追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 2503   昨日: 3975

2017年03月10日

「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか

残念なニュースが入ってきた。

このサイトについては、今年の正月早々に以下の件で話題になっていた。

このとき、タイトルには「国税……」とあるが、「国税クレジットカードお支払サイト」と「都税クレジットカードお支払サイト」の両方を話題にしていた。

これは、GMOペイメントゲートウェイ株式会社とトヨタファイナンス株式会社が組んで、東京都への都税の納税代行と、国税庁への国税の納税代行をする「クレジットカードお支払いサイト」を運営している*1のだが、サイトの画面構成からして、誰が運営主体なのか不明だということが問題となっていた。

国税の方については、少なくとも国税庁が運営しているものではないことは(比較的*2)明白であり、サイトのドメイン名が「noufu.jp」となっていて政府ドメイン名「.go.jp」でないことについては何ら問題がなく*3、しかし、民間事業者のどこが運営してるのかが、画面構成からはいまいちハッキリしない(本文中に一応「国税庁長官が指定した納付受託者(トヨタファイナンス株式会社)が運営する」とは書かれているものの、トヨタファイナンスのロゴ等はどこにもなく、正体が隠されたような感じになっている。)ことが問題点であった。

それに対して、「都税クレジットカードお支払サイト」は違っていた。

それから2か月、本当に事故が起きてしまった。

今回、国税の方では被害がないようだ*4が、もし仮に、国税の方で被害が出た場合、正月に上記のようにツイートしていたように、国税庁には直接の責任がないだろう。国税のコンビニ払いでコンビニが事故を起こしても、コンビニ事業者の責任であって、国税庁には、そのような事業者を指定してしまったことに過失はなかったかという限度の責任しかないのと同様にである。(それに対して、もし、e-Taxで事故が起きたら、たとえサーバ保守をどこかの業者に委託していようとも国税庁が直接の責任を負うわけだが、それとは異なる。)

しかし、今回の事件で、都税について出た被害で、東京都主税局の責任はどうか。都税の方では、サイトの左隅上に「東京都主税局」のロゴが貼られており、「公式」との表記もあることから、多くの人が、これを東京都主税局が運営するサイトと誤認していた。「https://zei.tokyo/」というドメイン名がふざけていると(「.lg.jp」ドメインを使うべきと)怒っていたセキュリティ専門家のような人々でさえ、東京都主税局が運営していると思い込んでいた。

したがって、今回の事件での被害者の何十万人は、東京都主税局が運営するサイトだから安全だろうと思って利用したであろう。すると、東京都主税局がそのような誤認サイトを放置した(もしくは積極的にロゴの使用を認めていた)のであれば、東京都主税局にもサイト運営社並みの責任が問われるのではなかろうか。

なお、今回の事件で、東京都は、以下のように、およそ運営主体には見えない(単にサービスが停止していることを迷惑としているだけなので)発表をしている。

  • 「都税クレジットカードお支払サイト」における不正アクセスについて, 東京都主税局, 2017年3月10日

    都税のクレジットカード納付を行うために、受託事業者が運営している「都税クレジットカードお支払サイト」について、外部からの不正アクセスにより、クレジットカード情報とメールアドレスが流出したおそれがあることが判明しました。

    このため、「都税クレジットカードお支払サイト」については、平成29年3月10日11時15分より利用を停止しております。関係者の皆様には、多大なご迷惑をおかけし、深くお詫びを申し上げます。

本来ならば、そのような突っぱねた態度(事故は指定事業者の問題であると)で正しいのだが、「東京都主税局」のロゴを貼らせ(貼ることを許し)、東京都主税局運営サイトであるかのように利用者が誤認していたことについて、何か言うことはないのか。

なお、正月にこの件が話題になった後も、改善はされていなかったようだ*5

他方、GMOペイメントゲートウェイ社の発表は、以下のようになっており、東京都から自ら受託しているかのような記述になっている。今になってもなお依然としてトヨタファイナンスからの受託であることを理解していないのだろうか。

  • 不正アクセスに関するご報告と情報流出のお詫び, GMOペイメントゲートウェイ株式会社, 2017年3月10日

    GMOペイメントゲートウェイ株式会社(以下、当社)において運営受託しております東京都様の都税クレジットカードお支払サイトおよび独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトにおいて、第三者による不正アクセスが確認され、情報が流出した可能性があることが判明いたしました。

    このような事態を起こし、お客様および関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますこと、心より深くお詫び申し上げます。

その点、トヨタファイナンス社の発表では、この点が正確な記述になっている。

  • 不正アクセスに関するご報告とお詫び, トヨタファイナンス株式会社, 2017年3月10日

    当社が東京都様より都税の収納代行業務の指定を受け、運営しております「都税クレジットカードお支払いサイト」におきまして、サイトの運営を委託しておりますGMOペイメントゲートウェイ株式会社(以下、GMO-PG社)のサイトに第三者による不正アクセスが確認され、情報が流出した可能性があることが判明いたしました。

    このような事態を起こし、お客さまおよび関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますこと、心より深くお詫び申し上げます。

ちなみに、本来どうあるべきかについては、正月のときにもツイートしていた。

こういう事故が起きても、2つ以上の事業者を指定してサービスが提供されていれば、片方が停止しても、納税者はもう一方を利用することができる。複数の事業者らは、それぞれのブランドを前面に出して利用者の信頼を得て、競争するのが本来の形であろう。

それから、トヨタファイナンス社が、この事業についての利用目的の公表義務(18条1項)と直接書面取得時の利用目的明示義務(18条2項)を怠り、個人情報保護法に違反している*6ことも、この際ちゃんと*7追求してほしいところだ。

*1 他にも、「愛知県県税クレジットカードお支払サイト」(zei.aichi.jp)や「大阪府自動車税お支払サイト」(publicservice.jp/osaka)、「三重県自動車税お支払サイト」((publicservice.jp/mie))、「福岡市税クレジットカードお支払サイト」(zei.gmopg.jp/city/fukuoka)などがあるようだが、なぜか一覧表が存在しない。トヨタファイナンス社はこのビジネスをやる気があるのだろうか。

*2 それでもなお、当該サイトのフッタには、「国税庁HP」とのリンクがあり、国税庁運営であるかのような誤解を若干与える部分は残存しているが。

*3 ただし、民間事業者が金銭関係のサービスを運営するサイトのドメイン名としては、運営者を明確にした「.co.jp」のドメイン名の方が望ましく、「.noufu.jp」というのはあまりに拙く、「ナメとんのか」という印象を拭えない。

*4 トヨタファイナンスの発表文によれば、「尚、当社が収納代行業者と指定されております国税及び他の自治体のサイトのご利用中のサービスにつきましては、現時点では同様の問題が発生していないことを確認しております。」とある。

*5 当該サイトのGoogleの「キャッシュ」と称した半永続コピー(2017年3月8日 22:40:47 GMT 時点)による。

*6 現在でも、「国税クレジットカードお支払いサイト」は、「個人情報の取り扱いについて」や「プライバシーポリシー」といったページに、トヨタファイナンス社の公表事項を記載していない。(今回の事故の発表で、トヨタファイナンス社は「当社が運営」「GMOに委託」と認めている。)

*7 安全管理措置ばっかじゃなくて、利用目的義務違反もちゃんと執行しろって。

本日のリンク元 TrackBack(0)

2017年03月05日

鳥取県の条例改正案、非識別加工情報導入で矛盾噴出(パーソナルデータ保護法制の行方 その28)

はじめに

前回の日記「個人情報ファイル概念が欠如している自治体条例」を書いた数日後、鳥取県が個人情報保護条例を改正して匿名加工情報の制度を導入するとのニュースが入ってきた。

  • ビッグデータ県が民間提供 産業創出へ体制整備, 日本海新聞, 2017年2月22日

    鳥取県は新年度、個人情報を匿名化した上でビッグデータとして民間事業者に提供する取り組みを始める。購買行動の分析などビジネス情報として活用が想定される。県は、個人情報保護条例などの一部改正案を22日開会の2月定例会に提出する。都道府県でビッグデータ活用に関する条例改正案を提案するのは県が初めて。(略)

鳥取県議会のサイトを調べてみたところ、2月23日の総務教育常任委員会の資料として、その改正案が公表されていた。

「匿名加工情報」ではなく「非識別加工情報」となっているのは想定内だが、施行日が5月30日とあり、国の改正法と同時施行とはこれまたチャレンジングだ。早速、改正案を読み込んでみたところ、案の定、いくつもの問題点があることに気づいた。列挙すると以下である。

  • 「個人情報ファイル簿」を導入するのに「個人情報取扱事務登録簿」を廃止していない。
  • 「非識別加工情報」の解釈が行政機関個人情報保護法と同じであるなら「非識別加工情報」は「個人情報」に該当するはずなのに、既存の「個人情報」に係る義務規定から「非識別加工情報」を除く手当をしていない。
  • そもそも「非識別加工情報」が「個人情報」に該当するとする解釈をとっているのかが不明。
  • 鳥取県から「非識別加工情報」の提供を受けた民間事業者においてそのデータが必ず「匿名加工情報」に該当するのかが、ますます不明。
  • 匿名加工情報への加工の基準は、鳥取県が独自に規定するのか。
  • 情報公開条例の改正案も出ているが、不開示情報に「非識別加工情報」を入れていないのは、情報公開請求できるということか。
  • 「実施機関非識別加工情報」というネーミングに違和感。

以下、それぞれについて書いておく。

「個人情報取扱事務登録簿」を廃止していない

前回の日記で指摘したことは、「個人情報ファイル」概念のない自治体が7割を超えており、そのままでは匿名加工情報(非識別加工情報)の加工基準が定まらないとする問題であったが、鳥取県もそれに該当する自治体だった。それが、この条例改正案で「個人情報ファイル」概念を新たに導入するという。

この改正案は、「個人情報ファイル簿」を規定するために「個人情報ファイル」を規定し、その「個人情報ファイル」を規定するために「保有個人情報」を規定するという形になっている。元の条例には「保有個人情報」の概念もなかったので、「個人情報ファイル簿」に必要な概念一式を、行政機関法から根こそぎ移植した形になっている。

そういうやり方自体はまあアリだとは思うが、しかし、「個人情報ファイル」というのは「非識別加工情報」のためだけに存在するわけではない。保有する個人情報ファイル(そのうち、その存在を公表するものとして定められたもの)について「個人情報ファイル簿」を作成して公表することになっているのは、1988年制定の「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」(昭和63年法)以来の伝統ある制度であり、その趣旨は、国民の不安感に対応するために個人情報ファイルの存在と概要をできる限り国民に明らかにするというものであった。国が1988年からそのような制度を設けてきたのに、鳥取県をはじめとする多くの自治体がこれに追随せず、「個人情報ファイル簿」を規定してこなかったわけだが、それで許されてきたのは、類似の概念である「個人情報取扱事務登録簿」を別途規定して、それで足りるとしてきたからだろう。

実際、前回の日記でも触れたように、自治行政局で開催中の「地方公共団体が保有するパーソナルデータに関する検討会」の資料では、「個人情報ファイル簿等(個人情報取扱事務登録簿を含む。以下同じ。)」として、「個人情報取扱事務登録簿」を「個人情報ファイル簿」と同一視しているのだから、これらは同趣旨のもので、中身もほとんど同一のものとなるべきものと考えられる。

そうすると、条例改正で「個人情報ファイル簿」を導入するのなら、「個人情報取扱事務登録簿」は廃止して然るべきと思われるところ、鳥取県はこれを廃止しなかった。条文で見ると、以下のように、「個人情報取扱事務登録簿」の規定と「個人情報ファイル簿」の規定の両方が存在しており、なすべきことがダブってしまっている。

(個人情報取扱事務の登録)
第5条 実施機関は、個人情報取扱事務を開始しようとするときは、あらかじめ、個人情報取扱事務登録簿(以下「登録簿」という。)に、次に掲げる事項を登録しなければならない。登録した事項を変更しようとするときも、同様とする。
(1) 個人情報取扱事務の名称
(2) 個人情報取扱事務を所管する組織の名称
(3) 個人情報取扱事務の目的
(4) 個人情報取扱事務の対象者の範囲
(5) 取り扱う個人情報の項目
(6) 個人情報の収集先
(7) 個人情報を実施機関以外のものに経常的に提供する場合には、その提供先
(8) その他規則で定める事項

(略)

6 実施機関は、規則で定めるところにより、登録簿を一般の閲覧に供しなければならない

(個人情報ファイル簿の作成及び公表)
第6条 実施機関は、当該実施機関が保有している個人情報ファイルについて、規則で定める事項を記載した帳簿(以下「個人情報ファイル簿」という。)を作成し、公表しなければならない

(略)

改正後の鳥取県個人情報保護条例

6条で「個人情報ファイル簿」に記載する事項は「規則で定める」とされているが、おそらくは、5条1項各号と同じようなものになるのだろう。

たしかに、「個人情報取扱事務登録簿」を廃止してしまうと、それを基礎にした他の規定に変更を加える必要が生じるので、ほいそれとは廃止できないという事情はあり得る。鳥取県条例では、例えば、8条の「利用及び提供の制限」では、「登録簿に登録された目的以外の目的のために個人情報を……してはならない。」と規定しているし、7条の「収集の制限」では、「登録簿に登録された目的を達成するために必要な範囲内で……個人情報を収集しなければならない。」と規定しているので、ここを「個人情報ファイル簿に登録された……」に置き換えてよいのかが論点となる。

もしそのように置き換えると、個人情報ファイルを構成する個人情報(記録された、又は、記録することを予定した個人情報)のみが対象ということになり、それ以外の散在情報は対象としないことになってしまうから、行政機関法が平成15年の全部改正で散在情報まで対象としたことと乖離してしまう。もっとも、それを言えば、改正前の鳥取県条例でも、「個人情報取扱事務登録簿」に登録された個人情報の取扱いしか想定していない*1わけで、先と同様に、行政機関法が散在情報を含む保有個人情報まで対象としているのに比べて範囲が狭いものとなっている*2のであり、元から乖離しているのだとも言える。

今回の改正案は、こうした論点を避けて、単純に条を追加するだけにしたのかもしれないが、「個人情報取扱事務登録簿」と「個人情報ファイル簿」で事務が二重になるのに、そのことを承知しているのだろうか。

また、行政機関法からの根こそぎ移植に伴って入った「保有個人情報」の規定も、なんだか不恰好なものになっている。「保有個人情報」は改正により2条7号として以下のように追加されるが、同様の概念は、改正前から、以下のように2条5号の「個人情報取扱事務」に含意されていたのであり、ここでも概念がダブっている。

(定義)
第2条 この条例において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(略)

(4) 公文書等 次に掲げるものをいう。ただし、電子計算機を使用して行われる専ら文書を作成し、又は文書、図画若しくは写真の内容を記録するための処理その他規則で定める処理に係るものを除く。

ア 実施機関の職員(県が設立した地方独立行政法人にあっては、役員を含む。以下同じ。)が職務上作成し、又は取得した文書、図画、写真及びスライド(これらを撮影したマイクロフィルムを含む。)であって、当該実施機関の職員が組織的に用いるものとして、当該実施機関が保有しているもの

イ 実施機関の職員が職務上作成し、又は取得した情報で当該実施機関の職員が組織的に用いるものを記録する磁気テープ、磁気ディスクその他これらに準ずる方法により一定の事項を確実に記録しておくことができる物であって、当該実施機関が保有しているもの

(5) 個人情報取扱事務 実施機関が個人情報を収集し、実施機関において利用し、又は実施機関以外のものに提供し、及び管理する事務(実施機関以外の者に委託して行うものを含む。)であって、当該個人情報を公文書等に記録するものをいう。

(略)

(7) 保有個人情報 実施機関の職員が職務上作成し、又は取得した個人情報(生存する個人のものに限る。)であって、当該実施機関の職員が組織的に利用するものとして、当該実施機関が保有しているものをいう。ただし、公文書等に記録されているものに限る。

改正後の鳥取県個人情報保護条例

公的部門では、保護する個人情報の範囲を、職員が組織的に利用するものとして当該機関が保有するものに限っており、これが民間部門と違っているところ*3なわけだが、改正前の鳥取県条例でも、「保有個人情報」の用語こそ使われなかったものの、「個人情報取扱事務」にその限定がかけられており、同様の範囲に限っていた。

したがって、今回の改正で、「保有個人情報」を定義するなら、条例の規定の全体を「保有個人情報」を用いて構成し直せばよいものを、鳥取県はそれをせず、単に「保有個人情報」を追加するだけとした。そのくせ、「保有個人情報」は「非識別加工情報」のためにしか使われていない*4

結果的に同じものを規定しているのだから、この機会に全体を再構成することはできたように思えるが、鳥取県は、本当に熟考の上でこのようにしたのだろうか。「個人情報取扱事務登録簿」と「個人情報ファイル簿」の事務がダブっていることからして、どこかから与えられた「非識別加工情報」導入パッケージのパッチを考えなしにダブルクリックでインストールしただけのように思えてならない。

「非識別加工情報」を個人情報に係る義務から除外していない

昨年6月12日の日記「行政機関法改正の論点 国会会議録から抜粋」で書いたように、「匿名加工情報」が行政機関法では「非識別加工情報」という別の名前にされたのは、民間部門の規律とは違って行政機関法では「非識別加工情報」は「個人情報」であると解釈されていることが、その理由だとされている。このことは、改正法案の国会審議で以下のように明らかにされている。

○高井委員 岡山から参りました高井崇志でございます。

(略)

ところが、この匿名加工情報という概念をせっかく個人情報保護法で導入したのに、今回の行政機関個人情報保護法では違う言葉になっているんですね。

実は、当初の議論ではずっと同じ言葉で法律がつくってこられた、そういった情報も何度か総務省からも出されていて、そういう資料でも匿名加工情報という名前だったのに、二月の下旬ぐらい、これは三月八日に閣議決定しているので、一週間ないし二週間ぐらい直前に、突然違う、非識別加工情報という名前に変わった。これは、仄聞するところでは、内閣法制局から、長官からの指示で急に変更になったということなんです。

私は、変更したことによって、いろいろな法文、ほかの法文にも影響が生じていて、非常に大きな問題であると今思っているんですけれども、これはなぜ非識別加工情報という別な言葉に修正をしたのか。そして、これによってほかの条文への波及をする混乱というのは生じないんでしょうか。

○上村政府参考人 お答えを申し上げます。

委員御指摘のとおり、今回、この法案では非識別加工情報という名称でお諮りをしたいと思ってございますが、行政機関が作成する非識別加工情報というのは、もとの個人情報から氏名それから住所を削除する、あるいはデータを入れかえする、こうした方法によって作成するところなんですけれども、このもとになったデータというものは、これは非識別加工情報をつくった後においても行政機関において保有されるということになっております。

また、非識別加工情報につきましては、行政機関におきましては照合を行う必要がある場合もあり得ます。したがいまして、他の情報と非識別加工情報の照合を禁止するという規定は置いていないわけでございます。

そういたしますと、これは理論上、行政機関の内部におきましては、非識別加工情報は、作成のもととなったデータと照合することは可能ですので、個人情報に該当することになります。他方、委員御指摘の個人情報保護法におきます匿名加工情報は、これは個人情報に該当しないということになってございますので、この二者を区別する必要がある。そのために別の名称、この場合、非識別加工情報という名称を付しているというわけでございます。

ほかに混乱が生じないかということでございますが、当然、お諮りを今度予定しております、お願いしております法案の条文には、その名称の変更はございます。

他方、行政機関から外に出ていった場合でございますが、民間事業者に提供された場合は、受け取る側の民間事業者にとっては、これは個人情報保護法が一律に適用になることになります。したがいまして、この情報は、民間事業者が受け取った段階で匿名加工情報となります。したがいまして、個人情報保護法の規定に沿いまして照合禁止の義務もかかりますので、ほかのデータと照合するということはできません。

したがいまして、民間事業者にとりましては、法運用は統一されておりますので、混乱は生じない仕組みとなっておる、そのように考えております。

国会会議録 第190回国会 衆議院総務委員会第11号(平成28年4月5日)

この考え方自体に疑問があることは、昨年4月6日の日記「行政機関法では再識別禁止がないから個人情報に当たるですって?」で書いたが、その件はここでは脇に置いておくとしよう。

あまり知られていないことと思われるが、実は、行政機関法では「非識別加工情報」が「個人情報」に該当するとの前提から、昨年の改正法では、以下のように重要な除外条文(傍線部)が入っていた。

PDFの一部分
図1: 平成28年行政機関法改正案の新旧対照表より抜粋

これは、「保有個人情報」から「行政機関非識別加工情報」と「削除情報」に該当するものを除くとしており、6条1項と8条、12条1項においてもそうするとしている。同様に、「個人情報」からもそれらを除くとし、7条、38条、48条、50条、51条においてもそうするとしている。

つまり、正確性の確保、安全確保措置、従業者の義務、利用及び提供の制限、開示請求権、利用停止義務といった、個人情報を対象とする各種義務規定において、行政機関非識別加工情報は対象としないということをわざわざ言っている*5わけである。これは、そうしないと、匿名加工して作成した行政機関非識別加工情報が、個人情報に該当するという解釈なので、提供しようとすると、8条の「利用及び提供の制限」において目的外提供に当たり、違反ということになってしまうからである*6

ところが、このことが鳥取県の条例改正案では手当されていないのである。

鳥取県の条例改正案は、31条に「実施機関は、実施機関非識別加工情報を作成し、及び提供することができる。」と規定するが、改正前の8条(利用及び提供の制限)の「登録簿に登録された目的以外の目的のために個人情報を……実施機関以外のものに提供してはならない。」は改正で変更しないため、矛盾してしまう*7

また、鳥取県条例は、自己情報開示を次のように規定しているが、改正案はここを変更しない。したがって、行政機関法と同じく「非識別加工情報」は「個人情報」であるとする解釈をとるならば、「非識別加工情報」の開示請求がなされたら、これに応じなければならないことになる。(行政機関法では請求できないことになっているのに。)

(開示請求)
第12条 何人も、実施機関に対して、当該実施機関の個人情報取扱事務に係る自己の個人情報について開示の請求をすることができる。

2 (略)

(開示義務)
第16条 実施機関は、開示請求に係る個人情報に次の各号に掲げる情報のいずれかが含まれている場合を除き、当該個人情報を開示しなければならない。

改正後の鳥取県個人情報保護条例

これはどうしたことだろうか。「非識別加工情報」導入パッケージを作成した人は、この手当の必要性を承知していなかったのだろうか。行政管理局ならば承知しているはずだが、自治行政局には理解が及ばなかったのか、それとも、鳥取県が独自に検討したため、気づかなかったのか。

と思いきや、よく見ると、11条によく似た括弧書きがあるではないか。

(委託等に伴う措置等)
第11条 実施機関は、個人情報(実施機関非識別加工情報及び削除情報(第31条第3項に規定する削除情報をいう。第45条第1項において同じ。)に該当するものを除く。以下この条において同じ。の取扱いを伴う業務を委託するときは、当該委託契約において、委託を受けた者が講ずるべき個人情報保護のために必要な措置を明らかにして、当該業務において取り扱う個人情報の安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

改正後の鳥取県個人情報保護条例

下線部が改正で加えられる部分だが、「この条において同じ」となっていて、11条だけで除外するものになっている。これは、前記の行政機関法で除外しているものとは、全く趣旨が異なるもののようだ。11条には、4項まであるが、いずれも委託に伴う措置が規定されているだけであり、なぜそこだけこれらを除外するのか、意味がわからない。いったいなぜこんなことをしたのか。*8

「非識別加工情報」は鳥取県では「個人情報」でない?

もしかして、鳥取県個人情報保護条例では、国の行政機関法とは異なり、「非識別加工情報」は「個人情報」に該当しないという解釈をとっているのだろうか。その解釈をとると前節の問題点は解消する。*9

行政機関法で「非識別加工情報」が「個人情報」であるとされた理由は、国会答弁にあるように、行政機関法では、再識別の照合禁止義務が規定されていない(民間部門では改正個人情報保護法36条5項で禁止されるのに対して)からとされている。ならば、もしや、鳥取県の条例改正案では、実施機関による再識別のための照合を禁じる規定が独自に加えられたのかも?と思い、目を通してみたが、そういう規定は見当たらなかった。

もっとも、再識別の照合禁止義務がないからといって「個人情報」だとするのは、その理屈がおかしいと私は思うところなのだが、この点は、民間部門の平成27年改正の際の、内閣法制局法令審議録(JILISによる情報公開請求で得たもの)から窺えるところがあり、確かに、民間部門では、照合禁止義務があるから容易照合性が解消されるのであって、そうでなければ、元データが存在する限り容易照合できるとする考え方を基礎に、匿名加工情報の制度が設計されていた記録があった。その件は、また別の機会に、匿名加工情報の話の中で詳しく書くつもりであるが、いずれにせよ、再識別の照合禁止義務がないと「個人情報」だとする解釈は、条文に書かれているわけではなく、法案の起草段階のある時点において内閣法制局でそのように整理されていたにすぎない*10のだから、鳥取県が独自の解釈を前提としていても不思議ではない。

そうだとすれば、私は別の観点から大歓迎*11なのだが、ならば、名称は「匿名加工情報」でよかったのではないか。行政機関法では「個人情報」だから「非識別加工情報」の名称にして区別したとされており、その理由がないのだから。

鳥取県から「非識別加工情報」の提供を受けた民間事業者においてそのデータが必ず「匿名加工情報」に該当するのか

行政機関法の改正では、「匿名加工情報」が「非識別加工情報」という別の名前に変えられてしまったが、ある行政機関で「非識別加工情報」とされた情報が、提供を受けた民間事業者においては「匿名加工情報」としての義務がかかるというのは、いったいどこの条文から読み取れるのか、「これはおかしい」とする指摘は、昨年の国会で、衆議院総務委員会の参考人質疑に呼ばれた鈴木正朝参考人が述べていた。

この問題は、プログラム言語における型システムの分類学上の用語であるところの、nominal type system (name-based type system) vs structural type system (property-based type system)に似たところがある。つまり、名前が同一である場合に限り同じ概念として扱うのか、それとも、定義している内容が同一であれば同じ概念として扱うのかの違いである。法制執務においては、どちらの考え方が採用されているのだろうか。*12

確実なのは、名前の同一性によって概念を指定する方法であろう。しかも、単にラベル名が同じというのではなく、「法令名.ラベル名」の形で指定する方法が確実であり、多くの法令ではそのような形が用いられている。昨年の行政機関法の改正では、それを採用せず、せめてラベル名だけでも同じなら良かったのに、ラベル名も異なるものとなったため、定義内容の同一性で概念同一性を推し量るしかない状況となった。国会審議では、このことも問われ、行政管理局は、「運用上、その趣旨をよく説明するなり、ガイドラインをつくっていく」と答弁していた。

○高井委員 私は、それはわかりにくいと思うんですね。

では、なぜ今回の法律でそれを書かなかったんですか。今回の法改正で、非識別加工情報が個人情報保護法三十八条に該当するということをやはり規定すべきじゃないですかね。そうしないと混乱が生じると思いますけれども、いかがですか。

○上村政府参考人 直接のお答えになるかはわかりませんが、この法律のたてつけ上、行政機関に係るものは行政機関個人情報保護法でございますし、個人情報保護法は民間企業に係るもので、この間の交流というか、入り乱れはないわけでございまして、そこは民間事業者にとって、自分たちを規律する法律が何かという紛れはないわけでございます。

それで、解釈上も定義上も、個人の識別性がなく復元できないという定義は、これはもう共通でございますので、解釈上、そこに新たなものを付加しますと、これはまた別のものになるという可能性もございますので、そこはあえてしていないというところでございます。

ただ、もし万が一おっしゃるような懸念があるとすれば、それはまだこれからの検討でございますが、運用上、その趣旨をよく説明するなり、ガイドラインをつくっていく、そういう対応になるのではないかなと思っております。

国会会議録 第190回国会 衆議院総務委員会第11号(平成28年4月5日)

これが、鳥取県個人情報保護条例ではどうなるのか。ラベル名は「非識別加工情報」であり、「匿名加工情報」ではない。しかも、前記の通り、この「非識別加工情報」が「個人情報」であるのか否かもはっきりしていない。

加えて、以下の点も問題となる。

行政機関法では、structural type system的に、定義内容の同一性をもって「行政機関法.非識別加工情報」と「個人情報保護法.匿名加工情報」の概念同一性を導こうとした。そのために、条文中に「個人情報」の語が出てくるたびに、逐一「個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。)」というカオスな二重括弧を入れて、公的部門と民間部門とでの「個人情報」定義の差分を吸収して、定義内容の同一性を確保しようとした*13

その点、鳥取県条例ではどうか。鳥取県条例でも、カオスな二重括弧はそのまま真似て取り入れられているが、「個人情報」定義の違いがそこだけじゃないことを失念しているようだ。

鳥取県条例での「個人情報」の定義は以下のようになっている。

第2条 この条例において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1) 個人情報 個人に関する情報であって、次のいずれかに該当するものをいう。ただし、法人その他の団体に関する情報に含まれる当該法人その他の団体の機関としての情報であって、個人番号(行政手続における特定の個人を識別するための番号の利用等に関する法律(略)第2条第5項に規定する個人番号をいう。以下同じ。)をその内容に含まないものを除く

改正後の鳥取県個人情報保護条例

この定義は、行政機関法や民間部門では個人情報に該当するものであっても、鳥取県条例では、法人その他の団体に関する情報(つまり、団体の役員名といった情報)については該当しないものとするというものであるが、これは、昭和63年法でもそのような定義だった*14ものである。行政機関法は平成15年の全部改正で、これを除くのをやめたのに、鳥取県条例はそれに追随しなかったようだ。

そうすると、「鳥取県条例.個人情報」と「個人情報保護法.個人情報」とは、structural type system的に見ても、概念同一性がない。

なお、両者の「個人情報」定義には、生存する個人に限るか限らないかの点でも違いがあるのだが、そこは、脚注4でも触れたように、鳥取県条例改正案は、「保有個人情報」の定義で「生存する個人のものに限る。」として差分を吸収し、対処している。

ならば、「法人その他の団体に関する情報」を除くか否かの差分も、どこかで吸収するように定義することはできたはずなのに、鳥取県はそれをしなかった。

このように、改正行政機関法の「非識別加工情報」を真似れば、自治体条例にも同じものを導入できるかというと、そんな簡単なことではないことがわかる。

全国1700以上の個人情報保護条例で、それぞれにこういう検討をしなければならないというのは、あまりに酷な話だろう。

匿名加工の基準は鳥取県が独自に規定するの?

匿名加工情報(非識別加工情報)への加工の基準は、行政機関法では、以下のように規定されており、個人情報保護委員会規則で定めることになっている。

(行政機関非識別加工情報の作成等)
第44条の10 行政機関の長は、行政機関非識別加工情報を作成するときは、特定の個人を識別することができないように及びその作成に用いる保有個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該保有個人情報を加工しなければならない。

改正後の行政機関個人情報保護法

これが、鳥取県条例では、以下のようになっている。

(実施機関非識別加工情報の作成等)
第39条 実施機関は、実施機関非識別加工情報を作成するときは、特定の個人を識別することができないように及びその作成に用いる保有個人情報を復元することができないようにするために必要なものとして規則で定める基準に従い、当該保有個人情報を加工しなければならない。

改正後の鳥取県個人情報保護条例

これは、鳥取県の規則で定めるということだろう。といっても、個人情報保護委員会の規則を丸写しするのは目に見えている。

しかし、個人情報保護委員会の匿名加工の基準の規定は、かなり抽象的なもので、委員会のガイドラインでも明確にされず、「事務局レポート」でお茶を濁されたところであるが、その解釈は個人情報保護委員会に委ねられている。そういう規則を丸写しにして、鳥取県の規則を設けたとして、その解釈を鳥取県は独自に与えることができるのだろうか。そもそも、匿名加工の考え方について理解できる人材が、鳥取県内に存在するのかも疑わしい。

情報公開条例の不開示情報に「非識別加工情報」が追加されていない

行政機関法の改正では、情報公開法も改正し、5条の不開示情報に1号の2を追加し、「行政機関非識別加工情報」と「削除情報」を不開示情報とした。それなのに、鳥取県情報公開条例の改正案では、それに相当する追加がない。*15

これはどういうことか。ここでも、「非識別加工情報」は鳥取県では「個人情報」に該当しないということで、不開示情報に入れなかったということなのか。

情報公開法が、これらを不開示情報としたのは、作成した行政機関非識別加工情報は、誰にでも提供するものではなく、44条の6が定める欠格事由に該当せず、契約を締結して手数料を払った事業者にのみ提供するものだから、情報公開法での開示請求では出さない情報とする必要があったためである。

その点、鳥取県は大丈夫なのか。作成した非識別加工情報は、鳥取県情報公開条例の「公文書」に該当するだろうから、情報公開請求に応じざるをえなくなりはしないか。

ここは、行政管理局の「行政機関等が保有するパーソナルデータに関する研究会」でも論点となっていた。最終回の第16回で、松村構成員が次のようにに指摘していた。

【松村構成員】 私は3点それぞれについて意見がございます。

まず、15ページのところですが、適用除外が適当だろうと考えております。公にすることによりこういう支障があるから不開示というのが、情報公開法の不開示情報の考え方です。一方、例えば訴訟に関する書類や登記情報など、他の情報の固有の理由による開示請求から除外する考え方は、全て適用除外で、他法で措置するという考え方をとっているわけですね。

ですから、個人情報保護制度で匿名加工情報という仕組みを作って、それが情報公開法の開示請求になじまないということであれば、その考え方からすると、適用除外という考え方の方が素直だろうと思います。

ぎりぎり言えば、「少なくとも不開示とすることなど」の「など」と書いてありますから、 不開示情報とするか、あるいは適用除外とするかと少なくとも並べていただいて、というのが私はすっきりするのではないかと思います。

私の理解する情報公開法の適用除外、不開示情報は、そういう整理になっていると思います。あくまでも情報公開法は、政府が持っている情報の開示という意味では一般法となっております。特別の情報の取扱いについて別途規定するのは、それぞれの個別法で適用除外を定める、というのが基本的なルールです。なぜ不開示情報という形で出てくるのか理解ができません。それが1点です。

行政機関等が保有するパーソナルデータに関する研究会 第16回 議事要旨

松村構成員は、「行政機関非識別加工情報」と「削除情報」を不開示情報として、1号の2に並べることに、反対だったようだ。私も、法案が出てから、この1号の2不開示情報には違和感を覚えたのだが、後からこの議事要旨を読んで、なるほどそういうことかと思った。松村構成員がこの指摘をした日は、閣議決定の前日で、もう法案はできあがってしまっていた。内閣法制局の法案審査でこのように整理されたのであろうが、松村構成員は「なぜ不開示情報という形で出てくるのか理解ができません」とまで指摘していた。

鳥取県は、もしや、そうした違和感から、情報公開条例でこれを不開示情報としなかったのだろうか。しかし、「実施機関非識別加工情報」の情報公開の適用除外とするのは、どこかで読めるようになっているのだろうか。

「実施機関非識別加工情報」というネーミングの違和感

行政機関法では、「非識別加工情報」とは別に「行政機関非識別加工情報」という用語を定義した。話をわかりやすくするために、ここでは「非識別加工情報」の語を「匿名加工情報」の語に置き換えて述べてみる。

「匿名加工情報」と「行政機関匿名加工情報」の違いは、前者は、「匿名加工情報」という一般的な概念を指すのに対し、後者は、「個人情報ファイル簿」に記載されている「個人情報ファイル」(のうち、規定された条件を満たすものに限るもの)をソースとして匿名加工したものを指す概念である。

ここで、用語の名称に「行政機関」の接頭語が用いられたのは、この法が適用される個々の行政機関のことを指しているわけではなく、単に、「個人情報保護法」と「行政機関個人情報保護法」の違いを表すものとして、後者の法律名から「行政機関」の語が切り出されて用いられたものと私は理解していた。というのも、両者の違いは、民間部門では、匿名加工情報を提供するかは事業者の自由にすぎないのに対し、行政機関では、提案を募集しなければならないとする、オープンデータ政策的な意味を持つものであり、その違いを表すものとして、「行政機関匿名加工情報」の語はたしかに相応しいものと思っていた。

したがって、鳥取県条例に匿名加工情報の制度を導入するのなら、ここは「鳥取県匿名加工情報」とするか、あるいは、「地方公共団体匿名加工情報」とするのが相応しかったように思える。それが、「実施機関匿名加工情報」となっていて、予想外だったので、正直、初見で苦笑してしまった。

「鳥取県匿名加工情報」のように各自治体ごとに命名するのもイマイチなので、「地方公共団体匿名加工情報」の方がベターだろう。だが、「地方公共団体匿名加工情報」と「行政機関匿名加工情報」に概念上の違いがないのであれば、名前は同じにした方がさらによい。そういう意味では、行政機関法で、「行政機関匿名加工情報」と名付けたことからして失敗だった。最初から、自治体にも波及することを踏まえて、統一的な概念とするために、「公的部門匿名加工情報」とか、何らかの共通に使える用語とするべきだったように思える。

おわりに

昨年の臨時国会で成立した「官民データ活用推進基本法」は、19条(国の施策と地方公共団体の施策との整合性の確保等)で、「国は、官民データを活用する多様な主体の連携を確保するため、官民データ活用の推進に関する施策を講ずるに当たっては、国の施策と地方公共団体の施策との整合性の確保その他の必要な措置を講ずるものとする。」として、事実上、いわゆる「個人情報保護条例2000個問題」の解決を求めている。官民データ活用の観点からは、特に、匿名加工情報について、その概念の共通化、統一化が求められるところであろう。

それにもかかわらず、鳥取県が「全国初」と出してきたこの条例改正案を見ると、そのバラバラ感は増すばかりのように思える。やはり、この調子で各自治体に任せておいたら悲惨なことになりそうなので、国家法によって統一的な規定を設けることが急務であろう。自治体は、無理をせず、何もしないでいた方がよい*16のではなかろうか。

*1 そもそも、次の脚注に書いたように、職員が組織的に用いるものとして職務上作成する単発の文書に個人情報が含まれる場合があるはずなのに、鳥取県条例の7条は、登録簿に登録された目的を達成するために必要な範囲内でしか個人情報を収集してはならないとしており、そうなると、単発の文書の作成が(登録簿に登録しない限り)不可能ということになるが、どう運用しているのだろうか。もしかして、「収集」の文言が、「取得」とは異なる意味で解釈されているのだろうか。つまり、実質的に「個人情報ファイル」に相当する形で個人情報を取得する(個人情報ファイルに記録するつもりで取得する)場合のみを「収集」と呼んでいるのだとすれば、辻褄が合う。もしそうだとすると、このパターンの自治体条例は、行政機関法の平成15年改正から完全に乖離しているということになるのだが。

*2 例えば、行政機関法においては、職員が組織的に用いるものとして職務上作成した単発の文書に、個人に関する情報が氏名と共に記載されたらば、それは保有個人情報となるのだが、自治体において、そうした単発の文書について、個人情報取扱事務登録簿に登録するということは行われていないだろう。

*3 民間部門では、そういう限定がないため、あらゆる個人情報が対象となってしまっており、この点が、無用な規制として世間の反感を買う原因の一つとなっているのであり、次の改正で直すべきところである。

*4 この「保有個人情報」定義では、「生存する個人のものに限る。」とされており、鳥取県条例の「個人情報」が死者を含むものとなっているのに対して、範囲が異なっているので、そのために別の語にしたのだという理由も考えられるところ、この限定は、国の「非識別加工情報」や民間部門の「匿名加工情報」に合わせるためのものにすぎないから、全体を再構成する際には、「保有個人情報」では死者を含むままとしつつ、「非識別加工情報」の定義中で「(生存する個人のものに限る。)」と限定すれば足りただろう。

*5 安全確保措置については、除外した上で、44条の15で、改めて規定しなおされている。(「個人情報保護委員会規則で定める基準に従い」行うこととされている点が異なる。)

*6 44条の2(行政機関非識別加工情報の作成及び提供)で、「行政機関の長は、この章の規定に従い、行政機関非識別加工情報を作成し、及び提供することができる。」と規定しているので、提供できるようでもあるが、一つの法律内で矛盾する規定は忌避されるので、このように逐一除外しているのだろう。

*7 この8条1項は、2号で「法令の規定に基づいて利用し、又は提供するとき」を、制限の例外としているので、この条例自身の規定に基づくことを理由にこの例外に該当すると解釈することもできるのかもしれないが、はたしてそんなのはアリだろうか。

*8 仮説として、図1のように、行政機関法で、「個人情報」から「非識別加工情報」と「削除情報」を除くとの括弧書きが書き込まれているのが、行政機関法6条2項の部分であり、これが「取扱いの委託を受けた者が受託した業務を行う場合について準用する。」との規定であることから、鳥取県では、委託に関する部分にだけこれを入れたのではないか。しかし、行政機関法でここにこの括弧書きがあるのは、「個人情報」の語が最初に登場するのがたまたま6条2項だっただけで、委託云々が特別なわけではない。行政機関法は、そこに「次条、第38条、第48条、第50条及び第51条において同じ。」としているのに、鳥取県は「この条において同じ。」とした。これはどういうことなのか。もしかして、ズブの素人が条文を書いた結果ということなのか。

*9 そのわりには、前記のように、11条でだけ、「個人情報」から「非識別加工情報」を除くとしているから、「非識別加工情報」が「個人情報」であることを前提としているようである。しかし、脚注8のように、11条だけにこの括弧書きを適用したことの意味が不明であり、よくわからないまま規定されたことによる単なる間違いの可能性がある。

*10 先月14日からパブコメにかけられている、「行政機関の保有する個人情報の保護に関する法律についてのガイドライン(行政機関非識別加工情報編)(案)」には、この点について、次の記載がある。平成28年改正の際には、行政管理局は、常に個人情報に該当するという説明をしていたが、個人情報保護委員会のガイドラインでは、「該当し得る」と、常にそうなるわけではないというニュアンスに変わっている。

なお、法は、個人情報保護法とは異なり、照合禁止義務(個人情報保護法第36条第5項)を定めていないことから、非識別加工情報は、その作成に用いた個人情報の全部又は一部を含む個人情報との照合によって特定の個人を識別し得ることとなり、法第2条第2項第1号の「個人情報」に該当し得る。(略)

*11 行政機関法の「非識別加工情報」の規定ぶりは直すべきだと考えているので。

*12 これについては、また別の機会に詳しく書きたい。途中までは書いたものの放置中の原稿はある。

*13 「非識別加工情報」の定義では、それにも失敗したのであるが。その点については、また別の機会に書く予定。

*14 昭和63年法での個人情報定義は、「生存する個人に関する情報であつて、当該情報に含まれる(略)をいう。ただし、法人その他の団体に関して記録された情報に含まれる当該法人その他の団体の役員に関する情報を除く。」となっていた。

*15 今回の鳥取県情報公開条例の改正は、不開示情報とする「個人に関する情報」の範囲の規定ぶりを、「特定の個人が識別され、若しくは識別され得るもの」というOECD型の条文から、照合型の条文に変更するだけのものとなっている。これは、鳥取県個人情報保護条例の個人情報定義も、改正前ではOECD型だったのを、今回の改正で、個人識別符号を導入するのを機会に、照合型の条文に変更するため、それに合わせるということであろう。

*16 様々な失敗事例が出れば、私としては自説強化の材料になって、ありがたい面もあるのではあるが、取り返しのつかないところまで広がってしまうのはまずい。

本日のリンク元 TrackBack(0)

2017年02月18日

個人情報ファイル概念が欠如している自治体条例(パーソナルデータ保護法制の行方 その27)

昨日、情報処理学会のEIP研究会で以下の発表をしてきた。

内容は、データ利活用のためには「個人情報ファイル」概念が不可欠なのに、自治体の個人情報保護条例を調べたところ、「個人情報ファイル」概念を定義している自治体は3割にも満たなかったというもの。

実はこの話は、12月の規制改革会議投資等WGの第6回で、JUMPからの意見として森田先生に代わって話したことの続報である。

そのときは、取り急ぎ都道府県の条例についてだけ手作業で調べ、以下のように、「個人情報ファイル」概念を定義しているのは7団体しかないとしていた。

行個法とほぼ同じ「個人情報ファイル」を規定している都道府県は、福島県、栃木県、埼玉県、山梨県、山口県の5団体のみ。電算処理ファイルのみ規定している(マニュアル処理ファイルを入れていない)都道府県が、青森県(「個人情報電算ファイル」)と三重県(「電子個人情報ファイル」)の2団体。罰則の部分のみで定義文が一応存在してはいる都道府県が、秋田県、静岡県、京都府、大阪府、奈良県、香川県、愛媛県、佐賀県、熊本県、鹿児島県の10団体で、残り30団体には「個人情報ファイル」の定義が存在しないという状況。

第6回投資等WG意見「参考1」, 脚注1

この後、市区町村を含めた全国の自治体について調べようと思い立ち、情報セキュリティ大学院大の湯浅墾道先生のところで収集されている1726団体の個人情報保護条例のPDFファイルをお借りし、プログラムで自動集計を試みていた。いつもなら日記に書いてしまうところだが、日記だと論文から引用し辛いとの声をしばしば聞くので、すぐに出せる場ということでEIP研究会に発表申込みをしたのだった。

規制改革会議で述べた意見は、以下のものであった。

個人情報保護条例の不統一がデータ利活用を阻害する要因と統一に向けた解決方法

○ 個人データの円滑な利活用のため、個人情報保護法制上の手当てが必要となるケースには、次の2つがある。

A) 保険医療情報の利活用等、その目的からして、個人データのまま取り扱う(仮名化データで取り扱う)必要があり、必ずしも本人の同意を得ることができない場合であっても利活用すべき社会的意義があるケースについて、個人情報保護法制の趣旨に沿って適法と言える取扱いルールを構築する必要性。

B) 保険医療情報に限らず、公的機関(地方公共団体を含む)が保有している様々なデータを、非個人データ化して、本人同意を要することなくオープンデータとして利活用するケースについて、どのようなデータ加工を行えば非個人データ化がなされたと言えるかという、個人情報保護法制上の解釈を確定させる必要性。

○ B)の観点から、行政機関個人情報保護法(行個法)が定義する「個人情報ファイル」(民間部門では「個人情報データベース等」がこれに相当)について、これを本人同意を要しないデータに加工するとき、少なくとも当該機関において「非個人情報ファイル化」されたと言えるための要件を明確にする必要があるが、現在のところ以下の2つの問題がある。

(略)

地方公共団体においては、そもそも「個人情報ファイル」の定義を個人情報保護条例に設けていない団体がかなり多い。「個人情報ファイル」の定義がなければ、「非個人情報ファイル化」の概念も画定せず、上記B)の利活用は不可能2となっている。モデル条例を用意して、全ての地方公共団体が同じ定義条文を導入したとしても、その解釈権が各地方公共団体にある限り、安定した解釈は得られないと予想される。前記,猟未蝓国の行個法でさえその解釈を巡って混乱が生じている状況である。

○ 民間部門と公的部門とで「個人情報」の定義を揃えて欲しいとの経済界からの声があるが、これには困難がある。公的部門には情報公開制度があり、個人情報に相当するものが不開示情報として規定されているところ、民間部門には情報公開の制度はない。民間部門での「個人情報」定義に合わせて公的部門の定義を変更すると、情報公開制度にも影響を及ぼすことが問題だとする批判がある。(図1)

○ そこで、解決方法として、「個人情報」に係る規律と「個人情報ファイル」に係る規律を分けて整理してはどうか。すなわち、「個人情報」という一つひとつの情報を単位とした「非個人情報化」の概念と、「個人情報ファイル」という集合物の単位での「非個人情報ファイル化」の概念は別であるということ。利活用のための加工方法は、前記脚注2の通り、後者の「非個人情報ファイル化」が基準の拠り所となるのであり、情報公開法制における部分開示の方法(氏名等を墨塗りする)とは異なる加工の考え方が必要となっている。

第6回投資等WG意見「参考1」

「前記脚注2の通り」のところは、今回のEIP研究会では以下のスライドで説明した。

スライド スライド
図1: 匿名加工情報(非識別加工情報を含む意味で)の加工基準は個人情報ファイル単位を基礎としている

行政機関個人情報保護法の改正で導入される匿名加工情報(非識別加工情報を含む意味で)の加工基準は、個人情報保護委員会規則で定められることになっていて、民間部門で「個人情報データベース等」とされていた部分は、「個人情報ファイル」に置き換えられるはずだと予想していたところ、ちょうどEIP研究会の3日前に案が公表されパブコメにかけられ、予想は当たりであった。

そもそも、匿名加工情報は散在情報に対しては観念し得ない概念である。個人データを匿名化(仮名化ではなく)して利活用することは、欧米でもここ数年盛んに議論されてきたところであるが、いずれも、一つのデータセット(複数の個人データの並び)を対象として、標本一意とか、k-匿名とか、差分プライバシーといった概念が議論されてきたわけである。散在情報であるところの独立した1個の「個人情報」についてそれらを観念することはできないし、初めから誰もそういう話をしていない。

前回の日記で軽く触れたように、民間部門についてIT室が立案した最初の案文(2014年9月22日時点)では、定義を、「この法律において「匿名加工データ」とは、……」と、「匿名加工データ」の語を用いていたわけであり、これは、データセット単位で観念し得る概念であることを当然の前提としていたからこそであろう。

それにもかかわらず、内閣法制局の指摘により、「匿名加工データ」が「匿名加工情報」に変更させられてしまったのは、「個人データ」が、「個人情報」→(その集合物であって検索できるように体系的に構成)→「個人情報データベース等」→(それを構成する要素)→「個人データ」という順番で定義されているが故に、それとパラレルにしないとおかしいという指摘が入るのは理解できるところで、「匿名加工情報」→「匿名加工情報データベース等」→「匿名加工データ」と定義せよという指摘になったのだろう。しかし、それはさすがに煩雑すぎて無駄(実際、「匿名加工情報」と「匿名加工データ」を区別して規定する場面が改正法には存在しない。)なので、「匿名加工情報」だけ定義して、「(匿名加工情報データベース等を構成するものに限る。以下同じ。)」として簡略化した結果、「匿名加工データ」の語は出てこなくなってしまった。

これは単なる名称の問題ではない。民間部門における「匿名加工情報」の規定ぶりは、義務対象となる作成される情報こそ「匿名加工情報データベース等を構成するものに限る。」としているが、データソースを「個人情報データベース等」に限るとはどこにも書いていないのである。後から思えば、2条9項は次のように規定するべきだったとも言える。


A案

9 この法律において「匿名加工情報」とは、次の各号に掲げる個人データの区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人データを加工して得られる個人に関する情報であって、当該個人データを復元することができないようにしたものをいう。

B案

9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人データを加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

C案

9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報(個人情報データベース等を構成するものに限る。)を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。


開示資料を見る限り、こうした案は出ていなかったようだ。

私としては、改正案が出たとき、匿名加工情報が散在情報までデータソースとする制度と曲解されるのではないかとの一抹の不安を覚えつつも、大した問題ではなかろうと放置した(そもそも、民間部門は散在情報は規律の対象外であるというのが私の立場なので)が、行政機関個人情報保護法の改正では、散在情報が法の対象であるから、このことが現実に懸念されるものとなった。行政管理局の「行政機関等が保有するパーソナルデータに関する研究会」での検討で、当初、誰も散在情報(個人情報ファイルを構成しない保有個人情報)と処理情報(個人情報ファイルを構成する保有個人情報*1)の違いに触れないので、心配になって、何人かの関係者に「データソースは個人情報ファイルに限るのですよね?」としつこく釘を刺していた*2し、パブコメのときにも、「対象とする元データを行個法における「個人情報ファイル」を構成する個人情報に限るものとするべき」とする意見を出していた(2015年10月20日の日記の「意見2」)。

その点、出来上がった改正行政機関法は、「行政機関非識別加工情報」を以下のように定義し、データソースを個人情報ファイルとすることが明確にされていた。


9 この法律において「行政機関非識別加工情報」とは、次の各号のいずれにも該当する個人情報ファイルを構成する保有個人情報(略)の全部又は一部(略)を加工して得られる非識別加工情報をいう。

これが、民間部門での定義ぶりの失敗を踏まえて改善された結果なのか、他の要因でたまたまこうなったのかはわからないが、いずれにせよ、データソースが個人情報ファイルに限定されることが明確にされて、たいへん良かった*3

民間部門ではこの点が法に規定されなかったわけだが、前掲の図1の通り、匿名加工情報の作成の方法に関する基準であるところの個人情報保護法施行規則19条が、その第5号で、「個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、」と規定した結果、加工元の「個人情報」が「個人情報データベース等」に含まれるものであることを当然の前提として明記されたのである。

ここで、民間部門の「個人情報データベース等」と公的部門の「個人情報ファイル」が概念的に異なるものであるところが論点となる。このことについては、施行規則(案)のパブコメにおいて、JILISから以下の意見を出していた。

意見27 【規則19条5号】差異を勘案すべき他の個人情報は一つのデータセットを対象とすれば足りるのかそれとも事業者が保有する全個人データを対象としなければならないのか

規則19条5号は、「個人情報に含まれる記述等」と「他の個人情報に含まれる記述等」との差異その他の性質を勘案せよとしているところ、差異を勘案すべき「他の個人情報」を、「当該個人情報を含む個人情報データベース等を構成する」ものと規定している。ここで、「個人情報データベース等」が何を指すのかが問題となる。

個人情報保護法における「個人情報データベース等」は、行政機関個人情報保護法(行個法)における「個人情報ファイル」とは異なる概念である。行個法の「個人情報ファイル」が、「一定の事務の目的を達成するために……ことができるように体系的に構成したもの」と定義され、行個法10条でファイルごとに名称と利用目的の管理が求められているように、用途ごとに一つのファイルとして観念されるものであるのに対し、個人情報保護法の「個人情報データベース等」は、定義に「一定の事務の目的を達成するために……」との要件がなく、用途ごとの管理が求められないものであり、「データベースの単位については、……通例は事業者が単位となり、……1つのシステムとしてとらえられることとなる。」(園部逸夫編 個人情報保護法制研究会著『個人情報保護法の解説』(ぎょうせい、改訂版、2005年)51頁)とされている。 この理解からすれば、本号が「当該個人情報を含む個人情報データベース等を構成する他の個人情報」との対比を求めているのは、当該個人情報取扱事業者が保有する全個人データとの対比を求めていることになるのではないか。しかしそれは現実的ではない。

匿名加工情報の制度趣旨からすれば、本来、行個法の「個人情報ファイル」のように、一定の事業の目的のためにファイル化されたデータセットを基に、それぞれの要素データを加工することが想定されていたはずであり、当該データセット以外の事業者内個人データとの対比は求められていないはずではないか。本号の規定も、「個人情報ファイル」といった用語を用いて規定すべきだったと考えるが、個人情報保護法にない概念であることから、簡単にはそうすることはできなかったものと推察する。

そうであれば、ガイドラインやQ&Aにおいて、本号の趣旨が、事業者内の全個人データとの対比を求めるものではなく、一定のデータセットを対象として対比を求めるものであることを、明らかにされたい。

「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に対する意見, 情報法制研究所個人情報保護研究タスクフォース, 2016年8月31日

この、民間部門の「個人情報データベース等」が、公的部門の「個人情報ファイル」とは異なり、事業者で1個というどんぶり勘定にされたのは、2003年の法制定時に、民間に対して「個人情報ファイル」単位での利用目的の特定をさせることは「負担が大きい」との配慮からとされているが、このようなぼんやりした規定にした結果、かえって色々な混乱が生じており(例として、2015年1月5日の日記の「誤解4「公表文書としての利用目的を本人同意なく変更してはならない」という誤解」を参照)、私は、次の改正で何らかの方法で「個人情報ファイル」への統一を目指すべきと考えているが、それはともかく、この提出意見に対する個人情報保護委員会の「御意見等に対する考え方」は以下のものであった。

本規則案第19条第5号に定める加工基準等の内容はガイドライン等において解説してまいります。なお、御指摘のとおり、同号は事業者内の全個人データとの対比を求めるものではなく、一定のデータセットを対象として対比を求めることを想定しています。

この件はガイドラインには書かれなかったが、一昨日、個人情報保護委員会のQ&Aが公表され、そこに「Q11-9」として、以下のように明記された。

  • 「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A, 2017年2月16日

    Q11-9 施行規則第19条第5号において、「個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し」とありますが、ここでの「当該個人情報を含む個人情報データベース等」については、事業者が保有する個人情報データベース等全体を勘案する必要がありますか

    A11-9 ここでの「当該個人情報を含む個人情報データベース等」とは、当該個人情報取扱事業者が匿名加工情報を作成する際に加工対象とする個人情報データベース等を想定しています。すなわち、匿名加工情報を作成する個人情報取扱事業者が保有する加工とは無関係の個人情報を含む全ての個人情報データベース等の性質を勘案することを求めるものではありません。

この回答も、答えているようでよく見ると答えていないとも言える。本当は、公的部門における「個人情報ファイル」相当の概念を用いて説明すべきだと思うが、民間部門にはその概念がないため、こういうぼんやりとした答え方*4になってしまう。

このように、匿名加工情報(というよりも、前記のように「匿名加工ファイル」とか「匿名加工データ」と言うべきなのだが)の概念には、そのデータソースを特定するものとして、また、加工方法の基準の基礎として、「個人情報ファイル」の概念が不可欠なのである。

それなのに、自治体の個人情報保護条例を調べると、29%の自治体にしかこの概念が存在しない。有能な職員が揃っているはずの都道府県の条例では、15%とさらに半減する。

昨年の行政機関個人情報保護法の改正で、国会審議では、自治体にも非識別加工情報の制度を導入させるのかという質問が出ており、政府参考人は「趣旨を丁寧に情報提供するなどして、適切な対応をしたい」と繰り返し答弁していた*5

これを踏まえて、昨年9月から秘密裏に開催されていたのが、自治行政局の「地方公共団体が保有するパーソナルデータに関する検討会*6である。第2回会合で、東京都の情報公開課が「行政機関個人情報保護法等の改正対応への実務的課題〜東京都の検討状況〜」と題して話をしているのだが、この東京都こそが、「個人情報ファイル」を定義していない代表格である。

その資料2を見ると、こんなことが書かれている。

「非識別加工情報」について「個人情報ファイル概念を採用していない場合の対応」として、個人情報ファイル概念がないことが問題となり得ることを認識しつつも、「取扱事務の届出・登録制度」としか捉えられておらず、「個人情報ファイル簿又は個人情報取扱事務の届出・登録等を実施」で解決すると思っている様子がうかがえる。

たしかに、「行政機関非識別加工情報」は、「個人情報ファイル簿」(行政機関法11条1項)に登録されているものを対象に、利活用したい民間事業者に提案を募集するのであるから、まず「個人情報ファイル簿」の存在が必要となるのであるが、東京都は「個人情報取扱事務の届出・登録」で代用できると考えているフシがある。

同じ回の資料4には、自治行政局が作成した資料として、以下の記述がある。

「個人情報ファイル簿」の未作成はわずか7.6%であり、「多くの地方公共団体において個人情報の記録項目等を記載した個人情報ファイル簿等(個人情報取扱事務登録簿を含む。以下同じ。)が公表(略)されており、」としている。

ここで、「個人情報取扱事務登録簿」というのは、「個人情報ファイル」概念を持たない自治体が、「個人情報ファイル簿」に類するものとして規定したもの(もしくは、昭和63年法ができる前から「個人情報取扱事務登録簿」を規定していた?*7)で、例えば、大阪府個人情報保護条例の場合、以下のように規定されている。

第6条 実施機関は、個人情報を取り扱う事務(以下「個人情報取扱事務」という。)について、次に掲げる事項を記載した個人情報取扱事務登録簿(以下「登録簿」という。)を作成し、一般の縦覧に供しなければならない。
一 個人情報取扱事務の名称
二 個人情報取扱事務を所掌する組織の名称
三 個人情報取扱事務の目的
四 個人情報の対象者の範囲
五 個人情報の記録項目
六 個人情報の収集先
七 前各号に掲げるもののほか、実施機関の規則(規程を含み、実施機関が警察本部長である場合にあっては、公安委員会規則をいう。以下同じ。)で定める事項

大阪府個人情報保護条例

この規定ぶりだと、事務の名称や目的などは明確にされているものの、散在情報なのかそれともファイルの形になっているのかが明らかでない。

「個人情報ファイル」とは、昭和63年法から規定されていた重要な概念であり、「保有個人情報を含む情報の集合物であって」「一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの」を言う。

この概念の重要性が平成15年改正で忘れられてしまったのか、現行の行政機関法の逐条解説書には、この概念について詳しいことが書かれていない。それに対し、昭和63年法の逐条解説書「逐条解説 個人情報保護法」(総務庁行政管理局行政情報システム参事官室監修, 第一法規, 1988年)」には、詳しいことが書かれていてたいへん興味深いものとなっている。

詳しいことは「行方 その3 散在情報と処理情報」で書く予定(まだ書いていない)だが、一つのキーワードは「処理情報の本人」という概念である。このことについて、昨日のEIP研究会での発表では以下のスライドを用いた。

スライド スライド
図3: 個人情報ファイル概念と匿名加工の対象

前掲の逐条解説書には次の説明もある。

「他の個人の氏名、生年月日その他の記述又は他の個人別に付された番号、記号その他の符号」によってのみ検索できる場合には、処理情報の本人とすることは、適当でない。すなわち、個人Aに着目してAの個人情報を記録したファイルに、これと併せて個人Bの情報が記録されているファイル(例 著名人交友録)の場合で説明すれば、Bの氏名では検索できない場合に、BについてもAの氏名を使用して検索できるとすると、Aの個人情報の開示請求をBに認めることになるので、他人であるAの権利利益を侵害するおそれがあるからである。

総務庁行政管理局行政情報システム参事官室監修, 逐条解説 個人情報保護法, 第一法規, 1988年, 79頁

つまり、行政機関が保有する個人情報にはAやBのものがあるところ、これらは対称ではなく、「個人情報ファイル」としてリストに並べられている各行の個人(Aに相当)と、各行の中身に書かれている個人(Bに相当)とは別に扱うのだということである。

そして、匿名加工情報を作成するとき、標本一意とか、k-匿名とか、差分プライバシーといった概念が適用されるのは、Aの個人についてであり、Bには適用されない。これまで、幾つもの資料で、匿名加工の例が挙げられてきているが、属性情報中に他人の個人情報が書かれているものは誰もが取り上げていない。

このことは、2016年3月27日の日記の最後に「残る瑣末な論点」として書いていた以下の件である。

このような匿名加工情報の定義の論点について、書き足りていないことが2つある。

  • 行政機関が保有する個人情報ファイルには、その各要素に、属性情報として他の個人についての個人情報が記載されているもの(これを「処理情報中のローカル散在情報」と私は呼んでいる。)が存在し、民間部門の匿名加工基準での匿名加工では、それが匿名化されない可能性がある。これが行政機関法では、散在情報としての保有個人情報に該当することになり、行政機関匿名加工情報ファイルに残存する可能性がある。しかし、前記の通り、提供前のチェック工程で保有個人情報の除去をすることで対処できる。
  • (略)

これらについては、いずれ時間のあるときに書こうと思う。

前記図3の右のスライドでは、「好きなテレビタレントのアンケート結果」を例にしているが、この場合、テレビタレントの氏名は公表してよいものだとすれば、加工されることなく、匿名加工情報の有益な情報の一部としてそのまま提供されることになるだろう。それに対し、次の例の「世帯主と同居人のデータ」の場合、同居人の氏名は伏せなくてはならないだろう。これが、世帯主の氏名を削ることとは概念的に異なるものなのである。世帯主の氏名を削るのは、委員会規則の匿名加工基準の1号に基づく加工であるのに対して、同居人の氏名を削るのは、それではなく、情報公開法の部分開示(6条2項)に基づく「墨塗り・被覆等を行なって残りの部分を開示」によるものと言うべきである。*8

このようなケースの存在を考えれば、「個人情報ファイル」概念が不可欠であることがわかる。「個人情報ファイル」の概念は、昭和63年法の「処理情報の本人」の概念を導き出せるので、個人Aと個人Bを区別して扱うことができ、無事に上記のような匿名加工と墨塗りが行える。それに対し、「個人情報ファイル」概念がない条例では、たとえ「個人情報取扱事務登録簿」が整備されていても、個人Aと個人Bを区別することができず、標本一意とか、k-匿名とか、差分プライバシーといった概念を、個人Aに適用するのか、個人Bに適用するのか、それとも両方に適用するのか、定まらなくなってしまう。

こうしたことに自治行政局は気づいているのか。図2の資料では、「個人情報ファイル簿」について調査して、92.4%が整備済みとしているが、「個人情報ファイル」の整備状況について調査していない*9。少なくとも、東京都の情報公開課は、まるでわかっていない様子に見える。

こういう状況の中で、匿名加工情報の導入を、各自治体で条例を改正して対応するというのは、あまりにも無謀である。

こうした考察を背景に、規制改革会議で表明した意見では、次のように結論づけたのである。

以上から、行個法、個人情報保護条例、さらには民間部門についてデータ利活用のための統一を図るには、「個人情報ファイル」(民間部門では「個人情報データベース等」)に係る規律のみを国家法で統一(残りの散在情報に係る規律はこれまで通り、行個法や条例に残すこととする。)し、「個人情報ファイル」定義の解釈権(匿名加工の基準を含む)を個人情報保護委員会に一本化することが適切であり、また、矛盾なく実現可能であると考える。

第6回投資等WG意見「参考1」

なお、昨日のEIP研究会での発表では、「自治体において「個人情報ファイル」概念は必要なのか?」というご質問を頂いた。その質問の趣旨は、匿名加工情報制度の整備以前の話として、「個人情報ファイル」概念は必要とされていないから規定されていなかったのではないか?との意だと理解したので、次のように答えた。

個人情報ファイル概念の必要性の一つは、EUで言われるところのプロファイリングに係る権利への対応として必要なものである。この場合の「プロファイリング」とは、散在情報に対する個別の分析や推知のことを指すのではなく、一列に並べられた個人データに対して電子計算機が自動処理によって個人に対する判断を下すことに係るものであるから、処理情報の形になっていることが前提である。そして、昭和63年法の立法当時は、プロファイリングという語こそ用いていなかったものの、1970年代からEU諸国を中心に世界で始まったpersonal data保護の法制化は、そういうことを保護の理由の一つとしていたはずであり、日本法でもそれを趣旨に組み入れていたはずではないか。それが、平成15年全部改正で、情報公開法に併せて対象を散在情報に広げた結果、「個人情報ファイル」概念が「個人情報ファイル簿」のための機能のみに縮退してしまい、1980年代の趣旨が忘却されてしまったのではないか。そして今日、改めて、民間部門を含め、プロファイリングに係る権利への対応が要請されているのだから、今こそ昭和63年法の基本に立ち返るべきであり、自治体もこれに合わせるべきであろう。

この論点については、またいずれ詳しく書こうと思う。

*1 行政機関個人情報保護法10条1項5号の「記録情報」がこれに当たる。

*2 この研究会の初回の時点では、傍聴後に行政管理局の担当者にそういう趣旨で話しかけたものの、鼻であしらわれたし、構成員の藤原静雄先生に話してみたが、適当にあしらわれていた。

*3 もっとも、この定義ぶりでも、一つの個人情報ファイルを構成する各要素を不可分の集合として加工して一つの匿名加工ファイルを作成することに限定していないという不備は残っている。つまり、例えば、個人情報ファイルAと、別の個人情報ファイルBがあって、Aの要素を加工した匿名加工情報と、Bの要素を加工した匿名加工情報を一つの匿名加工ファイルにまとめるという状況を排除できていない。このような用途は想定していないはずであり、定義の不備と言えよう。本来は、「個人情報ファイル」→「匿名加工ファイル」とダイレクトに定義して、「匿名加工ファイル」の要素を「匿名加工データ」と規定するべきところだろう。個人情報保護法制は、昭和63年法ではこういった綻びのない良くできた条文構成だったのに、平成15年以降の立法では、こういった論理的綻びに目を瞑った立案が続いており、内閣法制局の劣化ぶりが垣間見える。こういう論理的綻びを執拗に直し尽くすことこそが内閣法制局の役割だろう。

*4 「個人情報データベース等」は事業者で1つとされているのに、この答え方では、複数の「個人情報データベース等」の存在を前提にしてしまっている。他にも、委員会ガイドライン(案)のパブコメで、安全管理措置の例示のところで「個人情報データベース等」の語が不適切に用いられていたので、JILISから以下の意見を出したのだが、委員会の「考え方」は、「御指摘の点につきましては、事業者におけるデータベース、ファイル等の管理の在り方は多様であるところ、御指摘の箇所においてはこれらに含まれる情報の総称として「個人情報データベース等」の語を用いています。」としておざなりに済まされてしまった。この「等」は2条2項「個人情報データベース等」の「等」とは違う一般語だとでも言うのだろうか。それとも、「個人情報データベース等」は事業者に複数あるものであって、どんぶり勘定の「個人情報データベース等」の解釈は捨て去るべきで、「個人情報データベース等」は「個人情報ファイル」と同じものとして解釈すべきだと委員会も考えているのなら、その方向性には賛同したい。

意見22 【通則編 別添 p.97】安全管理措置の例示中の電子計算機技術に係る記述に、法令用語であるところの「個人情報データベース等」の語を直接用いるべきでない

安全管理措置の「アクセス制御」のところに、「情報システムによってアクセスすることのできる個人情報データベース等を限定する。」との記載があるが、これは、複数の「個人情報データベース等」が存在し得ることを前提とした記述であろう。しかし、法の概念であるところの「個人情報データベース等」は、その単位が事業者で一つとされている(園部編《改訂版》p.51)ことから、このような用法は誤りである。よって、一般的な技術用語であるところの「データベース」あるいは「ファイル」などの語で表現するべきである。

「個人情報の保護に関する法律についてのガイドライン(案)」に対する意見, 情報法制研究所個人情報保護研究タスクフォース, 2016年11月2日

*5 「行政機関個人情報保護法等改正の国会審議 第190回国会会議録から抜粋(地方公共団体匿名加工情報と2000個問題)」を「情報提供」でページ内検索すると、12回も答えていることがわかる。

*6 世間では「ヒソーリ検討会」と呼ばれている様子もある。

*7 「個人情報ファイル簿」の規定は、昭和63年法(行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律)のときからあった(7条)ことに注意。

*8 この点、改正行政機関個人情報保護法の「行政機関非識別加工情報」は、そのようには規定しなかった。この定義中、「……全部又は一部(これらの一部に行政機関情報公開法第5条に規定する不開示情報(同条第1号に掲げる情報を除く。以下この項において同じ。)が含まれているときは、当該不開示情報に該当する部分を除く。)を加工して……」とあるので、不開示情報に該当する部分を事前に除いてから加工することになるのだが、「1号に掲げる情報を除く」とあるように、個人に関する情報は除く対象になっていない。これは、除いてしまうと、加工対象とする個人情報の全部が該当して全部消えてしまうのでそうしたのであろうが、本当は、昭和63年法で言うところの「処理情報の本人」以外の個人についての1号不開示情報を、除く対象にするべきだった。「個人情報ファイル」の概念には、「処理情報の本人」の概念を観念し得るだけの下地が元々あるにもかかわらず、それが活かされていない。

*9 もっとも、この「資料4」は、行政機関法の改正法で導入される「要配慮個人情報」が、個人情報ファイルがそれを含むものであるときは個人情報ファイル簿にその旨を記載する規定になっていることについて、自治体条例が対応できているかを調べたものであるから、非識別加工情報の観点からの調査をしたものではなく、次の会合(第4回)で調査されるのかもしれないが。

本日のリンク元 TrackBack(0)

追記

最近のタイトル

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|
追記