追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 1000   昨日: 4531

2017年10月29日

岡村久道「個人情報保護法〔第3版〕」を読む・前編

前回の宇賀先生の逐条解説に続き、今年6月末に出版された岡村先生の逐条解説「個人情報保護法〔第3版〕」について。この本の第2版は、2013年6月30日の日記でCCCからの回答においても参照されていたように、企業法務の現場で絶大な信頼を誇り多大な影響力のある大著であった。宇賀本の特徴が政府の文書を元に淡々と書かれたものであるのと対照的に、岡村本は条文から見えない部分を独自の見解で詳しく論ずる部分が好評を博していた。第3版で改正法について加筆されており、匿名加工情報の解釈がどうなっているのかが気がかりなところである。この岡村逐条3版に加え、文庫本「個人情報保護法の知識」(日経文庫)が第3版と第4版と立て続けに出版されていたので、こちらもあわせて確認してみた。

本を並べた写真
図1: 岡村逐条3版(2017年6月)と、岡村文庫3版(2016年3月)、岡村文庫4版(2017年5月)

1号・2号匿名加工情報? 1号個人情報は個人識別符号が含まれないもの?

まず、岡村文庫第3版224頁〜225頁に、「1号匿名加工情報」と「2号匿名加工情報」という奇妙な見出しが目に入った(図2)。「個人情報」なら1号と2号ができたが、「匿名加工情報」に1号と2号があるとするのは初めて見た。

本を開いたところの写真
図2: 岡村久道『個人情報保護法の知識』第3版(日本経済新聞社, 2016)224頁〜225頁の様子

その内容は以下のように書かれている。

(2) 1号匿名加工情報

まず、個人識別符号を含まない個人情報(2条1項1号)を加工元情報とするときは、当該個人情報に含まれる記述等の一部を削除することによって、匿名加工情報となります(2条9項1号)。以下、1号匿名加工情報といいます。

一部削除の対象となる記述等とは、個人識別性を有する部分です。基本4情報(氏名、住所、生年月日、性別)が含まれる個人情報を元情報として、氏名や(略)ようなケースが想定されています。

この一部削除には、当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含みます(同号カッコ書き)。先のケースで(略)ようなケースが想定されています。(略)といったデータになります。

(3) 2号匿名加工情報

次に、個人識別符号を含む個人情報(2条1項2号)を加工元情報とするときは、当該個人情報に含まれる個人識別符号の全部を削除することによって、匿名加工情報となります(2条9項2号)。以下、2号個人識別符号といいます。

2号個人識別符号では、個人識別符号の全部削除が要件です。1号匿名加工情報の場合と違って、個人識別符号それ自体が個人識別性を有しているからとされています。(略)

岡村久道『個人情報保護法の知識』第3版(日本経済新聞社, 2016)224頁〜225頁

これは変だ。この説明だと、個人情報に個人識別符号が含まれる場合には氏名等を削除しなくてよい(1号の措置を求めない)ことになってしまう。匿名加工情報がどういうものかが頭にあれば、そんなわけがないことはすぐにわかる。氏名等と個人識別符号の両方が含まれるときは、2条9項の1号と2号の両方の措置を講じることになるのは、自明のことだと思っていたが、この本では、1号と2号は排他的なものとして書かれている。

というか、それ以前にそもそも、2条9項の各号は、「区分」と「措置」であって、「匿名加工情報」ではない。言うならば「1号措置」と「2号措置」なのであって、「1号匿名加工情報」「2号匿名加工情報」と呼ぶこと自体がおかしい。このことは以下のように条文から明らか。

9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

第1項第1号に該当する個人情報  当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

第1項第2号に該当する個人情報  当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

さすがにこれは、うっかりミスか編集者のミスで、第4版では修正されるだろうと思っていたのだが、5月になって出版された第4版でも、本文には変更があるのに、この部分はこのまま、直されていなかった。

一方、6月に出版された岡村逐条3版では、1号・2号個人識別符号との言葉は用いられていない。これに相当する箇所は、以下のように書かれている。

X 匿名加工情報(法2条9項関係)

1 概説

「匿名加工情報」とは、法2条9項各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう(同項柱書)。平成27年改正によって新設された概念である。

「匿名加工」に要する措置内容は、加工元となる個人情報が個人識別符号を含むものか(同項2号)、含まないものか(同項1号)によって、〔表2-4〕のとおり区分されている。個人識別符号は法2条2項が定義している。

岡村久道『個人情報保護法〔第3版〕』(商事法務, 2017)118頁〜119頁

本のページの写真
図3: 岡村久道『個人情報保護法〔第3版〕』120頁に記載の表2-4

1号・2号匿名加工情報の語は用いられなくなったものの、ここでも、2条9項の1号措置と2号措置が排他的なものとして書かれている。どうしてこうなるのだろう?

どうやらこれは、2条1項1号の条文が読み違えられているようだ。2条1項1号は以下のようになっている。

一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(略)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

ここに「個人識別符号を除く」とあるからと、1号個人情報は「個人識別符号が含まれないもの」と読まれてしまったようだ。

しかし、条文に目を凝らせば明らかなように、個人識別符号が除かれているのは、「記述等」の定義部分で除かれているだけである。そして、「「記述等」が個人情報」なのではない。「記述等……により……できるもの」という文である。

つまり、ある「個人に関する情報」が個人情報であるか否かというときに、何によって特定の個人を識別することができることとなるのかについて、個人識別符号によるものが2号個人情報であり*1、それ以外によるものが1号個人情報であると、そういう定義である。

このことは、ある「個人に関する情報」が1号個人情報でありかつ2号個人情報でもあるという状況を排除しない。したがって、1号・2号の両方の個人情報に該当するときは、2条9項も、1号・2号の両方の措置を講じることになる。

実は、同じ間違いが前回の宇賀本にもある。

(13) 「第1項第1号に該当する個人情報」(9項1号)

本法2条1項1号に該当する個人情報である。個人識別符号が含まれない個人情報であって、それ単独で個人情報である場合(氏名、顔の画像等)もあれば、他の情報と容易に照合されて個人情報になる場合もある。

宇賀克也『個人情報保護法の逐条解説《第5版》』(有斐閣, 2017)75頁

どうしてこんな基礎的なところで二人とも間違うのだろうか。

検索方法が電子計算機を用いたものである場合にも容易検索性を要件としている点で異なる?

次に、匿名加工情報取扱事業者(2条10項)の定義中に出てくる「匿名加工情報データベース等」の定義について。岡村逐条3版に以下の記載がある。

「匿名加工情報データベース等」について政令で定めるものとは、これに含まれる匿名加工情報を一定の規則に従って整理することにより特定の匿名加工情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう(令6条)。この要件の大半は「個人情報データベース等」(法2条4項)のそれと同様であるから、本章Vを参照されたいが、検索方法が電子計算機を用いたものである場合にも容易検索性を要件としている点で、法2条4項と異なる

岡村久道『個人情報保護法〔第3版〕』(商事法務, 2017)122頁

このような解説も初めて見た。ここは、従前の「個人情報データベース等」に電算処理情報(2条4項1号)とマニュアル処理情報(2条4項2号)の2つがあったのと同様に、「匿名加工情報データベース等」にもその2つがあることについて解説している部分だが、その2つは完全にパラレルになっているかと思いきや、「容易検索性」の点で違いがあるというのである。

しかしどうだろう。以下に条文を並べてみる。

4 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。

特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

10 この法律において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第36条第1項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第5項各号に掲げる者を除く。

このように、緑で強調の部分、青で強調の部分、それぞれを対比させると、「個人情報」と「匿名加工情報」の違いだけで、他は完全に同一である。(ここに違いを設ける必然性がないので当然そう立案するだろう。)

ではなぜ、岡村逐条3版はここに違いがあると言うのか。おそらく、次のように誤読したのではないか。(赤で強調した「の」が上との差)

10 この法律において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第36条第1項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第5項各号に掲げる者を除く。

法制執務において、「A その他 B」と「A その他の B」とでは意味が違ってくることは、基礎中の基礎であり、前者は並列的例示、後者は包括的例示と呼ばれる。後者の場合では、AはBに含まれることになる(AはBの一種)ので、B=「容易に検索することができるように体系的に構成したもの」なら、Aも「容易に検索……」という性質を持つものということになる。それに対し、前者の場合では、AはBとは別に並置したもの(上の「前号に掲げるもののほか、」と同じ意味)ということになるから、Bが「容易に検索……」とあるからといってAもその性質を備えるとは限らない。法の条文は前者になっているから、直ちにAも「容易検索性を要件としている」とするのはおかしい。

もっとも、ここでは、「電子計算機を用いて検索することができるように体系的に構成」することは、「容易に検索することができるように体系的に構成」することの一つの手段ではある。そもそも電子計算機を用いた検索は元々、容易にできるものであるところ、マニュアル処理情報においても電子計算機による方法に準ずる程度に「容易に」できるように「一定の規則に従って整理」されたものを要求しているところである。その意味では、「電子計算機を用いたものである場合にも容易検索性を要件としている」とする文自体は間違ってはいない。

だが、そのように言うのならば、従前の「個人情報データベース等」でも同様に「電子計算機を用いたものである場合にも容易検索性を要件」としていることになるから、岡村逐条3版の「容易検索性を要件としている点で、法2条4項と異なる。」という記述は、そういうことを言っているわけでもない。

以上のことから、この解説は、誤読によるものか、そうでないならば、論理的な誤りがあるか、単なる思い違いと思われる。

「個人に関する情報」との要件は団体情報等を除外するために設けられたものにすぎない?

次に、前回も取り上げた論点の、統計情報と匿名加工情報の関係について。岡村文庫3版には、このことについて以下の記述があった。

他方で、匿名加工情報は「統計情報」を含む概念です改正担当者は否定していますが法文上、36条1項の基準を満たす匿名加工を徹底したものともいえるものだからです。にもかかわらず、本条の義務が新たに課せられるとすれば、規制強化に該当する疑いがあります。

本条に関係する個人情報保護委員会規則によって、こうした不合理をできる限り軽減することを明確化し、それが困難であれば早期の改正による正常化が求められるところです。

岡村久道『個人情報保護法の知識』第3版(日本経済新聞社, 2016)236頁

これは、前回も書いたように、匿名加工情報は定義上「個人に関する情報」であることを要件としたことで、法案の起草初期の時点から解決されている。統計情報は「個人に関する情報」ではないので、統計情報は匿名加工情報に該当しない。このことは2015年12月出版の瓜生本にも書かれていたことなのに、「改正担当者は否定していますが」というのはそのことなのだろうか。岡村文庫3版は、2016年3月の時点で、このように書いてしまっていた。

それが、岡村文庫4版(2017年5月)では、以下のように変更されている。個人情報保護委員会のガイドラインを踏まえての修正であろうか。

匿名加工指針は「統計情報」と「特定の個人との対応関係が排斥されている」か(統計情報)、いないか(匿名加工情報)で区別しています。2条9項の法文に照らすと無理があるように思えますが、「統計情報」に規制を及ぼさないための苦肉の策といえるでしょう

岡村久道『個人情報保護法の知識』第4版(日本経済新聞社, 2017)243頁

いちおう撤回されて、政府の説明に沿うように改められたが、「無理がある」とか「苦肉の策だ」などと書かれていて、なぜ無理があるのかの理由はここには書かれていなかった。

これが、岡村逐条3版で、以下のように、理由を含めて詳しく書かれた。

**個人に関する統計情報との関係: 匿名加工GL2-1は、統計情報は、「複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に把握するもの」であり、「特定の個人との対応関係が排斥されている限りにおいては、法における『個人に関する情報』に該当するものではないため、改正前の法においても規制の対象外と整理されており、従来同様に規制の対象外となる」とする。もともと「個人に関する情報」という要件は団体情報等を除外するため設けられたものにすぎないので、特定の個人との対応関係を加工して導出した「特定の村の後期高齢者男性数」のような情報が「個人に関する情報」に該当しないということには躊躇を感じ、匿名加工情報の定義内容等に照らしても解釈に無理があるが、統計情報を除外するために、やや極端な解釈を導入せざるをえなかったものと思われる。それにしても、統計情報と匿名加工情報は燦然と区別しうる性格のものか疑問が大きく、その境界線が不明確なままとならないか懸念される。

岡村久道『個人情報保護法〔第3版〕』(商事法務, 2017)119頁〜120頁

「「個人に関する情報」という要件は団体情報等を除外するため設けられたものにすぎない」とある。これが、政府見解と齟齬をきたす原因となっているようだ。

「個人に関する情報」が何であるかについては、前回も書いた。データベースやファイルを構成している場合には、要するに「個票」の一つひとつのことである。

このことはたしかに気づくまで理解が難しいもので、私も岡村本その他の個人情報保護法の解説書で勉強していた6年前には全くわからなかった。どの本を読んでも、「「個人に関する情報」には、個人の属性・行動、個人に対する評価、個人が創作した表現等、当該個人と関係するすべての情報が含まれる」(宇賀逐条第3版27頁)といったように、「個人に関する情報」にどんな情報が含まれるかの説明ばかり書かれていて、そもそも「個人に関する情報」とは何を指しているものなのかがすっ飛ばされている。

私が理解に至ったのは、情報公開法の解説書を読んでからだった。宇賀克也『新・情報公開法の逐条解説第5版』(有斐閣, 2010)で、情報公開法5条1号と6条2項について勉強すると、繰り返し「個人に関する情報」というフレーズを用いて書かれており、それ自体がひとくくりの用語なのだということに気づかされた。(「2014年4月23日の日記の「1.個人に関する情報」の節を参照。)

不幸なことに、個人情報保護法では、条文が「生存する個人に関する情報であって」と始まることから、「生存する」と「個人に関する」の2つの連体修飾語が「情報」にかかる独立した要件として修飾しているだけのように読めてしまい、「個人に関する情報」がひとくくりの用語であることが見えにくくなっている。たしかに、文法的にも、「個人に関する情報」に「生存する」が修飾しているというのはおかしい(情報の生死を言うのはおかしい)ので、「個人に関する情報」でひとくくりの用語だとは読めないという問題点*2はある。「個人(生存する個人に限る)に関する情報であって」の方が誤解のない条文だっただろう。

この形の条文は、英国のData Protection Act 1984を参考に*3、昭和63年法で初めて用いられたものである。2016年11月23日の日記「容易照合性が提供元基準でファイル単位なのは昭和61年からだった」に書いたように、英国法の「personal data」定義が、「"Personal data" means data consisting of information which relates to a living individual who can be identified from that information (or from that and other information in the possession of the data user), including ……」となっていて、日本法の定義はこれに瓜二つである。

ここで明らかなように、英国法では「a living individual」と、単数の不定冠詞のついた「個人」を指している。英国法に限らず、EUのデータ保護指令でも「'personal data' shall mean any information relating to an identified or identifiable natural person」と単数の不定冠詞のついた「natural person」を指していたし、OECDガイドラインでも同様であった。当然すぎてなのか、どの解説書にも書かれていないが、「個人に関する情報であって」とは、ある一人の個人についてを定義したものなのである。このことを強調して条文にすれば、「この法律において「個人情報」とは、生存するある一人の個人に関する情報であって、当該情報に含まれる氏名、……により当該個人を識別することができるもの(略)をいう。」とすべきところ、日本語には冠詞に係る区別が希薄であり、そこをあえて書くのは日本語として美しくないということなのか、法文上は現状のようになっているわけである。

それに対して、岡村本の解釈はこれとは違っている。岡村逐条3版には以下の記載がある。

したがって、たとえ生存する個人に関する情報であっても、「昨年度末時点における成人の島根県民数」のような、識別性を欠く統計情報は個人情報たりえない。ただし、識別性を有しない情報が、個人情報ではなく匿名加工情報として義務の対象となる場合がある(略)。

岡村久道『個人情報保護法〔第3版〕』(商事法務, 2017)71頁〜72頁

このように、岡村本は、島根県民数といった情報も「個人に関する情報」と捉えていて、これが個人情報に該当しないのが、識別性がない(特定の個人を識別することができるものではない)からだという整理になっている。つまり、岡村本では、「個人に関する情報」の「個人」を「an individual」ではなく「some individuals」で捉えているわけである。この前半の文は岡村逐条の第1版から記載されており、ずっとこの前提で語られてきたようである。

というわけで、前掲の引用に戻ると、「もともと「個人に関する情報」という要件は団体情報等を除外するため設けられたものにすぎないので」という岡村逐条3版の主張は、このように、「個人に関する」を「生存する」と並置の単なる修飾語と捉え、「個人」を「some individuals」として捉えているから、そのような発想になっているのだと考えられる。*4

岡村逐条3版には、別の場所で以下の記載もある。

2「個人に関する情報」

(1)「個人」に関する情報 以下、本項が定義する個々の要件について詳論するが、第一に「個人に関する情報」であることを要する。この要件を満たすもの全般を、生存者性・個人識別性の一方または双方有無にかかわらず、近時は「パーソナルデータ」と呼ぶことがあるが、これは通称であって法令上の概念ではない。

岡村久道『個人情報保護法〔第3版〕』(商事法務, 2017)67頁

なるほど、岡村先生は「パーソナルデータ」を「島根県民数」のようなものまで入ると捉えていたのだなと改めて気づかされる。政府のパーソナルデータ検討会では当然に「an individual」に関する情報をパーソナデータと呼んでいたわけで、そこからして隔たりがあったわけだ。

ここの解釈の齟齬は、今年1月の総務省自治行政局「地方公共団体が保有するパーソナルデータに関する検討会」でも、岡村構成員の発言によって議論の俎上に載っていたようで、議事概要に以下のように記録されている。

  • 地方公共団体が保有するパーソナルデータに関する検討会(第3回), 議事概要, 総務省自治行政局, 2017年1月31日

    【岡村構成員】
    統計情報と匿名加工情報はどこで線を引くのか。

    【小川参事官】
    ○ガイドラインに記載しているように、「特定の個人との対応関係が排斥されている」形で加工されているものは、今までと同様に統計情報として扱われる。
    ○統計情報の場合は集計した形で数値が出てくるが、匿名加工情報の場合は個票のデータを個人が特定できないような形にして出すというイメージである。
    ○特定の個人との関係が残したまま匿名化したものが、匿名加工情報ということになる。

    【佐藤構成員】
    ○非識別加工情報については、各個人の情報が1人ずつ行になって入っているデータであり、ある意味で1人1人が区別できるようになっている。一方、統計情報は、基本的には1人1人が区別できないデータである。

    《議事3について》
    (略)

このように、岡村構成員がここでもこの疑問を投げかけたのに対し、個人情報保護委員会事務局の参事官から、個票のことだと回答され、佐藤一郎構成員からも、個票とはどういうものかが説明されている。

1月の時点でこのようなやり取りがあったにもかかわらず、6月出版の著書で前掲のように書かれたということは、この説明を受けてもなお、納得がいかなかったということであろうか。公表された議事録が「議事要旨」として内容が丸められてしまっているので、この説明を受けて岡村構成員が何と発言したのか不明(議事要旨上は発言がない)である。

なお、「個人に関する情報」がこのように「個票」のようなものであるとすることは、データベースやファイルを構成している場合に限らず、情報公開法(散在情報の状態で法の対象となる)においても、重要な意義を持つ。

情報公開法では、部分開示決定をする際に、1号不開示情報(個人に関する情報)が文書中のどの範囲までを指しているのかが問題となる。そこをどう解釈するかは逐条解説書にも明記されていないが、政府の情報公開・個人情報保護審査会における運用で直面する課題であり、審査会の元常勤委員の森田弁護士による以下の書籍で詳細に論じられている。

  • 森田明, 論点解説 情報公開・個人情報保護審査会答申例, 日本評論社, 2016年7月

    本を開いたところの写真
    図4: 森田明『論点解説 情報公開・個人情報保護審査会答申例』(日本評論社, 2016)100頁「第3章 保有個人情報の範囲の考え方」——「ひとまとまりの情報」という難問

ここでは、「保有個人情報」とあるように、行政機関個人情報保護法における本人情報開示請求の運用の話として書かれているが、「保有個人情報」は、「個人に関する情報」のうち特定の個人を識別することができるもので、かつ、行政文書に記録されているものなので、情報公開法の「個人に関する情報」とパラレルである。しかも、行政機関個人情報保護法の部分開示規定は、情報公開法の部分開示規定の引き写しであり、請求した本人の個人情報の中に本人以外の個人の「個人に関する情報」が含まれている場合などは、まさに、このような「個人に関する情報」の範囲をどう捉えるかが重要となっている。

このことからしても、「個人に関する情報」という句がそのような「ひとまとまりの情報」を指していること(島根県民数を含むような概念ではない)がわかる。

その他の匿名加工情報に係る論点

その他、匿名加工情報の加工基準に関わる解釈上の論点(前回までに論じたような)について気になるところであったが、岡村逐条3版は、加工基準についてはさらっと触れただけになっており、これまで論点となっていたことはほとんど書かれていなかった。

*1 この説明はやや正確でない。この説明で正しくなるのは、個人識別符号の定義が、特定の個人を識別することができるものを指している場合にである。与党提言による修正で「特定の」の文言が挿入されたので、結果的にこの説明でよいのだが、挿入される前の改正法案(本来の趣旨)ではこの説明では不正確であり、元々の区分の趣旨を説明するものとしてはこの説明はイマイチである。

*2 これを看過できない問題だとするならば、次のように考えればよいだろう。個人情報保護法上は、「生存する個人に関する情報」というひとくくりの概念があり、これは「個人に関する情報」の下位概念(前者は後者の一種)である。議論・解説においては、個人の生存性が論点にない文脈では、そこを省略して、上位概念である「個人に関する情報」の語が用いられることがある。

*3 2016年11月23日の日記「容易照合性が提供元基準でファイル単位なのは昭和61年からだった」では、「英国法を参考にして個人情報定義を立案したのではないだろうか。」として推測の域を出ないものだったが、その後、情報公開請求により、英国法を参考にしたことの証拠が見つかっている。1987年9月30日付データ・プライバシー保護専門部会「行政機関の保有する電子計算機処理に係る個人情報の保護対策ー検討資料」に、「当該記録のみでは、特定個人を識別できないが、当該行政機関が保有する他の台帳等と照合することにより識別できる場合は対象とすることが適当である(イギリス法§1(3)参照)。」との記載がある。

*4 ちなみに、実は、「個人に関する情報」をこのように誤解する人は以前から少なくなかったようである。個人情報保護法が立案段階だった2000年9月、内閣IT戦略本部の個人情報保護法制化専門委員会において、9月8日に示された「個人情報保護基本法制に関する大綱案(素案)」に対し、第24回会合で、上谷清委員が「技術的な話だが、「個人情報」の定義の中で「当該個人」という表現があり、現行の行政機関個人情報保護法にも用いられているが、「当該」という関係代名詞に対応する先行詞がなく、これはおかしいのではないか。「特定の」個人という表現の方が適当ではないか。」(議事要旨より)との指摘があり、同年9月22日に示された「大綱案(素案修正版)」で「特定の個人を識別」に修正されたという経緯がある。これは、昭和63年法の「個人情報」定義では、「特定の個人を識別」という文言は用いられておらず、「個人に関する情報であって……により当該個人を識別できるもの」という文であったところ、素案がそれを引き継いでいることに対する指摘であった。しかし、この指摘は「当該」が指す先行詞がないと言うが、「個人に関する情報であって」の解釈を、今回の岡村本の主張と同様、「個人」を抽象名詞としての「個人」として捉えていたようであり(議事要旨ではなく、議事録(発言のままの記録)の方を見るとその様子がより鮮明にわかる。)、その場合にはたしかに「当該」が指す先行詞とならないわけであるが、ここの「個人」は具体的な「ある個人」のことであるから、「先行詞がない」との指摘は当たらないものだった(修正の必要はなかった)と言うべきだろう。そのことは、昭和63年法立案時に参考にした英国法の「…… information which relates to a living individual who can be identified ……」の英語で思考すれば、明白である。余談になるが、こうした誤解を是正することなく立法したのが平成15年法であり、放置された小さなズレが積み重なって、本来の趣旨から捻じ曲げられて行った結果、現在の個人情報保護法制は迷走しているのである。私の活動の狙いは、失われた元の趣旨に戻すことにある。

本日のリンク元 TrackBack(0)

2017年10月22日

宇賀克也「個人情報保護法の逐条解説」第5版を読む・中編(保護法改正はどうなった その9)

このシリーズの前編を書いたのは去年の暮れだったから、それからもう10か月になる。「中編・後編に続く」と予告していたものの、もはやその意義はだいぶ薄れてしまった。当時の予定では、中編で「匿名加工情報関係のところ」を書くつもりで、宇賀先生が匿名加工情報に係る論点(特に容易照合との関係について)をどのように書かれていて、それをどう理解したらよいかを検討する予定だった。当時としては、そこの論点に踏み込んだ文献は非常に少なく、宇賀本がそこを書けばそれが通説ということになってしまう心配があった。しかし、その直後に情報公開請求していた開示資料が届き、立案部局と内閣法制局で何があったかを直接知り、数か月かけて分析するうちに真相が見え、6月4日の日記「匿名加工情報は何でないか・後編」にそれをまとめ、さらに、7月22日の日記「匿名加工情報は何でないか・後編の2」で別の情報公開請求の開示資料からそれを裏付けることができた。今となっては、この領域の専門家の間では、開示資料を見ないと何とも言えないことが理解され、宇賀本に書かれているからということでそれが通説となるような空気は雲散霧消したようであることから、もはやこれを書く意義は薄れていた。

とはいえ、宇賀本の記述と開示資料の対応関係を確認しておくことは有意義であるし、また、匿名加工情報の他の論点(容易照合以外の)について宇賀先生独自の説がいくらか見つかるので、それらについて書いておこうと思う。

統計情報が義務対象とならないのは「検索できるように体系的に構成していない」から?

まず、宇賀先生の独自の説について。

匿名加工情報を巡る最も基礎的な論点の一つは、匿名加工情報はその定義からして統計情報までもが個人データを元に作成する限りは該当してしまうのではないかとの懸念にどう答えるかである。この懸念を最初に指摘したのは、2014年7月のセミナーのときで、この時点では、制度改正大綱が示された直後の段階で、条文はまだ存在しなかったので、大綱にある「個人の特定性を低減したデータ」との概念について示した懸念であった。それが後に、2014年11月のセミナーのパネル討論で向井審議官から、十分に低減したデータは「個人に関する情報」に当たらないとすることで解決したとする発言があり*1、2015年12月の瓜生本にも「統計情報については「個人に関する情報」とはいえないことから」との説明が記載され、2016年11月の個人情報保護委員会のガイドライン(匿名加工情報編)でも、「統計情報は(略)法における「個人に関する情報」に該当するものではない」として整理されており、もはや解決済みの論点のはずである。

しかし、この説明に納得のいかない方は今もなおいらっしゃるようで、宇賀先生もやや納得されていないのか、以下のように、独自の説による解決を唱えて*2おられる。

民間部門において、個人情報を加工して作成した統計情報も、形式的には匿名加工情報の定義に該当するようにも読め、これについても新たに匿名加工情報としての規制が加わるのではないかとの懸念が示されている。政府は、統計情報は「個人に関する情報」に当たらないので、個人情報にも匿名加工情報にも該当しないという立場をとり(略)、ガイドライン等でその趣旨を明確にする予定である。このように、個人情報を加工して統計情報とされたものであれば、もはや「個人に関する情報」ではないという解釈をとれば、統計情報は個人情報にも匿名加工情報にも該当しないことになり、新たに匿名加工情報に関する義務が課されるという懸念は解消されることになる。また、個人情報を加工して作成された統計情報も匿名加工情報にあたるという解釈をとったとしても、匿名加工情報取扱事業者として義務を課されるのは、匿名加工情報データベース等を事業の用に供している者に限られ、匿名加工情報データベース等は、特定の匿名加工情報を容易に検索できるように体系的に構成したものであるから、統計情報は匿名加工情報データベース等に含まれているものとはいえないことになる。したがって、統計情報を事業の用に供する場合には、匿名加工情報取扱事業者に該当せず、匿名加工情報取扱事業者の義務等の規定(本法37条〜39条)は適用されないことになる。また、個人情報取扱事業者が匿名加工情報を作成する場合に係る義務等(本法36条)も、匿名加工情報データベース等を構成するものに限られているので(同条1項かっこ書)、本法2条9項の「匿名加工情報」に統計情報が含まれうるとしても、本法4章2節の匿名加工情報取扱事業者の義務規定は統計情報にはかからないことになる(この問題について、坂下明宏=藤井啓介「改正法における統計の扱い」Business Law Journal 8巻8号〔2015年〕49頁以下参照)。

宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 77頁〜78頁

この段落は、一通り政府説を紹介した後、「また、」以下で、「個人情報を加工して作成された統計情報も匿名加工情報にあたるという解釈をとったとしても」として、政府説に無理があるとしても匿名加工情報取扱事業者に該当しないから結局は問題とならないということが主張されている。

だが、この理屈がおかしい。

確かに、「統計情報」というものを1個の数値(平均値など)だと限定的に捉えれば、この説は成り立つ。散在的に1個しかなければ「データベース」に該当しないからである。1個の場合に限らずとも、平均・分散・最大・最小の4個からなる1つの組についてもここで言う「データベース」に該当しない。

しかし、「統計情報」が複数の数値のリストから構成されることもあるし、むしろそれが一般的である。例えば、都道府県別に集計した平均値のリスト(47個の要素からなるデータベース)がそれである。その場合、そのような統計値のリストは、「特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの」に該当(ここでは「統計情報も匿名加工情報にあたるという解釈をとったとしても」との仮定を置いているのだから)してしまう。

このような宇賀説では、統計情報が複数の数値のリストから構成される場合には、匿名加工情報取扱事業者の義務が課されることを否定できていない。

概念図
図1: 統計値、統計値のリスト、匿名加工情報データベース等

都道府県別に集計した平均値のリストは、「特定の統計情報を電子計算機を用いて検索することができるように体系的に構成したもの」ということになる*3のだから、「義務対象がデータベース化されたものに限られるので」という理由ではこの問題は解決しない。統計値のリストが「匿名加工情報データベース等」に該当しないのは、あくまでも、統計値が「個人に関する情報」(個票)でないからである。

引用部の最後で参照されている文献(Business Law Journal 8巻8号40頁以下)を確認してみたところ、この宇賀説のインスパイヤ元であろうか、似たことが書かれているものの、やや異なることが書かれていた。この記事は、NTTドコモ法務部の方々によって書かれたもので、モバイル空間統計を例にしつつ以下のように書かれている。

改正法2条9号の定義では、個人情報に含まれる記述等の一部や個人識別符号の全部を削除する措置(他の記述等に置き換えることを含む)を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報が匿名加工情報であるとされている。統計化においても元の情報の記述等の一部を削除するというプロセスは入るから、統計も匿名加工情報に含まれるように読める。

一方で、改正法36条では、匿名加工情報は「匿名加工情報データベース等を構成するものに限る」とされている。そして「匿名加工情報データベース等」とは「匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの」と定義されている(同法2条10項)。つまり、匿名加工情報は検索の対象となり得るものである。容易に検索できることでプライバシー侵害の可能性が高まるから規制対象となるのだとすると、規制対象として保護を図るべき情報には、不可逆ではあるが元の情報と一対一対応の関係を保っている情報(例えば「甲野太郎」という名前を「001」という数字に置き換えた情報)が該当すると思われる。これに対し、例えばモバイル空間統計では、図表1のような三段階の処理がなされている。二段目の集計処理により元の情報との一対一の関係がなくなっている。このようなものを検索してもプライバシー侵害の可能性が高いとはいえない。改正法36条の匿名加工情報には、このような集計処理を行なっている統計は含まれないと解釈すべきではないか。

坂下明宏・藤井啓介「改正法における統計の扱い」Business Law Journal 8巻8号(2015年6月)51頁

「匿名加工情報は検索の対象となり得るものである」から云々と書かれているが、モバイル空間統計も統計値のリストであるから、検索できるように体系的に構成されているはずであるところ、この記事では、宇賀説とは異なり、「統計情報は検索できるように体系的に構成していないから該当しない」とは書いておらず、「元の情報との一対一の関係がなくなっている」ことを理由としている。まさにそれが政府見解の通り「個人に関する情報」(個票)でないものになっているということであり、統計情報について「検索の対象となり得る」云々は関係のないことだろう。

ただ、この記事の意図を斟酌すれば、「検索の対象となり得る」という表記は、明記されていないものの、「個人についてを検索」という意味で書かれているのだと読解すると、腑に落ちる。モバイル空間統計は「個人についてを検索できる」ようになっていない(「元の情報との一対一の関係がなくなっている」からそうなるわけだが)わけである。ここで、「匿名加工情報データベース等」が「個人についてを検索」できるものかと言えば、匿名加工情報は「個人に関する情報」であるから、「個人に関する情報」を検索できるように体系的に構成しているということになるので、「個人についてを検索」できるものであろう。この記事の言っていることが、「個人についてを検索」できるもののみが「匿名加工情報データベース等」となり得るということであるなら、それは間違っていない*4

これに対し宇賀説は、そういう話をしているわけでもなく、「統計情報も匿名加工情報にあたるという解釈をとったとしても」という前提の下で、「匿名加工情報データベース等」該当性のみを検討しているため、似て非なる論となって、話の論理がおかしくなっている。

個人識別符号をハッシュ化された番号に置き換えることは不可逆で全部削除することと同じ意味?

次は、小さい話で、ありがちなパターンであるが、2条9項2号の解説部分で、情報技術論的に誤った記述がある。

個人識別符号は、それ単独で特定の個人を識別できるものであることから、特定の個人を識別することができないように加工するためには、個人識別符号の全部を削除する必要がある。当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えること、例えば、個人識別符号をハッシュ化された番号に置き換えることは、不可逆性を有するため、当該個人識別符号を全部削除することと同じ意味を持つので、この方法による加工も認められる。

宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 76頁

ここでいう「ハッシュ」は暗号学的ハッシュ関数(一方向性関数の一種)のことであるが、一方向性関数にかけたら不可逆だと言うのは短絡的である。常にそう言えるわけではなく、この性質は、元の値の定義域が十分に広く、元の値の候補を推測できない場合に限られる点に注意が必要である。元の値が推測できたなら、それを同じハッシュにかけるとことで、ハッシュ化された符号との同一性を確かめることができてしまう。個人識別符号を匿名加工のために置き換えるというここの文脈では、それが不可能であることが重要である。

その問題を避けるため、このような用途では、鍵付きハッシュ関数を用いる(かつその鍵を秘匿する)ことが必須である。このことは、個人情報保護委員会事務局レポート「匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」(2017年2月)には書かれている(21頁)。ただ、「鍵となる秘密の文字列を付加した上でハッシュ化をすること(いわゆる鍵付きハッシュ関数の利用)が望ましい」と、「望ましい」となっていて、ヌルい記載ぶりになっている。ここは必須と書くべきところであった。

また、鍵付きハッシュ関数を用いるにしても、「全部削除することと同じ意味を持つ」というのはずいぶん乱暴だ。同じでないことは明らかであり、例えば、複数回に分けてデータ提供を行う場合に、削除せずにハッシュ値に置き換えたならば、その値を用いて前のデータと後のデータについて同一の個人の個票から作成されたデータであるか否かを受領者が判別できるのに対し、削除した場合にはそれができない。事務局レポートには、そうしたケースの問題点も書かれている。そもそも、本当に同じなのなら、削除すれば足り、わざわざ置き換える必要もない。

匿名加工情報は識別非特定情報?

次に、これが元々の本題であるが、匿名加工と容易照合の関係について宇賀説はどうなっているか。まず、38条(識別行為の禁止)の「当該匿名加工情報を他の情報と照合してはならない」について次のように解説されている。

(2)「当該匿名加工情報を他の情報と照合してはならない」

匿名加工情報は、個人情報に含まれる記述等の一部を削除し(本法2条9項1号)、個人識別符号の全部を削除することにより(同項2号)、特定の個人が識別されないように加工されている。しかし、匿名加工情報は、通常人の能力等では特定の個人を識別できないように加工された情報であるが、いかなる手法によっても特定の個人を識別することができなくすることまで求められるわけではない。しかも、匿名加工情報として想定されているものは、ポイントカードの購買履歴や交通系ICカードの乗降履歴等のビッグデータであり、識別非特定情報である。かかる識別非特定情報としてのパーソナルデータを第三者に提供した場合、提供先が有する情報との照合により、特定の個人が識別されてしまう可能性は否定できない。ICTの飛躍的発展に伴い、匿名加工情報取扱事業者自身が保有する情報や、国、地方公共団体、私人等により公開されている膨大かつ多様な情報と照合して分析を行うと、それらの情報に共通に含まれる項目からパーソナルデータが集積される等して、特定の個人が識別される可能性を否定することは困難なのである。

個人データの第三者提供に当たり、本人同意が原則とされているのは、個人データが第三者に提供されると、その後、当該個人データがいかに流通し、いかに使用されるかが不透明な状態に置かれることになり、かつ、個人データは他の個人データとの結合・照合等が容易であり、第三者に提供された場合、個人の権利利益に重大な被害を及ぼすおそれがあるからであるが、匿名加工情報については、個人データではなくても、第三者提供により、同様のリスクが生ずるのである。したがって、匿名加工情報については、提供元においてモザイク・アプローチによっても特定の個人が識別されないことのみではなく提供先において保有するまたは取得可能な情報との照合により、特定の個人が識別されないような措置が講じられる必要がある

もっとも、匿名加工情報を提供することにより、提供先で個人情報に復元される可能性を懸念し、匿名加工情報の提供を躊躇したり復元の可能性を根絶するほどの削除等を行い、情報としての有意性を喪失させてしまっては匿名加工情報という範疇を設けることにより、パーソナルデータの利活用の促進を図る立法政策を実現することはできないことになる。したがって、匿名加工情報の有意性を確保しつつ、そこから特定の個人が識別されることを抑止する対策を講ずる必要がある。

匿名加工情報を提供する者にとって、匿名加工情報を受領する者がいかなる情報を保有しているかを常に予見することはできず、匿名加工情報が個人情報となるリスクを完全に排除することは不可能を強いることになる。そこで、本法では、個人情報取扱事業者は一定の加工方法を取ればよいこととし、匿名加工情報の提供を受けた匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等もしくは個人識別符号もしくは匿名加工情報を作成するための加工の方法に関する情報を取得し、または当該匿名加工情報を他の情報と照合することを禁じられている。これによって、匿名加工情報の提供を受けた匿名加工情報取扱事業者の側で匿名加工情報が個人情報とならないように法的な担保措置を講じているのである。

本条の識別禁止義務を履行するために、匿名加工情報の提供を受けた匿名加工情報取扱事業者は、自己の保有する個人情報や他の匿名加工情報と取扱いを峻別する必要があり、当該匿名加工情報にアクセスできる者を必要最小限に限定し、ファイアウォールを設定する等のシステム上の分離措置も講じておくべきであろう。このような識別禁止義務が匿名加工情報を受領した匿名加工情報取扱事業者に課されることにより、それ単体では特定の個人を識別できない匿名加工情報について、他の情報との照合等により特定の個人を識別できるようにすることも禁じられているから、モザイク・アプローチによる特定の個人の識別性もないことになり、個人情報に該当しないものとして位置付けることが可能になる

宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244〜255頁

この説明は、要するに、前々回に示した、内閣法制局長官の指摘によってひっくり返る前の、ボツになった旧案についての説明資料(立案担当部局が法制局に説明するための)に基づいて書かれているようである。このことは以下の点から推察される。

第1に、冒頭で、匿名加工情報がどういうものかについて、「特定の個人が識別されないように加工されている」と説明しながら、復元できないように加工されていることについて触れていない。前回の日記の「内閣法制局長官が「復元できないように」を加えた意義とは」にまとめたように、長官がひっくり返す前の案には、匿名加工情報定義の「かつ、……復元することができないようにしたもの」との要件が存在しなかったわけであり、宇賀本のこの記述には「復元できないように」が加えられた事情が反映されていない。

第2に、「記述等の一部を削除し」とのみ書かれているのも、長官指摘後の変更を踏まえていないからだろう。前回の図9の開示資料にあるように、「復元することができないように」に対応する加工方法として列挙されている、「階級区分への変更」「特殊な属性をまとめる」「ノイズの付加」「複数者間のレコード間で値を入れ替え、並べ替え」といった加工は、「記述等の一部を削除」することでは実現できない。匿名加工情報定義に「(……により他の記述等に置き換えることを含む。)」の括弧書きがあってこそそのような加工が該当し得る*5のだから、ここを欠かしてはいけないのであり、ここを欠かすということはそのことが踏まえられてないように見受けられる。

第3に、「匿名加工情報として想定されているものは、ポイントカードの購買履歴や交通系ICカードの乗降履歴等のビッグデータであり、識別非特定情報である」と書かれているが、これは、前々回の図14に示したように、ボツになった旧案では、「3号個人情報」(容易照合により個人情報となる部分)をそのまま匿名加工情報として提供できるとしていたわけであり、その想定で書かれているように見える。「識別非特定情報である」というのはそういうことで、仮名化しただけで匿名加工情報として扱えるという想定に沿った説明のようである。

ちなみに、匿名加工情報と「識別非特定情報」との関係については、今年2月(宇賀本の出版から3か月後)に公表された個人情報保護委員会事務局レポートにも、脚注14として以下のように記載がある。

匿名加工情報は、個人情報から作成されるものであり、特定の個人を識別することができず、かつ、元となる個人情報を復元することができない、個人に関する情報である。個人に関する情報であるということは、すなわち情報の単位としては一人ひとりに対応した情報であることが許容されるものである14

14 パーソナルデータに関する検討会「技術検討ワーキンググループ報告書」(2013年12月)にある「非識別非特定情報」(一人ひとりが識別されない(かつ個人が特定されない)状態の情報)だけでなく、「識別非特定情報」(一人ひとりは識別されるが、個人が特定されない状態の情報)も匿名加工情報に該当する場合があると考えられる。

個人情報保護委員会事務局レポート, 匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて, 2017年2月, 11頁

事務局レポートのこの記載は勇み足だったと私は思っている。事務局レポートが言いたかったことは、一つには、匿名加工情報は「個人に関する情報」である(定義により)からそれは「個票」というデータ形態を指しているのだということだと思うが、個票であることと識別非特定情報であることとは同じことなのかが論点となる。

私の考えでは、個票は必ずしも実在する人のものとは限らないデータを含めて指す。匿名加工情報の個票は、確かに、元となる個人データの個票と1対1対応する形で作成が開始されるが、加工により内容が改変されるのだから、それはもはや元の本人のデータであるとは言えない状態になる*6。例えば、前掲の、法制局長官の指摘によって入れることになった「ノイズの付加」「複数者間のレコード間で値を入れ替え、並べ替え」といった加工では特にそうなのだが、こうした加工を施したデータはもはや本人のデータではなくなっており、元の個人データと1対1対応はしないものとなる。私の考えでは、そのような、もはや本人のものではない、すなわち、実在しない個人の個票であっても、法文上の「個人に関する情報」に該当するとする解釈でよい*7と考えている。そういうことが言いたいのであれば、ここで「識別非特定情報」を持ち出す必要はない。

その点、事務局レポートは「識別非特定情報も匿名加工情報に該当する場合がある」と書いているし、「情報の単位としては一人ひとりに対応した情報であることが許容されるものである」とも書いている。これをどう捉えるかだが、「一人ひとりに対応した」を、全個票(対象ファイルの全レコード)について元の個人データと1対1対応する話だと捉えると、長官指摘前のボツになった旧案のときと同じことを言っていることになってしまう。事務局レポートとしては、常にそうなのではなく、そういう加工方法も「許容される」と言いたいのであろうが、それでは「もたない」としたのが長官指摘であり、長官指摘による変更を踏まえれば、成立した法の解釈から逸脱するのではないか。しかし、これを「全個票について」ではなく、一部の個票(対象ファイル中の一部のレコード)について元の個人データと対応する話(この場合は「1対1対応」とは言わない)だと捉えると、私の意見(現在の)と一致する。つまり、匿名加工情報に加工された個票のうちのごく一部が(例えば、100万のうちの1000が)、同じ内容の個票が元のファイルに1つしか存在しない性質のものである場合について、「許容されるものである」と言っているのであれば、私は首肯する*8。幸い、事務局レポートのこの記載は、そういう意味だと解釈できる余地が残っていると思う。「一人ひとりに対応した」との表現は、必ずしも全単射を意味するわけではない曖昧な日本語表現だということでよい。

では、事務局レポート脚注14の「識別非特定情報も匿名加工情報に該当する場合がある」というのはどういうことなのか。上記のように一部の個票のみが元の個人データと対応する性質のファイルについて、それを「識別非特定情報」と呼ぶのか?という疑問がある。結局、そこは「識別非特定情報」なる概念をどう定義するかしだいであるけれども、私の意見としては、「識別非特定情報」は、取り扱う事業者が一人ひとりを識別するつもりで取り扱っているファイル(を構成する各要素)のみが該当するように定義するのが有意義*9と考えているので、その立場からは、匿名加工情報に加工した個票は「事業者が一人ひとりを識別するつもりで取り扱う」ものではないから、全ての匿名加工情報は「識別非特定情報」に該当しないと言うべきだと考えている。その立場からすると、事務局レポートのこの脚注は、「識別非特定情報」の用法から外れたおかしな記述だということになる。他方、この立場とは異なり、単に個票の形態(個票のリストで構成されたファイル)の全てを「識別非特定情報」と言うとする定義をとるならば、匿名加工情報の全ては識別非特定情報ということになろう。しかし、事務局レポートは、「識別非特定情報も匿名加工情報に該当する場合がある」としか言っていないので、そのどちらでもないことになる。おそらくは、元データと対応する個票についてだけ「識別非特定情報」と言うとする定義が想定されているのだと思われるが、そのような概念定義は技術検討WGが「識別非特定情報」概念を用意した趣旨とは異なるもの*10だろうから、やはりこの記述はおかしい。

これに対して、宇賀本の記述「匿名加工情報として想定されているものは識別非特定情報である」は、どういう意味なのか。事務局レポートのように「場合がある」とは書かれていないし、ファイル中の個々の要素の該当性を言っているようには見えない。実は、別の節で次のように書かれており、宇賀説では、匿名加工情報は常に「識別非特定情報」であるということになっている。しかもその理由が、「特定の匿名加工情報を容易に検索することができる」ようになっているからだという。

匿名加工情報取扱事業者とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(匿名加工情報データベース等)を事業の用に供しているものをいう。特定の匿名加工情報を容易に検索することができることが要件になっているので、識別性は存在するが、匿名加工情報であるので特定性はないことになり、識別非特定情報を事業の用に供する者になる

宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 77頁

このような見解は、他では誰も言っていないものだと思う。

たしかに、「識別非特定情報」とは何かというときに、私もかつて言っていたことだが、散在情報を含めず、「個人に関する情報」が一列に並べられたものだと説明されることがあったし、「検索できるように体系的に構成されたもの」とは、脚注3に書いたように「一列に並べられたリスト」という程度の意味なので、これらを付き合わせると、このような理屈が出てくるのもわからなくもない。

しかし、改めて確認すると、技術検討WGでの「識別非特定情報」定義では、「それが誰か一人の情報であることが分かるが、その一人が誰であるかまでは分からない情報」となっていたのであり、この「誰か一人」というのは、明記されてはいなかったが、実在する個人を当然の前提としていたのだと思う。つまり、匿名加工情報のような、加工によってもはや実在する個人についてのものとは言えなくなったデータについては、「識別非特定情報」に該当しないもの、というか、そもそもこのような区分で整理する対象外だったと言うべきだろう。

宇賀説は、そのような実在しない個人に関する情報を想定しないで「識別非特定情報」の語を拡大して用いているだけという、単なる用語法上の齟齬があるという話*11である可能性もあるが、そうではなく、実在する個人を対象としたつもりで「識別非特定情報」の語を用いているならば、やはり前記のように、法制局長官指摘によってボツになった「3号個人情報」を匿名加工情報と同一視しているということになる。

次に、第4の理由は、宇賀本の前掲引用部分の記述は、前々回の図3に示した説明文書と、文章構造が酷似しており、ボツになった旧案の説明に沿って書かれたものと推察されることである。

その説明文書の記述(左)と宇賀本の記述(右)とを以下のように並べて対比させると、元の文章があって書かれたものであることがわかる。

匿名加工データは、氏名等データに含まれる項目の全部又は一部に削除等の加工を施すことでデータ又はデータセット単体では特定の個人を識別できないものとすることに加えて、法第2条第1項第2号「個人識別情報」及び〔広く一般に流通している個人データの項目〕を削除することで、他の情報と組み合わせた場合においても、特定の個人が識別されることの蓋然性を減じたものである。

しかしながら、上記のような加工を施したとしても、情報通信技術の発展に伴い、当該匿名加工データを取り扱う者自身が保有するデータや、私人や行政等主体を問わず公開されている大量かつ多種多様な情報と突合させて分析することによりこれらの情報に含まれる共通の項目から個人に関する情報が集積又は個人情報と直接結びつくことによって特定の個人を識別することができる状態若しくは、個人識別情報が結びつき、個人の特定に結びつくおそれが高い状態となる可能性を否定することができなくなっている

法律案審議録より、2014年9月22日付(推定)「匿名加工データ(仮)(第2条第7項関係)」「特定等の禁止(第34条関係)」

匿名加工情報は、個人情報に含まれる記述等の一部を削除し(本法2条9項1号)、個人識別符号の全部を削除することにより(同項2号)、特定の個人が識別されないように加工されているしかし、匿名加工情報は、通常人の能力等では特定の個人を識別できないように加工された情報であるが、いかなる手法によっても特定の個人を識別することができなくすることまで求められるわけではない。しかも、匿名加工情報として想定されているものは、ポイントカードの購買履歴や交通系ICカードの乗降履歴等のビッグデータであり、識別非特定情報である。かかる識別非特定情報としてのパーソナルデータを第三者に提供した場合、提供先が有する情報との照合により、特定の個人が識別されてしまう可能性は否定できない。ICTの飛躍的発展に伴い、匿名加工情報取扱事業者自身が保有する情報や、国、地方公共団体、私人等により公開されている膨大かつ多様な情報と照合して分析を行うとそれらの情報に共通に含まれる項目からパーソナルデータが集積される等して特定の個人が識別される可能性を否定することは困難なのである

宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244頁〜245頁

このように、それぞれの色の部分が同じ内容を述べている。

続く部分は、2つの段落が逆順になっているが、同じ内容のことが書かれている。以下は宇賀本の方の順序を逆にして並べたものである。

このように、ある事業者が匿名加工データを提供した場合に、当該データが提供先において「個人情報」に復元される蓋然性を否定できないために、事業者がレピュテーション・リスクを恐れ、データの流通に躊躇することやあらかじめデータに含まれる項目を削除、置換することで有意さを欠く形に加工してしまっては、新たなイノベーションや新ビジネスの創出を企図する本改正の趣旨を全うできないそこで、有意な情報を利活用し得ることとするため、匿名加工データの有意性を確保しつつも、個人の権利利益侵害を未然に防止するための規律が求められる

法律案審議録より、2014年9月22日付(推定)「匿名加工データ(仮)(第2条第7項関係)」「特定等の禁止(第34条関係)」

もっとも、匿名加工情報を提供することにより、提供先で個人情報に復元される可能性を懸念し、匿名加工情報の提供を躊躇したり復元の可能性を根絶するほどの削除等を行い、情報としての有意性を喪失させてしまっては、匿名加工情報という範疇を設けることにより、パーソナルデータの利活用の促進を図る立法政策を実現することはできないことになるしたがって、匿名加工情報の有意性を確保しつつ、そこから特定の個人が識別されることを抑止する対策を講ずる必要がある

宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244頁〜245頁

本法が個人情報について同意を含む本人の関与を求める趣旨は、本人が関与することを通じて本人の意図する情報の取扱いを求めることによって本人の権利利益の侵害を防止することにある。特定の個人を識別していない状態のデータは、その取扱いによって個人の権利利益を侵害する蓋然性は低いものである一方、有意性を残したデータは、特定の個人を識別するリスクが残り得るものであるそこで、本人関与に代えて同人の権利利益の侵害を防止するための匿名加工データの定義と取扱いの規律が必要であるところ、有意性とリスクとのバランスを勘案して法第2条第7項(新設)「匿名加工データ」に該当する形とすれば個人データを同意なく第三者へ提供することを可能とするものである。

法律案審議録より、2014年9月22日付(推定)「匿名加工データ(仮)(第2条第7項関係)」「特定等の禁止(第34条関係)」

個人データの第三者提供に当たり、本人同意が原則とされているのは、個人データが第三者に提供されると、その後、当該個人データがいかに流通し、いかに使用されるかが不透明な状態に置かれることになり、かつ、個人データは他の個人データとの結合・照合等が容易であり、第三者に提供された場合、個人の権利利益に重大な被害を及ぼすおそれがあるからであるが、匿名加工情報については、個人データではなくても、第三者提供により、同様のリスクが生ずるのであるしたがって、匿名加工情報については、提供元においてモザイク・アプローチによっても特定の個人が識別されないことのみではなく、提供先において保有するまたは取得可能な情報との照合により、特定の個人が識別されないような措置が講じられる必要がある

宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244頁〜245頁

次の1段落を飛ばすと、その次の段落も以下のように揃っている。

そして、本条が禁止する状態に匿名加工データがなることを防止するためには、例えば、自らが保有する個人情報と混同した取扱いがなされないようアクセスクリアランスを設定するなどの規定を含む自社規約を定めることにより情報の取扱いを限定すること(組織的分離措置)やファイアウォールを設けること(技術的分離措置)を施すなどの取り組みが望ましい

なお、匿名加工データが受領者において法第2条第1項「個人情報」、同条第4項「個人データ」及び同条第5項「保有個人データ」に該当するか否かは、匿名加工データが単体で特定の個人を識別することができないものであること及び本条により匿名加工データを受領した者において当該匿名加工データにつき特定の個人を識別することができる状態とすることが禁止されることから当該受領者において「他の情報と容易に照合することによって特定の個人を識別することができる(法第2条第1項かっこ書き)」とはいえず、これらの該当性はない

法律案審議録より、2014年9月22日付(推定)「匿名加工データ(仮)(第2条第7項関係)」「特定等の禁止(第34条関係)」

本条の識別禁止義務を履行するために、匿名加工情報の提供を受けた匿名加工情報取扱事業者は、自己の保有する個人情報や他の匿名加工情報と取扱いを峻別する必要があり当該匿名加工情報にアクセスできる者を必要最小限に限定しファイアウォールを設定する等のシステム上の分離措置も講じておくべきであろう。このような識別禁止義務が匿名加工情報を受領した匿名加工情報取扱事業者に課されることによりそれ単体では特定の個人を識別できない匿名加工情報について他の情報との照合等により特定の個人を識別できるようにすることも禁じられているからモザイク・アプローチによる特定の個人の識別性もないことになり、個人情報に該当しないものとして位置付けることが可能になる

宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244頁〜245頁

飛ばした1段落については、同じ文書の前のページの以下の部分と似ている。

2(1) ,らの各リスクに対応する2(2)の方法は、提供先の事情を考慮することが求められ、社会に存在するすべての事情を基礎として匿名加工データを作成する者に特定リスクを予見し、これを減じなければ対応できないものである。しかしそのような対応を求めることは不可能を強いることと同義であるから、匿名加工データの作成者と受領者との間で、各リスクを公平に配分し、減じることが肝要である。そこで、匿名加工データとは、個人データに対し、当該個人データに含まれる氏名、生年月日その他の記述等の全部又は一部を削除する等の加工を施すことにより、特定の個人を識別することができないようにし、かつ、当該個人データに含まれる個人識別情報その他〔広く一般に流通している個人データの項目〕の全部を削除したものをいうこととする併せて受領者(第二次取得者以降を含む。)に特定の個人を識別する等を禁止する、特定等禁止義務(後掲)を課すこととするこれにより、匿名加工データの作成者に求められる加工の要件が明確となり、他方、受領者にとっても最低限の法定要件を具備したデータを受領していることが担保され、かつ受領者において特にリスクに対応することとなる特定等禁止義務が課されることから、特定の個人を識別するリスクを両者で減じることとなるものである

法律案審議録より、2014年9月22日付(推定)「匿名加工データ(仮)(第2条第7項関係)」「I 改正の背景・経緯」

匿名加工情報を提供する者にとって、匿名加工情報を受領する者がいかなる情報を保有しているかを常に予見することはできず、匿名加工情報が個人情報となるリスクを完全に排除することは不可能を強いることになるそこで、本法では、個人情報取扱事業者は一定の加工方法を取ればよいこととし匿名加工情報の提供を受けた匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等もしくは個人識別符号もしくは匿名加工情報を作成するための加工の方法に関する情報を取得し、または当該匿名加工情報を他の情報と照合することを禁じられているこれによって、匿名加工情報の提供を受けた匿名加工情報取扱事業者の側で匿名加工情報が個人情報とならないように法的な担保措置を講じているのである

宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244頁〜245頁

宇賀先生の逐条解説が、正確な解説書として信頼されてきたのは、政府見解に忠実に書かれてきたからであり、政府の内部文書に基づいて書かれてきた*12からなのだろう。しかし、今回は、内閣法制局の予備審査の途中で案が大幅に変更されるというイレギュラーな展開であったことから、情報公開請求して出てくる内部文書には、旧案についての破棄されたはずの説明も混じっていたわけであり、宇賀先生はそれに気づかず、破棄された説明に従って解説書を書かれてしまわれたということになろう。この解説がそのまま信頼されていくことになるとすれば問題だと思う。

そして次に、宇賀本の別のページでも、36条5項の解説部分で、以下のように書かれているのだが、これも、前々回の図12に示した、2014年11月13日時点(長官指摘前)の法制局第二部長向けの説明文書をベースに書かれているようである。

ア 個人情報に措置を講じて匿名加工情報を得た事業者について

措置を講じた事業者は、匿名加工情報の元となった個人情報を引き続き保持し、かつ措置方法を有していることが通常である。また、システム上両データの連結性が認められる、両データへアクセス可能な人間が複数存在する等の事情が存在するとすれば、匿名加工情報と元となった個人情報は容易に照合することができる状態にあると言える。

しかしながら、改正法においては、復元行為等を禁止し、匿名加工情報を元のデータに復元すること、記述等を加えて新たな個人情報とすること及び個人情報を含む他の情報と照合することにより特定の個人を識別することができる場合の照合行為を禁止している。

容易照合性の判断は、同事業者の規模、技術的措置、組織的措置等その他具体的な事情を元に総合的に判断する法的評価である。同判断の基礎とされる組織的措置につき、社内規約によって照合を制限するのみでは容易照合性を否定しないと解釈する理由は、同規約による制限に反して照合が行われ得た場合、内規による処罰はあり得ても個人情報保護法においては何ら罰則等が規定されているものでは無く、照合禁止が実質的に担保されるもので無いことにある。対して、改正案は復元行為等の禁止という法的義務を課し照合を禁ずるものであり、当該義務違反に対しては、個人情報保護委員会による執行等が担保され、現行法下の状況とは異なることとなる。このように法的担保によって個人情報等との照合が禁止されているのであるから、容易に照合可能な状態にあるとは言えず、解釈上個人情報に該当しない

法律案審議録より、2014年11月13日付「個人情報と匿名加工情報(仮称)における容易照合性の考え方について」

匿名加工情報は特定の個人を識別できないように個人情報を加工して作成されたものであるから、作成元の個人情報取扱事業者においては、削除等の加工が行われる前の情報を保有しており(法38条の場合と異なり、匿名加工情報を作成した個人情報取扱事業者は、個人情報から削除された記述等や加工方法を保有することを禁止されていない)、単に社内規定で両者の照合を禁止する程度では、容易照合性を否定するには十分とは考えられない。作成の元データと容易に照合可能な状態にあれば、作成事業者が主観的には「匿名加工情報」に加工したと考えたとしても、それは個人情報に該当し、また、当該個人情報は個人情報データベース等に含まれるので、個人データに該当することになり、個人情報取扱事業者は個人データに係る義務を負うことになる(略)。たとえば、個人情報取扱事業者が個人情報を加工して当該情報自体からは特定の個人を識別できないようにしたとしても、加工元の個人情報と加工後の情報に共通のIDが付されており、両者を連結して利用する場合もあるのであれば、それは個人情報に該当することになる。したがって、匿名加工情報が個人情報に該当しないといえるためには、匿名加工情報を作成した個人情報取扱事業者において、容易照合性が否定されることが必要になる。そこで、本法では、個人情報取扱事業者が、匿名加工情報を作成して自ら匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた本人を識別するために、当該匿名加工情報と他の情報と照合することを禁止している。このように容易照合禁止義務が法的に課されているため、匿名加工情報を作成した個人情報取扱事業者において、当該匿名加工情報がモザイク・アプローチの下でも個人情報には該当しないことが法的に担保されることになる。

宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244頁〜245頁

ここに書かれていることは、前々回の冒頭「問題の所在」で確認した、A説(非個人情報でない限り匿名加工情報となり得ない)なのか、それとも、B説(匿名加工情報に加工すれば(照合禁止義務があるので)非個人情報ということになる)なのかとの論点について、B説の立場を鮮明にしている。

つまり、宇賀説はB説ということになるが、といっても、破棄された旧案の説明を単になぞったもののようであり、A説対B説の対比の下での検討が行われているわけではないので、そのように意識して書かれたものではないのかもしれない。

なお、長官指摘によってひっくり返った変更後の案についての説明では、必ずしもB説の立場というわけではなく、A説として整理できそうだということは、前回までに書いた。

前掲の宇賀本の記述では、「復元の可能性を根絶するほどの削除等を行い、情報としての有意性を喪失させてしまっては、匿名加工情報という範疇を設けることにより、パーソナルデータの利活用の促進を図る立法政策を実現することはできないことになる。」と書かれているが、法制局長官の指摘は「出すところで復元できない様に」せよというものだった*13。復元の可能性を根絶すると有意性を喪失すると言うが、匿名加工情報は結局は最終的に統計量に集計して利活用するのだから、復元できないように加工(これは削除に限られるものではない)したものだって利活用の道はあるというのが、利活用現場のデータサイエンティストらから昨今聞こえてくるし、前々回の図17に示した長官指摘後に再整理された説明文書では、変更後の案では規制緩和にならないことを受け止めた上で、規制緩和でなくても「制度が明瞭で利活用に躊躇しないもの」とすることに意義があるのだと整理されたようであり、そのことを宇賀本は踏まえていない。

*1 このことについて、2016年2月5日の日記「匿名加工情報は何でないか・前編の2」の「十分に低減する加工をしたものは匿名加工情報に当たらない」で触れたが、このときは、この向井発言を受けて、「そこでやや疑問に思ったのは、「個人に関する情報」とは何だろうかという点である。当時その時点までの私の理解では、「個人に関する情報」は一人ひとりの情報を指す(すなわち、識別非特定情報と識別特定情報を指す)ものと理解していたが、どうやらそうとは限らないようだった。数人の個人についての情報であっても「個人に関する情報」ということらしい。いまいち納得しがたいが、(略)」と書いていた。これを今になって振り返ると、次のように言える。この発言を聞く前の時点で、私は「識別非特定情報」と「個人に関する情報」とを同一視(識別特定情報を除いて)していた。つまり、「識別非特定情報」であれば「個人に関する情報」であるし、「個人に関する情報」であれば「識別非特定情報」(又は識別特定情報)となると捉えていた。ところが、記憶が不確かだが、このときのパネルで私は向井審議官に「一人ひとりの情報を指すのか?」というような質問をしたのであろうか、それに対する返事として「数人の個人についての情報であっても「個人に関する情報」ということ」という回答があったようで(もはや覚えていないのだが)、それでこのときの日記(2016年2月)ではこのように書いたわけだ。今思えば、2014年11月時点では向井審議官も整理しきれていなかったが故のブレた発言だったのであろうか。現在では、「個人に関する情報」とはある一人の個人についての記録のことであるとの解釈で落ち着いていると思う。私としては、その後、「識別非特定情報」の概念をこういう文脈で持ち出すのは混乱が生じると感じていたところ、こういうときは「個票」と呼べばよいのだという理解に至り(勉強会での山本隆一先生の発言を耳にして以来その理解に至った)、2016年7月のセミナー以降では、以下の図のように、個票の形でなければ「個人に関する情報」ではなく、匿名加工情報でもないということになると、そういう説明方法をとるようになった。

*2 同様の見解が、宇賀克也「個人情報の保護と利用 ――ポジティブ・サムを目指した改革の意義と課題――」法律時報88巻1号(2015年12月)72頁に、「匿名加工情報データベース等を構成する匿名加工情報のみを対象としているので(36条1項)、匿名加工情報を容易に検索することができるように体系的に構成されていない統計情報については、同法4章2節の規定の適用はないと解することが可能なように思われる。」として書かれており、また、宇賀克也・藤原静雄・山本和徳「《鼎談》個人情報保護法改正の意義と課題」行政法研究13号(2016年4月)12頁にも、「統計情報は匿名加工情報データベース等を構成するものに含まれず、匿名加工情報に係る義務は生じないと解することができるように思われます。」と書かれており、宇賀説として次第に確立していった様子が窺える。

*3 もっとも、そもそも「特定の〇〇を電子計算機を用いて検索することができるように体系的に構成したもの」とはいったい何のことか?という疑問があって然るべきである。「個人情報データベース等」の定義に昔からあった「特定の個人情報を電子計算機を用いて検索することができるように」とは、有り体に言えば「誰それの個人データレコードを取り出せるようになっている」ことを言うわけだが、これが、「特定の匿名加工情報を電子計算機を用いて検索することができるように……」となると、いささか謎である。匿名加工情報は無記名の個票であり、何を手掛かりに「検索する」のであろうか。個票に何かしらの番号(究極的には行番号のみがある)が振られてはいるだろうが、それを使って検索するなどということは用途としてあり得るのだろうか。この疑問については、別の重要な論点に拡大するので別の機会に再び書くことにしたいが、結局、今改正で2条10項に新たに書かれたこの「……検索できるように体系的に構成したもの」というフレーズは「一列に並べられたリスト」という程度の意味で使われてしまっている。そんな条文でいいのか?という疑問があって然るべきところ、私の立場では(「法とコンピュータ」No.34で書いた主張を裏付けるためには)、むしろそのような解釈が定着することは好都合なので、これは歓迎している。

*4 そのわりには、最後の部分で「このようなものを検索しても」とあるのは統計値を検索することを指しており、一貫していないのだが。

*5 ただし、2条9項柱書きの「復元することができないように」と、2条9項各号の措置との関係については、2つの説があり得る。A説は、各号の措置を講じることが、「特定の個人を識別することができないように」することと「復元することができないように」することの両方に掛かっていると解釈するもので、私もてっきりそうだと思い込んでいたが、B説は、各号の措置を講じることは「特定の個人を識別することができないように」することについてだけで、「復元することができないように」は各号の措置とは関係なく求めているとする解釈である。前回の日記では、このことについて以下のように、B説の方が自然だと書いていたが、どちらも一理あり、はっきりしない。このことについてはまた別途書こうと思う。

確かに、2条9項柱書きの「次の各号に掲げる…区分に応じて…各号に定める措置を講じて」の文が、「特定の個人を識別することができないようにし」のみに係っていているのか、「かつ、…復元することができないようにし」にも係っているのかが、どちらともとれそうだが、前者の解釈の方が自然のようにも思える。

*6 というより、そのレベルまで加工するべきという方が先なのだが。

*7 匿名加工情報の定義が、「個人に関する情報であって……」となっていて、「生存する個人に関する情報であって」となってはいないのは、死者を含めるとの趣旨ではなく、このように、実在する個人に限らないことを想定してのものだと理解できる。(元々「生存する」を頭に付けない「個人に関する情報」は、死者を含むという意味だけでなく、このように、実在する個人から切り離された架空の個人についての個票の場合をも指すのなのだと考える。)

*8 これは、かつて、k-匿名性の指標を用いて、全列QIとしてk≧2としたとき非個人情報となるとした見解(2014年4月23日の日記の「k-匿名性の法的位置付け」参照)より、非個人情報化要件が緩和されている。ごく一部であっても「同じ内容のレコードが元のファイルに1つしか存在しない」ならば、この指標ではk=1となってしまうのであったのに対して。これについては、「匿名加工情報は何でないか・後編の3」で書く予定。

*9 そもそもこの用語は、法改正の検討のための整理用の概念に過ぎないので、目的的に定義する用語である。

*10 技術検討WGの定義では、個票のリストというファイル単位で「識別非特定情報」と評価されるものであって、その個々の要素ごとに該当するか否かが決まるという性質の概念ではなかったと思う。

*11 なお、「識別非特定情報」の概念を安易に使うことの問題点については、本シリーズの前編でも、「識別と特定が区分された」において批判したところである。

*12 情報公開請求で得られた開示文書を元にして書いているのなら、その事実を明らかにしたらよいだろう。前々回の図22に示したように、一昨年の二弁本においても、旧案の説明文書を元に解説してしまっていたわけだが、二弁本が立派なのは、ちゃんと情報公開請求により開示された資料を元に書いていることを明らかにしていたし、それぞれの解説の根拠となる開示資料がどれなのかを明記していた。そのため、その資料が正しい限りにおいて正しい解説となることは示されていたわけである。引用においては当然の出典明記であろうと思うし、引用でないのだとしても、そもそも学術研究は根拠を明らかにするのが必然的に要されるはずなのだが、法学の世界は別なのだろうか。あるいは逐条解説書は学術研究ではないのかもしれないが。

*13 法制局長官がひっくり返す前の旧案では、受領者に対する禁止義務は、復元することの禁止であった(2017年1月8日の日記の図2参照)が、変更された後(つまり成立した法)では、復元を禁止するとは規定されていない。これは、復元はそもそもできないように加工されているという前提があると考えられる。

本日のリンク元 TrackBack(0)

2017年07月22日

匿名加工情報は何でないか・後編の2(保護法改正はどうなった その8)

「匿名加工情報」に今もなお根強い解釈のブレが残存していることについて、前回の日記は、内閣法制局への情報公開請求で開示された「法律案審議録」の記載内容を根拠として、その謎解きをした。結論としては、2014年11月までに準備されていた当初案が存在していて、それが翌月12月1日の内閣法制局長官の指摘によって却下され、作り直されたものが国会提出法案となっていたにもかかわらず、長官指摘での修正それ自体の考え方を説明する文書が作成されておらず、初期案の説明文書と修正後の案の説明文書が並存しているだけであるため、却下された初期案の「説明資料」を読んだ者が、それがキャンセルされていることに気づかず、その内容を真に受けていることが、解釈のブレが出てくる原因だろうと推測したのであった。

この分析には複数の有識者の方々から「なるほど」という声を頂いた。しかし、本当に長官の指摘によって当初案はキャンセルされているのか?という疑問はあるだろう。誰かからそう言われたわけではないが、私自身も完全に確信を持てたわけではなかった。また、逆に、そもそも「根強い解釈のブレなど本当にあるのか」「古い資料に基づく解釈なんて今や存在しないのでは?」という疑問をもたれたかもしれない。

そこで「後編の2」をすぐに書かねばと思っていたところ、そうこうしているうちに、4月末に情報公開請求していた文書が開示決定され、今週その写しが到着した。早速、関係するところだけささっと目を通したところ、長官による却下は確実にあったことが確認できたので、取り急ぎ核心部分だけ先に以下に書いておく。

新たな開示資料にてIT室曰く「長官指摘によってひっくり返った」

資料の写真 資料の写真
図1: 到着した総務省行政管理局の開示資料「行政機関・独法等個人情報保護法の改正等経緯 行政機関個人情報保護法等改正法案(平成27年度) 法制局提出資料・審査録」

この資料は、2016年の行政機関法改正案に係る立案担当部局側の保管文書であり、5月5日の日記「匿名加工情報が非識別加工情報へと無用に改名した事情」で参照した法律案審議録では2016年2月15日以降の文書しか存在しなかったため、「追加の情報公開請求中」としていたもので、箱を開けてみると、2015年4月という最初期からの検討記録であった。大変素晴らしいことに、それぞれの日付ごとに、「法制局説明の模様(未定稿)」というタイトルで、内閣法制局第三部の参事官との議論(議論というよりは、法制局参事官からの一方的な助言という感じだが)の内容が整然と克明に記録されている。

この中で、行政機関法に「匿名加工情報」の制度を取り入れるにあたり、基本法(行政機関法の立場から見ると個人情報保護法は「基本法」と呼ばれる)の「匿名加工情報」はいったいどういう設計になっているのか?という疑問が繰り返し呈されており、当時、国会で基本法改正案の審議が中断されていた6月から8月にかけて、その立案担当部局である「IT室」(内閣官房IT総合戦略室パーソナルデータ班のこと)に対して何度も問い合わせている様子が記録されていた。

先に決定的なところを挙げておくと、2015年9月14日(改正法案成立の直後の時点)の記録に、以下の記載がある。

資料の写真
図2: 2015年9月14日付「法制局説明の模様(未定稿)」

【基本法の考え方の確認(IT室)】
◯: 基本法改正案の次長・長官説明資料について提供依頼があったところだが、お渡ししているものが全て。長官指摘によってひっくり返った後は、長官・次長指摘に対し論点ごとにその都度打ち返したところであり、まとまった資料や逐条的なものはない

このように、「長官指摘によってひっくり返った」と説明されており(この発言者は、IT室の日置参事官補佐)、「提供依頼」があった行政管理局に対して、初期案の法制局説明資料を提供していないことが示唆されている*1。実際、今回の開示資料を確認してみると、例えば、6月12日付*2の行政管理局作成の「内閣法制局御説明資料」の中に、「IT室個人情報保護法改正案説明資料」が添付されているが、初期案の「説明資料」はこれに含められていない。

このことから、やはり、初期案の「説明資料」はキャンセルされているのであって、無効なものと見るべきなのは確定的と言ってよいだろう。

今もなお初期案を信じる人々(JEITAの場合)

次に、そもそも「根強い解釈のブレなど本当にあるのか」という点について、今もなお古い資料に基づく解釈を信じる人々が存在する(先月の時点で)ことを示しておきたい。

まずこの事例を見てもらいたい。今年6月7日(前回の日記の2日後)に開かれた、「放送を巡る諸課題に関する検討会 視聴環境分科会 視聴者プライバシー保護ワーキンググループ」(総務省情報流通行政局放送政策課)の第8回会合の配布資料「視聴履歴等の取扱いに係る検討に対する御意見について(3. 匿名加工情報の取扱い)」に、一般社団法人電子情報技術産業協会(JEITA)の意見として以下のものが載っている。

画面キャプチャ
図3: 視聴者プライバシー保護WGにおけるJEITA意見

JEITAが主張していることは、視聴履歴の匿名加工基準について、履歴データの時刻情報を丸めたり誤差を入れよとしているWG案に対して、反対するものであり、その根拠として、要するに「照合禁止義務があれば容易照合性は消滅するはずじゃなかったのか」ということを言っている。つまり、法制局長官によってボツにされた初期案の考え方に基づいた誤った法解釈をしているわけである。

これに対して示された「本WGの考え方」は明快である。「法で再識別が禁止されていることをもって加工方法の基準を緩和することは、制度趣旨に照らすと適切ではない」としている。

この「本WGの考え方」が言う「さらに再識別の禁止を課しているものであって」との文が言わんとしていることは、つまり、確かに個人情報保護委員会の事務局レポートでも「本人を識別することを禁止する等の制度的な担保がなされていることから」「照合することができる状態にある(すなわち容易照合性がある)とはいえず、個人情報に該当しないとされる」との説明がある(前回の日記の6番目の引用部)けれども、これはあくまでも、「特定の個人を識別することができず、作成の元となった個人情報を復元することができないように加工したものであり、さらに、」に続けて書かれた文なのであって、「さらに」以下を単独で取り上げて解釈するのは制度趣旨に反するとしているわけである。

これがまさに、長官指摘で変更された後の考え方に沿った説明であろう。「本WGの考え方」は総務省電波政策課が書いたものと思われるが、おそらく個人情報保護委員会事務局と調整の上で書かれたものだろう。

面白いのは、JEITAが主張する理由に、「外部観測性はないため、個人の特定につながるリスクが一般にありうるかには疑問」としている点である。すなわち、委員会の事務局レポートでデータを丸めるように言われているのは、位置情報のように外部で観測される(通りすがりの人に目撃されるなどの)性質がある場合であって、そうでなければ提供データから「特定の個人を識別される」ことはないと主張しているわけである。これに対して、「本WGの考え方」は、事務局レポートのその記載は例に過ぎないのであり、「当該情報の本人の行動を外部から直接観察ができるか否かを判断基準と(略)したものではありません。」と指摘している。

私の意見としては、匿名加工情報が「非個人情報」として整理されているからには、提供先で「個人を特定される」ことのリスクのみに着目して加工の基準とするのはダメだという考えだったので、この「本WGの考え方」には安堵するところだが、このことは、要するに、匿名加工情報定義の「特定の個人を識別できないようにし、かつ、復元できないようにしたもの」が、どういう意味で規定されているのかが問われる論点である。その答えも、今回の開示資料で明らかになったのだが、そのことは後で触れる。

今もなお初期案を信じる人々(元委員会事務局上席政策調査員の場合)

次に、これがJEITAが吠えている程度ならまだよかったのだが、深刻なのは、以下の本が出版されてしまった(前回の日記の2日前に発行)ことである。この本は、「個人情報保護委員会事務局 上席政策調査員」の肩書き*3で大角良太氏が執筆したもの*4である。

本の写真
図4:「個人情報保護委員会事務局 上席政策調査員」の肩書きで出版された本

問題箇所は、その44頁、45頁にある。

本の写真 本の写真
図5: 「Q&Aで理解する! パーソナルデータの匿名加工と利活用」44頁〜45頁

ここには以下のことが書かれている。

一方、匿名加工情報を定義している個情法2条9項では単に、個人情報の区分に応じて各号の措置を講じて「特定の個人を識別することができないように個人情報を加工」したものとされているため、個情法2条1項1号のかっこ書きの要件までを考慮することが求められるものではないと解されます。

また、匿名加工情報については、個情法36条で規定される安全管理措置や識別行為の禁止等の制度的な担保があるため、作成された匿名加工情報と元の個人情報との間では、「容易に照合できる状態にない」と解されます。

つまり、個人情報を保有する事業者の内部において容易に照合することができる情報まで考慮して特定の個人を識別することができないように加工する必要があるか否かで、非個人情報にするために必要な加工の程度と匿名加工情報にするために必要な加工の程度が異なるということができるでしょう。

匿名加工情報は、個情法改正の趣旨からも、利用・流通過程における安全性を確保しつつ個人に関する情報の利活用を図る制度であり、個人情報に対して一定の加工及び規律を課した上で第三者提供等を可能とするものです。また、匿名加工情報は、その作成事業者の内部において、匿名加工情報に加工される前の元となる個人情報や加工方法等に関する情報が保存されることが制度的に前提とされています(個情法36◆法

したがって、非個人情報と同様に事業者内部において容易に照合することができる情報まで考慮するのではなく、一般人及び一般の事業者における判断力や理解力を考慮した上で安全性を判断することが妥当であると考えられます。

「2条1項1号のかっこ書き」とはいわゆる容易照合性のことであり、この記述は要するに、「匿名加工情報ということにすれば元データとの容易照合性は法的に消滅する」ということを主張している。前掲のJEITA意見も、これと同じ考え方に基づいたものであろう。前掲の通り、「視聴者プライバシー保護WG」はこのような考え方を「制度趣旨に反する」と一蹴している。

大角氏のこのような見解は、IT室、個人情報保護委員会ともに、これまでに公式には示してこなかったものである。事務局レポートでも、前回の日記で示したように一部に筆が滑った挿入句があったものの*5、ここまで踏み込んだ見解は書かれていなかった。

したがって、大角氏個人の独自の見解と言うべきだが、これは、法制局長官によりボツにされた古い初期案の「説明資料」を読んでこういう理解に陥ったものではないか。

大角氏のご略歴を拝見すると、早稲田大院の理工学研究科(電子情報通信学専攻)を修了され、自動車会社にて知的財産部で知的財産戦略に従事し、ビッグデータの活用企画を担当された後、2015年から特定個人情報保護委員会事務局に出向したとのこと。したがって、IT室が改正法案を巡って内閣法制局と協議した現場には居合わせてはいなかったということだろう。委員会事務局では「匿名加工情報に係る委員会規則やガイドライン等の策定」に携わられたとのことだが、後から個人情報保護委員会にやってきて、ビッグデータ利活用の観点から、仮名化するだけで匿名加工情報ということにしようと尽力されたのだろう。だが、委員会規則にもガイドラインにも、そして事務局レポートにもこんな跳ねた記述はないという事実からして、彼の主張は内部でも受け入れられなかったものと推察される。*6

この本には、冒頭の「はじめに」で、「また、本書のうち意見にわたる部分は個人的見解にすぎず、筆者の所属する組織の公式見解を示すものではない点にご留意ください。」と申し訳程度に1行のエクスキューズが書かれているが、「意見にわたる部分」というけども、上記引用部は、「……と解されます。」との表現が使われており、政府の公式見解に沿った記述であるかのごとく読まれるであろう。

一般に、民間出向者は役人の仕事のやり方をわかっていないことがあり、このような出すぎた出版は、役人や法曹出向者が記事や本を書く際にはあり得ないことだろう。役所のこうした業務では、「決まっていないこと」というのがしばしば存在しているのであって、そこは書かないようにしてこそプロの仕事なのであり、何もかも結論を出して書いてしまおうというのは(外部の人間ではない以上は)素人の仕事と言う他ない。研究者でも公職に置かれたらこのようなことはしない。自分の独自見解と公式に固まっている見解とは分けて記述して然るべきである。こういう出版を許してしまうとは、昨今の霞ヶ関はいささか緩みすぎているのではないか。

そういう本は無視すればよいのだが、読者は表紙に書かれている「個人情報保護委員会事務局 上席政策調査員」との肩書きを見て、これが正解なんだと信じてしまうだろう。匿名加工情報の制度がスタートしつつあるこの段階でこのような状況は危うい。

今もなお初期案を信じる人々(日本経済新聞社の場合)

既に実害が出つつあるかもしれない。日経新聞(本紙と産業新聞)が執拗に誤報を繰り返してきたことについては、「匿名加工情報は何でないか・中編」の冒頭で書いたように、これらはずっと「「名前や住所」を取り除けば匿名加工情報になる」と報じ続けてきた。

その成果があってか、改正法の施行に伴って改定された日本経済新聞社のプライバシーポリシーに、目出度く以下のように記載されたのである。

7. 「匿名加工情報」を第三者に提供することがありますが、氏名や住所などを削除して本人の特定ができないように加工したうえで提供します。

誤報を繰り返しているうちに、自社の法務部門まで騙してしまったようで、甚だお気の毒である。違法な匿名加工情報提供が始まっていなければよいのだが。

ここでも、「本人の特定ができないように」とはいかなる意味なのかが問題となる。改正法は、「特定の個人を識別できない」ことと「復元できないこと」の両方を求めているのに、なぜ、日本経済新聞社の法務部門は、「復元できないように」を欠かして構わないと思うのだろうか。

確かに、「復元できないように」には大した意味はないのではないかというのは、私も以前はそう思っていた。だが、今回の開示資料により、「復元できないように」には重大な意味が含められていたことが判明したので、以下に書いておきたい。

内閣法制局長官が「復元できないように」を加えた意義とは

まず、私のかつての理解(先週までの時点)を書いておくと、こうである。

2条9項の「特定の個人を識別することができないように」は、容易照合による「特定の個人を識別」を含む意味で「できないように」という意味であって、条文上書いてないのは括弧書き部分の省略であると解釈した。これを図解したのが以下である。

説明図
図7: 長官指摘前の個人情報定義と匿名加工情報定義の関係と、長官指摘後の変更

詳しくは前回の日記の通りだが、初期案では、個人情報定義を1号から3号に区分しようとしていた(図7の左)。

2号は現在の個人識別符号相当のものだが、1号は、「当該情報に含まれる氏名、生年月日その他の記述等(…)により特定の個人を識別することができるもの」で、3号は「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」とされていて、要するに、容易照合性の部分を切り分けようとしていた。その上で、匿名加工情報の定義を、個人情報の区分の各号に応じて「措置」を定め、1号については「氏名、生年月日その他の記述等の全部又は一部を削除する(他の情報に置き換えることを含む)」とし、2号については個人識別符号を削除するものとし、3号については何も加工しなくてよい(3号個人情報を「匿名加工情報を除く」と定義し、それに対応する3号措置を設けない)とした。

この案では、匿名加工の加工基準は設けられていなかった。委員会規則への委任はなかったのである。なぜなら、加工方法が単純明快で曖昧性がなかったからである。2号措置が単純なのは現在も同じだが、1号措置が、よく見ると、成立した改正法の1号措置とは異なり、削除(置き換えを含む)の対象が「氏名、生年月日その他の記述等」と書かれていて、これは、情報公開法6条2項の「当該情報のうち、氏名、生年月日その他の特定の個人を識別することができることとなる記述等の部分を除く」に相当するものとなっていた。つまり、情報公開法における部分開示のように*7、氏名等の部分を墨塗りにして出すのと同じ(違いは、墨塗りにする以外に丸める等の変更を許しているところ)であるから、その方法は明快なので、加工基準は必要とされなかったわけだ。

ところが、法制局長官の指摘によってこの案がボツとなり、図7の右の形に変更となった。

個人情報定義を3号までに区分する案もボツとなって、「3号個人情報」だった部分が、1号個人情報へ統合された(水色の矢印)。そして、「1号措置」の内容が微妙に変更され、「特定の個人を識別することができないようにする」の部分が柱書きに移動し(緑の矢印部分)、削除(置き換えを含む)の対象が「氏名、生年月日その他の記述等」ではなく、「当該個人情報に含まれる記述等」に変更されて、それ以外の部分を含む「個人に関する情報」の全域が対象になった。つまりは、個人属性に限らず履歴データをも対象としたあらゆる「置き換え」が想定されるように変更されたわけである。

そして、加工基準を委員会規則に委任する形に変更された。これは、ボツになった初期案とは違って、どのように加工すればよいかを、法律に明確に規定することが不可能だったからである。

そうすると、長官指摘後では、匿名加工情報定義の柱書きにある「特定の個人を識別することができないように」の「特定の個人を識別する」は何を指していることになるのか。

「次の各号に掲げる当該個人情報の区分に応じて……」としているのだから、1号措置については、当然に「1号個人情報」で言われるところの「特定の個人を識別する」を指しているのであって、そうならば、「(他の情報と容易に照合することができ……を含む)」の括弧書きも含んだ意味での「特定の個人を識別する」を意味しているはずだと考えた。

つまりは、匿名加工情報の「特定の個人を識別することができないように」は、容易照合による識別も含めた意味で「できないように」の意味だと解釈するのが自然だろうと考えていた。*8

このことについて、実は以前、委員会事務局の担当者の方と議論させていただいたときに、容易照合による識別は含めていない(法制局でもそう整理されている)と言われたことがあった。そうすると、「照合禁止義務によって容易照合性が解消される」と理解するほかなく、それはまずいでしょうと意見して、議論は平行線となっていた。

前回の日記の時点では、この「特定の個人を識別することができないように」に容易照合による識別が含まれないと解釈するのは、ボツになった長官指摘前の説明資料に基づいているのではないかと推測した。図7の左では、「特定の個人を識別することができないように」は「1号措置」の中に書かれている(緑の部分)から、容易照合による識別を含まないのは明らかだからである。

そして、長官指摘後に加えられた「復元することができないように」(ピンク部分)が何を意味するかは、大した意味はないのだろうと考えていた。

このような私の理解では、匿名加工情報定義の各号措置と、施行規則19条の加工基準の各号との関係は、以下の図の通りであろうと考えていた。

説明図
図8: 匿名加工情報定義の各号措置と施行規則19条の加工基準各号との対応関係(長官指摘前の案での当て嵌めと、長官指摘後での対応関係)

つまり、成立した改正法においては、加工基準の3号、4号、5号は、1号措置を具体化したもの(図8の右)であろうと。容易照合による識別を含めた意味での「特定の個人を識別できないようにし」を1号措置に求めているからこそ、3号、5号の加工基準が1号措置の具体化なのだろうと、そう考えていた。

こうして見ると、なんだか不恰好な形になっており、なぜ「3号措置」を作らなかったのだろうかという違和感がなくもない。また、このような対応関係であれば、わざわざ措置を「1号措置」と「2号措置」に区分する必要もなかった*9のではという疑問も感じる。そこは、長官指摘前の初期案が、図8の左のように、1号措置と2号措置が、加工基準1号と2号にちょうど対応していたことの残骸なのだろうと考えれば、「まあ仕方がないか」と納得することはできる。

ところが、今回の開示資料で、これとは違う整理がされていたことが判明したのである。

以下の図9に示す文書が、2015年4月2日付IT室作成「個人情報の保護に関する法律改正案 改正事項説明資料(抜粋)」として、参考資料の「別紙」に含まれていた。(これは、前回の日記で参照した開示資料(法律案審議録)には含まれていなかった*10ものである。)

資料の写真 資料の写真
図9: 2015年4月2日付「個人情報の保護に関する法律改正案 改正事項説明資料」(抜粋)「匿名加工情報の考え方について(第2条、第4章第2節関連)」

(2) 匿名加工情報の作成等(第37条*11第1項・第2項)

匿名加工情報は、特定の個人を識別することができないこと及び復元することができないことが担保されることによって、個人情報とは別の取扱いが許容されるものであって、その加工が適切なものでなければならない。また、いかなる加工を施せば足りるかについて、定義からは一義的には明らかではないことから、第37条第1項において、匿名加工情報の作成に当たっては個人情報保護委員会規則で定める基準(以下「加工基準」という。)に従うこととする。

また、流通・利活用の過程で特定の個人を識別することとならないよう、加工基準については、匿名加工情報該当性につきその情報の状態から判断し得るものとなるように、また、復元することができないものとするよう、客観的な指標を定めるものとする。

(ア)必要な加工について(第2条第9項各号及び第37条第1号)

特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従った加工とは、第2条第9項各号に定める記述等及び個人識別符号の削除その他の必要な加工をいうところ、具体的には、次の措置を講じる必要がある

‖2条第9項各号に定める措置

氏名、年齢、住所、生年月日等、個人情報に含まれる特定の個人を識別することができる事項を削除し、又は他の記述等に置き換える。
例)(略)

個人識別符号の削除又は他の記述等に置き換える。
例)(略)

復元することができないようにするために必要な加工

(略)

階級区分への変更(グルーピング。なお(略)
例)(略)

特殊な属性をまとめる(トップコーディング)
例)(略)

ノイズの付加
例)(略)

複数者間のレコード間で値を入れ替え、並べ替え

識別しながら扱えるようにしない
例)元データと加工した情報とに共通の識別子を付番しない。

など

なんと、これはつまり、後の施行規則19条のうち、3号、4号、5号は、2条9項各号の措置を具体化したものではなく、2条9項柱書きの要求する「復元することができないようにする」ことを実現するものとして整理されていたということだ。これは、長官の指摘がこういう趣旨だったということなのだろうか。

確かに、2条9項柱書きの「次の各号に掲げる…区分に応じて…各号に定める措置を講じて」の文が、「特定の個人を識別することができないようにし」のみに係っていているのか、「かつ、…復元することができないようにし」にも係っているのかが、どちらともとれそうだが、前者の解釈の方が自然のようにも思える。

前掲の図8の図解を、これに合わせて直すと、以下のようになる。

説明図
図10: 匿名加工情報定義の各号措置と施行規則19条の加工基準各号との対応関係(長官指摘前の案での当て嵌めと、長官指摘後での対応関係)【2015年4月2日付「改正事項説明資料」に基づく】

これは納得できる。そういうことだったのか!

前掲図9の資料には、続く部分で以下のようにも書かれている。

(ウ)個人情報との関係

このように、適切な加工を施すことによって、匿名加工情報は特定の個人を識別することができないものとなり、かつ、作成の元となる個人情報と匿名加工情報との間の対応関係を曖昧化した照合困難なものとなるから、作成の元となる個人情報に復元することができないそのような状態の情報であることから、基本的には、いずれの事業者においても法第2条第1項に定める容易照合性が認められず、本法が保護対象とする「個人情報」とは異なるものとなるそうであるとしても、作成者においては、作成の元となる個人情報が保有され、加工方法が明らかであり、また実際に加工に従事する人間が存在することが通常であることから、なお「容易照合性」があるのではないか、との疑問が呈されるところである。これについては、第38条「識別行為の禁止」義務が課せられ、罰則*12をもって作成の元となる個人情報に係る本人を識別しないことを担保されるものであることから、解釈上、「容易に」照合できるものではないとして「容易照合性」が否定されるものである。

つまり、「復元することができない」は、「作成の元となる個人情報と匿名加工情報との間の対応関係を曖昧化」することによって実現されるもので、作成の元となる個人情報と「照合困難なもの」となるからそうなのだという。

すなわち、元データとの容易照合をなくすような加工を指して、長官は「復元もできないようにしろ」と指示したということか。

このような考え方への言及は、今回の開示資料で、他の日付のものにも繰り返し出てきていた。例えば、2015年8月17日付の「説明資料」には、行政管理局側が作成した文書として、基本法における匿名加工情報定義の解釈が以下のように説明されている。

資料の写真
図11: 2015年8月17日付「匿名加工情報の個人情報該当性について」(行政管理局)

1 規定上(第2条第9項)は、「特定の個人を識別することができないように個人情報を加工」するとは、情報単体で特定個人を識別することができないように個人情報を加工することをいい、「当該個人情報を復元することができないように」するとは、他の情報(作成の元となった個人情報を含む。)と照合しても元の個人情報の一部又は全部を復元することができず、特定個人を識別することができないようにすることをいうと解されている。(別紙1)

なるほど、やはり、「復元できないようにする」の方が、元データとの容易照合をできなくする加工を求めるという解釈だったわけだ。

このように理解すると、前記のように以前に委員会事務局の担当者から「特定の個人を識別することができないようにする」に容易照合による識別は含めていない(法制局でもそう整理されている)と言われたことは、矛盾していない。「復元できないように」の方でカバーされていたわけだ。だが、そのとき、その担当者はなぜそのことを教えてくれなかったのだろうか。

IT室・行政管理局・法制局第三部での混乱

今回の開示資料には、こんな記載もあった。時間を戻して、2015年5月25日付「法制局説明の模様(未定稿)」では、法制局第三部参事官(◎)と行政管理局(●)の会話が以下のように記録されている。

【匿名加工情報の位置付け、範囲】

◎: 基本法における匿名加工情報は非個人情報と言っているが、その位置付けが相変わらずよく分からない。

●: IT室の資料によると、匿名加工情報は、作成元の個人情報との対応関係を曖昧化されたものであり、又、識別行為の禁止義務が課され、罰則をもって本人を識別しないことを担保されるものであることから、解釈上、容易照合性が否定されるとしている。又、現行法下においても匿名加工情報と同様のものを作成することは可能としており、匿名加工情報の作成主体において、加工に関する情報をファイアーウォールなどを設けて厳重に切り離して管理することで、容易照合はできないものと解釈している模様。

◎: それはつまり識別行為の禁止をもって、個人情報であっても照合することにより特定の個人を識別することができないものとしているということか。

●: IT室の説明からするとそうである模様。第2条第9項の解釈について、他の情報との容易照合は加工対象外とのことであり、飽くまでも情報に含まれる氏名等の記述等から直接特定個人を識別できる部分だけが加工対象とのこと。

◎: 第2条第9項では、加工の元になる個人情報には他の情報との容易照合も含まれており、これが加工対象外というのは分からない。

●: そこは確認中。いずれにしても、基本法の考え方をそのまま行個法に持って来ることができるかどうかは検証が必要と考えている。(略)

いろいろと混乱している。1つ目の「●」の冒頭部分は、前掲図9の続き部分に記載されたことと同じことを言っているようだから、2015年4月2日付のIT室整理に基づいた説明を受けたように見えるが、それなのに、「識別行為の禁止をもって……識別することができないものとしているということか」という「◎」の問いに対して「● IT室の説明からするとそうである模様」と答えてしまっている。「他の情報との容易照合は加工対象外とのことであり……」は、長官指摘でボツになった初期案のことを言っているようだし、あるいは、「復元できないように」の部分を欠かしてIT室から説明を受けたのかもしれない。

このことから、ここの考え方が如何に誤解されやすいものであるか、その様子が窺える。

しかし、これに対して「◎」は「これが加工対象外というのは分からない。」と述べており、やはり直感的にそこを加工しないというのはおかしいと法制局には思えるのだろう。

これが、翌週の6月2日付「法制局説明の模様(未定稿)」では、以下のやりとりとなっている。

【匿名加工情報の位置付け】

◎: 基本法改正案第2条第9項の匿名加工情報の定義における「特定の個人を識別」とは、結局どのような意味か。

●: IT室に確認したところ、基本法改正案第2条第9項の「特定の個人を識別」は、他の情報との照合による識別を含まない。つまり、その情報単体から特定の個人を識別できる記述等のみ加工するという意味とのこと。その上で、同項では「当該個人情報を復元することができないようにしたもの」としており、「復元できないように」加工する際に他の情報との容易照合による識別も含めて復元できない状態になっていると解するとのこと。

◎: そうであれば、第2条第9項の匿名加工情報にすることで、識別・復元のできない完全な非個人情報となっており、匿名加工情報の受領者に識別行為の禁止義務をかけることは不要ではないか。この規律を新設した意味が分からない。

●: IT室の説明としては、識別できないようにしても、技術上識別可能性を完全に無くすことは不可能であることから、規律を設けているとしている。

このやり取りでは正しいものになっている。

ところが、6月12日付「内閣法制局御説明資料」に添付された「個人情報保護法改正案における匿名加工情報の概念」とする資料は、再び混乱させる記述を掲載していた。

資料の写真
図12: 2015年6月12日付「内閣法制局御説明資料」に添付された「個人情報保護法改正案における匿名加工情報の概念」

この文書には、基本法における匿名加工情報概念の説明が書かれており、IT室側が作成した文書のように見えるが、前掲図9の4月2日付「改正事項説明資料」とはまた違った説明になっている。しかも文体も違う感じがするので、別の担当者が書いたとかそういったものであろうか。

ここに、「(2)判断基準」の最後の段落で、以下のことが書かれている。

なお、「匿名加工情報」の定義を検討するにあたって、容易照合性を無くすための措置を講じるという観点をもって検討したことは無く、「特定の個人を識別することができない」「復元することができない」という各要件については法制局(二部)においても別の概念として整理している。

これは、行政管理局側からの問い合わせに対して返すために書かれた文書なのだろうか。「容易照合性を無くすための措置を講じるという観点をもって検討したことは無く」としているが、ならば、4月2日付の資料(図9)はいったい何なのか。少なくとも「検討したことがない」というのは誤りであろう。「識別できない」と「復元できない」は「別の概念」だと言っているが、復元の意味を、「復元しようとしても戻ることのないような状態になること」だと言っており、説明になっていない。

そして、その後、8月17日に再びこの「個人情報保護法改正案における匿名加工情報の概念」の文書が、「別紙1 匿名加工情報の定義における「識別」及び「復元」についてのIT室の見解」として添付されるのだが、そこでは、この「検討したことは無く」との段落はカットされていた。

資料の写真
図13: 2015年8月17日付「匿名加工情報の定義における「識別」及び「復元」についてのIT室の見解」

そして、冒頭図2に示した9月14日の会合に至る。図2の続きは以下の会話となっていた。(◯=IT室 日置参事官補佐、◎=法制局第三部参事官、●=行政管理局)

【基本法の考え方の確認(IT室)】

◯: 基本法改正案の次長・長官説明資料について提供依頼があったところだが、お渡ししているものが全て。長官指摘によってひっくり返った後は、長官・次長指摘に対し論点ごとにその都度打ち返したところであり、まとまった資料や逐条的なものはない。

◎: 状況については分かった。こちらの部長説明資料中、基本法の考え方を端々に記載しており(概要P.7※1など)、こちらとしては無邪気に書いているものだが、内容として次長・長官に上がっている説明と整合性がとれているかの確認をしてほしい。こちらから上げていった時に、次長・長官で基本法の考え方はこうではないはずとなってしまうと非常にまずく、基本法も倒れてしまうことになる。

◯: 承知した。そちらの部長説明資料の内容を確認するとともに、次長・長官説明資料については、今一度精査してみる。次長・長官に上げた際の記憶も薄れてきているところだが、一つ言えるのは、長官の認識では匿名加工情報は非個人情報として安全な情報になっているというものであり、識別行為の禁止も本来必要ないものというスタンスのはず。行個法の説明の際にはそのあたりの説明のラインを崩さないことが肝要かと思う。

うはー。ここでこんなにはっきりと忠告されていたのに、まさにそこを崩すことをやってしまい、翌年2月、行政管理局は(というより、法制局第三部はと言うべきだろうか)「行政機関では匿名加工情報は個人情報である(キリッ)」と主張して、長官にちゃぶ台返しされ、泣く泣く名前変更という大迷走に至ることとなったわけである(詳しくは、5月5日の日記「匿名加工情報が非識別加工情報へと無用に改名した事情」の「内閣法制局長官の大どんでん返し」参照)。そこに至る経緯は、今回の開示資料で判明するはずなので、いずれ分析したい。

ともあれ、ここで重要なのは、「長官の認識では匿名加工情報は非個人情報として安全な情報になっているというものであり、識別行為の禁止も本来必要ないものというスタンス」という点である。

IT室では「復元できないように」の解釈を巡って、2つの異なる解説文書が作成されていたようだが、これはどういうことなのだろうか。

次の9月16日の会合では、以下の会話があった。

【基本法の考え方の確認(IT室)】

◎: 匿名加工情報の定義について、「作成に用いた個人情報を復元することができないものであるから、基本的には、新個人情報保護法の「個人情報」とは異なるもの」としているが、復元できないから個人情報ではないという理屈が分からない。復元できないとしても照合して特定の個人を識別できる場合もあるのではないか。かねてからこの復元という言葉の意味するところが曖昧で、この解釈に苦慮してきたのだが、結局「復元」と「照合」の意味するところの包含関係とか重なり具合とか文言上の整理はどうなっているのか。

◯: 「復元」と「照合」の関係については長官のところでも詰められていないところであり、明確には整理していない。

◎: 基本法では保有者にとって容易照合性をなくせば個人情報該当性をなくすことができるが、行個法では、保有者だけでなく、一般人基準で照合できれば個人情報ということになり、保有者である行政機関に照合禁止義務をかけても非個人情報になるわけではないと整理している。そこで復元できないようにするという言葉が一般人基準での照合識別も出来ないようにするという意味を含んでいるということであれば、行個法としても匿名加工情報が基本法と同様に非個人情報であると整理できるわけだが、そのようには解せないのか。

◯: 行個法の整理は分かるが、「復元」と「照合」は別概念。復元できないことが照合識別できないことを完全にカバーしている訳ではない。*13

◎: 現行法においても匿名加工情報と同様の情報を作成し、元データなどを適切に管理すれば、非個人情報として自由に利活用できるはず。そう考えると照合禁止の義務といった新たな義務は必要ないと考えられ、今回の改正は規制の強化ということか。

◯: 容易照合性をなくして非個人情報化する際の基準やルールが曖昧であったところを、今回の改正で明確化したものであり、実際上は規制強化の面があるのは確かであるが、対外的にはあまりそういう説明はしたくないところ。

◎: 考え方は分かった。(略)

さらに次の9月17日の会合では、以下の会話があった。

【個人情報と匿名加工情報の重複】(IT室)

◎: 「個人情報保護委員会規則で定める基準による適切な加工を施すことによって、特定の個人を識別することができないものになると想定される」とあるが、加工の基準に従えば特定の個人を識別できないものなると言っているのはなぜか。説明が飛躍しており、別紙3の本文上は行個法の説明をメインにして基本法の考え方をなんとなくふわっと書くことで切り抜けられても、別紙3参考2において、基本法の整理を詳細に書くことを避けられない。

考えるに、復元できないが他の情報と照合して特定の個人を識別できる領域をどう捉えるかについては、
”元できないが照合識別できるという領域は概念上あり得ない。
復元できないが照合識別できるという領域は概念上あり得るが、非常に限定的であり、かつ、強い加工基準を設ける予定なので、そのような領域が実際に出てくることは予定していない。
復元できないが照合識別できるという領域は概念上あり得るが、実態としてそのようなものは想定されない。
という3つの方向(あるいは、△鉢は排他的でないため、及び)の説明があり得ると思うが、どのラインが望ましいのか。

◯: 少なくとも、概念上は、復元できないとしても照合識別しようと思えば出来る領域はあると考える。ただ、一般人が入手可能な情報をどう捉えるかということがあり、昨今ではSNS上の情報などインターネット等を通じて入手できる情報が拡大しており、これらとの関係も踏まえて説明の言葉を選ばないといけないと思う。

前回説明したように、復元と照合識別との概念の整理はこれまで明確にはしてこなかったところであり、指摘は分かるが、この辺りを整理するに当たっては、非常に微妙な言葉のニュアンスの選択が必要で、それ次第では事業者が暴れることも想定され、加工基準の設定にも影響を及ぼしかねない。非常にセンシティブなものであるので、今ここでどういう説明のラインにしてどういう言葉を選ぶかは決めかねる。持ち帰って検討したい。

◎: 取りあえず分かった。行個法の部分の必要な修正は管理局で案を作るとして、基本法の部分についてはIT室において作成してほしい。

おそらく、基本法は保有者基準で容易照合性をなくせば良いわけで、復元と照合識別との差分についても識別禁止義務をかけることでクリアできることから、長官もその部分を詰める実益がないと判断して特にこれまで整理を要されなかったのではないか。

いずれにしろ基本法ではこれまで整理してこなかった部分について今回整理するわけだから時間を要しそう。

なるほど、この頃は業界の圧力がかかっていたのだろうか。そうすると、IT室の一部は、長官が「ひっくり返した」方針に逆らった解釈を導き出そうとしていたのではないか。

その後の展開

結局、その年の12月に出版された、立案担当者らによる解説書「一問一答 平成27年改正個人情報保護法」(瓜生和久編著, 商事法務)は、「復元することができない」の意味を以下のように説明した。

Q24 匿名加工情報の要件である「特定の個人を識別することができない」、「復元することができない」とは、どのようなことですか。

A 1 匿名加工情報は、個人情報を加工して、‘団蠅慮朕佑鮗永未垢襪海箸できず、当該個人情報を復元することができないようにしたものです。

この「特定の個人を識別することができない」とは、「個人情報」(第2条第1項)の「特定の個人を識別することができる」という要件をいわば反対から捉えたもので、加工後の情報から、当該情報と具体的な人物との一致を認めるに至り得ないことを言います(Q7参照)。

また、「復元することができない」とは、匿名加工情報の作成の元となった個人情報に含まれていた、特定の個人を識別することとなる記述等や個人識別符号の内容を特定し、元の個人情報へと戻すことができないような状態にすることをいいます。

2 この2つの要件を満たしているかどうかの判断は、通常人の能力等では特定の個人を識別することができず、また、元の個人情報に復元することができない程度を基準とするものであり、あらゆる手法によって特定や復元を試みたとしてもできないというように、技術的側面から全ての可能性を排除することまでを求めるものではありません。

3 なお、(略)

これはほとんど何も言っていないに等しい。我々としては、公式な解説として目にしたのはこれが初だったから、これを信じる他ないわけで、このように書かれると、ほとんど意味のない規定で、何らかのよくわからない経緯で入ったのだろうなあとしか思わなかった。しかし、今回の開示資料を踏まえた上記の理解を前提にすると見えてくるものがある。

まず、前掲図9の続き部分に記載されていた「作成の元となる個人情報と匿名加工情報との間の対応関係を曖昧化した照合困難なもの」とすることが「復元することができないようにする」の意味だとした解釈は、ここには書かれていない。図9の文書は取り消されたのだろうか。

しかし、よく読んでみると、それを含む意味で書かれているとも読めなくもない。つまり、作成者において、「特定の個人を識別することとなる記述等や個人識別符号の内容を特定し、元の個人情報へと戻すことができないような状態にする」(瓜生編)ためには、「作成の元となる個人情報と匿名加工情報との間の対応関係を曖昧化した照合困難なもの」(図9)とすることが有効であることに違いないと言え、それを明示してはいないが暗に想定しているとも理解できる。少なくとも、それを排除しているとは読めないだろう。

これはおそらく、法制局長官の「ひっくり返し」がある一方で、業界からの圧力か何かもあったのか、図9の文書の整理があるとはいえ、結局は決めかねてしまい、このようなどちらとも取れる薄い記載にあえて落としたということなのだろう。

そして、個人情報保護委員会のガイドラインでは、この部分が以下のように説明された。

なお、法において「特定の個人を識別することができる」とは、情報単体又は複数の情報を組み合わせて保存されているものから社会通念上そのように判断できるものをいい、一般人の判断力又は理解力をもって生存する具体的な人物と情報の間に同一性を認めるに至ることができるかどうかによるものである。匿名加工情報に求められる「特定の個人を識別することができない」という要件は、あらゆる手法によって特定することができないよう技術的側面から全ての可能性を排除することまでを求めるものではなく、少なくとも、一般人及び一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者又は匿名加工情報取扱事業者が通常の方法により特定できないような状態にすることを求めるものである。

また、「当該個人情報を復元することができないようにしたもの」とは、通常の方法では、匿名加工情報から匿名加工情報の作成の元となった個人情報に含まれていた特定の個人を識別することとなる記述等又は個人識別符号の内容を特定すること等により、匿名加工情報を個人情報に戻すことができない状態にすることをいう。

「当該個人情報を復元することができないようにしたもの」という要件は、あらゆる手法によって復元することができないよう技術的側面から全ての可能性を排除することまでを求めるものではなく、少なくとも、一般人及び一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者又は匿名加工情報取扱事業者が通常の方法により復元できないような状態にすることを求めるものである。

これも、前掲の瓜生編Q&Aと同じことが書かれている。ガイドラインでも詳細な記載を避けたということだろう。両者の違いを見ると、「の内容を特定し」だったところが「の内容を特定すること等により」と改められており、「等」が付けられているから、さらに言外のことを想定している余地を残したことになる。

そして、それに対し、先月出版された前掲の大角氏の著書は、この「復元することができないように」の解釈でもまた随分と踏み込んだことを書いてしまっている。

本の写真 本の写真
図14: 「Q&Aで理解する! パーソナルデータの匿名加工と利活用」27頁〜28頁

2 「復元することができない」が意味すること

 嵒元することができない」の解釈

「復元することができない」の解釈については、個情法ガイドライン(匿名加工編)2-1で次のように記載れています。

(略)

また、同ガイドラインによれば、(略)と説明されています。

後述する個情法36条5項、38条では、匿名加工情報を他の情報と照合して本人を特定することを「識別」と表現しているため、このような行為と「復元」とは明確に区別されることになります。

したがって「復元」とは、あくまでも個人情報から匿名加工情報に加工する具体的な加工方法(加工に用いた手法やパラメータ等)を特定して、加工後の情報から加工方法を逆向きにたどることによって元の個人情報に戻すことをいうと解されます。

例えば、氏名をあるハッシュ関数を用いて別の文字列に変換したものを含む匿名加工情報がある場合に、用いたハッシュ関数を特定するとともに、繰り返しの試行などによって変換された文字列の元となった氏名を特定できた場合は、「復元」に該当すると考えられます。

一方、性別の情報が削除された匿名加工情報に含まれる購買履歴に化粧品の購入が多いことから、元の個人情報に係る本人が女性であることを特定したとしても、加工方法を特定しているものではありませんから、「復元」には該当しないと解されます。

表面上、特定の個人を識別できないようになっていればよいわけではなく、単純な記述等の置換えを防いで、匿名加工情報としての安全性をより高めるために規定されているといえるでしょう。

これはいったいどこに根拠があるのだろうか。このような意味での「復元」もできないようにしなければならないのはその通り*14だろうが、「あくまでも」このようなものの「ことをいうと解されます」と書いてしまっており、これでは、それが全てだという意味になってしまう。

「単純な記述等の置換えを防いで(略)安全性をより高めるために規定されている」というのは、法制局長官に聞いてきたのか? 「具体的な加工方法」を特定することだとか、「加工方法を逆向きにたどることによって」だとか、法律に疎い技術者が字面だけで条文を読むときにやりがちな希望的読解(私も経験がある)でしかないのではないのか。

大角氏は、委員会の事務局レポートの作成にも携わったはずで、このような記載が事務局レポートにはない事実からすれば、彼のこのような主張は、委員会内に出されるも却下されたものと見るべきだろう。

ここで気づいたが、これはもしや、2条9項各号にある括弧書き「(……を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)」の「復元」と混同しているのではないか。こちらの復元は、確かに、「加工する具体的な加工方法(加工に用いた手法やパラメータ等)を特定して」「加工方法を逆向きにたどることによって」といったことを想定して、「単純な記述等の置換えを防いで、匿名加工情報としての安全性をより高めるために規定されている」ものと言える。だが、こちらは条文上、「復元することのできる規則性を有しない方法」でひと塊りの概念なのであり、「復元」という字面の共通性だけで、2条9項柱書きの「復元することができないように」も同じだとみなすのは論外だろう。

まとめとつづき

というわけで、以上のように、今もなお初期案を信じる人々がいる一方、再識別が禁止されていることをもって加工方法の基準を緩和することは制度趣旨に反するという公式見解は固まってきている。

それでもなお、「識別することができないように」あるいは「復元することができないように」が、「作成の元となる個人情報と匿名加工情報との間の対応関係を曖昧化した照合困難なもの」(※1)を求めているのだという解釈は、一度は内部で文書化されたものの、公式には出てきていないわけであり、そこの事情を汲みつつ、今後ここの解釈の明確化を図っていく必要があろう。

その際にどうやら障害となっているらしいのが、「仮ID」の問題である。事務局レポートによると、元データとの対応表を残した仮IDを匿名加工情報に付けたまま第三者に提供することを認めてしまっており、これを許すために、「※1」を要件とするわけにはいかないという事情があるように見える。

しかし、匿名加工情報(の提供時)に「仮ID」は不要なのであり、「仮ID」を許すべきではなかった。この論点について、次の「後編の3」で書く。

*1 なお、この前の会合(9月9日)で、法制局第三部の参事官が、行政管理局に対して、「今回参考資料として基本法の長官・次長説明資料の一部を付けてもらっているが、これが全体とは思えないので、改めてIT室に発注すること。」と指示していた記録があり、9月14日のこのやりとりはそれを受けてのものと思われる。

*2 ここは9月9日付の「参考資料」を確認するべきところだが、今手元にないので、後日確認する。

*3 その後、任期を終えて親元へ帰任され、現在はこの職にないようである。

*4 もう一人の著者は(技術的な部分以外は)ほとんど関与していないものと推察する。

*5 前回の日記の6番目の引用部で強調表示した部分がそれ。これが挿入されたのも、事務局レポートの完成が近づいている最終段階で、この大角氏が入れたものだというチクリ情報が入ってきている。

*6 もしくは、彼の中では、自分の書いていることは、ガイドラインや事務局レポートに記載された公式見解と同じだと思っているのかもしれない。つまり、前掲のJEITA意見でもそうだったように、「Xであり、さらにYであることから、Zである。」という文のニュアンスを読み取れておらず、Xを飛ばして「YならばZ」とだけ書いても同じことを言っているのだと、彼の中で信じて疑わない状態である可能性も考えられる。

*7 なお、情報公開法の部分開示規定では、このような部分を除く措置をしても、なお、「公にしても、個人の権利利益が害されるおそれがないと認められる」に至らない場合には、開示してはならないことになっているのであり、常に墨塗りで出せるわけではないことに注意。

*8 ちなみに、同様の考え方は、今回の開示資料中で、行政管理局側の発言として出てきている。2015年8月19日付「法制局説明の模様(未定稿)」には、以下のように、行政機関法14条(保有個人情報の開示義務)の不開示情報の2号(開示請求者以外の個人に関する情報)に係る規定を挙げている。そこに「又は開示請求者以外の特定の個人を識別することはできないが」とある部分が、照合による識別に触れていないのが、暗黙的に含むものと捉えていることを指摘しているものと思われる。なお、これに対して法制局第三部参事官は、ただでさえ曖昧なのだからとして、採用できない旨の助言をしている。

行個法第14条第2号における「識別」には他の情報との照合による識別も含むと解するべきと考えられるところ、行個法における匿名加工情報の定義についても、「特定の個人を識別することができないように個人情報を加工」と規定すれば、当該定義中の「識別」に他の情報との照合による識別も含むこととなると考えられないか。

*9 2号措置の個人識別符号の削除(置き換えを含む)は単純なので、1号措置とまとめてしまう方が自然な規定ぶりではないか。

*10 法律案審議録には、国会提出の時点までしか収録されていない。

*11 成立した法では、36条のこと。

*12 間接罰のこと(委員会の命令に従わなかったときの罰則)であろうか。

*13 これは、照合による識別に「容易に」要件のない行政機関法において、「復元できない」においてもそのような差があるのかという論点であり、そのような差は明確には設けられていないから不明だけども、もし、「復元」にも同様の差があるとすれば、基本法で「復元できないように」を満たす加工が行政機関法では「復元できないように」なったとは言えないことになるかもしれないから、そういう意味で「完全にカバーしている訳ではない」と答えたものと思われる。(基本法において「完全にカバーしている訳ではない」と言っているわけではないことに注意。)

*14 前回の日記の図11に掲載した初期案の説明資料「個人情報と匿名加工情報(仮称)の関係性について」では、「個人情報に復元する」の例として、「措置を講じた者の加工方法を入手し、元となった個人情報に含まれていた削除された記述等の削除アルゴリズムを解析し、削除された記述等を復元した。」が示されていたわけで、これと同じことを指しているつもりなのかもしれない。だが、長官指摘後の変更で導入された「復元できないようにする」がこのことのみを指しているとは限らない。

本日のリンク元 TrackBack(0)

追記

最近のタイトル

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|
追記