追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 1290   昨日: 3470

2017年02月18日

個人情報ファイル概念が欠如している自治体条例(パーソナルデータ保護法制の行方 その27)

昨日、情報処理学会のEIP研究会で以下の発表をしてきた。

内容は、データ利活用のためには「個人情報ファイル」概念が不可欠なのに、自治体の個人情報保護条例を調べたところ、「個人情報ファイル」概念を定義している自治体は3割にも満たなかったというもの。

実はこの話は、12月の規制改革会議投資等WGの第6回で、JUMPからの意見として森田先生に代わって話したことの続報である。

そのときは、取り急ぎ都道府県の条例についてだけ手作業で調べ、以下のように、「個人情報ファイル」概念を定義しているのは7団体しかないとしていた。

行個法とほぼ同じ「個人情報ファイル」を規定している都道府県は、福島県、栃木県、埼玉県、山梨県、山口県の5団体のみ。電算処理ファイルのみ規定している(マニュアル処理ファイルを入れていない)都道府県が、青森県(「個人情報電算ファイル」)と三重県(「電子個人情報ファイル」)の2団体。罰則の部分のみで定義文が一応存在してはいる都道府県が、秋田県、静岡県、京都府、大阪府、奈良県、香川県、愛媛県、佐賀県、熊本県、鹿児島県の10団体で、残り30団体には「個人情報ファイル」の定義が存在しないという状況。

第6回投資等WG意見「参考1」, 脚注1

この後、市区町村を含めた全国の自治体について調べようと思い立ち、情報セキュリティ大学院大の湯浅墾道先生のところで収集されている1726団体の個人情報保護条例のPDFファイルをお借りし、プログラムで自動集計を試みていた。いつもなら日記に書いてしまうところだが、日記だと論文から引用し辛いとの声をしばしば聞くので、すぐに出せる場ということでEIP研究会に発表申込みをしたのだった。

規制改革会議で述べた意見は、以下のものであった。

個人情報保護条例の不統一がデータ利活用を阻害する要因と統一に向けた解決方法

○ 個人データの円滑な利活用のため、個人情報保護法制上の手当てが必要となるケースには、次の2つがある。

A) 保険医療情報の利活用等、その目的からして、個人データのまま取り扱う(仮名化データで取り扱う)必要があり、必ずしも本人の同意を得ることができない場合であっても利活用すべき社会的意義があるケースについて、個人情報保護法制の趣旨に沿って適法と言える取扱いルールを構築する必要性。

B) 保険医療情報に限らず、公的機関(地方公共団体を含む)が保有している様々なデータを、非個人データ化して、本人同意を要することなくオープンデータとして利活用するケースについて、どのようなデータ加工を行えば非個人データ化がなされたと言えるかという、個人情報保護法制上の解釈を確定させる必要性。

○ B)の観点から、行政機関個人情報保護法(行個法)が定義する「個人情報ファイル」(民間部門では「個人情報データベース等」がこれに相当)について、これを本人同意を要しないデータに加工するとき、少なくとも当該機関において「非個人情報ファイル化」されたと言えるための要件を明確にする必要があるが、現在のところ以下の2つの問題がある。

(略)

地方公共団体においては、そもそも「個人情報ファイル」の定義を個人情報保護条例に設けていない団体がかなり多い。「個人情報ファイル」の定義がなければ、「非個人情報ファイル化」の概念も画定せず、上記B)の利活用は不可能2となっている。モデル条例を用意して、全ての地方公共団体が同じ定義条文を導入したとしても、その解釈権が各地方公共団体にある限り、安定した解釈は得られないと予想される。前記,猟未蝓国の行個法でさえその解釈を巡って混乱が生じている状況である。

○ 民間部門と公的部門とで「個人情報」の定義を揃えて欲しいとの経済界からの声があるが、これには困難がある。公的部門には情報公開制度があり、個人情報に相当するものが不開示情報として規定されているところ、民間部門には情報公開の制度はない。民間部門での「個人情報」定義に合わせて公的部門の定義を変更すると、情報公開制度にも影響を及ぼすことが問題だとする批判がある。(図1)

○ そこで、解決方法として、「個人情報」に係る規律と「個人情報ファイル」に係る規律を分けて整理してはどうか。すなわち、「個人情報」という一つひとつの情報を単位とした「非個人情報化」の概念と、「個人情報ファイル」という集合物の単位での「非個人情報ファイル化」の概念は別であるということ。利活用のための加工方法は、前記脚注2の通り、後者の「非個人情報ファイル化」が基準の拠り所となるのであり、情報公開法制における部分開示の方法(氏名等を墨塗りする)とは異なる加工の考え方が必要となっている。

第6回投資等WG意見「参考1」

「前記脚注2の通り」のところは、今回のEIP研究会では以下のスライドで説明した。

スライド スライド
図1: 匿名加工情報(非識別加工情報を含む意味で)の加工基準は個人情報ファイル単位を基礎としている

行政機関個人情報保護法の改正で導入される匿名加工情報(非識別加工情報を含む意味で)の加工基準は、個人情報保護委員会規則で定められることになっていて、民間部門で「個人情報データベース等」とされていた部分は、「個人情報ファイル」に置き換えられるはずだと予想していたところ、ちょうどEIP研究会の3日前に案が公表されパブコメにかけられ、予想は当たりであった。

そもそも、匿名加工情報は散在情報に対しては観念し得ない概念である。個人データを匿名化(仮名化ではなく)して利活用することは、欧米でもここ数年盛んに議論されてきたところであるが、いずれも、一つのデータセット(複数の個人データの並び)を対象として、標本一意とか、k-匿名とか、差分プライバシーといった概念が議論されてきたわけである。散在情報であるところの独立した1個の「個人情報」についてそれらを観念することはできないし、初めから誰もそういう話をしていない。

前回の日記で軽く触れたように、民間部門についてIT室が立案した最初の案文(2014年9月22日時点)では、定義を、「この法律において「匿名加工データ」とは、……」と、「匿名加工データ」の語を用いていたわけであり、これは、データセット単位で観念し得る概念であることを当然の前提としていたからこそであろう。

それにもかかわらず、内閣法制局の指摘により、「匿名加工データ」が「匿名加工情報」に変更させられてしまったのは、「個人データ」が、「個人情報」→(その集合物であって検索できるように体系的に構成)→「個人情報データベース等」→(それを構成する要素)→「個人データ」という順番で定義されているが故に、それとパラレルにしないとおかしいという指摘が入るのは理解できるところで、「匿名加工情報」→「匿名加工情報データベース等」→「匿名加工データ」と定義せよという指摘になったのだろう。しかし、それはさすがに煩雑すぎて無駄(実際、「匿名加工情報」と「匿名加工データ」を区別して規定する場面が改正法には存在しない。)なので、「匿名加工情報」だけ定義して、「(匿名加工情報データベース等を構成するものに限る。以下同じ。)」として簡略化した結果、「匿名加工データ」の語は出てこなくなってしまった。

これは単なる名称の問題ではない。民間部門における「匿名加工情報」の規定ぶりは、義務対象となる作成される情報こそ「匿名加工情報データベース等を構成するものに限る。」としているが、データソースを「個人情報データベース等」に限るとはどこにも書いていないのである。後から思えば、2条9項は次のように規定するべきだったとも言える。


A案

9 この法律において「匿名加工情報」とは、次の各号に掲げる個人データの区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人データを加工して得られる個人に関する情報であって、当該個人データを復元することができないようにしたものをいう。

B案

9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人データを加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

C案

9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報(個人情報データベース等を構成するものに限る。)を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。


開示資料を見る限り、こうした案は出ていなかったようだ。

私としては、改正案が出たとき、匿名加工情報が散在情報までデータソースとする制度と曲解されるのではないかとの一抹の不安を覚えつつも、大した問題ではなかろうと放置した(そもそも、民間部門は散在情報は規律の対象外であるというのが私の立場なので)が、行政機関個人情報保護法の改正では、散在情報が法の対象であるから、このことが現実に懸念されるものとなった。行政管理局の「行政機関等が保有するパーソナルデータに関する研究会」での検討で、当初、誰も散在情報(個人情報ファイルを構成しない保有個人情報)と処理情報(個人情報ファイルを構成する保有個人情報*1)の違いに触れないので、心配になって、何人かの関係者に「データソースは個人情報ファイルに限るのですよね?」としつこく釘を刺していた*2し、パブコメのときにも、「対象とする元データを行個法における「個人情報ファイル」を構成する個人情報に限るものとするべき」とする意見を出していた(2015年10月20日の日記の「意見2」)。

その点、出来上がった改正行政機関法は、「行政機関非識別加工情報」を以下のように定義し、データソースを個人情報ファイルとすることが明確にされていた。


9 この法律において「行政機関非識別加工情報」とは、次の各号のいずれにも該当する個人情報ファイルを構成する保有個人情報(略)の全部又は一部(略)を加工して得られる非識別加工情報をいう。

これが、民間部門での定義ぶりの失敗を踏まえて改善された結果なのか、他の要因でたまたまこうなったのかはわからないが、いずれにせよ、データソースが個人情報ファイルに限定されることが明確にされて、たいへん良かった*3

民間部門ではこの点が法に規定されなかったわけだが、前掲の図1の通り、匿名加工情報の作成の方法に関する基準であるところの個人情報保護法施行規則19条が、その第5号で、「個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、」と規定した結果、加工元の「個人情報」が「個人情報データベース等」に含まれるものであることを当然の前提として明記されたのである。

ここで、民間部門の「個人情報データベース等」と公的部門の「個人情報ファイル」が概念的に異なるものであるところが論点となる。このことについては、施行規則(案)のパブコメにおいて、JILISから以下の意見を出していた。

意見27 【規則19条5号】差異を勘案すべき他の個人情報は一つのデータセットを対象とすれば足りるのかそれとも事業者が保有する全個人データを対象としなければならないのか

規則19条5号は、「個人情報に含まれる記述等」と「他の個人情報に含まれる記述等」との差異その他の性質を勘案せよとしているところ、差異を勘案すべき「他の個人情報」を、「当該個人情報を含む個人情報データベース等を構成する」ものと規定している。ここで、「個人情報データベース等」が何を指すのかが問題となる。

個人情報保護法における「個人情報データベース等」は、行政機関個人情報保護法(行個法)における「個人情報ファイル」とは異なる概念である。行個法の「個人情報ファイル」が、「一定の事務の目的を達成するために……ことができるように体系的に構成したもの」と定義され、行個法10条でファイルごとに名称と利用目的の管理が求められているように、用途ごとに一つのファイルとして観念されるものであるのに対し、個人情報保護法の「個人情報データベース等」は、定義に「一定の事務の目的を達成するために……」との要件がなく、用途ごとの管理が求められないものであり、「データベースの単位については、……通例は事業者が単位となり、……1つのシステムとしてとらえられることとなる。」(園部逸夫編 個人情報保護法制研究会著『個人情報保護法の解説』(ぎょうせい、改訂版、2005年)51頁)とされている。 この理解からすれば、本号が「当該個人情報を含む個人情報データベース等を構成する他の個人情報」との対比を求めているのは、当該個人情報取扱事業者が保有する全個人データとの対比を求めていることになるのではないか。しかしそれは現実的ではない。

匿名加工情報の制度趣旨からすれば、本来、行個法の「個人情報ファイル」のように、一定の事業の目的のためにファイル化されたデータセットを基に、それぞれの要素データを加工することが想定されていたはずであり、当該データセット以外の事業者内個人データとの対比は求められていないはずではないか。本号の規定も、「個人情報ファイル」といった用語を用いて規定すべきだったと考えるが、個人情報保護法にない概念であることから、簡単にはそうすることはできなかったものと推察する。

そうであれば、ガイドラインやQ&Aにおいて、本号の趣旨が、事業者内の全個人データとの対比を求めるものではなく、一定のデータセットを対象として対比を求めるものであることを、明らかにされたい。

「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に対する意見, 情報法制研究所個人情報保護研究タスクフォース, 2016年8月31日

この、民間部門の「個人情報データベース等」が、公的部門の「個人情報ファイル」とは異なり、事業者で1個というどんぶり勘定にされたのは、2003年の法制定時に、民間に対して「個人情報ファイル」単位での利用目的の特定をさせることは「負担が大きい」との配慮からとされているが、このようなぼんやりした規定にした結果、かえって色々な混乱が生じており(例として、2015年1月5日の日記の「誤解4「公表文書としての利用目的を本人同意なく変更してはならない」という誤解」を参照)、私は、次の改正で何らかの方法で「個人情報ファイル」への統一を目指すべきと考えているが、それはともかく、この提出意見に対する個人情報保護委員会の「御意見等に対する考え方」は以下のものであった。

本規則案第19条第5号に定める加工基準等の内容はガイドライン等において解説してまいります。なお、御指摘のとおり、同号は事業者内の全個人データとの対比を求めるものではなく、一定のデータセットを対象として対比を求めることを想定しています。

この件はガイドラインには書かれなかったが、一昨日、個人情報保護委員会のQ&Aが公表され、そこに「Q11-9」として、以下のように明記された。

  • 「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A, 2017年2月16日

    Q11-9 施行規則第19条第5号において、「個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し」とありますが、ここでの「当該個人情報を含む個人情報データベース等」については、事業者が保有する個人情報データベース等全体を勘案する必要がありますか

    A11-9 ここでの「当該個人情報を含む個人情報データベース等」とは、当該個人情報取扱事業者が匿名加工情報を作成する際に加工対象とする個人情報データベース等を想定しています。すなわち、匿名加工情報を作成する個人情報取扱事業者が保有する加工とは無関係の個人情報を含む全ての個人情報データベース等の性質を勘案することを求めるものではありません。

この回答も、答えているようでよく見ると答えていないとも言える。本当は、公的部門における「個人情報ファイル」相当の概念を用いて説明すべきだと思うが、民間部門にはその概念がないため、こういうぼんやりとした答え方*4になってしまう。

このように、匿名加工情報(というよりも、前記のように「匿名加工ファイル」とか「匿名加工データ」と言うべきなのだが)の概念には、そのデータソースを特定するものとして、また、加工方法の基準の基礎として、「個人情報ファイル」の概念が不可欠なのである。

それなのに、自治体の個人情報保護条例を調べると、29%の自治体にしかこの概念が存在しない。有能な職員が揃っているはずの都道府県の条例では、15%とさらに半減する。

昨年の行政機関個人情報保護法の改正で、国会審議では、自治体にも非識別加工情報の制度を導入させるのかという質問が出ており、政府参考人は「趣旨を丁寧に情報提供するなどして、適切な対応をしたい」と繰り返し答弁していた*5

これを踏まえて、昨年9月から秘密裏に開催されていたのが、自治行政局の「地方公共団体が保有するパーソナルデータに関する検討会*6である。第2回会合で、東京都の情報公開課が「行政機関個人情報保護法等の改正対応への実務的課題〜東京都の検討状況〜」と題して話をしているのだが、この東京都こそが、「個人情報ファイル」を定義していない代表格である。

その資料2を見ると、こんなことが書かれている。

「非識別加工情報」について「個人情報ファイル概念を採用していない場合の対応」として、個人情報ファイル概念がないことが問題となり得ることを認識しつつも、「取扱事務の届出・登録制度」としか捉えられておらず、「個人情報ファイル簿又は個人情報取扱事務の届出・登録等を実施」で解決すると思っている様子がうかがえる。

たしかに、「行政機関非識別加工情報」は、「個人情報ファイル簿」(行政機関法11条1項)に登録されているものを対象に、利活用したい民間事業者に提案を募集するのであるから、まず「個人情報ファイル簿」の存在が必要となるのであるが、東京都は「個人情報取扱事務の届出・登録」で代用できると考えているフシがある。

同じ回の資料4には、自治行政局が作成した資料として、以下の記述がある。

「個人情報ファイル簿」の未作成はわずか7.6%であり、「多くの地方公共団体において個人情報の記録項目等を記載した個人情報ファイル簿等(個人情報取扱事務登録簿を含む。以下同じ。)が公表(略)されており、」としている。

ここで、「個人情報取扱事務登録簿」というのは、「個人情報ファイル」概念を持たない自治体が、「個人情報ファイル簿」に類するものとして規定したもの(もしくは、昭和63年法ができる前から「個人情報取扱事務登録簿」を規定していた?*7)で、例えば、大阪府個人情報保護条例の場合、以下のように規定されている。

第6条 実施機関は、個人情報を取り扱う事務(以下「個人情報取扱事務」という。)について、次に掲げる事項を記載した個人情報取扱事務登録簿(以下「登録簿」という。)を作成し、一般の縦覧に供しなければならない。
一 個人情報取扱事務の名称
二 個人情報取扱事務を所掌する組織の名称
三 個人情報取扱事務の目的
四 個人情報の対象者の範囲
五 個人情報の記録項目
六 個人情報の収集先
七 前各号に掲げるもののほか、実施機関の規則(規程を含み、実施機関が警察本部長である場合にあっては、公安委員会規則をいう。以下同じ。)で定める事項

大阪府個人情報保護条例

この規定ぶりだと、事務の名称や目的などは明確にされているものの、散在情報なのかそれともファイルの形になっているのかが明らかでない。

「個人情報ファイル」とは、昭和63年法から規定されていた重要な概念であり、「保有個人情報を含む情報の集合物であって」「一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの」を言う。

この概念の重要性が平成15年改正で忘れられてしまったのか、現行の行政機関法の逐条解説書には、この概念について詳しいことが書かれていない。それに対し、昭和63年法の逐条解説書「逐条解説 個人情報保護法」(総務庁行政管理局行政情報システム参事官室監修, 第一法規, 1988年)」には、詳しいことが書かれていてたいへん興味深いものとなっている。

詳しいことは「行方 その3 散在情報と処理情報」で書く予定(まだ書いていない)だが、一つのキーワードは「処理情報の本人」という概念である。このことについて、昨日のEIP研究会での発表では以下のスライドを用いた。

スライド スライド
図3: 個人情報ファイル概念と匿名加工の対象

前掲の逐条解説書には次の説明もある。

「他の個人の氏名、生年月日その他の記述又は他の個人別に付された番号、記号その他の符号」によってのみ検索できる場合には、処理情報の本人とすることは、適当でない。すなわち、個人Aに着目してAの個人情報を記録したファイルに、これと併せて個人Bの情報が記録されているファイル(例 著名人交友録)の場合で説明すれば、Bの氏名では検索できない場合に、BについてもAの氏名を使用して検索できるとすると、Aの個人情報の開示請求をBに認めることになるので、他人であるAの権利利益を侵害するおそれがあるからである。

総務庁行政管理局行政情報システム参事官室監修, 逐条解説 個人情報保護法, 第一法規, 1988年, 79頁

つまり、行政機関が保有する個人情報にはAやBのものがあるところ、これらは対称ではなく、「個人情報ファイル」としてリストに並べられている各行の個人(Aに相当)と、各行の中身に書かれている個人(Bに相当)とは別に扱うのだということである。

そして、匿名加工情報を作成するとき、標本一意とか、k-匿名とか、差分プライバシーといった概念が適用されるのは、Aの個人についてであり、Bには適用されない。これまで、幾つもの資料で、匿名加工の例が挙げられてきているが、属性情報中に他人の個人情報が書かれているものは誰もが取り上げていない。

このことは、2016年3月27日の日記の最後に「残る瑣末な論点」として書いていた以下の件である。

このような匿名加工情報の定義の論点について、書き足りていないことが2つある。

  • 行政機関が保有する個人情報ファイルには、その各要素に、属性情報として他の個人についての個人情報が記載されているもの(これを「処理情報中のローカル散在情報」と私は呼んでいる。)が存在し、民間部門の匿名加工基準での匿名加工では、それが匿名化されない可能性がある。これが行政機関法では、散在情報としての保有個人情報に該当することになり、行政機関匿名加工情報ファイルに残存する可能性がある。しかし、前記の通り、提供前のチェック工程で保有個人情報の除去をすることで対処できる。
  • (略)

これらについては、いずれ時間のあるときに書こうと思う。

前記図3の右のスライドでは、「好きなテレビタレントのアンケート結果」を例にしているが、この場合、テレビタレントの氏名は公表してよいものだとすれば、加工されることなく、匿名加工情報の有益な情報の一部としてそのまま提供されることになるだろう。それに対し、次の例の「世帯主と同居人のデータ」の場合、同居人の氏名は伏せなくてはならないだろう。これが、世帯主の氏名を削ることとは概念的に異なるものなのである。世帯主の氏名を削るのは、委員会規則の匿名加工基準の1号に基づく加工であるのに対して、同居人の氏名を削るのは、それではなく、情報公開法の部分開示(6条2項)に基づく「墨塗り・被覆等を行なって残りの部分を開示」によるものと言うべきである。*8

このようなケースの存在を考えれば、「個人情報ファイル」概念が不可欠であることがわかる。「個人情報ファイル」の概念は、昭和63年法の「処理情報の本人」の概念を導き出せるので、個人Aと個人Bを区別して扱うことができ、無事に上記のような匿名加工と墨塗りが行える。それに対し、「個人情報ファイル」概念がない条例では、たとえ「個人情報取扱事務登録簿」が整備されていても、個人Aと個人Bを区別することができず、標本一意とか、k-匿名とか、差分プライバシーといった概念を、個人Aに適用するのか、個人Bに適用するのか、それとも両方に適用するのか、定まらなくなってしまう。

こうしたことに自治行政局は気づいているのか。図2の資料では、「個人情報ファイル簿」について調査して、92.4%が整備済みとしているが、「個人情報ファイル」の整備状況について調査していない*9。少なくとも、東京都の情報公開課は、まるでわかっていない様子に見える。

こういう状況の中で、匿名加工情報の導入を、各自治体で条例を改正して対応するというのは、あまりにも無謀である。

こうした考察を背景に、規制改革会議で表明した意見では、次のように結論づけたのである。

以上から、行個法、個人情報保護条例、さらには民間部門についてデータ利活用のための統一を図るには、「個人情報ファイル」(民間部門では「個人情報データベース等」)に係る規律のみを国家法で統一(残りの散在情報に係る規律はこれまで通り、行個法や条例に残すこととする。)し、「個人情報ファイル」定義の解釈権(匿名加工の基準を含む)を個人情報保護委員会に一本化することが適切であり、また、矛盾なく実現可能であると考える。

第6回投資等WG意見「参考1」

なお、昨日のEIP研究会での発表では、「自治体において「個人情報ファイル」概念は必要なのか?」というご質問を頂いた。その質問の趣旨は、匿名加工情報制度の整備以前の話として、「個人情報ファイル」概念は必要とされていないから規定されていなかったのではないか?との意だと理解したので、次のように答えた。

個人情報ファイル概念の必要性の一つは、EUで言われるところのプロファイリングに係る権利への対応として必要なものである。この場合の「プロファイリング」とは、散在情報に対する個別の分析や推知のことを指すのではなく、一列に並べられた個人データに対して電子計算機が自動処理によって個人に対する判断を下すことに係るものであるから、処理情報の形になっていることが前提である。そして、昭和63年法の立法当時は、プロファイリングという語こそ用いていなかったものの、1970年代からEU諸国を中心に世界で始まったpersonal data保護の法制化は、そういうことを保護の理由の一つとしていたはずであり、日本法でもそれを趣旨に組み入れていたはずではないか。それが、平成15年全部改正で、情報公開法に併せて対象を散在情報に広げた結果、「個人情報ファイル」概念が「個人情報ファイル簿」のための機能のみに縮退してしまい、1980年代の趣旨が忘却されてしまったのではないか。そして今日、改めて、民間部門を含め、プロファイリングに係る権利への対応が要請されているのだから、今こそ昭和63年法の基本に立ち返るべきであり、自治体もこれに合わせるべきであろう。

この論点については、またいずれ詳しく書こうと思う。

*1 行政機関個人情報保護法10条1項5号の「記録情報」がこれに当たる。

*2 この研究会の初回の時点では、傍聴後に行政管理局の担当者にそういう趣旨で話しかけたものの、鼻であしらわれたし、構成員の藤原静雄先生に話してみたが、適当にあしらわれていた。

*3 もっとも、この定義ぶりでも、一つの個人情報ファイルを構成する各要素を不可分の集合として加工して一つの匿名加工ファイルを作成することに限定していないという不備は残っている。つまり、例えば、個人情報ファイルAと、別の個人情報ファイルBがあって、Aの要素を加工した匿名加工情報と、Bの要素を加工した匿名加工情報を一つの匿名加工ファイルにまとめるという状況を排除できていない。このような用途は想定していないはずであり、定義の不備と言えよう。本来は、「個人情報ファイル」→「匿名加工ファイル」とダイレクトに定義して、「匿名加工ファイル」の要素を「匿名加工データ」と規定するべきところだろう。個人情報保護法制は、昭和63年法ではこういった綻びのない良くできた条文構成だったのに、平成15年以降の立法では、こういった論理的綻びに目を瞑った立案が続いており、内閣法制局の劣化ぶりが垣間見える。こういう論理的綻びを執拗に直し尽くすことこそが内閣法制局の役割だろう。

*4 「個人情報データベース等」は事業者で1つとされているのに、この答え方では、複数の「個人情報データベース等」の存在を前提にしてしまっている。他にも、委員会ガイドライン(案)のパブコメで、安全管理措置の例示のところで「個人情報データベース等」の語が不適切に用いられていたので、JILISから以下の意見を出したのだが、委員会の「考え方」は、「御指摘の点につきましては、事業者におけるデータベース、ファイル等の管理の在り方は多様であるところ、御指摘の箇所においてはこれらに含まれる情報の総称として「個人情報データベース等」の語を用いています。」としておざなりに済まされてしまった。この「等」は2条2項「個人情報データベース等」の「等」とは違う一般語だとでも言うのだろうか。それとも、「個人情報データベース等」は事業者に複数あるものであって、どんぶり勘定の「個人情報データベース等」の解釈は捨て去るべきで、「個人情報データベース等」は「個人情報ファイル」と同じものとして解釈すべきだと委員会も考えているのなら、その方向性には賛同したい。

意見22 【通則編 別添 p.97】安全管理措置の例示中の電子計算機技術に係る記述に、法令用語であるところの「個人情報データベース等」の語を直接用いるべきでない

安全管理措置の「アクセス制御」のところに、「情報システムによってアクセスすることのできる個人情報データベース等を限定する。」との記載があるが、これは、複数の「個人情報データベース等」が存在し得ることを前提とした記述であろう。しかし、法の概念であるところの「個人情報データベース等」は、その単位が事業者で一つとされている(園部編《改訂版》p.51)ことから、このような用法は誤りである。よって、一般的な技術用語であるところの「データベース」あるいは「ファイル」などの語で表現するべきである。

「個人情報の保護に関する法律についてのガイドライン(案)」に対する意見, 情報法制研究所個人情報保護研究タスクフォース, 2016年11月2日

*5 「行政機関個人情報保護法等改正の国会審議 第190回国会会議録から抜粋(地方公共団体匿名加工情報と2000個問題)」を「情報提供」でページ内検索すると、12回も答えていることがわかる。

*6 世間では「ヒソーリ検討会」と呼ばれている様子もある。

*7 「個人情報ファイル簿」の規定は、昭和63年法(行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律)のときからあった(7条)ことに注意。

*8 この点、改正行政機関個人情報保護法の「行政機関非識別加工情報」は、そのようには規定しなかった。この定義中、「……全部又は一部(これらの一部に行政機関情報公開法第5条に規定する不開示情報(同条第1号に掲げる情報を除く。以下この項において同じ。)が含まれているときは、当該不開示情報に該当する部分を除く。)を加工して……」とあるので、不開示情報に該当する部分を事前に除いてから加工することになるのだが、「1号に掲げる情報を除く」とあるように、個人に関する情報は除く対象になっていない。これは、除いてしまうと、加工対象とする個人情報の全部が該当して全部消えてしまうのでそうしたのであろうが、本当は、昭和63年法で言うところの「処理情報の本人」以外の個人についての1号不開示情報を、除く対象にするべきだった。「個人情報ファイル」の概念には、「処理情報の本人」の概念を観念し得るだけの下地が元々あるにもかかわらず、それが活かされていない。

*9 もっとも、この「資料4」は、行政機関法の改正法で導入される「要配慮個人情報」が、個人情報ファイルがそれを含むものであるときは個人情報ファイル簿にその旨を記載する規定になっていることについて、自治体条例が対応できているかを調べたものであるから、非識別加工情報の観点からの調査をしたものではなく、次の会合(第4回)で調査されるのかもしれないが。

本日のリンク元 TrackBack(0)

2017年01月08日

匿名加工情報の条文構成はどう壊れて行ったか(保護法改正はどうなった その6)

まえがき

「匿名加工情報」の規定ぶりがおかしく、苦しい法解釈で凌がざるを得なくなっていることは、2015年12月6日の日記「匿名加工情報は何でないか・前編(保護法改正はどうなった その2)」と2016年2月5日の日記「匿名加工情報は何でないか・前編の2(保護法改正はどうなった その4)」で詳しく書いた。

そこでの結論は、「やはり、国会でも出ていたように、「法律上の匿名加工情報を作るんだという意思を持って加工したものが匿名加工情報である」という解釈をとるほかないのではないか。」というものだった。

この理解がなかなか普及せず*1歯がゆいところだったが、11月末に公表された個人情報保護委員会のガイドラインで、この件は決着しており、次のように書かれている部分がそれである。

(※2)「作成するとき」は、匿名加工情報として取り扱うために、当該匿名加工情報を作成するときのことを指す。したがって、例えば、安全管理措置の一環として氏名等の一部の個人情報を削除(又は他の記述等に置き換え)した上で引き続き個人情報として取り扱う場合、あるいは統計情報を作成するために個人情報を加工する場合等については、匿名加工情報を「作成するとき」には該当しない。

個人情報保護委員会, 個人情報の保護に関する法律についてのガイドライン(匿名加工情報編), 2016年11月, p.9

(※1)ここで「匿名加工情報を作成したとき」とは、匿名加工情報として取り扱うために、個人情報を加工する作業が完了した場合のことを意味する。すなわち、あくまで個人情報の安全管理措置の一環として一部の情報を削除しあるいは分割して保存・管理する等の加工をする場合又は個人情報から統計情報を作成するために個人情報を加工する場合等を含むものではない。

また、匿名加工情報を作成するために個人情報の加工をする作業を行っている途上であるものの作成作業が完了していない場合には、加工が不十分であること等から匿名加工情報として取り扱うことが適切ではない可能性もあるため「匿名加工情報を作成したとき」とは位置付けられない。

個人情報保護委員会, 個人情報の保護に関する法律についてのガイドライン(匿名加工情報編), 2016年11月, p.19

これらの注が確かにそういう趣旨であることは、パブリックコメントで確認している。

1015 3-2 匿名加工情報の適正な加工

意見24 【匿名加工情報編 3-2 p.9 ※2、 3-4 p.19 ※1】匿名加工情報として取り扱うためでなければ、匿名加工情報に係る安全管理措置・公表・明示・識別禁止義務についても対象とならないことを明記するべき

法36条1項のガイドラインに、「※2」として、「「作成するとき」は、匿名加工情報として取り扱うために、当該匿名加工情報を作成するときのことを指す。したがって、例えば、安全管理措置の一環として氏名等の一部の個人情報を削除(又は他の記述等に置き換え)した上で引き続き個人情報として取り扱う場合、あるいは統計情報を作成するために個人情報を加工する場合等については、匿名加工情報を「作成するとき」には該当しない。」との説明がある。

これは、法2条9項の匿名加工情報の定義に形式的に該当する情報を作成した場合であっても、匿名加工情報の制度を利用する意思がない場合には、「匿名加工情報として取り扱うために」作成したことに当たらず、よって法36条1項の「匿名加工情報を作成するとき」に当たらないとの解釈が示されたものとして理解できる。

同様に、法36条3項のガイドラインにおいても、「※1」として、「ここで「匿名加工情報を作成したとき」とは」として、同じ説明があり、これも、匿名加工情報の制度を利用する意思がない場合には、「匿名加工情報として取り扱うために」作成したことに当たらず、よって法36条3項の「匿名加工情報を作成したとき」に当たらないとの解釈が示されたものとして理解できる。

しかし、この解釈は、法36条2項の安全管理措置義務、法36条4項の提供時の公表・明示義務、法36条5項の識別行為の禁止、法36条6項の公表努力義務についても同様に解されるはずのところ、ガイドラインには示されていない。

この解釈は、匿名加工情報の制度が無用な過剰規制とならないために大変重要なものであり、これらの各義務についても同様に適用されるものと理解しているが、その理解でよいか確認したい。その通りであるならば、これらについてもガイドラインで明記するべきである。

また、法37条乃至39条の義務が適用される匿名加工情報取扱事業者の該当性(法2条10項)についても同様の解釈が必要であり、形式的に2条9項の匿名加工情報に該当する情報のデータベースを取扱う場合であっても、匿名加工情報の制度を利用する意思がない場合には、「匿名加工情報データベース等を事業の用に供している」ことに当たらないとの解釈が示されるべきである。この点についてガイドラインは触れていないので、このことについても明記するべきである。
【一般財団法人 情報法制研究所 個人情報保護法タスクフォース】

御意見等に対する考え方

御理解のとおり、匿名加工情報として取り扱うために、当該匿名加工情報を作成するのではなく、例えば、安全管理措置の一環として氏名等の個人情報の一部を削除して引き続き個人情報として取り扱う場合などは、匿名加工情報の作成には当たらず、加工後の情報は匿名加工情報に該当しないことから、改正後の法第36条は適用されません。本ガイドライン(匿名加工情報編)案においては、「匿名加工情報を作成するとき」の解説として、匿名加工情報の作成に該当しないことを記載しており、一般的に現状の案で御理解いただけるものと考えます。

個人情報保護委員会, 「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)(案)」に関する意見募集結果, 2016年11月

他にも、この「意見募集結果」を「として取り扱うため」をキーに検索して該当箇所を読んでいくと、委員会が確かにそのような考え方をしている様子を見ることができる。

ちなみに、統計情報と匿名加工情報との境界線の問題について、「匿名加工情報は何でないか・前編の2」の最後で次のように書いていた点についても、前掲の委員会ガイドラインの該当部分が、「あるいは統計情報を作成するために個人情報を加工する場合等については、匿名加工情報を「作成するとき」には該当しない。」としたことは、同じことを述べているものと言えるだろう。

ところで、匿名加工情報と統計情報を区分する基準をどうするのかが先送りになっているわけだが、これは、今になってみると、決めなくても問題とならないことに気づいた。

なぜなら、そもそも、上の前半の論点から、どのみち「法律上の匿名加工情報を作るんだという意思を持って加工したものが匿名加工情報である」という解釈をとるほかないのだから、統計情報として保護法の規制が係らないようにするには、「法律上の匿名加工情報を作るんだという意思を持って加工」しなければよい(通常、普通にしていればそうなる。)と言えるからだ。

つまり、後半の論点は、実は前半の論点に吸収されてしまっているのである。

匿名加工情報は何でないか・前編の2(保護法改正はどうなった その4)(2016年2月5日の日記)

とはいえ、このような、委員会ガイドラインの「匿名加工情報として取り扱うために」云々とする法解釈は、文理的に無理があるものとする向きもあるだろう。これがもし看過されないのであれば、3年毎の見直しとして、次の改正で条文構成を直す必要があるだろう。

そこで、ここでは、前回の日記で示した情報公開請求開示資料から、この条文構成がどのような経緯をたどってだどり着いたものなのかを追うことで、この失敗の原因を探ってみる。

本編

内閣法制局の「法令案審議録」(のうち、内閣官房IT総合戦略室で作成され、個人情報保護委員会に移管された資料)によると、最初の案文となったのは、9月22日(2014年)の以下の案のようだ。

開示資料の写真 開示資料の写真 開示資料の写真
図1: 開示決定通知と開示資料の9月22日案

9月22日案では、以下のものであった。

この法律において「匿名加工データ」とは、個人データに対し、当該個人データに含まれる氏名、生年月日その他の記述等の全部又は一部を削除する等の加工を施すことにより、特定の個人を識別することができないようにし、かつ、当該個人データに含まれる個人識別情報その他〔広く一般に流通している個人データの項目〕の全部を削除したものをいう。

9月22日案

当初は「匿名加工情報」ではなく「匿名加工データ」であった*2。これは、私もその案の方が「正しい」と思う(いずれ書く)のだが、即刻、「何故個人情報レベルでなく、データになるの?」、「個人情報レベルで定義し、匿名情報???データベースとデータを定義すべきである。」と指摘が入ったようで、次の10月5日の案で「匿名加工情報」に変わっている。

この法律において「匿名加工情報」とは、生存する個人に関する情報であって、次の各号に掲げる場合の区分に応じて、当該各号に定める方法(次の各号のいずれにも該当する場合には、当該各号に定めるすべての方法)により、個人情報を加工して得られるもの(匿名加工情報に別の情報を追加するなどの加工を施した場合を含む。)をいう。

一 当該個人情報が第1項第1号に該当する場合 特定の個人を識別することができないよう、当該情報に含まれる氏名、生年月日その他の記述等の全部又は一部を削除し又は置換する

二 当該個人情報が第1項第2号に該当する場合 当該情報に含まれる個人識別符号を全部削除し又は置換する

10月5日案

10月5日の時点で既に、最終案にわりと近い構造になっている。「個人に関する情報」であることの要件もこの段階で登場している。

ちなみに、興味深いことに、10月5日案では、23条に以下の規定を加える案となっていた。

(第三者提供の制限)
第23条(略)

一〜四(略)

五 個人データ〔を加工して〕〔から〕匿名加工情報を作成し、第三者へ提供するとき。

10月5日案

つまり、匿名加工情報が個人データである場合もあることを前提に、そうであっても第三者提供ができるように、23条1項の例外に、匿名加工情報を作成し提供するときを入れようとした案が存在していたということだ。

しかし、これが次の10月30日案ではボツになったのか、23条の例外案は消滅している。

そして、10月30日案では、定義パートで、以下のように、「第三者に提供するために」が挿入された。

この法律において「匿名加工情報」とは、生存する個人に関する情報であって、第三者に提供するために次の各号に掲げる個人情報に当該各号に定める措置を講じて得られるもの(当該情報が含まれる情報であって、第1項第1号及び第2号のいずれにも該当しないものを含む。)をいう。

一 第1項第1号に該当する個人情報 同号に規定する氏名、生年月日その他の記述等の全部又は一部を削除すること(他の情報に置き換えることを含む。)により、特定の個人を識別することができないようにすること。

二 第1項第2号に該当する個人情報 個人識別符号を全部削除すること(他の情報に置き換えることを含む。)。

10月30日案

このとき「第三者に提供するために」が挿入された理由は何だったのだろうか。こうすることによって、冒頭で述べた問題(の一部*3)は解消するのだから、もしやこの問題はこの時点で既に認識されていたのであろうか。10月5日案に書き込まれたメモにはそれらしき指摘は見当たらないので、法制局からの指摘というよりも、IT室内での議論によるものであろうか。

この部分に対し、図2の1枚目の写真のように、法制局から「自分ではなっていけないのか?」(?)との指摘が入ったようだ。なお、この時点の案では、義務の部分は、図2の写真2枚目と3枚目のように、加工方法に関する義務はなく、復元の禁止と公表等があるのみだった。

開示資料の写真 開示資料の写真 開示資料の写真
図2: 開示資料の10月30日案

そして翌日の10月31日案では、次のように「第三者に提供するために」の部分が後ろに移動して、「のうち、第三者に提供するために第41条の規定による公表をしたもの……」という限定が付くように変更された。41条は公表義務である。

この法律において「匿名加工情報」とは、生存する個人に関する情報であって、 次の各号に掲げる個人情報に当該各号に定める措置を講じて得られるもののうち、第三者に提供するために第41条の規定による公表をしたもの及び当該情報が含まれる情報であって、第1項第1号及び第2号のいずれにも該当しないものをいう。

一 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(他の記述等(個人識別符号を除く。次号において同じ。)に置き換えることを含む。)により、特定の個人を識別することができないようにすること。

二 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(他の記述等に置き換えることを含む。)。

10月31日案

10月30日案との違いは、「第三者に提供するために」という主観的要件を嫌ってか、「第三者に提供するために41条の規定による公表をした」と、公表行為という客観的要件にしたということであろうか。そういえば、国会審議でも、「どこで匿名加工情報になるのかは、公表されたときだ」という答弁があった(「匿名加工情報は何でないか・前編」参照)わけで、それはこの案を経ていたからこそだったのか。

これが11月5日の案では次のように微修正された。

この法律において「匿名加工情報」とは、生存する個人に関する情報であって、次の各号に掲げる個人情報に当該各号に定める措置を講じるとともに、第三者に提供するために第41条第1項の規定による公表をしたもの及び当該情報が含まれる情報のうち、第1項第1号及び第2号のいずれにも該当しないものをいう。

一 (略)

二 (略)

11月5日案

この変更での違いは何だろうか。10月31日案では、「次の……措置を講じて得られるもの」は客体の該当要件で、意図によらず広く該当してしまうところ、「公表をしたもの」という行為の要件で限定していたのに対し、11月5日案では、「講じる」ことと「公表する」ことが一体的となり、「41条1項の規定による公表」を前提とした「講じる」ことであるようなニュアンスが出ているだろうか。これは、最終的に委員会ガイドラインが「匿名加工情報として取り扱うために作成した」と限定したことの狙いに近いようにも思える。

そして、これに続く次の案が出てくるのは、12月19日で、パーソナルデータ検討会の最終回が開かれ「骨子(案)」が示された日だ。このときの案では、次のようになっている。

この法律において「匿名加工情報」とは、個人情報を用いて第31条の3第1項の規定により作成された情報(生存する個人に関するものに限る。)及び当該情報が含まれる情報(第1項第1号及び第2号のいずれにも該当しないものに限る。)をいう。

(加工の方法)
第31条の3 匿名加工情報取扱事業者は、第三者に提供するために匿名加工情報を作成するときは、個人情報保護委員会規則で定める加工の方法及びその情報の保護についての基準に従い、当該匿名加工情報を作成するために用いる個人情報について、特定の個人を識別することができないようにするために次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないようにするとともに、当該個人情報を復元することができないようにするために必要な加工をしなければならない。

一 第2条第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(他の記述等に置き換えることを含む。)。

二 第2条第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(他の記述等に置き換えることを含む。)。

12月19日案

大幅に変更されている。加工の方法は、定義パートから義務パート(31条の3)に移動し、義務パートに加工方法に関する義務が追加された。

この案では、「31条の3の規定により作成された情報」のみが定義パートの「匿名加工情報」に該当するように書かれているので、冒頭で述べた問題が避けられている。また、31条の3で、「第三者に提供するために匿名加工情報を作成するときは」となっているので、義務がかかる場合が目的によって限定されている。「骨子(案)」はまさにこれをベースに書かれていたわけで、それゆえ違和感を覚えなかったわけだ。

この変更の間に、11月13日の「部長審査第二回」とあるメモで、以下の指摘が法制局からあったことが記されている。

2(1) 匿名加工情報について

匿名加工情報については、定義に作用が書かれるのはわかりにくいので、単に個人情報から特定の個人を識別することのできる記述等を削除したものとすべき。一方、匿名加工の措置は個人情報と区別するために重要なものなので(※)、実体規定の中で厳格に書くべき。法律ではすべて書けないので、匿名加工情報を作る者は、指針に従い、次に定める措置をとらなければならないなどとする。また、匿名加工情報の取り扱いについても、指針に従い行わせたらよいのではないか。

開示資料「個人情報保護法骨子案(部長審査第二回 H26.11.13)」

この指摘に従って、加工方法の基準を委員会規則で定めることとし、その基準に従うことを義務としたようだ。

この日の部長審査では、定義は「単に……記述等を削除したものとすべき」と指摘されたようだが、12月19日の案では、そうではなく、前記の通り、「31条の3の規定により作成された情報」のみが定義に該当するように書かれているわけで、そこがどのような経緯なのか気になるところ、手がかりはまだみつけていない。

なお、「識別することができないように」に加えて「復元することができないように」が入ったのも、このときのようだ。12月1日の「長官指摘」とするメモに次のことが記されている。

○匿名加工情報(2)

復元禁止の規制で対応しようというのは無理がある。個人情報に戻りかねないものが容易に流通することになるのは危険すぎる。加工者が第三者に提供する時点で、復元ができないように、個人識別情報にたどり着けないように、加工しなければならないことにするべきである。(容易照合もできないような形で提供するべきである)

その上で、加工者と二次的な利用者は分けて規制を設けるべきである。

追加指摘(12月2日)
匿名加工情報の加工には、単純に削除や置換をする以外にも、精度を下げる(例えば住所のうち、番地は言わないなど)という方法も考えられ、それは情報の内容や使い道によって異なってくるのだから、法律上、加工の基準や方法について頭出しした上で、少なくとも規制レベルでそれを定める必要がある。事業者任せではだめである。

開示資料「個人情報保護法 長官指摘(12月1日)」

この指摘内容自体、別の論点で興味深いところだが、それは置いておくとして、この長官指摘によって、「識別できないように」と「復元できないように」が重ねて規定されるようになったのだろうか。しかし、その意味の違いについては明らかでない。

そして、この案が、1月8日の案で、次のように変更された。

この法律において「匿名加工情報」とは、個人に関する情報であって、第31条の3第1項の基準に従い個人情報を加工して得られるものをいう。

(匿名加工の方法)
第31条の3 匿名加工情報取扱事業者は、 匿名加工情報を作成するときは、個人情報保護委員会規則で定める加工の方法及びその情報の保護についての基準に従い、当該匿名加工情報の作成に用いる個人情報について、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないようにすることその他当該個人情報を復元することができないようにするために必要な加工をしなければならない。

一 (略)

二 (略)

1月8日案

ここで後退してしまっている。12月19日案では、「第31条の3第1項の規定により作成された情報」だったからこそ、定義が意図によらず該当してしまう問題を回避できていたのに、「第31条の3第1項の基準に従い」に変更されたことで、基準が一致していれば客体が該当してしまう問題*4が残ってしまう。加えて、31条の3から、「第三者に提供するために」が削除されてしまっており、意図による限定は消滅してしまった。

なぜこう修正されたのか、「……の規定により作成された情報」という言い方自体が法制局から許されなかったのだろうか。31条の3はあくまでも基準が示されているだけだという指摘があったのかもしれない。この修正は、12月19日案への手書きメモに書き加えられているが、理由は書かれていない。

そして、「第三者に提供するために」が削除されたのも、12月19日案への手書きメモで消されているのを確認できる。理由は書かれていない。

開示資料の写真 開示資料の写真 開示資料の写真
図3: 開示資料の12月19日案

そうすると、違和感のなかった「骨子(案)」どおりの案は、その日のうちに早々と消えていたというわけか。

これの次の案は、1月13日案、1月15日案、1月16日案であるが、いずれも大きな変更はないが、ここで、次の指摘が入っている。

開示資料の写真 開示資料の写真 開示資料の写真
図4: 開示資料の1月16日案

「定義とトートロジーでは?」、「匿名加工情報がでてくるのはいいのか?」とのコメントが手書きされている。

この点について、「個情法部長一読指摘事項その2(H27.l.19)」と題するメモ文書に、以下の記載があった。

31条の3

定義規定とトートロジーになっている気がする。ここで匿名加工情報を用いられないのではないか。(用例?)定義を変えるか?個人情報を復元できないように加工した情報?

開示資料「個情法部長一読指摘事項その2(H27.l.19)」, p.3

確かに、定義パートで「匿名加工情報とは……31条の3の基準に従い……得られるもの」としているのに、その31条の3が「匿名加工情報を作成するときは」としているのでは、循環参照になってしまっているように見えなくもない。

ただ、定義パートが参照しているのは「基準」であり、31条の3に書かれている基準は、「匿名加工情報を作成するとき」にだけ存在するものではないのだから、循環参照にはなっていないようにも思えるのだが……。

なるほど、こうしてみると、12月19日案では確かに循環参照だった。「匿名加工情報とは…31条の3の規定により作成された情報」としながら、31条の3で「匿名加工情報を作成するときは」というのでは、どちらも定まらないことになってしまう(法文解釈論上)のであろうか。

この1月16日案は直さなくてもよかったようにも思えるが、トートロジーだとの指摘で、大幅に変更され、1月26日案で、以下のようになった。

この法律において「匿名加工情報」とは、個人情報を加工して得られる個人に関する情報であって、次の各号に掲げる当該個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないようにし、かつ、当該個人情報を復元することができないようにしたものをいう。

一 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(他の記述等に置き換えることを含む。)。

二 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(他の記述等に置き換えることを含む。)。

(匿名加工情報の作成等)
第37条 匿名加工情報取扱事業者は、匿名加工情報を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会で定める基準に従い、当該個人情報を加工しなければならない。

1月26日案

この後も何度も修正されているが、この時点で、冒頭の論点の観点からは、概ね、現在成立している改正法の条文と同じ構成に辿り着いている。

この結果、定義パートの客体該当性要件に該当する情報の全てが「匿名加工情報」に該当してしまい、その全てに義務パートの義務がかかるように読めてしまう条文となってしまった。

こうして振り返ってみると、初期の案で既にその問題を抱えていたところ、なんとかそれを回避しようとした形跡が見られるものの、それが、その時々の法制局の局所的な指摘(視野の狭い指摘)によって台無しにされていき、最初に戻ってしまったように見受けられる。問題を回避する必要性が法制局に伝わっていなかったのだろうか。

なお、どうすればよかったのかについては、2015年12月6日の日記で「匿名加工情報に関する規定の不備を解消する条文修正試案(2015年4月3日作成の文書)」を示した。今回の開示資料を踏まえて改めて検討してみるに、これならばトートロジーにもなっておらず、問題は解決できていたのではないかと思う。

変更履歴(1月13日)

  • 図4の写真を差替え
  • 図4直後の段落の次に1段落と開示資料の引用部を追加
  • 誤字を修正
  • 最後の段落の表現ぶりを変更 (最後から2つ目の段落に)
  • 最後の段落を追加

*1 例として、11月29日の日記の脚注10

*2 このことは、1年前に情報公開請求したとき(2016年1月31日の日記の冒頭参照)の開示文書でも明らかになっていたが、今回の開示ではそこに含まれていなかった文書が大量に開示されている。

*3 この案でも、委託先に仮名化データを提供する場合が該当してしまう問題は解決しない。

*4 2016年2月5日の日記「匿名加工情報は何でないか・前編の2(保護法改正はどうなった その4)」で触れた、森亮二弁護士の法律時報での論文における、「委員会規則で定めた基準によって作成したもののみが匿名加工情報となる」とする解釈の提案がこれに該当する。

本日のリンク元 TrackBack(0)

2017年01月04日

速報 対象を個人データに限る案は初期段階で存在していた(パーソナルデータ温故知新 その5)

このところ(11月から)一般財団法人情報法制研究所(JILIS)の調査予算で、個人情報保護法関連法の立法過程を明らかにすべく、情報公開請求を試みている。第1弾として、内閣法制局の「法令案審議録」を請求したところ、その一部は元の文書を作成した省庁に移送され、その開示決定通知書と開示文書の写しが続々と到着している。

資料の写真 資料の写真 資料の写真 資料の写真
図1 続々と到着した開示資料を整理しているところ

年末までに、作成日付ごとに区分けして整理する作業のついでにざっと目を通したところ、これはそうとう有益な情報が満載のようだということがわかり、お宝の山にホクホクといったところである。

そんな中で、早速、最も大きな発見となりそうな資料が見つかったので、速報として、以下の点について少しだけ書いておきたい。

まず、背景として、8月23日の日記「「法とコンピュータ」No.34に34頁に及ぶ論考を書いた」で示した論文で、私は、「制定時の立法の過誤」として「なぜ「個人データ」としなかったのか」を問うており、平成15年の個人情報保護法でも(昭和63年法と同様に)本来の趣旨では(15条から18条の取得段階の義務でも)「個人データ」を対象とするものではなかったのかという疑問を投げかけていたのだが、それを裏付ける資料が乏しいという課題があった。

それに対して以下の資料である。

資料の写真 資料の写真
図2 最初に内閣法制局に持ち込まれたときの案文の束

これは、平成15年法の旧法案(2002年の臨時国会で廃案)の原案として、2000年10月の「個人情報保護基本法制に関する大綱」を受けて、同年12月に当時の内閣官房個人情報保護担当室が作成して、最初に内閣法制局に持ち込んだときの案文の束である。

図2の2枚目の写真に、「別案」が以下のように書かれている。

(利用目的の特定)
第9条 個人情報取扱事業者は、個人情報を利用するに当たっては、その利用目的(以下「利用目的」という。)をできる限り特定しなければならない。

(別案)個人情報取扱事業者は、個人情報データベース等を作成し、取得し、又は維持管理するに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

図2の開示資料より

ここは、現行法の15条に当たる*1部分で、最終案では「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。」となった部分である。

ここを「個人情報データベース等を作成し、取得し、又は維持管理するに当たっては」とする別案が存在していたのだ。

これはちょうど、2月20日の日記「入力帳票は個人データでない? ヤマト函館朝市営業所伝票横流し事件(パーソナルデータ温故知新 その1)」で書いていた、「以下の条文とすることができるのではなかろうか。」として示していた、以下の次期改正試案の案文と同趣旨のものと言えよう。

(利用目的の特定)
第15条 個人情報取扱事業者は、個人情報(個人情報データベース等を構成するものに限る。)を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

入力帳票は個人データでない? ヤマト函館朝市営業所伝票横流し事件(パーソナルデータ温故知新 その1), 2016年2月20日の日記

もっとも、図2の資料を見ると、この「別案」には「×」印が手書きで書かれており、次の日の案文で削除されているので、採用はされなかったということになる。

手書きの文字は、個人情報保護担当室が法制局の指摘を受けて指摘内容をメモしたものとみられ、「12/6の指摘を踏まえて修正したもの(第9条〜第15条)」とあり、「(別案)」のところには以下の記述が読み取れる。

データベースにしないつもりで開始した収集が読めない

図2の開示資料より

これが理由でボツになったと思われるが、逆に、12月4日の案文では「個人情報を利用しようとするときは」となっていて、そこに手書きメモが多々書き込まれていることから、この別案を新たに出すに至る何らかの指摘が法制局からあったはずだ。

その指摘こそが、対象を「個人データ」に限らなくて本当によかったのかの謎を解く鍵となるはずである。

詳細は休み明けに分析し、論文やここで示していこうと思う。

*1 当初の案では、現行法で言う2章(国及び地方公共団体の責務等)、3章(個人情報の保護に関する施策等 )が、「個人情報取扱事業者の義務等」より後に置かれていたため、条番号が大きくずれている。

本日のリンク元 TrackBack(0)

追記

最近のタイトル

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|
追記