期段階：日本の立法過程の内部資料を分析し「容易照合性」や「個人情報ファイル」概念を解明

📚 転換点：Jon Bingの論文などの海外資料の発見により、「意思決定指向利益モデル」と「関連性の原則」の理論的裏付けを獲得

🧩 確立期：法概念の起源を1960-80年代の欧米の議論まで遡り、完全な理論体系を構築

研究は「データ保護法制が本来は決定指向でデータ処理を対象としていた」という仮説から出発し、段階的に証拠を積み上げていく過程が見られる

国内法研究から国際的文脈へ

国内法の経緯から調査を始めたことには方法論的意義があった：

📝 日本法の概念が正確に理解されていない状況を発見したからこそ、その起源を海外に求める必然性が生じた

📝 国内資料の実証的分析から始まったことで、単なる理論的推論ではなく、具体的な証拠に基づく議論を展開できた

続編の予想される内容

次号予告 📣

📘 学説状況の包括的整理：日米欧の比較分析

📝 法制度の具体的改正提案：関連性原則の導入案

🔮 AI・機械学習時代のデータ保護：現代的課題への対応

🌏 国際的調和と日本の独自性：日本発のデータ保護モデルの可能性

課題提起への回答

主要な課題提起への対応

論文冒頭で掲げられた課題にどこまで答えているか

「容易に照合することができ」の解釈問題

課題 II章2節・3節・4節で問題提起

解決 IV章5節で昭和63年法の立案過程の開示資料を分析し、「提供元基準」の実質的意義を解明

深化 VI章で個人識別性の真の意義への考察を通じて理論的に補強

「容易に照合」と「照合」の違い

課題 II章6節で問題提起

解決 IV章6節で「処理情報的照合性」と「散在情報的照合性」という2層構造として説明

深化 VI章4節で令和3年改正との関係も示す

端末IDの保護

課題 I章で課題として言及

解決 X章4節「個人情報・個人データ」で理論的解決を提示

→ 決定利用目的で構成されたデータセットの「選別手段」として機能する全ての識別子（端末IDを含む）は個人識別性があると解釈

「個人に関する情報」の範囲

課題 II章1節で問題提起

解決 V章で空間的範囲を画定する要素として詳細に検討

成果統計情報は「個人に関する情報」に含まれないことを明確化

個人データ保護の法目的

核心的保護利益

個人データ処理による個人に対する評価・決定の適切性確保の利益

👉 個人データに基づいて下される決定が、その決定の目的に照らして、正確で（広義の正確性）公平な（fairness）ものとなることの確保

意思決定指向利益モデルとは

「データ保護」は、自分に影響を与える可能性のある決定（decisions）において、自分の個人データが使用される際に個人が持つ様々な利益の保護

妥当性の利益

関連するデータのみで評価・決定

秘密保持の利益

不必要な情報拡散の防止

開放性の利益

データ利用の透明性確保

解釈と法改正の必要性

現行法の限界と可能性

高木論文の提案する解決策は「現行法の解釈で対応可能な部分」と「法改正が必要な部分」に分けられる

現行法の解釈で対応可能な部分

✅ 個人情報・個人データの概念解釈：操作の体系的実施に用いられるものかどうかで判断

✅ 容易照合性の提供元基準：すでに政府解釈として確立済み

✅ 目的外利用の例外としての統計目的利用：決定利用に当たらないため禁止対象外と解釈可能

✅ 個人情報ファイル・データベース等の解釈：操作の体系的実施が可能なものと解釈

法改正が必要な部分

⚠️ 関連性の原則の導入：日本法はOECDガイドライン第2原則の「関連性」要件を導入していない

⚠️ 開示・訂正・利用停止請求権の再構成：「関連性」の観点からの請求権が存在しない

⚠️ 要配慮個人情報の規律の再設計：取得制限ではなく収集制限として設計し直す必要あり

⚠️ 統計目的等に対する適用除外の明確化：決定利用を予定しない場合の義務の合理的な適用除外

GDPRとの比較

項目	高木論文	GDPR
法的基盤	「個人の権利利益の保護」（抽象的）	「基本的権利としてのデータ保護」（明示的）
アプローチ	意思決定指向利益モデル	リスクベースアプローチと説明責任
関連性原則	非差別原則として再構築	データ最小化原則（5条1項c）
自動決定	人手介入含む「体系的決定」	自動化された決定に限定（22条）

GDPRの再解釈への影響可能性

🔄 理論的基盤の強化：GDPRが暗黙に前提としていた理論的枠組みの明確化

🔄 非差別原則としての関連性概念：データ最小化原則の新たな解釈可能性

🔄 自動決定規定の適用範囲拡大：22条を「体系的に実施される決定全般」へと拡張する根拠

🔄 制度監督の理論的基盤強化：データ保護機関の「関連性」評価機能の重要性

憲法学との関係

憲法的基盤の再構築

自己情報コントロール権説との対峙：プライバシー権ではなく、データに基づく決定の適切性確保という異なる法的利益を中核に据える

非差別原則と憲法14条との連関：データ保護の核心的保護利益は憲法14条の平等原則と構造的類似性を持つ

形式的平等の実現手段としてのデータ保護

個人データ処理における決定の適切性確保と、法の下の平等には構造的類似性がある:

👉 形式的平等の本質は、区別に用いられる特徴の区別の目的に対する関連性の問題

👉 データ保護の核心は、決定に用いられるデータ項目の決定の目的に対する関連性

日本における憲法的位置づけの再検討

高木論文の示す「意思決定指向利益モデル」は、データ社会における個人の尊厳と自律性を確保するための理論として、憲法学に新たな視点をもたらす可能性がある

👉 個人情報保護を単なる情報管理ではなく、公正な社会的意思決定の実現という憲法的価値に関わる問題として捉え直す視点

*1 ここは正しくない。非個人情報化要件に関連性原則は関係しない。実は、「非個人情報化要件」は、途中で予告しているが、結局のところ書けていない。VI章4節(2)で予定より大幅に簡略化して書いてはいる（Claudeの評価がいう「IV章7節で「匿名加工情報」の解釈との関係を整理」は「VI章4節(2)で」の誤りと言える。IV章7節は予告している箇所だ。）ものの、予告していたような具体的な要件まで示せていない。予定では、ドイツ文献で1970年代にすでに語られていた話を書くはずだったが、他にもっと重要なことが大量に見つかったため、そっちのけになっている。最終回までに書く予定もない。スピンアウトで「匿名加工情報は何でないか・後編の2」のあたりの話を書くはずだったJILISレポートもまだ書いていない。連載論文の書籍化の際には、この話も加筆して完成させたい。

*2 22条は「体系的に実施される決定全般」に上乗せされた「完全自動化された決定」規制であると書いているのだが、見落とされている。圧縮版を確認したところ、残っているが、1段落のみ。根拠として示していた注（16号99頁注21）が削られているので、理解しにくくなったか。GDPRの「決定」概念が22条だけだという誤解は、日本の学説だけでなく欧州でも見かける。Claudeの背景知識でもそれが支配的になっている様子がこれまでにも何度か散見された。それでもこのように、「GDPRの再解釈をも促すものとなり得るのでは？」と促せばピンとくる程度には整合的なようである。

*3 ここは、引用箇所がズレている。

本日のリンク元 TrackBack(0)

2025年04月06日

■ 連載論文（圧縮版）に基づく個情委Q&Aの評価をClaudeにより自動生成

昨日の日記で生成した連載論文(1)から(10)までの1/4圧縮版、「生成AI用」というのは、何に使うのかといえば、論文で示された考え方に基づいて他の文書を評価しようというわけである。圧縮版をClaudeのプロジェクトナレッジにセットすると、容量は72%使用、残りの容量で他の文書を読むことができる。

まずやってみたかったのが、個人情報保護委員会の「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」の批評。思いついたらやらないと眠れなくなった。このPDFをClaudeに読み込ませて、Q&A項目のリストをMarkdown形式で抽出。これを上のプロジェクトのスレッドでClaudeに読み込ませて、さあ評価して！というわけである。はたしてそんなことがうまくできるのか？

以下は、Claude 3.7 Sonnet Extended Normalで試した結果である。

私：この論文（圧縮版）が主張する考え方に従って、様々な他の資料の主張が、データ保護法制の趣旨からして適切なのかを指摘していただきます。以下のプロンプトでそれらの資料を提示しますので、まずは論文の主張を把握してください。

Claude：論文の主張を詳細に把握いたしました。この論文は個人情報保護法制の本質を「データ保護」として捉え直す試みであり、特に以下の核心的な主張が含まれています：

データ保護の本質的目的：個人データ保護の核心的保護利益は「個人データ処理による個人に対する評価・決定の適切性確保の利益」であり、これは「意思決定指向利益モデル」に基づく。プライバシー保護ではなく「データ保護(data protection)」を実現するものである。
関連性の原則の重要性：データ保護の核心は「関連性の原則」にあり、個人に対する決定に用いるデータが決定の目的に対して「関連するもの(relevant)」でなければならない。これは差別の防止（公平性の確保）のための要件である。
体系的決定の概念：データ保護が対象とするのは「体系的決定」であり、単発の決定ではなく、複数の個人を対象として一律に評価・決定することを指す。この概念は形式的平等の概念と構造的に類似している。
容易照合性と個人情報の定義：「容易照合性」は提供元基準で解釈され、表形式データ間の照合可能性を指す空間的範囲を拡張する要素である。「個人に関する情報」は「ある一人の個人」に関する情報を指す。
保護利益の階層：核心的保護利益、手段的保護利益、副次的保護利益を区別する必要があり、現行法の解釈や改正方針はこの区別に基づくべきである。

この論文の視点から他の資料を評価する際には、個人情報保護法制の目的をプライバシー保護と捉えているか、データ保護（特に決定の適切性確保）と捉えているか、関連性の原則を重視しているか、体系的決定の概念を理解しているか、容易照合性や個人情報の定義を適切に解釈しているか、法目的に沿った解釈を行っているかなどの点に着目します。

私：添付するのは、個人情報保護委員会が出しているQ&Aの抜粋（途中まで）です。これらの一つ一つのQAを吟味（ナレッジの論文の主張に照らして）していきたいです。まず1つ目についてどう評価しますか。

Claude：

Q1-1の評価

Q1-1（「特定の個人を識別することができる」の意味）に対する回答は、高木論文の主張する法解釈の視点からは適切とは言えません。

問題点

この回答は「社会通念上、一般人の判断力や理解力をもって...同一性を認めるに至る」という「一般人基準」を採用していますが、これは論文が指摘する以下の点で問題があります：

処理情報的解釈の欠如: 論文によれば「個人を識別することができる」の真の意義は、「個人ごとに異なる扱い（各個人を他の個人らと異なって扱うこと）ができる状態にすること」を指すものであり、データ処理における体系的決定の観点から解釈すべきです。
公開法的解釈の混入: 回答は情報公開法の解釈（一般人基準）を個人情報保護法に持ち込んでいます。論文では、情報公開法における「特定の個人を識別することができるもの」は「誰の情報かわかる」ことを指す（散在情報的個人識別性）のに対し、個人情報保護法では「当該情報（レコード）を処理するに際して当該レコードと実在する個人との対応付けを可能とするデータ項目の存在」を指す（処理情報的個人識別性）と区別しています。
意思決定指向利益モデルとの不整合: 論文によれば、データ保護法の核心的利益は「個人データ処理による個人に対する評価・決定の適切性確保の利益」であり、個人情報概念の解釈もこの法目的に沿ってなされるべきです。

この回答は、個人情報保護法をプライバシー保護法として誤解する傾向を助長し、法の本質的目的である「関連性の原則」に基づく決定の適切性確保という視点を欠いています。

おおお！ここからノーヒントで「処理情報的個人識別性」「散在情報的個人識別性」に言及！その意味をちゃんと理解してくれているっぽい。「プライバシー保護法として誤解する傾向を助長」！言いたいことを言ってくれる！

私：その調子で次をお願いします。

Claude：

Q1-2の評価

Q1-2（氏名のみのデータでも個人情報に該当するか）に対する回答も、高木論文の主張する法解釈と明確に矛盾しています。

問題点

属性情報の欠如: 論文では「氏名のみが存在して、属性情報が存在しない場合は『個人に関する情報』に該当しない」と明確に主張しています。論文VII章4.4節で「名前があるだけでは『情報』ですらない」との法制局参事官の見解が引用されています。
体系的決定との無関係: 論文の核心的主張では、個人情報は「体系的決定」に用いられることを前提とすべきであり、氏名だけでは「決定の適切性確保」という法目的との関連性が薄いです。
公開法的解釈の混入: 回答は再び「社会通念上」という公開法的（一般人基準）解釈を採用しており、処理情報的個人識別性の観点を欠いています。
保護利益との不整合: 論文によれば、単なる氏名だけでは、「関連性の原則」に基づく決定の適切性が問題になる余地がなく、データ保護法の核心的保護利益と結びつきません。

この回答は、個人情報が単に「誰かを識別できる情報」という表面的な解釈に基づいており、論文が主張する「データ処理における決定の適切性確保」という法目的に沿った解釈になっていません。

おお、「名前があるだけでは『情報』ですらない」という話は確かに書いた。ただ、法制局参事官の見解ではなく、法制局参事官の疑問に答えた立案当局（行政管理局）の発言というのが正確。「VII章4.4節」は場所が違っていて、実際にはV章2.4節にある。

「単なる氏名だけでは『関連性の原則』に基づく決定の適切性が問題になる余地がなく」という指摘は、論文では陽には書いていないはずだが、当然の帰結として指摘してくれているようだ。

本当はここで、個人情報であるか否かの問いではなく、個人を識別することができることとなる情報か否か（identifying particularに該当するか否か、つまりは、条件的範囲の要件を充足するか否か）の問いとするべき、と指摘して欲しいところだが、この回では出なかった。ちょっと難しいか。そこの理屈は何度か書いてあるはずだが。リトライすると出る可能性はあるかもしれない。

私：その調子でQ1-9まで続けて、そこまでの総括として、何が問題でどう改善すべきかを示してください。

Claude：

Q1-3の評価

Q1-3（住所や電話番号だけで個人情報に該当するか）に対する回答も論文の主張と一致していません。

問題点

容易照合性の誤解: 論文では「容易照合性」は「空間的範囲を拡張する要素」であり「条件的範囲を拡大する要素」ではないとしていますが、回答はこの区別をせず、後者の解釈に基づいています。
処理情報的照合性の欠如: 「他の情報と容易に照合することにより」という説明は、処理情報的照合性ではなく散在情報的照合性（公開法的解釈）に基づいています。

ちょっと割り込むが、これは的確な指摘だ。Q1-3のAは、「個別の事例ごとに判断することになりますが、他の情報と容易に照合することにより特定の個人を識別することができる場合、当該情報とあわせて全体として個人情報に該当することがあります。」となっていて、これは容易照合性の問題ではなく（そういう問題である場合もあるけれども）「個人に関する情報」というひとまとまりの範囲の話（空間的範囲を画定する要素の話、その拡張の話（容易照合性）以前に）として書くべきものなのだ。Claudeにはそこまで指摘して欲しかったが、散在情報的照合性に基づいているとの指摘は、このQ&Aの由来元である昔の経産省ガイドラインの出来の悪さをズバリ指摘してくれている。

この角度から巷の誤解を指摘する手法は、2021年5月20日の「GLOCOM六本木会議オンライン #20 個人情報保護法制のこれから＜3＞」で初めて一般向けに提示した*1が、これを理解してくれている人が現在どれだけいるだろうか、全国で数十人程度ではなかろうか。もはやAIはこれを理解する。

Q1-4の評価

Q1-4（メールアドレスだけでも個人情報に該当するか）に対する回答も論文の主張と矛盾しています。

問題点

属性データ要件の無視: メールアドレスが「それ自体が単独で、個人情報に該当」とする説明は、論文の「属性情報が存在しない場合は『個人に関する情報』に該当しない」という主張と矛盾します。
体系的決定との関連性欠如: メールアドレス自体が体系的決定に使用されるデータの一部となるかという視点が欠けています。

Q1-5の評価

Q1-5（公表情報も保護されるか）に対する回答も論文の核心的主張と結びついていません。

問題点

核心的保護利益への言及欠如: 「個人の権利利益の侵害」という抽象的説明ではなく、論文の主張する「決定の適切性確保」という核心的保護利益に言及すべきです。
関連性の原則への無理解: 公表情報であっても、決定目的に対する関連性の観点から評価すべきという視点が欠けています。

Q1-6の評価

Q1-6（外国居住者の情報も保護対象か）に対する回答は結論は妥当ですが、理由付けが不十分です。

問題点

法目的からの説明欠如: 居住地や国籍を問わず保護するという結論は良いですが、それがデータ保護法の目的（決定の適切性確保）からどう導かれるのかの説明がありません。

Q1-7の評価

Q1-7（個人情報に該当しない事例）に対する回答は部分的に妥当です。

評価

統計情報の除外: 「統計情報」を除外する点は論文の主張と一致していますが、その理由が「特定の個人との対応関係が排斥されている」という消極的説明ではなく、「ある一人の個人に関する情報」という空間的範囲の定義から積極的に説明すべきです。

Q1-8の評価

Q1-8（機械学習パラメータは個人情報か）に対する回答も同様の問題があります。

問題点

法目的との関連性欠如: 結論は妥当ですが、データ保護法の核心的保護利益（決定の適切性確保）の観点からの説明がなされていません。

Q1-9の評価

Q1-9（ゲームのニックネームやIDは個人情報か）に対する回答も論文の主張と一致していません。

問題点

一般人基準の適用: 「特定の個人を識別することはできない」という説明が、一般人基準に基づく公開法的解釈に依拠しています。
容易照合性の誤解: 「他の情報と容易に照合することにより」という説明は、容易照合性を条件的範囲の拡大と誤解しています。

総括：問題点と改善策

主要な問題点

法目的の誤解: Q&Aは一貫して、法の目的を「意思決定指向利益モデル」ではなく「情報取扱指向利益モデル」に基づいて解釈しています。
公開法的解釈の混入: 一般人基準による「誰の情報かわかる」という情報公開法的解釈が個人情報保護法の解釈に混入しています。
容易照合性の誤解: 「容易照合性」を「空間的範囲の拡張」ではなく「条件的範囲の拡大」と誤解しています。
関連性の原則の欠如: 「関連性の原則」に基づく「決定の適切性確保」という核心的保護利益への言及がありません。

改善策

法目的の明確化: 個人情報保護法の目的を「データ保護」として再定義し、核心的保護利益を「決定の適切性確保」と明確にすべきです。
処理情報的個人識別性の導入: 「個人を識別する」を「個人ごとに異なる扱いができる状態にする」と解釈し直すべきです。
容易照合性の正確な定義: 容易照合性を「表形式データ間の照合可能性」として正確に定義すべきです。
関連性の原則の強調: 個人情報の定義や解釈において、「関連性の原則」を中心に据えるべきです。

このような改善により、個人情報保護法を真の「データ保護法」として機能させることができるでしょう。

真正面からのド正論なのだが、現実的でないというか、これまでもさほど間違っていなかったが誤解され得る記述だったので直した方がいいという路線で行きたいので、続けて以下のようにプロンプトを与えた。

私：政府が出した見解はなかなか取り消すことが難しいと思われます。これらのQAでも間違っていないと読めなくもないと評価できないか、再検証してみてください。

Claude：

Q&Aの再評価：高木論文の視点を取り入れつつの検討

確かにご指摘の通り、政府が公式に発表したQ&Aは現行の法運用の基礎となっており、一概に「間違い」と断定することは適切ではありません。高木論文の理論的枠組みを念頭に置きつつ、現行のQ&Aにも一定の妥当性を見出す視点から再評価してみます。

Q1-1（「特定の個人を識別することができる」の意味）

調和的解釈：

「社会通念上...同一性を認める」という表現は、実務上の判断基準として機能しています。データ処理の文脈では「レコードと実在の個人との対応関係を認識する能力」と解釈することもでき、体系的決定のための前提条件を示したとも考えられます。

Q1-2（氏名のみでも個人情報に該当するか）

調和的解釈：

氏名は最も基本的な識別子であり、実務的には体系的処理における主キーとして機能します。氏名単体でも体系的決定の基礎として利用されることが多いため、予防的規制の観点から保護対象に含めることには実務的合理性があります。

Q1-3（住所や電話番号だけで個人情報に該当するか）

調和的解釈：

「他の情報と容易に照合することにより」という表現は、データベース間の照合という点では処理情報的照合性を反映していると解釈できます。また「全体として個人情報に該当する」という表現は、空間的範囲の拡張という考え方と矛盾しません。

おお、それそれ。そういうのでいいんだよ。「調和的解釈」ね。

Q1-4（メールアドレスだけでも個人情報に該当するか）

調和的解釈：

「メールアドレス自体が単独で、個人情報に該当する」との見解は、メールアドレスが体系的処理における識別子として機能するという現実を反映しています。また、メールアドレス自体に所属組織等の属性情報が含まれる場合もあります。

Q1-5（公表情報も保護されるか）

調和的解釈：

「取扱いの態様によっては個人の権利利益の侵害につながる」という表現は、広義には「決定の適切性確保」という目的を包含し得ます。公表情報であっても体系的決定に不適切に利用される可能性があることを認識している点で、高木論文の主張と相通じるものがあります。

Q1-6（外国居住者の情報も保護対象か）

調和的解釈：

この回答は結論において妥当であり、グローバルなデータ処理環境では国籍や居住地によって決定の適切性確保という目的が変わるべきではないという点で、高木論文の視点とも整合します。

Q1-7（個人情報に該当しない事例）

調和的解釈：

統計情報を除外する点は論文の主張と一致しています。また、団体情報の除外理由も「個人に関する情報」の範囲画定という点で整合的です。

Q1-8（機械学習パラメータは個人情報か）

調和的解釈：

「特定の個人との対応関係が排斥されている」という説明は、体系的決定の文脈からも理解できます。学習済みパラメータは特定個人に対する決定ではなく一般的なモデルとして機能するため、処理情報的視点からも個人情報に該当しないと解釈できます。

Q1-9（ゲームのニックネームやIDは個人情報か）

調和的解釈：

ニックネームやIDが「通常は特定の個人を識別することはできない」という表現は、ゲーム内での処理では実在の個人との紐付けが行われないことを意味し、処理情報的個人識別性の観点からも理解できます。

全体的評価

現行のQ&Aは、「意思決定指向利益モデル」や「関連性の原則」といった高木論文の核心的概念には明示的に言及していませんが、実務的な運用基準として一定の合理性を持っています。これらのQ&Aを完全に否定するのではなく、高木論文の視点を取り入れて次のように補強することが建設的でしょう：

個人情報保護法の目的を「データ保護」として明確にし、「決定の適切性確保」という核心的保護利益を強調する補足説明
「容易照合性」や「個人を識別する」といった概念について、処理情報的視点からの解釈を追加
具体的事例において、「関連性の原則」に基づく判断基準の提示

このように、現行のQ&Aを完全に否定せず、高木論文の視点を補完的に取り入れることで、より充実した法解釈の枠組みを構築することができるでしょう。

私：それでは、以下、
・評価
・理由
・調和的解釈
の3つの組で一つのQAごとに出力することにします。繰り返しになる場合や指摘することがない場合は省略することを示してもよいです。

まず、Q1-1からQ1-21までの「定義（個人情報）」について出力し、最後にまとめと解決策を提示してください。

Claude：

個人情報保護法Q&A 定義（個人情報）部分の評価

Q1-1：「特定の個人を識別することができる」の意味

評価: 部分的に問題あり

理由:

「社会通念上、一般人の判断力や理解力をもって」という基準は、情報公開法の一般人基準を反映したもので、高木論文の指摘する処理情報的個人識別性の観点を欠いています
「同一性を認める」という表現は、データ処理における意思決定指向利益モデルよりも、プライバシー保護的な発想に基づいています

調和的解釈:

「同一性を認める」ことは、データ処理のコンテキストでは「レコードと実在の個人との対応関係を確立する」ことと読み替えられます。これは体系的決定を行うための前提条件として理解することができ、結果として「個人ごとに異なる扱いができる状態」を生み出すという処理情報的個人識別性の実質を含んでいると解釈できます。

Q1-2：氏名のみでも個人情報に該当するか

評価: 高木論文の主張と矛盾

理由:

高木論文では「氏名のみが存在して、属性情報が存在しない場合は『個人に関する情報』に該当しない」と明確に指摘しています
氏名だけでは「決定の適切性確保」という法目的との関連性が薄いです

調和的解釈:

実務上、氏名は最も基本的な識別子であり、ほとんどの場合、氏名を取得した時点で何らかの属性情報（顧客であるという属性など）と結びついています。また、予防的規制としての側面から、氏名を取得した後に関連する属性情報を収集して体系的決定に用いる蓋然性が高いため、厳格な該当性判断よりも個人情報として扱うことに実務的意義があると解釈できます。

Q1-3：住所や電話番号だけで個人情報に該当するか

評価: 部分的に問題あり

理由:

「他の情報と容易に照合することにより特定の個人を識別することができる場合」という説明は、容易照合性を条件的範囲の拡大と解釈していますが、高木論文では空間的範囲の拡張としています

調和的解釈:

「当該情報とあわせて全体として個人情報に該当する」という表現は、空間的範囲の拡張という考え方と整合的です。実務上、住所や電話番号は体系的決定のためのキーとして使用されることが多いため、何らかの属性情報と組み合わせて「個人に関する情報」を構成する可能性が高いと理解できます。

Q1-4：メールアドレスだけでも個人情報に該当するか

評価: 部分的に問題あり

理由:

メールアドレスを単独で個人情報とする見解は、高木論文の「属性情報が必要」という主張と矛盾します
容易照合性の説明も条件的範囲の拡大として解釈しています

調和的解釈:

メールアドレスの例（kojin_ichiro@example.com）は、メールアドレス自体に識別情報だけでなく属性情報（氏名など）が含まれているケースと解釈できます。また、メールアドレスはデータベースの主キーとして機能することが多く、体系的決定において本人を識別するために使用される実態を反映していると見ることもできます。

Q1-5：公表情報も保護されるか

評価: 部分的に妥当

理由:

「個人の権利利益の侵害」という抽象的表現で、「決定の適切性確保」という核心的保護利益に言及していません
ただし、保護対象とする結論自体は妥当です

調和的解釈:

「取扱いの態様によっては個人の権利利益の侵害につながる」という説明は、公表情報であっても体系的決定に不適切に利用される可能性があることを意味しており、決定の適切性確保という目的を広く包含していると解釈できます。

Q1-7：個人情報に該当しない事例

評価: 概ね妥当

理由:

統計情報を個人情報に該当しないとする点は、高木論文の指摘する「個人に関する情報」の空間的範囲の定義に合致します
説明が「特定の個人との対応関係が排斥されている」という消極的理由である点は不十分です

調和的解釈:

統計情報は、体系的決定における一人ひとりの個人への評価・決定の対象とならず、「ある一人の個人に関する情報」として空間的範囲を画定できないという意味で個人情報に該当しないと解釈できます。

Q1-8：機械学習パラメータは個人情報か

評価: 概ね妥当

理由:

「特定の個人との対応関係が排斥されている」という説明は適切です
ただし、法目的（決定の適切性確保）からの説明がない点は不十分です

調和的解釈:

学習済みパラメータは、一人ひとりの個人への体系的決定ではなく、カテゴリに基づく一般的処理のための情報であり、「個人ごとに異なる扱い」を行うための情報ではないという意味で、処理情報的個人識別性の観点からも個人情報に該当しないと解釈できます。

Q1-9：ゲームのニックネームやIDは個人情報か

評価: 部分的に問題あり

理由:

「特定の個人を識別することはできない」という判断は一般人基準に基づいています
容易照合性についても条件的範囲の拡大として扱っています

調和的解釈:

ゲーム内でのニックネームやIDは、ゲーム内での処理システムでは基本的に実在の個人との確実な紐付けが行われておらず、体系的決定に用いられる場合でも、その決定はゲーム内のアバター等に対するものであって実在の個人に対するものではないと解釈できます。ただし、ゲーム会社自身が保有する他の情報と照合して現実の個人に対する決定に用いる場合は個人情報となりうると考えられます。

Q1-11：特定の個人を識別できない通話内容の録音記録は個人情報か

評価: 概ね妥当

理由:

「基本的には個人情報に該当しない」という結論は、高木論文の個人情報の範囲画定と整合します
容易照合性の説明はやや不十分です

調和的解釈:

特定の個人を識別できない通話内容は、それ自体では体系的決定の基礎とならないため、個人情報に該当しないと解釈できます。ただし「他の情報と容易に照合」できる場合は、空間的範囲が拡張されて個人情報となり得るという理解は正確です。

Q1-12：カメラ画像から抽出した属性情報や人流データは個人情報か

評価: 概ね妥当

理由:

属性情報や人流データを個人情報に該当しないとする判断は、高木論文の個人識別性の解釈と整合します
ただし、説明が「特定の個人を識別することができる情報」という一般的定義に依拠している点は不十分です

調和的解釈:

性別や年齢といった属性情報や人流データは、体系的決定において個人ごとに異なる扱いを行うための基礎となる情報ではないため、処理情報的個人識別性の観点からも個人情報に該当しないと解釈できます。

Q1-17：統計情報としてB社に提供した場合、B社における個人情報該当性

評価: 概ね妥当

理由:

「特定の個人との対応関係が排斥されている」という説明は妥当です
法目的（決定の適切性確保）からの説明がない点は不十分です

調和的解釈:

統計情報は、体系的決定において個人ごとに異なる扱いを行うための基礎となる情報ではなく、「ある一人の個人に関する情報」として空間的範囲を画定できないという意味で個人情報に該当しないと解釈できます。

Q1-18：事業者の各取扱部門が独自に取得した個人情報を別々に保管している場合の「容易に照合することができ」

評価: 部分的に問題あり

理由:

「通常の業務における一般的な方法で...照合することができない状態」という説明は、高木論文がアクセス制御説を否定していることと矛盾します
本質的に照合可能な状態であれば容易照合性があるとすべきです

調和的解釈:

「規程上・運用上、双方のデータベースを取り扱うことが厳格に禁止されていて」という条件は、純粋なアクセス制御ではなく、組織的・制度的に完全に分離された別組織として運用されているという解釈もできます。この場合、それぞれの部門が独立した法人のように機能し、実質的に照合が困難な状態にあると見なすことも可能です。

Q1-19：「他の情報と容易に照合することができ...」に該当する事例

評価: 部分的に妥当

理由:

識別子（顧客ID等）による照合の例は、表形式データ間の照合として妥当です
ただし、「容易に照合」を空間的範囲の拡張と説明していない点は不十分です

調和的解釈:

「特定の個人を識別することができる情報に割り当てられている識別子と共通のものが割り当てられている」という事例は、まさに表形式データ間の照合可能性を示しており、空間的範囲の拡張という解釈と整合的です。事業者内部での参照可能性に言及している点も、提供元基準の考え方と一致します。

Q1-21：死者の情報は保護対象か

評価: 概ね妥当

理由:

死者の情報を保護対象としない点は、高木論文の「体系的決定」の考え方と整合します
死者に関する情報が遺族の個人情報となり得るという説明は、体系的決定の観点からの説明が必要です

調和的解釈:

高木論文は「個人データ保護が死者を対象にしないのは、既に存在しない人に対して決定をする（何らかの影響を与える）ということが観念し得ないから」と説明しています。死者の情報が遺族の個人情報となり得るかは、その情報が遺族に対する体系的決定に用いられるかという観点から判断されるべきです。単に遺族に関する情報であるというだけでは不十分で、遺族に対する決定に用いられる可能性がある場合に限り、遺族の個人情報となります。

総括：定義（個人情報）部分の評価と解決策

全体的評価:

個人情報の定義に関するQ&Aは、行政実務の観点からは一定の妥当性を持っていますが、高木論文が指摘する「個人データ保護の法目的」という視点からは不十分な点が多く見られます。特に以下の点が問題です：

法目的の不明確さ: 「決定の適切性確保」という法目的からの説明が不足しています
処理情報的個人識別性の欠如: 一般人基準に基づく公開法的解釈が混入しています
容易照合性の誤解: 空間的範囲の拡張ではなく条件的範囲の拡大として扱われています
属性情報要件の軽視: 氏名等の識別子のみでも個人情報とする見解は、属性情報の必要性を軽視しています

解決策:

以下の補完的アプローチにより、現行Q&Aを全面的に否定することなく改善が可能です：

序文の追加: 個人情報保護法の目的が「データ保護」であり、核心的保護利益が「決定の適切性確保」であることを明記する序文を追加
概念の再定義:
- 「個人を識別する」を「個人ごとに異なる扱いができる状態にする」と再定義
- 「容易照合性」を「表形式データ間の照合可能性による空間的範囲の拡張」と明確化
事例の具体化:
- 各Q&Aに「体系的決定」の観点からの具体例を追加
- 「関連性の原則」に基づく判断基準の具体例を提示
補足説明の充実:
- 属性情報と識別情報の関係性を説明
- 法目的からみた解釈の妥当性を補足

これらの改善により、実務上の混乱を避けながら、高木論文が指摘する法の本質的理解を促進することができます。

素晴らしい。自分でいつかやろうと思っていた作業が自動化できた。こんなことが可能な時代が来ようとは。

しかしよく見ると、いくつかすっ飛ばしているQがあるではないか。プロンプトに「繰り返しになる場合や指摘することがない場合は省略することを示してもよい」と書いたのが良くなかったか。後から追加で出したプロンプトとその応答を以下に挿入しておく。

私：飛ばしたQについても念の為生成してください。

Claude：

飛ばしたQ&Aの評価

Q1-6：外国居住者の情報も保護対象か

評価: 概ね妥当

理由:

居住地や国籍を問わず保護対象とする結論は、高木論文の法目的とも整合します
ただし、法目的（決定の適切性確保）からの説明がない点は不十分です

調和的解釈:

データ保護法の核心である「決定の適切性確保」という目的は、個人に対する決定がなされる限り、その人の居住地や国籍によって変わるべきものではありません。体系的決定のリスクは国境を越えて存在するという観点からも、外国居住者の個人情報も保護対象とすることは妥当です。

Q1-10：顧客との電話の通話内容は個人情報か

評価: 部分的に問題あり

理由:

「特定の個人を識別することが可能な場合」という基準は、一般人基準に基づく公開法的解釈に依拠しています
通話内容が体系的決定に用いられるかという視点が欠けています

調和的解釈:

通話内容から特定の個人が識別できる場合、それは単に誰の通話かがわかるということではなく、体系的に蓄積・分析され、個人に対する決定（サービス提供や与信など）に用いられる可能性があるという意味で個人情報に該当すると解釈できます。録音していることを伝える義務がないという点も、決定の適切性確保という法目的に照らせば、録音の事実よりも利用目的の明確化が重要であるという理解と整合します。

Q1-13：従来型防犯カメラの設置と個人情報保護法の関係

評価: 部分的に問題あり

理由:

カメラ映像を個人情報として扱う点は妥当ですが、その理由について「特定の個人を識別することができる画像」という一般人基準に基づく説明がなされています
防犯目的という利用目的の特定や通知・公表の要否について、体系的決定の観点からの説明がありません

調和的解釈:

防犯カメラの映像は、不審者や犯罪者を検出するという体系的決定のために用いられるものであり、その決定の適切性確保のために、利用目的の特定や本人への通知・公表が求められると解釈できます。「容易に認識可能」とする措置の必要性も、体系的決定の対象となることを本人が知り得る状態にする必要があるという観点から理解できます。

録画しただけの防犯カメラ映像は、散在情報であって対象外というのが高木説なのだが、Claudeは、後から録画を目視確認して犯人を突き止める段階で「体系的決定」と考えたのであろうか。法目的に不整合だと思うが。EU法でIPアドレスがどのような場合に対象になるかの話もその辺に近いかもしれないが、未検討。

Q1-14：顔識別機能付きカメラシステムの利用

評価: 部分的に妥当

理由:

顔特徴データを個人情報として扱い、より詳細な利用目的の特定を求める点は妥当です
しかし、「本人が利用目的から合理的に予測・想定できる程度に利用目的を特定」という基準の根拠が法目的から説明されていません

調和的解釈:

顔識別機能付きカメラシステムは、顔特徴データを抽出して人物を特定するという、より高度な体系的決定を行うシステムです。このような高度な体系的決定については、その適切性確保のために、より詳細な利用目的の特定と通知・公表が必要となります。特に検知対象者のデータベースへの登録基準を明確にすることは、体系的決定の適切性を確保するために重要な要素です。

Q1-15：防犯目的のカメラ画像を商業目的に利用する場合

評価: 概ね妥当

理由:

当初と異なる目的での利用に本人同意を求める点は妥当です
ただし、目的外利用を制限する根拠が法目的（決定の適切性確保）から説明されていない点は不十分です

調和的解釈:

防犯目的で取得したカメラ画像やそこから得られた顔特徴データをマーケティング等の商業目的に利用することは、当初の体系的決定とは異なる決定を行うことを意味します。異なる決定には異なる関連性の基準が適用されるべきであり、したがって本人の同意を得ることが必要となると解釈できます。

Q1-16：電光掲示板等での顔画像利用と広告表示

評価: 部分的に妥当

理由:

顔画像を取得して属性情報を抽出し広告表示に利用する行為を個人情報の取扱いとする点は妥当です
「顔画像を直ちに削除したとしても、個人情報を取り扱って広告配信を行っていると解される」との説明は、高木論文の体系的決定の概念とも整合します

調和的解釈:

顔画像から属性情報を抽出し、それに基づいてカスタマイズした広告を配信する行為は、まさに体系的決定の一例です。この場合、たとえ顔画像自体が直ちに削除されても、その属性情報に基づいて個人への決定（どの広告を表示するか）が行われている限り、個人情報の取扱いに該当します。これは処理情報的個人識別性の観点からも理解できる解釈です。

Q1-20：従業員情報も個人情報保護法の規律に従うか

評価: 概ね妥当

理由:

従業員情報も個人情報に該当するとする結論は妥当です
ただし、従業員情報が体系的決定にどのように用いられるかという観点からの説明がない点は不十分です

調和的解釈:

従業員情報は、採用、評価、昇進、配置転換など、多様な人事上の体系的決定に用いられるものであり、その決定の適切性確保のために個人情報保護法の規律に従う必要があると解釈できます。特に従業員評価においては、決定目的に対する「関連性の原則」が重要であり、不当な差別を防止する観点からも保護が必要です。

後から挿入箇所はここまで。

先ほどの続きが以下。

私：同様に、Q1-37からQ1-49までの「定義（個人情報データベース等）」についてお願いします。

Claude：

個人情報保護法Q&A 定義（個人情報データベース等）部分の評価

Q1-37：従業者本人しか使用できない名刺やアドレス帳は企業の個人情報データベース等に該当するか

評価: 部分的に妥当

理由:

「企業における業務の用に供する」かどうかで判断する点は、「事業の用に供する」という法の要件と整合します
しかし「体系的決定」や「操作の体系的実施」という観点からの説明がありません

調和的解釈:

高木論文の観点からは、個人情報データベース等は「操作の体系的実施」のためのデータ集合体であり、企業の業務（事業）に用いる場合は、すなわち体系的決定の基礎として用いる可能性があることを意味します。私的利用の場合はそのような体系的決定に用いられないため、対象外となるという解釈が可能です。

Q1-38：従業者が業務上使用している携帯電話の電話帳は個人情報データベース等に該当するか

評価: 概ね妥当

理由:

「特定の個人情報を検索できるように個人情報を体系的に構成されている」という説明は、高木論文の指摘する要件と合致します

調和的解釈:

電話帳機能は、名前や電話番号による検索（retrieve）が可能な形で体系的に構成されており、業務上の体系的決定（例：誰に連絡するか）の基礎として用いられるため、個人情報データベース等に該当するという解釈は妥当です。

うーん、「業務上の体系的決定（例：誰に連絡するか）」というけれど、常識的に見て「従業者が業務上使用している携帯電話の電話帳」は、データに基づいて「誰に連絡するか」を体系的に決定することなんてないのが普通なわけで、説得的でない。データに基づいて決定する業務も行われ得ることを否定できないのはそうだし、そのように使用され得るから対象となるわけであるが、Claudeには「決定利用される」ことと「決定利用され得る」ことの区別ができていないようだ。論文中にその区別は書いてはあるのだが。

Q1-39：独自の分類方法によるメールアドレス帳は個人情報データベース等に該当しないか

評価: 概ね妥当

理由:

「検索機能を使うことにより第三者でも特定のメールアドレスの検索を容易に行うことができる」との説明は、「検索することができるように体系的に構成」という要件の解釈として妥当です

調和的解釈:

高木論文によれば、「検索することができるように体系的に構成」とは一体不可分の概念であり、メールアドレス帳に氏名を付して保存した状態は、「操作の体系的実施」に用いることができる形になっているため、個人情報データベース等に該当するという解釈は適切です。

この評価はイマイチ。このQは、ガイドライン通則編に「独自の分類方法により名刺を分類した状態」が該当しない例として書かれていることに対比させての電子メールの場合の質問なのだが、背景情報が足りないか。

Q1-40：議事録に氏名が含まれる場合、個人情報データベース等に該当するか

評価: 概ね妥当

理由:

「特定の個人情報を検索することができるように『体系的に構成』されている」かどうかを基準にしている点は適切です

調和的解釈:

高木論文によれば、個人情報データベース等は体系的決定のための「表形式データ」が基本であり、議事録のような文書は特定の個人ごとにデータが体系的に構成されておらず、体系的決定に用いることを想定していないため、個人情報データベース等には該当しないという解釈は妥当です。

Q1-41：映像情報は個人情報データベース等に該当するか

評価: 概ね妥当

理由:

「特定の個人情報を検索することができるように『体系的に構成』」されているかどうかで判断する点は適切です
「特定の個人に係る映像情報について検索することができない場合」は該当しないという判断も妥当です

調和的解釈:

高木論文の観点からは、映像情報が個人情報データベース等に該当するかは、それが「体系的決定」に用いられる形で構成されているかによります。日時のみで検索可能な映像は、特定の個人ごとに異なる扱いをするための体系的な構成になっておらず、体系的決定の基礎としては使いにくいため、個人情報データベース等には該当しないという解釈は妥当です。

Q1-42：録音した会話の内容は個人情報データベース等に該当するか

評価: 概ね妥当

理由:

「氏名により容易に検索可能な状態に整理されていない限り」という基準は、高木論文の「検索することができるように体系的に構成」という要件の解釈として適切です

調和的解釈:

会話録音は、通常は時系列に保存されるのみで、特定の個人ごとに検索・整理される状態になっていません。これは体系的決定の基礎として用いることが想定されていないデータであり、個人情報データベース等に該当しないという解釈は妥当です。

Q1-43：宅配便の送り状をファイリングした場合、個人情報データベース等に該当するか

評価: 概ね妥当

理由:

「特定の個人情報が含まれている送り状を検索し、抽出することが容易にできる状態に整理していない場合」という基準は適切です

調和的解釈:

日付順に並べただけの送り状は、特定の個人ごとに検索・整理される状態になっておらず、体系的決定の基礎として用いることが想定されていないため、個人情報データベース等に該当しないという解釈は妥当です。これは高木論文が指摘する「表形式データ」の特性を欠いているという理解と一致します。

Q1-44～Q1-47：市販の電話帳等の個人情報データベース等からの除外について

評価: 概ね妥当

理由:

市販の名簿等を「利用方法からみて個人の権利利益を害するおそれが少ないもの」として除外する解釈は、立法上の例外措置の説明として妥当です

調和的解釈:

高木論文の観点からすると、市販の電話帳等は「体系的決定」の基礎となり得るものですが、法はこれを例外的に除外しています。この除外は、核心的保護利益（決定の適切性確保）の観点から、一般に広く流通している情報に基づく決定は、その適切性について社会的コンセンサスがあると見なされるためと解釈できます。

Q1-48：個人情報データベース等に入力する前の帳票類は個人情報データベース等に該当するか

評価: 概ね妥当

理由:

「50音順に整理している場合など、特定の個人情報を容易に検索することができるように体系的に構成している場合」という基準は適切です

調和的解釈:

高木論文によれば、個人情報データベース等の本質は「操作の体系的実施」が可能な構成にあります。帳票類であっても50音順に整理されていれば、体系的決定の基礎として用いることが可能であり、個人情報データベース等に該当するという解釈は妥当です。

Q1-49：公開情報から新たに個人情報データベースを作成し公開することについて

評価: 部分的に問題あり

理由:

公開情報から作成したデータベースも個人情報データベース等に該当するという判断は妥当です
しかし、「不特定多数の者が閲覧できるような状態に供する行為は、第三者提供に該当し、原則として本人の同意が必要」とする点は、法目的（決定の適切性確保）からの説明が欠けています

調和的解釈:

高木論文の観点からは、公開情報から作成したデータベースも、体系的決定の基礎として用いることができる形式になっているため、個人情報データベース等に該当します。また、このようなデータベースを公開することは、第三者による不適切な体系的決定を助長する可能性があるため、提供制限の対象となると解釈できます。

総括：定義（個人情報データベース等）部分の評価と解決策

全体的評価:

個人情報データベース等の定義に関するQ&Aは、高木論文の主張する「体系的決定」や「操作の体系的実施」の観点と概ね整合しています。「検索することができるように体系的に構成」という要件をほぼ適切に解釈していると評価できます。ただし、以下の点に改善の余地があります：

法目的との関連付けの不足: 「体系的決定」という観点からの説明が明示的になされていません
「検索」概念の説明不足: 「検索」（retrieve）が体系的決定のための基礎となる点の説明が不足しています
体系的構成の意義の説明不足: なぜ「体系的に構成」されていることが重要なのかの説明がありません

解決策:

以下の補完的アプローチにより、現行Q&Aを全面的に否定することなく改善が可能です：

導入部の追加: 個人情報データベース等の定義の前に、その法目的上の意義（体系的決定の基礎となるデータ集合）を説明する導入部を追加
概念の明確化:
- 「検索することができるように体系的に構成」を一体不可分の概念として説明
- 「検索」（retrieve）が体系的決定のための個人の特定に必要な機能であることを説明
事例の補強:
- 各Q&Aの回答に、体系的決定の観点からの説明を追加
- 「表形式データ」としての特性がどのように体系的決定を可能にするかの具体例を提示
市販名簿等の除外理由の補強:
- 市販の電話帳等を除外する理由を、決定の適切性確保という観点から補足説明

これらの改善により、現行Q&Aの解釈の妥当性をより強化し、法の本質的理解を促進することができます。個人情報データベース等の定義は、高木論文の主張と比較的親和性が高い部分であり、大幅な修正よりも補強的なアプローチが適切と考えられます。

私：次は、Q1-50からQ1-58までの「定義（個人情報取扱事業者）」と「定義（保有個人データ）」です。

Claude：

個人情報保護法Q&A 定義（個人情報取扱事業者）と定義（保有個人データ）部分の評価

Q1-50：個人情報を取り扱う件数が少ない事業者も個人情報取扱事業者に該当するか

評価: 問題なし

理由:

単に法の適用範囲に関する説明であり、高木論文の主張と直接の関連性は低いです

調和的解釈:

高木論文の観点からも、体系的決定を行うデータ処理の規模の大小にかかわらず、同等の保護が必要との解釈が可能です。

Q1-51：個人情報を「事業の用に供している」とは、どのような意味ですか

評価: 部分的に問題あり

理由:

「事業の用に供している」について「事業者がその行う事業のために個人情報を利用していること」と説明していますが、高木論文が重視する「体系的決定」の観点からの説明がありません

調和的解釈:

「事業者がその行う事業のために個人情報を利用している」という説明は、高木論文の観点からは「事業者が体系的決定のために個人情報を処理している」と解釈できます。例示されている「顧客情報、従業員情報、配達先情報」などは、いずれも組織的な体系的決定の基礎として用いられるデータであり、この解釈と整合します。

ここでも、「決定利用される」ことと「決定利用され得る」ことの区別ができていないようだ。決定利用の予定がないデータであっても、決定利用され得ることを前提に、法の規律対象にするので、「事業の用に供している」ものとする必要がある。

Q1-53：委託業務として委託元の個人情報データベース等を利用する場合の該当性

評価: 部分的に問題あり

理由:

委託先も個人情報取扱事業者に該当するという結論は妥当ですが、高木論文で論じられている「controller（管制者）」と「custodian（管理者）」の区別の観点からの説明がありません

調和的解釈:

高木論文VIII章3節によれば、「controller」は個人データの内容と利用について決定する権限を有する者、「custodian」は物理的にデータファイルを所持し管理する者を指します。委託先は通常「custodian」としての役割を果たしますが、法は「controller」と「custodian」を区別せず、どちらも個人情報取扱事業者として規制対象としています。この点で、委託先も個人情報取扱事業者に該当するという解釈は妥当です。

Q1-56：個人データの取扱いが委託される場合の保有個人データの帰属

評価: 部分的に妥当

理由:

「特に定めのない限り、委託元の保有個人データになる」という判断や、「本人に対する開示等の権限を有しているのは委託元である」という説明は、高木論文の「controller」と「custodian」の区別の観点からは適切です
しかし、その理論的根拠の説明が不足しています

調和的解釈:

高木論文の観点からは、「保有個人データ」の本質的な帰属先は、そのデータを用いた体系的決定の権限を持つ「controller」であるべきです。委託元が「自らの判断で当該個人データの開示等を行う権限を付与していない」場合、委託元が「controller」として体系的決定の権限を保持していると解釈でき、したがって保有個人データの帰属先も委託元となります。一方、委託先に決定権限も委ねている場合は、委託先も「controller」の性質を帯び、共同の保有個人データとなる可能性があります。

Q1-57：「当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの」の事例について

評価: 概ね妥当

理由:

法律上の適用除外の説明であり、高木論文の主張と直接の関連性は低いです

調和的解釈:

高木論文の観点からも、個人データの存否が明らかになることで公共の安全と秩序の維持に支障が及ぶ場合、本人による開示請求等の権利行使を制限することには一定の合理性があります。ただし、これは法目的である「決定の適切性確保」という核心的保護利益を犠牲にしても保護すべき別の公益が存在するという判断に基づくものと理解できます。

Q1-58：振り込め詐欺に利用された口座に関する情報の取扱い

評価: 概ね妥当

理由:

Q1-57と同様、法律上の適用除外の解釈・説明であり、高木論文の主張と直接の関連性は低いです

調和的解釈:

高木論文の観点からも、名義人の氏名等の基本情報と、それに関連する照会履歴等の情報では、体系的決定における位置づけが異なります。前者は名義人に対する体系的決定の基礎となる情報であり保有個人データとして本人のアクセス対象となる一方、後者は犯罪捜査という文脈での体系的決定に関わる情報であり、その存否の開示が公共の安全と秩序の維持に支障をきたす可能性があるため、本人のアクセス対象から除外されるという解釈が可能です。

おおすごい。論文では直接そういう話題を扱っていないのに、妥当な結論が導かれている。

総括：定義（個人情報取扱事業者）と定義（保有個人データ）部分の評価と解決策

全体的評価:

個人情報取扱事業者と保有個人データの定義に関するQ&Aは、法の適用範囲を説明する基本的な内容が中心で、高木論文の主張と直接的に矛盾する部分は少ないです。ただし、以下の点に改善の余地があります：

体系的決定の観点の欠如: 「事業の用に供している」の説明において、体系的決定という観点からの説明がありません
controller/custodian概念の不明確さ: 委託関係における保有個人データの帰属について、その理論的根拠の説明が不足しています
核心的保護利益との関連付けの不足: 保有個人データの除外事由について、法目的との関係での説明がありません

解決策:

以下の補完的アプローチにより、現行Q&Aを全面的に否定することなく改善が可能です：

用語の定義補強:
- 「事業の用に供している」について、体系的決定のための情報処理という観点からの補足説明を追加
- 「controller」と「custodian」の概念を明示的に説明しなくても、個人データを用いた決定権限の所在という観点からの説明を追加
保有個人データの帰属に関する理論的説明の強化:
- 委託関係における保有個人データの帰属について、決定権限の所在に基づく理論的説明を追加
- 個別具体的な事例ごとに判断するという柔軟性を維持しつつ、判断基準をより明確に示す
保有個人データの除外事由の説明強化:
- 除外事由の背景にある法益衡量（核心的保護利益と他の公益との比較衡量）の考え方を説明
- 同じ個人に関する情報でも、その情報が果たす文脈や役割によって異なる取扱いとなる理由を補足

これらの改善により、現行Q&Aの実務的有用性を維持しながら、高木論文が示す法の本質的理解を深めることができます。特に委託関係における保有個人データの帰属問題は、「controller」と「custodian」の区別という観点からより明確に説明することで、実務上の混乱を減らすことができるでしょう。

公益との比較衡量は論文では一切述べていないのだが、そこは勝手に評価が加えられたようだ。

私：次は、Q1-27からQ1-36までの「定義（要配慮個人情報）」をお願いします。

Claude：

個人情報保護法Q&A 定義（要配慮個人情報）部分の評価

Q1-27：購買履歴や購読情報は要配慮個人情報に該当するか

評価: 部分的に妥当

理由:

「個人的な信条であるのか、単に情報の収集や教養を目的としたものであるのか判断することが困難」という説明は一定の合理性があります
しかし、高木論文のいう「関連性の原則」や「決定の適切性確保」という観点からの説明がなく、単に「信条」を「推知させる情報にすぎない」という形式的な理由になっています

調和的解釈:

高木論文IX章4.6節の視点からは、要配慮個人情報は差別（不合理な区別）防止のための特別な規制と捉えられます。購買履歴や購読情報は、それだけでは個人の確固たる信条を示すとは限らず、それを決定の根拠として用いることが必ずしも「不合理な区別」につながるわけではないという解釈が可能です。また、単なる購買・購読行為は多義的であり、それを決定の基礎として用いることが直ちに関連性の原則に反するとは言えません。

Q1-28：診療又は調剤に関する情報は全て要配慮個人情報に該当するか

評価: 概ね妥当

理由:

診療や調剤に関する情報を広く要配慮個人情報とする解釈は、法の規定に沿ったものです
ただし、なぜこれらが「特に配慮を要する」のかについての説明（法目的の観点から）が不足しています

調和的解釈:

高木論文の観点からは、医療情報は体系的決定において不合理な区別の根拠として用いられやすい情報であり、特に医療情報に基づく決定は、関連性の原則の観点から慎重な検討を要します。例えば、病気の既往歴は雇用や保険の引受けなどの決定に不適切に利用される可能性があります。このような観点から、診療・調剤情報を広く要配慮個人情報として保護することには合理性があります。

Q1-29：DTC遺伝子検査の結果は要配慮個人情報に該当するか

評価: 概ね妥当

理由:

医師等が疾病の予防・早期発見のために行った検査という条件は、法令の規定に沿った解釈です
しかし、なぜ医師等による検査であるかどうかが重要なのかの説明がありません

調和的解釈:

高木論文の観点からは、遺伝子検査結果は、体系的決定において不合理な区別の根拠とされやすい情報です。医師等による検査であるという条件は、その結果が臨床的意義を持ち、体系的決定の基礎として用いられる可能性が高いことを示します。一方、医師等を介さない検査結果は臨床的意義や精度について統一的な基準がなく、体系的決定の基礎として不適切であるという区別が可能です。

Q1-30～Q1-34：犯罪経歴等に関する要配慮個人情報該当性

評価: 概ね妥当

理由:

犯罪経歴や刑事手続に関する情報の要配慮個人情報該当性の判断は、法令の規定に沿った解釈です
ただし、これらがなぜ「特に配慮を要する」のかについての説明が不足しています

調和的解釈:

高木論文の観点からは、犯罪経歴等の情報は、体系的決定において不合理な区別の根拠として用いられやすい典型的な情報です。刑事手続や有罪判決を受けた事実は、就職や居住など様々な決定において関連性のない場面で用いられると、元犯罪者の社会復帰を妨げ不当な差別を生じさせるリスクがあります。したがって、関連性の原則の観点から特別な配慮が必要という解釈が可能です。

Q1-35：障害福祉サービス事業者等における配慮について

評価: 概ね妥当

理由:

障害の特性に応じた適切な配慮を促す内容であり、高木論文の主張と直接の矛盾はありません
ただし、なぜこのような配慮が必要なのかの理論的説明が不足しています

調和的解釈:

高木論文の観点からは、個人データ保護の核心的保護利益は「決定の適切性確保」です。障害のある人に対しては、その特性に応じた情報提供や同意取得の方法を採らなければ、実質的に自らに関する決定に参加できず、決定の適切性を確保できない恐れがあります。したがって、障害特性に応じた配慮は、決定の適切性確保という法目的から導かれる要請として理解できます。

Q1-36：判断能力が不十分な障害者の同意取得について

評価: 概ね妥当

理由:

法定代理人からの同意取得や、代理人が選任されていない場合の例外規定の適用は、法令に沿った解釈です
ただし、なぜこのような配慮が必要なのかの理論的説明が不足しています

調和的解釈:

高木論文の観点からは、個人データ保護における同意取得の意義は、本人が自らに関する体系的決定に参加する機会を確保することにあります。判断能力が不十分な障害者の場合、法定代理人を通じた間接的な参加や、代理人がいない場合には「人の生命、身体又は財産の保護のために必要」という例外規定の適用により、その人の最善の利益のための決定が可能となります。これは決定の適切性確保という法目的に沿った解釈と言えます。

総括：定義（要配慮個人情報）部分の評価と解決策

全体的評価:

要配慮個人情報の定義に関するQ&Aは、法令の規定に忠実な解釈を提供しており、形式的には概ね妥当なものです。しかし、以下の点に改善の余地があります：

法目的との関連付けの不足: 要配慮個人情報がなぜ「特に配慮を要する」のかについて、高木論文が指摘する「差別防止」や「関連性の原則」といった法目的からの説明がありません
「差別」概念の不明確さ: 要配慮個人情報の定義にある「不当な差別」がどのような概念なのか（差別感情か、不合理な区別か）が明確でありません
体系的決定との関連性の欠如: 要配慮個人情報が体系的決定においてどのように問題となるのかの説明がありません

解決策:

以下の補完的アプローチにより、現行Q&Aを全面的に否定することなく改善が可能です：

導入部の追加: 要配慮個人情報の定義の前に、その法目的上の意義（不合理な区別の防止、関連性の原則の実現）を説明する導入部を追加
「差別」概念の明確化:
- 「不当な差別」が意味するところを、高木論文が示す「不合理な区別」という観点から説明
- 「差別」と「関連性の原則」の関係を明確化
具体例の補強:
- 各種の要配慮個人情報がなぜ体系的決定において問題となるのかの具体例を追加
- 「関連性のない決定」の具体例（病歴が住宅賃貸に関連しないなど）を提示
配慮の理論的根拠の補強:
- 障害者等への配慮が必要な理由を、決定の適切性確保という観点から説明
- 判断能力が不十分な場合の同意取得の代替措置の理論的根拠を補足

これらの改善により、要配慮個人情報に関する規定の実質的意義をより明確にし、高木論文が指摘する法の本質的理解を促進することができます。特に「差別」概念の明確化は、要配慮個人情報規定の解釈・運用において重要な指針となるでしょう。

私：高木論文はそもそも要配慮というカテゴリ自体が重要でないとしていることが見落とされている気がします。

Claude：

要配慮個人情報の再評価

ご指摘いただき、ありがとうございます。おっしゃる通り、高木論文の根本的な立場として、「要配慮個人情報」というカテゴリ自体の必要性に疑問を呈していることを見落としていました。この点を踏まえた再評価を行います。

高木論文における要配慮個人情報（特別カテゴリ）への批判的立場

高木論文IX章4.6節では、要配慮個人情報について次のように述べています：

「本稿の立場は、個人データ保護は、差別の排除（非差別）を主要な趣旨としており、その核心的保護利益である決定の適切性確保の利益の保護が、差別を排除する効果をもたらすのであって、その効果を達成する仕組みが「関連性」の要求であるから、特別カテゴリに限ることなくすべての種類の個人データについて規律対象とすることが必要であるという見解である。」

この主張は、特定のカテゴリを「要配慮」として特別扱いするのではなく、すべての個人データについて「関連性の原則」に基づいて判断すべきという根本的な立場を示しています。

要配慮個人情報に関するQ&Aの根本的な問題点

評価: 根本的に問題あり

理由:

Q&Aは要配慮個人情報というカテゴリ自体を前提としていますが、高木論文はこのカテゴリの必要性自体に疑義を呈しています
DammannとSimitisの見解として「『差別的使用のリスクが特別カテゴリを基礎づける特徴である』としつつも、『データ品質の原則の『関連性要件』によって同じ効果が達成できる』」ことが示唆されています
日本法が「関連性の原則」を完全に見落としている中で、特定カテゴリのみを要配慮として特別扱いする方法は、本質的な保護を実現できません

根本的な解決策:

高木論文の立場からすると、要配慮個人情報に関するQ&Aは、以下のような根本的な再構築が必要です：

カテゴリによる保護から原則による保護へ:
- 特定のカテゴリを列挙して要配慮とする方法ではなく、すべての個人データについて「関連性の原則」を適用すべきことを明示
- 現行の要配慮個人情報は、過去の差別の経験から関連性がないと推定される典型例として位置づけ直す
関連性の原則の導入:
- すべての個人データについて、決定の目的に対する関連性を基準に判断する原則を導入
- 人種、信条、病歴等は一般に関連性がないと推定されるものの例として説明する
意思決定指向利益モデルの強調:
- 個人データ保護の目的が「意思決定指向利益モデル」に基づく「決定の適切性確保」にあることを強調
- 要配慮個人情報の取得制限は、決定の適切性確保のための予防的措置として再定義する

このような根本的な見直しにより、特定カテゴリの例示的列挙に頼るのではなく、すべての個人データについて一貫した「関連性の原則」に基づく保護を実現することが、高木論文の立場からは望ましいということになります。

現行のQ&Aは、法の表面的な解釈としては妥当であるものの、高木論文が指摘する法の本質的理解からすると、根本から再構築されるべきものと評価せざるを得ません。

私：その理解を踏まえて、先ほどのQ1-27からQ1-36までをやり直してください。

Claude：

個人情報保護法Q&A 定義（要配慮個人情報）部分の再評価

Q1-27：購買履歴や購読情報は要配慮個人情報に該当するか

評価: 根本的に問題あり

理由:

高木論文によれば、特定の情報カテゴリを「要配慮」とする方法自体が不適切であり、代わりに「関連性の原則」によってすべての個人データを評価すべきです
「信条を推知させる情報にすぎない」という議論は、カテゴリベースの発想に基づいており、本質的な問題（決定への関連性）を見逃しています

代替的解釈:

高木論文の立場からは、購買履歴や購読情報が個人情報として扱われる場合、それを用いた決定が「関連性の原則」に照らして適切かどうかを判断すべきです。例えば、特定の政党の新聞購読履歴は、その政治的信条と関連がない雇用や与信の決定に用いるべきではありませんが、それは「要配慮個人情報」というカテゴリに該当するからではなく、その決定目的に対して「関連性がない」からです。

Q1-28：診療又は調剤に関する情報は全て要配慮個人情報に該当するか

評価: 根本的に問題あり

理由:

医療情報を一律に「要配慮個人情報」のカテゴリに含める方法は、高木論文の立場からは本質的なアプローチではありません
医療情報が特別扱いされる本当の理由は、多くの決定文脈において「関連性がない」ことにあります

代替的解釈:

高木論文の立場からは、医療情報は、雇用や住宅など多くの決定文脈において「関連性がない」データであり、そのような決定に用いるべきではありません。しかし、医療提供や医学研究などの文脈では「関連性がある」場合もあります。特定カテゴリとして一律に制限するのではなく、それぞれの決定文脈における「関連性」を基準に判断すべきです。例えば、糖尿病の既往歴は、医療サービス提供の決定には関連性がありますが、住宅賃貸の決定には関連性がないというアプローチです。

Q1-29：DTC遺伝子検査の結果は要配慮個人情報に該当するか

評価: 根本的に問題あり

理由:

医師等による検査かどうかを基準に「要配慮個人情報」該当性を判断する方法は、カテゴリベースの恣意的な区分です
遺伝子情報の保護の本質は、決定文脈における「関連性」の問題です

代替的解釈:

高木論文の立場からは、遺伝子検査結果（医師によるものであるか否かを問わず）は、保険や雇用などの決定において「関連性がない」場合が多いため、そうした決定に用いるべきではありません。しかし、医療提供や特定疾患の研究などの文脈では「関連性がある」場合もあります。医師等による検査かどうかではなく、決定目的との「関連性」を基準に判断すべきです。

Q1-30～Q1-34：犯罪経歴等に関する要配慮個人情報該当性

評価: 根本的に問題あり

理由:

犯罪経歴や刑事手続に関する情報を一律に「要配慮個人情報」のカテゴリに含める方法は、高木論文の立場からは本質的なアプローチではありません
法的に細かなカテゴリ分けをすること（有罪判決vs不起訴、捜査段階の情報vs確定判決など）の代わりに、「関連性の原則」で判断すべきです

代替的解釈:

高木論文の立場からは、犯罪経歴等の情報は、多くの決定文脈（雇用、住宅など）において「関連性がない」か、時間の経過により関連性が薄れていくものです。例えば、10年前の軽微な犯罪歴は、現在の住宅賃貸決定には関連性がないと判断すべきです。ただし、子どもの安全に関わる職業と性犯罪歴など、特定の文脈では関連性が認められる場合もあります。カテゴリで一律に判断するのではなく、決定目的との関連性と時間的要素を考慮した判断が必要です。

Q1-35：障害福祉サービス事業者等における配慮について

評価: 部分的に妥当だが不十分

理由:

障害特性に応じた配慮を促す内容自体は適切ですが、それが「要配慮個人情報」というカテゴリに基づくものとして説明されている点は問題です
障害情報の取扱いも「関連性の原則」で判断すべき問題です

代替的解釈:

高木論文の立場からは、障害に関する情報の取扱いも「関連性の原則」に基づいて判断すべきです。障害福祉サービスの提供という文脈では明らかに関連性がありますが、他の文脈では関連性がない場合が多いでしょう。障害特性に応じた配慮は「決定の適切性確保」という法目的を実現するために必要なものであり、「要配慮個人情報」というカテゴリがなくても、関連性の原則から導き出せる要請です。

Q1-36：判断能力が不十分な障害者の同意取得について

評価: 部分的に妥当だが不十分

理由:

判断能力が不十分な障害者への配慮を示す内容自体は適切ですが、「要配慮個人情報」のカテゴリを前提としている点は問題です
同意取得の問題も「意思決定指向利益モデル」の観点から捉え直すべきです

代替的解釈:

高木論文の立場からは、個人データ保護における同意取得の意義は、体系的決定への本人参加の機会確保にあります。判断能力が不十分な場合、法定代理人を通じた参加や例外規定の適用は、「決定の適切性確保」という法目的に照らして必要な対応です。これは「要配慮個人情報」というカテゴリがなくても、意思決定指向利益モデルから導かれる要請であり、すべての個人データについて同様の考慮が必要です。

総括：定義（要配慮個人情報）部分の根本的問題と解決策

全体的評価:

要配慮個人情報の定義に関するQ&Aは、高木論文の主張に照らすと根本的に問題のあるアプローチに基づいています。特定のカテゴリを「要配慮」として特別扱いする方法自体が、「関連性の原則」という本質的な保護手段を見落としているためです。

根本的な問題点:

カテゴリベース vs 原則ベース: 現行法とQ&Aは特定カテゴリの列挙に依存していますが、高木論文は「関連性の原則」という一貫した基準に基づく保護を主張しています
差別感情 vs 不合理な区別: Q&Aは差別感情からの保護を想定していますが、高木論文は不合理な区別（決定に関連性のないデータの使用）からの保護を重視しています
法目的の矮小化: 「差別防止」という限定された目的ではなく、より普遍的な「決定の適切性確保」という法目的から出発すべきです

抜本的解決策:

関連性の原則の導入: 要配慮個人情報の規定を再解釈し、すべての個人データに適用される「関連性の原則」を導入します
現行カテゴリの位置づけ直し: 現行の要配慮個人情報のリストを、「多くの決定文脈で関連性がないと推定される典型例」として再定義します
文脈依存的アプローチの採用: 情報カテゴリだけでなく、決定文脈や目的を考慮した判断基準を示します
法制度の将来的見直し: 要配慮個人情報の特別カテゴリを廃止し、すべての個人データについて一貫した「関連性の原則」を適用する法改正を検討します

高木論文の「関連性の原則」を中心に据えた見方は、現行法とQ&Aの断片的なカテゴリベースのアプローチよりも、より包括的で一貫性のある保護を提供します。特定カテゴリの取得制限ではなく、すべてのデータについて決定目的との関連性を問うアプローチへの転換が望ましいと言えるでしょう。

このくらい根本的な話になると方向付けが必要なようで、全自動とはいかないようだ。

私：次は、Q1-22からQ1-26までの「定義（個人識別符号）」をお願いします。

Claude：

個人情報保護法Q&A 定義（個人識別符号）部分の評価

Q1-22：「本人を認証することができるようにしたもの」の意味

評価: 概ね妥当

理由:

「本人を認証することができるようにしたもの」を「特定の個人を識別することができる水準である符号」と説明している点は問題ありません
ただし、高木論文が指摘する「意思決定指向利益モデル」からの説明がない点は不十分です

調和的解釈:

高木論文の観点からは、個人識別符号は体系的決定において個人ごとに異なる扱いをするための基礎となる符号と解釈できます。「本人を認証する」とは、体系的決定においてデータと実在の個人を確実に紐付けるための技術的手段であり、データに基づく決定の確実性を高めるものと理解できます。

Q1-23：「本人を認証することを目的とした装置やソフトウェア」と目的の関係

評価: 概ね妥当

理由:

「事業者が実際に認証を目的として取り扱っている場合に限定しているものではない」という説明は、法の客観的適用という観点から適切です
しかし、なぜ認証技術がデータ保護法の対象となるのかの説明がありません

調和的解釈:

高木論文の観点からは、個人識別符号の規制は、体系的決定において用いられる可能性のある高精度の識別技術に対する規制と理解できます。特定の目的での利用に限定されないのは、そのような高精度の識別符号が体系的決定のために転用される可能性を防止する予防的規制の側面があるためと解釈できます。

Q1-24：ゲノムデータの学術研究目的での取扱い

評価: 部分的に問題あり

理由:

ゲノムデータの適用関係の説明は事実に基づいており問題ありません
しかし、ゲノムデータが個人識別符号に位置付けられた理論的根拠の説明がなく、なぜ学術研究目的でも規制対象となるのかの説明が不足しています

調和的解釈:

高木論文の観点からは、ゲノムデータは高度に個人識別可能なデータとして体系的決定の基礎となり得るものです。学術研究目的でも基本的に規制対象となるのは、そのようなデータが研究の過程で体系的決定に用いられる可能性があり、その決定の適切性確保のためには例外的な場合を除き規制が必要という考えに基づくと解釈できます。

Q1-25：携帯電話番号やクレジットカード番号は個人識別符号に該当するか

評価: 部分的に問題あり

理由:

携帯電話番号等が個人識別符号でない理由を「特定の個人を識別することができるとは限らない」としている点は、立法経緯からは正確ですが不十分です
高木論文で指摘されているように、平成27年改正時には「端末ID」も含める案があったが政治的経緯で除外された事実の説明がありません

調和的解釈:

高木論文の観点からは、携帯電話番号やクレジットカード番号は体系的決定のための識別子として機能し得るものですが、法制化の過程で個人識別符号からは除外されました。ただし、これらの番号も「他の情報と容易に照合」できる場合は個人情報となるという説明は、体系的決定における実際の運用状況を反映したものと解釈できます。

Q1-26：保険者番号・被保険者記号・番号の個人識別符号該当性

評価: 問題なし

理由:

「３つ（被保険者記号が無い場合は２つ）揃うことで特定の個人を識別することができ、個人識別符号に該当する」という説明は、法令の解釈として正確です
この点に関して高木論文は特に指摘していません

調和的解釈:

高木論文の観点からも、保険者番号等が揃うことで体系的決定における識別子として機能することになり、個人識別符号と評価できます。個別の符号ではなく複数の符号が組み合わさることで初めて識別機能を持つという点は、体系的決定における識別メカニズムの一形態として理解できます。

総括：定義（個人識別符号）部分の評価と解決策

全体的評価:

個人識別符号の定義に関するQ&Aは、法令の解釈として基本的に正確ですが、高木論文が指摘するような法の本質的目的からの説明が不足しています。特に以下の点に改善の余地があります：

法目的との関連付けの不足: 個人識別符号規制が「体系的決定の適切性確保」という法目的とどう関連するかの説明がありません
立法経緯の不十分な説明: 高木論文が詳細に分析している個人識別符号の立法経緯（特に「端末ID」の除外経緯）に関する説明がありません
生体情報の特別な位置づけの説明不足: なぜゲノムデータなどの生体情報が特に重要視されるのかの説明が不足しています

解決策:

以下の補完的アプローチにより、現行Q&Aを全面的に否定することなく改善が可能です：

導入部の追加: 個人識別符号の定義の前に、その法目的上の意義（体系的決定における高精度の識別子という位置づけ）を説明する導入部を追加
理論的背景の補強:
- 「本人を認証する」という技術的概念と、体系的決定における識別という法的概念の関係を説明
- 生体情報が特に規制対象となる理由を、その高精度性と恒久不変性の観点から説明
立法経緯の補足:
- 個人識別符号の範囲決定に関する経緯を簡潔に説明し、現行の規制範囲の理解を深める
- 携帯電話番号等が除外された理由についても、より理論的な説明を追加
実務指針の明確化:
- 個人識別符号に該当するかどうかの境界線上のケースについて、より具体的な判断指針を提示

これらの改善により、現行Q&Aの実務的有用性を維持しながら、高木論文が示す法の本質的理解を促進することができます。個人識別符号は、体系的決定における識別機能の重要性を反映した概念として、より充実した説明が望まれます。

私：高木論文はそもそも個人識別符号の定義は不要としていることが見落とされている気がします。

Claude：

個人識別符号の定義に関する再評価

ご指摘いただきありがとうございます。確かに高木論文では個人識別符号の定義について根本的な疑問が投げかけられています。この視点は私の評価で十分に反映できていませんでした。

高木論文における個人識別符号の位置づけ

高木論文では、III章「残された課題」の「1. 個人情報定義の拡張」において以下のように論じられています：

拡張の必要性への疑問: 個人識別符号の導入は「拡張したものではなく従前の定義を明確化したもの」と説明されていましたが、実質的には拡張であり、その必要性に疑問があります
達成されなかった目標: 当初は「端末ID」等の実質的個人識別性を持つ情報を保護対象にする目標がありましたが、政治的理由で除外され、結果として「今回の改正で個人情報定義は拡張されず、『端末ID』など物に付番された符号を個人情報として保護する当初の目標は達成されなかった」と結論づけています
処理情報的個人識別性の観点: 高木論文の主張する「意思決定指向利益モデル」からは、「個人ごとに異なる扱いができる状態」を生み出す情報が保護対象となるべきであり、特定のカテゴリを「個人識別符号」として区別する必要性はないとも解釈できます

個人識別符号に関するQ&Aの再評価

個人識別符号に関するQ&Aを高木論文の視点から再評価すると：

Q1-22～Q1-26全体に対する評価: 根本的な問題あり

理由:

そもそも個人識別符号という概念区分を設ける必要性自体が高木論文では疑問視されています
「処理情報的個人識別性」という観点からは、生体情報も運転免許証番号も携帯電話番号も本質的な違いはなく、体系的決定のための識別子として機能するかどうかが問題です
これらQ&Aは、政治的妥協の産物である現行法の区分を前提としたものであり、高木論文が示す法の本質的理解とは距離があります

調和的解釈:

高木論文の観点からも、現行法の下では個人識別符号の該当性判断が必要となります。それを踏まえると、Q&Aが示す判断基準は実務上の一応の指針として機能しますが、本来は「体系的決定のための識別子として機能するか」という観点から統一的に判断されるべきものです。

改善のための提案

個人識別符号に関するQ&Aは、現行法制度を前提とせざるを得ないことを認めつつも、以下の改善が考えられます：

理論的背景の補強:
- 個人識別符号を含む個人情報全体の保護が「体系的決定の適切性確保」という観点からなされるべきであるという理論的背景を説明
- 端末ID等が除外された経緯を説明し、現行規制の限界を示唆
統一的視点の提示:
- 生体情報や公的番号等が個人識別符号とされる理由を、体系的決定における識別子としての重要性から説明
- 個人識別符号として指定されていない識別子（携帯電話番号等）についても、「個人に関する情報」として体系的決定に用いられる場合は保護対象となることを説明
将来の法改正への示唆:
- 高木論文が示す「処理情報的個人識別性」の観点から、現行の個人識別符号の区分が再検討される可能性を示唆

このように、現行Q&Aの実務的有用性を維持しつつも、高木論文が指摘する本質的な問題提起を反映させることで、より深い法理解を促進することができるでしょう。

とりあえずテストはここまで。いずれ完全版を作成して、出版するかあるいは個情委に届けるなどしたい。

なお、ChatGPT 4oでも同じことをやってみたが、ChatGPTは、対象論文に基づかない見解を勝手にドンドコ言ってくるので、全く使い物にならなかった。ChatGPTのこの傾向は以前から変わっていないようだ。

*1 GLOCOMの動画のここからを見てほしい。ちなみにこの2021年5月の時点では、Jon Bingの文献をまだ見つけておらず、OECD第2原則の「関連性」に気づいていない。Bingの文献を見つけたのはこの翌月、「関連性」を理解したのは翌々月だった。

本日のリンク元 TrackBack(0)

2025年04月19日

■ 【足掛け12年の総括】統計目的の二次利用が決定利用禁止を条件に許される理由が1997年勧告に明記されていた

2月1日にこれを見つけたので、大急ぎで邦訳を作成し解説を加えてJILISレポートに仕上げ、先週公開した。

欧州評議会「統計目的で収集・処理される個人データの保護に関する加盟国への閣僚委員会勧告」（1997年）の紹介, JILISレポート7巻3号 (2025)

なぜ、1997年のこれを今急いで紹介する必要があるのかと言えば、今の個人情報保護法3年ごと見直しで個情委から示された「個人情報保護法の制度的課題に対する考え方について」（令和7年3月5日）の一丁目一番地である「第1-1-(1) 統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的とした取扱いを実施する場合の本人の同意の在り方」に直結するからだ。

これまで、統計目的の本人同意なき二次利用が問題とならないことを説明するには、GDPR 5条1項(b)と9条2項(j)の規定が事実そうなっていることを挙げ、また、それが許される理由が非選別利用に限るところにある（措置または決定に用いないところにある）旨を説明するには、GDPR前文162で「The statistical purpose implies that …… and that this result or the personal data are not used in support of measures or decisions（措置または決定）regarding any particular natural person.」と仄めかされている*1（データ保護指令では要件として明確に書かれていたのだが*2）ところを挙げるしかなかった。

それが、今回見つけた欧州評議会の1997年勧告では、説明覚書において、そこの理由が明確に述べられていたのである。これを早く見つけていれば話はもっと簡単だったのに、誰もこれに言及していなかったのである*3。

これまでにやってきたこと

振り返れば、私が、統計目的の本人同意なき二次利用が問題とならないことを明確に言い出したのは、平成27年改正法案の骨子が出た時期（2014年末）であった。この時は、統計利用が目的外利用になると思い込んでいる経済界の要望に応えようとした経産省が、利用目的の変更をオプトアウトで可能にするという破壊的な改正をゴリ押ししていたところを、元々適法である旨を指摘して瀬戸際で食い止めたのであった*4。この時点ではまだ、EU法でも統計利用が許されていることをわかっておらず、当時の経産省Q45をを拠り所にしていた。

この主張は、2013年のSuica事案（統計目的の提供）を問題視した態度と矛盾しているように見えたかもしれないが、そうではない。Suica事案の問題は、仮名化すれば非個人情報になるという誤った法解釈で進められていたところにあり、そのような解釈が既成事実化してしまえば、仮名化データの転々流通を法的統制なしに許すことになるので、避けなければならなかった。委託方式でなら許されることを当初から示していた*5ように、統計に利用されるという結果が問題なのではなく、提供に係る規制の設計の問題（現行法をどう解釈し直していくか）だった*6。

その後、2015年までに、古い国内文献を読んだことで、そもそも公的部門では（というより昭和63年法から）目的内提供が認められており、統計目的の提供も許されていることに気づき、OECDガイドラインも問題視しているのは目的外だということを知り、日本法は民間部門の第三者提供の規制が部分的に過剰なのだと理解するに至った*7。

2015年から2017年前半にかけては、医学系指針との整合性確保に力を注いでいた。当時は、平成27年改正を経て、「匿名加工情報」の匿名加工が、今で言う仮名化のことではなくEU法における匿名化（GDPRの「anonymous information」相当）のことであるという理解が確立しつつある時期で*8、医学系指針が仮名化の意味で「匿名化」の語を使ってきた歴史的経緯と矛盾をきたしていたので、そこをどう直していくかの活動だった*9。後になって明確にわかったが、このような展開は、日本だけのことではなく、国際的にも同様であり、ISO/IEC 20889:2018のAnnex B「Prior art terminology」を見れば*10、国際的に用語が混乱（あるいは変遷）していた様子がわかる。

2017年後半ごろには、この辺りの混乱が収束しつつあり*11、次なる目標として、医療データの本人同意なき二次利用を許す（実態としては既に行われている*12ものの、適法な慣行として位置付けるための）制度改善の主張を展開するようになり、以下のように進めてきた。このころから、EU法でも統計利用が許されている旨を主張するようになった。

2017年12月4日「研究目的医用画像データベース構築の適法化整理のために」JEDI倫理課題研究WG 第2回大規模医用画像データベース構築に向けた倫理的問題検討会議*13 *14 *15
2020年2月21日「医療仮名データ立法の提案海外動向を踏まえて」自由民主党本部政務調査会データヘルス推進特命委員会国民視点のデータヘルス法制WG*16 *17
2020年12月5日「個人情報保護法制令和3年改正のその先に向けて」情報法制学会第4回研究大会JILIS報告*18 *19
2022年7月22日「仮名加工医療データの統制された非選別利用に向けた立法論」第6回情報法制シンポジウムDay1*20 *21
2022年8月10日「デジタル社会を駆動する「個人データ保護法制」に向けて」GLOCOM六本木会議オンライン#48*22
2022年11月7日「個人データ保護の法目的の観点から導かれる個人データ二次利用の正当性要件について」規制改革推進会議医療・介護・感染症対策WG*23
2022年12月22日「【提言書公表】デジタル社会を駆動する『個人データ保護法制』に向けて」GLOCOM六本木会議*24
2023年7月1日「緊急アピール：どうなる？規制改革の医療データ二次利用～「デジタル社会を駆動する『個人データ』保護法制に向けて」提言フォローアップ」六本木会議オンライン#62*25
2025年1月21日「データ利活用に対する個人情報保護法の支障と解消」デジタル行財政改革会議第2回データ利活用制度・システム検討会*26

これらの脚注に詳細を書いているように、統計目的の本人同意なき二次利用がなぜ許されるのかの私の説明方法は、傍証を積み重ねることによって徐々に強化されてきた。

ところが！今回見つけた欧州評議会の1997年勧告「統計目的で収集・処理される個人データの保護に関する加盟国への閣僚委員会勧告」（の説明覚書）には、脚注で挙げているような論点の全てが既に書かれていたのだ。欧州ではとっくに整理が済んでいる話だったのだ。

欧州評議会1997年勧告が示していること

勧告の説明覚書に書かれている重要な点は、今回のJILISレポートの解説パートに解説を書いたので、それを読んでいただきたいが、ここでは、解説の解説、あるいは別の角度からの解説を加えたい。

まず、この勧告の位置付けは、欧州評議会条約108号「個人データの自動処理に係る個人の保護のための条約」に基づくものであり、EU法（データ保護指令からGDPR）もこの条約に適合することが基礎となっているのであるから、GDPRの統計目的に係る規定も、この勧告に沿っているものと見るべきだろう。

1980年採択*27のこの条約では、統計目的のデータについては、9条3項*28で、開示請求等の権利を国内法で制限できることを規定*29していただけであったが、統計目的の二次利用が目的外利用に当たらないことが1995年のデータ保護指令で明記され、それに歩調を合わせながら1997年のこの勧告で、条約108号においても同様であるとの解釈が示されたものと言える。実際、2018年の「条約108+」では、EU法に合わせてこの点が見直され、統計目的での更なる処理（further processing）が適切な保護措置を前提に元の目的とcompatibleであることが明記（5条4項b）されており、条約とEU法は連動して発展している。

JILISレポートの解説パートでは、「注目すべき点」として、①「個別的決定」の概念、②「決定または措置」利用の禁止、③「二次収集」の規律、④データ対象者の権利制限、⑤「匿名」概念と「個別データ」、⑥「突合」処理への識別データの使用、⑦比例性とデータ品質の原則を挙げて、解説している。

これらの見出しからでも推察されるように、統計目的の二次利用について「決定または措置」利用の禁止を前提に許されることが書かれている。例えば、説明覚書の第14段落、第57段落で、次のように書かれている。

14. 科学研究は、知識の進展を促進する様々な手段の一つとして統計を利用する。実際、科学的知識は、それが適用されるすべての個人を超越する恒常的な原則、行動法則、または因果関係のパターンを確立することにある。したがって、それは集合的現象を特徴づけることを目指すものであり、これこそが統計結果の定義そのものである。このため、研究はその発展の特定の段階において統計的なものとなると言うことができる。

a. ⽣物学および⼈間科学において、研究過程の多くは実験を伴う。この領域では、個別化された介⼊（personalised intervention）が研究の基礎となっており、統計的分析が後の段階で⽤いられる可能性があるとしても、ここで定義される統計の分野には含まれない特定の倫理的・法的規則を必要とする。

b. これに対して、本勧告が対象とする統計は、基礎情報を提供するデータ対象者への干渉（interference）を最小限にするという原則に基づいて機能する。一方で、問題となる情報は統計調査に先立って存在していたものであり、データ対象者の状態、行動、または意見に対する実験的な変更を伴わない。他方で、後者による情報収集の実際の過程を通じて、可能な限り混乱を最小限に抑えるよう、あらゆる努力が払われる。このような統計的枠組みの中で収集されたデータは、研究目的のために使用することができるが、ただし、関係する個人への個別化されたフィードバック（personalised feedback）が一切ないという厳格な条件の下においてのみである。

57.（略）c. 統計目的には、当該研究が個人データの処理操作と分析からなり、特定の母集団における集合的現象を特徴づけることを目的とする場合には、科学研究が含まれる場合がある。しかし、統計目的は、個人に関係する科学研究または個人に関する決定や措置（decisions or measures）につながる可能性のある研究とは完全に両立しない（totally incompatible）（第14段落および第102段落cを参照）。

これらの記述が言わんとしていることは、科学研究は統計を利用するが、一般に、科学研究といえば、被験者への介入（intervention）を伴うものも多いけれども、ここではそういうものを対象とせず、データ対象者への個別化されたフィードバック（personalised feedback）が⼀切ないような科学研究のみが対象となるということである。それに対して、被験者への介入を伴う科学研究には、別途「倫理的・法的規則」を必要とすると書かれており、裏を返せば、介入のない（正確には、個別化されたフィードバックのない、あるいは、決定または措置（decisions or measures）につながらない）研究にはそれは不要であるということを意味している*30。

2023年の規制改革では「不利益決定は問題だが利益決定は禁止する理由がない」とされてしまった（注25）のに対して、このように、欧州評議会勧告では、個別化されたフィードバックが⼀切ないことを条件としており、不利益決定だけでなく利益決定への利用も許さないとされている。説明覚書第10段落にも、「不利益（detriment）または利益（benefit）をもたらす厳密に個別的な決定を下すこと——例えば行政的、医療的、法的、その他の決定」との文があり、不利益決定と利益決定を区別しないことを意識している様子がわかる。やはり言っていた通りなのだ。

2020年の研究大会では「統計利用が正当化されるのは公益性があるからではなくそもそも権利利益を害さないから」ということを主張していた（注19）わけだが、同旨のことが、説明覚書第29段落にズバリ書かれていた。

29. 目的の濫用のリスク：この関連において、統計処理そのものがデータ対象者にとって脅威となるのではなく、それが基づくデータが非統計的目的に流用される可能性があるという事実が脅威となることを指摘しておくべきである。したがって、問題は、他の公益目的での利用の場合にみられるような、統計の利益とデータ対象者の利益との間でバランスを取るといった類のことではない。実際、統計はそれが重要なものかどうかにかかわらずいかなる場合もデータ対象者の利益を侵害しない以上、統計の利益がデータ対象者の利益の侵害を正当化する余地はない。問題となっているのは、識別可能なデータを保有することから生じるリスクである。そのため、職業倫理と本勧告に含まれる原則の双方の観点から、そのリスクの防止が強調されている。

日本でも昔から「保護と利活用のバランス」と言われるが、このように、統計目的の二次利用については、（適切なsafeguardsがあれば）権利利益が害されない（権利利益の保護が損なわれない）ので、保護とのバランスの話ではないわけである。やはり言っていた通りなのだ。

我々の言っていた「統制された非選別利用」（注18）の法的保障は、その「safeguards」に相当するものであり、「それが基づくデータが非統計的目的に流用される可能性」を排除することにある。これが、決定利用禁止であり、その実効性を確保するための転々流通防止である。

「決定」に相当する概念は、欧州評議会勧告では「決定または措置（decisions or measures）」との表記が用いられている。EU法では「measures or decisions」となっていて語順が逆だが、その意図は不明であった。そもそも「decisions」とは別の「measures」の意味は何かが疑問となるが、その明確な答えは書かれていなかった。ドイツ法では「Maßnahmen oder Entscheidungen」（措置または決定）が定型フレーズになっているようなので、そこに起源があるのかもしれないが、確認できていない。いずれにしてもこの区別にはあまり意味がないと思われる。個人毎に異なって与える何かしらの影響（個別化されたフィードバック）の全てが含まれるということだろう。

Jon Bingの「決定指向利益モデル」を理解して以降、決定利用を禁止すれば統計目的の二次利用が許される理由を、そもそもデータ保護法の目的が「決定」の適切性確保にあるからだと説明できるようになった（注20）が、同旨のことが、説明覚書第88、89段落に書かれている。

88. 原則7.1は、条約における保証を喚起している：すべての者は、自己に関する個人データへのアクセスを得ることができ、また、それらのデータが誤りである場合や不正確である場合には、管制者にそれらを訂正させることもできなければならない。この規定の目的は、特に、ファイルに保持され管制者により第三者に開示される可能性のある誤りのあるまたは不正確なデータに基づいて、個人に関する措置または決定（measures or decisions）が講じられないことを確保できるようにすることである。

89. データが専ら統計目的で収集・処理される場合、そのようなリスクは存在しない（第65段落を参照）。さらに、原則3.1の下では、管制者は統計目的で収集されたデータを正当に修正することができ、アクセス権の目的（データの正確性を保つこと）は、この文脈では意味をなさない（第65段落cを参照）。（略）したがって、起草者らは、条約の目的に照らし、ここではアクセス権と訂正権の制限を認めることが望ましいと考えた。（略）

この段落は、開示請求等の権利を制限できるとする理由を述べている箇所であるが、このように、法の目的が「誤りのあるまたは不正確なデータに基づいて、個人に関する措置または決定（measures or decisions）が講じられないことを確保」することにあるから（統計目的では措置または決定をしないので問題とならない）と説明されている。やはり言っていた通りなのだ。

2020年の研究大会で「統制された非選別利用」を提案した際には、「複数組織からの個人データを突合する必要性」に触れ（注18）、2022年のシンポジウムで「IDを残した仮名化」に触れている（注21）が、これに相当することが、勧告の原則4.6と、説明覚書の第28段落と第53段落で、次のように書かれている。

4.6 個人データまたは個人データの集合は、国内法が非統計目的での処理および伝達を防止するための適切な保護措置を提供する場合に限り、統計目的で突合または相互接続することができる。

28. 統計分野において識別データの分離によって大きく達成される匿名化は、保護を確保する主要な手段である。しかし、明らかに、それは常に必要というわけでもなく、また常に十分というわけでもない：
a. それは常に必要というわけではない：特に反復的な調査の文脈において、データを最初から、あるいはより長期的にも匿名化しない場合があり得る。しかし、これはデータへの違法なアクセスを防止するための追加的な予防措置によって相殺される。
b. それは常に十分というわけではない：理論的に匿名のデータが再識別される残余リスクが存在する場合がある。

53.（略）a. 一部の国では、識別は、公共サービスで使用される公式に割り当てられた識別番号（個人識別番号、第24段落を参照）によって行われることもある。そのような番号がデータ対象者を直接的に識別することを許さない限りは、それらは本勧告の意味における識別データではない。

このように、統計目的での突合（matching）が許容されている。その理由は、続く第29段落（前掲）に「この関連において、統計処理そのものがデータ対象者にとって脅威となるのではなく……」と書かれているわけである。やはり言っていた通りなのだ。

第53段落に「一部の国では……」とあるのは、ノルウェーなどのことのようで、国民識別番号を用いて突合することもあり得るとされている。日本でいえば、マイナンバー、住民票コード、基礎年金番号、被保険者番号それ自体を用いるか、あるいはそれを変換した符号を用いて、突合を行うことが考えられる。

日本では、1970年代初頭の国民総背番号制反対運動からずーっと、突合自体が悪とされ、人物像を生成することが侵害であるかのように言われてきたが、そうではなく、関連性のないデータを含めた突合によって評価されて決定に用いられることが問題なのであり、決定に用いない限りは個人の権利利益は害されないのである。技術的に突合できなくする（識別子を別々にする）ことは、原則違反となる決定の目的で突合されることを未然に防ぐ効果があるわけだが、それは権利利益保護のための手段であって、目的ではないのである*31。

勧告の原則4.6が言う「非統計目的での処理および伝達を防止するための適切な保護措置」は、転々流通を防止する規制に加え、こうした変換符号による工夫を含むだろう。変換符号を用いた突合は日本でも既にNDBにおいて行われてきたが、これが許されるのは「氏名がないから個人情報でないので」ではなく、「個人データであるが統計目的であるから許される」と整理するべきである*32。それは「非統計目的での処理および伝達を防止するための適切な保護措置」のために、法の規制対象とする必要があるからである。GDPRが仮名化しても依然として個人データであると位置付けているのはこのためである。

「仮名化しても個人データであるとしつつ利用できるように制度を調整していく必要がある」（注13）という認識は、この勧告にも見られる。この話は、JILISレポートの解説パート「「匿名」概念と「個別データ」」に詳しく書いたので、それを読んでほしいが、ここでは、かいつまんで再解説しておく。

この1997年勧告の時点では、まだ「仮名化」の言葉が登場しておらず、現在で言う「仮名化」データも「匿名情報」も合わせて「匿名」概念で言い表されていた。それゆえに「真に匿名」との表現も出てきて、これが現在の「匿名情報」に相当する。その上で第27段落、第53段落で、以下のように記載されている。

27.（略）c. 匿名のもの（anonymous）に見える個別データ（individual data）（識別データを伴わないもの）が、それにもかかわらず場合によっては間接的に識別可能となることがある。これは、少なくとも一部のデータ対象者について、属性を示すデータ（年齢、性別、職業、居住地、家族状況など）を組み合わせることにより、実際に当該者の身元を発見することが可能となることを意味する。これが可能性として存在する場合、データは真に匿名（genuinely anonymous）とはみなされず、したがって保護されなければならない。

これは今日で言う、仮名化しても個人データである仮名化データのことを指している。「保護されなければならない」と指摘されている。やはり言っていた通りなのだ。

53.（略）b. 起草者らは、本勧告の文言において「匿名化」（anonymisation）という用語の使用を避けた。しかし、彼らは、勧告の適用の観点から説明覚書で明確にする価値があると考えた。匿名化は、個別データ（individual data）を様々なデータ対象者に氏名によって帰属させることがもはやないように識別データを消去することからなる（第21段落および第28段落を参照）。識別データの撤去は、場合によっては再識別（re-identification）に対する完全な保護を提供しない：開示のリスクを厳密にゼロリスクに常にできるわけではない。「許容可能なリスク」の定義の試みはさておき、匿名化の有効性は多分に相対的である（問題となる情報の性質、セキュリティ条件、匿名化の日付、処理の段階など）。

これも今日で言う仮名化のことを話しているが、「「許容可能なリスク」の定義の試みはさておき」とあるのは、平成27年改正の検討時に議論された「十分な匿名化」のような話であろう。定義のしようがないものであることが既に仄めかされている*33。このように、平成27年改正の検討時に議論されたようなことは、欧州では既に1997年に勧告にまとめられていたわけだ。

ここで、「個別データ（individual data）」という用語が使われているところに要注目である。この用語について、説明覚書の注20が以下のように述べている。

20) 勧告の起草者らは、「個別データ」（individual data）の概念が個人データと匿名データを包含し、すなわち識別された、識別可能な、またはそうでないかを問わず、特定の個人に関するあらゆる情報を対象とすることを考えた。しかし、本勧告は「個別データ」という用語を使用しておらず、したがってその定義も含まれていない。

この説明からすると、「個別データ」（individual data）は、個人データを仮名化した仮名化データのことだけでなく、初めから仮名データであるようなものを含むもの、すなわち、現在の日本法で言うところの「個人データ及び個人関連情報（個人関連情報データベース等を構成するものに限る）」に相当するもの、言い換えれば「個人に関する情報（個人に関する情報データベース等を構成するものに限る）」に相当するもの、のようである。私もそこまで対象を広げるべきと主張したこともあった*34が、この勧告では、起草者らはそう考えたものの合意に達しなかったのか、勧告本文でこの言葉は使用されていないと注記されている。

「個別データ」（individual data）は、「保護されなければならない」とは指摘されているものの、「personal data」に該当するのかについて言及がない。これはおそらく、当時の議論として、「personal data」の解釈をそこまで含めるべきだとの見解がある一方、反対する見解もある中で、統計目的の処理の過程における匿名化（当時の意味での）されたデータを（真の匿名化ではないので）何と呼ぶかが焦点となり、「個別データ」（individual data）という用語が提案されたものの、広くは受け入れられなかったのであろう。

仮名化（pseudonymisation）という用語は、この後に発展したもののようで、2016年7月23日の日記「ノルウェー法の「de-identified personal data」と「anonymous data」そして「pseudonymous data」並びに「indirectly identifiable data」を調べた（パーソナルデータ保護法制の行方その25）」に書いていたように、遅くとも2001年のノルウェーの医療分野の法律で「pseudonymous health data」の語が使われていた*35。そしてドイツの連邦データ保護法（BDSG）に「pseudonymisieren」の定義語が入ったのは2003年改正であった。

この辺りの変遷の経緯に興味深い記録がありそうだが、未調査であり、今後調べたい。

以上のように、Suica事案発覚から足掛け12年て私が到達した理解は、1997年までに欧州で整理済みだったのだ。私がこれだけアピールしていても誰も「これに書いてあるよ」と言ってくれなかったわけで、誰も見ていなかったのだろう。なんということだ。もっと早く気づいていれば……*36

まだ残りの話があるので、続ける。

次に、JILISレポートの解説パートでは取り上げなかったが、機微データ（sensitive data）（EU法で言う「特別カテゴリ」、日本法で言う「要配慮個人情報」）について、追加の検討を少し。

1997年の欧州評議会のこの勧告は、機微データについて、一次収集については、必要性を要求し、「目的をより慎重に特定する」とか、国内法で「より厳格な保護措置を規定しなければならない」といった記載があるものの、機微データの統計目的の二次利用の可否について、語っていない。その点、1995年のデータ保護指令では、特別カテゴリのデータの処理（Article 8: The processing of special categories of data）について、ホワイトリストに列挙された場合の他は処理を禁止するよう加盟国に求めているが、統計目的や科学研究の目的がリストに挙げられていなかった。1997年の欧州評議会勧告がこの点で歯切れが悪いのはそのせいかもしれない。これが、後の、GDPRの規定（Article 9: Processing of special categories of personal data）では、9条2項(j)で明示的に認めるようになっている。この辺りの経緯も調べると興味深いことが判明しそうだが、未調査である。

さしあたり、GDPRの9条2項(j)について、一般個人データとどう違うのかを、Claude 3.7 Sonnetに尋ねてみたところ、「通常のデータより同意の基準が厳格で、統計目的での利用であっても明示的同意が必要なケースがあります」などとテキトーなことを答えてきたので、加盟国の国内法で同意を要求している国があるかを調べさせたところ、「検索結果からは、特別カテゴリデータの統計目的利用において明示的に同意を求めることを必須としている加盟国の具体例は明確に特定できませんでした。」という返事だった。この辺りはちゃんと確認しておきたいところ。

「一般的決定」と「個別的決定」

そして最後に、最も重要で難解な、JILISレポートで最初に取り上げている「「個別的決定」の概念」である。

2020年の国民視点のデータヘルス法制WG（注16）で一次利用と二次利用が混同されてしまったように、また、2022年の規制改革で「決定利用が禁止されてしまえば統計により知見を得ても使うことができないのでは？」（注23）との疑念を持たれてしまったように、決定利用の禁止が何を禁止する話なのかの理解が、なかなか伝わらない。2023年7月1日の六本木会議オンライン「緊急アピール」（注25）では、「二次利用がいつの間にか一次利用にされてしまう」的な説明をしているが、それで腹落ちできた視聴者は少なかったのではないか。

欧州評議会の1997年勧告は、説明覚書で、「一般的決定」と「個別的決定」の語を用いて、この区別の重要性を真っ先に説明している。やはり、30年前の当時も、ここの混同が理解の障壁となっていたのであろう。説明覚書の説明もあまり上手ではなく、わかっている人が読まないと理解できないと思われる。それゆえに、JILISレポートで解説を加える必要があると考えたのだ。

説明覚書は、まず、統計結果がどのように利用されるかについて、「計画立案と意思決定の支援の目的」で利用されるとしながら、そこでいう「決定」には、⼀般的決定（general decisions）と個別的決定（individual decisions）があると区分し、「統計⽬的で収集・処理された個⼈データは、前者の種類の決定にのみ使⽤することができる。」と指摘している（第13段落）。

「一般的決定」は、説明覚書第13段落で「法律、評価の尺度、予防接種キャンペーン、輸送の組織、設計図の作成、生産開始など」と例示され、「個別的決定」は「許可または除外、課税、給付、報酬など」と例示されている。これだけを見ると、個人に対する決定ではないものを「一般的決定」と呼んでいるようにも見える（そういう分類方法はあり得る話でこの用語で相応しいように思える）。しかし、段落のその直後に、「このような一般的決定は、確かに特定の者に対して（有利または不利な）特別な影響を及ぼすことがある。」とも書かれているので、影響があるからにはそれは個人に対する決定である。例えば、小中学生の何らかの個人データの統計分析の結果から得られた知見に基づいて、地域毎の小中学校の給食費に差を付けたとしよう。これは「一般的決定」であるが、当該小中学校に通う児童に影響を及ぼすのであるから、当該個人に対する措置または決定に当たる。したがって、「一般的決定」には、個人に対する決定でない決定と、個人に対する決定の両方が含まれるということだろう。

もう一方の「個別的決定」は、常に個人に対する決定であるが、「一般的決定」との違いは、その統計の入力に与えた個人データに統計結果を当てはめて当該個人データの本人に対する決定を行うものという点にある。つまり、反対に「一般的決定」では、それを行わないということである。統計結果の利用は何かしらのデータへの当てはめを伴うので、どのデータに当てはめるかの違いということになる。このことを、説明覚書の先ほどの段落の続きは、以下のように説明している。

13. 計画立案と意思決定の支援は、二種類の決定を下す責任を負う公務員にとって関連のある目的である：一般的決定（general decisions）（法律、評価の尺度、予防接種キャンペーン、輸送の組織、設計図の作成、生産開始など）と個別的決定（individual decisions）（許可または除外、課税、給付、報酬など）である。統計目的で収集・処理された個人データは、前者の種類の決定にのみ使用することができる。このような一般的決定は、確かに特定の者に対して（有利または不利な）特別な影響を及ぼすことがある。しかし、統計的な集合の中に溶け込むこととなる個人情報を提供した事実と、個別的決定による影響を受ける事実との間には、いかなる関連もあってはならない。このような関連を防ぐため、規範的規則は、しばしば統計データを扱うサービスと個別の決定を行うファイルを扱うサービスとの間の組織的分離によって補完される（職務の機能的分離の原則）。

私のJILISレポートの解説では、模式図を作成して、以下のように説明してみた。

図1: 一般的決定と個別的決定

「個別的決定」の概念

説明覚書は、まず、序論「A.問題点」第3段落で、「当該データが収集⽬的から逸脱して使⽤され、個⼈に関する⽬的（purposes relating to individuals）のために使⽤されるリスクがある。これは例えば、統計が⾏政や警察と接触する場合に、統計⽬的で収集されたこれらのデータを個別の判断や決定（individual judgements and decisions）に使⽤したくなる可能性がある場合などである。」との懸念を提示し、「B.統計の特徴」第10段落で、「個⼈データの個別的利⽤（individual use）と集合的利⽤（collective use）との間に基本的な区別を設ける必要がある。」と指摘している。

「個別的利⽤」は、「個別化された⽬的を持ち、特定の⼈についての具体的な情報を得ること、あるいはその⼈に不利益（detriment）または利益（benefit）をもたらす厳密に個別的な決定を下すこと̶̶例えば⾏政的、医療的、法的、その他の決定̶̶を⽬的とする。」と説明されており、不利益決定に限らず利益決定も含められている。

その上で、統計結果がどのように利用されるかを整理して、「計画立案と意思決定の支援の目的」で利用されるが、そこでいう「決定」には、⼀般的決定（general decisions）と個別的決定（individual decisions）があるとして、「統計⽬的で収集・処理された個⼈データは、前者の種類の決定にのみ使⽤することができる。」と指摘している（第13段落）。

ここで、「一般的決定」と「個別的決定」の違いを解説すると、両者の違いは、統計の入力に用いられた個人データに対する当てはめが行われるか否かである（図1）。一般的決定は、統計に基づいて個々人を異なって扱うことを伴う場合（例えば、統計で得られた医学的知見に基づく治療の実施）と、伴わない場合（例えば、人口統計に基づく予算額の決定）があるところ、前者の場合において、その決定に際して、統計結果を当てはめる参照先の個人データが、新たに収集されるものであるか、または、その統計の入力に用いられた個人データとは別の既存の個人データである場合を指しており、他方の個別的決定は、統計の入力に用いられた個人データを参照して統計結果を当てはめる場合を指している。

説明覚書の第13段落は、このような理解を前提に、「一般的決定は、確かに特定の者に対して（有利または不利な）特別な影響を及ぼすことがある。しかし、統計的な集合の中に溶け込むこととなる個人情報を提供した事実と、個別的決定による影響を受ける事実との間には、いかなる関連もあってはならない。」と指摘して、一般的決定に使用することは許され得るが⁸、個別的決定に使用することは許されない旨を主張している⁹。

2023年の規制改革の際にも、模式図で説明しようとしていたが、医療データの二次利用という具体的なケースで説明していたので、煩雑になりすぎてうまくいかなかった。それが、このように、欧州評議会の勧告が「一般的決定」と「個別的決定」という普遍化した説明用語を与えてくれたので、説明しやすくなった。どうだろう、これでおわかりいただけるだろうか？

ここで、注8と9（JILISレポートの脚注）に着目してほしい。まず、注8だが、

8 その決定が適切なものかは、また別の問題であり、使用するデータ項目が決定の目的に対して関連するもの（relevant）であるかが問われるが、この勧告ではその観点は検討外となっている。

と書いたように、「一般的決定」であっても、個人データに当てはめて決定する場合には、それが常に許されるわけではなく、改めてデータ保護法の基本原則に従う必要がある。特に関連（relevant）性の要求を満たさなければならない。

先ほどの小中学校の給食費の例で言えば、児童らの地域別の成績を統計量に集計して、平均成績の低い地域の小中学校について給食費を半額にしたとしたら、これは「一般的決定」であるけれども、給食費の決定という「決定」の目的に対して「平均成績の低い地域の学校に通学している」というデータ項目は「関連性」があるのか？が問われる。

続く、注9は、

9 佐久間淳『データ解析におけるプライバシー保護』（講談社、2016）90頁に書かれている「保険料の値上げ」の例題は、ここでいう一般的決定の統計利用を説明したものとして理解できる。

と書いたように、佐久間先生の2016年のご著書を参照している。この本は平成27年改正直後に出版されたもので、平成27年改正に際しての議論を通じての佐久間先生なりの到達点を示されたものだろう。同書の90、91頁には、以下のことが書かれている。

問題7.1 （論文出版）

Xさんは遺伝的特徴Aをもち、かつ肺がんを患しているとしましょう。このような論文の出版はXさんのプライバシーを侵書したといえるでしょうか？

Xさんは疫学者に、「私は遺伝的特徴Aをもち、かつ肺がんである」という情報を提供し、結果として「遺伝的特徴Aと肺がんの発症は有意に関係する」という統計的検定の結果が一般公開されました。一般公開された情報はXさんの提供情報とよく適合しており、Xさんの秘密の情報が公開されてしまったように感じられます。しかし「遺伝的特徴Aと肺がんの発症は有意に関係する」という情報は、Xさんが疫学者に情報を提供しようとしなかろうと、（ほとんど同じ確率で）公開されたはずの情報ですから、プライバシーの侵害とは判断しません。次に以下の問題を考えます。

問題7.2 （保険料の値上げ）

Xさんは、遺伝的特徴Aをもち、かつ肺がんは罹患していませんが、遺伝的特徴Aをもつことを自分が加入している民間の医療保険会社に伝えていたとしましょう。その医療保険会社はこの論文の結果を受け、遺伝的特徴Aをもつ被保険者の保険料を値上げしました。このような保険料の値上げは、Xさんのプライバシーを侵害したといえるでしょうか？

Xさんは疫学者に「私は遺伝的特徴Aをもつ」という情報を提供しました。医療保険会社は論文から「遺伝的特徴Aの有無と肺がんの発症は有意に関係する」という情報を得て、この遺伝的特徴をもつ者の医療保険料を値上げしたとします。Xさんの立場からすれば、自身がデータを提供した論文によって保険料が値上がりしたわけですから、直接的な不利益を被ったといえるでしょう。しかし、それでもやはり、プライバシー侵害が起こったとは考えません。そのような値上がりは、Xさんが疫学者に自分の情報を提供しようとしなかろうと、（ほとんど同じ確率で）起こったはずだからです^*2。

佐久間淳『データ解析におけるプライバシー保護』（講談社、2016）90頁

「問題7.1」で設定されている状況「Xさんは疫学者に、「私は遺伝的特徴Aをもち、かつ肺がんである」という情報を提供し、結果として「遺伝的特徴Aと肺がんの発症は有意に関係する」という統計的検定の結果が一般公開されました。」は、疫学者への提供についてXさんの同意がある想定なのかもしれないが、ここでは、同意なく二次利用していると想定しよう。それでも、Xさんの参加があろうがなかろうが「ほとんど同じ確率で」結果が起きているので、Xさんの権利利益侵害はない。

続く「問題7.2」は、その一般公開された結果が、Xさんの保険料の算定に使われており、Xさんの「遺伝的特徴A」という、Xさんの個人データのデータ項目に統計結果の当てはめが行われている。その統計結果は、Xさんの個人データを含めて計算されたものであるが、当てはめは保険会社という別のシチュエーションで行われているので、これは先の図1の「一般的決定」であって「個別的決定」ではない場合の例である。

この場合も、疫学者への提供にXさんの参加があろうがなかろうが「ほとんど同じ確率で」結果が起きているので、疫学者への提供についてXさんの権利利益侵害はないということになる。

このことが、1997年勧告の説明覚書では、先ほどの「統計的な集合の中に溶け込むこととなる個人情報を提供した事実」と説明されているのである。一般的決定には「統計的な集合の中に溶け込む」形で影響するが、溶け込んでいるので元のデータは結果に影響をほとんど与えていない*37。それに対して、個別的決定にはダイレクトに参照されるので、「個別的決定による影響を受ける事実との間には、いかなる関連もあってはならない」とされるのである。

このように、佐久間本のこの例題は、まさしく、1997年勧告の「一般的決定」の概念を説明したものになっていた。

なお、佐久間本の91頁「*2」の注を見ると、以下の補足がある。

*2 倫理的な観点からは、遺伝的特徴によって保険料を変化させてよいかどうかは慎重な議論が必要な問題です。米国には健康保険や雇用において、遺伝情報に基づく差別的な扱いを禁止する遺伝情報差別法があります、ここでは、プライバシー保護の問題と差別の問題は別の問題であると考えています。プライバシーの侵害は起こっていなくても。差別的扱いが見られることはありえます。

佐久間淳『データ解析におけるプライバシー保護』（講談社、2016）91頁

この補足は、先ほどの私のJILISレポートの注8と同じポイントを突いている。一般的決定であっても、改めてデータ保護法の基本原則に従う必要があるのである。保険料の算定という決定の目的に対して遺伝的特徴というデータ項目の「関連性」が問われるわけである。

佐久間先生は、ここで、差別の問題はプライバシー保護の問題とは別の問題と捉えているが、このような意味での「差別」の問題（決定の公平性の確保）は、データ保護法（個人情報保護法）が保護しようとする核心的保護利益の本丸なのであり*38、日本ではそのことが理解されていないわけである。もっとも、「データ保護法＝プライバシー保護法」ではないという意味で「プライバシー保護の問題とは別の問題である」というのは真である。しかし、欧州評議会条約108号では、GDPRとは異なって、まだ「privacy」の語を使っていた時期に制定されたものであるため、今回の勧告の説明覚書が述べているように、個別的決定に用いない保護措置があれば、条約9条3項が言う「データ対象者のプライバシーの侵害のリスクが明らかに存在しない場合」に当たるという説明がなされている。もっともそこは、「プライバシー」の語をどう用いるか次第の話である*39。

佐久間先生のこの例題がこの論点をズバリ説明していることに気づいたのは、2022年末だった。翌年のCSS福岡の懇親会の席で「いやーわかりましたよー！」と佐久間先生に話しかけたのを覚えている。やっとこのように紹介することができた。

さて、このような非常に大掛かりな概念の理解が、はたしてどれだけの人に伝わるだろうか。どれだけ説明してもわかってもらえないような気がして悲しくなってくる。

大規模言語モデルはわかるだろうか。Claude 3.7 Sonnetに、勧告の説明覚書の原文と、私のJILISレポートの解説パートだけを与えて、質問してみたのが以下である。

私：プロジェクトナレッジの文書を邦訳し解説するJILISレポートを作成しました。添付するのはその解説パートの抜粋です。この解説ぶりで読者に意味が伝わりそうでしょうか。

Claude：お送りいただいたJILISレポートの抜粋を拝見しました。この解説は非常に明確で効果的であると思います。特に以下の点が優れていると感じました：

導入部分の文脈設定: 欧州評議会の勧告の背景と、なぜ2025年の日本の議論に関連するのかを明確に説明しています。特に個人情報保護委員会の現在の検討状況との関連付けが読者にとって価値があります。
重要概念の明確な解説: 「個別的決定」と「一般的決定」の違いを図解入りで説明している点が非常に分かりやすいです。抽象的な概念を具体的に理解できるようになっています。
引用と解説のバランス: 原文からの引用と、その意義についての解説がバランス良く配置されており、読者は原文の内容とその現代的解釈の両方を理解できます。
批判的検討: 単に勧告を紹介するだけでなく、「比例性とデータ品質の原則」の部分では批判的な視点も提供しており、学術的な深みを与えています。
現在の議論への応用: 「突合処理への識別データの使用」などのセクションでは、勧告の考え方が現在の日本の法的議論にどう適用できるかを具体的に示しています。

レポート全体として、各セクションが明確に区分され、重要なポイントが強調されており、読者が段階的に理解を深められる構成になっています。専門的な内容ですが、可能な限り明確に説明されており、データ保護法制の専門家だけでなく、この分野に関心を持つ実務家にも有益な情報を提供していると思います。

読者にとって特に有用なのは、この勧告が強調する「統計目的の場合には個人の権利利益への影響が少ない」という考え方と、その理由の解説部分です。これは現在の日本の議論において重要な視点を提供しています。

私：図1が特に重要だと考えているのですが、この図が何を意味し、何のためにこの区別が重要であるかの本文中の説明は、読者に伝わりそうでしょうか。

Claude：図1「一般的決定と個別的決定」の説明について、基本的に読者に伝わる内容になっていると思いますが、いくつか改善の余地があるように感じました。

現在の説明は、「一般的決定」と「個別的決定」の違いが「統計の入力に用いられた個人データに対する当てはめが行われるか否か」という核心を捉えています。また図で示されている矢印の流れや、○×マークの意味も本文から類推できます。

しかし、この区別がなぜ重要なのかについては、もう少し明確に強調すると良いかもしれません。具体的には：

この区別が個人の権利利益保護の観点から決定的に重要である点をより明確にする
- 個別的決定の場合、統計のために提供した自分のデータが自分自身への決定に使われることになり、それが権利利益侵害リスクの核心である
- 一般的決定の場合は、統計入力元の人とは別の人に統計結果を適用するため、入力元の人の権利利益には影響しない
現在の日本の議論との関連性をより具体的に示す
- 本人同意なき第三者提供が許される「統計作成」が、なぜ権利利益への影響が少ないと評価されるのかの理論的根拠として、この区別が決定的に重要である点
図の視覚的要素（矢印、○×マーク）が具体的に何を表しているのかを簡潔に説明する一文があると、図の理解がより深まるでしょう

この区別の重要性は本文全体を通じて繰り返し示されていますが、図1の解説部分でより端的に「この区別こそが統計目的の個人データ利用において本人同意が不要とされる根拠となる」という点を強調すると、読者にとって一層明確になると思います。

私：一般的決定の場合に問題とならないのはなぜと理解できますか。

Claude：一般的決定の場合に問題とならない理由は、資料から次のように理解できます：

一般的決定の核心的特徴は、統計のために個人データを提供した人（データ対象者）と、その統計結果を適用される人が別々であるという点です。このため、以下の理由で問題が生じません：

利益侵害の連鎖の切断：説明覚書の第13段落で明確に述べられているように、「統計的な集合の中に溶け込むこととなる個人情報を提供した事実と、個別的決定による影響を受ける事実との間には、いかなる関連もあってはならない」とされています。つまり、データを提供した人が、その提供したデータに基づく決定によって影響を受けることがないため、プライバシー侵害のリスクが遮断されています。
目的の適切な分離：統計処理の結果を一般的な知見として活用することは、データが本来収集された統計目的と両立します。これは統計が本来、集団現象を特徴づけるためのものであるという基本的性質に合致します。
社会的有用性とリスクのバランス：統計結果を新たに収集されたデータや別の既存データに適用することは、社会的に有用な知見の活用であり、元のデータ提供者にはリスクをもたらさないため、比例性の原則に照らしても許容されます。
個人の自律性の保護：データ対象者自身に対して統計結果が当てはめられない限り、そのデータ対象者の自己情報コントロール権や自律性は侵害されません。

これらの理由から、一般的決定では、統計目的で収集されたデータが「非統計目的に流用される可能性」という脅威（第29段落）が存在せず、したがって本人同意なき第三者提供が許容され得るのです。この区別は、データ保護法制における統計目的の特別な扱いの理論的根拠として極めて重要です。

私：しかし、一般的決定であっても個人に当てはめて決定する場合はあるわけです。そこの決定を問題視しないのはなぜなのかです。

Claude：一般的決定における個人への当てはめを問題視しない理由は、資料から以下のように理解できます：

統計目的のデータ保護の文脈で真に重要なのは、「データを提供した本人」と「統計結果が適用される人」の関係性です。一般的決定では、この二者が異なるという点が決定的です。

説明覚書の第13段落は核心を突いています：「一般的決定は、確かに特定の者に対して（有利または不利な）特別な影響を及ぼすことがある。しかし、統計的な集合の中に溶け込むこととなる個人情報を提供した事実と、個別的決定による影響を受ける事実との間には、いかなる関連もあってはならない。」

つまり：

権利利益保護の対象の明確化：個人データ保護法制が保護するのは「データを提供した本人の権利利益」です。その人自身に対して決定が適用されない限り、保護法益への侵害は生じないという考え方です。
リスクの所在の特定：第29段落で明確に示されているように、「統計処理そのものがデータ対象者にとって脅威となるのではなく、それが基づくデータが非統計的目的に流用される可能性があるという事実が脅威となる」のです。
規制領域の区分：一般的決定において統計結果を新たな個人に適用する際の決定の適切さは、注8にあるように「その決定が適切なものかは、また別の問題であり...この勧告ではその観点は検討外となっている」と明記されています。これは医療倫理や消費者保護など別の規制領域の問題とされています。

この考え方の重要性は、データの流通・活用を過度に制限せずに、真に保護すべき権利利益（データ提供者自身への影響）に焦点を当てた効率的な規制を可能にする点にあります。統計結果の「社会的活用」と「個人の権利保護」のバランスを図る上で、この区別は極めて重要な理論的基盤を提供しています。

私：答えて欲しかったのは3の点でした。「別の規制領域の問題」とのことですが、JILISレポートでは「使用するデータ項目が決定の目的に対して関連するもの（relevant）であるかが問われる」（注8）としているように、それもデータ保護法の範疇です。そのことはこの勧告には書かれていません（なぜなら統計の話だけが対象だから）。注18、19の文献に書かれています。

Claude：ご指摘ありがとうございます。おっしゃる通り、私の説明は不正確でした。

JILISレポートの注8が示す重要なポイントを見落としていました。一般的決定における個人への当てはめの適切さの問題は、「別の規制領域」ではなく、まさにデータ保護法の範疇であり、具体的には「データ品質の原則」に関わる問題です。

この点について正確に説明すると：

一般的決定においては、統計結果を別の個人に当てはめる際に、「使用するデータ項目が決定の目的に対して関連するもの（relevant）であるか」という「関連性」の要件が問われます。
これはデータ保護法における「データ品質の原則」の一部であり、注18、19で参照されている文献が詳述しているように、個人データに基づく評価・決定が適切なものとなるための要件です。
しかし、この勧告自体はこの観点を検討対象外としています。なぜなら、勧告は統計目的の処理自体に焦点を当てており、統計結果の後の利用については扱っていないからです。

この区別の重要性は、統計目的の処理それ自体は個人の権利利益を侵害しないという前提に立ちつつも、その統計結果の後の利用については、なお「関連性」などのデータ品質要件が適用されるべきであるという点にあります。このように、データ保護法の範疇内で、処理の段階によって適用される原則が異なることを理解することが重要です。

私：それで先ほどの話ですが、「二者が異なる」とのことですが、統計のためにデータを提供した人と、一般的決定によって統計的知見を当てはめられる人が同一である場合も存在し得ますが、その点はどうですか。

Claude：おっしゃる通り、非常に重要なポイントです。統計のためにデータを提供した人と、一般的決定によって統計的知見を当てはめられる人が同一である場合も実際には存在し得ます。

この点について JILISレポートでは明示的に扱われていませんが、勧告の考え方から解釈すると：

決定的な区別点: 重要なのは、その人の「特定の個人データ」と「それに基づく決定」の間の直接的な連鎖があるかどうかです。説明覚書の第13段落の「統計的な集合の中に溶け込むこととなる個人情報を提供した事実と、個別的決定による影響を受ける事実との間には、いかなる関連もあってはならない」という記述がこれを示唆しています。
データの参照プロセス: 個別的決定では、その人自身の提供したデータを参照して統計結果を当てはめますが、一般的決定では、たとえその人が統計データを提供した人であっても、その事実とは無関係に、新たに収集された別のデータや別の既存データに統計結果を適用します。
個人識別子の扱い: 個別的決定では、個人識別子によって、入力データと決定対象を直接リンクさせますが、一般的決定ではそのようなリンクはありません。

つまり、同一人物が統計データの提供者であり、後に統計結果の適用対象者になる場合でも、この2つの事象が直接リンクしていない限り、「一般的決定」と見なされます。データが「統計的集合の中に溶け込む」というプロセスを経ることで、個人との直接的な連鎖が切断されるという考え方です。

これは結局、データ保護法の真の保護対象は「個人データの流用による直接的な権利利益侵害」であり、統計という「集合化」のプロセスを経ることでその直接的連鎖が切断されるという考え方に基づいています。

（佐久間本の90、91頁の写真を添付して）
私：注9にある「佐久間淳『データ解析におけるプライバシー保護』（講談社、2016）90頁」はこれです。参考になりますか。

Claude：この資料は非常に参考になります。佐久間淳氏の「データ解析におけるプライバシー保護」からの抜粋で、まさに私たちが議論している「一般的決定」の具体例と、その理論的根拠を示しています。

特に重要なのは問題7.2（保険料の値上げ）の事例です：

これは典型的な「一般的決定」の例で、統計的知見（「遺伝的特徴Aと肺がんの発症は有意に関係する」）を別の個人（保険加入者）に適用するケースです。
興味深いのは、Xさん自身がデータを提供し、そのデータを含む統計分析の結果が保険料値上げに使われ、Xさん自身が影響を受けるという状況です。つまり「データ提供者」と「統計結果の適用対象者」が同一人物の場合です。
本文で「Xさんの立場からすれば、自身がデータを提供した論文によって保険料が値上がりしただけですから、直接的な不利益を被ったといえるでしょう。しかし、それでもやはり、プライバシー侵害が起こったとは考えません」と明確に述べられています。

この事例は先ほどの質問に対する直接的な回答を提供しています：たとえデータ提供者と統計結果の適用対象者が同一人物であっても、「統計的集合の中に溶け込む」というプロセスを経ることで、個人データとそれに基づく決定の間の直接的連鎖が切断され、「一般的決定」と見なされます。そして、そのような場合はプライバシー侵害とは判断されないという考え方です。

この資料は、JILISレポートの図1で示された「一般的決定」と「個別的決定」の区別の重要性と、その実際的な意味を具体例で明確に示しており、大変価値のある参考資料です。

私：「直接的な不利益を被ったといえるでしょう。しかし、それでもやはり、プライバシー侵害が起こったとは考えません」に続く文は見えませんか？

Claude：申し訳ありません。画像をよく見ると、確かに「プライバシー侵害が起こったとは考えません」に続く文が存在していますが、完全には見えていません。

見える範囲では「そのような値上がりは、Xさんが疫学者に自分の情報を提供し」と続いていますが、その後の部分は画像が切れているため読み取れません。

この続きの文脈は、なぜプライバシー侵害と考えないのかの理由付けを説明している可能性が高く、議論の核心部分だと思われます。おそらく「一般的決定」と判断する理論的根拠がより詳細に説明されていると思われますので、もし可能であれば、その続きの部分も確認できると理解がより深まると思います。

私：右上に続いているのですがl、見えませんかね。

Claude：失礼しました。右上に続きがあることに気づきませんでした。

右上には以下のテキストが続いています：

うとしなかろうと、（ほとんど同じ確率で）起こったはずだからです*2。

プライバシーが侵害されたかどうかは主観的な側面も含み、判断の難しい問題ですが、ここでは両者ともにプライバシーの侵害は起こっていないものと考えられます。

これは非常に重要な説明です。「一般的決定」がプライバシー侵害と見なされない理由が明確に述べられています：

統計結果に基づく決定（この場合は保険料値上げ）は、Xさん個人が情報を提供したかどうかにかかわらず、「ほとんど同じ確率で起こったはず」だからだというのです。

これは、個人の提供データと決定の間の因果関係や直接的連鎖が存在しないことを意味します。統計的集合の中で個人データが希釈され、特定個人の影響力が失われるという統計処理の本質的特徴を示しています。

この説明は、JILISレポートの図1とその説明の理論的根拠をさらに明確にするものであり、統計目的の処理が個人の権利利益を侵害しないという考え方の核心を捉えています。

私：「*2」の注は見えますか。

Claude：はい、「 *2」の注釈が画像の右ページ下部に見えます：

*2 倫理的観点からは、遺伝情報によって保険料を変更することができるかどうかは議論を要するでしょう。米国には遺伝情報差別禁止法において、遺伝情報に基づく差別を禁止する遺伝情報差別禁止法があります。ここでは、プライバシー侵害の問題と差別の問題は別の問題であると考えています。プライバシーの侵害は起こっていなくても、差別的な扱いが見られることはあります。

この注釈は非常に重要で、「一般的決定」がプライバシー侵害に当たらないとしても、それが別の法的・倫理的問題を引き起こす可能性があることを指摘しています。特に：

プライバシー法制と差別禁止法制は別の法的枠組みである
統計的処理自体はプライバシー侵害に当たらなくても、その結果の使用は別の法規制の対象となり得る
データ保護法の範囲と限界を示している

この注釈は、JILISレポートの注8で言及されている「その決定が適切なものかは、また別の問題」という点を補強するものであり、データ保護法の保護対象の境界を理解する上で貴重な視点を提供しています。

私：決定の目的に対してrelevantでないデータによる決定が差別であり、そのような差別の排除がデータ保護法の主目的なのですけどね。

Claude：ご指摘いただきありがとうございます。それは非常に重要な点です。

おっしゃる通り、データ保護法の主目的の一つは、決定の目的に対して関連性のない（not relevant）データに基づく決定から個人を保護することであり、そのような関連性を欠いた決定が実質的に「差別」を構成するという理解は極めて重要です。

JILISレポートでも注18、19で参照されている文献で論じられている「データ品質の原則」はまさにこの点に関わっています。ETS 108条約の第5条や、その後のGDPRにおける「十分で（adequate）、関連性があり（relevant）」という要件は、不適切な（関連性のない）データに基づく決定から個人を保護するための核心的要素です。

佐久間氏の書籍では「プライバシー侵害の問題と差別の問題は別」と区別していますが、データ保護法の体系的理解においては、これらは密接に関連しており、実質的には同じ法目的（不当な決定からの保護）を達成するための異なる側面と見ることができます。

欧州評議会の勧告は統計目的の処理そのものに焦点を当てているため、この側面が十分に扱われていませんが、統計結果の適用においても「関連性」の要件が依然として重要であることは、データ保護法の理解において決定的に重要です。

この視点は、データ保護法を単なる「プライバシー保護」の枠を超えて、「不適切なデータに基づく決定からの保護」という広い文脈で捉え直すことの重要性を示しています。

私：もう一つの理由は、一般的決定において個人を対象とする際にはその際に基礎とする個人データを処理することについて別途適法性が確保されているはずだということですよね。

Claude：おっしゃる通り、それは非常に重要な視点です。「一般的決定」において個人に統計結果を適用する際には、その適用対象となる個人データの処理について、統計処理とは別に適法性が確保されているという前提があります。

これは図1にも表現されていると読み取れます：

左側（一般的決定）では、「統計結果」から矢印が出て、新たな「個人データ」群に適用されています
この新たに適用される「個人データ」の処理自体について、別途、データ保護法の適法性要件（同意や他の法的根拠）が満たされているはずです

この二段階構造が重要です：

統計処理はデータ対象者のプライバシーを侵害しない（理由：集合化による個人との連鎖の切断）
統計結果の後の適用段階では、適用対象となる個人データについて別途適法性が確保されている

言い換えれば、統計結果を適用して個人に対する決定を行う場合、その決定のための個人データ処理は「新たな処理」として扱われ、データ保護法の全要件（適法性、透明性、データ品質など）に従う必要があります。

このように、一般的決定においては二重の保護メカニズムが機能しているため、統計目的の処理に特別な扱いを認めても、個人の権利保護が損なわれることはないという理解が成り立ちます。

私：ちょっと遠回りしましたが、まとめてください。

Claude：

「一般的決定」と「個別的決定」の区別に関するまとめ

JILISレポートの図1が示す「一般的決定」と「個別的決定」の区別は、統計目的の個人データ処理に関する重要な理論的基盤を提供しています。

基本的な違い

この区別の核心は、「統計の入力に用いられた個人データに対する当てはめが行われるか否か」にあります。

個別的決定：統計のために提供した個人のデータを参照して、その同じ個人に統計結果を当てはめる
一般的決定：統計のために提供した個人とは別の個人、または新たに収集された個人データに統計結果を当てはめる

プライバシー侵害にならない理論的根拠

「一般的決定」がプライバシー侵害にならない理由は：

連鎖の切断：「統計的な集合の中に溶け込むこととなる個人情報を提供した事実と、個別的決定による影響を受ける事実との間には、いかなる関連もあってはならない」（勧告説明覚書第13段落）
集合化による影響の希釈：佐久間氏の例示では、個人が統計データを提供し、その統計結果が当人にも適用される場合でも、その影響は「（ほとんど同じ確率で）起こったはず」であり、個人の提供データと決定の間に明確な因果関係が存在しない
二重の保護メカニズム：統計結果を個人に適用する際には、その適用対象となる個人データの処理について、統計処理とは別に適法性が確保されているという前提がある

区別の重要性

この区別が重要である理由：

本人同意なき利用の理論的根拠：統計目的のために本人同意なく個人データを利用・提供することが許容される理論的根拠となる
データ保護の真の目的：データ保護法の主目的は「決定の目的に対して関連性のない（not relevant）データに基づく不適切な決定から個人を保護すること」であり、その観点から「一般的決定」と「個別的決定」の区別は極めて重要
均衡のとれた規制：データ流通・活用の過度な制限を避けつつ、真に保護すべき権利利益に焦点を当てた効率的な規制を可能にする

この区別を理解することで、統計目的の個人データ処理が特別な扱いを受ける理論的根拠が明確になり、「統計作成」が本人同意なき第三者提供を許容する条件となり得る理由が明らかになります。

このように、概ねわかるようだが、誘導なしには難しいようだった。特に、JILISレポート注8の「関連性」の話と、佐久間本注9の「差別」との関係の話は、与えた資料中に説明がないので、プロンプトで説明して、言わせるしかなかった。連載論文と併せて読ませれば完全に理解するのではないかと思われるが、現在のClaudeでは入り切らない。このことは、人間の読者も同じで、それらの全体を把握しないと、勧告の核心の理解が難しいと思われる。

ところで、GDPRの前文162を改めて原文で読んでみると、

The statistical purpose implies that the result of processing for statistical purposes is not personal data, but aggregate data, and that this result or the personal data are not used in support of measures or decisions regarding any particular natural person.

となっていて、「this result」が「any particular natural person」に関する措置または決定を裏付けるのに使用されないと書かれているので、「一般的決定」であっても個人に対する決定に統計結果が利用されないという意味に読めてしまう。その解釈だと、統計分析しても使い所がない事態になりかねず、あり得ない話である*40。そのように読まれてしまうと、データ利活用を推進したい人たちに「決定利用禁止なんて受け入れられない」と誤解させてしまう。

その点、1997年勧告ではもっと精緻に書かれていた。原則4.1の原文は次のようになっている。

4.1 Personal data collected and processed for statistical purposes shall serve only those purposes. They shall not be used to take a decision or measure in respect of the data subject, nor to supplement or correct files containing personal data which are processed for non-statistical purposes.

「they」は冒頭の「統計目的で収集・処理されたpersonal data」を指し、「the data subjectに関する決定または措置を講ずるために使用してはならない」となっているので、「the data subject」は冒頭の「personal data」の本人を指している。したがって、これは「個別的決定」を問題にしているのであって、「一般的決定」における「be used to take a decision or measure」について述べているものではないと、明確に読解できる。

1995年のデータ保護指令ではどうだったかを確認してみると、まず、13条2項では、

2. Subject to adequate legal safeguards, in particular that the data are not used for taking measures or decisions regarding any particular individual, Member States may, where there is clearly no risk of breaching the privacy of the data subject, restrict by a legislative measure the rights provided for in Article 12 when data are processed solely for purposes of scientific research or are kept in personal form for a period which does not exceed the period necessary for the sole purpose of creating statistics.

となっており、「any particular individual」とあるが、ここは開示等請求の権利制限の規定なので、「the data」が請求対象データであることは明らかなので、そのデータが措置または決定を講ずるために使用されないという話であり、誤解の余地はない。次に、前文29の原文は次のようになっている。

(29) Whereas the further processing of personal data for historical, statistical or scientific purposes is not generally to be considered incompatible with the purposes for which the data have previously been collected provided that Member States furnish suitable safeguards; whereas these safeguards must in particular rule out the use of the data in support of measures or decisions regarding any particular individual;

ここも、「any particular individual」となっているが、使用を問題にしているのは「the data」であり、「have previously been collected」なもの（二次利用しようとしている元の一次利用データ）なので、統計の入力に用いる個人データを指すことになり、この文が個別的決定を問題としていることは明らかだろう。

こうして比べてみると、GDPRの前文162がまずいのは、「this result or the personal data are not used in support of ……」と、「the personal data」だけでなく、「this result」（＝「the result of processing for statistical purposes」）まで、使用しないものに入れてしまっているところだろう。要件から理由に変えようとして（注2）おかしくなったのだろうか。EUももはやわかっている人がいないのではないかと心配になる。立案から成立までの過程で変化していないか、あとで調べてみる。

最後にもう一点。

勧告の原則4.1には、こう書かれている。

4.1. 統計目的で収集・処理された個人データは、専らその目的のためにのみ使用されなければならない。これらは、データ対象者に関する決定または措置（decision or measure）を講ずるため、または非統計目的で処理される個人データを含むファイルを補完もしくは訂正するために使用してはならない。

この強調部からは、「情報的自己決定権」で有名な1983年西ドイツ国勢調査判決が想い起こされる。違憲とされた国勢調査法の規定の一つは、住民データの補完や訂正を用途としていた部分であった。国勢調査判決なのだから当然なのだが、統計の処理に関して争われたものだった。1997年の欧州評議会勧告も、そうした経緯を踏まえて整理されたものであろう。しかしどうだろうか、日本の法学は、情報的自己決定権についてこの憲法判例を研究するものは少なくないが、こうした統計処理のあり方との関係に注意を払っているものは見たことがなかった。個情委の今の「制度的課題」に役に立つ論考が見当たらない。

そこに今年、横山均先生（注16）が、自治実務セミナーで「なぜ、統計調査の調査票情報は行政目的で利用できないか」と題して、1983年西ドイツ国勢調査判決の分析も含めた横断的な検討の論考を発表された。関係者には刮目して精読いただきたい。

横山均「なぜ、統計調査の調査票情報は行政目的で利用できないか(1)」自治実務セミナー751号（2025）42-45頁
横山均「なぜ、統計調査の調査票情報は行政目的で利用できないか(2・完)」自治実務セミナー752号（2025）49-55頁

*1 これが理由だとの明記はなく、「統計目的は……を意味する」という文で、統計とはそういうものだという書き方になっていて、記載の趣旨がわかりにくくなっている。データ保護法が決定指向利益モデルで設計されていることを知っている者にとっては、理由を説明する文だなとすぐにわかるが、決定指向利益モデルを知らない者からすると、だから何？となってしまう。GDPRでは「決定」の概念が、この前文162の他には、22条の自動決定のところにしか現れないため、22条専用の概念だとの誤解が広く蔓延しており、ここの理解をいっそう難しくしている。

*2 データ保護指令では、これに相当する文は、前文29にあり、「個人データの歴史的、統計的または科学的目的での更なる処理は、加盟国が適切な保護措置を講じることを条件として、当該データが以前に収集された目的と一般的に両立しないもの（incompatible）とはみなされない。これらの保護措置は、特に、特定の個人に関する措置または決定（measures or decisions）を裏付けるためのデータの使用を排除するものでなければならない。」と書かれていて、明確に要件として記載されていた。それが、GDPRでは、上記の前文162の書きぶりに変更されているわけだが、その変更の趣旨は、理由を説明するつもりで書き直したようにも見える。ところが、これが理由であるとは明言できなかったのか、何を言いたいのかが一般にわかりにくくなっており、これが要件であることも見えにくくなってしまっている。また、データ保護指令では、本文中に「措置または決定（measures or decisions）」の文言が存在していた（13条2項、開示等の権利を制限（義務を免除）する国内法を認める規定）のだが、GDPRではそれが消えてしまった（より一般化されて11条になった）ため、「措置または決定（measures or decisions）」概念の重要性がいっそう見えにくくなっている。

*3 日本語でこれに言及した文献は見つからなかった。勧告と説明覚書の冊子は国会図書館に所蔵されている。周りに話を振ってみたが、聞いたことがないという反応だった。条約108号のことは（平成15年法以降では）個情法とは関係ないと思われていたフシがある。

*4 この顛末は2015年3月8日の日記「世界から孤立は瀬戸際で回避（パーソナルデータ保護法制の行方その14）」に記している。今になってこれを読み直すと、だいぶ尻が青い。legitimate interestsのくだりは赤面ものだ。WP217を参照してターゲティングに触れているが、この時点ではまだ「決定」概念を知らない。EU法の基本原則もわかっていないので、legitimate interestsを適切に説明できていない。

*5 2013年11月「KOF2013」での講演の様子が日経BP「パーソナルデータ活用「セーフとアウトの明暗がはっきり」、産総研の高木氏」にレポートされている。この内容は、2013年の夏に鈴木正朝先生と集中合宿で解釈論と運動論の熟議を重ねて到達した整理だった。

*6 巷では「勝手に俺のデータを商売にするな」的な（嫌儲的な）意味で反発していた人々が大半であっただろうが、そのこと自体はこの法が問題視するところではないというのは当時からわかっており、それゆえに、事案が発生した際、どのように世論形成を促すべきか悩ましいところであった。この時は、ちょうど仕事の異動と重なったこともあり、表では多くを語っていない。WIREDの記事「JR東日本と日立、Suica利用データを販売、懸念の声も」にその時の私のツイートが記録されている。

*7 その時点での理解は、2015年11月の情報ネットワーク法学会のパネル第8分科会で提示しており、その記録は「情報ネットワーク・ローレビュー講演録編第15回研究大会講演録」に収載されている。

*8 この過程については、2017年7月22日の日記「匿名加工情報は何でないか・後編の2（保護法改正はどうなったその8）」を参照。

*9 その様子は、2016年11月29日の日記「医学研究等倫理指針見直し3省合同会議が迷走、自滅の道へ（パーソナルデータ保護法制の行方その26）」にまとめており、その後どうなったかは、2017年5月13日の日記「医学系研究倫理指針における非識別加工情報の規定は無用の長物（研究倫理指針はどうなったその1）」の冒頭に書いたように、「懸念された事態は回避され、どうにか妥当なところに落ち着くかっこう」となった。これらの経緯と決着については、NBL No.1103（2017）の米村滋人「医学研究における個人情報保護の概要と法改正の影響」6頁以下と、横野恵「三省合同会議での議論と今後の展望」26頁以下が、的確に解説している。

*10 Annex BからTable B.1「Mapping of de-identification terminology to the prior art」を引用すると以下のように記載されており、2012年の英国ICOの資料（第3列）が仮名化も匿名化も一緒くたにして「匿名化」と称していたところ、2014年にEUの29条作業部会（第4列）がこれらを明確に区別した様子がわかる。第1列のISO 25237は、2008年の「Health informatics — Pseudonymization」のことであり、医療分野では2008年の時点で仮名化の用語（可逆的仮名化と不可逆的仮名化）が確立していたことがわかる（それが個人データのままであると解釈されるかどうかは別として）。第2列のISO 29100は、2011年の「Information technology — Security techniques — Privacy framework」のことで、第3行の可逆的仮名化（日本では「連結可能匿名化」と呼ばれた）を仮名化としつつ、第4行の不可逆的仮名化（日本では「連結不可能匿名化」と呼ばれた）を匿名化としていた（2018年に改訂されている）。私の日記では、前掲注9の2017年5月13日の日記で、「誤解のない用語としては、「連結仮名化」と「不連結仮名化」が相応しかった」と述べていた。

ISO/IEC 20889:2018 Annex B「Prior art terminology」に記載の表B.1

*11 「研究倫理指針はどうなったその1」の続きの「その2」を書く予定だったが、決着しつつあったので、書いていなかった。これもどこかに書き残しておかねば。

*12 仮名化すれば非個人情報であると法解釈を誤ってか、または、学術研究の適用除外を当てはめてか他の例外を適用して合法であると整理してか。

*13 この会議は、日本消化器内視鏡学会の「JEDプロジェクト」の一環で、診断画像を本人同意なく機械学習に用いることについて個人情報保護法上どう位置付けるかについて、AMEDから相談を受けたもので、第2回会合での講演を依頼されたのだったが、第1回の会合にオブザーバーで参加したところ、次世代医療基盤法を使うという話になっていたので、それは匿名化しないと使えないから画像には適用できませんよ（匿名化を仮名化と取り違えている）と指摘したところ、どこかの反発を買ったようで、次の回の私の講演は、内視鏡学会関係者だけでやる（AMEDやNIIほかは参加しない）ことになり、会場もAMEDの外に変更することになったと内視鏡学会の先生から事情の説明を受けた。私の講演の内容は、医学系指針の迷走ぶりを整理し、匿名加工情報の解釈の混乱ぶりとその決着の様子を紹介し、仮名化しても個人データであるとしつつ利用できるように制度を調整していく必要があることを示して、当時の現行法でも学術研究の適用除外で整理可能だが（NBL No.1103 17頁を参照している）若干の無理があるので制度改正を提案するもの（前掲注7の整理を発展させたもの）であった。内容は皆さんに納得して頂け「大変わかりやすかった」との反応があったが、結局、その方向性で進むことはできないと考えられたのか、その後の展開は、本人同意の得られる範囲で行うということになったらしいと噂で耳にした。学術研究の適用除外の「若干の無理」なところ（「ミラクル解釈」と呼ばれた）は、その後令和3年改正で解消されたが、今このプロジェクトがどうなっているのかは連絡が途絶えているので知らない。

*14 この時点で、GDPRが統計利用を目的外とみなさないとしていること（5条1項(b)）を参照している。

*15 このころは、次世代医療基盤法を使えるものにするために、匿名加工情報の匿名加工基準の方を捻じ曲げる（仮名加工相当にする）という圧がかかっていた。次世代医療基盤法の概念定義は個情法と独立する形になっていたので、独自に基準を設けることは可能で、次世代医療基盤法の匿名概念は個情法の匿名概念とは異なるのだという道に進みかねない状況があった。このような圧は医療分野に限らずあるので、そのような道に進んでいれば、個情法の匿名概念も世界と乖離してしまう危険があった。それが、令和2年改正によって仮名加工情報の規定が設けられた（役に立つ制度かはともかく）ことで、2020年ごろにその問題は決着し、懸念された事態は回避された。

*16 この会合は、横山均内閣官房行政改革推進本部事務局長（現・長崎県立大教授）の計らいでお招きいただいたもので、結論として、「個人データのうち、仮名化した「仮名化データ」について、医療に関するものに限定して、取扱いルールを変更する特別法（個別法）の立法をしてはどうか」という提案をしている。そこでは、仮名化と匿名化の違いを説明する必要があり、次世代医療基盤法が匿名加工ではうまくいかないことを説明する必要があった。この時、事前に得た感触から、「本人の治療・指導に直接用いる話」（一次利用）と「統計量に集計して分析し科学的知見を得て利用する話」（二次利用）を区別することに特に注意を払ったが、やはり混同されてしまうようだった。

*17 この時点で、GDPRの5条1項(b)に加え、前文162を参照して、「統計利用は、個人について評価や決定を行う用途に用いられないから」と説明していた。「個人データを保護する本来の目的が忘れられている」「欧州発の本来のデータ保護の意義は「データ処理による個人の選別」を人権侵害と捉えたもの（統計への利用はこれに当たらない）」とも書いていた。この時点ではまだ、OECD第2原則の関連（relevant）性要件の存在に気づいておらず、どのような「選別」が人権侵害なのかをわかっていない。

*18 この時、「統制された非選別利用」のキャッチコピーを考案して初めて使った。医療分野に限らない一般化された構想となっている。複数組織からの個人データを突合する必要性についても触れている。これは、JILISの秘密計算TFの成果に基づいている。関連（relevant）性要件の存在にはまだ気づいていないので、どのような選別が問題なのかは説明できていない。少なくとも選別しないのであれば問題がないと主張するにとどまっている。この時の学界の反応は冷たいもので、「選別」の何が問題なのかわからないという陰口が伝わってきたが、どういうことなのかと聞かれもしなかった。

*19 この時は、図4「正当化スキームの違い」（9頁）として、「同意万能」「公益無罪」「自己情報コントロール」「21世紀の原油」「情報銀行」「APPA」との対比をしていた。この時点ではまだ稚拙な表現しかできていなかったが、統計利用が正当化されるのは公益性があるからではなくそもそも権利利益を害さないからである（比例原則で個別に判断を要するようなものではない）ということを言おうとしていた。

*20 この時点までに、Jon Bingの「決定指向利益モデル」の論文を発見し、OECD第2原則の関連（relevant）性要件を理解するに至っており、この時、「統制された非選別利用」モデルの裏付けと、選別利用の何が問題なのかが明確になったと述べている。これにより、真正面から制度提案ができるようになった。ちょうど、このシンポジウムの企画から実施までの間に、EUからEHDS法案の欧州委員会提案が出てきて（2022年5月3日）、二次利用規定の第1に決定利用禁止があり、ほーら言ってた通りじゃん！となった。しかし、この時点でもなお、なぜそうなのかの根拠に、GDPRの5条1項(b)と前文162を参照するほかなく、「やはり同じ考え方に基づいて設計されているのでは」としか言えていない。GDPR 89条1項を受けたsafeguardsとして英国やフランスの国内法に決定利用禁止があるのに気づいたのはこの直後だった。

*21 この時、図1で「IDを残した仮名化」について言及している（11頁）。このことは、仮名加工情報とは異なり、そこでいう「仮名化」は必ずしも全ての識別子を削除しなければならないわけではないことを意味している。

*22 GLOCOM六本木会議からの提言（ドラフト版）として端的な理論の説明を完成させた。この時、「情報的他律からの自由」のキャチフレーズを初めて使用している。英国やフランスの国内法に決定利用禁止があることも盛り込んだ。

*23 これらの提言の内容を、規制改革推進会議のWGで話すよう、3回に渡り呼ばれた。限られた時間で委員の方々に理解いただくのは容易でなく、決定利用禁止が条件であることの意味が伝わらない。案の定、決定利用が禁止されてしまえば統計により知見を得ても使うことができないのでは？との疑問を挟まれたようだったので、統計で得た知見を「本人の治療・指導に直接用いる」決定に用いるのはまた別のフェーズだという説明をしなくてはならず、そもそも決定の何が問題なのかを説明するために関連性の原則の説明をしているが（議事録1、議事録2）、伝わらなかった。

*24 GLOCOM六本木会議からの提言（確定版）を発表。年明け、この提言書を携えて、個情委事務局や厚労省医政局などに説明行脚に出かけた。個情委事務局の反応は「？？？」という感じであり、厚労省の反応は、法令で定めれば個情法上は合法になるが個情法の趣旨に反した法令を定めることはできないんだぞ的なもので、だからこれが個情法の趣旨だという提言なのだと説明をしたのに通じないようで、徒労感いっぱいで帰ってきたのであった。

*25 規制改革の答申を受けて、GLOCOM六本木会議から「緊急アピール」と題してウェビナーを開催した。緊急アピールしているのは、規制改革で我々の提案が曲解されてしまい、決定利用のうち不利益決定は問題だが利益決定は禁止する理由がないとされてしまったことである。実際に挙がっていた例は、統計目的で本人同意なく集められた二次利用データを分析する過程で治療や指導が必要そうなデータ対象者が見つかった場合に、当該データ対象者に知らせることの是非である。

*26 これが集大成となったが、この時点ではまだ、欧州評議会の1997年勧告を見つけていない。見つけたのはこの10日後であった。

*27 各国の署名に附されたのは1981年だが、閣僚委員会で採択されたのは（OECDガイドラインの直前）1980年。

*28 CETS 108 9条3項：

Article 9 – Exceptions and restrictions
3 Restrictions on the exercise of the rights specified in Article 8, paragraphs b, c and d, may be provided by law with respect to automated personal data files used for statistics or for scientific research purposes when there is obviously no risk of an infringement of the privacy of the data subjects.

*29 GDPRでは89条2項がこれに相当する。

*30 実際、英国の国内法では、GDPR 89条1項を受けた規定（19条3項）で、措置または決定（measures or decisions）の目的の場合には、approved medical researchである必要があり、倫理審査を要する旨が規定されており、裏を返せば、データ保護法からの要請で倫理審査を要するのは、措置または決定（measures or decision）の目的がある場合である。日本の医学系倫理指針もこれに倣って、データ対象者に対する措置または決定の有無で区分して、倫理審査のあり方を整理するのがよいだろう。個情法令和3年改正で学術研究例外が精緻化され、「個人の権利利益を不当に侵害するおそれがある場合を除く」との条件がついているが、「個人の権利利益を不当に侵害」とは何かが不明なままである。欧州評議会勧告が示しているように、データ対象者に対する措置または決定（measures or decision）に用いない場合にはその侵害がないものと整理すべきであり、倫理指針がその位置付けを規定する立場にあるのだが、これまでのところそのような様子が見られない。

*31 この辺りについては、高木浩光「国民総背番号とは何だったのか : マイナンバー「利用範囲拡大」が炙り出すもの」世界975号（2023）172頁以下、182頁を見てほしい。

*32 NDBがこのような変換符号を用いた突合のプロジェクトを進めてきたのは、海外でそのような事例があるのを見ているからだろうと思われるが、欧州でそうした事例があるのは、この勧告が示すように、統計目的であればこのような保護措置の上で処理が許されるということが、1997年までに整理されていたからこそであろう。日本では、そうした法律論上の整理ができないまま、技術的に真似ようとしてきたわけである。

*33 説明覚書は、「統計結果」の節で、統計開示制御（statistical disclosure control）に言及している（第58段落b）。「一部の国家統計機関と科学界との間で、「統計開示制御」の自動的な方法の開発に関する協力が行われていることに注目した。この作業は、原則14.1が主張する間接的な識別の防止措置を体系的に適用することを目指しており、したがって、原則15.4および17.1が奨励する種類の技術的発展である。」と書かれており、今で言うPETsの奨励である。日本では、平成27年改正時の議論を経て、情報セキュリティ分野の研究者の一部が統計開示制御の議論に参入するようになったが、米欧では、公的統計の分野で1960年代から研究されていたようで、1997年時点で「自動的な方法の開発」が話題になっていた様子が窺える。

*34 法とコンピュータ学会第38回研究会パネルディスカッション（2013）など。

*35 改めてこの日記を読み、前掲注10のISO/IEC 20889:2018の表に照らしてみると、ノルウェー法は、2001年時点で既に、「de-identification」が「anonymization」になる場合とならない場合があることを認識して区別していたところ（ISO 25237:2008もそれに揃っているっぽい）、2014年の改正で、29条作業部会の2014年意見と揃ったもの（用語は異なって「indirectly identifiable」）にしていたようだ。

*36 いや、10年前にこれを私が見たとしても、その意味をはたして理解できただろうか。今、完全に理解できるのは、「決定指向利益モデル」を理解しているからであるし、自分で考えてきたからこそ、すぐに理解できる。背景にある膨大な経緯を踏まえていなければ、この勧告の説明覚書を見ても、その意義や価値が頭に入ってこないかもしれない。1990年代後半にこれだけのものが整理されたのは、1970年代から一貫してこの分野に携わってきた専門家らが活躍してこそだったのではなかろうか。その点、2010年代以降、かつてのレジェンドたちが続々とこの世を去っており、EUも精緻さを欠く場面が見られるようになっている気がしている。

*37 ちなみに、この辺りの話は、生成AIと著作権の話にも通ずる。そこはまたいずれ。

*38 このことについては、前々回の日記「連載論文全体の圧縮版を生成した」と、その前の回「連載論文の解説をChatGPT 4o Image Generationで図解してみた」あたりを見ていただきたい。

*39 実際、「関係ないデータ項目によって決定されることがプライバシーの侵害である」という主張も、いくらか説得力を持つだろう。

*40 この辺りは、いわゆる「group privacy」の話と関係してきそうだ。

本日のリンク元 TrackBack(0)