追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 2183   昨日: 3870

2017年04月08日

匿名加工医療情報作成事業法案ファーストインプレッション(パーソナルデータ保護法制の行方 その29)

かつて「代理機関」と呼ばれていた構想が、「医療情報取扱制度調整ワーキンググループとりまとめ」*1としてパブリックコメントにかけられていたが、これの法律案が3月10日に国会提出された。

概要」を見ると、法律の題名は、「医療分野の研究開発に資するための匿名加工医療情報に関する法律」なのに、その略称は「次世代医療基盤法」だという。「匿名加工医療情報作成事業法」の方が実態にそぐうように思えるくらいの内容だが*2、どうなんだろうか。

早速、法律案の内容を読み込んでみたところ、大筋では悪くないとの感触(そもそもの方向性に疑問はあるにせよ)を持ったものの、テクニカルなところで気になるところが多々あった。

登場する用語を中心に概念整理すると図1のようになる。

絵
図1: 事業者種別と取扱情報の関係

ここで、「医療情報」と「匿名加工医療情報」は次のように定義されている。

第2条 この法律において「医療情報」とは、特定の個人の病歴その他の当該個人の心身の状態に関する情報であって、当該心身の状態を理由とする当該個人又はその子孫に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等(文書、図画若しくは電磁的記録(略)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号(個人情報の保護に関する法律(略)第2条第2項に規定する個人識別符号をいう。以下同じ。)を除く。)をいう。以下同じ。)であるものが含まれる個人に関する情報のうち、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

二 個人識別符号が含まれるもの

3 この法律において「匿名加工医療情報」とは、次の各号に掲げる医療情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように医療情報を加工して得られる個人に関する情報であって、当該医療情報を復元することができないようにしたものをいう。

一 第1項第1号に該当する医療情報 当該医療情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

二 第1項第2号に該当する医療情報 当該医療情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

「医療情報」の定義は、個人情報保護法の「要配慮個人情報」の定義ぶりとはまた微妙に異なっている(「個人情報」からどのように限定するかが異なる)ようだ。「医療情報」が「要配慮個人情報」の部分集合なのかどうか*3がはっきりしない。「要配慮個人情報」の定義では、「病歴……その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取り扱いに特に配慮を要するものとして政令で定める記述等」であるのに対して、「医療情報」では「当該心身の状態を理由とする当該個人又はその子孫に対する不当な差別、偏見その他の不利益が……」となっている。「本人」以外に「その子孫」が加えられている。「を理由とする」と書かれたのは、個人情報保護法より条文を明確化したのだろう。「政令で定める記述等」となっているので、結局、個人情報保護法と同じものが政令で規定されれば、結果的に同じものとなり、「医療情報」が「要配慮個人情報」の部分集合となるのかもしれない。

「匿名加工医療情報」の定義は、個人情報保護法の「匿名加工情報」と同じ定義ぶりで、「個人情報」を「医療情報」に差し替えたものになっている。

「医療情報」の定義が「個人情報」を参照しておらず、これらはパラレルであり、同一の語を参照して共通概念であるのが明らかなのは「個人に関する情報」の部分のみとなっている。つまり、以下の図2の左の図の構造であって、右の図の構造ではない。(「医療情報」は、「個人に関する情報」の一種であるが、「個人情報」の一種ではない。)

絵 絵
図2: 情報の概念関係

これは、「医療情報」を生存する個人に関する情報に限定しないもの(死者に関する情報を含むということ)とすることから、開いて定義する必要があって、こうなったのだろう。これにより、「医療情報」における「特定の個人を識別することができる」ものに限るとする要件が、「個人情報」におけるそれと同一なのかが不確かとなるところ、定義ぶりの同一性(限定のかけ方が同じであること)から、同一と推定されるものとなっている。

結局、対象情報の範囲は図3のようになる。「医療情報」は、生存しない個人に関する情報を含む分だけ幅が広く、奥行きは前記の「定義ぶりの同一性」から等しいと推定されるもので、高さは「要配慮」のうち「病歴…その他…政令で定める記述等」の部分(図中の桃色領域)と等しいと推測されるものの政令を待つ必要があるということになろうか。

絵
図3: 情報の範囲

この法律は、第3章で「認定匿名加工医療情報作成事業者」と「認定医療情報等取扱受託事業者」の義務規定等を置き、第4章で「医療情報取扱事業者」による医療情報の提供を可能とする規定を置いており、これにあたり、2条で以下の2つの用語を定義している。

4 この法律において「匿名加工医療情報作成事業」とは、医療分野の研究開発に資するよう、医療情報を整理し、及び加工して匿名加工医療情報(匿名加工医療情報データベース等(略)を構成するものに限る。以下同じ。)を作成する事業をいう。

5 この法律において「医療情報取扱事業者」とは、医療情報を含む情報の集合物であって、特定の医療情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の医療情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第四十四条において「医療情報データベース等」という。)を事業の用に供している者をいう。

4項の「匿名加工医療情報作成事業」は、8条中の「認定匿名加工医療情報作成事業者」の定義で参照されている。匿名加工医療情報作成事業を行う者は申請により主務大臣の認定を受けることができるとされ、認定を受けた者が「認定匿名加工医療情報作成事業者」であり、それを名宛人とした義務等が3章2節(医療情報等及び匿名加工医療情報の取扱いに関する規制)に並べられている。

5項の「医療情報取扱事業者」は、病院などの医療機関を指したもののようで*4、4章(医療情報取扱事業者による認定匿名加工医療情報作成事業者に対する医療情報の提供)で、医療情報取扱事業者は医療情報を認定匿名加工医療情報作成事業者に(一定の条件の下で)提供することができるとしている。ここがこの法案の肝であり、改正個人情報保護法の施行によって、要配慮個人情報を本人同意なく(オプトアウト方式で)第三者提供することが許されなくなるところを、この法律によって部分的にオーバーライドし、そのような提供を可能にするというというものである。

3章2節の「認定匿名加工医療情報作成事業者」に係る義務等の規定は、以下のものとなっている。

第2節 医療情報等及び匿名加工医療情報の取扱いに関する規制

(利用目的による制限)
第17条 認定匿名加工医療情報作成事業者は、第25条又は第30条第1項の規定により医療情報の提供を受けた場合は、認定事業の目的の達成に必要な範囲を超えて、当該医療情報を取り扱ってはならない。

2(略(例外規定))

(匿名加工医療情報の作成等)
第18条 (略(後述))

(消去)
第19条 認定匿名加工医療情報作成事業者は、認定事業に関し管理する医療情報等又は匿名加工医療情報を利用する必要がなくなったときは、遅滞なく、当該医療情報等又は匿名加工医療情報を消去しなければならない

(安全管理措置)
第20条 認定匿名加工医療情報作成事業者は、認定事業に関し管理する医療情報等又は匿名加工医療情報の漏えい、滅失又は毀損の防止その他の当該医療情報等又は匿名加工医療情報の安全管理のために必要かつ適切なものとして主務省令で定める措置を講じなければならない。

(従業者の監督)
第21条 認定匿名加工医療情報作成事業者は、その従業者に認定事業に関し管理する医療情報等又は匿名加工医療情報を取り扱わせるに当たっては、当該医療情報等又は匿名加工医療情報の安全管理が図られるよう、主務省令で定めるところにより、当該従業者に対する必要かつ適切な監督を行わなければならない。

(従業者等の義務)
第22条 認定匿名加工医療情報作成事業者の役員若しくは従業者又はこれらであった者は、認定事業に関して知り得た医療情報等又は匿名加工医療情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない

(委託)
第23条 認定匿名加工医療情報作成事業者は、認定医療情報等取扱受託事業者に対してする場合に限り、認定事業に関し管理する医療情報等又は匿名加工医療情報の取扱いの全部又は一部を委託することができる

2 前項の規定により医療情報等又は匿名加工医療情報の取扱いの全部又は一部の委託を受けた認定医療情報等取扱受託事業者は、当該医療情報等又は匿名加工医療情報の取扱いの委託をした認定匿名加工医療情報作成事業者の許諾を得た場合であって、かつ、認定医療情報等取扱受託事業者に対してするときに限り、その全部又は一部の再委託をすることができる

3 前項の規定により医療情報等又は匿名加工医療情報の取扱いの全部又は一部の再委託を受けた認定医療情報等取扱受託事業者は、当該医療情報等又は匿名加工医療情報の取扱いの全部又は一部の委託を受けた認定医療情報等取扱受託事業者とみなして、同項の規定を適用する。*5

(委託先の監督)
第24条 認定匿名加工医療情報作成事業者は、認定事業に関し管理する医療情報等又は匿名加工医療情報の取扱いの全部又は一部を委託する場合は、その取扱いを委託した医療情報等又は匿名加工医療情報の安全管理が図られるよう、主務省令で定めるところにより、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

(他の認定匿名加工医療情報作成事業者に対する医療情報の提供)
第25条 第30条第1項の規定により医療情報の提供を受けた認定匿名加工医療情報作成事業者は、主務省令で定めるところにより他の認定匿名加工医療情報作成事業者からの求めに応じ、匿名加工医療情報の作成のために必要な限度において、当該他の認定匿名加工医療情報作成事業者に対し、同項の規定により提供された医療情報を提供することができる

2 前項の規定により医療情報の提供を受けた認定匿名加工医療情報作成事業者は、第30条第1項の規定により医療情報の提供を受けた認定匿名加工医療情報作成事業者とみなして、前項の規定を適用する。

(第三者提供の制限)
第26条 認定匿名加工医療情報作成事業者は、前条の規定により提供する場合及び次に掲げる場合を除くほか、同条又は第30条第1項の規定により提供された医療情報を第三者に提供してはならない
一 法令に基づく場合
二 人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合

2 次に掲げる場合において、当該医療情報の提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする
一 第10条第1項、第2項又は第4項から第6項までの規定による事業譲渡その他の事由による事業の承継に伴って医療情報が提供される場合
二 認定匿名加工医療情報作成事業者が第23条第1項の規定により医療情報の取扱いの全部又は一部を委託することに伴って当該医療情報が提供される場合

(苦情の処理)
第27条 認定匿名加工医療情報作成事業者は、主務省令で定めるところにより、認定事業に関し管理する医療情報等又は匿名加工医療情報の取扱いに関する苦情を適切かつ迅速に処理しなければならない。

2 認定匿名加工医療情報作成事業者は、主務省令で定めるところにより、前項の目的を達成するために必要な体制を整備しなければならない。

個人情報保護法4章の義務セットと似た義務セットが並べられているが、それぞれ強化されているようだ。「利用目的による制限」が、この認定事業の目的外での取り使いを禁止しているほか、「安全管理措置」(従業者・委託先の監督を含め)や苦情の処理で、主務省令で定められたものに従うとされており、19条の「消去」は、努力規定ではなく義務規定になっている。その他に、委託・再委託が、認定された事業者にしか委託できないことになっている。

そして、「従業者等の義務」として「みだりに他人に知らせ、又は不当な目的に利用してはならない」の規定があり、46条3号にその直罰規定が置かれている。この法案の罰則は公的部門よりも厳しくなっている。公的部門(行政機関個人情報保護法)では、7条で「みだりに他人に知らせ、又は不当な目的に利用してはならない」と、同様の規定を置いているものの、その直罰規定は置かれていないのであり、罰則は「正当な理由がないのに、個人の秘密に属する事項が記録された…個人情報ファイルを提供したとき」(53条)と「自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したとき」(54条)にしかなかった(この法案でも同様の直罰規定を44条、45条に置いている) ことと比べて、相当に厳しいものと言えよう。

ここで一つ疑問なのは、認定加工事業者において、「医療情報」に対する義務はこれらだけなのか、それとも、個人情報保護法4章の義務も併せて課されるのかである。もし「医療情報」が図1の右のように「個人情報」の一種として定義されていれば、個人情報保護法4章の義務も課されることは明らかであるところ、そういう定義になっていないせいで紛らわしいのだが、情報の範囲が図3の通りであるなら、「個人情報」に該当する部分については個人情報保護法4章の規定が適用されるということなのだろう。(ただ、この法案には、なぜか、「医療情報」に対する義務が課される場合について「個人情報保護法の規定は適用しない」とする規定が置かれていない。)

そうだとすると、大いに疑問なのは、個人情報保護法の「保有個人データ」に係る規定(開示・訂正・利用停止等)も「医療情報」(のうち生存する個人に関するもの)に対して適用されるのであろうか。ここが重要な点であるにもかかわらず、資料の「概要」からは読み取れない。

ちなみに、この法案は、個人情報保護法のように「個人情報」と「個人データ」の区別をしていない。この点は問題ないのだろうか。「医療情報」は散在情報でも全て該当することになるが、義務の対象とする取扱いがこの認定事業の用に供することに限られているから、個人情報データベース等(個人情報ファイル)を構成するものとすることを予定している情報しか取り扱わないはずであることから、実質的には処理情報に限定されているのに等しい*6と言えるだろう。*7

次に、上記で省略した「匿名加工医療情報の作成等」は、以下のように規定されている。

(匿名加工医療情報の作成等)
第18条 認定匿名加工医療情報作成事業者は、匿名加工医療情報を作成するときは、特定の個人を識別すること及びその作成に用いる医療情報を復元することができないようにするために必要なものとして主務省令で定める基準に従い、当該医療情報を加工しなければならない。

2 認定匿名加工医療情報作成事業者は、匿名加工医療情報を作成して自ら当該匿名加工医療情報を取り扱うに当たっては、当該匿名加工医療情報の作成に用いられた医療情報に係る本人を識別するために、当該匿名加工医療情報を他の情報と照合してはならない。

3 匿名加工医療情報取扱事業者(匿名加工医療情報データベース等を事業の用に供している者をいう。以下同じ。)は、第1項(略)の規定により作成された匿名加工医療情報(…)を取り扱うに当たっては、当該匿名加工医療情報の作成に用いられた医療情報に係る本人を識別するために、当該医療情報から削除された記述等若しくは個人識別符号若しくは同項(…)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工医療情報を他の情報と照合してはならない

4 個人情報の保護に関する法律第36条の規定は認定匿名加工医療情報作成事業者又は第28条の認定を受けた者(以下「認定医療情報等取扱受託事業者」という。)が第1項(…)の規定により匿名加工医療情報を作成する場合について同法第37条から第39条までの規定は匿名加工医療情報取扱事業者が前項に規定する匿名加工医療情報を取り扱う場合については、適用しない

まず、注目は、1項で、「匿名加工医療情報を作成するとき」の加工基準は、「主務省令で定める基準に従い」とされている点である。「個人情報保護委員会が定める基準」ではない。

なぜこうしたのだろうか。一般の匿名加工情報と匿名加工の基準が異なるものとなったら、ややこしいことになりかねないと懸念されるところ、この法ではより厳しい匿名加工基準とすることも考えられる。なお、主務大臣は、「内閣総理大臣、文部科学大臣、厚生労働大臣及び経済産業大臣」としている(39条1項)が、「主務大臣は、主務省令を定め、又は変更しようとするときは、あらかじめ、個人情報保護委員会に協議しなければならない。」(同条3項)としているので、個人情報保護委員会により、ある程度は統一的な基準となるのかもしれない。

2項は、匿名加工情報を作成した者に再識別の禁止を課す規定であり、個人情報保護法36条5項と同趣旨のものであろう。この規定が何のためにあるのかについては、やっかいな論点であり、まだ書いていない「匿名加工情報は何でないか・後編」で書くつもりであるが、そこ以外のところを触れておくと、「自ら取り扱うに当たっては」というのが、個人情報保護法の36条5項では自社内での目的外利用を可能とするためという趣旨を含んでいたのに対し、この法案のここもその趣旨があるのかどうかが論点となる。

つまり、認定加工事業者が、作成した匿名加工医療情報を、認定事業から外れる目的で(22条の「不当な目的」に当たらない範囲で)自ら利用することができるのかどうか。個人情報保護法において「匿名加工情報」が「個人情報」でないとされているように、この法において「匿名加工医療情報」は「個人情報」でないという建て付けであろうから、「医療情報」でもないということのはずで、この法の17条(利用目的による制限)にも抵触しないはずだろう。ここは、認定加工事業者自身が「匿名加工医療情報」を用いた「医療分野の研究開発」を実施できる(と想定されている)かに関わる論点なので、重要である。

3項は、個人情報保護法で言うところの38条(識別行為の禁止)に相当するものである。これがここで規定された意義は大きい。行政機関法の改正においては、「非識別加工情報」を導入するに際してこの規定を置かず、その受領者には個人情報保護法の38条(識別行為の禁止)が適用されるという建て付けになっており、「非識別加工情報」と「匿名加工情報」と名称も異なり、用語定義の内容も異なるのに、どうしてそうなると言えるのかという疑問が出ていた*8のに対して、今回の法案では、直接この法に「識別行為の禁止」規定を置いたので、その問題は生じないようになっている。

ただ、ここがこのようになっている理由がそのような理由からなのかは定かでなく、「匿名加工医療情報取扱事業者」の監督を、個人情報保護委員会ではなく、主務大臣とするためにこうしたのかもしれない。5章(監督)は、「主務大臣は、この法律の施行に必要な限度において、認定匿名加工医療情報作成事業者若しくは認定医療情報等取扱受託事業者(これらの者のうち外国取扱者である者を除く。)、匿名加工医療情報取扱事業者若しくは医療情報取扱事業者に対し必要な報告を求め、(…)ことができる。」といった規定を置いている。なぜ個人情報保護委員会の監督下に置かなかったのかというのも、疑問の一つとなろう。

4項の規定は、「匿名加工医療情報」に対して個人情報保護法の匿名加工情報に係る規定(36条から39条)の全部を「適用しない」とする規定である。この規定があることから、この法の「匿名加工医療情報」が、個人情報保護法の「匿名加工情報」にも該当する(又は一部が該当し得る)ことを想定していることがわかる。この項の前半は、加工情報の作成は、この法の規定に従うものとして、個人情報保護法36条は適用しないとしており、後半は、その受領者である「匿名加工医療情報取扱事業者」に対して、個人情報保護法37条、38条、39条は適用しないとしている。

ここで疑問なのは、後半について、38条(識別行為の禁止)を抜くのは理解できる(この法の18条3項と被るから)が、37条(匿名加工情報の提供)と39条(安全管理措置等)まで抜かれているのはなぜだろうか。これらに相当する規定がこの法のどこかで別途規定されているようには見えない。

37条(匿名加工情報の提供)は、匿名加工情報を第三者に提供するときに、あらかじめ公表することを求め、当該第三者にその情報が匿名加工情報である旨を明示せよとする規定であったが、「匿名加工医療情報」についてはその公表を義務とせず、提供時の明示も義務としないということであろうか。前者は、認定加工事業者となった時点で、「匿名加工医療情報」を第三者提供することが当然であるので、公表が必要ないということなのか。しかし、個人情報保護法37条は、公表事項として「個人に関する情報の項目」を含めていたが、「匿名加工医療情報」ではこれを公表しなくてよいということなのだろうか。

39条(安全管理措置等)は、匿名加工情報は、加工されているとはいえ特定の個人を識別できるリスクが残存し得るものであることから、努力規定とはいえ安全管理措置を求めていたが、「匿名加工医療情報」については、受領者側の安全管理は不要だということなのだろうか。これはもしかして、前記の通り、加工の基準も異なるものとすることが可能にされているから、安全管理措置が不要になるほどまでに十分に加工することを基準とする予定でもあるのだろうか。

以上のように、この法は、個人情報保護法の「個人情報」「匿名加工情報」に関する規律とは別に、「医療情報」「匿名加工医療情報」に関する規律を新たに横並びで構築する形になっているように見える。

次に、病院等の「医療情報取扱事業者」が「医療情報」を「認定匿名加工医療情報作成事業者」に提供できるとする規定は、4章で以下のように書かれている。

第4章 医療情報取扱事業者による認定匿名加工医療情報作成事業者に対する医療情報の提供

(医療情報取扱事業者による医療情報の提供)
第30条 医療情報取扱事業者は、認定匿名加工医療情報作成事業者に提供される医療情報について、本人又はその遺族(死亡した本人の子、孫その他の政令で定める者をいう。以下同じ。)の求めがあるときは、当該本人が識別される医療情報の認定匿名加工医療情報作成事業者への提供を停止することとしている場合であって、次に掲げる事項について、主務省令で定めるところにより、あらかじめ、本人に通知するとともに、主務大臣に届け出たときは、当該医療情報を認定匿名加工医療情報作成事業者に提供することができる
一 医療分野の研究開発に資するための匿名加工医療情報の作成の用に供するものとして、認定匿名加工医療情報作成事業者に提供すること。
二 認定匿名加工医療情報作成事業者に提供される医療情報の項目
三 認定匿名加工医療情報作成事業者への提供の方法
四 本人又はその遺族の求めに応じて当該本人が識別される医療情報の認定匿名加工医療情報作成事業者への提供を停止すること。
五 本人又はその遺族の求めを受け付ける方法

2 (略)

3 (略)

(書面の交付)
第31条 医療情報取扱事業者は、前条第1項の規定による通知を受けた本人又はその遺族から当該本人が識別される医療情報の認定匿名加工医療情報作成事業者への提供を停止するように求めがあったときは、遅滞なく、主務省令で定めるところにより、当該求めがあった旨その他の主務省令で定める事項を記載した書面を当該求めを行った者に交付しなければならない。

2 (略)

3 (略)

(医療情報の提供に係る記録の作成等)
第32条 医療情報取扱事業者は、第30条第1項の規定により医療情報を認定匿名加工医療情報作成事業者に提供したときは、(略)

(医療情報の提供を受ける際の確認)
第33条 認定匿名加工医療情報作成事業者は、第30条第1項の規定により医療情報取扱事業者から医療情報の提供を受けるに際しては、(略)

(医療情報取扱事業者から医療情報の提供を受けてはならない場合)
第34条 認定匿名加工医療情報作成事業者は、次に掲げる医療情報について、法令に基づく場合を除き、医療情報取扱事業者から提供を受けてはならない
一 第30条第1項又は第2項の規定による通知又は届出が行われていない医療情報
二 第31条第1項に規定する求めがあった医療情報

30条は、オプトアウト方式での提供を許す規定である。これは、改正個人情報保護法の施行により、要配慮個人情報のオプトアウト方式での提供が許されなくなることから、この法により、認定加工事業者への提供に限ってそれを可能とするものである。

しかし、「あらかじめ、本人に通知する」ことが条件になっている点が、従来のオプトアウト方式とは異なる。個人情報保護法23条2項のオプトアウト方式は、「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは」となっていて、「本人が容易に知り得る状態に置いて」いれば「本人に通知」する必要がないとされるものだった。「本人が容易に知り得る状態に置く」ことよりも、「本人に通知する」ことの方が高コストであるから、法案のこれは厳しいのではないか。

昨年末からパブコメにかけられていた「医療情報取扱制度調整ワーキンググループとりまとめ」の時点では、「∨椰佑゙医療機関等に対し、医療情報匿名加工・提供機関(仮称)への情報提供の停止を求めることを可能とするとともに、その旨及び手続に関する案内紙を本人に提示する、初診時に案内紙を本人に直接配布する等の措置を講じる。」(20頁)という案が書かれていたので、従来通りに「本人に通知、又は本人が容易に知り得る状態に置く」措置で足りるとする制度にするつもりなのだろうと思っていた。それが、法案では、意外なことに、「本人に通知」を必須とするというのである。

これは、個人情報保護の観点からは良いことである(掲示だけでは、事実上だまし討ちのようなものとの非難もあり得るのだから)ものの、これで本当に実施する医療機関等が出てくるのだろうかという点が心配になる。

他方で、前掲の「とりまとめ」には、続けて、「K椰佑、医療情報匿名加工・提供機関(仮称)に対して、医療等情報の破棄(データベースからの消去)を求めることを可能とする。」(20頁)とも書かれていたのに、今回の法案には、それを義務とする規定が存在しない*9。確かに、この削除請求の手段を欠いているのに、通知なしのオプトアウトで許されるとするのが、認められないというのは理解できる。

理想的には「本人通知」かつ「削除対応」であるところ、無理だからどちらもやりたくないというのは、さすがに通らないのだろう。どちらか一方だけやるとすれば、「本人通知」を必須とするより「削除対応」を必須とする方が、利活用の余地は大きいように思えるのに、今回の法案は、なぜ「削除対応」を入れなかったのだろうか。

31条は、オプトアウトに際して書面で残すことを義務付けるようだ。

32条と33条は、改正個人情報保護法で導入される個人データ第三者提供時の確認・記録義務と同様のものを入れるようだ。しかし、改正個人情報保護法では「名簿屋対策だ」とされていたわけで、趣旨が異なるものをこのように共通のルールで規定するというのは、筋が悪いのではないだろうか。

34条は、適切なオプトアウトの実施を、受領者側の認定加工事業者にも求めるということのようだ。

以上を見渡して、疑問に思うのは、「認定匿名加工医療情報作成事業者」は、匿名加工に際して「医療情報」しか扱うことができないのか、という点である。

つまり、医療機関等から認定加工事業者に提供されて匿名加工に使うのに相応しい情報は、「医療情報」に限られるわけではなく、それ以外の「個人に関する情報」も使いたいはずと考えられる。

ただ、「医療情報」の定義は、「病歴その他の……であるものが含まれる個人に関する情報」であるから、「それ以外の個人に関する情報」も、「医療情報」に含めて扱えば、全体として「医療情報」ということになるので、そういう運用が可能とは思われる。しかし、元の「医療情報」と「それ以外の個人に関する情報」とを分けて提供する(別のタイミングで提供する)場合はどうなのか。

「医療情報」でない情報は「要配慮個人情報」ではない(ように政令が定められる)はずだから、医療機関側としては、元々、第三者提供は(個人情報保護法23条2項のオプトアウト方式で)可能なので、そこは問題とならないということであろうか。

では、そのように分けて提供を受けた認定加工事業者の側での扱いはどうなるのか。法案の18条は、「匿名加工医療情報を作成するときは、……当該医療情報を加工しなければならない。」としているから、「医療情報」以外を加工のソースに含めることは許されないことになるのではないか。

しかしここでも、分けて提供を受けた「医療情報」と「それ以外の個人に関する情報」とを、認定加工事業者が突合して一つの「医療情報」に一体化させる前処理をすれば、「医療情報」として匿名加工に用いることができるのであろうか。

同様のことは、認定加工事業者が、複数のソース(「医療情報取扱事業者」以外を含む)から情報(「医療情報以外の個人に関する情報」を含む)を集めてきて、同一人について突合して一つの「医療情報」に一体化させる場合についても疑問点となる。この法案は、そういう場合を想定しているのだろうか。

また、そういったことを想定しているとした場合、「要配慮個人情報」であるが「医療情報」でないものが問題となる。つまり、「人種、信条、社会的身分」、「犯罪の経歴、犯罪により犯罪により害を被った事実」その他政令で定める記述等である。これらが「医療情報」に該当しないのなら、今回の法案の30条(医療情報取扱事業者による医療情報の提供)の対象外なので、改正個人情報保護法の規定により、本人同意なく提供は許されないことになる。

つまり、「匿名加工医療情報」作成のソースに、人種、信条、社会的身分、犯罪の経歴、犯罪被害の事実は使うことはできないということになる。人種が使えないのは認定事業に支障ないのだろうか。さらに、「その他政令で定める記述等」には、「身体障害、知的障害、精神障害(略)その他の個人情報保護委員会規則で定める心身の機能の障害があること」が含まれるが、このうち、「身体障害」や「精神障害」が使えないのは、認定事業の支障とならないのだろうか。それとも、これらの一部を「医療情報」定義の「病歴その他の当該個人の心身の状態」に含めるように政令で定めるのであろうか。

そしてもう一つの疑問点は、そうして集めた「医療情報」を認定加工事業者が、「匿名加工医療情報」以外の形に加工して、利用・提供することは認められているのかである。法案の17条(利用目的による制限)は、集めた「医療情報」を「認定事業の目的の達成に必要な範囲を超えて取り扱ってはならない」としている。

この「認定事業」は、(8条1項の認定に係る)「匿名加工医療情報作成事業」のことを指し、その「匿名加工医療情報作成事業」は、定義(2条4項)から「医療分野の研究開発に資するよう、医療情報を整理し、及び加工して匿名加工医療情報を作成する事業」のことであるから、「加工して匿名加工医療情報を作成する」こと以外には「整理」することしか事業として想定されていない。

したがって、認定加工事業者は、「医療情報」を、「匿名加工医療情報」に該当しない(匿名加工情報にも該当しない意味で)ような、統計量に集計したデータ(「個人に関する情報」に該当しないところまで集計加工すると法の定義上「匿名加工情報」ではなくなる。)を作成して、利用・提供することは、認定事業の範囲を超えてしまうことになるのではないか。

個人情報保護法においては、以前にも触れたように、個人情報を統計量に集計して利用することは個人情報の利用に当たらないという解釈が、経産省ガイドラインQ&Aの「Q45」で示されていたところだが、これは、個人情報保護委員会が先ごろ公表した新Q&Aの「Q2-5」に引き継がれており、「統計データへの加工を行うこと自体を利用目的とする必要はありません。」と書かれた。

そのことと同様に解釈すれば、「医療情報」も、統計量に集計することは「医療情報の利用」に当たらないということになるようにも思える。しかし、個人情報保護法16条(利用目的による制限)は「特定された利用目的の達成に必要な範囲を超えて」と書かれているのに対し、この法案の17条(利用目的による制限)では「認定事業の目的の達成に必要な範囲を超えて」と書かれていて、「利用」という言葉が使われていない。新Q&A「Q2-5」は「利用目的」について言っているだけであって、この法案では、それとは別に「認定事業」の目的にそのような行為が含まれるかが問題となる。

もし、統計量に集計して提供する事業が「認定事業」に該当しないとなれば、統計量を提供したいときは、あえてわざわざ「個人に関する情報」の形で(つまり、個票の形で)提供することになるのであろうか。

以上が、先月、国会提出法案を見てのファーストインプレッションだった。

なお、情報法制研究所(JILIS)からは、昨年末のパブリックコメントに際して、以下の意見を提出していた。

  • 「医療情報取扱制度調整ワーキンググループとりまとめ」にする意⾒, 一般財団法人情報法制研究所 個人情報保護研究タスクフォース, 2017年1月26日

    意見1
    【該当箇所】p.8
    【意見】 本制度が法制化を目指している、匿名加工情報に加工して希望する匿名加工情報取扱事業者に提供する事業(以下、「加工提供事業」と言う。)と、本人のためのサービスであるEHR事業とは、情報管理が混同されることのないよう、明確に区別する必要がある。
    【理由】 (略)

    意見2
    【該当箇所】p.20
    【意見】 医療情報匿名加工・提供機関(仮称)は、安全管理措置として、氏名・生年月日・住所等を削除した仮名化データのみを保有するべきであり、また、「医療情報等の破棄」を実現するために、情報の提供元である医療機関等で対応表を管理する連結可能匿名化の仕組みを用いるべきである。
    【理由】 (略)

    意見3
    【該当箇所】p.20 脚注11
    【意見】 脚注11で、医療情報匿名加工・提供機関(仮称)が匿名加工情報ではない医療等情報の提供を可能としている理由は、個人情報保護法の適用除外の考え方を逸脱しているのではないか。
    【理由】 (略)

    意見4
    【該当箇所】p.8
    【意見】 医療情報匿名加工・提供機関(仮称)は匿名加工情報に該当しない統計情報の提供を可能としているのか、明らかにされたい。
    【理由】 (略)

    意見5
    【該当箇所】全体
    【意見】 医療情報匿名加工・提供機関(仮称)に集中するリスクを低減するため、将来は、暗号を用いたプライバシー保護データマイニング技術を導入することや、集中型ではない分散型の医療ICT基盤を目指していくべき。
    【理由】 (略)

このパブコメは回答しないタイプのものだったので、これがどのように考慮されたのか不明であるが、出てきた法案をこれに照らすと次のように思った。

意見1については、「とりまとめ」が、EHR事業との混同を積極的に促すような書きぶりになっていたのを懸念したものだったが、法案には、それを増長させるような規定はなかった。

ただ、EHR事業の事業者が「医療機関等」に該当するのかが論点となり得る。これは、脚注4に書いたように、医療機関から診療録等の取扱いを委託されている受託事業者が「医療情報取扱事業者」(2条5項)に該当するものとして想定されているのか(EHR事業が、医療機関からの委託により提供されていると捉える場合)という点が一つと、EHR事業が、本人の希望によって直接的に利用される事業(当該事業者が自らdata controllerとして個人情報の取扱い主体となる形)である場合に、その事業が「医療情報取扱事業者」(2条5項)に該当するものとして想定されているかである。これらの点は明確にされていないように思える。

意見2については、【理由】のところに書いているように、本人によるデータ削除の請求をどうやって実現するのかに絡めた意見であったのだが、法案では、データ削除の請求を受け付ける制度になっていなかった。

したがって、氏名等の特定の個人を識別するために用いる情報(氏名等)を保有しておく必要が完全になくなったように見える。となると、「医療情報取扱事業者」から提供を受ける時点で、氏名等を削っておくことが安全管理措置として望ましいということになるが、そうするつもりがあるのかが論点となり得る。

その場合に、氏名等を削ったデータの「個人情報」該当性(この法案では「医療情報」該当性)が論点となる。このことは、【理由】のところで以下のように主張していた。

なお、この場合、医療情報匿名加工・提供機関(仮称)が保有するデータが、仮名化データとなり、当該機関においては個人情報保護法の(保有)個人データ(個人情報)に該当しないものとなり得るかもしれないが、提供元で個人データに該当するものの提供を、本制度の下で受けたものであることを理由に、当該機関においても(保有)個人データに該当するものとみなして、本人からの開示等の請求等への対応を含み、個人情報保護法の義務を適用する制度とするべきである。

仮名化されたデータの受領者において当該データが「個人情報」に該当するかについては、医学系研究倫理指針の改正では、(対応表を保有しない限り)該当しないとして整理されたが、その解釈を採用すると、上記のようにした場合、認定加工事業者において、集めたデータが「医療情報」に該当しないことになってしまい、法案の18条の「匿名加工医療情報を作成するときは、……当該医療情報を加工しなければならない。」を実行できないことになってしまう。そういうわけにはいかないので、認定加工事業者においては「医療情報」として扱うのだろう。*10

そうすると、疑問となるのは、今回上の方で書いたように、「医療情報」が個人情報保護法の「保有個人データ」にも該当し、「認定加工事業者」に個人情報保護法の「保有個人データ」に係る義務も課されるのだとした場合に、氏名等を保有していないのに開示等の求めに対してどう応じるのだろうかという点である。もし、応じるのだとすれば、意見2の【理由】に書いた以下の部分の「削除」を「開示」に置き換えた方法が考えられる。

また、本人はどこに削除の要求をすることになるのか。本人にとって医療情報匿名加工・提供機関(仮称)は遠い存在であって、削除をどこに求めればよいかがわからず、制度に対する不信感を持たれてしまうことが懸念される。本人に近い存在は本人が診療等を受けている医療機関等であるから、そうした医療機関等に求めることができる体制とするべきである。また、そのようにすれば、必要な本人確認は自然な形で行われることになる。

要求を受けた医療機関等は、その要求を医療情報匿名加工・提供機関(仮称)に伝達して、これを受けて削除を実施することになるが、どの仮名化データの削除が要求されているのかを特定するためには、提供元の医療機関等で氏名等と仮名(識別子)との対応表を管理する必要があろう。すなわち、従前「連結可能匿名化」と呼ばれてきた方法を用いることができるのではないか。

ただ、そもそも「保有個人データ」の開示等請求権は何のためにあるのかから考え直す必要があるように思える。認定加工事業者に集められた「医療情報」は、本人に何らかの影響を及ぼすことを想定しておらず、出口は「匿名加工医療情報」のみ(あるいは統計量データも含むか)であるから、本人からしてみれば、正確性の確保はどうでもよいことだし、訂正請求をする必要性もないように思われる。プロファイリングされることもないのだから、開示請求をする意義にも欠けるように思われる*11。こういったことを議論する必要があるだろう。

意見3については、法案にはそれをよしとする規定はないように見えた。意見3の「脚注11」とは、「認定加工事業者」が、保有している「医療情報」を、個人情報に該当するようなデータのままで提供することが、提供先が学術研究機関で学術研究の目的のためであれば許されるのかという話である。

法案は、それを許しているようには見えない。26条(第三者提供の制限)には、1項で例外が規定されているが、「法令に基づく場合」(1号)と、「人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合」(2号)*12のみとなっており、個人情報保護法23条1項の例外には存在した「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。」(4号)と「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。」(3号)が削られているくらいなのだから、想定していないのだろう。*13

意見4については、前記の通りであり、明らかになっていないように思える。

意見5については、この法案のそもそも論である。

【理由】
本件「とりまとめ」が提案する構想では、医療情報匿名加工・提供機関(仮称)にあらゆる人々のあらゆる情報が集められ、突合され、継続的に蓄積されることになる。大量のデータ流出といった事故が起きれば、重大な権利利益侵害が発生することになるから、そのような事態を完璧に防ぐ万全の安全管理措置が計画されているのであろう。しかし、本来は、そうした事故を防ぎ切れなくとも、被害が最小化されるような仕組みの構築を検討するべきではないか。

例えば、複数の医療機関等に跨って保有されている同一人の医療情報等を突合して分析することは、準同型暗号を用いたプライバシー保護データマイニング(Privacy-Preserving Data Mining、PPDM)技術を用いれば、本件「とりまとめ」が提案するような、データを実際に一箇所に集める必要がない。現時点では、そのような技術が実用化されていないので、その実用化を待たずに、医療情報匿名加工・提供機関(仮称)を先に実現していく必要性は理解できるが、将来には、リスクを低減するため、こうした高度な技術を導入して、情報の集中を避けることも計画していくべきではないか。

また、そうした技術をまだ用いることができないにしても、データを分散させて管理する*14別案もあり得たのではないか。医療情報匿名加工・提供機関(仮称)は、データが必要とされる前から、あらゆる人のあらゆる分野の情報を集めて準備しておく方式であるがゆえにリスクが高いが、分野ごとに蓄積されているデータを、必要に応じて医学研究者等が必要最小限のデータを集めて突合し、分析を終えたらデータを返却するといった仕組みも考えられ、そちらの方がリスクが低いと言えるのではないか。そうした別案も検討していくべきではないか。

今これを言っても、この法案自体がどうなるというものでもないだろう。次の施策に向けて提案していきたい。

*1 内閣官房 健康・医療戦略推進本部

*2 この法律は、国の施策も第2章で規定され、基本法の様相を呈しているので、事業法と言うのは相応しくないのだろう。しかし、「次世代医療基盤法」だと言うからには、匿名加工に限らずに、「医療分野の研究開発に資する」医療情報の利用について扱うものとなっていて然るべきところ、そうはなっていない。将来にそこまで広げる予定があるということなのかもしれないが、この法案を見る限りは、完全に匿名加工医療情報に関してだけ規定されており、基本法部分である第2章も、国の施策が「匿名加工医療情報に関する施策」「匿名加工医療情報に関する基本方針」と明記されてしまっているので、匿名加工医療情報からはみ出すことは想定されていないように見える。6条の「規格の適正化」では、「医療情報及び匿名加工医療情報について、適正な規格の整備」としており、「医療情報」まで規格の対象に含めているものの、「……匿名加工医療情報の作成に寄与するため」としているし、7条の「情報システムの整備」でも、「匿名加工医療情報の作成を図るため」の情報システムの整備を指しているにすぎない。

*3 後述のように、「要配慮個人情報」は死者の情報を含むので、その意味で「医療情報」は「要配慮個人情報」の部分集合ではないのだが、ここではその点をさし置いて、死者を含まない「医療情報」が「要配慮個人情報」の部分集合となるのかについて。

*4 しかし、資料の「概要」には「医療機関等」と書かれており、「等」が何を指すのかが不明になっている。医療機関以外が「医療情報」の処理情報(データベース等)を事業の用に供することもあり得るから、法案の定義からすれば、それら(例えば、本人の同意を得て医療情報を研究開発目的で取り扱っている研究機関や医薬品開発事業者)も「医療情報取扱事業者」に該当してしまいそうだが、そういう趣旨なのだろうかと疑問がある。また、医療機関から診療録等の取扱いを委託されている受託事業者がこれに当たるのかもはっきりしない。受託事業者はdata processorに徹するべきで、委託元の医療機関の判断(data controllerとしての)なしに受託事業者が勝手に提供することができるものとしてこの規定を解釈すべきではないように思える。

*5 なるほど、こういうときはこうやって規定すればいいのだな。法制執務的帰納法だな。番号利用法10条もそうなっていたのか。2015年12月6日の日記の脚注4の件もこうすればよかったか。

*6 その点、現行の個人情報保護法は、個人情報データベース等に格納される前の段階の個人情報は、たとえ個人情報データベース等を構成するものとすることを予定している場合であっても、「個人データ」ではないとするのが政府解釈となっている。ここは、私の意見としては、そのような情報も「個人データ」として扱うべく法改正するべきと考えているのだが、今回の法案では、そういう整理がされていないので、「医療情報」を「個人データ」相当のものに限るようにしなかったのは已むを得ない。

*7 気になったのは、取得の制限が規定されていないから、どこから「医療情報」を取得するのかが問題となりそうに思えた。17条(利用目的による制限)、25条(他の認定匿名加工医療情報作成事業者に対する医療情報の提供)、26条(第三者提供の制限)では、「第25条又は第30条第1項の規定により医療情報の提供を受けた」ものに限定している(30条1項は医療機関等からの提供)からよいが、他の義務にはその限定がない。認定加工事業者も従業者に関する自社での健康診断結果の情報を取り扱うはずで、その情報は「医療情報」に該当するはず(「医療情報」の定義は用途を要件としていないので)であり、その取扱いにもこの法が適用されるのか。その点、19条から24条及び27条は「認定事業に関し管理する医療情報」に限定しているので、そこの点は回避されるようにちゃんと手当てされているようだ。ただ、それでも疑問として残るのは、認定加工事業者の従業者の自社での健康診断結果の情報(「医療情報」に該当)を、この認定事業の用に供することは許されているのかどうかである。禁止はされていないので可能ではあるが、想定されたことではないように思える。(このような綻びが生じるのは、「医療情報」の定義を用途で限定しないからだ。)

*8 2016年6月12日の日記「行政機関法改正の論点 国会会議録から抜粋」の論点「1」に書いた件。この件はその後、JILISからの情報公開請求により、何があったかが一部明らかになっている。この点は後日別途書く予定。

*9 前記のように、認定加工事業者が保有する「医療情報」について、個人情報保護法の「保有個人データ」に係る義務も課されるのだとしても、保有個人データに係る利用停止請求権は、個人情報保護法16条、17条、23条1項に違反して、取得・取扱い・提供されていることを理由に「利用の停止又は消去」を請求することができるものであって、無条件に請求できるものではないのだから、「とりまとめ」が書いていたことを実現するものではないはずだ。

*10 ここは、改めて、個人情報定義の「他の情報と容易に照合することができ」をどう解釈するかの論点を蒸し返すことになる。これについては日を改めて書くことにしたい。

*11 パブコメ意見の意見2で「個人データに該当するものとみなして、本人からの開示等の請求等への対応を含み、個人情報保護法の義務を適用する制度とするべきである」と主張したことと矛盾するが、これは、法案がどういうものになるかわからない中で、どうにか現行法にひっかけて、「個人情報でない」とかいう扱いにならないように釘を刺すために、こう言うしかなかったもの。

*12 この例外も、設ける必要があったのか疑問だ。元データは医療機関にあるのに、どういう場合を想定して必要があるとしたのだろうか。

*13 ただ、「法令に基づく場合」が例外として残ったことから、警察が提供を求めたら丸ごとデータを持っていかれることをこの法は阻止しないことになる。

*14 ここで言っている「分散させて管理」は、単にデータベースの置き場所を物理的に分散させろという意味ではない。同一の事業者(data controller)に全部を持たせるのが危ういという意味である。

本日のリンク元 TrackBack(0)

2017年03月10日

「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか

残念なニュースが入ってきた。

このサイトについては、今年の正月早々に以下の件で話題になっていた。

このとき、タイトルには「国税……」とあるが、「国税クレジットカードお支払サイト」と「都税クレジットカードお支払サイト」の両方を話題にしていた。

これは、GMOペイメントゲートウェイ株式会社とトヨタファイナンス株式会社が組んで、東京都への都税の納税代行と、国税庁への国税の納税代行をする「クレジットカードお支払いサイト」を運営している*1のだが、サイトの画面構成からして、誰が運営主体なのか不明だということが問題となっていた。

国税の方については、少なくとも国税庁が運営しているものではないことは(比較的*2)明白であり、サイトのドメイン名が「noufu.jp」となっていて政府ドメイン名「.go.jp」でないことについては何ら問題がなく*3、しかし、民間事業者のどこが運営してるのかが、画面構成からはいまいちハッキリしない(本文中に一応「国税庁長官が指定した納付受託者(トヨタファイナンス株式会社)が運営する」とは書かれているものの、トヨタファイナンスのロゴ等はどこにもなく、正体が隠されたような感じになっている。)ことが問題点であった。

それに対して、「都税クレジットカードお支払サイト」は違っていた。

それから2か月、本当に事故が起きてしまった。

今回、国税の方では被害がないようだ*4が、もし仮に、国税の方で被害が出た場合、正月に上記のようにツイートしていたように、国税庁には直接の責任がないだろう。国税のコンビニ払いでコンビニが事故を起こしても、コンビニ事業者の責任であって、国税庁には、そのような事業者を指定してしまったことに過失はなかったかという限度の責任しかないのと同様にである。(それに対して、もし、e-Taxで事故が起きたら、たとえサーバ保守をどこかの業者に委託していようとも国税庁が直接の責任を負うわけだが、それとは異なる。)

しかし、今回の事件で、都税について出た被害で、東京都主税局の責任はどうか。都税の方では、サイトの左隅上に「東京都主税局」のロゴが貼られており、「公式」との表記もあることから、多くの人が、これを東京都主税局が運営するサイトと誤認していた。「https://zei.tokyo/」というドメイン名がふざけていると(「.lg.jp」ドメインを使うべきと)怒っていたセキュリティ専門家のような人々でさえ、東京都主税局が運営していると思い込んでいた。

したがって、今回の事件での被害者の何十万人は、東京都主税局が運営するサイトだから安全だろうと思って利用したであろう。すると、東京都主税局がそのような誤認サイトを放置した(もしくは積極的にロゴの使用を認めていた)のであれば、東京都主税局にもサイト運営社並みの責任が問われるのではなかろうか。

なお、今回の事件で、東京都は、以下のように、およそ運営主体には見えない(単にサービスが停止していることを迷惑としているだけなので)発表をしている。

  • 「都税クレジットカードお支払サイト」における不正アクセスについて, 東京都主税局, 2017年3月10日

    都税のクレジットカード納付を行うために、受託事業者が運営している「都税クレジットカードお支払サイト」について、外部からの不正アクセスにより、クレジットカード情報とメールアドレスが流出したおそれがあることが判明しました。

    このため、「都税クレジットカードお支払サイト」については、平成29年3月10日11時15分より利用を停止しております。関係者の皆様には、多大なご迷惑をおかけし、深くお詫びを申し上げます。

本来ならば、そのような突っぱねた態度(事故は指定事業者の問題であると)で正しいのだが、「東京都主税局」のロゴを貼らせ(貼ることを許し)、東京都主税局運営サイトであるかのように利用者が誤認していたことについて、何か言うことはないのか。

なお、正月にこの件が話題になった後も、改善はされていなかったようだ*5

他方、GMOペイメントゲートウェイ社の発表は、以下のようになっており、東京都から自ら受託しているかのような記述になっている。今になってもなお依然としてトヨタファイナンスからの受託であることを理解していないのだろうか。

  • 不正アクセスに関するご報告と情報流出のお詫び, GMOペイメントゲートウェイ株式会社, 2017年3月10日

    GMOペイメントゲートウェイ株式会社(以下、当社)において運営受託しております東京都様の都税クレジットカードお支払サイトおよび独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトにおいて、第三者による不正アクセスが確認され、情報が流出した可能性があることが判明いたしました。

    このような事態を起こし、お客様および関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますこと、心より深くお詫び申し上げます。

その点、トヨタファイナンス社の発表では、この点が正確な記述になっている。

  • 不正アクセスに関するご報告とお詫び, トヨタファイナンス株式会社, 2017年3月10日

    当社が東京都様より都税の収納代行業務の指定を受け、運営しております「都税クレジットカードお支払いサイト」におきまして、サイトの運営を委託しておりますGMOペイメントゲートウェイ株式会社(以下、GMO-PG社)のサイトに第三者による不正アクセスが確認され、情報が流出した可能性があることが判明いたしました。

    このような事態を起こし、お客さまおよび関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますこと、心より深くお詫び申し上げます。

ちなみに、本来どうあるべきかについては、正月のときにもツイートしていた。

こういう事故が起きても、2つ以上の事業者を指定してサービスが提供されていれば、片方が停止しても、納税者はもう一方を利用することができる。複数の事業者らは、それぞれのブランドを前面に出して利用者の信頼を得て、競争するのが本来の形であろう。

それから、トヨタファイナンス社が、この事業についての利用目的の公表義務(18条1項)と直接書面取得時の利用目的明示義務(18条2項)を怠り、個人情報保護法に違反している*6ことも、この際ちゃんと*7追求してほしいところだ。

*1 他にも、「愛知県県税クレジットカードお支払サイト」(zei.aichi.jp)や「大阪府自動車税お支払サイト」(publicservice.jp/osaka)、「三重県自動車税お支払サイト」((publicservice.jp/mie))、「福岡市税クレジットカードお支払サイト」(zei.gmopg.jp/city/fukuoka)などがあるようだが、なぜか一覧表が存在しない。トヨタファイナンス社はこのビジネスをやる気があるのだろうか。

*2 それでもなお、当該サイトのフッタには、「国税庁HP」とのリンクがあり、国税庁運営であるかのような誤解を若干与える部分は残存しているが。

*3 ただし、民間事業者が金銭関係のサービスを運営するサイトのドメイン名としては、運営者を明確にした「.co.jp」のドメイン名の方が望ましく、「.noufu.jp」というのはあまりに拙く、「ナメとんのか」という印象を拭えない。

*4 トヨタファイナンスの発表文によれば、「尚、当社が収納代行業者と指定されております国税及び他の自治体のサイトのご利用中のサービスにつきましては、現時点では同様の問題が発生していないことを確認しております。」とある。

*5 当該サイトのGoogleの「キャッシュ」と称した半永続コピー(2017年3月8日 22:40:47 GMT 時点)による。

*6 現在でも、「国税クレジットカードお支払いサイト」は、「個人情報の取り扱いについて」や「プライバシーポリシー」といったページに、トヨタファイナンス社の公表事項を記載していない。(今回の事故の発表で、トヨタファイナンス社は「当社が運営」「GMOに委託」と認めている。)

*7 安全管理措置ばっかじゃなくて、利用目的義務違反もちゃんと執行しろって。

本日のリンク元 TrackBack(0)

2017年03月05日

鳥取県の条例改正案、非識別加工情報導入で矛盾噴出(パーソナルデータ保護法制の行方 その28)

はじめに

前回の日記「個人情報ファイル概念が欠如している自治体条例」を書いた数日後、鳥取県が個人情報保護条例を改正して匿名加工情報の制度を導入するとのニュースが入ってきた。

  • ビッグデータ県が民間提供 産業創出へ体制整備, 日本海新聞, 2017年2月22日

    鳥取県は新年度、個人情報を匿名化した上でビッグデータとして民間事業者に提供する取り組みを始める。購買行動の分析などビジネス情報として活用が想定される。県は、個人情報保護条例などの一部改正案を22日開会の2月定例会に提出する。都道府県でビッグデータ活用に関する条例改正案を提案するのは県が初めて。(略)

鳥取県議会のサイトを調べてみたところ、2月23日の総務教育常任委員会の資料として、その改正案が公表されていた。

「匿名加工情報」ではなく「非識別加工情報」となっているのは想定内だが、施行日が5月30日とあり、国の改正法と同時施行とはこれまたチャレンジングだ。早速、改正案を読み込んでみたところ、案の定、いくつもの問題点があることに気づいた。列挙すると以下である。

  • 「個人情報ファイル簿」を導入するのに「個人情報取扱事務登録簿」を廃止していない。
  • 「非識別加工情報」の解釈が行政機関個人情報保護法と同じであるなら「非識別加工情報」は「個人情報」に該当するはずなのに、既存の「個人情報」に係る義務規定から「非識別加工情報」を除く手当をしていない。
  • そもそも「非識別加工情報」が「個人情報」に該当するとする解釈をとっているのかが不明。
  • 鳥取県から「非識別加工情報」の提供を受けた民間事業者においてそのデータが必ず「匿名加工情報」に該当するのかが、ますます不明。
  • 匿名加工情報への加工の基準は、鳥取県が独自に規定するのか。
  • 情報公開条例の改正案も出ているが、不開示情報に「非識別加工情報」を入れていないのは、情報公開請求できるということか。
  • 「実施機関非識別加工情報」というネーミングに違和感。

以下、それぞれについて書いておく。

「個人情報取扱事務登録簿」を廃止していない

前回の日記で指摘したことは、「個人情報ファイル」概念のない自治体が7割を超えており、そのままでは匿名加工情報(非識別加工情報)の加工基準が定まらないとする問題であったが、鳥取県もそれに該当する自治体だった。それが、この条例改正案で「個人情報ファイル」概念を新たに導入するという。

この改正案は、「個人情報ファイル簿」を規定するために「個人情報ファイル」を規定し、その「個人情報ファイル」を規定するために「保有個人情報」を規定するという形になっている。元の条例には「保有個人情報」の概念もなかったので、「個人情報ファイル簿」に必要な概念一式を、行政機関法から根こそぎ移植した形になっている。

そういうやり方自体はまあアリだとは思うが、しかし、「個人情報ファイル」というのは「非識別加工情報」のためだけに存在するわけではない。保有する個人情報ファイル(そのうち、その存在を公表するものとして定められたもの)について「個人情報ファイル簿」を作成して公表することになっているのは、1988年制定の「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」(昭和63年法)以来の伝統ある制度であり、その趣旨は、国民の不安感に対応するために個人情報ファイルの存在と概要をできる限り国民に明らかにするというものであった。国が1988年からそのような制度を設けてきたのに、鳥取県をはじめとする多くの自治体がこれに追随せず、「個人情報ファイル簿」を規定してこなかったわけだが、それで許されてきたのは、類似の概念である「個人情報取扱事務登録簿」を別途規定して、それで足りるとしてきたからだろう。

実際、前回の日記でも触れたように、自治行政局で開催中の「地方公共団体が保有するパーソナルデータに関する検討会」の資料では、「個人情報ファイル簿等(個人情報取扱事務登録簿を含む。以下同じ。)」として、「個人情報取扱事務登録簿」を「個人情報ファイル簿」と同一視しているのだから、これらは同趣旨のもので、中身もほとんど同一のものとなるべきものと考えられる。

そうすると、条例改正で「個人情報ファイル簿」を導入するのなら、「個人情報取扱事務登録簿」は廃止して然るべきと思われるところ、鳥取県はこれを廃止しなかった。条文で見ると、以下のように、「個人情報取扱事務登録簿」の規定と「個人情報ファイル簿」の規定の両方が存在しており、なすべきことがダブってしまっている。

(個人情報取扱事務の登録)
第5条 実施機関は、個人情報取扱事務を開始しようとするときは、あらかじめ、個人情報取扱事務登録簿(以下「登録簿」という。)に、次に掲げる事項を登録しなければならない。登録した事項を変更しようとするときも、同様とする。
(1) 個人情報取扱事務の名称
(2) 個人情報取扱事務を所管する組織の名称
(3) 個人情報取扱事務の目的
(4) 個人情報取扱事務の対象者の範囲
(5) 取り扱う個人情報の項目
(6) 個人情報の収集先
(7) 個人情報を実施機関以外のものに経常的に提供する場合には、その提供先
(8) その他規則で定める事項

(略)

6 実施機関は、規則で定めるところにより、登録簿を一般の閲覧に供しなければならない

(個人情報ファイル簿の作成及び公表)
第6条 実施機関は、当該実施機関が保有している個人情報ファイルについて、規則で定める事項を記載した帳簿(以下「個人情報ファイル簿」という。)を作成し、公表しなければならない

(略)

改正後の鳥取県個人情報保護条例

6条で「個人情報ファイル簿」に記載する事項は「規則で定める」とされているが、おそらくは、5条1項各号と同じようなものになるのだろう。

たしかに、「個人情報取扱事務登録簿」を廃止してしまうと、それを基礎にした他の規定に変更を加える必要が生じるので、ほいそれとは廃止できないという事情はあり得る。鳥取県条例では、例えば、8条の「利用及び提供の制限」では、「登録簿に登録された目的以外の目的のために個人情報を……してはならない。」と規定しているし、7条の「収集の制限」では、「登録簿に登録された目的を達成するために必要な範囲内で……個人情報を収集しなければならない。」と規定しているので、ここを「個人情報ファイル簿に登録された……」に置き換えてよいのかが論点となる。

もしそのように置き換えると、個人情報ファイルを構成する個人情報(記録された、又は、記録することを予定した個人情報)のみが対象ということになり、それ以外の散在情報は対象としないことになってしまうから、行政機関法が平成15年の全部改正で散在情報まで対象としたことと乖離してしまう。もっとも、それを言えば、改正前の鳥取県条例でも、「個人情報取扱事務登録簿」に登録された個人情報の取扱いしか想定していない*1わけで、先と同様に、行政機関法が散在情報を含む保有個人情報まで対象としているのに比べて範囲が狭いものとなっている*2のであり、元から乖離しているのだとも言える。

今回の改正案は、こうした論点を避けて、単純に条を追加するだけにしたのかもしれないが、「個人情報取扱事務登録簿」と「個人情報ファイル簿」で事務が二重になるのに、そのことを承知しているのだろうか。

また、行政機関法からの根こそぎ移植に伴って入った「保有個人情報」の規定も、なんだか不恰好なものになっている。「保有個人情報」は改正により2条7号として以下のように追加されるが、同様の概念は、改正前から、以下のように2条5号の「個人情報取扱事務」に含意されていたのであり、ここでも概念がダブっている。

(定義)
第2条 この条例において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(略)

(4) 公文書等 次に掲げるものをいう。ただし、電子計算機を使用して行われる専ら文書を作成し、又は文書、図画若しくは写真の内容を記録するための処理その他規則で定める処理に係るものを除く。

ア 実施機関の職員(県が設立した地方独立行政法人にあっては、役員を含む。以下同じ。)が職務上作成し、又は取得した文書、図画、写真及びスライド(これらを撮影したマイクロフィルムを含む。)であって、当該実施機関の職員が組織的に用いるものとして、当該実施機関が保有しているもの

イ 実施機関の職員が職務上作成し、又は取得した情報で当該実施機関の職員が組織的に用いるものを記録する磁気テープ、磁気ディスクその他これらに準ずる方法により一定の事項を確実に記録しておくことができる物であって、当該実施機関が保有しているもの

(5) 個人情報取扱事務 実施機関が個人情報を収集し、実施機関において利用し、又は実施機関以外のものに提供し、及び管理する事務(実施機関以外の者に委託して行うものを含む。)であって、当該個人情報を公文書等に記録するものをいう。

(略)

(7) 保有個人情報 実施機関の職員が職務上作成し、又は取得した個人情報(生存する個人のものに限る。)であって、当該実施機関の職員が組織的に利用するものとして、当該実施機関が保有しているものをいう。ただし、公文書等に記録されているものに限る。

改正後の鳥取県個人情報保護条例

公的部門では、保護する個人情報の範囲を、職員が組織的に利用するものとして当該機関が保有するものに限っており、これが民間部門と違っているところ*3なわけだが、改正前の鳥取県条例でも、「保有個人情報」の用語こそ使われなかったものの、「個人情報取扱事務」にその限定がかけられており、同様の範囲に限っていた。

したがって、今回の改正で、「保有個人情報」を定義するなら、条例の規定の全体を「保有個人情報」を用いて構成し直せばよいものを、鳥取県はそれをせず、単に「保有個人情報」を追加するだけとした。そのくせ、「保有個人情報」は「非識別加工情報」のためにしか使われていない*4

結果的に同じものを規定しているのだから、この機会に全体を再構成することはできたように思えるが、鳥取県は、本当に熟考の上でこのようにしたのだろうか。「個人情報取扱事務登録簿」と「個人情報ファイル簿」の事務がダブっていることからして、どこかから与えられた「非識別加工情報」導入パッケージのパッチを考えなしにダブルクリックでインストールしただけのように思えてならない。

「非識別加工情報」を個人情報に係る義務から除外していない

昨年6月12日の日記「行政機関法改正の論点 国会会議録から抜粋」で書いたように、「匿名加工情報」が行政機関法では「非識別加工情報」という別の名前にされたのは、民間部門の規律とは違って行政機関法では「非識別加工情報」は「個人情報」であると解釈されていることが、その理由だとされている。このことは、改正法案の国会審議で以下のように明らかにされている。

○高井委員 岡山から参りました高井崇志でございます。

(略)

ところが、この匿名加工情報という概念をせっかく個人情報保護法で導入したのに、今回の行政機関個人情報保護法では違う言葉になっているんですね。

実は、当初の議論ではずっと同じ言葉で法律がつくってこられた、そういった情報も何度か総務省からも出されていて、そういう資料でも匿名加工情報という名前だったのに、二月の下旬ぐらい、これは三月八日に閣議決定しているので、一週間ないし二週間ぐらい直前に、突然違う、非識別加工情報という名前に変わった。これは、仄聞するところでは、内閣法制局から、長官からの指示で急に変更になったということなんです。

私は、変更したことによって、いろいろな法文、ほかの法文にも影響が生じていて、非常に大きな問題であると今思っているんですけれども、これはなぜ非識別加工情報という別な言葉に修正をしたのか。そして、これによってほかの条文への波及をする混乱というのは生じないんでしょうか。

○上村政府参考人 お答えを申し上げます。

委員御指摘のとおり、今回、この法案では非識別加工情報という名称でお諮りをしたいと思ってございますが、行政機関が作成する非識別加工情報というのは、もとの個人情報から氏名それから住所を削除する、あるいはデータを入れかえする、こうした方法によって作成するところなんですけれども、このもとになったデータというものは、これは非識別加工情報をつくった後においても行政機関において保有されるということになっております。

また、非識別加工情報につきましては、行政機関におきましては照合を行う必要がある場合もあり得ます。したがいまして、他の情報と非識別加工情報の照合を禁止するという規定は置いていないわけでございます。

そういたしますと、これは理論上、行政機関の内部におきましては、非識別加工情報は、作成のもととなったデータと照合することは可能ですので、個人情報に該当することになります。他方、委員御指摘の個人情報保護法におきます匿名加工情報は、これは個人情報に該当しないということになってございますので、この二者を区別する必要がある。そのために別の名称、この場合、非識別加工情報という名称を付しているというわけでございます。

ほかに混乱が生じないかということでございますが、当然、お諮りを今度予定しております、お願いしております法案の条文には、その名称の変更はございます。

他方、行政機関から外に出ていった場合でございますが、民間事業者に提供された場合は、受け取る側の民間事業者にとっては、これは個人情報保護法が一律に適用になることになります。したがいまして、この情報は、民間事業者が受け取った段階で匿名加工情報となります。したがいまして、個人情報保護法の規定に沿いまして照合禁止の義務もかかりますので、ほかのデータと照合するということはできません。

したがいまして、民間事業者にとりましては、法運用は統一されておりますので、混乱は生じない仕組みとなっておる、そのように考えております。

国会会議録 第190回国会 衆議院総務委員会第11号(平成28年4月5日)

この考え方自体に疑問があることは、昨年4月6日の日記「行政機関法では再識別禁止がないから個人情報に当たるですって?」で書いたが、その件はここでは脇に置いておくとしよう。

あまり知られていないことと思われるが、実は、行政機関法では「非識別加工情報」が「個人情報」に該当するとの前提から、昨年の改正法では、以下のように重要な除外条文(傍線部)が入っていた。

PDFの一部分
図1: 平成28年行政機関法改正案の新旧対照表より抜粋

これは、「保有個人情報」から「行政機関非識別加工情報」と「削除情報」に該当するものを除くとしており、6条1項と8条、12条1項においてもそうするとしている。同様に、「個人情報」からもそれらを除くとし、7条、38条、48条、50条、51条においてもそうするとしている。

つまり、正確性の確保、安全確保措置、従業者の義務、利用及び提供の制限、開示請求権、利用停止義務といった、個人情報を対象とする各種義務規定において、行政機関非識別加工情報は対象としないということをわざわざ言っている*5わけである。これは、そうしないと、匿名加工して作成した行政機関非識別加工情報が、個人情報に該当するという解釈なので、提供しようとすると、8条の「利用及び提供の制限」において目的外提供に当たり、違反ということになってしまうからである*6

ところが、このことが鳥取県の条例改正案では手当されていないのである。

鳥取県の条例改正案は、31条に「実施機関は、実施機関非識別加工情報を作成し、及び提供することができる。」と規定するが、改正前の8条(利用及び提供の制限)の「登録簿に登録された目的以外の目的のために個人情報を……実施機関以外のものに提供してはならない。」は改正で変更しないため、矛盾してしまう*7

また、鳥取県条例は、自己情報開示を次のように規定しているが、改正案はここを変更しない。したがって、行政機関法と同じく「非識別加工情報」は「個人情報」であるとする解釈をとるならば、「非識別加工情報」の開示請求がなされたら、これに応じなければならないことになる。(行政機関法では請求できないことになっているのに。)

(開示請求)
第12条 何人も、実施機関に対して、当該実施機関の個人情報取扱事務に係る自己の個人情報について開示の請求をすることができる。

2 (略)

(開示義務)
第16条 実施機関は、開示請求に係る個人情報に次の各号に掲げる情報のいずれかが含まれている場合を除き、当該個人情報を開示しなければならない。

改正後の鳥取県個人情報保護条例

これはどうしたことだろうか。「非識別加工情報」導入パッケージを作成した人は、この手当の必要性を承知していなかったのだろうか。行政管理局ならば承知しているはずだが、自治行政局には理解が及ばなかったのか、それとも、鳥取県が独自に検討したため、気づかなかったのか。

と思いきや、よく見ると、11条によく似た括弧書きがあるではないか。

(委託等に伴う措置等)
第11条 実施機関は、個人情報(実施機関非識別加工情報及び削除情報(第31条第3項に規定する削除情報をいう。第45条第1項において同じ。)に該当するものを除く。以下この条において同じ。の取扱いを伴う業務を委託するときは、当該委託契約において、委託を受けた者が講ずるべき個人情報保護のために必要な措置を明らかにして、当該業務において取り扱う個人情報の安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

改正後の鳥取県個人情報保護条例

下線部が改正で加えられる部分だが、「この条において同じ」となっていて、11条だけで除外するものになっている。これは、前記の行政機関法で除外しているものとは、全く趣旨が異なるもののようだ。11条には、4項まであるが、いずれも委託に伴う措置が規定されているだけであり、なぜそこだけこれらを除外するのか、意味がわからない。いったいなぜこんなことをしたのか。*8

「非識別加工情報」は鳥取県では「個人情報」でない?

もしかして、鳥取県個人情報保護条例では、国の行政機関法とは異なり、「非識別加工情報」は「個人情報」に該当しないという解釈をとっているのだろうか。その解釈をとると前節の問題点は解消する。*9

行政機関法で「非識別加工情報」が「個人情報」であるとされた理由は、国会答弁にあるように、行政機関法では、再識別の照合禁止義務が規定されていない(民間部門では改正個人情報保護法36条5項で禁止されるのに対して)からとされている。ならば、もしや、鳥取県の条例改正案では、実施機関による再識別のための照合を禁じる規定が独自に加えられたのかも?と思い、目を通してみたが、そういう規定は見当たらなかった。

もっとも、再識別の照合禁止義務がないからといって「個人情報」だとするのは、その理屈がおかしいと私は思うところなのだが、この点は、民間部門の平成27年改正の際の、内閣法制局法令審議録(JILISによる情報公開請求で得たもの)から窺えるところがあり、確かに、民間部門では、照合禁止義務があるから容易照合性が解消されるのであって、そうでなければ、元データが存在する限り容易照合できるとする考え方を基礎に、匿名加工情報の制度が設計されていた記録があった。その件は、また別の機会に、匿名加工情報の話の中で詳しく書くつもりであるが、いずれにせよ、再識別の照合禁止義務がないと「個人情報」だとする解釈は、条文に書かれているわけではなく、法案の起草段階のある時点において内閣法制局でそのように整理されていたにすぎない*10のだから、鳥取県が独自の解釈を前提としていても不思議ではない。

そうだとすれば、私は別の観点から大歓迎*11なのだが、ならば、名称は「匿名加工情報」でよかったのではないか。行政機関法では「個人情報」だから「非識別加工情報」の名称にして区別したとされており、その理由がないのだから。

鳥取県から「非識別加工情報」の提供を受けた民間事業者においてそのデータが必ず「匿名加工情報」に該当するのか

行政機関法の改正では、「匿名加工情報」が「非識別加工情報」という別の名前に変えられてしまったが、ある行政機関で「非識別加工情報」とされた情報が、提供を受けた民間事業者においては「匿名加工情報」としての義務がかかるというのは、いったいどこの条文から読み取れるのか、「これはおかしい」とする指摘は、昨年の国会で、衆議院総務委員会の参考人質疑に呼ばれた鈴木正朝参考人が述べていた。

この問題は、プログラム言語における型システムの分類学上の用語であるところの、nominal type system (name-based type system) vs structural type system (property-based type system)に似たところがある。つまり、名前が同一である場合に限り同じ概念として扱うのか、それとも、定義している内容が同一であれば同じ概念として扱うのかの違いである。法制執務においては、どちらの考え方が採用されているのだろうか。*12

確実なのは、名前の同一性によって概念を指定する方法であろう。しかも、単にラベル名が同じというのではなく、「法令名.ラベル名」の形で指定する方法が確実であり、多くの法令ではそのような形が用いられている。昨年の行政機関法の改正では、それを採用せず、せめてラベル名だけでも同じなら良かったのに、ラベル名も異なるものとなったため、定義内容の同一性で概念同一性を推し量るしかない状況となった。国会審議では、このことも問われ、行政管理局は、「運用上、その趣旨をよく説明するなり、ガイドラインをつくっていく」と答弁していた。

○高井委員 私は、それはわかりにくいと思うんですね。

では、なぜ今回の法律でそれを書かなかったんですか。今回の法改正で、非識別加工情報が個人情報保護法三十八条に該当するということをやはり規定すべきじゃないですかね。そうしないと混乱が生じると思いますけれども、いかがですか。

○上村政府参考人 直接のお答えになるかはわかりませんが、この法律のたてつけ上、行政機関に係るものは行政機関個人情報保護法でございますし、個人情報保護法は民間企業に係るもので、この間の交流というか、入り乱れはないわけでございまして、そこは民間事業者にとって、自分たちを規律する法律が何かという紛れはないわけでございます。

それで、解釈上も定義上も、個人の識別性がなく復元できないという定義は、これはもう共通でございますので、解釈上、そこに新たなものを付加しますと、これはまた別のものになるという可能性もございますので、そこはあえてしていないというところでございます。

ただ、もし万が一おっしゃるような懸念があるとすれば、それはまだこれからの検討でございますが、運用上、その趣旨をよく説明するなり、ガイドラインをつくっていく、そういう対応になるのではないかなと思っております。

国会会議録 第190回国会 衆議院総務委員会第11号(平成28年4月5日)

これが、鳥取県個人情報保護条例ではどうなるのか。ラベル名は「非識別加工情報」であり、「匿名加工情報」ではない。しかも、前記の通り、この「非識別加工情報」が「個人情報」であるのか否かもはっきりしていない。

加えて、以下の点も問題となる。

行政機関法では、structural type system的に、定義内容の同一性をもって「行政機関法.非識別加工情報」と「個人情報保護法.匿名加工情報」の概念同一性を導こうとした。そのために、条文中に「個人情報」の語が出てくるたびに、逐一「個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。)」というカオスな二重括弧を入れて、公的部門と民間部門とでの「個人情報」定義の差分を吸収して、定義内容の同一性を確保しようとした*13

その点、鳥取県条例ではどうか。鳥取県条例でも、カオスな二重括弧はそのまま真似て取り入れられているが、「個人情報」定義の違いがそこだけじゃないことを失念しているようだ。

鳥取県条例での「個人情報」の定義は以下のようになっている。

第2条 この条例において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1) 個人情報 個人に関する情報であって、次のいずれかに該当するものをいう。ただし、法人その他の団体に関する情報に含まれる当該法人その他の団体の機関としての情報であって、個人番号(行政手続における特定の個人を識別するための番号の利用等に関する法律(略)第2条第5項に規定する個人番号をいう。以下同じ。)をその内容に含まないものを除く

改正後の鳥取県個人情報保護条例

この定義は、行政機関法や民間部門では個人情報に該当するものであっても、鳥取県条例では、法人その他の団体に関する情報(つまり、団体の役員名といった情報)については該当しないものとするというものであるが、これは、昭和63年法でもそのような定義だった*14ものである。行政機関法は平成15年の全部改正で、これを除くのをやめたのに、鳥取県条例はそれに追随しなかったようだ。

そうすると、「鳥取県条例.個人情報」と「個人情報保護法.個人情報」とは、structural type system的に見ても、概念同一性がない。

なお、両者の「個人情報」定義には、生存する個人に限るか限らないかの点でも違いがあるのだが、そこは、脚注4でも触れたように、鳥取県条例改正案は、「保有個人情報」の定義で「生存する個人のものに限る。」として差分を吸収し、対処している。

ならば、「法人その他の団体に関する情報」を除くか否かの差分も、どこかで吸収するように定義することはできたはずなのに、鳥取県はそれをしなかった。

このように、改正行政機関法の「非識別加工情報」を真似れば、自治体条例にも同じものを導入できるかというと、そんな簡単なことではないことがわかる。

全国1700以上の個人情報保護条例で、それぞれにこういう検討をしなければならないというのは、あまりに酷な話だろう。

匿名加工の基準は鳥取県が独自に規定するの?

匿名加工情報(非識別加工情報)への加工の基準は、行政機関法では、以下のように規定されており、個人情報保護委員会規則で定めることになっている。

(行政機関非識別加工情報の作成等)
第44条の10 行政機関の長は、行政機関非識別加工情報を作成するときは、特定の個人を識別することができないように及びその作成に用いる保有個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該保有個人情報を加工しなければならない。

改正後の行政機関個人情報保護法

これが、鳥取県条例では、以下のようになっている。

(実施機関非識別加工情報の作成等)
第39条 実施機関は、実施機関非識別加工情報を作成するときは、特定の個人を識別することができないように及びその作成に用いる保有個人情報を復元することができないようにするために必要なものとして規則で定める基準に従い、当該保有個人情報を加工しなければならない。

改正後の鳥取県個人情報保護条例

これは、鳥取県の規則で定めるということだろう。といっても、個人情報保護委員会の規則を丸写しするのは目に見えている。

しかし、個人情報保護委員会の匿名加工の基準の規定は、かなり抽象的なもので、委員会のガイドラインでも明確にされず、「事務局レポート」でお茶を濁されたところであるが、その解釈は個人情報保護委員会に委ねられている。そういう規則を丸写しにして、鳥取県の規則を設けたとして、その解釈を鳥取県は独自に与えることができるのだろうか。そもそも、匿名加工の考え方について理解できる人材が、鳥取県内に存在するのかも疑わしい。

情報公開条例の不開示情報に「非識別加工情報」が追加されていない

行政機関法の改正では、情報公開法も改正し、5条の不開示情報に1号の2を追加し、「行政機関非識別加工情報」と「削除情報」を不開示情報とした。それなのに、鳥取県情報公開条例の改正案では、それに相当する追加がない。*15

これはどういうことか。ここでも、「非識別加工情報」は鳥取県では「個人情報」に該当しないということで、不開示情報に入れなかったということなのか。

情報公開法が、これらを不開示情報としたのは、作成した行政機関非識別加工情報は、誰にでも提供するものではなく、44条の6が定める欠格事由に該当せず、契約を締結して手数料を払った事業者にのみ提供するものだから、情報公開法での開示請求では出さない情報とする必要があったためである。

その点、鳥取県は大丈夫なのか。作成した非識別加工情報は、鳥取県情報公開条例の「公文書」に該当するだろうから、情報公開請求に応じざるをえなくなりはしないか。

ここは、行政管理局の「行政機関等が保有するパーソナルデータに関する研究会」でも論点となっていた。最終回の第16回で、松村構成員が次のようにに指摘していた。

【松村構成員】 私は3点それぞれについて意見がございます。

まず、15ページのところですが、適用除外が適当だろうと考えております。公にすることによりこういう支障があるから不開示というのが、情報公開法の不開示情報の考え方です。一方、例えば訴訟に関する書類や登記情報など、他の情報の固有の理由による開示請求から除外する考え方は、全て適用除外で、他法で措置するという考え方をとっているわけですね。

ですから、個人情報保護制度で匿名加工情報という仕組みを作って、それが情報公開法の開示請求になじまないということであれば、その考え方からすると、適用除外という考え方の方が素直だろうと思います。

ぎりぎり言えば、「少なくとも不開示とすることなど」の「など」と書いてありますから、 不開示情報とするか、あるいは適用除外とするかと少なくとも並べていただいて、というのが私はすっきりするのではないかと思います。

私の理解する情報公開法の適用除外、不開示情報は、そういう整理になっていると思います。あくまでも情報公開法は、政府が持っている情報の開示という意味では一般法となっております。特別の情報の取扱いについて別途規定するのは、それぞれの個別法で適用除外を定める、というのが基本的なルールです。なぜ不開示情報という形で出てくるのか理解ができません。それが1点です。

行政機関等が保有するパーソナルデータに関する研究会 第16回 議事要旨

松村構成員は、「行政機関非識別加工情報」と「削除情報」を不開示情報として、1号の2に並べることに、反対だったようだ。私も、法案が出てから、この1号の2不開示情報には違和感を覚えたのだが、後からこの議事要旨を読んで、なるほどそういうことかと思った。松村構成員がこの指摘をした日は、閣議決定の前日で、もう法案はできあがってしまっていた。内閣法制局の法案審査でこのように整理されたのであろうが、松村構成員は「なぜ不開示情報という形で出てくるのか理解ができません」とまで指摘していた。

鳥取県は、もしや、そうした違和感から、情報公開条例でこれを不開示情報としなかったのだろうか。しかし、「実施機関非識別加工情報」の情報公開の適用除外とするのは、どこかで読めるようになっているのだろうか。

「実施機関非識別加工情報」というネーミングの違和感

行政機関法では、「非識別加工情報」とは別に「行政機関非識別加工情報」という用語を定義した。話をわかりやすくするために、ここでは「非識別加工情報」の語を「匿名加工情報」の語に置き換えて述べてみる。

「匿名加工情報」と「行政機関匿名加工情報」の違いは、前者は、「匿名加工情報」という一般的な概念を指すのに対し、後者は、「個人情報ファイル簿」に記載されている「個人情報ファイル」(のうち、規定された条件を満たすものに限るもの)をソースとして匿名加工したものを指す概念である。

ここで、用語の名称に「行政機関」の接頭語が用いられたのは、この法が適用される個々の行政機関のことを指しているわけではなく、単に、「個人情報保護法」と「行政機関個人情報保護法」の違いを表すものとして、後者の法律名から「行政機関」の語が切り出されて用いられたものと私は理解していた。というのも、両者の違いは、民間部門では、匿名加工情報を提供するかは事業者の自由にすぎないのに対し、行政機関では、提案を募集しなければならないとする、オープンデータ政策的な意味を持つものであり、その違いを表すものとして、「行政機関匿名加工情報」の語はたしかに相応しいものと思っていた。

したがって、鳥取県条例に匿名加工情報の制度を導入するのなら、ここは「鳥取県匿名加工情報」とするか、あるいは、「地方公共団体匿名加工情報」とするのが相応しかったように思える。それが、「実施機関匿名加工情報」となっていて、予想外だったので、正直、初見で苦笑してしまった。

「鳥取県匿名加工情報」のように各自治体ごとに命名するのもイマイチなので、「地方公共団体匿名加工情報」の方がベターだろう。だが、「地方公共団体匿名加工情報」と「行政機関匿名加工情報」に概念上の違いがないのであれば、名前は同じにした方がさらによい。そういう意味では、行政機関法で、「行政機関匿名加工情報」と名付けたことからして失敗だった。最初から、自治体にも波及することを踏まえて、統一的な概念とするために、「公的部門匿名加工情報」とか、何らかの共通に使える用語とするべきだったように思える。

おわりに

昨年の臨時国会で成立した「官民データ活用推進基本法」は、19条(国の施策と地方公共団体の施策との整合性の確保等)で、「国は、官民データを活用する多様な主体の連携を確保するため、官民データ活用の推進に関する施策を講ずるに当たっては、国の施策と地方公共団体の施策との整合性の確保その他の必要な措置を講ずるものとする。」として、事実上、いわゆる「個人情報保護条例2000個問題」の解決を求めている。官民データ活用の観点からは、特に、匿名加工情報について、その概念の共通化、統一化が求められるところであろう。

それにもかかわらず、鳥取県が「全国初」と出してきたこの条例改正案を見ると、そのバラバラ感は増すばかりのように思える。やはり、この調子で各自治体に任せておいたら悲惨なことになりそうなので、国家法によって統一的な規定を設けることが急務であろう。自治体は、無理をせず、何もしないでいた方がよい*16のではなかろうか。

*1 そもそも、次の脚注に書いたように、職員が組織的に用いるものとして職務上作成する単発の文書に個人情報が含まれる場合があるはずなのに、鳥取県条例の7条は、登録簿に登録された目的を達成するために必要な範囲内でしか個人情報を収集してはならないとしており、そうなると、単発の文書の作成が(登録簿に登録しない限り)不可能ということになるが、どう運用しているのだろうか。もしかして、「収集」の文言が、「取得」とは異なる意味で解釈されているのだろうか。つまり、実質的に「個人情報ファイル」に相当する形で個人情報を取得する(個人情報ファイルに記録するつもりで取得する)場合のみを「収集」と呼んでいるのだとすれば、辻褄が合う。もしそうだとすると、このパターンの自治体条例は、行政機関法の平成15年改正から完全に乖離しているということになるのだが。

*2 例えば、行政機関法においては、職員が組織的に用いるものとして職務上作成した単発の文書に、個人に関する情報が氏名と共に記載されたらば、それは保有個人情報となるのだが、自治体において、そうした単発の文書について、個人情報取扱事務登録簿に登録するということは行われていないだろう。

*3 民間部門では、そういう限定がないため、あらゆる個人情報が対象となってしまっており、この点が、無用な規制として世間の反感を買う原因の一つとなっているのであり、次の改正で直すべきところである。

*4 この「保有個人情報」定義では、「生存する個人のものに限る。」とされており、鳥取県条例の「個人情報」が死者を含むものとなっているのに対して、範囲が異なっているので、そのために別の語にしたのだという理由も考えられるところ、この限定は、国の「非識別加工情報」や民間部門の「匿名加工情報」に合わせるためのものにすぎないから、全体を再構成する際には、「保有個人情報」では死者を含むままとしつつ、「非識別加工情報」の定義中で「(生存する個人のものに限る。)」と限定すれば足りただろう。

*5 安全確保措置については、除外した上で、44条の15で、改めて規定しなおされている。(「個人情報保護委員会規則で定める基準に従い」行うこととされている点が異なる。)

*6 44条の2(行政機関非識別加工情報の作成及び提供)で、「行政機関の長は、この章の規定に従い、行政機関非識別加工情報を作成し、及び提供することができる。」と規定しているので、提供できるようでもあるが、一つの法律内で矛盾する規定は忌避されるので、このように逐一除外しているのだろう。

*7 この8条1項は、2号で「法令の規定に基づいて利用し、又は提供するとき」を、制限の例外としているので、この条例自身の規定に基づくことを理由にこの例外に該当すると解釈することもできるのかもしれないが、はたしてそんなのはアリだろうか。

*8 仮説として、図1のように、行政機関法で、「個人情報」から「非識別加工情報」と「削除情報」を除くとの括弧書きが書き込まれているのが、行政機関法6条2項の部分であり、これが「取扱いの委託を受けた者が受託した業務を行う場合について準用する。」との規定であることから、鳥取県では、委託に関する部分にだけこれを入れたのではないか。しかし、行政機関法でここにこの括弧書きがあるのは、「個人情報」の語が最初に登場するのがたまたま6条2項だっただけで、委託云々が特別なわけではない。行政機関法は、そこに「次条、第38条、第48条、第50条及び第51条において同じ。」としているのに、鳥取県は「この条において同じ。」とした。これはどういうことなのか。もしかして、ズブの素人が条文を書いた結果ということなのか。

*9 そのわりには、前記のように、11条でだけ、「個人情報」から「非識別加工情報」を除くとしているから、「非識別加工情報」が「個人情報」であることを前提としているようである。しかし、脚注8のように、11条だけにこの括弧書きを適用したことの意味が不明であり、よくわからないまま規定されたことによる単なる間違いの可能性がある。

*10 先月14日からパブコメにかけられている、「行政機関の保有する個人情報の保護に関する法律についてのガイドライン(行政機関非識別加工情報編)(案)」には、この点について、次の記載がある。平成28年改正の際には、行政管理局は、常に個人情報に該当するという説明をしていたが、個人情報保護委員会のガイドラインでは、「該当し得る」と、常にそうなるわけではないというニュアンスに変わっている。

なお、法は、個人情報保護法とは異なり、照合禁止義務(個人情報保護法第36条第5項)を定めていないことから、非識別加工情報は、その作成に用いた個人情報の全部又は一部を含む個人情報との照合によって特定の個人を識別し得ることとなり、法第2条第2項第1号の「個人情報」に該当し得る。(略)

*11 行政機関法の「非識別加工情報」の規定ぶりは直すべきだと考えているので。

*12 これについては、また別の機会に詳しく書きたい。途中までは書いたものの放置中の原稿はある。

*13 「非識別加工情報」の定義では、それにも失敗したのであるが。その点については、また別の機会に書く予定。

*14 昭和63年法での個人情報定義は、「生存する個人に関する情報であつて、当該情報に含まれる(略)をいう。ただし、法人その他の団体に関して記録された情報に含まれる当該法人その他の団体の役員に関する情報を除く。」となっていた。

*15 今回の鳥取県情報公開条例の改正は、不開示情報とする「個人に関する情報」の範囲の規定ぶりを、「特定の個人が識別され、若しくは識別され得るもの」というOECD型の条文から、照合型の条文に変更するだけのものとなっている。これは、鳥取県個人情報保護条例の個人情報定義も、改正前ではOECD型だったのを、今回の改正で、個人識別符号を導入するのを機会に、照合型の条文に変更するため、それに合わせるということであろう。

*16 様々な失敗事例が出れば、私としては自説強化の材料になって、ありがたい面もあるのではあるが、取り返しのつかないところまで広がってしまうのはまずい。

本日のリンク元 TrackBack(0)

追記

最近のタイトル

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|
追記