追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 661   昨日: 3278

2017年07月22日

匿名加工情報は何でないか・後編の2(保護法改正はどうなった その8)

「匿名加工情報」に今もなお根強い解釈のブレが残存していることについて、前回の日記は、内閣法制局への情報公開請求で開示された「法律案審議録」の記載内容を根拠として、その謎解きをした。結論としては、2014年11月までに準備されていた当初案が存在していて、それが翌月12月1日の内閣法制局長官の指摘によって却下され、作り直されたものが国会提出法案となっていたにもかかわらず、長官指摘での修正それ自体の考え方を説明する文書が作成されておらず、初期案の説明文書と修正後の案の説明文書が並存しているだけであるため、却下された初期案の「説明資料」を読んだ者が、それがキャンセルされていることに気づかず、その内容を真に受けていることが、解釈のブレが出てくる原因だろうと推測したのであった。

この分析には複数の有識者の方々から「なるほど」という声を頂いた。しかし、本当に長官の指摘によって当初案はキャンセルされているのか?という疑問はあるだろう。誰かからそう言われたわけではないが、私自身も完全に確信を持てたわけではなかった。また、逆に、そもそも「根強い解釈のブレなど本当にあるのか」「古い資料に基づく解釈なんて今や存在しないのでは?」という疑問をもたれたかもしれない。

そこで「後編の2」をすぐに書かねばと思っていたところ、そうこうしているうちに、4月末に情報公開請求していた文書が開示決定され、今週その写しが到着した。早速、関係するところだけささっと目を通したところ、長官による却下は確実にあったことが確認できたので、取り急ぎ核心部分だけ先に以下に書いておく。

新たな開示資料にてIT室曰く「長官指摘によってひっくり返った」

資料の写真 資料の写真
図1: 到着した総務省行政管理局の開示資料「行政機関・独法等個人情報保護法の改正等経緯 行政機関個人情報保護法等改正法案(平成27年度) 法制局提出資料・審査録」

この資料は、2016年の行政機関法改正案に係る立案担当部局側の保管文書であり、5月5日の日記「匿名加工情報が非識別加工情報へと無用に改名した事情」で参照した法律案審議録では2016年2月15日以降の文書しか存在しなかったため、「追加の情報公開請求中」としていたもので、箱を開けてみると、2015年4月という最初期からの検討記録であった。大変素晴らしいことに、それぞれの日付ごとに、「法制局説明の模様(未定稿)」というタイトルで、内閣法制局第三部の参事官との議論(議論というよりは、法制局参事官からの一方的な助言という感じだが)の内容が整然と克明に記録されている。

この中で、行政機関法に「匿名加工情報」の制度を取り入れるにあたり、基本法(行政機関法の立場から見ると個人情報保護法は「基本法」と呼ばれる)の「匿名加工情報」はいったいどういう設計になっているのか?という疑問が繰り返し呈されており、当時、国会で基本法改正案の審議が中断されていた6月から8月にかけて、その立案担当部局である「IT室」(内閣官房IT総合戦略室パーソナルデータ班のこと)に対して何度も問い合わせている様子が記録されていた。

先に決定的なところを挙げておくと、2015年9月14日(改正法案成立の直後の時点)の記録に、以下の記載がある。

資料の写真
図2: 2015年9月14日付「法制局説明の模様(未定稿)」

【基本法の考え方の確認(IT室)】
◯: 基本法改正案の次長・長官説明資料について提供依頼があったところだが、お渡ししているものが全て。長官指摘によってひっくり返った後は、長官・次長指摘に対し論点ごとにその都度打ち返したところであり、まとまった資料や逐条的なものはない

このように、「長官指摘によってひっくり返った」と説明されており(この発言者は、IT室の日置参事官補佐)、「提供依頼」があった行政管理局に対して、初期案の法制局説明資料を提供していないことが示唆されている*1。実際、今回の開示資料を確認してみると、例えば、6月12日付*2の行政管理局作成の「内閣法制局御説明資料」の中に、「IT室個人情報保護法改正案説明資料」が添付されているが、初期案の「説明資料」はこれに含められていない。

このことから、やはり、初期案の「説明資料」はキャンセルされているのであって、無効なものと見るべきなのは確定的と言ってよいだろう。

今もなお初期案を信じる人々(JEITAの場合)

次に、そもそも「根強い解釈のブレなど本当にあるのか」という点について、今もなお古い資料に基づく解釈を信じる人々が存在する(先月の時点で)ことを示しておきたい。

まずこの事例を見てもらいたい。今年6月7日(前回の日記の2日後)に開かれた、「放送を巡る諸課題に関する検討会 視聴環境分科会 視聴者プライバシー保護ワーキンググループ」(総務省情報流通行政局放送政策課)の第8回会合の配布資料「視聴履歴等の取扱いに係る検討に対する御意見について(3. 匿名加工情報の取扱い)」に、一般社団法人電子情報技術産業協会(JEITA)の意見として以下のものが載っている。

画面キャプチャ
図3: 視聴者プライバシー保護WGにおけるJEITA意見

JEITAが主張していることは、視聴履歴の匿名加工基準について、履歴データの時刻情報を丸めたり誤差を入れよとしているWG案に対して、反対するものであり、その根拠として、要するに「照合禁止義務があれば容易照合性は消滅するはずじゃなかったのか」ということを言っている。つまり、法制局長官によってボツにされた初期案の考え方に基づいた誤った法解釈をしているわけである。

これに対して示された「本WGの考え方」は明快である。「法で再識別が禁止されていることをもって加工方法の基準を緩和することは、制度趣旨に照らすと適切ではない」としている。

この「本WGの考え方」が言う「さらに再識別の禁止を課しているものであって」との文が言わんとしていることは、つまり、確かに個人情報保護委員会の事務局レポートでも「本人を識別することを禁止する等の制度的な担保がなされていることから」「照合することができる状態にある(すなわち容易照合性がある)とはいえず、個人情報に該当しないとされる」との説明がある(前回の日記の6番目の引用部)けれども、これはあくまでも、「特定の個人を識別することができず、作成の元となった個人情報を復元することができないように加工したものであり、さらに、」に続けて書かれた文なのであって、「さらに」以下を単独で取り上げて解釈するのは制度趣旨に反するとしているわけである。

これがまさに、長官指摘で変更された後の考え方に沿った説明であろう。「本WGの考え方」は総務省電波政策課が書いたものと思われるが、おそらく個人情報保護委員会事務局と調整の上で書かれたものだろう。

面白いのは、JEITAが主張する理由に、「外部観測性はないため、個人の特定につながるリスクが一般にありうるかには疑問」としている点である。すなわち、委員会の事務局レポートでデータを丸めるように言われているのは、位置情報のように外部で観測される(通りすがりの人に目撃されるなどの)性質がある場合であって、そうでなければ提供データから「特定の個人を識別される」ことはないと主張しているわけである。これに対して、「本WGの考え方」は、事務局レポートのその記載は例に過ぎないのであり、「当該情報の本人の行動を外部から直接観察ができるか否かを判断基準と(略)したものではありません。」と指摘している。

私の意見としては、匿名加工情報が「非個人情報」として整理されているからには、提供先で「個人を特定される」ことのリスクのみに着目して加工の基準とするのはダメだという考えだったので、この「本WGの考え方」には安堵するところだが、このことは、要するに、匿名加工情報定義の「特定の個人を識別できないようにし、かつ、復元できないようにしたもの」が、どういう意味で規定されているのかが問われる論点である。その答えも、今回の開示資料で明らかになったのだが、そのことは後で触れる。

今もなお初期案を信じる人々(元委員会事務局上席政策調査員の場合)

次に、これがJEITAが吠えている程度ならまだよかったのだが、深刻なのは、以下の本が出版されてしまった(前回の日記の2日前に発行)ことである。この本は、「個人情報保護委員会事務局 上席政策調査員」の肩書き*3で大角良太氏が執筆したもの*4である。

本の写真
図4:「個人情報保護委員会事務局 上席政策調査員」の肩書きで出版された本

問題箇所は、その44頁、45頁にある。

本の写真 本の写真
図5: 「Q&Aで理解する! パーソナルデータの匿名加工と利活用」44頁〜45頁

ここには以下のことが書かれている。

一方、匿名加工情報を定義している個情法2条9項では単に、個人情報の区分に応じて各号の措置を講じて「特定の個人を識別することができないように個人情報を加工」したものとされているため、個情法2条1項1号のかっこ書きの要件までを考慮することが求められるものではないと解されます。

また、匿名加工情報については、個情法36条で規定される安全管理措置や識別行為の禁止等の制度的な担保があるため、作成された匿名加工情報と元の個人情報との間では、「容易に照合できる状態にない」と解されます。

つまり、個人情報を保有する事業者の内部において容易に照合することができる情報まで考慮して特定の個人を識別することができないように加工する必要があるか否かで、非個人情報にするために必要な加工の程度と匿名加工情報にするために必要な加工の程度が異なるということができるでしょう。

匿名加工情報は、個情法改正の趣旨からも、利用・流通過程における安全性を確保しつつ個人に関する情報の利活用を図る制度であり、個人情報に対して一定の加工及び規律を課した上で第三者提供等を可能とするものです。また、匿名加工情報は、その作成事業者の内部において、匿名加工情報に加工される前の元となる個人情報や加工方法等に関する情報が保存されることが制度的に前提とされています(個情法36◆法

したがって、非個人情報と同様に事業者内部において容易に照合することができる情報まで考慮するのではなく、一般人及び一般の事業者における判断力や理解力を考慮した上で安全性を判断することが妥当であると考えられます。

「2条1項1号のかっこ書き」とはいわゆる容易照合性のことであり、この記述は要するに、「匿名加工情報ということにすれば元データとの容易照合性は法的に消滅する」ということを主張している。前掲のJEITA意見も、これと同じ考え方に基づいたものであろう。前掲の通り、「視聴者プライバシー保護WG」はこのような考え方を「制度趣旨に反する」と一蹴している。

大角氏のこのような見解は、IT室、個人情報保護委員会ともに、これまでに公式には示してこなかったものである。事務局レポートでも、前回の日記で示したように一部に筆が滑った挿入句があったものの*5、ここまで踏み込んだ見解は書かれていなかった。

したがって、大角氏個人の独自の見解と言うべきだが、これは、法制局長官によりボツにされた古い初期案の「説明資料」を読んでこういう理解に陥ったものではないか。

大角氏のご略歴を拝見すると、早稲田大院の理工学研究科(電子情報通信学専攻)を修了され、自動車会社にて知的財産部で知的財産戦略に従事し、ビッグデータの活用企画を担当された後、2015年から特定個人情報保護委員会事務局に出向したとのこと。したがって、IT室が改正法案を巡って内閣法制局と協議した現場には居合わせてはいなかったということだろう。委員会事務局では「匿名加工情報に係る委員会規則やガイドライン等の策定」に携わられたとのことだが、後から個人情報保護委員会にやってきて、ビッグデータ利活用の観点から、仮名化するだけで匿名加工情報ということにしようと尽力されたのだろう。だが、委員会規則にもガイドラインにも、そして事務局レポートにもこんな跳ねた記述はないという事実からして、彼の主張は内部でも受け入れられなかったものと推察される。*6

この本には、冒頭の「はじめに」で、「また、本書のうち意見にわたる部分は個人的見解にすぎず、筆者の所属する組織の公式見解を示すものではない点にご留意ください。」と申し訳程度に1行のエクスキューズが書かれているが、「意見にわたる部分」というけども、上記引用部は、「……と解されます。」との表現が使われており、政府の公式見解に沿った記述であるかのごとく読まれるであろう。

一般に、民間出向者は役人の仕事のやり方をわかっていないことがあり、このような出すぎた出版は、役人や法曹出向者が記事や本を書く際にはあり得ないことだろう。役所のこうした業務では、「決まっていないこと」というのがしばしば存在しているのであって、そこは書かないようにしてこそプロの仕事なのであり、何もかも結論を出して書いてしまおうというのは(外部の人間ではない以上は)素人の仕事と言う他ない。研究者でも公職に置かれたらこのようなことはしない。自分の独自見解と公式に固まっている見解とは分けて記述して然るべきである。こういう出版を許してしまうとは、昨今の霞ヶ関はいささか緩みすぎているのではないか。

そういう本は無視すればよいのだが、読者は表紙に書かれている「個人情報保護委員会事務局 上席政策調査員」との肩書きを見て、これが正解なんだと信じてしまうだろう。匿名加工情報の制度がスタートしつつあるこの段階でこのような状況は危うい。

今もなお初期案を信じる人々(日本経済新聞社の場合)

既に実害が出つつあるかもしれない。日経新聞(本紙と産業新聞)が執拗に誤報を繰り返してきたことについては、「匿名加工情報は何でないか・中編」の冒頭で書いたように、これらはずっと「「名前や住所」を取り除けば匿名加工情報になる」と報じ続けてきた。

その成果があってか、改正法の施行に伴って改定された日本経済新聞社のプライバシーポリシーに、目出度く以下のように記載されたのである。

7. 「匿名加工情報」を第三者に提供することがありますが、氏名や住所などを削除して本人の特定ができないように加工したうえで提供します。

誤報を繰り返しているうちに、自社の法務部門まで騙してしまったようで、甚だお気の毒である。違法な匿名加工情報提供が始まっていなければよいのだが。

ここでも、「本人の特定ができないように」とはいかなる意味なのかが問題となる。改正法は、「特定の個人を識別できない」ことと「復元できないこと」の両方を求めているのに、なぜ、日本経済新聞社の法務部門は、「復元できないように」を欠かして構わないと思うのだろうか。

確かに、「復元できないように」には大した意味はないのではないかというのは、私も以前はそう思っていた。だが、今回の開示資料により、「復元できないように」には重大な意味が含められていたことが判明したので、以下に書いておきたい。

内閣法制局長官が「復元できないように」を加えた意義とは

まず、私のかつての理解(先週までの時点)を書いておくと、こうである。

2条9項の「特定の個人を識別することができないように」は、容易照合による「特定の個人を識別」を含む意味で「できないように」という意味であって、条文上書いてないのは括弧書き部分の省略であると解釈した。これを図解したのが以下である。

説明図
図7: 長官指摘前の個人情報定義と匿名加工情報定義の関係と、長官指摘後の変更

詳しくは前回の日記の通りだが、初期案では、個人情報定義を1号から3号に区分しようとしていた(図7の左)。

2号は現在の個人識別符号相当のものだが、1号は、「当該情報に含まれる氏名、生年月日その他の記述等(…)により特定の個人を識別することができるもの」で、3号は「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」とされていて、要するに、容易照合性の部分を切り分けようとしていた。その上で、匿名加工情報の定義を、個人情報の区分の各号に応じて「措置」を定め、1号については「氏名、生年月日その他の記述等の全部又は一部を削除する(他の情報に置き換えることを含む)」とし、2号については個人識別符号を削除するものとし、3号については何も加工しなくてよい(3号個人情報を「匿名加工情報を除く」と定義し、それに対応する3号措置を設けない)とした。

この案では、匿名加工の加工基準は設けられていなかった。委員会規則への委任はなかったのである。なぜなら、加工方法が単純明快で曖昧性がなかったからである。2号措置が単純なのは現在も同じだが、1号措置が、よく見ると、成立した改正法の1号措置とは異なり、削除(置き換えを含む)の対象が「氏名、生年月日その他の記述等」と書かれていて、これは、情報公開法6条2項の「当該情報のうち、氏名、生年月日その他の特定の個人を識別することができることとなる記述等の部分を除く」に相当するものとなっていた。つまり、情報公開法における部分開示のように*7、氏名等の部分を墨塗りにして出すのと同じ(違いは、墨塗りにする以外に丸める等の変更を許しているところ)であるから、その方法は明快なので、加工基準は必要とされなかったわけだ。

ところが、法制局長官の指摘によってこの案がボツとなり、図7の右の形に変更となった。

個人情報定義を3号までに区分する案もボツとなって、「3号個人情報」だった部分が、1号個人情報へ統合された(水色の矢印)。そして、「1号措置」の内容が微妙に変更され、「特定の個人を識別することができないようにする」の部分が柱書きに移動し(緑の矢印部分)、削除(置き換えを含む)の対象が「氏名、生年月日その他の記述等」ではなく、「当該個人情報に含まれる記述等」に変更されて、それ以外の部分を含む「個人に関する情報」の全域が対象になった。つまりは、個人属性に限らず履歴データをも対象としたあらゆる「置き換え」が想定されるように変更されたわけである。

そして、加工基準を委員会規則に委任する形に変更された。これは、ボツになった初期案とは違って、どのように加工すればよいかを、法律に明確に規定することが不可能だったからである。

そうすると、長官指摘後では、匿名加工情報定義の柱書きにある「特定の個人を識別することができないように」の「特定の個人を識別する」は何を指していることになるのか。

「次の各号に掲げる当該個人情報の区分に応じて……」としているのだから、1号措置については、当然に「1号個人情報」で言われるところの「特定の個人を識別する」を指しているのであって、そうならば、「(他の情報と容易に照合することができ……を含む)」の括弧書きも含んだ意味での「特定の個人を識別する」を意味しているはずだと考えた。

つまりは、匿名加工情報の「特定の個人を識別することができないように」は、容易照合による識別も含めた意味で「できないように」の意味だと解釈するのが自然だろうと考えていた。*8

このことについて、実は以前、委員会事務局の担当者の方と議論させていただいたときに、容易照合による識別は含めていない(法制局でもそう整理されている)と言われたことがあった。そうすると、「照合禁止義務によって容易照合性が解消される」と理解するほかなく、それはまずいでしょうと意見して、議論は平行線となっていた。

前回の日記の時点では、この「特定の個人を識別することができないように」に容易照合による識別が含まれないと解釈するのは、ボツになった長官指摘前の説明資料に基づいているのではないかと推測した。図7の左では、「特定の個人を識別することができないように」は「1号措置」の中に書かれている(緑の部分)から、容易照合による識別を含まないのは明らかだからである。

そして、長官指摘後に加えられた「復元することができないように」(ピンク部分)が何を意味するかは、大した意味はないのだろうと考えていた。

このような私の理解では、匿名加工情報定義の各号措置と、施行規則19条の加工基準の各号との関係は、以下の図の通りであろうと考えていた。

説明図
図8: 匿名加工情報定義の各号措置と施行規則19条の加工基準各号との対応関係(長官指摘前の案での当て嵌めと、長官指摘後での対応関係)

つまり、成立した改正法においては、加工基準の3号、4号、5号は、1号措置を具体化したもの(図8の右)であろうと。容易照合による識別を含めた意味での「特定の個人を識別できないようにし」を1号措置に求めているからこそ、3号、5号の加工基準が1号措置の具体化なのだろうと、そう考えていた。

こうして見ると、なんだか不恰好な形になっており、なぜ「3号措置」を作らなかったのだろうかという違和感がなくもない。また、このような対応関係であれば、わざわざ措置を「1号措置」と「2号措置」に区分する必要もなかった*9のではという疑問も感じる。そこは、長官指摘前の初期案が、図8の左のように、1号措置と2号措置が、加工基準1号と2号にちょうど対応していたことの残骸なのだろうと考えれば、「まあ仕方がないか」と納得することはできる。

ところが、今回の開示資料で、これとは違う整理がされていたことが判明したのである。

以下の図9に示す文書が、2015年4月2日付IT室作成「個人情報の保護に関する法律改正案 改正事項説明資料(抜粋)」として、参考資料の「別紙」に含まれていた。(これは、前回の日記で参照した開示資料(法律案審議録)には含まれていなかった*10ものである。)

資料の写真 資料の写真
図9: 2015年4月2日付「個人情報の保護に関する法律改正案 改正事項説明資料」(抜粋)「匿名加工情報の考え方について(第2条、第4章第2節関連)」

(2) 匿名加工情報の作成等(第37条*11第1項・第2項)

匿名加工情報は、特定の個人を識別することができないこと及び復元することができないことが担保されることによって、個人情報とは別の取扱いが許容されるものであって、その加工が適切なものでなければならない。また、いかなる加工を施せば足りるかについて、定義からは一義的には明らかではないことから、第37条第1項において、匿名加工情報の作成に当たっては個人情報保護委員会規則で定める基準(以下「加工基準」という。)に従うこととする。

また、流通・利活用の過程で特定の個人を識別することとならないよう、加工基準については、匿名加工情報該当性につきその情報の状態から判断し得るものとなるように、また、復元することができないものとするよう、客観的な指標を定めるものとする。

(ア)必要な加工について(第2条第9項各号及び第37条第1号)

特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従った加工とは、第2条第9項各号に定める記述等及び個人識別符号の削除その他の必要な加工をいうところ、具体的には、次の措置を講じる必要がある

‖2条第9項各号に定める措置

氏名、年齢、住所、生年月日等、個人情報に含まれる特定の個人を識別することができる事項を削除し、又は他の記述等に置き換える。
例)(略)

個人識別符号の削除又は他の記述等に置き換える。
例)(略)

復元することができないようにするために必要な加工

(略)

階級区分への変更(グルーピング。なお(略)
例)(略)

特殊な属性をまとめる(トップコーディング)
例)(略)

ノイズの付加
例)(略)

複数者間のレコード間で値を入れ替え、並べ替え

識別しながら扱えるようにしない
例)元データと加工した情報とに共通の識別子を付番しない。

など

なんと、これはつまり、後の施行規則19条のうち、3号、4号、5号は、2条9項各号の措置を具体化したものではなく、2条9項柱書きの要求する「復元することができないようにする」ことを実現するものとして整理されていたということだ。これは、長官の指摘がこういう趣旨だったということなのだろうか。

確かに、2条9項柱書きの「次の各号に掲げる…区分に応じて…各号に定める措置を講じて」の文が、「特定の個人を識別することができないようにし」のみに係っていているのか、「かつ、…復元することができないようにし」にも係っているのかが、どちらともとれそうだが、前者の解釈の方が自然のようにも思える。

前掲の図8の図解を、これに合わせて直すと、以下のようになる。

説明図
図10: 匿名加工情報定義の各号措置と施行規則19条の加工基準各号との対応関係(長官指摘前の案での当て嵌めと、長官指摘後での対応関係)【2015年4月2日付「改正事項説明資料」に基づく】

これは納得できる。そういうことだったのか!

前掲図9の資料には、続く部分で以下のようにも書かれている。

(ウ)個人情報との関係

このように、適切な加工を施すことによって、匿名加工情報は特定の個人を識別することができないものとなり、かつ、作成の元となる個人情報と匿名加工情報との間の対応関係を曖昧化した照合困難なものとなるから、作成の元となる個人情報に復元することができないそのような状態の情報であることから、基本的には、いずれの事業者においても法第2条第1項に定める容易照合性が認められず、本法が保護対象とする「個人情報」とは異なるものとなるそうであるとしても、作成者においては、作成の元となる個人情報が保有され、加工方法が明らかであり、また実際に加工に従事する人間が存在することが通常であることから、なお「容易照合性」があるのではないか、との疑問が呈されるところである。これについては、第38条「識別行為の禁止」義務が課せられ、罰則*12をもって作成の元となる個人情報に係る本人を識別しないことを担保されるものであることから、解釈上、「容易に」照合できるものではないとして「容易照合性」が否定されるものである。

つまり、「復元することができない」は、「作成の元となる個人情報と匿名加工情報との間の対応関係を曖昧化」することによって実現されるもので、作成の元となる個人情報と「照合困難なもの」となるからそうなのだという。

すなわち、元データとの容易照合をなくすような加工を指して、長官は「復元もできないようにしろ」と指示したということか。

このような考え方への言及は、今回の開示資料で、他の日付のものにも繰り返し出てきていた。例えば、2015年8月17日付の「説明資料」には、行政管理局側が作成した文書として、基本法における匿名加工情報定義の解釈が以下のように説明されている。

資料の写真
図11: 2015年8月17日付「匿名加工情報の個人情報該当性について」(行政管理局)

1 規定上(第2条第9項)は、「特定の個人を識別することができないように個人情報を加工」するとは、情報単体で特定個人を識別することができないように個人情報を加工することをいい、「当該個人情報を復元することができないように」するとは、他の情報(作成の元となった個人情報を含む。)と照合しても元の個人情報の一部又は全部を復元することができず、特定個人を識別することができないようにすることをいうと解されている。(別紙1)

なるほど、やはり、「復元できないようにする」の方が、元データとの容易照合をできなくする加工を求めるという解釈だったわけだ。

このように理解すると、前記のように以前に委員会事務局の担当者から「特定の個人を識別することができないようにする」に容易照合による識別は含めていない(法制局でもそう整理されている)と言われたことは、矛盾していない。「復元できないように」の方でカバーされていたわけだ。だが、そのとき、その担当者はなぜそのことを教えてくれなかったのだろうか。

IT室・行政管理局・法制局第三部での混乱

今回の開示資料には、こんな記載もあった。時間を戻して、2015年5月25日付「法制局説明の模様(未定稿)」では、法制局第三部参事官(◎)と行政管理局(●)の会話が以下のように記録されている。

【匿名加工情報の位置付け、範囲】

◎: 基本法における匿名加工情報は非個人情報と言っているが、その位置付けが相変わらずよく分からない。

●: IT室の資料によると、匿名加工情報は、作成元の個人情報との対応関係を曖昧化されたものであり、又、識別行為の禁止義務が課され、罰則をもって本人を識別しないことを担保されるものであることから、解釈上、容易照合性が否定されるとしている。又、現行法下においても匿名加工情報と同様のものを作成することは可能としており、匿名加工情報の作成主体において、加工に関する情報をファイアーウォールなどを設けて厳重に切り離して管理することで、容易照合はできないものと解釈している模様。

◎: それはつまり識別行為の禁止をもって、個人情報であっても照合することにより特定の個人を識別することができないものとしているということか。

●: IT室の説明からするとそうである模様。第2条第9項の解釈について、他の情報との容易照合は加工対象外とのことであり、飽くまでも情報に含まれる氏名等の記述等から直接特定個人を識別できる部分だけが加工対象とのこと。

◎: 第2条第9項では、加工の元になる個人情報には他の情報との容易照合も含まれており、これが加工対象外というのは分からない。

●: そこは確認中。いずれにしても、基本法の考え方をそのまま行個法に持って来ることができるかどうかは検証が必要と考えている。(略)

いろいろと混乱している。1つ目の「●」の冒頭部分は、前掲図9の続き部分に記載されたことと同じことを言っているようだから、2015年4月2日付のIT室整理に基づいた説明を受けたように見えるが、それなのに、「識別行為の禁止をもって……識別することができないものとしているということか」という「◎」の問いに対して「● IT室の説明からするとそうである模様」と答えてしまっている。「他の情報との容易照合は加工対象外とのことであり……」は、長官指摘でボツになった初期案のことを言っているようだし、あるいは、「復元できないように」の部分を欠かしてIT室から説明を受けたのかもしれない。

このことから、ここの考え方が如何に誤解されやすいものであるか、その様子が窺える。

しかし、これに対して「◎」は「これが加工対象外というのは分からない。」と述べており、やはり直感的にそこを加工しないというのはおかしいと法制局には思えるのだろう。

これが、翌週の6月2日付「法制局説明の模様(未定稿)」では、以下のやりとりとなっている。

【匿名加工情報の位置付け】

◎: 基本法改正案第2条第9項の匿名加工情報の定義における「特定の個人を識別」とは、結局どのような意味か。

●: IT室に確認したところ、基本法改正案第2条第9項の「特定の個人を識別」は、他の情報との照合による識別を含まない。つまり、その情報単体から特定の個人を識別できる記述等のみ加工するという意味とのこと。その上で、同項では「当該個人情報を復元することができないようにしたもの」としており、「復元できないように」加工する際に他の情報との容易照合による識別も含めて復元できない状態になっていると解するとのこと。

◎: そうであれば、第2条第9項の匿名加工情報にすることで、識別・復元のできない完全な非個人情報となっており、匿名加工情報の受領者に識別行為の禁止義務をかけることは不要ではないか。この規律を新設した意味が分からない。

●: IT室の説明としては、識別できないようにしても、技術上識別可能性を完全に無くすことは不可能であることから、規律を設けているとしている。

このやり取りでは正しいものになっている。

ところが、6月12日付「内閣法制局御説明資料」に添付された「個人情報保護法改正案における匿名加工情報の概念」とする資料は、再び混乱させる記述を掲載していた。

資料の写真
図12: 2015年6月12日付「内閣法制局御説明資料」に添付された「個人情報保護法改正案における匿名加工情報の概念」

この文書には、基本法における匿名加工情報概念の説明が書かれており、IT室側が作成した文書のように見えるが、前掲図9の4月2日付「改正事項説明資料」とはまた違った説明になっている。しかも文体も違う感じがするので、別の担当者が書いたとかそういったものであろうか。

ここに、「(2)判断基準」の最後の段落で、以下のことが書かれている。

なお、「匿名加工情報」の定義を検討するにあたって、容易照合性を無くすための措置を講じるという観点をもって検討したことは無く、「特定の個人を識別することができない」「復元することができない」という各要件については法制局(二部)においても別の概念として整理している。

これは、行政管理局側からの問い合わせに対して返すために書かれた文書なのだろうか。「容易照合性を無くすための措置を講じるという観点をもって検討したことは無く」としているが、ならば、4月2日付の資料(図9)はいったい何なのか。少なくとも「検討したことがない」というのは誤りであろう。「識別できない」と「復元できない」は「別の概念」だと言っているが、復元の意味を、「復元しようとしても戻ることのないような状態になること」だと言っており、説明になっていない。

そして、その後、8月17日に再びこの「個人情報保護法改正案における匿名加工情報の概念」の文書が、「別紙1 匿名加工情報の定義における「識別」及び「復元」についてのIT室の見解」として添付されるのだが、そこでは、この「検討したことは無く」との段落はカットされていた。

資料の写真
図13: 2015年8月17日付「匿名加工情報の定義における「識別」及び「復元」についてのIT室の見解」

そして、冒頭図2に示した9月14日の会合に至る。図2の続きは以下の会話となっていた。(◯=IT室 日置参事官補佐、◎=法制局第三部参事官、●=行政管理局)

【基本法の考え方の確認(IT室)】

◯: 基本法改正案の次長・長官説明資料について提供依頼があったところだが、お渡ししているものが全て。長官指摘によってひっくり返った後は、長官・次長指摘に対し論点ごとにその都度打ち返したところであり、まとまった資料や逐条的なものはない。

◎: 状況については分かった。こちらの部長説明資料中、基本法の考え方を端々に記載しており(概要P.7※1など)、こちらとしては無邪気に書いているものだが、内容として次長・長官に上がっている説明と整合性がとれているかの確認をしてほしい。こちらから上げていった時に、次長・長官で基本法の考え方はこうではないはずとなってしまうと非常にまずく、基本法も倒れてしまうことになる。

◯: 承知した。そちらの部長説明資料の内容を確認するとともに、次長・長官説明資料については、今一度精査してみる。次長・長官に上げた際の記憶も薄れてきているところだが、一つ言えるのは、長官の認識では匿名加工情報は非個人情報として安全な情報になっているというものであり、識別行為の禁止も本来必要ないものというスタンスのはず。行個法の説明の際にはそのあたりの説明のラインを崩さないことが肝要かと思う。

うはー。ここでこんなにはっきりと忠告されていたのに、まさにそこを崩すことをやってしまい、翌年2月、行政管理局は(というより、法制局第三部はと言うべきだろうか)「行政機関では匿名加工情報は個人情報である(キリッ)」と主張して、長官にちゃぶ台返しされ、泣く泣く名前変更という大迷走に至ることとなったわけである(詳しくは、5月5日の日記「匿名加工情報が非識別加工情報へと無用に改名した事情」の「内閣法制局長官の大どんでん返し」参照)。そこに至る経緯は、今回の開示資料で判明するはずなので、いずれ分析したい。

ともあれ、ここで重要なのは、「長官の認識では匿名加工情報は非個人情報として安全な情報になっているというものであり、識別行為の禁止も本来必要ないものというスタンス」という点である。

IT室では「復元できないように」の解釈を巡って、2つの異なる解説文書が作成されていたようだが、これはどういうことなのだろうか。

次の9月16日の会合では、以下の会話があった。

【基本法の考え方の確認(IT室)】

◎: 匿名加工情報の定義について、「作成に用いた個人情報を復元することができないものであるから、基本的には、新個人情報保護法の「個人情報」とは異なるもの」としているが、復元できないから個人情報ではないという理屈が分からない。復元できないとしても照合して特定の個人を識別できる場合もあるのではないか。かねてからこの復元という言葉の意味するところが曖昧で、この解釈に苦慮してきたのだが、結局「復元」と「照合」の意味するところの包含関係とか重なり具合とか文言上の整理はどうなっているのか。

◯: 「復元」と「照合」の関係については長官のところでも詰められていないところであり、明確には整理していない。

◎: 基本法では保有者にとって容易照合性をなくせば個人情報該当性をなくすことができるが、行個法では、保有者だけでなく、一般人基準で照合できれば個人情報ということになり、保有者である行政機関に照合禁止義務をかけても非個人情報になるわけではないと整理している。そこで復元できないようにするという言葉が一般人基準での照合識別も出来ないようにするという意味を含んでいるということであれば、行個法としても匿名加工情報が基本法と同様に非個人情報であると整理できるわけだが、そのようには解せないのか。

◯: 行個法の整理は分かるが、「復元」と「照合」は別概念。復元できないことが照合識別できないことを完全にカバーしている訳ではない。*13

◎: 現行法においても匿名加工情報と同様の情報を作成し、元データなどを適切に管理すれば、非個人情報として自由に利活用できるはず。そう考えると照合禁止の義務といった新たな義務は必要ないと考えられ、今回の改正は規制の強化ということか。

◯: 容易照合性をなくして非個人情報化する際の基準やルールが曖昧であったところを、今回の改正で明確化したものであり、実際上は規制強化の面があるのは確かであるが、対外的にはあまりそういう説明はしたくないところ。

◎: 考え方は分かった。(略)

さらに次の9月17日の会合では、以下の会話があった。

【個人情報と匿名加工情報の重複】(IT室)

◎: 「個人情報保護委員会規則で定める基準による適切な加工を施すことによって、特定の個人を識別することができないものになると想定される」とあるが、加工の基準に従えば特定の個人を識別できないものなると言っているのはなぜか。説明が飛躍しており、別紙3の本文上は行個法の説明をメインにして基本法の考え方をなんとなくふわっと書くことで切り抜けられても、別紙3参考2において、基本法の整理を詳細に書くことを避けられない。

考えるに、復元できないが他の情報と照合して特定の個人を識別できる領域をどう捉えるかについては、
”元できないが照合識別できるという領域は概念上あり得ない。
復元できないが照合識別できるという領域は概念上あり得るが、非常に限定的であり、かつ、強い加工基準を設ける予定なので、そのような領域が実際に出てくることは予定していない。
復元できないが照合識別できるという領域は概念上あり得るが、実態としてそのようなものは想定されない。
という3つの方向(あるいは、△鉢は排他的でないため、及び)の説明があり得ると思うが、どのラインが望ましいのか。

◯: 少なくとも、概念上は、復元できないとしても照合識別しようと思えば出来る領域はあると考える。ただ、一般人が入手可能な情報をどう捉えるかということがあり、昨今ではSNS上の情報などインターネット等を通じて入手できる情報が拡大しており、これらとの関係も踏まえて説明の言葉を選ばないといけないと思う。

前回説明したように、復元と照合識別との概念の整理はこれまで明確にはしてこなかったところであり、指摘は分かるが、この辺りを整理するに当たっては、非常に微妙な言葉のニュアンスの選択が必要で、それ次第では事業者が暴れることも想定され、加工基準の設定にも影響を及ぼしかねない。非常にセンシティブなものであるので、今ここでどういう説明のラインにしてどういう言葉を選ぶかは決めかねる。持ち帰って検討したい。

◎: 取りあえず分かった。行個法の部分の必要な修正は管理局で案を作るとして、基本法の部分についてはIT室において作成してほしい。

おそらく、基本法は保有者基準で容易照合性をなくせば良いわけで、復元と照合識別との差分についても識別禁止義務をかけることでクリアできることから、長官もその部分を詰める実益がないと判断して特にこれまで整理を要されなかったのではないか。

いずれにしろ基本法ではこれまで整理してこなかった部分について今回整理するわけだから時間を要しそう。

なるほど、この頃は業界の圧力がかかっていたのだろうか。そうすると、IT室の一部は、長官が「ひっくり返した」方針に逆らった解釈を導き出そうとしていたのではないか。

その後の展開

結局、その年の12月に出版された、立案担当者らによる解説書「一問一答 平成27年改正個人情報保護法」(瓜生和久編著, 商事法務)は、「復元することができない」の意味を以下のように説明した。

Q24 匿名加工情報の要件である「特定の個人を識別することができない」、「復元することができない」とは、どのようなことですか。

A 1 匿名加工情報は、個人情報を加工して、‘団蠅慮朕佑鮗永未垢襪海箸できず、当該個人情報を復元することができないようにしたものです。

この「特定の個人を識別することができない」とは、「個人情報」(第2条第1項)の「特定の個人を識別することができる」という要件をいわば反対から捉えたもので、加工後の情報から、当該情報と具体的な人物との一致を認めるに至り得ないことを言います(Q7参照)。

また、「復元することができない」とは、匿名加工情報の作成の元となった個人情報に含まれていた、特定の個人を識別することとなる記述等や個人識別符号の内容を特定し、元の個人情報へと戻すことができないような状態にすることをいいます。

2 この2つの要件を満たしているかどうかの判断は、通常人の能力等では特定の個人を識別することができず、また、元の個人情報に復元することができない程度を基準とするものであり、あらゆる手法によって特定や復元を試みたとしてもできないというように、技術的側面から全ての可能性を排除することまでを求めるものではありません。

3 なお、(略)

これはほとんど何も言っていないに等しい。我々としては、公式な解説として目にしたのはこれが初だったから、これを信じる他ないわけで、このように書かれると、ほとんど意味のない規定で、何らかのよくわからない経緯で入ったのだろうなあとしか思わなかった。しかし、今回の開示資料を踏まえた上記の理解を前提にすると見えてくるものがある。

まず、前掲図9の続き部分に記載されていた「作成の元となる個人情報と匿名加工情報との間の対応関係を曖昧化した照合困難なもの」とすることが「復元することができないようにする」の意味だとした解釈は、ここには書かれていない。図9の文書は取り消されたのだろうか。

しかし、よく読んでみると、それを含む意味で書かれているとも読めなくもない。つまり、作成者において、「特定の個人を識別することとなる記述等や個人識別符号の内容を特定し、元の個人情報へと戻すことができないような状態にする」(瓜生編)ためには、「作成の元となる個人情報と匿名加工情報との間の対応関係を曖昧化した照合困難なもの」(図9)とすることが有効であることに違いないと言え、それを明示してはいないが暗に想定しているとも理解できる。少なくとも、それを排除しているとは読めないだろう。

これはおそらく、法制局長官の「ひっくり返し」がある一方で、業界からの圧力か何かもあったのか、図9の文書の整理があるとはいえ、結局は決めかねてしまい、このようなどちらとも取れる薄い記載にあえて落としたということなのだろう。

そして、個人情報保護委員会のガイドラインでは、この部分が以下のように説明された。

なお、法において「特定の個人を識別することができる」とは、情報単体又は複数の情報を組み合わせて保存されているものから社会通念上そのように判断できるものをいい、一般人の判断力又は理解力をもって生存する具体的な人物と情報の間に同一性を認めるに至ることができるかどうかによるものである。匿名加工情報に求められる「特定の個人を識別することができない」という要件は、あらゆる手法によって特定することができないよう技術的側面から全ての可能性を排除することまでを求めるものではなく、少なくとも、一般人及び一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者又は匿名加工情報取扱事業者が通常の方法により特定できないような状態にすることを求めるものである。

また、「当該個人情報を復元することができないようにしたもの」とは、通常の方法では、匿名加工情報から匿名加工情報の作成の元となった個人情報に含まれていた特定の個人を識別することとなる記述等又は個人識別符号の内容を特定すること等により、匿名加工情報を個人情報に戻すことができない状態にすることをいう。

「当該個人情報を復元することができないようにしたもの」という要件は、あらゆる手法によって復元することができないよう技術的側面から全ての可能性を排除することまでを求めるものではなく、少なくとも、一般人及び一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者又は匿名加工情報取扱事業者が通常の方法により復元できないような状態にすることを求めるものである。

これも、前掲の瓜生編Q&Aと同じことが書かれている。ガイドラインでも詳細な記載を避けたということだろう。両者の違いを見ると、「の内容を特定し」だったところが「の内容を特定すること等により」と改められており、「等」が付けられているから、さらに言外のことを想定している余地を残したことになる。

そして、それに対し、先月出版された前掲の大角氏の著書は、この「復元することができないように」の解釈でもまた随分と踏み込んだことを書いてしまっている。

本の写真 本の写真
図14: 「Q&Aで理解する! パーソナルデータの匿名加工と利活用」27頁〜28頁

2 「復元することができない」が意味すること

 嵒元することができない」の解釈

「復元することができない」の解釈については、個情法ガイドライン(匿名加工編)2-1で次のように記載れています。

(略)

また、同ガイドラインによれば、(略)と説明されています。

後述する個情法36条5項、38条では、匿名加工情報を他の情報と照合して本人を特定することを「識別」と表現しているため、このような行為と「復元」とは明確に区別されることになります。

したがって「復元」とは、あくまでも個人情報から匿名加工情報に加工する具体的な加工方法(加工に用いた手法やパラメータ等)を特定して、加工後の情報から加工方法を逆向きにたどることによって元の個人情報に戻すことをいうと解されます。

例えば、氏名をあるハッシュ関数を用いて別の文字列に変換したものを含む匿名加工情報がある場合に、用いたハッシュ関数を特定するとともに、繰り返しの試行などによって変換された文字列の元となった氏名を特定できた場合は、「復元」に該当すると考えられます。

一方、性別の情報が削除された匿名加工情報に含まれる購買履歴に化粧品の購入が多いことから、元の個人情報に係る本人が女性であることを特定したとしても、加工方法を特定しているものではありませんから、「復元」には該当しないと解されます。

表面上、特定の個人を識別できないようになっていればよいわけではなく、単純な記述等の置換えを防いで、匿名加工情報としての安全性をより高めるために規定されているといえるでしょう。

これはいったいどこに根拠があるのだろうか。このような意味での「復元」もできないようにしなければならないのはその通り*14だろうが、「あくまでも」このようなものの「ことをいうと解されます」と書いてしまっており、これでは、それが全てだという意味になってしまう。

「単純な記述等の置換えを防いで(略)安全性をより高めるために規定されている」というのは、法制局長官に聞いてきたのか? 「具体的な加工方法」を特定することだとか、「加工方法を逆向きにたどることによって」だとか、法律に疎い技術者が字面だけで条文を読むときにやりがちな希望的読解(私も経験がある)でしかないのではないのか。

大角氏は、委員会の事務局レポートの作成にも携わったはずで、このような記載が事務局レポートにはない事実からすれば、彼のこのような主張は、委員会内に出されるも却下されたものと見るべきだろう。

ここで気づいたが、これはもしや、2条9項各号にある括弧書き「(……を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)」の「復元」と混同しているのではないか。こちらの復元は、確かに、「加工する具体的な加工方法(加工に用いた手法やパラメータ等)を特定して」「加工方法を逆向きにたどることによって」といったことを想定して、「単純な記述等の置換えを防いで、匿名加工情報としての安全性をより高めるために規定されている」ものと言える。だが、こちらは条文上、「復元することのできる規則性を有しない方法」でひと塊りの概念なのであり、「復元」という字面の共通性だけで、2条9項柱書きの「復元することができないように」も同じだとみなすのは論外だろう。

まとめとつづき

というわけで、以上のように、今もなお初期案を信じる人々がいる一方、再識別が禁止されていることをもって加工方法の基準を緩和することは制度趣旨に反するという公式見解は固まってきている。

それでもなお、「識別することができないように」あるいは「復元することができないように」が、「作成の元となる個人情報と匿名加工情報との間の対応関係を曖昧化した照合困難なもの」(※1)を求めているのだという解釈は、一度は内部で文書化されたものの、公式には出てきていないわけであり、そこの事情を汲みつつ、今後ここの解釈の明確化を図っていく必要があろう。

その際にどうやら障害となっているらしいのが、「仮ID」の問題である。事務局レポートによると、元データとの対応表を残した仮IDを匿名加工情報に付けたまま第三者に提供することを認めてしまっており、これを許すために、「※1」を要件とするわけにはいかないという事情があるように見える。

しかし、匿名加工情報(の提供時)に「仮ID」は不要なのであり、「仮ID」を許すべきではなかった。この論点について、次の「後編の3」で書く。

*1 なお、この前の会合(9月9日)で、法制局第三部の参事官が、行政管理局に対して、「今回参考資料として基本法の長官・次長説明資料の一部を付けてもらっているが、これが全体とは思えないので、改めてIT室に発注すること。」と指示していた記録があり、9月14日のこのやりとりはそれを受けてのものと思われる。

*2 ここは9月9日付の「参考資料」を確認するべきところだが、今手元にないので、後日確認する。

*3 その後、任期を終えて親元へ帰任され、現在はこの職にないようである。

*4 もう一人の著者は(技術的な部分以外は)ほとんど関与していないものと推察する。

*5 前回の日記の6番目の引用部で強調表示した部分がそれ。これが挿入されたのも、事務局レポートの完成が近づいている最終段階で、この大角氏が入れたものだというチクリ情報が入ってきている。

*6 もしくは、彼の中では、自分の書いていることは、ガイドラインや事務局レポートに記載された公式見解と同じだと思っているのかもしれない。つまり、前掲のJEITA意見でもそうだったように、「Xであり、さらにYであることから、Zである。」という文のニュアンスを読み取れておらず、Xを飛ばして「YならばZ」とだけ書いても同じことを言っているのだと、彼の中で信じて疑わない状態である可能性も考えられる。

*7 なお、情報公開法の部分開示規定では、このような部分を除く措置をしても、なお、「公にしても、個人の権利利益が害されるおそれがないと認められる」に至らない場合には、開示してはならないことになっているのであり、常に墨塗りで出せるわけではないことに注意。

*8 ちなみに、同様の考え方は、今回の開示資料中で、行政管理局側の発言として出てきている。2015年8月19日付「法制局説明の模様(未定稿)」には、以下のように、行政機関法14条(保有個人情報の開示義務)の不開示情報の2号(開示請求者以外の個人に関する情報)に係る規定を挙げている。そこに「又は開示請求者以外の特定の個人を識別することはできないが」とある部分が、照合による識別に触れていないのが、暗黙的に含むものと捉えていることを指摘しているものと思われる。なお、これに対して法制局第三部参事官は、ただでさえ曖昧なのだからとして、採用できない旨の助言をしている。

行個法第14条第2号における「識別」には他の情報との照合による識別も含むと解するべきと考えられるところ、行個法における匿名加工情報の定義についても、「特定の個人を識別することができないように個人情報を加工」と規定すれば、当該定義中の「識別」に他の情報との照合による識別も含むこととなると考えられないか。

*9 2号措置の個人識別符号の削除(置き換えを含む)は単純なので、1号措置とまとめてしまう方が自然な規定ぶりではないか。

*10 法律案審議録には、国会提出の時点までしか収録されていない。

*11 成立した法では、36条のこと。

*12 間接罰のこと(委員会の命令に従わなかったときの罰則)であろうか。

*13 これは、照合による識別に「容易に」要件のない行政機関法において、「復元できない」においてもそのような差があるのかという論点であり、そのような差は明確には設けられていないから不明だけども、もし、「復元」にも同様の差があるとすれば、基本法で「復元できないように」を満たす加工が行政機関法では「復元できないように」なったとは言えないことになるかもしれないから、そういう意味で「完全にカバーしている訳ではない」と答えたものと思われる。(基本法において「完全にカバーしている訳ではない」と言っているわけではないことに注意。)

*14 前回の日記の図11に掲載した初期案の説明資料「個人情報と匿名加工情報(仮称)の関係性について」では、「個人情報に復元する」の例として、「措置を講じた者の加工方法を入手し、元となった個人情報に含まれていた削除された記述等の削除アルゴリズムを解析し、削除された記述等を復元した。」が示されていたわけで、これと同じことを指しているつもりなのかもしれない。だが、長官指摘後の変更で導入された「復元できないようにする」がこのことのみを指しているとは限らない。

本日のリンク元 TrackBack(0)

2017年06月04日

匿名加工情報は何でないか・後編(保護法改正はどうなった その7)

このシリーズではこれまでに以下のことを書いてきた。

「後編で書くつもりだ」と「中編」で予告していたのは以下のことだった。

これをどう理解するか。「匿名加工情報にすれば(容易照合性が否定されて)個人情報でなくなる」という意味なのか。そうだとすると、「個人情報である限りは匿名加工情報になり得ない」というわけではなく、加工したものが元データとの照合により依然として個人情報に当たるものであっても、匿名加工情報に該当することにしてしまえば、再識別が法的に禁止される(改正後36条5項)ことから、容易照合性が消滅して、個人情報に当たらないことになる……と、そういう意味なのか。

当時、何人もの有識者(私が知る限り少なくとも5人)がそんな解釈はあり得ないと反発した。これまでの個人情報定義にあった「照合することができ」というのは、データの性質あるいは状態を言う要件であるはずなのに、法律で禁止されることがその該当・非該当に影響を及ぼすというのは、法解釈論上あり得ないという反発だった。

一方で、そのような解釈を導入せざるを得ない事情も理解できる面がある。この論点をどう整理すれば決着するかは、そう簡単なことではない。私には理屈の見通しがあるが、それについては本シリーズの「後編」で書くつもりだ。

以上で結論は出ていると思うのだが、こうした論点が、12月に出版された文献1には書かれていない。文献1の匿名加工情報に関する記載内容は、無難なところをさらっと述べているだけで、肝心のことが書かれていない。これは、担当室の方々も整理しきれていないためではないかと推察する。

その原因は、先に示した、本シリーズ「後編」で検討する予定の、「匿名加工情報は、そもそも、作成に用いた個人情報と照合することが禁止されておりますので、容易照合性は認められないと私どもは解釈しております。」をどう整理するかが決着していないためであろう。

「後編」では、この論点を整理し、「k=1の仮名化」*1は匿名加工情報となり得ないという結論の妥当性の理由付けを提案する。また、そもそもこのような結論の解釈とすることでよかったのか、振り返って私見を述べようと思う。

これから1年以上が経過し、この間に、行政機関法の改正があり、施行令・施行規則・ガイドライン・Q&Aが固まるとともに、個人情報保護委員会「事務局レポート」なるものが出てきた。そして、こちらではJILISを設立し、内閣法制局の法律案審議録を情報公開請求して、その内容を分析した。今になってようやく考えがまとまったので、満を持してここに書く。

資料の写真
図1: 内閣法制局の開示文書「法律案審議録 個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案(平成27法律65)」

目次

問題の所在

問題の論点は、ビジネス法務2016年11月号の記事*2で以下のように整理した。

ここで、「匿名加工情報は非個人情報である」がどういう意味なのかが論点となる。「非個人情報でない限り匿名加工情報となり得ない」の意味(A説)なのか、「匿名加工情報に加工すれば非個人情報ということになる」の意味(B説)なのか。

2条9項の定義は、前記の△猟未蝓崙団蠅慮朕佑鮗永未任ないように加工したもの」としており、その意味は前記の通り個人情報定義を「反対から捉えたもの」であるから、A説が自然な解釈と思える。これに対し、B説は、36条5項及び38条の識別行為の禁止義務の存在によって、非個人情報の範囲が拡大するとする。すなわち、個人情報の定義が「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」(2条1項1号)とされているところ、照合禁止の義務の存在によって、「照合することができ」が否定され、非個人情報となるというのである。

B説をとると、極端な場合、氏名等を削除しただけのいわゆる「仮名化」を施しただけでも、匿名加工情報となり得て、非個人情報化できることを意味する。この場合、この制度は規制緩和をするものということになる。

しかし、この説に対しては批判がある。個人情報定義の容易照合性は情報の性質に関する要件であるのに、行為の制限によって該当性が変わるという解釈は無理があるとする批判である。また、第三者提供するに当たり匿名加工情報を作成するときは、36条5項の「自ら当該匿名加工情報を取り扱うに当たっては」に該当せず、照合禁止の義務は課されていないとの指摘もでき、この解釈をとる場合は、B説はとり得ない。

高木浩光, 匿名加工情報の制度概要と匿名加工基準の規則案, ビジネス法務16巻11号, 17頁, 2016年10月

政府がB説の立場をとっているのではないかとの推測は、2015年3月10日の衆議院予算委員会第一分科会での向井治紀内閣審議官の以下の答弁から窺われるものだった。

○向井政府参考人 お答えいたします。

匿名加工情報は、先ほども申しましたが、特定の個人を識別することができず、復元することができないように加工する。一方、さらに、当該事業者も含めて、他の情報と照合して再特定化することを禁止しているというところでございます。

したがいまして、匿名加工情報は、そもそも、作成に用いた個人情報と照合することが禁止されておりますので、容易照合性は認められないと私どもは解釈しております。

したがいまして、この匿名加工情報におきましては、容易照合性の問題は生じず、個人情報には当たらないというふうに考えてございます。

第189回国会会議録 平成27年3月10日 衆議院予算委員会第一分科会第1号

この答弁は、法案が国会に提出された後、内閣委員会に付託(4月23日)される前の段階(3月10日)で予算委員会で質問されたもので、本番の審議ではなかった。3月28日には、情報法制研究会の第1回シンポジウムの席で、この答弁について「照合を法律で禁止すれば、定義中の「照合することができ」が否定されるのか?」と疑問を呈していた。その後、第三者提供時の確認記録義務も酷いことになっているとわかり、審議入り直後の5月11日、向井審議官らと協議する時間を頂き、鈴木正朝先生と共に、「照合の法的禁止によって定義の該当性が変わるというのは法解釈上あり得ない」ということを強く申し伝えた。それが功奏したのかわからなかったが、結局、審議入りしてからは、衆議院でも参議院でもこれに類する答弁は出てこなかった。このことは、まとめておいた「国会会議録から重要部分を抜粋」で確認できる。

当時、私がここを問題にするとき、何のためにそれを言っているかは、建前上、「このままでは規制緩和にならない」という立場だった。つまり、条文を修正しなければ、これまで非個人情報だったものしか匿名加工情報となり得ないから、経済界からの要望に応えたことにならないのではないかというもので、条文の修正案(前編に掲載)も示していた*3

ただ、今になって告白すれば、それは本気で言っていたかというと、やや心にもないことを言っていたかもしれない。元はと言えば、パーソナルデータ検討会の第2回会合で鈴木正朝委員が提出した資料で「モデル2- 廚函屮皀妊2-◆廚領省を示したのは、本当は「モデル2- 廚世韻鯒Г瓩襪戮と思いつつも、個人情報保護法の改正に政府を動かすには、規制緩和の名目が必要であり、そのためには「モデル2-◆廖焚礁床修里澆把鷆_椎修箸垢襦砲鯀択肢に残さざるを得なかったのであり、法案が出たタイミングでも、その空気を維持していたのであった。

法案が国会提出される前の段階では、「仮名化のみで提供可能とする」案もしかたないと思っていた。ただ、無条件に許すのは危険すぎると考え、医学研究の分野など一部に限って認めることとし、匿名加工基準の委員会規則で、提供主体や利用目的によって基準を場合分けすればよいという構想を持っていた。このことは中編の脚注9でも書いている。

それが、条文の修正が絶望的となり、原案のまま改正法の成立が確実となると、今度は、「仮名化では匿名加工情報にならない。なぜなら、条文がそうなっているから。」という立場をとるように、私自身、変容して行った*4。鈴木正朝先生は、改正法が成立する直前の2015年8月の時点で、仮名化しただけでは個人情報であり(場合もあり)匿名加工情報とならないことについて確認する質問を、第15回行政法研究フォーラムの席でIT総合戦略室の瓜生参事官に投げかけ、その通りとする回答を得た。この話は中編で書いたところである。

その後、有識者の会合(経産省の「匿名加工情報作成マニュアル」ほか)でも、仮名化で良しとはせず、データの中身を加工することの重要性が確認されたし、改組されて活動を開始した個人情報保護委員会も、データの中身を加工することを求める施行規則19条5号を規定し、「事務局レポート」でもそういったことを書いている。

結果として、今日では、仮名化しただけでは(必ずしも)匿名加工情報とはならないという共通認識は確立されつつあると言え、めでたしめでたしであるのだが、前掲の「B説」の法解釈は、これをいつでもひっくり返しかねない力を持っている。「照合禁止義務があるから容易照合性は問われない」という法解釈なのだから、これが政府説だとなれば、仮名化しただけでも常に匿名加工情報ということにもできてしまう。このことは脅威であった。

その点、B説が公式に登場したのは前掲の本番審議前の向井答弁のみであり、後の施行令・施行規則・ガイドライン・Q&Aのいずれでも、この解釈が示されなかった(B解釈ともA解釈とも示されず)。

2015年12月に出版された、瓜生和久編著『一問一答 平成27年改正個人情報保護法』(商事法務)では、これに近い記載があったが、以下の文章になっており、「本人を識別することを禁止する等の制度的な担保」は、あくまでも「さらに」と補足的に書かれており、これ単独で非個人情報化が達成されるとまでは言っておらず、これはB説のことを言っているわけではない(B説になってしまうことを避けたもの)と私は理解している。

(注1)匿名加工情報を作成した事業者は、その作成に用いた個人情報を保有しており、第2条第1項括弧書のいわゆる「容易照合性」(Q8参照)があることから、作成した匿名加工情報は個人情報に該当し、個人情報の取扱いに関する各義務(第4章第1節)を守らなければならないのではないかとの懸念が想定されます。

匿名加工情報は、特定の個人を識別することができず、作成の元となった個人情報を復元することができないように加工したものでありさらに、個人情報の本人を識別することを禁止する等の制度的な担保がなされていることから、作成の元となった個人情報を通常の業務における一般的な方法で照合することができる状態にあるとはいえず、個人情報に該当しないとするものです。

したがって、匿名加工情報を作成した事業者がこれを当該事業者内部で取り扱うに当たっても、匿名加工情報の取扱いに関する義務(第36条)を守っていただくことで自由な利活用が認められることとなります。

瓜生和久編著, 一問一答 平成27年改正個人情報保護法, 商事法務, 49頁

このような、「Xであり、さらにYであることから、Zである。」という文は、「Xであることから、Zである。」という文ではない以上、「Yであることから」にも一定の効果があると読むのが一般人の人情である(そうでないなら普通、Yについて書かないのだから)が、霞ヶ関文学では、Yに何の効果もない場合であっても、「Xであり、さらにYであることから、Zである。」という文自体は誤りではないということになるのであり、様々な配慮の結果あえてこう書かれたもの(決め切れずに誤魔化した)として読むべきものだろう。

ところが、今年2月に公表された個人情報保護委員会事務局レポート「匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」では、以下の文章が記載されてしまった。一見、上の瓜生編「一問一答」の記述と同じに見えるが、強調部が異なっている。

3.4.2 容易照合性との関係

匿名加工情報を作成した事業者は、その作成に用いた個人情報を保有しており、また、当該個人情報を匿名加工する方法に関する情報として匿名加工情報と元の個人情報との対応関係を示す対応表等を保有し得るが、この個人情報や対応表について法第2条第1項第1号括弧書のいわゆる「容易照合性」があるとして、作成した匿名加工情報は個人情報に該当し、個人情報の取扱いに関する各義務(法第4章第1節)を守らなければならないのではないか、との懸念が想定される。

匿名加工情報は、特定の個人を識別することができず、作成の元となった個人情報を復元することができ ないように加工したものであり、さらに、個人情報に係る本人を識別することを禁止する等の制度的な担保がなされていることから、作成の元となった個人情報を通常の業務における一般的な方法で照合することができる状態にある(すなわち容易照合性がある)とはいえず、個人情報に該当しないとされるものである。

したがって、匿名加工情報を作成した事業者がこれを当該事業者内部で取り扱うに当たっても、匿名加工情報の取扱いに関する義務(法第36条)を守ることにより自由な利活用が認められることとなる。

個人情報保護委員会事務局レポート, 匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて, 2017年2月

瓜生編「一問一答」が言及していなかった「対応表」に言及している。これは瓜生編「一問一答」とは決定的な違いをもたらす。前記の「Xであり、さらにYであることから、Zである。」の「さらにYであることから」に何ら効果がなくても云々という理屈は、この文章では通用しない。なぜなら、「対応表」について、「Xであり」の部分(すなわち「特定の個人を識別することができず、作成の元となった個人情報を復元することができないように加工したものであり」の部分)は効果を持たないからである。「対応表」があるのに容易照合性がなくなるというのは、もはや「Yであることから」の部分(すなわち「本人を識別することを禁止する等の制度的な担保がなされていることから」の部分)のみによって実現されているという意味になるのであり、これは完全にB説を主張していることになる。

私はこれを見た瞬間、「嗚呼、敗北だ」と項垂れた。

だが、そのころちょうど、情報公開請求で開示された法律案審議録(12月末に開示された)の解読を進めていたことから、これは「事務局レポート」の誤りであるという結論を導きつつあった。さらに、4月に開示された行政機関法改正法案の法律案審議録の解読(前々回の日記「匿名加工情報が非識別加工情報へと無用に改名した事情」参照)と合わせて、それは確信に変わった。

というわけで、以下、法律案審議録を日付の古いものから順に見ていくことで、どのような過程を経てこうなっているのかを辿り、事務局レポートの記述が政府見解として誤りであることを指摘する。

最初の案で技術検討WG報告書に沿いつつも既に変容していた

まず最初は、制度改正大綱が決定された(2014年6月24日)直後の7月22日付の「論点表」である。図2の2枚目の写真に「【論点11】定義、義務(低減データ)【新設】」とあり、以下のことが書かれているのだが、そこに手書きメモで興味深いことが記されている。

資料の写真 資料の写真
図2: 2014年7月22日付「別紙論点表」の「【論点11】定義、義務(低減データ)【新設】」(右)

(略)具体的には、個人データ等を個人の特定性を低減すべく加工して作成したデータ(個人特定性低減データ)の定義や加工に関する規律を定め、さらに、同データの取扱いに関する規律を定めることを検討しているが、その際、個人特定性低減データの定義自体の明確性や、「適正な加工」という概念の明確性が問題となる。

(略)このような個人特定性低減データの取扱いについては、法第4章第1節の義務の適用がないものとして整理したいと考えているが、そのために適用除外等の規定を置くことの可否が問題となる。なお、その前提として、「個人データ」と「個人特定性低減データ」の関係を整理した上、「個人特定性低減データ」は本来「個人データ」の一部として法が適用されるものであるところ適用除外規程を置くこととするのか、本来「個人データ」に当たらず法の適用を受けないが、注意的に規定を置くこととするのかなど、法制的な整理をすることが必要であると考えている。

これに対して、手書きメモは、「特定はできるが、低い、というイミが分らない。」「個人情報なら、何故それだけは規制*5ゆるいのかの説明がつかない」「個人情報に当たらないだけではない*6 適用除外とするのはおかしい」「そもそもの個人情報の定ギの問題ではないか?」とコメントしている。

こうした手書きメモは、法制局側から出た意見を立案省庁側(この場合は内閣官房IT総合戦略室)がメモしたもので、この段階では、法制局側は参事官以下による対応だったと思われる。つまり、初っ端で、法制局参事官以下の意見により、原案の「個人情報だが提供できるものとする」の形が否定され、「個人情報に当たらないので提供が制限されない」という方向へと舵が切られたわけだ。

次は、以下の図3に示す、その次のタイミングで法制局に提出されたと思われる具体案の文書である。

文書に日付がなく、作成日が不明だが、2015年に出版された第二東京弁護士会情報公開・個人情報保護委員会編著「Q&A改正個人情報法保護法」(新日本法規)(IT総合戦略室に情報公開請求して開示された資料を基に、早い段階でこの改正法を解説した意欲的な本)には、その冒頭に「開示対象資料一覧」として、文書名と「内閣法制局への提出日時」が記載されていることから、これと照らし合わせることで、図3の文書の日付を推定することができる。同じ文書名のものが「2014/9/22」と記載されていることから、内閣法制局への提出日としては9月22日付と推定できる。

なお、この第二東京弁護士会が情報公開請求したもの(以下「二弁開示資料」)は、内閣法制局が文書管理している「法律案審議録」ではなく(2015年の時点ではまだ法律案審議録の形に整理されていなかったと思われる。)、請求文書名が「個人情報保護法改正(2015年)に関する内閣法制局への全条文に関するご説明資料の最終版(改正部分が全てわかる資料)」というものだったので、今回開示された法律案審議録より少ない文書量になっている。私も、この二弁開示資料と同じ文書を別途新潟大学法学部情報法研究室が請求したもの(中編では文献5として参照している。)を昨年入手しており、この差分を確認できるのだが、二弁開示資料には条文案や法制局指摘事項の手書きコメントは含まれていない。

さて、その図3は、「匿名加工データ(仮)(第2条第7項関係)」と題した全15頁の文書の一部である。

資料の写真 資料の写真 資料の写真 資料の写真 資料の写真 資料の写真 資料の写真 資料の写真 資料の写真 資料の写真
図3: 2014年9月22日付(推定)「匿名加工データ(仮)(第2条第7項関係)」(抜粋)

何が書かれているかというと、最初に「I 改正の背景・経緯」として、1枚目の写真のページの後半から「2 匿名加工データの概念について」として、特定の個人が識別されるリスクを3つの類型に分類し、それぞれのリスクを減じる方法が検討されている。(2枚目の写真のページ)

,離螢好は、「データから直接特定の個人が識別されるリスク(氏名、生年月日、住所等の項目から特定の個人が識別されるリスク)」とされ、それらを「特定の個人を識別することができないような状態とする」ことが有効であるとしている。

△離螢好は、「(共通サービスのユーザID等の識別子を用いて)機械的に個人の識別子又は識別子相当のものによる複数の情報とマッチングがなされ、その結果特定の個人が識別されるリスク」とされ、「法第2条第1項第2号に係る情報(識別子)や、これと同じく個人を識別する情報(例えば、パスポート番号やクレジットカード番号)」を削除することが有効であるとしている。なお、この「法第2条第1項第2号」は、後の「個人識別符号」相当のものを指している。

そして、のリスクは、「データの受領者の知識に依存して個別的に特定の個人が識別されるリスク(受領者が保有している情報又は取得可能な情報(私人又は行政が発信し、公開されている情報を含む。)との照合等によって個人が特定されるリスク)」であり、このリスクを減じる方法として以下が有効だとしている。

について

世界に一つしかないような珍しい商品を購入した記録や、詳細な行動履歴のように、特徴的な属性を有する情報については、氏名等によって特定の個人を識別することができる情報に付属する情報と照合するこ とによって個人を特定することが可能である。また、取引関係がある等データのやり取り以外に提供者・受領者の間で関係がある場合、両者が保有するデータに共通する項目、内容が含まれていることが考えられ、その場合には共通するデータから特定の個人を識別することができる情報と照合することによって特定の個人を識別する可能性がある。

同リスクを回避するためには、提供者と受領者で共有する情報について削除する、詳細な情報を一定程度丸める、他の情報を付加等するなどの措置をデータの状態等に応じて複数併せて講じることが有効である。

「匿名加工データ(仮)(第2条第7項関係)」, 2014年9月22日付(推定)

が言っていることは、提供先での照合であり、民間部門の個人情報定義が言ういわゆる「容易照合性」の範囲を超えたものである。「私人又は行政が発信し、公開されている情報を含む。」といったものとの照合は、公的部門の散在情報としての個人情報定義においては問われるものであるが、民間部門では本来問題としていないものである。

実は、ここまでの内容は、パーソナルデータ検討会の「技術検討ワーキンググループ報告書」(2014年5月)に書かれていた「個人特定リスク1」〜「個人特定リスク3」とそれらの「低減する方法」(21頁〜24頁)に沿ったものであり、同じことを書き直したものと言える。

しかし、以下の続く部分を見ると、その解決方法は同報告書の提案とは違ったものになっていることがわかる。

(3) 2(2)を受けた新たな類型及び措置

2(1) ,らの各リスクに対応する2(2)の方法は、提供先の事情を考慮することが求められ、社会に存在するすべての事情を基礎として匿名加工データを作成する者に特定リスクを予見し、これを減じなければ対応できないものである。しかしそのような対応を求めることは不可能を強いることと同義であるから、匿名加工データの作成者と受領者との間で、各リスクを公平に配分し、減じることが肝要である。そこで、匿名加工データとは、個人データに対し、当該個人データに含まれる氏名、生年月日その他の記述等の全部又は一部を削除する等の加工を施すことにより、特定の個人を識別することができないようにし、かつ、当該個人データに含まれる個人識別情報その他〔広く一般に流通している個人データの項目〕の全部を削除したものをいうこととする。併せて受領者(第二次取得者以降を含む。)に特定の個人を識別する等を禁止する、特定等禁止義務(後掲)を課すこととする。これにより、匿名加工データの作成者に求められる加工の要件が明確となり、他方、受領者にとっても最低限の法定要件を具備したデータを受領していることが担保され、かつ受領者において特にリスクに対応することとなる特定等禁止義務が課されることから、特定の個人を識別するリスクを両者で減じることとなるものである。

「匿名加工データ(仮)(第2条第7項関係)」, 2014年9月22日付(推定)

これはよく読まないと何が違っているのかわかりにくい。そこで、確認のため、「技術検討ワーキンググループ報告書」の内容がどういうものだったのか、以下で振り返ってみる。

同報告書の20頁からの「3 「(仮称)個人特定性低減データ」について」には、「3.1.1 事務局案の検討」として、以下のことが書かれていた。

3.1.1 事務局案についての検討

事務局から提案された「(仮称)個人特定性低減データ」の定義は、以下のとおりである。

【事務局案】

「(仮称)個人特定性低減データ」とは、次に掲げるものをいう。

個人データについて、当該データに含まれる氏名、生年月日その他の記述等により特定の個人が識別できるものを削除する等政令で定める方法による加工を施し、個人が特定される可能性を低減したもの

「(仮称)準個人データ」について、当該データに含まれる法○条○項各号に掲げるものを削除する等政令で定める方法による加工を施したもの(注:「(仮称)準個人データ」の定義規定)

)瑤廊△砲弔い董他の情報を加える等加工を施したもの
(「(仮称)準個人情報」、「個人情報」となったものを除く。)

(第7回パーソナルデータに関する検討会【資料1-2】より)

技術検討ワーキンググループ報告書, 第10回パーソナルデータ検討会【資料1-2】, 20頁, 2014年5月26日

これを見ると、一見、,鉢△、今で言う「匿名加工情報」の定義(2条9項)の1号と2号に対応しているかのように見えるが、それは少し違う。,1号相当のものであるが、△2号とは異なる。2号は「個人識別符号」であるが、当時の「準個人情報」案を確認すると、以下のように、「個人識別符号」より範囲の広いものであった。

●「(仮称)準個人情報」の定義について

個人情報に該当するものを除き、生存する個人に関する情報であって、次に例示するもの及びこれに類するものを含む情報について、新たに「(仮称)準個人情報」としてはどうか。

パスポート番号、免許証番号、IPアドレス、携帯端末ID等の個人または個人の情報通信端末(携帯電話端末、PC端末等)等に付番され、継続して共用されるもの

顔認識データ、遺伝子情報、声紋並びに指紋等、個人の生体的・身体的特性に関する情報で、普遍性を有するもの

移動履歴、購買履歴等の特徴的な行動の履歴

「個人情報」等の定義と「個人情報取扱事業者」等の義務について(事務局案)<詳細編>, 第7回パーソナルデータに関する検討会【資料1-2】, 2014年4月16日

△蓮後の1号個人識別符号相当であり、,蓮範囲は狭められた(IPアドレスや端末IDは入らなかった)ものの、概ね後の2号相当のものであるが、は、丸々消滅し、後の個人識別符号には入っていない。

ということは、第7回パーソナルデータ検討会(2014年4月16日)の時点では、「移動履歴、購買履歴等の特徴的な行動の履歴」を含めて、「準個人データ」とした上で、それを「削除する等政令で定める方法による加工を施したもの」を「個人特定性低減データ」としていたわけである。

これが、第10回(同年5月29日)の時点で、状況が少し変わり、「技術検討ワーキンググループ報告書」では、別の場所で以下のことが書かれている。

2.「(仮称)準個人情報」の定義等について

(略)

○事務局案にある「0榮依歴、購買履歴等の特徴的な行動の履歴」について、現時点では、位置情報、購買履歴、Web閲覧履歴を一律に「(仮称)準個人情報」に該当すると判断することは困難。

技術検討ワーキンググループ報告書, 第10回パーソナルデータ検討会【資料1-2】, 2014年5月26日

「準個人情報」案は、元々、保護対象情報の範囲を拡大するために検討されていたものだったので、この時点で、「移動履歴、購買履歴等の特徴的な行動の履歴」を単独で保護対象にすることは、経済界からの反発が強いこともあってか、断念せざるを得ず、この括りが消滅したわけだが、その結果、これと連動して概念整理されていた「個人特定性低減データ」の加工対象からも外れることになってしまった。

このことについて「技術検討ワーキンググループ報告書」はどのように対応したか。確認してみると、想定されるリスクとリスク回避の方法の検討として、「個人特定リスク3」にそれを反映させていた。

個人特定リスク3:「(仮称)個人特定性低減データ」から提供先事業者(受領者)の知識に依存して個別的に特定の個人が識別される(購買履歴から偶然SNSなどでそれに合致する購買行動を発見し、そこから特定の個人を識別)
これは、元々の「(仮称)個人特定性低減データ」自体が保有するリスクではなく、1.2.3に示す提供先事業者(受領者)において「(仮称)個人特定性低減データ」と照合可能な個人データ等の有無について予見できないことから生じるリスク

(略)

個人特定リスク3を低減する方法:
「個人データ」又は「(仮称)準個人データ」から「(仮称)個人特定性低減データ」に加工する場合、特徴的な値を持つ属性、複数属性の特徴ある組合せの削除や加工する方法、あるいはすべての属性の組合せに対して元の「個人データ」との1対1の結びつきを持たせないように加工する方法(例k−匿名化や適切な一部抽出(サンプリング)等)が有用である。
※ 本加工を技術的に達成することは難易度が高い。

技術検討ワーキンググループ報告書, 第10回パーソナルデータ検討会【資料1-2】, 22頁, 2014年5月26日

つまり、「移動履歴、購買履歴等の特徴的な行動の履歴」を無条件に入れられなかった替わりとして、「提供先の知識に依存して識別される」というリスクを掲げて、それへの対応として、「元の「個人データ」との1対1の結びつきを持たせないように加工」する必要性を訴える形になった。

これが、前掲図3の法律案審議録に綴じられた文書「匿名加工データ(仮)(第2条第7項関係)」の冒頭部分に反映されたわけである。

話を図3に戻して、この文書の続き(3枚目の写真4枚目の写真5枚目の写真)を見てみると、「III 内容 1 法第2条第1項「個人情報」との関係」として、「匿名加工データ」と「個人情報」との関係を以下のように説明している。

(1) データの状態

匿名加工データは、当該匿名加工データ単体から特定の個人を識別できるものではなく、かつ、当該匿名加工データを受領者が保有している情報又は取得可能な情報(私人又は行政が発信し、公開されている情報を含む。)と突合しても容易に特定の個人を識別できないものをいう。

(2) 現行「個人情報」及び法の趣旨との関係

現行「個人情報」(法第2条第1項)は、それ単体で特定の個人を識別できるもの及び単体では特定の個人を識別できない情報であっても事業者において通常の業務における一般的な方法で他の情報との照合が容易な状態にあり、それによって特定の個人を識別することができるものをいう(「容易照合性」。同項かっこ書)。このように、それ単体で特定の個人を識別できるもののみならず、容易照合性のあるものについても「個人情報」としているのは、事業者内部において特定の個人を識別できるのであれば個人情報として保護の客体とすることによってその取扱いによる個人の権利利益の侵害を未然に防ぐことができるという点にある。単体では特定の個人を識別できないような情報であったとしても広く保護対象としての射程に入り得ることとしつつ、事業者における情報の取扱いの実態に即して「個人情報」の該当性が判断され、個人の権利利益侵害の防止を図っているものである。

現行個人情報保護法は、個人情報を保有する事業者内部における取扱いを規律することとし、「個人情報」を当該事業者内部において保護されるべき客体として定めるものであるのに対し匿名加工データは、個人情報取扱事業者から第三者へデータを提供することを主眼として流通を企図したものであり両者は意図する状況が異なる。そこで、匿名加工データを作成した事業者内部において、当該事業者が有する他の情報との「容易照合性」の有無をもって特定の個人を識別できる状態にあるか否かを判断するのではなくより一般的に世の中に存在し得る他の情報との突合等により特定の個人が識別されるリスクを勘案して定義することが求められる。

「匿名加工データ(仮)(第2条第7項関係)」, 2014年9月22日付(推定)

これは、「技術検討ワーキンググループ報告書」の案に、法律上の解釈を用意した最初の案ということになる。先に述べておくと、この最初期案は、後に成立した改正法の匿名加工情報とは全く考え方が異なるものと言えるのだが、これは要するに、提供元基準から提供先基準へ転換させるという狙いの案になっている。

上記引用の強調部に書かれているように、「匿名加工データ」については、作成した事業者内部での容易照合性の有無をもって個人識別性を判断することをせず(※1)、「より一般的に世の中に存在し得る他の情報との突合等により特定の個人が識別されるリスクを勘案して定義する」(※2)と言っているのだから、これはまさに提供元基準から提供先基準への転換である。

そのようにする理由というのが、「個人情報」は「当該事業者内部において保護されるべき客体として定めるものである」のに対して、「匿名加工データ」は「第三者へデータを提供することを主眼として流通を企図したもの」であるからだという。

この理屈はおかしい。後半(※2)は理解できるが、前半(※1)は理屈が成り立たない。

後半は、提供先基準を加えるというものであり、グレーゾーンを解消して「匿名加工データ」を安心して提供できるように、これまで民間部門で規制してこなかった提供先で照合できる場合を、「匿名加工データ」では加味することにするというのは、制度設計としてあり得る案(この場合は規制強化になる*7が)だと思う。

しかし、前半は、提供元基準を捨てるというものであり、その理由がおかしい。提供元基準は「個人情報」に対して適用されるものだとし、「匿名加工データ」には適用しなくてよいのだとしており、その理由が「個人情報」は「内部において保護されるべき客体」だからというのである。この理屈は、なぜ「匿名加工データ」は内部において保護する客体としなくてよいのかについて何も言っていない。「個人情報」は依然として23条の第三者提供制限を提供元基準で残しているのに、「匿名加工データ」なら第三者提供時に提供元基準を捨てるというのには理由がない。

これは、立法技術的に稚拙な立案と非難されるべきものだろう。提供元基準は政府説であり変更できないという大前提があったのだろう。パズル解きのごとく形式的辻褄合わせで出口を見つけようとしており、法がなぜそのような提供元基準の規律を設けているのかという趣旨に立ち戻った検討をしていないから、このような論理矛盾に無頓着となる。

提供元基準と提供先基準は二者択一なのではなく、提供元基準と提供先基準の両方を採用するということもあり得るのだから、「匿名加工データ」には提供先基準が必要だと主張したところで、提供元基準が不要となる理由にはならないのである。このことは、ちょうど、2014年4月23日の日記「現行法の理解(パーソナルデータ保護法制の行方 その2)」で書いていた「文献[岡村2014]」に対する批判*8で指摘していたのと同じ非論理性に陥っている。

「技術検討WG報告書」はそういうことまでは言っていなかったはずだ。「技術検討WG報告書」が言っていたことは、「個人特定リスク3」で「提供先の知識に依存して識別される」リスクを掲げて、それに対応する必要性を示しただけだった。

この文書には、法制局側からのコメントがあまり書き込まれていないが、1枚目の写真のページには、「特定の個人を識別する可能性を減じるという視点が重要」との本文に対して、「可能性、減じる の意味が分らない。個人情報ではなくなるのでは?」とのコメントが手書きされており、前掲の7月の時点と同じことが再び指摘された様子が窺える。

そして、前掲引用部の続く部分には、以下のように書かれている。

また、匿名加工データは、個人の権利利益の侵害の恐れが低いものとして何らの本人関与も予定していないものであり、本人の同意に代え得る程度に特定の個人が識別されるリスクを減じることが求められる。

そのために、まずは、情報そのものから特定の個人を識別することができないようにする必要がある。さらに、法第2条第1項第2号に規定する「個人識別情報」や、特徴的な情報及び複数事業者間で利用されるID等が加工後のデータに残っている場合、その情報を用いてある人間の情報同士を推定の域を超えて突合することが可能であり、他のデータと共に分析するなどする過程で特定の個人を識別してしまう蓋然性が高いものである。この場合、提供者において個人データ加工時にこれらすべての削除を求めることは、広く特定の個人を識別するリスクを排除させる過度な負担を強いることとなるため、すべてを削除等加工によってリスクを減じることを求めることは妥当ではない。そこで、「個人識別情報」及び汎用性があるため広く一般に用いられているID(IDとしての機能し得るものを含む。例えば、パスポート番号のような公的機関から付与されるもの、クレジットカード番号や口座番号のような私企業から付与されるが社会実態として様々な業種で利用されているもの、サービスIDとして広く利用されているメールアドレスや携帯電話番号。)については広く社会で流通し、業種を超えて事業者において取り扱われていることが容易に想像でき、流通していく受領者においてこれを取り扱っていることが予見し得るため削除を求めることとする。一方で、特徴的な情報、詳細であるため他の情報との合致が容易な情報及び企業が付番して共用されるIDについては、匿名加工データを作成する者が削除することを要しないが、受領者において特定の個人を識別することが無いよう、特定等禁止義務(後掲)を設けることとする

「匿名加工データ(仮)(第2条第7項関係)」, 2014年9月22日付(推定)

ここを読むと、「技術検討WG報告書」の提案とどこが違っているかがはっきりとわかる。同報告書の「個人特定リスク1」と「個人特定リスク2」については、データを加工することで対処するとしているが、「特徴的な情報、詳細であるため他の情報との合致が容易な情報」について「作成する者が削除することを要しない」「特定等禁止義務を設けることとする」とあるように、「個人特定リスク3」についてはデータ加工で対処せず、法的禁止義務だけで担保するというのである。

「技術検討WG報告書」は、法的禁止義務を援用することはしても、全てをそれに任せてデータの加工を一切不要にしてよいとは言っていなかったわけで、この時点から同報告書の提案とは違うものになっていたことがわかる。

なぜこのような案になってしまったのか。IT総合戦略室自身がそういう方向へ考えを変えていたのか、それとも、法制局(参事官以下)の指摘を受けて、それに従ったせいでこうなったのだろうか。

前掲の7月22日の法制局(参事官以下)の指摘「特定はできるが低いという意味がわらない。」「個人情報なら何故それだけは規制がゆるいのかの説明がつかない。」「個人情報に当たらないだけではないのか。適用除外とするのはおかしい。」「そもそもの個人情報の定義の問題ではないか?」といった指摘を受けて、「匿名加工データ」と「個人情報」の定義上の整理を試みたところ、個人情報に該当しなくなる理屈を捻出する必要に追われて、不本意ながらこのようになってしまったのであろうか。

図3の残りの部分を見ると、5枚目の写真のページから、条文の案文についての説明がある。開示資料を探すと、この9月22日時点で、以下の図4の案文が作成されていた。

資料の写真
図4: 9月22日時点での条文の案文

7 この法律において「匿名加工データ」とは、個人データに対し、当該個人データに含まれる氏名、生年月日その他の記述等の全部又は一部を削除する等の加工を施すことにより、特定の個人を識別することができないようにし、かつ、当該個人データに含まれる個人識別情報その他〔広く一般に流通している個人データの項目〕の全部を削除したものをいう。

9月22日時点での条文の案文

「含まれる氏名、生年月日その他の記述等の全部又は一部を削除する等の加工」が前掲の‖弍の部分であり、「当該個人データに含まれる個人識別情報……の全部を削除」が前掲の対応の部分のようだ。

「個人識別情報その他」に続いている「〔広く一般に流通している個人データの項目〕*9」の部分は、個人識別情報とは別に何かを入れようとしているように見えるので、「個人特定リスク3」に当たるものの一部をここに入れるつもりだったのかなとも思えたのだが、図36枚目の写真のページに以下のように説明されていることから、そうではなく、「個人識別情報」そのもののことを単に言っていただけのようだ。

(4) 個人識別情報その他〔広く一般に流通している個人データの項目〕の全部を削除したもの

「広く一般に流通している個人データの項目」とは、パスポート番号や免許証番号のような公的機関によって付番される記号等や、社会実態として複数の企業がサービスを提供するためのIDとして用いる(個人に関して付番されるため、IDと同様に識別する機能を有するものを含む。)又はサービス提供時に取得していることが一般化しているクレジットカード番号、メールアドレス及び携帯電話番号等の情報の様に、広く社会で流通し、業種を超えて事業者において取り扱われていることが予見し得るものであって、そのため異なる事業者間において複数の情報の突合を可能とするものをいう。

ここで規律する個人識別情報その他〔広く一般に流通している個人データの項目〕については、匿名加工データが第三者へ提供することを前提としたものであるところ、第三者への提供によって匿名加工データの流通先において特定の個人を識別するリスクを可能な限り排除するため、その全部を削除することを求めるものである。

「匿名加工データ(仮)(第2条第7項関係)」, 2014年9月22日付(推定)

また、この部分の直前に、条文中の「特定の個人を識別することができない」について、次のように説明している。

(3) 特定の個人を識別することができない

「特定の個人を識別することができない」とは、匿名加工データそのものにより特定の個人を識別することができない状態になっていることをいう。データそのものから特定の個人を識別することができない状態とするためには、データに含まれる氏名、生年月日等の情報を、個人データに含まれる項目に合わせて削除する必要がある。例えば、個人データに氏名、住所、生年月日、電話番号、メールアドレス、購買履歴、Web閲覧履歴等の複数項目が含まれているとする。この場合、氏名と住所が組み合わされれば、その住所に居住するその氏名の者は通常一人しかおらず、また特定の人物を識別することができるから、氏名の削除、住所の詳細を削除し置き換える等の措置が求められる。加えて、電話番号やメールアドレスは、住所等の情報と合わせることで特定の人物を識別することができるから、削除や置き換えをすることが求められる。

「匿名加工データ(仮)(第2条第7項関係)」, 2014年9月22日付(推定)

これの言わんとしていることは、要するに、条文の「特定の個人を識別することができない」は、容易照合性の括弧書きを含まない意味での「識別することができない」の意味だと説明したものである。(この点は後で重要となるので覚えておきたい。)

これらのことから、9月22日時点で既に、技術検討WG報告書の内容から離れ、「履歴データは加工せずとも照合禁止の法的担保で個人情報でないことにする」という方向性が打ち出されていたと言える。

容易照合情報を3号個人情報に分離する案が作成される

前掲図4の条文9月22日案には、個人情報定義の案も出ていた。以下のように、後の1号個人情報と2号個人情報が、この段階で作られており、2号はこの時点では「個人識別情報」と呼ばれていた。

第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号に掲げるいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

二 当該情報に身体的特性に関するもの又は個人の特定に結びつくおそれが高いものとして政令で定めるものであって、個人を識別することができるもの(個人が容易に変更することができるもの又は短期間で変更されることが予定されているものを除く。第7項及び第34条において「個人識別情報」という。)を含むものをいう。

9月22日時点での条文の案文

これが、匿名加工情報の概念整理と連動して、以下のように変遷して行った。

まず、次に作成された10月5日付の案文で、以下のように、匿名加工情報の定義が、個人情報定義の区分に応じて削除や加工を求めるという現在の形に近いものになった。

資料の写真 資料の写真
図5: 10月5日時点での条文の案文

ここで、興味深い手書きコメントが書き込まれている。「(他の情報と容易に照合することが……」の部分に「」と書き込まれ、「……できることとなるものを含む。」の部分に対して「(匿)が取り扱う場合における(匿)を除く」と書かれている。

このコメントを反映したものが、次に作成された10月24日付の以下の案文である。

資料の写真 資料の写真
図6: 10月24日時点での条文の案文

第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等(第2号に規定する個人識別情報を除く。以下同じ。)により特定の個人を識別することができるもの

二 特定の個人に関する身体の全部若しくは一部を用いて電子計算機の用に供するために作成され、又は旅券の番号(略)、運転免許証の番号(略)、携帯電話番号その他の特定の個人若しくは専らその利用に供する物、割り当てられる文字、番号、記号その他の符号であって、政令で定めるもの(以下「個人識別情報」という。)を含むもの

三 個人情報取扱事業者において、他の情報と容易に照合することができ、それにより特定の個人又は個人識別情報を識別することができることとなるもの(第7項に規定する措置を講じた者以外が取り扱う場合における当該措置に係る匿名加工情報を除く。)

7 この法律において「匿名加工情報」とは、生存する個人に関する情報であって、次の各号に掲げる個人情報に当該各号に定める措置を講じて得られるもの(当該情報が含まれる情報であって、第1項第1号及び第2号のいずれにも該当しないものを含む。)及び第1項第3号に該当するものをいう。

一 第1項第1号に該当する個人情報 氏名、生年月日その他の記述等の全部又は一部を削除すること(他の情報に置き換えることを含む。)により、特定の個人を識別することができないようにすること。

二 第1項第2号に該当する個人情報 個人識別情報を全部削除すること(他の情報に置き換えることを含む。)

10月24日時点での条文の案文

このように、個人情報定義の容易照合性の括弧書きを分離して3号個人情報とし、匿名加工情報は除くとしたのである。

3号個人情報は、「個人情報取扱事業者において、他の情報と容易に照合することができ」とあって、容易照合性が提供元基準であることを明文で示そうとした様子も窺える。

3号個人情報から除かれているのは、「第7項に規定する措置を講じた者以外が取り扱う場合における当該措置に係る匿名加工情報」となっていて、これの意味するところは、要するに、匿名加工情報の受領者においては当該匿名加工情報は3号個人情報に当たらないとするもので、「第7項に規定する措置を講じた者以外が」とあるように、匿名加工情報を作成した事業者においては当該匿名加工情報を3号個人情報から除かないとしたものである。

なぜこうしたのか。

前の10月5日時点の案に戻ると、その時点では、匿名加工情報は個人情報でもある(場合もある)という想定だったようで、匿名加工情報は第三者提供できるものとするために、23条1項の例外規定に5号として「個人データ〔を加工して〕〔から〕匿名加工情報を作成し、第三者へ提供するとき。」を加えるものとなっており*10、また、個人情報に係る義務を外して安全管理義務だけは課すとするために、35条に準用規定として「匿名加工情報取扱事業者が取り扱う匿名加工情報は、個人情報に該当しないものとする。匿名加工情報取扱事業者の匿名加工情報の取扱いについては、第20条から第22条までの規定を準用する」という規定を置こうとしていた。

これが、10月24日の案で、匿名加工情報を個人情報に該当させなくするために個人情報定義の方を変更するという方向に舵が切られ、3号個人情報を定義して匿名加工情報を除くとしたわけである。(この結果、10月5日付案にあった23条1項5号の例外規定は撤回されている。)

このような方向転換は、前掲の7月22日付の法制局(参事官以下)の指摘「そもそもの個人情報の定義の問題ではないか?」、同じく9月22日付の指摘「個人情報ではなくなるのでは?」に従ったためではなかろうか。なお、この案の2日前の文書(後の12月の骨子案の素案に当たるもの)に「10/22部長」との手書きメモがあることから、この方向転換には法制局第2部長(法制局第2部の部長)も関与していた可能性がある。

その後この案は、10月30日付のものを経て若干の修正の上、10月31日付の案文で以下のように洗練されることになる。

資料の写真 資料の写真
図7: 10月31日時点での条文の案文

第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等(個人識別符号を除く。)により特定の個人を識別することができるもの

二 個人識別符号が含まれるもの

三 他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの(匿名加工情報を除く。)

2 この法律において「記述等」とは、(略)

3 この法律において「個人識別符号」とは、(略)

10 この法律において「匿名加工情報」とは、生存する個人に関する情報であって、次の各号に掲げる個人情報に当該各号に定める措置を講じて得られるもののうち、第三者に提供するために第41条の規程による公表をしたもの及び当該情報が含まれる情報であって、第1項第1号及び第2号のいずれにも該当しないものをいう。

一 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(他の記述等(個人識別符号を除く。次号において同じ。)に置き換えることを含む。)により、特定の個人を識別することができないようにすること。

二 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別情報の全部を削除すること(他の記述等に置き換えることを含む。)。

10月31日時点での条文の案文

このように、3号個人情報は、従前の括弧書き部分そのままの定義となり、シンプルに「匿名加工情報を除く」とされ、匿名加工情報は、1号個人情報を「特定の個人を識別することができないように」一部を削除又は置き換え、2号個人情報を全部削除又は置き換えたものということになった。そして、2号個人情報は現在と同じ「個人識別符号」の名称となった。

なお、この10月30日と31日は、一定の区切りの時期だったようで、それまでバラバラに作成されていた各条の案文が統合されて、法全体の新旧対照表が最初に作られた(二弁開示資料からの推測)ときだったようだ。

完全に仮名化のみで匿名加工情報とするものとして整理

そして、このころから骨子案の検討が始まっており、11月6日付のメモに、法制局第2部長の第1回審査の記録がある。

資料の写真
図8: 11月6日付「高度な情報処理技術の活用に伴う個人情報の保護及び利用の促進に資するための個人情報の保護に関する法律等の一部を改正する法律案の骨子(案)」

「匿名加工情報に関する規定の整備(新設)」のところに、手書きで、「個人情報には該当しないものとした上で」の部分が線で消され、「どういう意味?」「中途半端なので(条文には書くが)」「危ないもの〓〓?凄く〓〓ないのでは?」(判読困難)とのコメントが書き込まれている。

このときの部長審査の指摘事項をメモにまとめた資料があり、以下である。

資料の写真 資料の写真
図9: 11月6日付「個人情報保護法骨子案部長審査(H26.11.6)」

2枚目の写真のところに、匿名加工情報についての部長指摘が以下のように書かれている。

○ 匿名加工情報

容易該当性あったものなら、規制緩和になるはず。そこで、これも具体例を挙げながら、容易該当性はあるので危ないものではあるが、・・・の理由により個人情報とは別の扱いにするという。その措置を戻せば個人傭報になる。禁止違反をすれば個人情報になる。そのあたりの関係性を概念図にする。しかし、そのときに届出のような中途半端なものでいいのかもよく説明をすること。登録くらいは必要なのではないか容易に識別することができるかもしれないにもかかわらず届出のみでよいとする理由。一定の選別にはかからしめるべきと思うが。また、その届出はどんな意味があるのか。把握するだけというのはないと思う。届出という手法で何が達成されるのかを説明する。普通は変更を求めるとかそのたぐいの措置が別途あるはず。問題のある業者の場合の設例の下でどうなるのか、問題ないのかを解説すること。また、きちんと削除しているかどうかはどう担保するのか。

骨子案と条文案(2条1項3号)。「個人情報には該当しないものとした上で」とあるが、識別情報を削除したのに、まだ個人情報に当たっているというのが誤ったメッセージを与える。もしかしたら、復元禁止をもって、3号に当たらないとすることができるかもしれない。削除措置を戻したら個人情報になるという理解でよいか。(エ)提供を受けたを削除。

他の部分で、個人情報等として同じ扱いにしているところがあるが、個人情報と同じ扱いにしてよいのか。また、基本方針とかに出てくるのか。よく吟味を。その必要があるなら、保護だけ違うというのはおかしいし、題名も変えないとならないのでは?そうでないなら、最低限必要な場合に、含むくらいにしておけばよい。中途半端になっている。

これを見ると、部長も、「復元禁止をもって、3号に当たらないとすることができる」と考えていた様子が窺える。ただ、「もしかして、……かもしれない」と書かれているので、懐疑的だった可能性もある。

また、部長は、届出制では心許ないと指摘している。「容易該当性はあるので危ないもの」であるにも関わらず、登録制でない届出制で何の意味があるのかという指摘である。

そして、これと同じ時期に、(法制局への)「説明資料」(以下の図10)が作成されていた。日付がなく作成日が定かでないが、類似文書との前後関係から11月13日よりは前と推測され、内容に11月7日の国会答弁が引用されていることから11月7日以後のものである。

資料の写真
図10: 作成日不明(推定11月7日〜11月12日)「説明資料」

ここで注目は、資料番号2「個人情報と匿名加工情報(仮称)の関係性について」と、資料番号3「個人情報と匿名加工情報(仮称)における容易照合性の考え方について」である。

まず、資料番号2は以下である。

資料の写真 資料の写真 資料の写真
図11: 図10の資料番号2「個人情報と匿名加工情報(仮称)の関係性について」

ここに書かれている内容は、要約すると以下のことである。

  • 購入履歴と携帯電話番号を含む顧客データを題材として、氏名は削除か「Aさん」に置き換え、住所は削除か「東京都港区在住」などへ置き換えが求められ、生年月日は年齢に丸めることが望ましく、それ以外は「特に法律上加工が必要となるものでは無い」としている。
  • その上で、「新たに個人情報と位置付ける情報が含まれる場合」(個人識別符号のこと)があることから、「これを全部削除する必要がある」とし、この題材では携帯電話番号を削除することが必要としている。
  • 匿名加工情報について、「他の情報と照合することや削除された項目を復元すること等によって個人情報となり得るものではあるが、そのような行為がなされない限り個人情報ではないのであるから、個人情報に対して課されるような規律まで課す必要はない。」としている。
  • これについて、「匿名加工情報によって個人の権利利益侵害を侵害する場面とは」として、仝朕余霾鵑防元する、他の個人情報を追加する、B召両霾鵑半塙腓垢襪海箸砲茲辰篤団蠅慮朕佑鮗永未垢襪海箸できるようになった場合の3つだとして、それぞれの具体例を挙げて、「このように想定される場面を規制することによってそれらが実現しないよう配慮することで足りるものと考えられる。」としている。
  • ,龍饌領磴箸靴董◆崛蔀屬鮃屬犬深圓硫湛方法を入手し、元となった個人情報に含まれていた削除された記述等の削除アルゴリズムを解析し、削除された記述等を復元した。」を示し、「情報の削除に関するアルゴリズムが判明することにより、削除された情報を復元することができる。」としている*11
  • △龍饌領磴箸靴董匿名加工情報を分析して特定の人物であることを推定し、その人物に関する氏名、住所生年月日を匿名加工情報のデータセットに追加する場合を示している。
  • の具体例として、Tポイントの例を挙げ、「コンビニエンスストア○○板宿駅前点」が、「Tポイント会員番号、同人の平成26年9月28日午前7時29分同店舗において缶コーヒーとタバコを各1つ購入した」というデータセットをCCCに提供したというケース*12について、この提供情報が匿名加工情報であるとし、その受領者が、「各情報に含まれる情報の項目を介して特定の個人を識別することができる。」としている。
  • 加工した者について、「加工措置を施す前のデータセットや加工方法(削除のアルゴリズムや対応表)を保有していることがあり、匿名加工情報を元に戻すことができる。」とし、これを指して、「依然として「容易照合性」がある状態であり、現行法に照らせば個人情報に該当する。」としている。
  • これについて、「個人情報を復元しないこと及び個人情報と照合して特定の個人を識別すること等を禁止することによって」、「規制を免除することも認められると考えられる。」としている。

そして、これらの検討を結ぶ形で最後に以下のように結論づけている。

このように匿名加工情報は、復元行為等の禁止させ遵守していれば、特定の個人を識別することが無い情報であって、個人情報と同程度の規律を課すことまでは求める必要のないものである。

この帰結には問題があるだろう。

個人情報の定義は、昭和63年法の古来より、「個人を識別することができるもの」であって「個人を識別されるもの」ではなかった。OECDガイドラインでは「識別された又は識別されうる」となっているのだから、「識別することができる」はこれと同義のものと言うべきだろう。それなのに、ろくに検討することなく、実際に識別しなければ権利利益侵害がないと決めつけ、保護対象としなくてよいとしている。

真っ当な役人の仕事なら、ここで、なぜ「実際に識別しなければ権利利益侵害がない」と言えるのかを検討し、昭和63年法(その元となったOECDガイドライン)で、なぜ「識別することができる」ものを対象とし、識別すること自体を対象としなかったのか、その趣旨に立ち戻った分析から行う必要があることに気づくだろう。ここでは、そういった検討・分析が行われていない。

一方、資料番号3は、以下のことが書かれている。

資料の写真 資料の写真 資料の写真
図12: 図10の資料番号3「個人情報と匿名加工情報(仮称)における容易照合性の考え方について」
  • 容易照合性の解釈について、消費者庁の「容易照合性」解釈として、2014年11月7日の衆議院内閣委員会での答弁を引用し、「社内規定によるアクセス権限では容易照合性が否定されるとは一律に言えないとし、「容易照合性」の判断については実際に情報を取り扱う事業者が有する情報、組織体制、知識及び技術等すべての情報を基礎として、そのような状況にあれば特定の個人を識別することができるか否かを一般人の感覚をもって判断するとしている。」として、「「容易照合性」に関する規定及び解釈は、「個人情報」の定義につき、改正法案においてもこれを引き継ぐこととしている。」としている。
  • 容易照合性の事例として、Suica事案を示して、「同社は削除・置換のアルゴリズムを廃棄しているが、氏名等を含むデータセットと新たに作成されたデータセットを比較すると、詳細な内容を有する複数項目が合致する。このような場合、項目を突合させるのみで事業者は特定の個人を識別することが可能である。システム上両データセットは連結していないものの*13両データセットは一対一対応が可能な状態で照合によって特定の個人を識別し得る場合については全く知見を有しない者であっても照合によって特定の個人を識別することができ、かつ、両データに対してアクセスし得る人間が複数存在していることから、「容易照合性」があると言える。」としている。
  • 匿名加工情報について、「個人情報と照合することによって特定の個人を識別することが可能であるところ、事業者によっては「容易照合性」との関係で、個人情報の定義に含まれ得るものであるため「匿名加工情報」と「個人情報」の関係が問題となる。」として、次の2点を示している。
  • 匿名加工情報を作成した事業者について、「元となった個人情報を引き続き保持し、かつ措置方法を有していることが通常である」という理由で、「匿名加工情報と元となった個人情報は容易に照合することができる状態にあると言える。」としている。
  • それを、改正法は、復元行為等を禁止し、照合行為を禁止することから、「容易に照合可能な状態にあるとは言えず、解釈上個人情報に該当しない。」としている。
  • そのように解釈する理由として、「容易照合性の判断は、同事業者の規模、技術的措置、組織的措置等その他具体的な事情を元に総合的に判断する法的評価である。」とした上で、「社内規定によって照合を制限するのみでは容易照合性を否定しないと解釈する理由」を、「内規による処罰はあり得ても個人情報保護法においては何ら罰則等が規定されているものでは無く、照合禁止が実質的に担保されるもので無い」とした上で、それとは異なり、「改正法は復元行為等の禁止という法的義務を課し照合を禁ずるものであり、当該義務違反に対しては、個人情報保護委員会による執行等が担保され」るのだから、「現行法下の状況とは異なることとなる」からだとしている。
  • 匿名加工情報を取得した事業者について、「匿名加工情報の提供者との間で業務上個人情報のやり取りがあるため元データとの照合の可能性がある、又は取得者が保有している若くは特段のコストをかけることなく取得し得る情報と照合することにより特定の個人を識別することがあり得る。このような場合には、容易照合性がある状態と言える。」とした上で、「制度的担保があることから容易に照合可能な状態にあるとは言えず、解釈上個人情報に該当しない。」としている。

注目は、Suica事案についてJR東日本の日立への提供は個人データの第三者提供だったと整理しているところである。「同社は削除・置換のアルゴリズムを廃棄しているが」(実際には報道される前は廃棄していなかったと思われるが)と仮定した上で、それでもなお、元データとのデータセット照合によって容易照合性が認められるケースだと整理している。「詳細な内容を有する複数項目が合致」「項目を突合させるのみで」「両データは一対一対応が可能」「全く知見を有しない者であっても」とパワーワードが並んでいる。

その上で、そういう「容易照合性」解釈を「個人情報」に対しては改正法においても引き継ぐとしつつ、「匿名加工情報」については「現行法下の状況とは異なることとなる」として、照合禁止義務によって容易照合性は否定されるとした。

ここではっきりするのは、後の36条5項の、匿名加工情報作成者に対する照合禁止義務は、この時点から入れることになっていたのであり、2015年12月6日の日記「匿名加工情報は何でないか・前編」での推測(「どこぞの事業者の要望によって後からねじ込まれたこの規定」云々)は的外れだったことになる。

この文書は、11月13日付の「第二部長ご指摘事項」の文書に若干の加筆の上で引き継がれており、11月28日付の「ご説明資料」にも引き継がれ、12月1日の長官審査に持ち込まれたようである。

11月13日付「第二部長ご指摘事項」は、以下の内容であり、11月6日の部長指摘を受けて作成されたもののようである。注目は「資料番号2」と「資料番号3」であるが、ここでは「資料番号2」だけ取り上げ、「資料番号3」については後で取り上げる。

資料の写真 資料の写真
図13: 11月6日付「第二部長ご指摘事項」

ここの「資料番号2」は、前掲図10の「資料番号2」に若干の加筆をしたもので、1ページ目の事例が増えた他に、匿名加工情報に対する安全管理措置について加筆されたほか、以下の「まとめ」が加筆されている。

ウ まとめ

このように、匿名加工情報については、これを扱う匿名加工情報取扱事業者(第2条第11項)*14に対して復元行為等の禁止(第37条)の義務を課し、これにより、匿名加工情報は解釈上個人情報に該当しないものである

作成者においては、通常元データを保有し、対照表や加工のアルゴリズムを保持していること等から容易照合性が認められるところであり、復元行為等の禁止(第37条)を課せられることからこれが否定され、匿名加工情報について個人情報の規律から除外される点については、本人関与に関する義務等が課せられないことから規制緩和的な側面が認められる。また、受領者においては、元データとの照合や自ら保有する個人情報との照合によって容易照合性が認められることは、実際上作成者に比して多くないものであるところ、復元行為等の禁止規律を課されること自体が規制強化的な側面があることは否定できない。しかしながら、取得した匿名加工情報の容易照合性を逐一確認して個人情報該当性を判断することは、大量の情報が流通することが予想されることに鑑みても非常に煩瑣であることから、やはり規制緩和的な側面が認められるものである。

第2段落後段の「取得した匿名加工情報の容易照合性を逐一確認して個人情報該当性を判断することは」云々については、後で再び詳しく触れるが、これは新Q14(経産省ガイドラインQ&Aの改正後Q14)に照らせば、元々規制されていないものと言うべきであり、この理由から「照合禁止義務により容易照合性が否定される」とする解釈を導く必要はなかったと言うべきだろう。

そして、第2段落前段は、対照表による容易照合性も照合禁止義務によって否定されると言い切っている。ここは後で重要となる点であるので覚えておきたい。

なお、この説明に対して、法制局第2部長からダメ出しがあったようで、「ウ まとめ」の部分に「不明」と強い調子の手書きコメントが書き込まれている。下の部分の手書きコメントには、「容易なのか否かが問われている。」「復元禁止 → 容易でないと言っているだけ」「復元禁止義務を課している」「ハードルとしていかに高いか」と書かれているのだが、どういう趣旨の指摘かよくわからない。

そして、この資料には最後のページに以下の図が付け加えられている。前回11月6日の部長指摘に従って図式化したものであろう。

資料の写真
図14: 図13の文書中の図「7.個人情報と匿名加工情報の関係性について(概略図)」

この図は、容易照合性に係る情報を「3号個人情報」と位置付け、「匿名加工情報」の扱いにした情報は、提供元でも提供先でも「3号個人情報」に該当しないものとすることを端的に表している。

「3号個人情報」と「匿名加工情報」は「※外形上は同一」と書かれており、これは、完全に、仮名化のみで匿名加工情報とするものとして整理されたことを意味している。

すなわち、もしこの案のまま法案が提出されて成立していたら、2013年のSuica事案はそのままで合法化されるところだったわけである。「日経新聞の執拗な誤報」(日経新聞は繰り返し「名前や住所」を取り除けば匿名加工情報になると報じていた)も、この時点の情報を元にしていたのなら、あながち間違ってはいなかったことになる。

なお、ここで、3号個人情報として容易照合情報を分離したことと、照合禁止義務により容易照合性がなくなるとする法解釈とは、自己矛盾しているかのように見える。なぜなら、3号個人情報を分離し、匿名加工情報は容易照合情報に含めないものとすると個人情報定義の方を変更したのだから、「照合禁止義務により容易照合性がなくなるとする法解釈」はもはや不要となったはずである。それなのに前掲図13のように説明されているのは、法には過去からの継続性が求められるのであって、勝手に定義を変更してよいわけではなく、したがって、元から「照合禁止義務により容易照合性がなくなる」という法解釈ができたという前提で、このように定義を変更したということにする必要があり、この定義変更はそのことの明確化だと位置付けていたもの(担当者がそこまで意識できていたかは定かでないが)と推察できる。

内閣法制局長官がこの案を拒絶して現在の形に変更

そして、2014年12月1日、内閣法制局で最初の長官審査が行われたようだ。以下の図15は、長官審査での骨子(案)案と、長官指摘事項のまとめ文書である。

資料の写真 資料の写真 資料の写真
図15: 長官審査時のメモと長官指摘のまとめ(12月1日)

長官指摘(12月1日)

まだ粗いので、19日に公表というのは難しいのではないか。

(略)

○ 匿名加工情報(2)

復元禁止の規制で対応しようというのは無理がある。個人情報に戻りかねないものが容易に流通することになるのは危険すぎる。加工者が第三者に提供する時点で、復元ができないように、個人識別情報にたどり着けないように、加工しなければならないことにするべきである。(容易照合もできないような形で提供すべきである)

その上で、加工者と二次的な利用者は分けて規制を設けるべきである。

なんといういちいちごもっともな指摘であろうか。

骨子案への手書きメモにも興味深いコメントが山盛りになっている。「こんなものが出回る〓がもたない」「もたない。出すときにできないようにする」「出すところで復元できない様に」「照合できないデータを提供できるようにすること」「復元できないようにして出すべき。」「もらった方が照合できない(技術的に)」「復元不能にして出す。」「照合不能にして出すこと」「第1次の(匿)を出もとは全部削除して提〓〓ギムを課す」「いとも簡単に〓〓できるのはおかしい」と、同じことが繰り返し書かれていることから、そうとうガミガミ・クドクドと指摘されたのではなかろうか。

長官がこのように的確に指摘できたのはなぜであろうか。次のような可能性があるだろうか。

  1. 長官はこれまでの個人情報保護法の制定経緯を熟知していることから、この案が法の趣旨に反するとわかるから。
  2. 長官は匿名加工のあり方を独自に調査しており、EUのGDPRがpseudonymisation(仮名化)ではpersonal dataのままだとする方向に決まりつつあることを知っていたため、この案では致命的にEUと違う方向へ行ってしまうと危機感を持ったから。
  3. 単純に法律解釈論として、照合を禁止するという行為規制によって客体の定義該当性が変わるという解釈は「無理がある」のであり、「もたない」と考えたから。
  4. 長官は当然の業務として骨子(案)案の元になったパーソナルデータ検討会の技術検討WG報告書を読んでいたから、この案は技術検討WGの指摘に反するものと考えたから。
  5. 立案省庁側(この場合は内閣官房IT総合戦略室)の主張と法制局部長以下の指摘の全部を把握したことで、単純に論点の再整理によって、法制局部長以下のその場その場の指摘のせいで当初案から次第にズレてきた結果こうなっているにすぎないと気づき、リセットする必要があると考えたから。
  6. 長官はかしこいので。この局の長なので。

5.は、こういった決定を担う組織のトップに求められる必然的職務であり、局所解に陥った部下の指示をひっくり返すのはありそうな話だと思う。ただ、この件の場合に、IT総合戦略室が十分に本来の趣旨(技術検討WGの指摘)を主張していたのかは不明である。

1.がその通りであるなら、まさに内閣法制局の真骨頂である。内閣法制局の役割は、単なる案文に対する立法技術的な助言のみならず、他の法令を含めた過去の経緯や全体の法体系の整合性を維持することにあるのであり、3号個人情報に分離して本来の保護趣旨をなかったことにするのは到底認められないと判断したのかもしれない。(参事官以下ではそういったことまでわからず、こういう展開になりがちと思われる。)

4.や2.については、そこまで調べている時間が長官にあるのだろうかという疑問は感じるが、今の長官(このときの長官)は、2003年の個人情報保護法が成立したときの法案審査(旧法案ではなく新法案についてだけだが)に総務主幹の職で関与していたことから、この法について特別の思い入れがある可能性があるかもしれない。

3.については、そうだと信じるに足る証拠がないが、我々としてはそうだったものと期待したい。図15のメモは、長官の指摘を聞き取ったIT総合戦略室の理解で書かれたものにすぎず(法制局側では記録を残さないようだ)、十分に書かれていない可能性があるだろう。「無理がある」「もたない」という長官の指摘が、どういう意味で「無理がある」「もたない」ということだったのか。世論的に国会で「もたない」という意味だったのか、法解釈を巡って裁判となった場合にこの解釈では「もたない」という意味だったのか。

いずれにせよ、この長官指摘により、「3号個人情報」分離案はボツとなり、条文の案文も、考え方の説明資料も変更されていった。以下、その様子を確認していく。

まず、長官指摘から3日後の12月4日、次長審査があったようで、以下の文書が作成されていた。

資料の写真
図16:「個人情報保護法骨子案 次長指摘(H26.12.4)」

個情法制定時の資料がほしい。

○ 個人情報が流用されるとの不安感があるので、この不安感の上にさらに緩和するというのはよくない。まずは保護の上で現行法の不備と十分な点を明らかにして、不備の部分には保護の強化策をとるということを示してから、緩和措置を書くべき。(順序を逆転、あるいは現行法の規制の在り方の評価と個人情報の保護の強化策について)

そもそもの初期からの立案方法に対してダメ出しされている。この段階で言っても手遅れなわけだが。(この次長指摘は、利用目的変更オプトアウトの案に対する苦言だったかもしれないのだが、匿名加工情報についても共通する指摘だろう。)

次に、12月9日付と推定される(二弁開示資料から)文書「匿名加工情報(仮称)に関する規定の整備(新設)について」がある。これは以下の内容であり、これまでの前掲の「説明資料」を置き換えたものと考えられる。

資料の写真 資料の写真 資料の写真
図17: 12月9日(推定)「匿名加工情報(仮称)に関する規定の整備(新設)について」

文書は1ページ半と短く、制度趣旨から始まって、規律の考え方まで簡潔に書かれている。下線部は、法制局審査時のメモによって下線が引かれていた部分、強調部は、手書きコメントの対象部分である。

1. 改正の背景と要点

(1) 今般の改正が政府成長戦略の枢要であること

(略)

(2) 制度の要点

ビッグデータビジネスを振興するためには、(略)ところ、現行法下において、JR東日本が乗客の乗降履歴から氏名等特定の個人を識別する情報を削除したデータを個人情報に該当しないものとして本人同意を得ることなく第三者に提供したところ、世論が激しく反応し、同種の提供に関する事業は中止せざるを得なくなる事案が生じた。

規制改革会議は、現行法下においても個人情報を加工することで「非個人情報化」することによって本人同意なく個人情報を提供できるよう解釈で対応するよう法を所管する消費者庁へ求めていたところ、技術的側面より、汎用的で完全な匿名化措置というものはおよそ無いという意見を得た(IT総合戦略本部パーソナルデータ検討会・技術検討WG)ことから、法制整備によって措置を講じることとなった。

これらの事情を踏まえると、制度整備の要点は、.咼奪哀如璽織咼献優垢鮃圓Δ謀たって情報の有用性を喪失しないこと、加工を施しどのような情報とすれば足りるか等、制度が明瞭で利活用に躊躇しないものとなること、F碓佞紡紊錣訌蔀屬鮃屬検個人の権利利益侵害を防ぎうるものとして情報に係る本人の不安感を払しょくすることにあることとなる。

また、これまで経済団体、民間事業者、消費者団体等のステークホルダー間の調整を行い、さらに諸外国のデータ保護機関からヒアリングを行った結果、国際的な調和を保った事業者と個人情報に係る本人の利害のバランスが図られた制度として、骨子(案)のような制度とすることとした。

2. 規律の考え方

個人情報に加工を施し、データから特定の個人が識別できないようにしても、元のデータを保有している、加工方法を知っている、又は情報を照合することで、共通する内容から個人を割り出すことができ、再び特定の個人を識別するに至ることがある。そこで、本人の同意を得ずに情報を提供する制度とするためには、特定に至ることの無い様な仕組みを作ることが求められる

しかしながら、上述の通り、技術的には汎用的で完全な匿名化措置というものはおよそ無いこと及び技術の発展に伴い多種多様かつ大量な情報が集積されうる現代において情報が流通する先における特定に至るリスクを予測することは不可能に等しい。

このため、特定に至るリスクを匿名加工情報(仮称)の作成者と受領者に適切に分配することとし、併せて情報の有用性を喪失しない程度とすることを企図して骨子(案)の制度設計としている。どのような情報であれば提供できるのかという加工の程度が明確であり、かつ、個人情報に係る本人が安心できる制度でなければ、およそ情報の流通・利活用の環境整備がなされたということはできず、成長戦略で企図するところを実現することができない。またこれは、これまでステークホルダーらの調整を行いつつ制度を検討して受けた感触としても、今改正の重要な方向性であると考えられるものである。

匿名加工情報(仮称)に関する規定の整備(新設)について, 2014年12月9日付(推定)

このように、もはや、「照合禁止義務を置くことで容易照合性がー」といった記述は取り払われている。

手書きコメントには、「制度が明瞭で利活用に躊躇しないものとなる」「本人の不安感を払しょくすることにある」とされた部分に、「その通り。だから〓扱い〓〓」と☆マーク付きで書き込まれており、これまでと違った整理になったことを示している。

続く「規律の考え方」の「特定に至ることの無い様な仕組みを作る」の部分には、「可能な限り特定できるのす〓〓くことはできるはず。」と書き込まれており、仮名化だけでない加工もできるはずだということが指摘されたように見える。

そして、「加工の程度が明確であり」の部分には、「基準で定めればよい。」と☆マーク付きで書き込まれており、「取扱者のギムも、照合禁止の前の 照合できる状態に置くことを禁止 は変更する」と書き込まれている。

これらから、この段階で明確に、「仮名化のみで匿名加工情報とする」案は放棄されたように見える。

そうすると、それが規制緩和になるのかという疑問が湧くことになるのであろう。必ずしも規制緩和と言えなくても、「制度が明瞭で利活用に躊躇しないもの」とする意義があるのだと、この時点で改めて再整理されたように見える。

最後の文には、ステークホルダーらとの調整でもこれで受け入れられる感触だというようなことが述べられている。これがいつ行った調整のことか不明だが、パーソナルデータ検討会での検討のことを指すのなら、技術検討WGの提案に戻ったということであろう。

また、「制度の要点」の最後の文に、「諸外国のデータ保護機関からヒアリングを行った結果、国際的な調和を保った事業者と個人情報に係る本人の利害のバランスが図られた制度」と書かれていて、これは、前掲の「説明資料」には書かれていなかったことである。いつの間に諸外国制度との調和を図ったのか不明だが、「利害のバランスが図られた制度」とあることから、長官にダメ出しされるまでの旧案は、諸外国制度と乖離していて、国際的調和が保てないとの認識があって、ここで変更することは正しいのだと、この部分は言わんとしているように見える。

そして次に、翌週の12月16日に、長官・次長の第2回審査(対象は骨子案)があったようで、このときの長官指摘事項のメモが以下のように残されている。

資料の写真 資料の写真
図18: 12月15日付骨子(案)案と「個人情報保護法骨子案 長官御指摘事項(12/16)」

長官御指摘事項(12/16)

匿名加工情報の加工は、その情報から個人情報が辿れないことが重要。そこで、「容易に」ではなく、「復元ができないように」すること。漏洩防止は、加工とは別途記載することにして、「その他の復元を可能とする情報」は、復元ができると強調しているようなのでやめること。

どうやら、このときの長官指摘によって、匿名加工情報の定義に、「特定の個人を識別することができないように」に重ねて「復元することができないように」が加えられることとなったようだ。(前掲のように、10月31日時点での条文の案文では、「特定の個人を識別することができないようにすること」の方だけが書かれていた。)

法案が国会に出されたとき、「識別できないと復元できないは同じことじゃないか、どういう違いがあるんだ?」との疑問を持ったが、この経緯からすると、どうやら本質的な中身の違いはさしてない*15ようだ。

これは、これまでの法制局の整理で、「識別できない」の意味が、単に氏名等を削除する意味で使われて来てしまっているので、その延長線上で長官の指摘を確実に入れ込むには、追加的な何かが必要だったのではないか。長官の指摘を反映させたものとしての「復元できないように」なる概念が作られたにすぎないということではないだろうか。(この点については後で再度検討する。)

ところで、このときの骨子(案)案に手書きコメントがいくつかある。「復元を可能とする情報(……「復元可能情報」という。)」とある部分が、長官コメントで「やめること」と指摘された部分のようで、打ち消し線で消されている。

ここに、「復元可能情報」の部分を指して、「ハッシュは復元とは言わない」(「復元」の直後が判読困難だが「とは」と推定)、「復元は可能でない様に」とのコメントがある。ここが重要なところだが、どういう意味なのだろうか。

開示資料を見渡すと、12月16日付と推定される(二弁開示資料から)文書中に、以下の図が新たに作成されており、ここにハッシュの話が出てくる。この文書がこの長官審査に持ち込まれていたのだろう。

資料の写真 資料の写真
図19: 2014年12月16日付(推定)「匿名加工情報について(イメージ)」

この文書から言えることは何か。

まず、1枚目の写真のページには、「記述等の削除・加工の例」として、「3級区分への変更(グルーピング)」、「て端譴並粟をまとめる(トップコーディング)」、「ゥ離ぅ困良娉叩廖◆岫κ数者のレコード間で値を入れ替え、並べ替え」が書かれている。これらは一連の法令審査録の中でここで初めて登場しているものであり、12月1日の長官指摘によって方向転換された結果、初めて書かれたものであろう。

次のページ(2枚目の写真)に書かれているように、「、い砲弔い 特徴的な値が削除されるとともに、同一の値を持つデータが増えるため、容易に復元できないこととなるもの。」、「ァ↓Δ砲弔い 情報としての有用性が低下しない程度で誤った情報が含まれることとなり、仮に情報が復元された場合でも、その情報が正しい情報かについて疑義が生じるため、元の情報を容易に復元できないことととなるもの。」とあることから、11月までの案で「仮名化のみで匿名加工情報とする」としていた構想が破棄されていることを確認できる。

次に、2枚目の写真のページの「 廚砲蓮◆Suica番号」に鍵付きハッシュ関数*16を通して「ハッシュ値」を作ることについて書かれており、「ハッシュ値から元の符号(Suica番号又はソルト)が推知できないことから、Suica番号を復元できないもの」とある。

確かに、この方法で、受領者においては復元できないものとなるが、ハッシュ関数と鍵を持っている提供者においては、その下の部分に書かれているように、「事前に計算して照合できてしまう」わけで、提供元においては容易照合性があるというべきものだろう。

前掲のように、長官がこの部分について何かを指摘したようだが、「ハッシュは復元とは言わない。復元は可能でない様に。」では意味が通じない。「(提供元では)ハッシュで復元できなくなるとは言わない。復元は可能でない様に。」というのなら意味は理解できる。これはいわゆる「連結可能匿名化」であり、連結可能匿名化は、消費者庁見解の通り、提供元において容易照合性があって個人データとなるのであり、長官がそのことを指摘していたのだとすれば、照合禁止義務により容易照合性が否定されるとする法解釈は「無理がある」「もたない」ということがここでも指摘されたのかもしれない。ただ、残念ながらその確証はない。

そして、翌日の12月17日に、第3回の長官・次長審査があったようで、ここで骨子案について了承されている。骨子案がパーソナルデータ検討会の最終回にかけられたのは、予定通りの12月19日であった。

そして、その翌週の12月22日、部長審査があったようで、以下の指摘メモがある。

資料の写真
図20:「個情法新旧 部長指摘(H26.12.22)」

個情法新旧 部長指摘(H26.12.22)

(略)

(個情法)

  • 2条1項3号 容易照合というのを独立して規定するのは適当でない。ボーダーみたいな微妙なものを「含む。」と規定していたのを変えるのは問題をはらむのではないか。
  • 2条8項の要配慮個人情報は、(略)
  • 匿名加工情報の定義で、1号と2号を除き、3号を除かないというのは、匿名加工情報は、どうあっても復元しないようなものとした考え方と相容れないのでだめ作成者にとっても、物理的にはできるかもしれないが、もはや容易照合ができないものと整理してよいのではないか。
  • また、匿名加工情報取扱事業者の定義で、作成者を入れようとしているが、(略)
  • 23条の2等の配置が、(略)

この部長指摘により、条文の案文においても、3号個人情報を分離する案はボツとなったようだ。

ボツにする理由が2つあり、一つは、長官指摘による方向転換により、匿名加工情報の定義で1号2号個人情報を3号個人情報と区別する必要性がなくなった(長官は「容易照合もできないような形で」と指摘していたわけで)という理由であり、もう一つは、個人情報定義そのものとしても、「ボーダーみたいな微妙なものを」変えたら問題をはらむという理由となっている。この後者の指摘も至極真っ当なもので、残されていたら危ういところだったと思う。

部長も11月の時点では、前記のように「復元禁止をもって、3号に当たらないとすることができる」と考えていた様子があったが、12月の時点では、このように「どうあっても復元しないようなものとした考え方と相容れない」としており、長官の指摘に従って考え方を変更していることがわかる。このように、長官の指摘は無視されておらず、内閣法制局の総意として支持されていたことを確認できる。

そして、この部長コメントに、「作成者にとっても、(略)もはや容易照合ができないものと整理してよいのではないか。」との指摘がある。これは、長官の指摘「容易照合もできないような形で」を作成者においても適用することを想定しているのであり、文脈からして、照合禁止義務を援用せずとも、データ自体からしてもはや容易照合できないものと整理してよいと言っているのだろう。そうであるとすれば、消費者庁見解を維持するのであるから、対応表を残すことは容易照合性を残すことになるので、対応表は残さない前提で語られているのではなかろうか。

この変更により、匿名加工情報の定義の意義も変わったということになる。なぜなら、匿名加工情報の定義は、1号個人情報と2号個人情報に分けて処置方法を示して定義しているので、3号個人情報が撤廃され、容易照合情報が1号個人情報内に戻されたのであるから、匿名加工情報についても、1号個人情報に係る部分の処置方法の解釈が変わってくるからである。

前記のように、長官ダメ出し前の案では、匿名加工情報定義中の「特定の個人を識別することができない」の条文の解釈は、容易照合性の括弧書きを含まない意味での「識別することができない」の意味だと説明されていた(図36枚目の写真のページの「(3)」の部分)。それで自然であったのは、長官ダメ出し前の案では、1号個人情報の定義から容易照合性の括弧書きを外していたからである。

それが、長官ダメ出し後の案では、1号個人情報の定義に容易照合性の括弧書きが入ったのであるから、「特定の個人を識別することができない」の条文の解釈は、その括弧書きを含む意味で「識別することができない」と解する方が自然なものとなり、「特定の個人を識別することができない」に括弧書きがないのは省略されているのであって、除外しているのではないと見ることができる。

冒頭の「問題の所在」に戻り、A説かB説かを整理したビジネス法務2016年11月号の記事で書いた以下は、このことと整合している。

2条9項の定義は、前記の△猟未蝓崙団蠅慮朕佑鮗永未任ないように加工したもの」としており、その意味は前記の通り個人情報定義を「反対から捉えたもの」であるから、A説が自然な解釈と思える。

高木浩光, 匿名加工情報の制度概要と匿名加工基準の規則案, ビジネス法務16巻11号, 17頁, 2016年10月

この「反対から捉えたもの」は、前掲の瓜生編「一問一答」の以下の部分からの引用であった。

1 匿名加工情報は、個人情報を加工して、‘団蠅慮朕佑鮗永未垢襪海箸できず、当該個人情報を復元することができないようにしたものです。

この「特定の個人を識別することができない」とは、「個人情報」(第2条第1項の「特定の個人を識別することができる」という要件をいわば反対から捉えたもので、加工後の情報から、当該情報と具体的な人物との一致を認めるに至り得ないことをいいます(Q7参照)。

瓜生和久編著, 一問一答 平成27年改正個人情報保護法, 商事法務, 41頁

この文章からでは、「特定の個人を識別することができない」が、容易照合性の括弧書きを含めて言っているのか、含めずに言っているのか、はっきりしないが、今回確認した長官ダメ出し後の流れを見れば、含めた意味で解するものと言うべきだろう。12月1日の長官のダメ出し(図15)が、「容易照合もできないような形で」と指摘していたのは、容易照合性の括弧書きを含めて「特定の個人を識別することができない」ようにせよという意味だろう。

法制局ではその後、閣議決定の直前まで条文の微修正のための協議が続き、2月12日の与党修正を受け入れる際に、改めて長官からの指摘への対応として、IT総合戦略室から、「識別行為の禁止を匿名加工情報の作成者にも課すことについて」との文書が以下の内容で提出されていた。(38条とあるが、これは後の36条5項のことである。 )

資料の写真 資料の写真 資料の写真
図21: 2015年2月12日の法制局との協議

3. 識別行為の禁止を匿名加工情報の作成者にも課すことについて(改正法第2条による改正後の個人情報保護法第38条関係)

匿名加工情報は、規則で定めるところによる適切な加工によって、特定の個人を識別することができず、かつ、作成に用いた個人情報を復元することができないものであるから、基本的には、作成者を含めたいずれの事業者においても現行法第2条第1項(改正法第2条による改正後の第2条第1項第1号)に定める「個人情報」とは異なるものとなる。

そうであるとしても、匿名加工情報を作成した個人情報取扱事業者においては、作成の元となる個人情報が保有され、加工方法が明らかであり、また実際に加工に従事した者が存在することから、当該匿名加工情報と作成の元となる個人情報との間に「容易照合性(同項(改正後の第1号)カッコ書)」が認められ、作成者においては依然として個人情報に該当するのではないか、との疑問が呈されるところである。

これについては、今回、個人情報保護委員会規則で定める基準に従った加工によっておよそ作成の元となる個人情報との照合が困難な状態にするとともに、匿名加工情報を作成した個人情報取扱事業者についても、改正後の第38条第1項に規定する「識別行為の禁止」義務が課され、作成の元となる個人情報に係る本人を識別しないことを担保することとしており、「容易に」照合できるものではないことから、「容易照合性」は否定されると考えられるものである。

他方、個人情報から削除された記述等若しくは個人識別符号又は加工の方法に関する情報は作成者において既に保有されており、その取得を禁ずることは概念上無理であるから、これについては第三者から提供受けた者に限ることとしたい(同条第2項参照)。

この整理で、「問題の所在」で示した、瓜生編「一問一答」の記述「Xであり、さらにYであることから、Zである。」にだいぶ近い説明になっている。

よく読むと、この文は、瓜生編「一問一答」の記述よりも正確なものだ。以下に2つを並べてみる。

匿名加工情報は、特定の個人を識別することができず、作成の元となった個人情報を復元することができないように加工したものであり、さらに、個人情報の本人を識別することを禁止する等の制度的な担保がなされていることから、作成の元となった個人情報を通常の業務における一般的な方法で照合することができる状態にあるとはいえず、個人情報に該当しないとするものです。

瓜生和久編著, 一問一答 平成27年改正個人情報保護法, 商事法務, 49頁

これについては、今回、個人情報保護委員会規則で定める基準に従った加工によっておよそ作成の元となる個人情報との照合が困難な状態にするとともに、匿名加工情報を作成した個人情報取扱事業者についても、改正後の第38条第1項に規定する「識別行為の禁止」義務が課され、作成の元となる個人情報に係る本人を識別しないことを担保することとしており、「容易に」照合できるものではないことから、「容易照合性」は否定されると考えられるものである。

2015年2月12日付「3. 識別行為の禁止を匿名加工情報の作成者にも課すことについて(改正法第2条による改正後の個人情報保護法第38条関係)」

上の文では、Y部が「担保がなされていることから」と、Z部の理由の文になっているのに対し、下の文では、Y部が単に「担保することとしており」と書かれていて、必ずしも理由の文にしていない。

上の文では、「照合することができる状態にあるとはいえず」と、状態に焦点を当ててしまっているが、下の文では、「照合できるものではないことから」と、「もの」(つまり情報)の性質に焦点を当てている。前者だとアクセス制御説の復活を予感させかねないが、後者の文ではそれを予感させない。

そもそも、この文は、前の段落の「そうであるとしても、……との疑問が呈されるところ」という誤解に基づく疑問に答えるものであるから、単に「誤解」と答えればよいわけで、本来、理由など必要ないのである。照合できないようにしたものなのだから照合できないのである。

上の文の方が下の文より後に書かれたものであるにもかかわらず、下の文の方が、法制局が法案審査で認めた考え方に近いのではないか。これらは同じ人が書いた文章ではないのだろうか。下の文を書いた人は、法制局の手助けもあってか正確に理解していたのに、上の文を書いた人は、別の担当者なのか、それとも、法制局で言われたことの理解が浅かったのか、ダメ出し前の整理に引きずられて、独自の見解を若干ながら混ぜこんでしまったように見える。

これがその後どうなったのか

こうして内閣法制局の審査を通り、閣議決定された最終案は、国会に提出され、ほぼそのまま成立した。以下、国会提出後にそれがどうなったのか、展開を追い、検証してみる。

冒頭の「問題の所在」で示した、2015年3月10日の衆議院予算委員会第一分科会での向井治紀内閣審議官の「匿名加工情報は、そもそも、作成に用いた個人情報と照合することが禁止されておりますので、容易照合性は認められないと私どもは解釈しております。」との答弁は、こうしてみると、結局のところ、法制局長官がまさにダメ出しした古い内部文書「説明資料」(図10図11図12図13)を読んだ理解で答えたにすぎないのではなかろうか。つまり、このとき審議官は、法制局でダメ出しがあって作り変えていることを承知していなかったのではないか。

一般に、国会答弁に立つ内閣審議官や局長が、自らこうした内部文書に目を通すかは、人によりそうだが、当人が目を通していなくても、答弁案を作成して説明をしたIT総合戦略室(その中の「パーソナルデータ関連制度担当室」)の参事官以下が、古い内部文書に基づいて説明してしまったのではないか。そういうことが起きたとすれば、担当室内で、12月1日の長官ダメ出しがあったのを把握していた者が、かなり限られていたのかもしれない。瓜生参事官は把握していたはずと考えられるが、なぜこうなったのだろうか。

そして、法案が可決成立し、2015年12月に瓜生編「一問一答」が出版される。そこに書かれた「Xであり、さらにYであることから、Zである。」の記述が、間違ってはいないこと、しかしながらやや詰めが甘かったことは、前記の通りである。

その2か月前、2015年10月に、第二東京弁護士会情報公開・個人情報保護委員会編著「Q&A改正個人情報法保護法 −パーソナルデータ保護法制の最前線−」(新日本法規)が出版されている。

前記のように、この本は、IT総合戦略室に情報公開請求して開示された資料を基に書かれたもので、当時では誰も知らないことが書かれている最先端の本だった。内部資料に基づいた解説なので、正確な説明がなされていいるに違いないと受け取りがちである。

しかし、匿名加工情報について、この本は以下のように書いていた。(写真中の蛍光ペンでのマーキングは、発売当時に書き込んだもので、現在の関心部分ではない。)

資料の写真 資料の写真
図22: 第二東京弁護士会情報公開・個人情報保護委員会編著「Q&A改正個人情報法保護法 −パーソナルデータ保護法制の最前線−」(新日本法規、2015年10月)103頁、104頁

そうすると、「匿名加工情報」を作成したとしても、匿名加工情報を自ら作成した提供元事業者は、匿名加工情報を有し匿名加工措置の方法を有していたり、両データのシステム上の連結性が存在したり、両データにアクセス可能な人間が複数存在する等の事情があれば、容易照合性要件が満たされ、「匿名加工情報」が同時に「個人情報」であるという状態が生ずるのではないか、との疑義が生じます。(開示資料92)。

(略)

しかしながら、改正個人情報保護法においては、以下のとおり解釈上、提供元事業者及び提供先事業者のいずれにおいても「匿名加工情報」は「個人情報」に該当しないものと考えられます。

(2) 提供元事業者について

提供元事業者(匿名加工情報を自ら作成した個人情報取扱事業者)は、匿名加工情報と他の情報を照合することを禁止する義務を負っています(新法36ァ法この規制に事業者が違反した場合には、個人情報保護委員会による勧告、命令等の法執行(新法42)が予定されており、照合禁止の制度的・法的担保があります

容易照合性の判断は、事業者の規模、技術的措置、組織的措置等その他の具体的な事情を元に総合的に判断する法的評価であって、改正個人情報保護法の下では、照合禁止の制度的・法的担保が存在するがゆえに、他の情報と「容易に」照合可能な状態にあるとはいえない、と解することができます(開示資料92)。したがって、提供元事業者との関係で、「匿名加工情報」は解釈上、「個人情報」に該当しないものと考えられます(開示資料92、156)。

第二東京弁護士会情報公開・個人情報保護委員会編著, Q&A改正個人情報法保護法 −パーソナルデータ保護法制の最前線−, 新日本法規、2015年10月, 103頁, 104頁

あちゃー、これは、長官ダメ出し前の古い「説明資料」に書かれていたことをそのまま書いてしまっている。「開示資料92」は、図10の「説明資料」の長官審査用セット版(12月1日版)のことである。

「開示資料156」は、長官ダメ出し後、閣議決定直前(2月22日)に書かれた図21の「識別行為の禁止を匿名加工情報の作成者にも課すことについて」のことであり、この文書は、前記の通り、法制局が最終的に認めた考え方に最も近い書きぶりのものであり、この文書はそんなことは言っていないわけなのだが、古い「開示資料92」を読んで、それが取り消されたと知らないまま、この「開示資料156」を読むと、同じことを言っているように見えてしまい、これらの間の違いに気づかないのかもしれない。

二弁の著者らが、法制局長官のダメ出しで方向転換されていることに気づかなかったのは、しかたがなかった面がある。なぜなら、二弁が情報公開請求したのは「内閣法制局への全条文に関するご説明資料の最終版」だったので、法制局指摘事項のメモはそれに含まれなかった。手書きでメモ書きされた文書も請求対象でなかった。法制局への説明資料だけ見ても、法制局でどう修正されたかは、わからないわけである。

一つ皮肉を言えば、「説明資料の最終版」が請求されたのだから、IT総合戦略室は、長官にボツにされた古い「説明資料」を開示対象に含めてはいけなかったのだ。2月の「開示資料156」だけ開示すればよかったのだ。

二弁のこの本を買って拝見したとき、開示資料の話は信じるほかなかった*17が、後に、新潟大学法学部情報法研究室が請求した同じものを入手して読んだとき、それぞれ興味深いことが書かれているけれども、最終的に採用された考え方なのか疑問に思えるところが他にも多々あった。本シリーズの中編では、その開示資料を参照して、データセット照合による容易照合性のことが書かれていることに触れているが、出版された文書に書かれていない以上、最終的に生きている考え方なのかは不確定なものとして捉えていた。

一般に、情報公開請求で立案段階の内部文書を入手して解説書を書く際には、それぞれの文書が途中でキャンセルされている可能性に留意して取り上げる必要があるだろう。行政法学者の書く教科書にも言えることである。このことは今回の分析を通じて骨身に染みた。

そして、2016年1月、個人情報保護委員会が発足し、IT総合戦略室パーソナルデータ関連制度担当室の職員の多くは、委員会へ異動した。

2016年2月、行政機関個人情報保護法(行政機関法)の改正法案について、行政管理局が内閣法制局の審査を受けていた。これについては、前々回の日記「匿名加工情報が非識別加工情報へと無用に改名した事情(パーソナルデータ保護法制の行方 その30)」で詳しく書いたところである。

行政機関法の改正がいろいろおかしくなっていることは、それまでにも、「行政機関法では再識別禁止がないから個人情報に当たるですって?(パーソナルデータ保護法制の行方 その22)」(2016年4月6日の日記)などで書いていた。

どういう話だったかというと、行政機関法の匿名加工情報(非識別加工情報)は常に個人情報に該当するというもので、民間部門では非個人情報なのに、行政機関法では個人情報となる理由が、「行政機関法では再識別禁止義務がないから」というものであった。これは、民間部門の匿名加工情報は再識別禁止義務があるからこそ非個人情報になるのだという前提を基にしていた。

行政管理局のそのような考えは、内閣法制局への「説明資料」にも書かれていたことが、今年4月に開示を受けた法律案審議録で明らかになった。その様子は、前々回の日記の「行政機関法では匿名加工情報は常に個人情報である?」の節から書いたところである。

前々回の日記の図5が、行政管理局が2月19日に内閣法制局で長官審査を受けたときの「説明資料」であり、そこには、次のように書かれていた。

(1)「匿名加工情報」と改正後の個人情報保護法の「個人情報」

改正後の個人情報保護法における匿名加工情報は、「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」(第2条第9項)と定義されている。作成に用いた個人情報を「復元することはできない」が、自ら保有し、又は入手可能な他の情報との照合により特定の個人を識別することも概念上はあり得ることから※、「匿名加工情報」は、個人情報保護法の「個人情報」に当たることもあり得る

改正後の個人情報保護法では、匿名加工情報を作成する民間事業者及び取得する民間事業者に対して、特定の個人の識別のための照合の禁止を義務付けており(第36条第5項及び第38条)、その結果、民間事業者にとっては、当該匿名加工情報は、「個人情報」には該当しないものとなる

(※)実際には、現時点で想定している加工の方法により「個人情報を復元することができないようにした」情報であって、他の情報との照合により特定の個人を識別することができるものは、現時点では想定していない。

2016年2月19日付「長官・次長配布版 説明資料 別紙2」

あー、またやってしまったねぇ。そう、つまりこれも、平成27年個人情報保護法改正案の古い「説明資料」に基づいた解釈だったわけだ。長官は「照合不能にして出すこと」と指摘していたのに。

どうしてこうなったのだろうか。行政管理局は、匿名加工情報の考え方について、個人情報保護委員会に問い合わせていたはずである。対応した委員会の担当者が、長官ダメ出しによる方向転換の経緯を把握しておらず、古い資料を見て対応したのではないか。

いや、行政管理局の立案は、もっと早い段階から始められていたはずだから、IT総合戦略室と協議しながら進めていたのだろう。それでも、2015年のことだろうから、その時点で既に、長官ダメ出しと方向転換は済んでいたわけで、やはりそこでも、経緯を把握していない者が対応したのだろうか。あるいは、行政管理局が、IT総合戦略室の内部資料の提供を受けて、自ら読解した整理だったのかもしれない。資料だけ読んでも、それが撤回された整理だというのは、なかなか気づきにくい。

しかし、2015年から立案を進めていたのであれば、内閣法制局は何をやっていたのか。行政機関法の法律案審議録は、2016年2月からの分しか綴じられていなかったが、それより前の段階で、部長審査や参事官以下との協議があったはずだ。部長は指摘できなかったのか。

ここで問題となるのが、内閣法制局の縦割り構造である。内閣官房IT総合戦略室の案件を担当するのは、内閣法制局第2部だったが、総務省行政管理局の案件を担当するのは、第3部である。第3部長は、第2部で起きていたことを把握しなかったのだろう。

同じ個人情報保護法なのに、民間部門と公的部門でこうも細部で違ってしまっているのは、法制局の担当部が異なるということも、要因としてあるのかもしれない。

そして、行政機関法の改正案でも、長官のダメ出しを食らうことになった。これは、前々回の日記の「内閣法制局長官の大どんでん返し」で書いたところだ。長官は、「行政機関匿名加工情報は、個人情報にあたらない」と指摘したのである。

資料の写真
図23: 2016年2月29日付「行政機関個人情報保護法等改正法案 長官・次長御指摘(2月22日・23日)への対応概要」

これは、2014年12月1日のダメ出しと同じ趣旨だったと考えられる。長官は、行政管理局の「説明資料」を見て、2014年に撤回させたはずの古い整理に基づいていることに気づき、根本から間違っているのでやり直せという指示をしたのだろう。

そうはいっても、閣議決定直前の2月下旬の段階では、根本から直すことは不可能だったわけで、行政管理局は、「説明資料」をアップデートして凌いだ。このアップデートについて、前々回の日記では、以下のように書いた。

これは、修正前の図5と、言っていることが違っている。

図5の整理では、民間部門の個人情報保護法では、匿名加工情報について、「他の情報との照合により特定の個人を識別することも概念上はあり得る」としつつ、「特定の個人の識別のための照合の禁止を義務付けて」いることから、個人情報に該当しなくなるという整理だったが、その考え方が、この修正した整理では消滅している。

それに替わって、そういう照合は「容易に行えるものではない」という新たな考え方が登場し、それを理由として、民間部門では、「匿名加工情報」が「個人情報」にあたらないという整理になっている。

なぜこうなったのだろうか。推測にすぎないが、これが長官の指摘だったのではないか。つまり、長官が「匿名加工情報は個人情報にあたらない」とする指摘に際して、なぜそうなのかの理由が、民間部門における考え方として、このように説明されたのではないか。

もしそうだとすれば、照合禁止規定の存在により容易照合性が否定されるという、一昨年の個人情報保護法改正案の立案段階で一時、整理された考え方は、内閣法制局長官の頭の中ではその後否定されているのではないだろうか。これは、前記の「匿名加工情報は何でないか・後編」で書こうと思ってきた推測と符合する面がある。(これにつていは、その「後編」で書くこととしたい。)

匿名加工情報が非識別加工情報へと無用に改名した事情(パーソナルデータ保護法制の行方 その30)「内閣法制局長官の大どんでん返し

この「後編で書く」としていたのが、本稿である。前々回の時点では、「長官の頭の中ではその後否定されているのではないだろうか」と半信半疑だったが、本稿を書くために腰を据えて開示資料を読み込んだところ、これは確信に変わった。既に上記で整理したように、2014年12月1日の長官指摘により、根本的なところからの方向転換がなされており、第2部長を含めて、照合禁止義務により容易照合性が無くなるとする解釈は撤回されているのである。

行政管理局も、この「説明資料」のアップデートでそのことは理解したはずのように見えるのに、国会では、行政管理局長はアップデート前の「説明資料」に基づいて答弁を繰り返してしまった。また2015年の向井審議官答弁と同じことが起きたわけである。

前掲の、行政管理局の説明資料で、以下の部分が不可解だったのだが、これも、今なら腑に落ちる。

(※)実際には、現時点で想定している加工の方法により「個人情報を復元することができないようにした」情報であって、他の情報との照合により特定の個人を識別することができるものは、現時点では想定していない。

2016年2月19日付「長官・次長配布版 説明資料 別紙2」

これは、2014年の長官からの指摘を把握している者からの説明を踏まえて書かれたのではないか。これは、単なる仮名化では済まされない加工方法を指す。そのため、行政管理局は、「概念上はあり得る」ことにして、「実際には……現時点では想定していない。」と書くしかなかったのではないか。ただ、「概念上はあり得る」というのは理解できる。民間部門での「識別できないように」における照合による識別は、「容易に照合することができ」る場合に限られるのに対して、公的部門では、容易にでない場合を含めて「照合することができ」る場合を想定して「識別できないように」としなければ、公的部門における非個人情報には当たらないからだ。

こうして整理してみると、行政機関法の匿名加工情報の定義が、閣議決定直前で、なぜあのように変更させられたのかも見えてくる。前々回で確認したように、長官の指摘により、定義は以下のように変更されている。


変更前(2016年2月15日付の案文)

8 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。以下この項において同じ。)の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

変更後(成立した法の条文)

8 この法律において「非識別加工情報」とは、次の各号に掲げる個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。以下この項において同じ。)の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができない(個人に関する情報について、当該個人に関する情報に含まれる記述等により、又は当該個人に関する情報が他の情報と照合することができる個人に関する情報である場合にあっては他の情報(当該個人に関する情報の全部又は一部を含む個人情報その他の個人情報保護委員会規則で定める情報を除く。)と照合することにより、特定の個人を識別することができないことをいう。第44条の10第1項において同じ。)ように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。


この差分は、「特定の個人を識別することができない」の意味が括弧書き(強調部)で補足されている点である。

ここで思い出したいのは、前記で「この点は後で重要となるので覚えておきたい」とした、「特定の個人を識別することができない」の解釈について示した古い資料(図3)である。その6枚目の写真のページの「(3)」は、「特定の個人を識別することができない」の解釈を、容易照合性の括弧書きを含まない意味での「識別することができない」の意味だと説明していた。

これについて、長官ダメ出し後に変更された条文では、容易照合性の括弧書きは省略されているのであって、容易照合性を含めて「識別することができない」と解するべきということは、既に書いたところである。

このことが、行政機関法の改正案においても、長官から指摘があったのではないだろうか。民間部門の匿名加工情報定義でも、本当は、ここを省略せずに、括弧書きを入れるべきだったとも言えるわけで、行政機関法ではそこをちゃんと明記するようにという指示があったのではないか。特に、行政機関法の場合は、前記のように、「容易に」の有無の点で異なっていることから、ここの「識別することができない」の意味は省略ぜずに明確にしておく必要があるのである。

それにもかかわらず、行政機関法の改正案は、そこを適切に直せなかった。「他の情報(当該個人に関する情報の全部又は一部を含む個人情報その他の個人情報保護委員会規則で定める情報を除く。)」などという意味不明な委任規定で問題を先送りしたあげく、委員会規則には鸚鵡返しのナンセンス規定が制定され、これが大失敗だったことは明白となっている。それが、さらに地方公共団体の条例にまで広げようとされていて悲惨極まりないことは、前々回の日記で書いた。

さて、そして2017年2月、個人情報保護委員会の「事務局レポート」が公開された。冒頭で示した以下の部分が問題である。

3.4.2 容易照合性との関係

匿名加工情報を作成した事業者は、その作成に用いた個人情報を保有しており、また、当該個人情報を匿名加工する方法に関する情報として匿名加工情報と元の個人情報との対応関係を示す対応表等を保有し得るが、この個人情報や対応表について法第2条第1項第1号括弧書のいわゆる「容易照合性」があるとして、作成した匿名加工情報は個人情報に該当し、個人情報の取扱いに関する各義務(法第4章第1節)を守らなければならないのではないか、との懸念が想定される。

匿名加工情報は、特定の個人を識別することができず、作成の元となった個人情報を復元することができ ないように加工したものであり、さらに、個人情報に係る本人を識別することを禁止する等の制度的な担保がなされていることから、作成の元となった個人情報を通常の業務における一般的な方法で照合することができる状態にある(すなわち容易照合性がある)とはいえず、個人情報に該当しないとされるものである。

したがって、匿名加工情報を作成した事業者がこれを当該事業者内部で取り扱うに当たっても、匿名加工情報の取扱いに関する義務(法第36条)を守ることにより自由な利活用が認められることとなる。

個人情報保護委員会事務局レポート, 匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて, 2017年2月

これは、内閣法制局長官のダメ出しを無視して、キャンセルされた古い「説明資料」を根拠に書いてしまっているのだろう。なぜこんなことになるのか。

以前から、専門家らと話すと、時折、個人情報保護委員会から聞いた見解が担当者によって違うという話を耳にする。委員会の中でも、仮名化でOKとする派閥と、仮名化ではだめだとする派閥がいるらしいとか、照合禁止義務万能説を唱える者もいれば、そうでない者もいるらしいなどと聞く。

これも、結局のところ、2014年12月1日の法制局長官のダメ出しの経緯を知っている者と、知らない者がいて、それらの間でちゃんと話し合われていないのが原因ではないのか。

私も委員会の人と話して、「法制局の整理でもこうなっている」と言われたことがかつてあったが、それはどの整理なのだ?と、今なら確認するだろう。お前の見ている「法制局の整理」は、キャンセルされた参事官以下レベルの素人整理のことではないのか?と。

こんなことになってしまっている最大の原因は、IT総合戦略室が、法制局の指摘を踏まえて再整理した後の精密な整理文書を作らなかった(再整理後の「説明資料」は1ページ半のペラだった)ことにある。瓜生編「一問一答」も、間違いこそ書かれていないが、大事なことを書いていないため、誤読する人が続出しているわけである。

今からでもよいので、個人情報保護委員会がそうした内部文書を整備するべきである。そうしなければ、今後も同じ混乱が続いてしまうだろう。

(「後編の2」に続く)

*1 今になって思うに、この表現は誤解される(というか、本意を表せていなかったで)表現だった。改めた表現と説明をいずれしたい。

*2 高木浩光『匿名加工情報の制度概要と匿名加工基準の規則案』ビジネス法務16巻11号17頁以下(2016)

*3 ちなみに、条文を修正する必要があると主張した理由はもう一つあり、「このままでは規制強化になってしまう」という立場であり、こちらは本気だった。この点は、解釈で乗り切るべく、国会答弁で明らかにされ、個人情報保護委員会のガイドラインでも明記され、どうにか解決している。(2017年1月8日の日記「匿名加工情報の条文構成はどう壊れて行ったか(保護法改正はどうなった その6)」の「まえがき」参照。)

*4 このとき、経済団体の某氏から「マジかー」という声を頂いたのをよく覚えている。

*5 「規制」か「規則」か「規律」か判読できない。「ゆるい」の前にもう一文字あるはずだが判読できない。

*6 「当たらないだけである。」とも読めなくもないが、他のところにある「は」「な」「い」の文字と同じ筆跡なので、ここは「当たらないだけではない」と書かれているようだが、これでは意味が通らない。「当たらないだけではないか?」が途中で切れているのだろうか。隣の斜線で切れているようにも見えるが、この線が何なのかわからない。

*7 といっても、現在の匿名加工情報と同様に、使いたい者だけが使う制度だとすれば、規制強化というわけでもないのだが。

*8 「3. 第三者提供時の照合の主体」の以下の部分。

提供先にとって識別性がない情報と比べて、提供先にとって個人識別性がある情報のほうが、本人の権利利益を害するおそれが格段に大きくなることは当然である。したがって、第三者提供と個人識別性との関係について、提供先において識別情報か否かを基準とする提供先基準説のほうが、こうした制度趣旨に対して素直な解釈といえよう。

岡村久道, パーソナルデータの利活用に関する制度見直しと検討課題(中), NBL No.1020, 72頁

△僚斗彑は立法論として賛成する余地のあるものであるが、現行法解釈論としては,鯣歡蠅垢詬由にならない。(,鉢△聾澆い貿啾湘ではなく、両方を要求する立法論もあり得る。)

*9 「〔〕」書きは、検討不十分であり、仮に書いたものであること示している。

*10 この点は、2017年1月8日の日記「匿名加工情報の条文構成はどう壊れて行ったか(保護法改正はどうなった その6)」でも書いている。

*11 削除アルゴリズムが判明すると復元できるというのはIT素人のトンデモな主張だが、ここは、「削除または置き換える」の「置き換える」が選択された場合の復元について書くべきだったところだろう。

*12 ちなみに、このケースは、コンビニエンスストアからの第三者提供ではなく、CCCによる取得のコンビニエンスストアへの委託として整理すべきものという話は、2015年11月21日の日記「CCCはお気の毒と言わざるをえない」に書いた。匿名加工情報の用途を説明するには向かない事案だったと言うべきだろう。

*13 連結していないというのは嘘だろう。次々と新規の記名式Suica利用者が増えていく状況で、新規利用者の情報を氏名入りデータベースから氏名なしデータベースへとコピーしていたことは自明だから、連結していたと言うべきである。

*14 この時点の案では、匿名加工情報を作成する個人情報取扱事業者も匿名加工情報取扱事業者として整理されていて、改正法の36条5項の義務は、この時点の案では匿名加工情報取扱事業者の「復元行為等の禁止」で担保されていた。

*15 私の独自説としては、「識別できない」は提供元基準において非個人情報化する要件であり、「復元できないように」は、提供元に限らず、提供先においても復元できないことを求めたものと整理すればよいと考えている。前掲脚注2のビジネス法務の記事でもその説を唱えているが、個人情報保護委員会の公式文書にそうしたことは書かれていない。

*16 図では「ソルト」と書かれているが、これをソルトと呼ぶのは暗号技術用語として誤りであり、「鍵付きハッシュ関数の鍵」と呼ぶべきものである。個人情報保護委員会の「事務局レポート」では幸いここが改められている。

*17 ちなみに、この本のこの章には他にもおかしなことが書かれている。匿名加工情報についての99頁には、パーソナルデータ検討会の技術検討WGが、「個人情報を完全に非個人情報化する技術的手段はない旨の報告をしたため、解釈によるパーソナルデータの利活用は困難であるとの結論に至り、法改正により対応することになりました。」と書かれているが、技術検討WGの報告は、「汎用的な方法は存在しない」「合理的な匿名化水準を汎用的に達成可能な技術は存在しない」「有用性を全く失うことなく、いかなる個人情報をも対象にした汎用的な匿名化手法はない」としたのであり、非個人情報化する手段が存在しないなどとは言っていない。「開示資料95」(図17)でも、「汎用的で完全な匿名化措置というものはおよそ無いという意見を得た」という表現になっている。「完全な」が誤解させたのだろうか。また、同じ99頁のその直前部分には、「技術が進展した今日では容易照合が不可能な程度にまで技術的分離措置をとることはおよそ不可能であることから、通説及び消費者庁の解釈を前提にすると「非個人情報化」は極めて困難である、という状況にありました。」とも書かれているが、これはいったいどこから来た見解なんだろうか。長官ダメ出し前の内部資料でもそんなことは言っていない。ダメ出し前の内部資料が、やたらと照合禁止義務で非個人情報化すると主張しているものだから、そうするからには非個人情報化が困難なんだろうという類推が働いたのか。その点、長官ダメ出し後の法制局の指摘では、「可能な限り特定できなくすることはできるはず。」「特定に至ることのないような仕組みを作る」(図17の手書きメモより)としていて、法制局はちゃんとわかっていたんだなと思える。

本日のリンク元 TrackBack(0)

2017年05月13日

医学系研究倫理指針における非識別加工情報の規定は無用の長物(研究倫理指針はどうなった その1)

医学系研究倫理指針の改正については、11月29日の日記「医学研究等倫理指針見直し3省合同会議が迷走、自滅の道へ(パーソナルデータ保護法制の行方 その26)」を書いた後、その後どうなったかをまだ書いていなかったが、ざっくり言えば、懸念された事態は回避され、どうにか妥当なところに落ち着くかっこうとなっている。そのときの展開の様子とその後の論点については、いずれ詳しくまとめる予定だが、ここでは、そのうち、匿名加工情報に関する部分のみ先に書いておく。

指針の「匿名化」と法の「匿名加工情報」を巡る混乱

指針改正案は「見直し」の段階で、昨年9月から10月にかけてパブコメにかけられていたが、それに対する文科省・厚労省の「考え方」を含む「パブリックコメントの結果」は今年2月になって公表された。

これを見ると、匿名加工情報に関する意見がかなり多く提出されていたことがわかる。

資料のキャプチャ画像 資料のキャプチャ画像
図1: パブコメ結果の資料から抜粋

多い質問は、この指針がこれまで「匿名化」(「連結可能匿名化」及び「連結不可能匿名化」)と呼んできたものと法の「匿名加工情報」は同じものではないか、違いがわからない、どうして分けられているのかといったもので、文科省・厚労省の「考え方」では、以下のようなやりとりが繰り返されている。

提出意見

特定の個人を識別することができることとなる記述等を除くことが匿名化であるならば、匿名化された情報は匿名加工情報又は非識別加工情報と同じとの理解で良いか?

文部科学省及び厚生労働省の考え方

「匿名加工情報」と「非識別加工情報」は、それぞれ個情法と行個法・独個法に規定されている要件を満たして個人情報から加工した情報であり、その取扱いも法律の規定を順守する必要があります。一方で、「匿名化」は、指針に定めている手法であり、例えば、匿名加工情報と同じ加工を行ったとしても、匿名加工情報として取り扱うための手続きを行わない場合には、「匿名化されている情報」として取り扱っていただくこととなります。匿名加工情報の詳細については、「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)(平成28年11月個人情報保護委員会)」をご参照ください。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.163

提出意見

「連結(不)可能匿名化」の用語廃止は誤解をまねきかねない。連結(不)可能を明示した方がわかりやすいのではないか?「匿名加工情報」という言葉の中に「連結不可能」の意味が含まれることになりますが、「対応表」といった言葉も出てきて少し煩雑です。用語としては「連結不可能匿名化」を残すのはどうでしょうか。

文部科学省及び厚生労働省の考え方

「匿名加工情報」と「非識別加工情報」は、それぞれ個情法と行個法・独個法に規定されている要件を満たして個人情報から加工した情報であり、一方で、改正前の指針に定義していた「連結可能匿名化」と「連結不可能匿名化」は指針のみで規定している匿名化の手法になります。匿名加工情報は個人情報でない情報ではあるものの非個人情報であるとは限らない情報であり*1、また、連結不可能匿名化された情報は、指針改正後は「匿名化されている情報」又は「匿名化されている情報(特定の個人を識別することができないものに限る。)」のどちらかに分類され、個人情報と非個人情報のどちらにも該当する可能性があるため、用語を残すことは一層の混乱を招くものと考えますので、用語は削除することとしました。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.167

匿名加工情報を連結不可能匿名化と同一視する誤解は、データセットによる照合が念頭にない場合に陥る。

指針の連結不可能匿名化は、従前、あたかも法の「個人情報」の裏返し(該当させなくする要件)であるかのような定義っぽく書かれていたが、実際のところは、法の定義の裏返しとも異なっていた*2し、現場の実態としても、氏名等を削除するだけの仮名化が行われていただけであったことから、指針の改正で、「匿名化」の定義を「特定の個人(略)を識別することができることとなる記述等(個人識別符号を含む。)の全部又は一部を削除すること(略)をいう。」と改めることにより、現場の実態上の「匿名化」の方法(実際には「仮名化」と呼ぶべきもの)はそのまま維持してよいとしつつ、法の定義とのズレを解消するために、「匿名化されている情報」と「非個人情報」とは直行する概念として整理されたのであった。

「匿名化されている情報」が個人情報に該当する場合とは、当該情報の作成者において、連結可能匿名化であれば対応表を保有するので個人情報に該当し、これは、従前の指針でもそのように説明されていたが、加えて、連結不可能匿名化の場合であっても、データセット自体による元データとの照合が可能なデータである場合には、「他の情報と容易に照合することができ」に該当するとする考え方が、一連の改正を通じて改めて確認されたという状況にあると言ってよい。

つまり、「連結不可能」と言っているが「不可能」とはおよそ言い難く*3、「連結不可能匿名化」という概念の意図するところは、「不可能」にするわけではなく、単に(対応表を用いた)連結をしないという意味だったと言うべきもので、誤解を招く用語が誤解を拡大し定着させてきてしまっていたということなのだろう。誤解のない用語としては、「連結仮名化」と「不連結仮名化」が相応しかったと思う。

そして、そのような不連結仮名化されたデータと匿名加工情報が同じかというと、匿名加工情報は、単に仮名化しただけでは加工方法としては足りない(場合が多々ある)という考え方が確立しつつある*4ので、この指針でも別概念として整理されたわけである。

また、匿名加工情報を連結不可能匿名化と同一視する誤解が生じるもう一つの要因は、匿名加工情報を導入する法改正の狙いの一つが、医学系研究分野における従前の「匿名化」の慣行を法定することにより安定化することにあるとの期待があったためだろう。確かに、2014年の「パーソナルデータの利活用に関する制度改正大綱」の時点ではそのようにも見えたかもしれない*5

しかし、紆余曲折を経て、国会で成立した改正法の匿名加工情報は、仮名化とは異なるものとして整理された*6と言ってよい状況となったため、指針の見直しでは、指針の「匿名化」は法の匿名加工情報から切り離す必要に迫られたわけである。

さらに、法の匿名加工情報の制度を規制強化だと誤解する向きもあっただろう。指針の「匿名化」は法の「匿名加工情報」にも(定義の条文からして)該当することになるので、指針の「匿名化されている情報」に法規制がかかるとの懸念もパブコメに寄せられていた。これが誤解であることはこれまでに何度も書いてきたところ*7だが、そのことが、パブコメに対する「考え方」では、前掲のように、「匿名加工情報と同じ加工を行ったとしても、匿名加工情報として取り扱うための手続きを行わない場合には、「匿名化されている情報」として取り扱っていただくこととなります。」として説明*8されている。

このような混乱は予想されたことなので、指針では匿名加工情報のことは触れないでおくのがよいのではないかと、再三申し上げた。JUMP(日本ユーザビリティ医療情報化推進協議会)の「ゲノムが作る新たな医療推進委員会」では、このパブコメに際し、以下の意見を提出していた。

【該当箇所】第2-(26) 等
【意見】
従前の匿名化と匿名加工情報の混同が懸念されるため、これらが無関係である旨を明確化するための修正が必要である。

【理由】
今回の指針改正案は、従前の「匿名化」の定義を変更し、「連結可能匿名化」及び「連結不可能匿名化」の概念を廃止するものであるところ、指針に「匿名加工情報」に関する節が「匿名化」と「対応表」に並び新設されているため、従前行ってきた「匿名化」処理が今後は個人情報保護法の「匿名加工情報」の規律に従わなければならなくなるものとの誤解が広がることが懸念される。

実際には、「匿名化」と「匿名加工情報」は相互に関係しない別々の概念であるから、そのことを明確化するために、指針改正案には次のいずれか又は両方の修正を施すべきである。

A) 従前の「匿名化」は「仮名化」に名称を変更する

今回の指針改正で従前の「匿名化」はその定義内容が変更されている。従前の匿名化は、なお書きに「他で入手できる情報と照合することにより特定の個人を識別することができる場合には、照合に必要な情報の全部又は一部を取り除いて、特定の個人を識別することができないようにすることを含む」との記述があったが、改正案ではこれが削除されている。この変更により、「匿名化」は、「特定の個人を識別することができることとなる記述等の全部又は一部を取り除く」という、氏名・連絡先等を削除する程度の加工で足りることとなるから、国際的には通常「仮名化」と呼ばれる(EUデータ保護規則では「pseudonymisation」、ISO/TS 25237:2008では「pseudonymization」と呼ばれる。)ものに相当することになる。他方、個人情報保護法の「匿名加工情報」は、照合による識別をもできなくすることを求めるもので、その点では従前の「匿名化」定義に近い。また、実態として、従前の「匿名化」は、前記のなお書き「他で入手できる情報と照合することにより特定の個人を識別することができる場合には、照合に必要な情報の全部又は一部を取り除いて、特定の個人を識別することができないようにする」に当たる対処がほとんど行われておらず、これまでも国際的に「仮名化」と呼ばれる処理を行っていたのが実情である。

したがって、「匿名化」と「匿名加工情報」の混同を避けるためには、従前の「匿名化」を「仮名化」の名称に変更することが効果的であり、この際、今回の指針改正で定義内容が変更されることを明確化する上でも、名称を変更するべきである。

なお、合同会議第4回資料2-1「指針見直しの方向性(匿名化)補足説明資料(案)」p.6の表の「案1」の行で、従前の「匿名化」と対比する形で「仮名化」の語が用いられており、その定義内容が現在の指針改正案の「匿名化」と同一となっているように、この定義内容には元々「仮名化」の語があてられていたのであるから、「仮名化」とするのが本来の趣旨にも沿うはずである。

B) 匿名加工情報(非識別加工情報を含む)に関する規定を削除する

匿名加工情報は、日本の個人情報保護法で今回始めて導入される世界にも例のない独特の制度であり、これまでに利用された実績はない。ゲノム指針及び医学系指針が対象とする領域において匿名加工情報の制度の活用の見通しが立っているわけでもない。

その上、匿名加工情報の制度は、匿名化のような処理に際して必ず適用しなければならない義務というものでもない。このことは、個人情報保護委員会が公表した「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)(案)」には、p.9の「※2」に、「安全管理措置の一環として氏名等の一部の個人情報を削除(又は他の記述等に置き換え)した上で引き続き個人情報として取り扱う場合、あるいは統計情報を作成するために個人情報を加工する場合等については、匿名加工情報を「作成するとき」には該当しない。」として説明されている。

また、匿名加工情報(非識別加工情報を含む)は非個人情報である(非識別加工情報は独立行政法人等個人情報保護法において「保有個人情報」から除外されている。)のだから、指針の対象外となることは明らかであり、ことさら、同意なく利用できる場合として規定する(ゲノム指針第4-14オ及び同15オ並びに医学系指針第12-1(2)(エ)及び同(3)(エ))までもない。

したがって、指針に匿名加工情報に関する規定を設ける必要性がはじめからないのであるから、従前の「匿名化」との混同を避けるためにも、匿名加工情報に関する規定を全て削除するべきである。

仮にこの削除ができないにしても、せめて、匿名加工情報に係る規定を一箇所に集約するなどして、必ず要する義務ではないことを明確にするべきである。

JUMP・ゲノムが作る新たな医療推進委員会より、指針改正に関するパブリックコメントについて、意見書を提出いたしました。, 日本ユーザビリティ医療情報化推進協議会

これに対する、文科省・厚労省の「考え方」は以下のものであった。

文部科学省及び厚生労働省の考え方

ご意見のとおり、「匿名化」は指針のみで規定しているもの、「匿名加工情報」は個情法で規定されているものであり、取扱いが異なるものです。

「仮名化」のご提案につきましては既に合同会議にて検討しており、その結果、「匿名化」を用いることになりました。

改正指針第12の1に規定している匿名加工情報の取扱いについては、合同会議にて検討した結果、インフォームド・コンセントが困難な場合の取扱いの一つとして整理し、規定を設けることとしました。また、改正指針第17については、改正個情法第76条第1項第3号の義務規定の適用除外を受ける場合には、個情法に規定する匿名加工情報の取扱いも適用除外となるため、個情法等の適用を受ける機関との情報のやり取りにおいて支障ができないよう、改正指針において個情法と同等の規定を設けたものです。

また、指針で定める匿名化と個情法に規定する匿名加工情報の違いについては、必要に応じて指針のガイダンスで解説します。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.204

匿名加工情報のことなぞ書かなきゃいいわけだが、そうは言っても、この指針見直しは、個人情報保護法の改正を受けて対応するという体裁になっている手前、改正法の目玉である匿名加工情報に全く触れないわけにもいかないものなのであろうか。

その点、「改正指針第17」というのは、「研究者等(個人情報保護法の適用を受ける大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者であって、その個人情報又は匿名加工情報を取り扱う目的の全部又は一部が学術研究の用に供する目的である者に限る。以下この第17において同じ。)は、」として、改正個人情報保護法の36条、37条、38条、39条(つまり、4章2節の全部)相当の規定を設けたものになっている。つまり、学術研究機関による学術研究目的の利用は個人情報保護法第4章の規定が全て適用除外となっていることから、匿名加工情報に係る義務も適用されないから、その分を指針で拾うというのである。

なるほど、こうすれば、匿名加工情報についての指針の意義の面目が立つということであろうか。

これを規定する理由として「個情法等の適用を受ける機関との情報のやり取りにおいて支障が出ないよう」というのは、まあ理解できる。匿名加工情報の制度は、提供先で再識別が行われないことが法的に担保されていることを安心材料として提供ができるというものだから、提供先が学術研究機関の学術研究目的利用の場合に再識別禁止がかからない*9のだとしたら安心できないので、指針で禁止とすることには意義があろう。「支障が出る」というのは、そういう意味で安心できないことを指すのだろう。

ところが、この「改正指針第17」に対しては、大量の反対意見が寄せられていた。以下と同趣旨の意見が多いらしく、他に77件もあったそうである。

提出意見

【該当箇所】第17「匿名加工情報の取扱い」
【意見】
(3)(4)(6)(7)(9)*10でそれぞれ示されている当該内容の公表規定について削除を求める
【理由】
民間事業者に求められる公表規定を研究者に対しても求めることは、徒に研究者の負担を増大させてしまうことが危惧されることから、公共の福祉向上に資すると判断される研究の場合、努力義務に抑えるか、倫理審査委員会の判断に委ねる等の柔軟な対応を検討していただきたい。

同様のご意見が他に77件ありました。)

文部科学省及び厚生労働省の考え方

第17の匿名加工情報に関する事項については、法律に規定される事項と同様の対応をしなければ匿名加工情報として取り扱うことができないため、第17に規定している内容について指針において変更することはできません。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1069〜1146

提出意見

「匿名加工情報が個人情報を復元できないように処理が必要、あるいは当該匿名加工情報を他の情報と照合してはならない。」について

次のような研究支障が想定される。
論文投稿後に、一部の症例の追加データの解析を要求されることは多々ある。そのような場合、個人情報(患者カルテ番号)を復元できないように処理が必要である場合、再度、対象症例の抽出とデータ整理に多大な時間を要し、研究遂行に大きな支障がある。

文部科学省及び厚生労働省の考え方

匿名加工情報及び非識別加工情報として取り扱うことについてのご意見と理解しご回答しますが、匿名加工情報及び非識別加工情報として取り扱う場合には、法律に規定されている識別禁止等を遵守する必要がありますが、指針上は、「匿名化」を用いることができ、匿名化したものを個人情報として取り扱う場合には、復元や照合等も可能となっていますので、指針の規定をご確認ください。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1168

こうした意見は、前記の通り、法の「匿名加工情報」を指針の「匿名化」と混同した誤解に基づく意見であり、スルーでよい。

他にも同様の誤解に基づく意見が沢山あり、いくつか抜粋すると以下のものが代表的であろう。(回答部は省略)

提出意見

「匿名加工情報が個人情報を復元できないように処理が必要、あるいは当該匿名加工情報を他の情報と照合してはならない。」について

次のような研究支障が想定される。
異なるデータベース間の突合が不可能となるが、少数例であれば、対象症例を抽出しなおすことは可能であるが、多数例になればなるほど、対象症例抽出に膨大な時間と労力が必要となる。多数例を用いた臨床う研究に関して継時的研究によるアウトカム検定が困難となり、大いに研究に支障があると考えられる。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1169

提出意見

「第17匿名加工情報の取扱い」について
日本の医学研究、特に臨床研究は、医療現場で働く医師が自らデータを収集して解析を行って発表しているものがほとんどであり、よほど大きな研究期間で潤沢な研究費用がないと、一般の臨床研究を行おうとする臨床医には、個人情報の匿名加工にかかる時間や労力を割く余裕はありません。

一般臨床医の研究が施行困難となれば、我が国の医学研究の礎である臨床研究や人の資料を用いた基礎研究が行われず、ひいては我が国の医学研究ならびに医学レベルの低下をもたらすことが予想されます。

これまで通り、侵襲をともなわない観察研究においては、連結可能な匿名化をもって、研究が行えるように、「匿名加工情報の取り扱い」を適応しないでいただきたいと、切に望みます。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1171

案の定こうした誤解が多発したわけだが、それにしても多い。77件同一の意見があったというのは、動員でもあったのだろうか。

このパブコメは昨年9月から行われたものだが、昨年5月に出版されていた以下の解説記事*11の影響もあったのではなかろうか。

  • 岡村久道, 個人情報保護法の改正とデータを用いた学術研究, オペレーションズ・リサーチ, 2016年5月号, pp.283-288

    以上のような匿名加工情報制度の新設に対し、これまで自由であったはずの非個人識別情報たる匿名情報の取扱いに対し、新たに多様な義務が課されるに至ったので、その利活用が妨げられるのではないかという疑問が呈される一方、これによって本当にプライバシーが守られるのかという、逆方向の立場からの疑問も呈されている。

    いずれにしても、必ずしも適用除外対象となるか明らかでない学術研究等については、この匿名加工情報に関する諸規定を順守せざるを得ないことになる

匿名加工情報がそのようなものでないことは、既に一昨年の時点で、国会審議で繰り返し答弁されていたこと*12である。あまり事情に詳しくない方の論説を真に受けると、混乱が拡大してしまうので、注意が必要だろう。

もう少し混乱を避けられなかったものかとも思うが、現時点の状況を見るに、今年3月17日に東大で開かれた公開シンポジウム「医学研究における個人情報保護のあり方と指針改正」の席での会場の反応からして、もはやこうした誤解は解けており、混同はなくなったようであり、めでたしめでたしである。

「非識別加工情報」の自発的作成は法違反か

さて、「匿名加工情報」については以上の通りだが、公的部門の匿名加工情報、すなわち「非識別加工情報」についてはどうなのか。これについて、パブコメで以下を指摘する意見が出ていた。

提出意見

【論点等の箇所】「第17 匿名加工情報の取扱い」
【意見内容】「非識別加工情報」についての記載がない

提出意見

第6章第17「匿名加工情報の取り扱い」の記載があるが「非識別加工情報」の項目がないのは何故か

文部科学省及び厚生労働省の考え方

第17については、法律において匿名加工情報に関する規定の適用が除外されている場合に、法律が適用される機関と適用されない機関との共同研究等において、情報のやり取りに支障が出ないよう、指針上、法律に規定されている内容と同等の規定を設けているものです。法律の適用除外となっている機関としては、個情法第76条第1項第3号に該当する学術研究機関・団体が学術研究目的に用いる場合が該当します。一方、非識別加工情報を取り扱うことができる行個法、独個法が適用される機関については、法律の適用除外がないため、指針上で改めて基準等を規定する必要がないことから記載していないものです。なお、匿名加工情報と非識別加工情報では、作成等の手続きに違いがありますので、該当する法律の規定に従い、取り扱っていただきますようお願いします。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1166, 1167

記載がない理由は、「考え方」の通りで、「第17」はそういうものでしかないからだ。

「作成等の手続きに違いがありますので、該当する法律の規定に従い、取り扱っていただきますよう」とあるのは、具体的なことを言っていないが、これは以下のことを言っているのだと考えられる。

実は、行政機関や独立行政法人において、「非識別加工情報」は自発的に作成できるのかという論点がある。「自発的に作成」とは、改正行政機関法(改正独法法も同様に)4章の2(行政機関非識別加工情報の提供)の規定によらず作成することを指す。

行政機関法改正で「非識別加工情報」の制度を導入する趣旨は、民間事業者からの提案を募集し、提案を受けて、個人情報ファイルから匿名加工で「行政機関非識別加工情報」を作成し、手数料を取って提案事業者に提供するということにあり、その手続きが、行政機関法4章の2に規定されている。民間部門での匿名加工情報が、単に自由に提供できるための制度であったのとは大幅に異なっている。

その趣旨から離れて、行政機関非識別加工情報を作成し、提供することはできるのか。改正行政機関法は、4章の2の冒頭、44条の2で、「行政機関の長は、この章の規定に従い、行政機関非識別加工情報(略)を作成し、及び提供することができる。」と規定している。

「この章の規定に従い」作成し、提供できるとしているのだから、この章の規定に従わずに、作成したり提供することは認められないということにならないか。その点、「できる」規定があるからといって、その規定がない(もしくはその規定が適用される条件から外れる)場合に「できない」ということを必ずしも意味しないのではないかという議論があり得る。

この点について、行政管理局の考え方がどうなっているのか。前回の日記で示した、情報公開請求により開示された法律案審議録の「長官・次長配布版 説明資料」から、窺い知ることができる。

資料の写真 資料の写真
図2: 2016年2月19日付「長官・次長配布版 説明資料」44頁、45頁

行政機関匿名加工情報の作成及び提供等【行政機関個人情報保護法第44条の2関係】

【概要】
本章の通則的な規定として、行政機関の長が、本性の規定に従い、行政機関匿名加工情報を事業の用に供しようとする者からの提案を受けて行政機関匿名加工情報を作成し、提供することができる旨を定めるとともに、本章の規定に従うほかは、法令に基づく場合を除き、行政機関匿名加工情報及び行政機関匿名加工関連情報の利用及び提供を原則として行うことができないことを定めるものである。

【説明】
1 行政機関匿名加工情報及び行政機関匿名加工関連情報に係る規律の整理
(1) 利用等の制限
行政機関匿名加工情報の作成は、保有個人情報を加工して行うものであり、個人情報に係る利用の制限の規律(第8条)の対象となる。一方で、行政機関匿名加工情報及び行政機関匿名加工関連情報の一部は、保有個人情報に該当しないことから、同様の規律を設けることとする。その際、規律の一覧性の観点から、本条において、行政機関匿名加工情報及び行政機関匿名加工関連情報について、個人情報に係る利用の制限の規律と同様の規律を設ける。また、保有個人情報に該当するものについては、利用目的の特定が必要となることから(第3条)、保有個人情報に該当するか否かで分けて規定することとする。

(2) 行政機関匿名加工情報の作成及び提供
(1)の利用の制限がある中で、事業の用に供しようとする者からの提案により行政機関匿名加工情報を作成し、及び提供することができるようにするための規律を設ける。

2 第1項

第1項では、本章の規定に従い、行政機関匿名加工情報を作成し、及び提供できることを規定する。

保有個人情報を加工して行政機関匿名加工情報を作成することは、保有個人情報の利用の一態様と解されるため、第8条により、法令に基づく場合を除き、利用目的外での行政機関匿名加工情報の作成は原則として禁止され(同条第1項)、本人の同意があるとき、又は所掌事務の遂行の必要な場合には例外的に作成が可能となる(同条第2項1号、2号)。

また、作成した行政機関匿名加工情報について、第8条の適用を除外した上で、同条第1項による制限と同様の制限を規定することとしている(第2項及び第3項参照)。

第4章の2においては、個人の権利利益の保護に支障を生ずるおそれがない範囲で行政機関匿名加工情報を作成し、及び提供するための規定を設けていることから、行政機関の長が、同章の規定に従い、行政機関匿名加工情報を作成し、及び提供できることを規定する。

3 第2項

第2項では、法令に基づく場合を除き、利用目的以外の目的のために行政機関匿名加工情報及び行政機関匿名加工関連情報(保有個人情報に該当するものに限る。)を自ら利用し、または提供してはならないことを規定する

第2項の適用対象には、‖4章の2に定める手続に従い作成・提供する行政機関匿名加工情報及び行政機関匿名加工関連情報のほか、行政機関が所掌事務の遂行上必要であるとして、保有個人情報の利用として、第8条第1項又は第2項第1号若しくは第2号に基づいて自発的に作成し、提供する行政機関匿名加工情報も含まれる。このうち、,砲弔い討蓮第4章の2に定める手続きに基づいて提供することを目的として作成することから、それ以外での利用・提供は、法令に基づく場合を除き制限されることになる。

内閣法制局法律案審議録「行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案(平成28法律51)」, 「長官・次長配布版 説明資料」, 2016年2月29日, 44頁、45頁

このように、保有個人情報から行政機関匿名加工情報を作成することが、保有個人情報の利用に当たるとし、本来、通常は目的外利用に当たるのであり、4章の2の規定によらない作成は8条に違反するのだと、はっきり書かれている。(加えて、仮に所掌事務の遂行上必要として自発的に作成することが許されたとしても、その目的外での利用・提供は禁じているとしている。)

つまり、行政機関匿名加工情報(行政機関非識別加工情報)の自発的作成は基本的に許されていないということだ。

ただ、これは行政機関非識別加工情報についてであり、裸の「非識別加工情報」の作成についてはどうなのかは書かれていない。

これについて検討してみるに、行政機関非識別加工情報と裸の非識別加工情報の違いは、加工のソースとする個人情報の範囲が、行政機関非識別加工情報では、一定の要件を満たす個人情報ファイルを構成する保有個人情報に限られているのに対し、裸の非識別加工情報では、全ての個人情報が対象であり限定がないという点である。行政機関法は、保有個人情報でない個人情報について目的外利用を禁止していない(8条の対象でない)から、保有個人情報でない個人情報のみをソースにしている限りにおいては、非識別加工情報の作成は自由だということにはなるだろう。ただ、国立大学や国立研究所等の独立行政法人において、研究用として組織的に保有している個人情報は、保有個人情報と言うべきであるから、「保有個人情報でない個人情報のみをソースにしている」ということは通常は考えられないことになる。そして、行政機関非識別加工情報を作成すること自体が保有個人情報の目的外利用だとしているのだから、裸の非識別加工情報を作成することも(ソースが保有個人情報であれば)同様に目的外利用ということになると解するのが自然であろう。

次に疑問となるのは、民間部門におけるルールとの食い違いである。民間部門では、匿名加工情報を作成することは、個人情報の利用とは解されておらず、それゆえに、行政機関法のように「作成し、及び提供することができる」との規定を置いていないにもかかわらず、作成できるわけである。*13

これは、民間部門では、匿名加工情報は個人情報でないと整理されていることによるのではないか。経産省ガイドラインQ&AのQ45*14が示してきたように、統計量へ集計する入力として個人情報を用いることは個人情報の利用に当たらないとしてきたのと同様に、非個人情報へ加工する入力として個人情報を用いることも、個人情報の利用に当たらないとの解釈が前提にあるものと思われる。

それに対し、行政機関法では「非識別加工情報は個人情報である」というのが行政管理局の整理であった。そのため、上記の「非個人情報へ加工する入力として個人情報を用いる」には当たらないことになり、結局、行政機関法において非識別加工情報への加工は個人情報の利用に当たるということになるのだろう。

以上のことを、前掲の指針パブコメの回答は想定しているのだと思われる。つまり、「作成等の手続きに違いがありますので、該当する法律の規定に従い、取り扱っていただきますようお願いします。」というのは、行政機関法4章の2で規定された提案募集に基づく作成しかできませんよという意味なのだろう。

そうすると、指針で「非識別加工情報」に触れている意義は全くないのではないか。行政機関法4章の2の提案募集に係る手続きは、医学系研究の実施と何の関係もないと言ってよいだろう。医学研究に情報を用いたい民間の研究機関が、行政機関や独立行政法人からその提供を受けるときは、従前の方法で可能なのであり、行政機関法4章の2の提案募集に係る手続きをとるまでもない。

その点、指針は、「研究計画書の記載事項」(第8)において、「┯朕余霾鹽の取扱い(匿名化する場合にはその方法、匿名加工情報又は非識別加工情報を作成する場合にはその旨を含む。」という規定を置いたが、「非識別加工情報を作成する場合にはその旨」は無用だったのではないか。なぜなら、行政機関法4章の2の規定による作成は、この指針の対象ではない*15のだから。

他に、指針のどのような場面で「非識別加工情報」の語が現れるか、検索して調べてみたところ、残るのは、第12(インフォームド・コンセントを受ける手続き等)において、インフォームド・コンセントが困難な場合にそれを不要とする場合の一つとして、既存試料・情報が「匿名加工情報又は非識別加工情報である」場合が、挙げられている。(「匿名化されているもの(特定の個人を識別することができないものに限る。)」と並置されている。)

これは、前掲の「考え方」No.204で「改正指針第12の1に規定している匿名加工情報の取扱いについては、合同会議にて検討した結果、インフォームド・コンセントが困難な場合の取扱いの一つとして整理し、規定を設けることとしました。」とされていた部分である。

当該研究機関が民間(個人情報取扱事業者)の場合は、匿名加工情報について、確かに、外部から提供を受けた匿名加工情報を、医学系研究に使うことはないとは言えないので、この規定の意義は理解できなくもない。また、民間の場合は、匿名加工情報は、自社内で目的外利用するために作成するという用法もある(そのため、36条5項の再識別禁止規定がある)ので、指針にこのような規定を置く意義は理解できなくもない。

しかし、当該研究機関が独立行政法人の場合はどうか。まず、後者については、改正独法法は、非識別加工情報について、自機関での目的外利用という用途を想定していない(それゆえ、非識別加工情報の再識別禁止規定が置かれていない)ので、その用途のために非識別加工情報を指針のこの規定に入れたということはあり得ない。次に、前者について、外部から提供を受けた情報が、独立行政法人において「非識別加工情報」となる場合があるのかどうかである。

前記の通り、匿名加工情報は、情報がその定義条文の要件を満たせばそれに該当するというものではなく、匿名加工情報として扱う場合に限り該当するものとされているので、独立行政法人が外部から提供を受けた情報が非識別加工情報となり得るのは、提供元が、個人情報保護法36条、37条に従って提供している場合に限られる。このケースを指針は想定しているのか。

この点について、前回の日記でも触れた「考え方」No.1179に回答がある。

文部科学省及び厚生労働省の考え方

(略)なお、国立大学が匿名加工情報の提供を受けた場合には、匿名加工情報ではなく、個人情報又は個人情報でない情報(非個人情報)のどちらに該当する情報かを判断し、個人情報又は非個人情報として取り扱っていただく必要があると聞いています。詳しくは総務省にお尋ねください。

人を対象とする医学系研究に関する倫理指針のパブリック・コメントへの文部科学省及び厚生労働省の考え方, No.1179

なんと、独立行政法人が匿名加工情報の提供を受けた場合は、匿名加工情報(この場合、非識別加工情報を含む意味で書かれていると思われる。)として扱うのではなく、個人情報又は非個人情報に該当するものとして扱うとされている。

ということは、以上のことから、医学系研究倫理指針に「非識別加工情報」の規定は実は一切無用だったという結論となるのではないか。

ただ、以上の論理を再度検討すると、いくつか残された論点はある。

公的部門で非識別加工情報の自発的作成が基本的に許されないとした根拠として、8条(独法法では9条)に違反するからとしたが、これは、前記のように、非識別加工情報が常に個人情報に該当するという前提に基づいているからと考えられる。

非識別加工情報が常に個人情報であるとする見解を行政管理局が出していたことは、前回の日記の「行政機関法では匿名加工情報は常に個人情報である?」に書いたが、これは、昨年2月19日時点での整理であり、同年2月22日・23日に、内閣法制局長官から、「行政機関匿名加工情報は、個人情報にあたらないため、関連規定を修正すべき」との指摘を受け、行政管理局は同年2月29日付の資料では個人情報に該当する場合もあるという整理に修正したと思しき経緯がある。(前回の日記の「内閣法制局長官の大どんでん返し」参照のこと。)

それゆえに、上記の「考え方」No.1179でも、「個人情報又は非個人情報として取り扱っていただく必要がある」と書かれていて、「個人情報として取り扱っていただく必要がある」とは書かれていないのだろう。

この「考え方」は今年2月になって公表されたものであるから、やはり、行政管理局はその後、非識別加工情報は個人情報となる場合もあれば非個人情報となる場合もあるものとして整理し直している(2月19日時点の整理は破棄されている)と推察される*16

そうすると、非識別加工情報が非個人情報となる場合については、自発的作成も、8条(独法法では9条)に違反しないことになり、可能ということになるのかもしれない。

そのような自発的作成がアリだとなれば、指針における非識別加工情報の扱いも、そういう場合を想定する必要が出てくるのであろうか。

ただ、上記の「考え方」No.1179は、行政管理局から聞いた話として、国立大学が匿名加工情報の提供を受けた場合は、非識別加工情報として扱うのではなく、個人情報又は非個人情報として扱えというのであるから、やはり、非識別加工情報をそういう用途のものとして捉えるべきではないということだろう。

というわけで、再検討してもやはり、指針に非識別加工情報の規定は無用だったと思う。

なぜこんなことになってしまっているのか。見直し合同会議は、当初、非識別加工情報がどういうものかを行政管理局にちゃんと確認しないで、単純に民間部門における匿名加工情報と同列の扱いで(名称がなぜか違う*17といった程度の認識で)機械的に「匿名加工情報」=「匿名加工情報及び非識別加工情報」として扱って指針改正案を作ってしまい、後になって、行政管理局から違うよと言われたということではないか。

ただでさえ煩雑なこの指針にこのような無用な規定が入ったことは、そもそも匿名加工情報からして記載不要だと再三申し上げていた私としては、残念と言う他ない。

指針の適用対象である研究実施者の方々には、非識別加工情報の規定は無視すればよいものとしてご理解いただき、文科省・厚労省は、次の指針改正でこの点を直すべく準備しておくべきだろう。

*1 「個人情報でない」が「非個人情報であるとは限らない」とは、事務局もいささか混乱しているようだ。

*2 個人情報保護法では「他の情報と照合」となっているのに、指針では「他で入手できる情報と照合」となっていた。法の「他の情報」は民間部門では主に当該事業者自身が保有する他の情報を指す(これが提供元基準の謂れ。)のに対し、「他で入手できる情報と照合」では、提供元基準を否定するものということになってしまうので、これらは無視できない違いがあったということになる。

*3 このことは、2015年の「人を対象とする医学系研究に関する倫理指針ガイダンス」(文科省・厚労省)においても、「個人の医療等に関する情報は、その情報自体が身体的特徴を表すことがあり、例えば、氏名、生年月日その他の「特定の個人を識別することができることとなる記述等」を機械的にマスキングすることだけでは、特定の個人が識別されることを不可能にしたと言い難い場合がある。」とし、仮名化だけでは真に「不可能」な連結不可能匿名化とは言えない場合があるとしていた。

*4 この点については、「匿名加工情報は何でないか・後編」で書く予定。

*5 大綱は、「本人の同意がなくてもデータの利活用を可能とする枠組みの導入等」(7頁)で、「個人の特定性を提言したデータ」の件(後の匿名加工情報)に触れた後、次の段落で、「また、医療情報等のように適切な取扱いが求められつつ、本人の利益・公益に資するために一層の利活用が期待されている情報も多いことから、萎縮効果が発生しないよう、適切な保護と利活用を推進する。」としていた。

*6 この点については、「匿名加工情報は何でないか・後編」で書く予定。

*7 2015年12月6日の日記「匿名加工情報は何でないか・前編(保護法改正はどうなった その2)」の「匿名加工情報の定義に該当するからといって36条〜39条の義務が課されるわけではない」及び2016年2月5日の日記「匿名加工情報は何でないか・前編の2(保護法改正はどうなった その4)」参照。

*8 「「匿名化されている情報」として取り扱っていただくこととなります」では、意味が伝わりにくいだろう。ここはもっと端的に、「匿名加工情報として取り扱うための手続きを行わない場合には、匿名加工情報としての義務が課されるものではありません。」と書いた方がよいが、そうは断言しづらかったのだろうか、指針の「匿名化されている情報」の方が適用されるとだけ書かれた。両者は二者択一なわけではないのだから、法の適用がないことをちゃんと言わないと否定されないのであり、これではまだ誤解する人もいそうだ。

*9 こうしてみると、改正個人情報保護法は、4章2節(匿名加工情報取扱事業者等の義務)を、76条1項の適用除外の対象から外せばよかったのではないかと思えてきたがどうか。適用除外は、報道や学問の自由を制限しないように設けられたものだが、4章2節は、匿名加工情報を使わなければ義務は課されないのであり、使う使わないは自由なのであって、使う選択をしたからにはその手順・手続きに従うというものだから、その従うことは自由が制限されたわけでもなんでもないわけで、元々適用除外とする必要がなかったのではないか。

*10 (3)は作成時の公表義務、(4)は提供時の明示義務、(6)は作成時安全管理措置内容の公表義務、(7)は提供を受けた匿名加工情報の二次提供時の明示義務、(9)は提供を受けた匿名加工情報の安全管理措置内容の公表義務となっている。

*11 この記事のことは、11月29日の日記「医学研究等倫理指針見直し3省合同会議が迷走、自滅の道へ」の脚注10でも触れていた。

*12 昨年2月5日の日記「匿名加工情報は何でないか・前編の2(保護法改正はどうなった その4)」参照。

*13 これまで、提供について、「できる」規定がないのに匿名加工情報を提供できるのは匿名加工情報が個人情報でないからだという整理は見てきたが、作成についても同様の理由があったということだ。

*14 2015年3月8日の日記「世界から孤立は瀬戸際で回避(パーソナルデータ保護法制の行方 その14)」参照。

*15 独立行政法人が、研究用に取得した個人情報で個人情報ファイルを構成している場合に、それが、独立行政法人等非識別加工情報への加工対象となるかというと、学術研究目的の個人情報ファイルは、個人情報ファイル簿に記載しないことになっている(独立行政法人等個人情報保護法11条2項6号)ので、対象とならない。

*16 文科省・厚労省のこの「考え方」No.1179は、「……と聞いています。詳しくは総務省にお尋ねください。」と書かれているように、行政管理局に照会して得た見解なのだろう。

*17 その意味では、公的部門の匿名加工情報は、民間部門の匿名加工情報と規律の内容的に異なるものであるから、民間部門のそれとは異なる名称にせよとした内閣法制局長官の指摘は、尤もなものだったとも言えるかもしれない。(それでもなお、文科省・厚労省には同一視されてしまったわけだが。)

本日のリンク元 TrackBack(0)

追記

最近のタイトル

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|
追記