高木浩光＠自宅の日記

■ 現行法の理解（パーソナルデータ保護法制の行方 その2）

この議論に参加するには現行法の理解が欠かせない。私も半年前にようやく理解したばかりであり、一部は論文として書いていた*1ところ、一般向けには、図を用いるなどしてプライバシーフリーク・カフェの動画コンテンツで提供したかったところだが、悠長にやっている場合ではなく、今すぐ全ての人が知るべきだと思うので、とりあえず取り急ぎ*2ほとんど文章だけで。以下、行政機関個人情報保護法や情報公開法と対比しながら、個人情報保護法の民間部門の第三者提供の制限について考える。

1. 個人に関する情報

まず最初に、先日の第1回「プライバシーフリーク・カフェ」（前編）の様子をまとめた「「個人を特定する情報が個人情報である」と信じているすべての方へ」を踏まえておかないといけない。ここは基礎の基礎であり、これを間違えていると全部が吹っ飛んでしまう。「個人を特定する情報が個人情報である」との理解は間違いであり、「個人に関する情報」全体が個人情報である（それに含まれる記述等から特定の個人を識別できる場合に）。

このことは文献[宇賀2013]で繰り返し指摘されている。

「なお、「A氏が解雇された」という情報の場合、その全体が「個人に関する情報」であって、「A氏」という個人を識別しうる部分のみが「個人に関する情報」であるわけではない。

宇賀克也, 個人情報保護法の逐条解説第4版, 有斐閣, 286頁

「たとえば、川田花子が開示請求した「保有個人情報」の中に、「1950年3月6日出生の山田太郎は、財務省に勤務している」という情報が含まれている場合、この情報全体が山田太郎の個人に関する情報である。すなわち、「1950年3月6日出生の山田太郎は」という個人を識別できる情報の部分を除いた「財務省に勤務している」という情報も山田太郎の個人に関する情報である。」

宇賀克也, 個人情報保護法の逐条解説第4版, 有斐閣, 310頁

この解釈が条文から明らかであることは、文献[宇賀2010]で（同様の条文を持つ情報公開法についてではあるが）次のように説明されている。

情報公開法要綱案第六(1)においては、「個人に関する情報（略）であって、特定の個人が識別され又は他の情報と照合することにより識別され得るもの」という表現になっていたが、本条1号本文では、「当該情報に含まれる氏名、生年月日その他の記述等により」の部分が「特定の個人を識別することができるもの」の前に付加されている。その結果、氏名、生年月日等、それ自体として個人を識別しうる情報のみならず、「平成元年に肺癌に罹患」という個人の病歴の部分等も、「個人に関する情報」に含まれることがより明確になっている。

宇賀克也, 新・情報公開法の逐条解説[第5版], 有斐閣, 70頁

また、行政管理局による行政機関情報公開法の逐条解説でも、次のように解説されている。

（参考2）個人情報の外延について

「個人情報」は、通例は特定の個人を識別可能とする情報と当該個人の属性情報からなる「一まとまり」の情報の集合物である（このため、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」と規定している。）。

解説 行政機関等個人情報保護法, 行政管理局, 12頁

したがって、安全管理措置義務違反によって個人データの漏えいをひき起したとき、漏えいした情報に購買履歴が含まれているにもかかわらず、「漏えいした情報は、氏名、生年月日、住所、電話番号である。」と発表（事例として2011年11月6日の日記参照）するのは、法解釈の誤りである。

2. 第三者提供時の個人データの範囲

次に、「個人データ」の第三者提供（23条）について。23条1項は「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。」と規定している。

現行法で「個人データ」は、「個人情報データベース等を構成する個人情報をいう」と定義されているので、「個人データ」に当たるには「個人情報」に該当することを要する。ここで、「個人情報」の定義のうち「氏名、生年月日その他の記述等により特定の個人を識別することができる」の部分に限って着目する（括弧書きを仮に無視する）と、提供するデータが「個人データ」由来のものであっても、そのデータが「個人情報」に該当しなければ、23条が言う「個人データの第三者提供」に当たらないとされる。

例えば、「鈴木さんにより、深夜に鮭弁とプリンが購入された」と「佐藤さんにより、昼間におにぎりとお茶が購入された」が記録された「個人情報データベース等」があって、そこから取り出した「鈴木さんにより、深夜に鮭弁とプリンが購入された」という1個のレコードは「個人データ」に該当するが、そこから切り出した「深夜に鮭弁とプリンが購入された」という部分情報を第三者に提供することは（直ちには）個人データの第三者提供に該当しない。——(1)

このことは、昨年6月の、規制改革会議の「国際先端テスト検討結果 ⑩ビッグデータ・ビジネスの普及（匿名化情報の取扱い）」において、「週3日以上ワインを飲んでいる」か否かという二値の属性情報の提供について、「当該属性情報は「個人情報」には該当しないこととなる」とされていることから、そう理解するほかない。

この場合に、個人データ由来のデータであっても第三者提供が合法であることに違和感を覚えるかもしれないが、それは、一つには、例えば、受託業務で預かっている個人データから勝手にデータを抽出して販売するケースや、通信の秘密を侵害する形で抽出したデータを販売するケース等は、それぞれ契約違反であったり、他の法令に違反しているなど、別の問題からくる違和感であろう。（もう一つの原因からくる違和感については、次節以降を参照。）

類似の話として、個人データを統計データに加工して利用することについて、経済産業省の「個人情報保護ガイドライン等に関するQ&A（平成22年4月1日現在）」のQ45は、「A事業で取得した個人情報を、個人が特定できない情報に加工して、B事業の統計データとして利用する場合、B事業についても利用目的として特定する必要はありますか。」とのQに対し、「利用目的の特定は、個人情報を対象とするため、個人情報に該当しない統計データは対象となりません。また、最終的な利用目的を特定すれば足りますので、統計データへの加工の過程を利用目的とする必要はありません。」と答えている点が、これに共通する。

ところで、この考え方は、前節の「「個人に関する情報」全体が個人情報である」とする考え方と一見、矛盾するように思われる。これらの違いについて解説された文献は見つからなかったので、独自に検討してみるに、次のように整理すればよいのではないか*3。

20条の安全管理措置義務では、条文は「取り扱う個人データの漏えい（略）その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」であるから、「一まとまり」の「個人に関する情報」（個人データに当たる）を扱っているからには、その一部であってもそこから漏えいすれば、安全管理措置義務違反が問われる。一方、個人データから切り出した「深夜に鮭弁とプリンが購入された」という情報を別に取り扱っているときに、それの漏えいを起したとしても、個人データの安全管理措置義務違反には当たらないと解される。これと同様に前記の第三者提供も当たらないと解される*4。

前掲の文献[宇賀2013]の指摘は、行政機関情報公開法の開示義務（14条）に関する解説の部分で出てくるものであり、その条文は「開示請求があったときは、開示請求に係る保有個人情報に次の各号に掲げる情報（以下「不開示情報」という。）のいずれかが含まれている場合を除き、開示請求者に対し、当該保有個人情報を開示しなければならない。」であるから、請求されている情報が「個人に関する情報」の全部であるということであろう。これと同様に、民間部門においても、個人情報保護法25条の開示の求めでは、条文は「本人から、当該本人が識別される保有個人データの開示を求められたときは（略）、当該保有個人データを開示しなければならない」であるから、本人が求めている対象（保有個人データ）を開示しなくてはならないのであって、「個人に関する情報」全体が求められているとして扱う必要があるいうことであろう。

3. 第三者提供時の照合の主体

次に、前記(1)で「（直ちには）」としたのは、「個人情報」定義の残る部分「（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）」を無視した場合だからであり、これに該当するならば、前記の結論は覆り、個人データの第三者提供に該当することになる。

ここで問題となるのは、「他の情報と容易に照合することができ」の解釈について、提供元基準説と提供先基準説の争いがあるとされる点である。*5

つまり、「個人情報データベース等」に格納された各要素の「個人データ」から、その一部の情報を削った（特に「個人を特定する情報」の部分を削った）データ（以下、「提供データ」と言う。）を作成して、それを第三者に提供するとき、その「提供データ」が「個人データ」に該当するか否かの判断がどのような法解釈に基づくべきなのか、「個人情報」定義のうち「氏名、生年月日その他の記述等により特定の個人を識別することができる」には該当せず、残る「他の情報と容易に照合することができ」に当たるか否かで判断されるとき、その「照合する」主体が、提供元の事業者なのか、提供先の事業者なのかという争点である。

この点につき、文献[岡村2014]（72頁）は、文理解釈として、「「個人情報取扱事業者は……個人データを第三者に提供してはならない」という文言に照らせば、提供元基準説は素直な解釈であろう。」とし、提供先基準説をとった場合には「前記法文は「提供先にとって個人データと認められるもの」と読むことになり、やや不自然であるとの批判もあり得る。」としている。

政府は提供元基準説をとっている。明言されたものとして、内閣府行政刷新会議規制制度改革委員会経済活性化WGの2013年10月の会合で、消費者庁が以下のように説明している。

○消費者庁 御紹介いただきました、消費者庁消費者制度課長の堀井と申します。今日は 説明のお時間をいただき、ありがとうございます。

（略）こちらの③のところで「容易照合性」と書いてございますが、この容易照合性の判断の基準としては、その個人情報を取り扱う事業者、こちらを基準に、その事業者の方が情報を保有や取得をした時点、こういった観点で容易照合性を見ているということでございます。

行政刷新会議 規制・制度改革委員会 経済活性化WG 議事概要

また、昨年6月の、規制改革会議の「国際先端テスト検討結果 ⑩ビッグデータ・ビジネスの普及（匿名化情報の取扱い）」においても、「週3日以上ワインを飲んでいる」か否かという二値の属性情報の提供に際して、提供元で元データとの「対応表」を廃棄するのを条件に「当該属性情報は「個人情報」には該当しないこととなる」としているように、提供元基準説がとられていることがわかる。

そして、先週のパーソナルデータ検討会の事務局案においても、詳細編に「提供元（情報を取り扱う事業者）を基準に判断する」と書かれた。

（第三者提供時の容易照合性判断基準）
提供元（情報を取り扱う事業者）を基準に判断する。

「個人情報」等の定義と「個人情報取扱事業者」等の義務について（事務局案）＜詳細編＞, パーソナルデータに関する検討会

なお、事務局案の概要編にも論点整理として以下の記述があるが、これを、現行法解釈論の話だとして読むと、提供元基準、提供先基準の定義としては不正確なものになっている。

利活用の一環でパーソナルデータを流通する場合、以下の2つの考え方があり、事業者においてどちらの基準で考えるべきか判断できない状況が発生している。

A) データの提供元で個人が特定できないデータは、提供することができる（提供元基準）

B) データの提供元で個人が特定できないと判断したデータであっても、提供先が持つ様々なデータと組み合わされることで個人が特定できてしまう場合があるため、提供先での特定性を考慮すべき（提供先基準）

「個人情報」等の定義と「個人情報取扱事業者」等の義務について（事務局案）＜概要編＞, パーソナルデータに関する検討会

「提供元」/「提供先」の選択の他に「してはならない」/「してよい」の選択があるので、以下の図のように、4つがあり得るところ、事務局案概要編の「A)」は③と書かれており、「B)」は②のことを言っているように見える。

現行法は①である。①と③は同じことではない。個人情報保護法の第三者提供の制限は、提供してよい基準を示しているわけではない。個人情報保護法を遵守して何らかのデータを第三者提供したときに、それがプライバシー侵害の原因となることは十分にあり得るところであり、その際の提供者は不法行為責任を負う可能性があるわけで、個人情報保護法がその責任を消滅させるわけではない。

事務局案概要のB)は、「提供先での特定性を考慮すべき」という意味で②のことを言っているようである。ただ、B)の記述をよく読むと、これは、事業者が法解釈として提供元基準を採用して「データの提供元で個人が特定できないと判断した」データについて、「提供先での特定性を考慮すべき」と言っているので、これは現行法解釈論ではなく、立法論になっている（現行法解釈は①だが、それに加えて②も規制するべきという立法論）ように見受けられる。

なお、①と②は共に要求されるという解釈や立法論もあり得る点に注意。

現行法解釈として④の説を唱える*6ものに、文献[岡村2009]がある。

Aにとって識別性を具備する情報を、これを具備しないBに提供する場合には、第三者提供の制限（法23条1項）違反とならないものと考えるべきである。Bにとどまらず通常人からみても誰の情報なのか識別できない以上、その提供によって、本法が想定する権利利益侵害のおそれが本人に通常発生するとは認められないからである。また、かく解さなければ、本人の権利利益を図るため、特定の個人を識別しうる部分を番号・符号に置き換える方法を用いて匿名化したデータを第三者に提供することすら許容されなくなりかねない。これと反対に、Aにとって識別性を具備しない情報を、これを具備するBに提供するケースは、理論上は想定できても、実際に発生しうるか疑問である。

岡村久道, 個人情報保護法[新訂版], 商事法務, 76頁

この説を頼りに正当性を主張している事業者が何社かあると聞く。私も個人的に事業者からそのように説明を受けたことがある（2013年6月30日の日記脚註2参照）。

この著者である岡村久道弁護士が、先月、厚労省の個人情報保護ガイドラインが、提供先基準を採用しているとするブログを書かれた。*7

個人情報保護法23条にいう「個人データ」の識別性判断基準について、提供先ではなく提供元を基準とする考え方が政府見解だと主張している人が居るようだ。本当であろうか。（略）

厚生労働省の『医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン』（平成22年9月最終改正）がある。 「特定の患者・利用者の症例や事例を学会で発表したり、学会誌で報告したりする場合等は、氏名、生年月日、住所等を消去することで匿名化されると考えられる」として発表等を適法としている（7頁）。本文で引用した部分に続き、「症例や事例により十分な匿名化が困難な場合は、本人の同意を得なければならない。」としている。

個人情報保護法23条の識別性判断基準と省庁指針, 情報法学日記　by 岡村久道

厚労省の「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」の7頁にその記述があるという（確かに7頁6行目からにある）のだが、しかし、その直前の段落（5頁下から2行目〜6頁5行目）を見ると、次のように書かれている。

このような処理を行っても、事業者内で医療・介護関係個人情報を利用する場合は、事業者内で得られる他の情報や匿名化に際して付された符号又は番号と個人情報との対応表等と照合することで特定の患者・利用者等が識別されることも考えられる。法においては、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」についても個人情報に含まれるものとされており、匿名化に当たっては、当該情報の利用目的や利用者等を勘案した処理を行う必要があり、あわせて、本人の同意を得るなどの対応も考慮する必要がある。

医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン, 厚生労働省

このように、厚労省のこのガイドラインも提供元基準を採用している旨を明言している。「発表等を適法としている」に当たる記述はなく、「本人の同意を得るなどの対応も考慮する必要がある」としている。同じく厚労省の「福祉関係事業者における個人情報の適正な取扱いのためのガイドライン」についても同様である。*8

なお、文献[岡村2014]においては、「提供先基準説のほうが、こうした制度趣旨に対して素直な解釈といえよう」とする理由として、以下のように、前記の図1でいう②に相当することのみを示し、④に当たる主張（文献[岡村2009]では主張されていたもの）は示されていない。

提供先にとって識別性がない情報と比べて、提供先にとって個人識別性がある情報のほうが、本人の権利利益を害するおそれが格段に大きくなることは当然である。したがって、第三者提供と個人識別性との関係について、提供先において識別情報か否かを基準とする提供先基準説のほうが、こうした制度趣旨に対して素直な解釈といえよう。

岡村久道, パーソナルデータの利活用に関する制度見直しと検討課題（中）, NBL No.1020, 72頁

②の重要性は立法論として賛成する余地のあるものであるが、現行法解釈論としては①を否定する理由にならない。（①と②は互いに排他的ではなく、両方を要求する立法論もあり得る。）

①を実質論から否定するには④を正当化する必要があるところ、④を正当化しようとしても無理がある。事業者Xが④及び②に沿って事業者Aに提供するとき、事業者Aにおいてそのデータは個人データに当たらないため、事業者Aに個人情報取扱事業者の義務がなく、事業者Aはそのデータを更に第三者（事業者B）に提供する自由がある。この提供が行われるとき、事業者Bにおいてそのデータが特定の個人が識別されるものとなる場合であっても、規制されないことになる。この場合、事業者Xは②に沿ったつもりだったのに、結果として②に反する事態を招いたことになる。

このような事態について、文献[岡村2009]は、前掲引用部で「Aにとって識別性を具備しない情報を、これを具備するBに提供するケースは、理論上は想定できても、実際に発生しうるか疑問である。」としているが、「実際に発生しうるか疑問」との指摘は技術論として誤りである。パーソナルデータ検討会の「準個人データ」（4月16日事務局案）の第三者提供制限がまさにこのような事態を想定した措置になっている。

4. 照合による特定個人識別

次に、具体的にどのような場合に「照合することができ、それにより特定の個人を識別する（以下、「照合による特定個人識別」と言う。）ことができることとなる」のか。基本となる照合パターンは、組織が元々持っている様々な情報についての照合であり、文献[宇賀2013]が「たとえば、メールアドレスは、一般的には個人識別性を有しないが、当該本人が契約するプロバイダーにとっては他の情報と容易に照合して個人識別が可能な個人情報といえよう。」（29頁）との例を挙げているように、組織内に契約者情報を持っていてそれと紐づく情報は「照合による特定個人識別」ができる情報ということになる。

別の照合パターンは、組織が元々持っている「個人情報」を自ら分割し、分離した部分情報を取り扱うときに、その分離した部分情報の「個人情報」該当性について、「照合による特定個人識別」ができるか否かである。このときの照合の対象は分割した元の情報であり、元の情報と照合することにより「特定の個人を識別することができる」かが判断の分かれ目となる。

この照合パターンの一つ目の典型は「対応表による照合」である。いわゆる「仮名化」の措置では、分離した部分情報に乱数等による識別子を付番し、元データとを一対一に対応付けることにより、継続して「仮名化」情報を作成することがある。

前掲の「国際先端テスト検討結果 ⑩ビッグデータ・ビジネスの普及（匿名化情報の取扱い）」において、「週3日以上ワインを飲んでいる」か否かという二値の属性情報を第三者提供するとき、提供元で元データとの「対応表」を廃棄すれば、提供データが「個人情報」に該当しないとされているのは、この「対応表」が存在すると「照合による特定個人識別」が成立するということである。

二つ目の典型は「データセットによる照合」である。具体例としてちょうど当てはまるのが、昨年問題となった、JR東日本によるSuica乗車履歴データの日立製作所への提供の事案である。この事案では、対応表の廃棄がどのタイミングで行われるか当初の言い分と後の説明で異なるなど、事実関係がはっきりしないが、仮に対応表を常時廃棄していたとしても、提供する履歴データ自体が、非常に詳細なものであるため、元データと一対一対応してしまうものであった*9*10。このことを指して「データセットによる照合」と言う。

前記の「国際先端テスト結果」で、「週3日以上ワインを飲んでいる」の例が、「対応表」さえ廃棄すれば「個人情報」に該当しなくなるとされていたのは、提供データが、「週3日以上ワインを飲んでいる」か否か（YESかNOか）という二値の属性情報であるため、「データセットによる照合」は不可能であるという暗黙の前提を置いていたためであろう。実際には、「対応表」が廃棄され、かつ、「データセットによる照合」ができない場合に「照合による特定個人識別」が否定される。

前記(1)の「深夜に鮭弁とプリンが購入された」というデータの提供が「個人データの第三者提供」に該当しないのは、この「対応表による照合」と「データセットによる照合」が共にできないデータの例である。前回の日記の図2で書いたように、パーソナルデータ検討会の事務局案＜概要編＞14頁の「【事例】①」の購買履歴の第三者提供は、このケースに当たる。

なお、「データセットによる照合」について記述した逐条解説は見当たらないが、文献[岡村2009]の79頁は、単一の個人データについて、それが顔写真である場合には、マスキングしても元データと「照合による特定個人識別」ができることについて触れており、提供元における「データセットによる照合」の概念を示唆するものになっていた。

この場合、医師としては発表・報告用の複製物のみをマスキングによって匿名化しつつ、顔写真の原本にはマスキングせずに別途残しておく方法が通常であろう。したがって、当該原本と容易に照合しうる当該医師にとって、むしろ上述の諸事情は連結可能匿名化である場合が一般的であろう。

岡村久道, 個人情報保護法[新訂版], 商事法務, 79頁

これが、より抽象的なデータであっても、データが詳細かつデータの人数が多数のときには、提供元における「データセットによる照合」が可能と言うべきであることが、Suica乗車履歴の事案により明確になった。

前記「第三者提供時の個人データの範囲」の節で示した「個人データ由来のデータであっても第三者提供が合法であることに違和感を覚えるかもしれない」の「もう一つの原因からくる違和感」は、このようなケースのことである。

5. k-匿名性の法的位置付け

次に、この「データセットによる照合」と「k-匿名性」の関係について。

個人情報を匿名化して利活用するにはどうしたらよいかについては、経済産業省の「情報大航海」プロジェクトでも検討されたことであり、プロジェクト終了後もそれを引き継いで検討が続けられていた。経産省は「経済産業分野における匿名情報を安全に利用するための手引（案）〜情報の加工・管理・第三者提供の考え方〜」という文書を2011年に作成していたが、完成せず正式版の公表に至っていない。そのときの検討案は、以下の「個人情報保護の制度・運用に関する研究会」の報告書の一部（100頁以降に掲載）として公開されている。

• 経済産業省委託調査 経済産業分野を対象とする個人情報保護ガイドライン等の見直し及び普及啓発に係る調査研究 報告書, 2011年3月

この手引案には、k-匿名化といった考え方が出てくるが、当時この検討が行われているとき、法学者の間では「意味がさっぱり分からない」といった声があり不評をかっていたのを記憶している。k-匿名性という評価指標自体は明確であるが、それと個人情報保護法とがどのように対応するのか明らかになっていなかった。

その点、「データセットによる照合」の概念が法学者の間で明確になった今、k-匿名性は、「データセットによる照合」が不能な状態を表す指標として、その位置付けは明確になったと言える。例えば、前掲の「週3日以上ワインを飲んでいる」の例で言えば，YESとNOの両方とも2人以上であれば、「2-匿名性」があると評価される。

鉄道の乗車履歴データを提供する際にも、k-匿名化すれば「データセットによる照合」は否定され、現行法の第三者提供の制限は解除されることになる。

ただし、k-匿名性評価の扱い方に注意が必要である。

従来、k-匿名化が論文等で話題になるとき、以下の図の「郵便番号」「性別」「年齢」のピンクで色付けされた列のように、専ら特定の個人を識別するために用いられる属性情報を対象に、k-匿名性が評価される形で扱われることが多かった。

この扱い方では、背景が白の「趣味」の列が k-匿名性評価の対象になっていない。この例では、「趣味」の列が「アニメ」「映画」「ドラマ」「時代劇」と4種類しかないため、これを第三者提供したり一般公開しても個人の権利利益を害することはないと直感するだろう。

しかし、白の列に、例えば鉄道の乗車履歴が入った場合はどうか。この扱い方では、「郵便番号」「性別」「年齢」を丸めれば k-匿名化されたことになってしまうが、そのような扱い方をしている限り、いったい何のためのk-匿名化なのか意味不明だと言われるのも当然であった。

この点につき、すべての列を対象にk-匿名性を評価するべきとしたのが、パーソナルデータ検討会技術検討WGの第2回で、高橋克巳構成員が提出した資料「個人識別できない匿名データは作成できるか」の9頁のスライドである。

スライド下部にあるデータを表す2本の横棒について、従来のありがちなk-匿名性の扱い方では、上の横棒のように、「そのまま（非保護）」とする緑色の部分があった。これを、下の横棒のように、すべての列を「加工（k匿名化して保護）」の黄色の部分として扱うべきという指摘である。こうすることによって、現行個人情報保護法の下で非「個人データ」化することが可能となる。

この議論については、以下の論文でも発表しており、以下のスライドの5頁〜8頁がそのことを説明している。

• 板倉陽一郎, 伊藤孝一, 菊池浩明, 高木浩光, 高橋克巳, 中川裕志, 疋田敏朗, 廣田啓一, 山口利恵, 渡辺創, 「完全な匿名化」幻想を超えて, SCIS2014 暗号と情報セキュリティシンポジウム, 3D1-4
• 同 発表スライド

6. 照合の対象情報の範囲

次に、「他の情報と（容易に）照合することができ、それにより特定の個人を識別することができることとなるもの」というときの、「照合することができ」る「他の情報」がどこまでの範囲を指すか。

まず、照合について「容易に」の要件のない行政機関個人情報保護法については、行政管理局の逐条解説で次のように説明されている。

照合の対象となる「他の情報」には、その保有者が他の機関である場合も含まれ、また、公知の情報や、図書館等の公共施設で一般に入手可能なものなど一般人が通常入手し得る情報が含まれる。特別の調査をすれば入手し得るかもしれないような情報については、通例は「他の情報」に含めて考える必要はない。しかし、事案によっては、個人の権利利益を保護する観点からは、個人情報の取扱いに当たって、より慎重な判断が求められる場合がある。行政機関の長は、当該個人を識別するために実施可能と考えられる手段について、その手段を実施するものと考えられる人物が誰であるか等をも視野に入れつつ、合理的な範囲で考慮することが適当である。

解説 行政機関等個人情報保護法, 総務省行政管理局, 13頁

ここで、「他の情報と（容易に）照合する」の「照合」は次の3つの場合に分解できるのだが、

(a) 自組織内にある「他の情報」との照合

(b) 自組織外の特定の組織にある「他の情報」との照合

(c) 自組織外にある(b)以外の「他の情報」との照合

上の逐条解説の引用部のうち、「その保有者が他の機関である場合も含まれ」が(b)を指しており*11、「公知の情報や、図書館等の公共施設で一般に入手可能なものなど一般人が通常入手し得る情報が含まれる」が(c)を指している。(a)について明記がないが、(a)(b)に関する記述部分がいずれも「も含まれ」とあるように、当然に(a)がある*12ことを前提としている。

照合による特定の個人の識別について言われる「一般人基準」*13とは、(c)についてを言うものである。(c)についての照合の対象が「一般人が通常入手し得る情報」に限られるとする説である。一般人基準説は、「個人情報」について同じ定義条文を持つ情報公開法において確立している説であり、例えば、行政管理局の「個人情報（法第5条第1号）についての検討資料」の「II 要件の解釈、運用」の冒頭で、「判決・答申では、照合する「他の情報」を「一般人」が入手できる情報に限るとする、いわゆる「一般人基準」を採用しているのが通例である。」*14と書かれている。

次に、照合について「容易に」との要件が付く民間部門の義務規定にかかる「個人情報」定義では、(a)(b)(c)それぞれの照合について、より弱い基準で照合可能とされることになる。

(a)については、組織内部であっても「取扱部門が異なる等の事情により照合が困難な場合」は容易照合可能でないとする説[内閣官房2002]、「内部組織間でもシステムの差異のため技術的に照合が困難な場合、照合のため特別のソフトを購入してインストールする必要がある場合」とする説[宇賀2013]がある。

(b)については、「他の事業者への照会を要する場合」は容易照合可能でないとする説[内閣官房2002]、「他の事業者に通常の業務では行っていない特別な照会をし、当該他の事業者において、相当な調査をしてはじめて回答が可能になるような場合」は容易照合可能でないとする説[宇賀2013]がある。

(c)については、解説が見当たらない。これは、(b)さえ含まない、又は、(b)が含まれるとしても特別な照会を要する場合に限定されるとしているのだから、自組織外にある(b)以外の「他の情報」との照合を含まないのは当然ということであろうか。そうでないとしても、行政機関法の一般人基準を適用するという見解は見当たらないので、一般人基準よりかなり限定的なものと考えられる。

さて、これらの照合の対象範囲に関する説は、情報を取扱う者を照合の主体としているのであろうが、これが、前記の第三者提供時の提供データに関して提供先基準を採用した場合にどのような意味となるか、以下で検討してみる。

(a)は前記と同様の説が成立し得る。提供先の組織内において照合できる「他の情報」があるかどうかである。(b)も前記と同様の説（すなわち、提供先の組織が別の組織と「オンラインで結合されるような場合」に照合可能性が肯定されるなどの説）が成立し得る。(c)は、自組織とは無関係な他組織その他にある情報との照合を言うものであり、提供元でも提供先でも事情は同一であるから、前記と同じ議論が成り立つ。

ここで、提供元基準と提供先基準を比較してみると、(a)と(b)の照合については、照合の主体が異なるため、照合対象となる「他の情報」は異なるものとなるのに対し、(c)の照合については、提供元でも提供先でも事情は同一であるから、照合対象となる「他の情報」は同一のものとなる。

つまり、提供元基準か提供先基準かという議論は(a)と(b)の照合に関するものであって、(c)の照合はその議論に関係しないということである。

7. 情報公開法との対比

先日のパーソナルデータ検討会で事務局案が示されたことを受け、岡村弁護士が「個人情報保護法改正と情報公開法制」と題するブログで、以下のように主張されている。

ちなみに、情報公開法5条の解釈に関する判例理論は、提供元ではなく提供先を基準に、しかも一般人を基準として識別性の有無を判断しているものが判例の主流である。このように、提供先となりうる一般人を基準に判断する以上、提供元において判断できないというおそれはない。もしできないというなら、最高裁判例を間違いとして責めていることになる。実務的にも、こうした基準で何ら不都合は生じていない。

これに対し、識別性判断について提供元基準説という見解があるようだが、それによれば情報公開法制が、さらに酷い状態になってしまうことを、賢明な読者諸氏なら、もうお分かりだろう。

個人情報保護法改正と情報公開法制, 情報法学日記 by 岡村久道

「提供元ではなく」とのことであるが、情報公開法の運用では、前掲の行政管理局の検討資料にあるように、「判決・答申では、照合する「他の情報」を「一般人」が入手できる情報に限るとする、いわゆる「一般人基準」を採用しているのが通例である。」とされているところ、これは、前記の整理の(c)の照合について「一般人基準」としたものであり、(c)の照合は、提供元基準か提供先基準かに関係しないのであるから、情報公開法が一般人基準を採用していることが、提供元基準を否定することにはならない。

「提供元において判断できないというおそれはない」が何を言わんとしているか明確でないが、推察するに、提供先基準説を否定する理由として「提供先で照合できるかを提供元で判断できないから、民間部門の義務としては過剰規制である」が挙げられる*15ことに対する反論だと思われる。

しかし、照合は前記の整理の通り(a)(b)(c)の3つから成り、そのうち「一般人を基準に判断する以上、判断できないというおそれはない」と言えるのは(c)の照合についてだけであり、残る(a)と(b)の照合について「提供先で照合できるかを提供元で判断できない」は否定されない。提供元基準か提供先基準かは(a)と(b)の照合についてのものであるから、（民間部門の義務について）提供先基準説は否定されたままである。或は「提供先基準においては(a)(b)の照合は含まれない」という説なのかもしれないが理由がない。

しかも、「提供先で照合できるかを提供元で判断できないから」は、行政機関個人情報保護法を対象にした話ではなく、民間部門の規制において行政機関並の判断を事業者に求めるのは酷であるという話であって、実際、民間部門の「個人情報」定義の「照合」には「容易に」の要件があることから、(c)の照合はそもそも含まない（か、かなり限定される）のであり、民間部門において一般人基準が採用されること自体がない。

次に、提供元基準説をとると「情報公開法制が酷い状態になってしまう」とのことだが、情報公開法は6条2項の部分開示の規定があるため問題とならない。

情報公開法は、5条で、開示請求された行政文書を「開示しなければならない」とするにあたり、その例外として1号〜6号の不開示情報を規定している。そのうち1号が「個人に関する情報」に当たる不開示情報を規定している。この1号に、行政機関個人情報保護法の「個人情報」定義と同様の、「個人に関する情報（略）であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と照合することにより、特定の個人を識別することができることとなるものを含む。）」という条文がある。そのため、この括弧書き内の「他の情報と照合することにより」の解釈について、保護法における「提供」と同列にみなして、提供元基準（開示元基準）か提供先基準（開示先基準）かという議論が成立し得る。岡村弁護士のブログは、そのような同列視をした上で、提供元基準説をとると「情報公開法制が酷い状態になってしまう」（元データが存在する限り提供元で照合が可能であり、何も開示できなくなってしまう）としていると推察される。

しかし、情報公開法は、次のように、6条2項で「氏名、生年月日その他の特定の個人を識別することができることとなる記述等の部分」を除く*16ことにより、5条1号の情報に含まれないものとみなして、「当該部分を除いた部分につき開示しなければならない」と規定している。

（部分開示）
第六条 行政機関の長は、開示請求に係る行政文書の一部に不開示情報が記録されている場合において、不開示情報が記録されている部分を容易に区分して除くことができるときは、開示請求者に対し、当該部分を除いた部分につき開示しなければならない。ただし、当該部分を除いた部分に有意の情報が記録されていないと認められるときは、この限りでない。

２ 開示請求に係る行政文書に前条第一号の情報（特定の個人を識別することができるものに限る。）が記録されている場合において、当該情報のうち、氏名、生年月日その他の特定の個人を識別することができることとなる記述等の部分を除くことにより、公にしても、個人の権利利益が害されるおそれがないと認められるときは、当該部分を除いた部分は、同号の情報に含まれないものとみなして、前項の規定を適用する。

行政機関の保有する情報の公開に関する法律（平成十一年五月十四日法律第四十二号）

この規定をわざわざ置く必要があるのは、元の情報から「個人を特定する情報」の部分（つまり、氏名、生年月日その他の記述等の部分）を削除すれば「個人情報」でなくなるわけではないからである。このことは前記の第1節で示した通りである（文献[宇賀2013]がこのことを繰り返し指摘している）わけだが、この部分開示規定の趣旨について、文献[宇賀2010]は次のように解説している。

個人に関する情報は、「氏名その他特定の個人が識別され得る情報の部分」に限られないから、氏名、生年月日その他の特定の個人を識別することができることとなる記述等の部分を除いた部分も、行政機関情報公開法5条1号ただし書に該当しないかぎり不開示とすべきことになるが、個人識別性のある部分を取り除くことによって、公にしても個人の権利利益が害されるおそれがないと認められるときは、これを不開示にする意義に乏しく、最大限の開示を実現する観点からは、部分開示をすることが望ましい。そこで、このような場合には、個人識別性のある部分を削除した残りの部分については、5条1号の個人に関する情報には含まれないとみなして部分開示を行うこととしたのである。「みなして」という表現から窺えるように、理論的には個人に関する情報であるが、個人に関する情報とは取り扱わないということである。この点が、開示情報と不開示情報を区分する1項の一般的部分開示とは異なるので、2項で特別の部分開示規定を設けたのである。

宇賀克也, 新・情報公開法の逐条解説[第5版], 有斐閣, 108頁

この部分開示規定の必要性は、「個人に関する情報」の解釈から導かれるもので、提供元基準か否かに関係なく必要とされるものであるが、この規定の存在により、提供元基準（開示元基準）であっても情報公開制度に不都合をもたらさないことになっている。

なお、このことは、行政機関個人情報保護法においても、開示義務（14条）について（開示請求者以外の個人に関する情報が含まれている場合の）部分開示（15条2項）が規定されているのが同じ構造となっている。

次に、岡村弁護士のブログで「提供先を基準に判断しているものが判例の主流」とされている点について。

確かに、情報公開・個人情報保護審査会の答申一覧に掲載されている答申を見て行くと、「照合による特定個人識別」について提供先基準での(a)(b)の照合について検討している記述が見られる。

例えば、諮問庁が厚生労働大臣であった「国立病院、国立療養所、国立高度専門医療センターにおける医療事故の報告（平成12年度）の一部不開示決定に関する件」（平成14年1月9日答申）の答申書を見ると、不開示決定をした諮問庁が、「施設名及び診療経過は単体では個人を識別しないが、患者の近隣住民や親戚縁者等にとってはその取得した他の情報と照合することにより特定の個人を識別できることとなり」を理由として、5条1号の不開示情報としたものであり、諮問庁が提供先基準で(a)(b)の照合を想定していると言える。

しかし、情報公開・個人情報保護審査会は、この点につき検討し、「一般人基準」を適用して、開示が相当と判断し、諮問庁の上記の主張を退けている。つまり、審査会が提供先基準での(a)(b)の照合を否定している事例である。既に述べたように、「一般人基準」は(c)の照合であり、(c)の照合は提供元基準でも提供先基準でも同一であるのだから、こうした答申は、提供元基準を否定することにならないし、提供先基準であることを示すものにもならない。*17*18

最後に、先の「情報公開法制が酷い状態になってしまう」というのが、逆に、「提供先基準（で(a)(b)の照合を想定）をとらないと、提供先で特定個人識別される情報まで開示されることになってしまって、プライバシーが侵害されてしまう」という意味である可能性（その場合は「一般人基準」ではないのだが）について。その点は、情報公開法5条1号の後段で拾うようになっているので、やはり問題とならない。5条1号は次のように規定されている。

一 個人に関する情報（事業を営む個人の当該事業に関する情報を除く。）であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と照合することにより、特定の個人を識別することができることとなるものを含む。）又は特定の個人を識別することはできないが、公にすることにより、なお個人の権利利益を害するおそれがあるもの。ただし、次に掲げる情報を除く。

行政機関の保有する情報の公開に関する法律（平成十一年五月十四日法律第四十二号）

これは、「個人に関する情報であって、特定の個人を識別することができるもの」（前段）と、「個人に関する情報であって、特定の個人を識別することはできないが、公にすることによりなお個人の権利利益を害するおそれがあるもの」（後段）という意味である。

提供元では特定個人識別できない情報で、かつ、提供先で(a)(b)の照合によって特定個人識別できるような情報の開示を請求されたとき、提供先基準説をとらないがために特定個人識別できないと判断して開示しようと（前段をクリア）しても、そのような開示が「個人の権利利益を害するおそれがある」場合には、やはり不開示情報とする（後段に該当）としているものである*19。まさにこの場合に当たる事例として、以下の裁判例がある。

「情報公開法5条1号にいう上記「他の情報」がいかなる範囲の者を指すかについては、同法の文言のみからは明らかでないといわざるを得ないが、（略）

開示された情報のみでは特定の個人を識別できるとはいい難いが、ほとんどそれと等しいもの、すなわち、一般人が容易に入手し得る情報と組み合わせると特定の個人が識別され得る場合には、本来の個人識別情報と同様に取り扱わざるを得ないという趣旨に解するのが相当である。もっとも、上記のような解釈によって個人識別情報に該当しないとしても、当該個人と特別の関係のある者が開示請求によって得た情報と自己の有する情報を組み合わせることにより、当該個人に関する情報を取得することにより、当該個人の権利利益が害されるおそれがある場合には、情報公開法5条1号後段により、不開示情報となし得ることはいうまでもない。

東京地判平成15年5月16日 東京労働局長関係

この裁判例は、前掲の「個人情報（法第5条第1号）についての検討資料」の「II 要件の解釈、運用」において、「「一般人基準」を採用し、特定個人を識別することはできないとしつつ、当該個人と特別の関係のある者が開示請求によって得た情報等と照合することにより、個人の権利利益を害するおそれがあるとして、不開示を妥当とした判決」として紹介されている。

8. 表現の自由との関係

文献[岡村2014]には、「表現の自由を不当に損なう」とする以下の記述がある。

前掲最高裁判例では、プライバシー侵害だけでなく名誉権についても、非識別情報の公表・提供は名誉毀損に該当しないという立場が採用されている。これらの権利は人格権に分類されているが、当該情報の「受け手」（提供先）にとって特定個人についての識別性がない場合には、当該特定個人の人格権、人格的利益が損なわれたとは認められない。これらの判例理論では、元になった識別情報を消去することは要求されていない。

公表（提供）の際に公表（提供）元に識別情報が残存しているか否かは、本人のプライバシー保護にとって本来無関係な事柄である。にもかかわらず、元情報を消去しなければ、非識別化した情報を公表（提供）できないとすると、表現の自由を不当に損なうおそれがある。

現行の保護法23条の解釈においても、プライバシー・名誉権との前記関係を考慮すると、それとかけ離れた解釈をすることはできないから(29)、提供元ではなく提供先を基準に識別性の有無を判断する提供先基準説のほうが妥当であるように思われる(30)。

岡村久道, パーソナルデータの利活用に関する制度見直しと検討課題（中）, NBL No.1020, 73頁

まず、「プライバシー・名誉権とかけ離れた解釈をすることはできない」とあるが、個人情報保護法は、予防措置としての行政による事前規制であるから、必ず実際にプライバシー権を侵害するわけではない場合が含まれていても保護の対象とするのが法の趣旨である。

提供先にとって特定個人識別されない場合まで保護するのかという点については、一律にそれを保護しないとすれば、それはそれでまた問題が生じることは、前記第3節で示した通りである。

提供元にとって特定個人識別されるデータは全部提供できないのかという点については、第2節で示した事例のように、提供が制限されない場合がかなりある。（ただし、民間部門の場合。）

提供の際に提供元で識別情報が残存しているか否かはプライバシー保護にとって本来無関係ではないかという点については、第5節で示したように、提供元での照合（データセットによる照合を含む）の可否が、結果的に、提供データが匿名化データ（仮名化データではなく）になっているかを表すものとなるという点で、重要な意義を持っているのであり、無関係ではない。

そして、表現の自由を損なうかという点については、民間部門においては、そもそも「散在情報」の第三者提供は制限されていないのだから、表現の自由は損なわれない。

「散在情報」とは何か、現行法の扱いはどうなっているか。「散在情報」と表現の自由との関係については、長くなるので、次回に書くこととする。

9. 現行法の不完全性（改正による仕切り直しへ）

以上を総括すると、概ね以下の図で表すことができる。（不正確な点は多々あるが。）

情報公開法（A列）は、最大限の開示を実現するという法目的と、個人のプライバシー侵害の発生を防止するという、両立するのが大変難しい課題に、区分をし細やかにルールを規定することによって、可能な限り理想形に迫ろうというものになっている。

保護法では、提供元で保有個人情報に該当すれば、提供先で特定個人識別されるか否かに関わらず保護するのに対し、公開法では、部分開示の規定により、個人を特定する情報の部分さえ取り除けば開示するとする（A2）。だけども、提供先で特定個人識別されないからといって、必ずプライバシー侵害の発生がないとは限らないから、公開法6条2項の部分開示規定には「公にしても、個人の権利利益が害されるおそれがないと認められるときは」という条件が付いている（図4では「（場合がある）」がこれを指す）。しかも、開示対象が、提供元で特定個人識別できないものであっても、提供先で特定個人識別される場合、されない場合を含め、それが「個人に関する情報」である限りは、「公にすることにより、なお個人の権利利益を害するおそれがあるもの」という条件で不開示とする。

民間部門の個人情報保護法はそのような完全性を備えていない。民間部門においても、パーソナルデータの最大限の利活用を実現し、個人のプライバシー侵害の発生を防止するというのであれば、情報公開法と同様の規定を設けるということも考えられる。「氏名・連絡先情報さえ削除すれば提供してよいことにして欲しい」といった要望は、「部分開示規定を設けてくれ」というのに相当する。

だが、それが全く現実的でないのは、情報公開法の「公にしても、個人の権利利益が害されるおそれがないと認められるとき」といった規定は、情報公開・個人情報保護審査会による審査という、多大な社会的コストを負担することによって初めて適切な運用が可能となっているのであって、民間事業者が独自に判断できるものではない。

ならば、個人情報保護委員会（第三者機関）に、すべての事案の判断を委ねればいいかというと、そんなわけがない。情報公開法では、開示請求はそれなりの数にとどまるし、「国民の的確な理解と批判の下にある公正で民主的な行政の推進に資する」という法目的の重要さから、そのような社会的コストが許容されるのであって、民間事業者が自社の利益のためにパーソナルデータを利活用するのに際して、膨大な数に上る案件を、情報公開・個人情報保護審査会と同等のコストをかけて処理することが許容されるとは思えない。

そういう状況で、民間部門の現行法は、10年前、とりあえず、提供元で特定個人識別できるものについてだけ、単純な義務規定をまずは置いたという状況であろう。照合による特定個人識別についても「容易に」の要件が入れられて「特定個人識別できる」の条件が弱く設定された。

民間部門の第三者提供制限に、情報公開法の部分開示に相当する規定はないが、前記の第2〜5節で示したように、提供元での容易照合（データセットによる照合を含む）による特定個人識別という区切り方によって、結果的に、「k-匿名性があれば制限されない」（C2）という、それなりに利活用の余地とプライバシー保護が実現される事前規制になっていたと言うことができるのではないか。

その一方で、「個人に関する情報」であっても、提供元で特定個人識別できないものであれば、全く制限がない（C3、C4）という状況になっており、情報公開法がそれらも不開示情報（個人に関する情報型の）としているのとは対照的である。また、C2について、k-匿名化すれば提供して何ら問題が生じないかというとそうでもないと、12月のパーソナルデータ検討会の技術検討WGが報告書で指摘している。

このようなアンバランスな現行法を、どうやって理想に近づけるか、それが今度の法改正のための立法論となる。

参考文献

• [宇賀2013] 宇賀克也, 個人情報保護法の逐条解説第4版, 有斐閣
• [宇賀2010] 宇賀克也, 新・情報公開法の逐条解説[第5版], 有斐閣
• [森2014] 森亮二, パーソナルデータの匿名化をめぐる議論（技術検討ワーキンググループ報告書）, ジュリスト, 2014年3月号 No.1464, pp.25-31
• [岡村2014] 岡村久道, パーソナルデータの利活用に関する制度見直しと検討課題（中）, NBL No.1020, pp.68-74
• [岡村2009] 岡村久道, 個人情報保護法[新訂版], 商事法務
• [内閣官房2002] 内閣官房, 個人情報の保護に関する法律案 逐条解説, 二関辰郎弁護士が情報公開請求で取得したもの
• [上沼2014] 上沼紫野, 提供先における氏名到達性と個人情報該当性をどう考えるか, ビジネスロー・ジャーナル, 2014年5月号, pp.35-35