2015年12月06日
■ 匿名加工情報は何でないか・前編(保護法改正はどうなった その2)
改正で新設される「匿名加工情報」がどういうものであるか、誤解している方は少なくないと思われる。それどころか、未だはっきりしない論点も残っている。このシリーズでは、国会審議のさなかにも続いていた論点を振り返って、その謎をひとつひとつ紐解いていく。
匿名加工情報は「個人データであっても第三者提供を許す」の形ではなかった
匿名加工情報という規律の誕生は、パーソナルデータ検討会第1回の事務局資料「パーソナルデータの取扱いルール整備に向けて検討すべき論点」で図1のように書かれていたのが始まり*1であり、続く第2回で鈴木正朝委員が提出した資料「「パーソナルデータの取扱いルール整備に向けて検討すべき論点」について(私案)」がその具体的な原案となったものと言えよう。
図2の2枚目スライドは、規制改革会議の要求通り法改正なしにガイドラインで解決する場合には、「モデル1-①」のように、自社内で最終的な統計値へ集計したものを販売するか、「モデル1-②」のように、十分に非個人情報化されるところまで加工した「再識別不可能データ」(多次元の統計値データのようなもの)を販売するところまでしか許されないであろうと指摘したもので、それに対して、3枚目スライドは、立法措置があれば、モデル1-②よりはもう少し元データに近い「合理的匿名化データ」を販売できる(モデル2-①)ようにできるし、さらには、「モデル2-②」のように、1枚目スライドと同じ「半生データ」(氏名等を削除しただけで履歴データは元のままのデータで、データセットとして元データと照合ができるという、モロ個人データに該当するもの)であっても、受領者に法的義務を課すことを前提に販売を許すことも考えられるという整理であった。
その後、技術検討WGの報告書で、「いかなる個人情報に対しても、識別非特定情報や非識別非特定情報となるように加工できる汎用的な方法はない。」との結論が出され、「新たな法的措置を前提とした技術的措置への対応」という提案が出てきた。
ここでは、「個人特定性低減データ」という仮の用語が使われ、「……を低減している個人情報を第三者に提供することを可能とする方法」という表現で書かれている。つまり、個人データ(個人情報)であっても第三者提供を許すというものであり、そのようなデータを指す仮称として「法第23条1項適用除外情報」という語が用いられている。
この段階でも、モデル2-②まで許すのか、それとも、モデル2-②はさすがにリスクが高すぎるから許すべきでないのか、その点の結論は出されていない。6月の「大綱」でも明記されなかったし、12月の「骨子案」でも明らかでない書きぶりだった。
モデル2-②を許すかは、加工の基準を定める委員会規則で調整することもできるので、法律上はとりあえず許す設計にしておくことが考えられる。1月21日に開かれた某私的研究会の席*2で、パーソナルデータ関連制度担当室の参事官に、モデル2-②も残っているのかどうか*3を尋ねたところ、残っているというような様子だった。
ところが、3月10日に閣議決定されて公表された法案の条文は、「個人データであっても第三者提供を許す」という形にはなっていなかった。2条9項に「匿名加工情報」の定義があり、36条で「匿名加工情報を作成するときは委員会規則に従って加工しなければならない」とするものになっていた。
(匿名加工情報の作成等)
第36条 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。
(略)
4 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
(略)
(匿名加工情報の提供)
第37条 匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。以下この節において同じ。)を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
(識別行為の禁止)
第38条 匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第36条第1項の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
(略)
この条文構成だといくつもの矛盾が噴出してくる。すぐに気づく問題点は、2条9項の「匿名加工情報」の定義に該当するようなデータを作成するときは必ず委員会規則に従わないといけないのか?という点である。2条9項の「匿名加工情報」の定義は、ごく一般的な匿名加工の方法で作成されたデータが皆該当してしまうものなので、従前ごく普通に行われてきた様々な処理が、必要もないのに委員会規則の基準に従わなければならないという、極めて理不尽な規制ということになってしまう。
このことについては、3月10日の日記「匿名加工情報の規定ぶりが生煮えでマズい事態に(パーソナルデータ保護法制の行方 その15)」で詳しく書いた。
そのときの図1でも触れていたように、12月の「骨子案」を見ると、匿名加工情報の説明は以下の図4のようになっており、「第三者に提供するために作成するときは」とあるし、「(ア)により作成した者が」「(イ)により取得した匿名加工情報を」と書かれている。閣議決定された条文では、肝心のこれらの係り要件が消えていたのであった。
この「第三者に提供するために」が消された理由として、自社内での目的外利用の用途に匿名加工情報を利用できるようにするためにそうしたのではないかとの推測を、3月10日の日記では書いた。その後、3月27日に次の報道があった。
- 個人情報保護法改正案、「匿名加工情報」は社内利用にも適用, 大豆生田崇志, 日経ITpro, 2015年3月27日
「ビッグデータ活用」のために個人情報保護法改正案に盛り込まれた「匿名加工情報」について、第三者への提供を目的としない社内利用にも適用する規定であることが明らかになった。2015年3月25日に開かれた衆議院内閣委員会で、高井崇志議員の質問に対して政府として向井治紀審議官が答弁した。
(略)
関係者によると、第三者提供を前提としない匿名加工情報の規定は、2015年に入って一部企業の要望を受けて設けられたという。大手インターネット企業などでクッキーなどのデータを分析する際に、自社内で匿名加工情報として元に戻せない情報にして分ければ、本人同意を取り直したり、社内で個人情報として管理せずに済むといった狙いがあるものとみられる。
大豆生田記者の取材によれば、一部企業の要望があって1月以降に条文が修正されたということであった。そのような自社内でのデータ利用は元から規制されていないので、こんな措置は必要なかったのに……という話は3月10日の日記に書いている。
3月28日に開催された情報法制研究会第1回シンポジウムで、私は「個人情報保護法改正案の問題点(中立的観点から)」と題してこれらの問題を指摘した(資料、動画)。
このシンポジウムを通して確信を持った私は、解決策を示さなければ始まらないと思い、条文修正案の作成を試みた。図5のスライドはシンポジウムの翌々日30日に若干の加筆をした(後日配布版として)もので、この時点では、「匿名加工情報」定義を目的で限定する方法(案1)、義務規定を目的で限定する方法(案2、骨子案に近い)、作成と提供を一体化する方法(案3、36条4項をヒントにしたもの)を考えていた。条文の作成は、慣れない私にとっては困難な作業であったが、4月3日に第1版がどうにかできた。この試案(とその考え方)を以下に転載しておく。
修正の要は、36条1項を、「第23条第1項の規定にかかわらず、」「委員会規則で定める基準に従い、個人情報を加工することにより匿名加工情報を作成して」「当該匿名加工情報を第三者に提供することができる。」という構成にした(図5の案3に相当)ところにある。このように匿名加工情報を作成することと提供することとを不可分にしたことで、作成について委員会規則に拘束されるのが、この規定により提供する場合に限られるようになっている。また、36条2項以下の個人情報取扱事業者の各義務及び37条以下の匿名加工取扱事業者の各義務を、36条1項の規定により作成したとき・提供を受けたときに限って適用されるようにした(骨子案の(イ)(ウ)(エ)と同様に)。これにより、36条1項を適用せずとも適法である場面において委員会規則に従っていない匿名加工情報を取り扱っても違反とならないようになる。
匿名加工情報に関する規定の不備を解消する条文修正試案
(匿名加工情報の作成等)
第36条 個人情報取扱事業者は、第23条第1項の規定にかかわらず、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工することにより匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成してするときは、当該匿名加工情報を第三者に提供することができるしなければならない。
2 個人情報取扱事業者は、前項の規定により匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。
3 個人情報取扱事業者は、第1項の規定により匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
4 個人情報取扱事業者は、第1項の規定により匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
5 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。
6 個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
(匿名加工情報の提供)
第37条 匿名加工情報取扱事業者は、第23条第1項の規定にかかわらず、前条第1項の規定又は本項の規定により第三者から提供を受けた匿名加工情報 (自ら個人情報を加工して作成したものを除く。以下この節において同じ。)を他の第三者に提供することができる。
2 匿名加工情報取扱事業者は、前項の規定により匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
(識別行為の禁止)
第38条 匿名加工情報取扱事業者は、第36条第1項の規定又は前条第1項の規定により第三者から提供を受けた匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第36条第1項の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
(安全管理措置等)
第39条 匿名加工情報取扱事業者は、第36条第1項の規定又は第37条第1項の規定により第三者から提供を受けた匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取り扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
修正案の考え方
○匿名加工情報の規定を設ける趣旨は第三者提供のためとし、事業者内での目的外利用のためとする趣旨は撤回する。
○36条1項の規定により匿名加工情報を作成する個人情報取扱事業者においては、匿名加工情報に該当する情報であっても、個人情報に該当する場合もあるという前提。このことについて、2条9項の定義では、「措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって」となっていることから、一見矛盾するようではあるが、この「特定の個人を識別することができないように」とは、当該情報を受領した第三者において「特定の個人を識別することができないように」という意味であり、また、当該匿名加工情報を作成した個人情報取扱事業者においても、他の情報との照合なしには「特定の個人を識別することができない」という意味で矛盾しない。この場合に当該匿名加工情報が個人情報にも該当するのは、当該個人情報取扱事業者において、元データと「容易に照合することができ、それにより特定の個人を識別することができることとなる」ようなデータ内容である場合。
○匿名加工情報が個人情報でもある場合もあるので、「23条1項の規定にかかわらず匿名加工情報を第三者に提供できる」とする規定を置いた(36条1項)。このとき提供できるとするのは、委員会規則で定める基準に従い加工して作成された匿名加工情報に限っている。
○これにより、2条9項の定義に当てはまる任意の「匿名加工情報」と、36条1項の規定により作成して第三者提供する「匿名加工情報」の2つが区別される。
○36条の2項以降の規定は、「第1項の規定により匿名加工情報を作成したときは、」等とした。これは、単に「委員会規則で定める基準に従い加工して作成された匿名加工情報」であれば任意のものが該当するのではなく、「作成して第三者に提供する」ときの「作成したとき」に限定した趣旨。これにより、それ以外の2条9項の定義に当てはまる任意の「匿名加工情報」は対象外となり、懸案の不具合は解消される。
○36条5項を削除したのは、事業者内での目的外利用のためとする趣旨を撤回したことによる。第三者提供のための枠組みとしての匿名加工情報の規律に、元データを保有する個人情報取扱事業者において再識別化を禁止する実益(個人の権利利益への影響)はない。
○36条6項を削除したのは、当該匿名加工情報が個人情報に該当するときは、個人データとしての安全管理措置義務(20条等)や苦情対応の努力義務(新35条)を既に負っているので改めて規定する必要がなく、個人データに該当しない匿名加工情報を作成したときは、当該匿名加工情報は個人情報でないのだから安全管理義務を負う必要性がない(※1)ことによる。一方、匿名加工情報の受領者である匿名加工情報取扱事業者において、当該匿名加工情報に関する安全管理措置義務と苦情対応の努力義務(39条)が必要となるのは、当該匿名加工情報が提供元において個人データに該当するほど詳細なデータであったかそうでないかは、匿名加工情報取扱事業者には不明であるため、安全側に立つことによる。
○37条〜39条の規定は、「第36条第1項の規定又は第37条第1項の規定により第三者から提供を受けた匿名加工情報」に限定した。これにより、それ以外の2条9項の定義に当てはまる任意の「匿名加工情報」は対象外となり、懸案の不具合は解消される。
○37条1項で「第23条第1項の規定にかかわらず、」としたのは、匿名加工情報取扱事業者において匿名加工情報は個人情報でないはずである(いわゆる「Q14問題」の再整理により、出自の独立したデータベース間の容易照合性は個人情報定義において要しないとの説に立った場合)ところ、他の情報との容易照合により個人情報に該当する場合もあり得るとの解釈を採用してもなお、第三者提供を可能としたいことによる。*4
本来やりたかったはずのことはこういうことだったはずだ。それにしても、12月の骨子案ではこれに近い条文構成が想定されていたフシがあるのに、一部企業の要望によってここまで崩壊してしまうものだろうか?
今になって思うと、一部企業の要望のせいというよりは、内閣法制局のおかしな横槍のせいで崩壊したのではないかという気もしないでもない。少なくとも完成した条文に問題がないとしたわけであるから、論理的に崩壊していることに気づいていない(この点については次節で再び述べる。)ことは確かである。
私は鈴木先生とともに、4月上旬から5月11日にかけてこの修正試案をしかるべきところに託した。その成果はというと、残念ながら目的を達成するに至らなかったわけであるが、その途中の過程で興味深い情報が入った。この修正試案では業界の人が呑まないというのである。誰がそう言っているのかその理由も定かでなかったが、おそらくは、自社内目的外利用の場合を外しているからだろうということで、急遽翌日、修正試案を以下のように第2項を挿入した第2版に更新した。
匿名加工情報に関する規定の不備を解消する条文修正試案 第2版
(匿名加工情報の作成等)
第36条 個人情報取扱事業者は、第23条第1項の規定にかかわらず、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工することにより匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成してするときは、当該匿名加工情報を第三者に提供することができるしなければならない。
2 個人情報取扱事業者は、第16条第1項の規定にかかわらず、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い個人情報を加工することにより匿名加工情報を作成して、当該匿名加工情報を第15条の規定により特定された当該個人情報の利用目的の達成に必要な範囲を超えて取り扱うことができる。
23 個人情報取扱事業者は、第1項又は前項の規定により匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。
34 個人情報取扱事業者は、第1項又は第2項の規定により匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
45 個人情報取扱事業者は、第1項の規定により匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
56 個人情報取扱事業者は、第2項の規定により匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。
67 (略)
(匿名加工情報の提供)
(第1版と同じにつき略)
(識別行為の禁止)
(第1版と同じにつき略)
(安全管理措置等)
(第1版と同じにつき略)
修正案の考え方
○匿名加工情報の規定を設ける趣旨は第三者提供のためとし、事業者内での目的外利用のためとする趣旨は撤回する。(第2版で取り消し)
○36条1項の規定により匿名加工情報を作成する個人情報取扱事業者においては、匿名加工情報に該当する情報であっても、個人情報に該当する場合もあるという前提。このことについて、2条9項の定義では、「措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって」となっていることから、一見矛盾するようではあるが、この「特定の個人を識別することができないように」とは、当該情報を受領した第三者において「特定の個人を識別することができないように」という意味であり、また、当該匿名加工情報を作成した個人情報取扱事業者においても、他の情報との照合なしには「特定の個人を識別することができない」という意味で矛盾しない。この場合に当該匿名加工情報が個人情報にも該当するのは、当該個人情報取扱事業者において、元データと「容易に照合することができ、それにより特定の個人を識別することができることとなる」ようなデータ内容である場合。
○匿名加工情報が個人情報でもある場合もあるので、「23条1項の規定にかかわらず匿名加工情報を第三者に提供できる」とする規定を置いた(36条1項)。このとき提供できるとするのは、委員会規則で定める基準に従い加工して作成された匿名加工情報に限っている。
○これにより、2条9項の定義に当てはまる任意の「匿名加工情報」と、36条1項の規定により作成して第三者提供する「匿名加工情報」の2つが区別される。
○36条の23項以降の規定は、「第1項の規定により匿名加工情報を作成したときは、」等とした。これは、単に「委員会規則で定める基準に従い加工して作成された匿名加工情報」であれば任意のものが該当するのではなく、「作成して第三者に提供する」ときの「作成したとき」に限定した趣旨。これにより、それ以外の2条9項の定義に当てはまる任意の「匿名加工情報」は対象外となり、懸案の不具合は解消される。
○第三者提供のためだけでなく、個人情報取扱事業者の内部で目的外利用を可能とするために匿名加工情報を用いたいという経済界の要望に応じ、36条2項の規定を追加した。(第2版)
○36条2項は、1項と同様に、「第16条第1項の規定にかかわらず」、目的外利用することができる(条文では「第15条の規定により特定された当該個人情報の利用目的の達成に必要な範囲を超えて取り扱うことができる」の形)とした。(第2版) *5
○36条2項を追加したことにより、(第1版の修正試案では削除していた)36条6項を復活させ、「個人情報取扱事業者は、第2項の規定により匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては」とした。(第2版)
○36条5項を削除したのは、事業者内での目的外利用のためとする趣旨を撤回したことによる。第三者提供のための枠組みとしての匿名加工情報の規律に、元データを保有する個人情報取扱事業者において再識別化を禁止する実益(個人の権利利益への影響)はない。(第2版で取り消し)
○36条6項を削除したのは、当該匿名加工情報が個人情報に該当するときは、個人データとしての安全管理措置義務(20条等)や苦情対応の努力義務(新35条)を既に負っているので改めて規定する必要がなく、個人データに該当しない匿名加工情報を作成したときは、当該匿名加工情報は個人情報でないのだから安全管理義務を負う必要性がない(※1)ことによる。一方、匿名加工情報の受領者である匿名加工情報取扱事業者において、当該匿名加工情報に関する安全管理措置義務と苦情対応の努力義務(39条)が必要となるのは、当該匿名加工情報が提供元において個人データに該当するほど詳細なデータであったかそうでないかは、匿名加工情報取扱事業者には不明であるため、安全側に立つことによる。(第2版で取り消し)
○第1版の修正試案では7項を削除していたが、削除するのを取りやめた。理由はあまりない。修正点をできるだけ少なくするため。(第2版)
○5項が「第1項の規定により」となっていて「又は第2項」が入っていないのは、この項は第三者提供に関する規定であることによる。(第2版)
○6項が「第2項の規定により」となっていて「又は第1項」が入っていないのは、この項は自社内での取り扱いに関する規定であることによる。なお、1項の第三者提供のために匿名加工情報を作成する場合は、再識別化を禁止する理由がない。なぜなら元データを保有しているのだから。(第2版)
○37条〜39条の規定は、「第36条第1項の規定又は第37条第1項の規定により第三者から提供を受けた匿名加工情報」に限定した。これにより、それ以外の2条9項の定義に当てはまる任意の「匿名加工情報」は対象外となり、懸案の不具合は解消される。
○37条1項で「第23条第1項の規定にかかわらず、」としたのは、匿名加工情報取扱事業者において匿名加工情報は個人情報でないはずである(いわゆる「Q14問題」の再整理により、出自の独立したデータベース間の容易照合性は個人情報定義において要しないとの説に立った場合)ところ、他の情報との容易照合により個人情報に該当する場合もあり得るとの解釈を採用してもなお、第三者提供を可能としたいことによる。
自社内目的外利用に手当てする必要はないと思っているので、不本意ではあったが、「まあいい」ということで、このように第2版を作成した。これで業界のどなたかも呑める案になったのではないかと思ったが、内容がどうこう以前の都合によって、法案修正には至らなかった。
6月1日、参議院内閣委員会で可決寸前のところで、日本年金機構サイバー攻撃被害事件の発覚という神風が吹いて、法案の可決は9月まで延期されたため、かなりの時間的猶予が生じたが、誰も何もしなかった(おそらく)ため、法案は原案通り(個人情報保護法改正部分は)で可決成立した。
以上のように、12月の骨子案までは「個人データであっても第三者提供を許す」の形で構想されていたフシがあったのに、おそらくは不幸な要因により、そうではない形になってしまった。かくして、このことがいくつもの矛盾を孕むことになる。
匿名加工情報の定義に該当するからといって36条〜39条の義務が課されるわけではない
2条9項で規定されている「匿名加工情報」の定義は以下のものである。
9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
一 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
情報処理に携わっている者ならすぐに気づくように、この定義に該当するような処理は現にそこらじゅうで行なわれている。わかりやすい例としては、データ処理を他の事業者に委託する場合に、氏名を削除したデータを作成してそれを預託するという形がごく普通に行われている件が挙げられる。この場合、元データと照合できるデータセットならば、個人データの提供ということになり、旧23条4項1号の委託に該当することから、23条の第三者提供に当たらない代わりに22条の委託先の監督義務がかかり、受託者も個人データとして取り扱うもの*6となっている。このような「匿名化」の措置は安全管理措置(20条)の一環として行われている*7。
このようなデータが2条9項の「匿名加工情報」に該当するのであれば、36条の義務が委託者に、38条〜39条の義務が受託者に課されることになる。36条1項は、条文上、「個人情報取扱事業者は、匿名加工情報を作成するときは、」としているので、個人情報取扱事業者ならば常にその作成について義務がかかるとしか読めない。同4項も、「個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、」としているので、前記のようにデータ処理を委託する場合もこれに当たり*8、「情報の項目及びその提供の方法について公表する」義務がかかるとしか読めない。
このような解釈ならば、これまで適法に行われてきた業界の慣行に無用な規制をかけることとなるものであり、到底容認できないものということになる。
このことについて、3月10日の日記「匿名加工情報の規定ぶりが生煮えでマズい事態に(パーソナルデータ保護法制の行方 その15)」では、次のように指摘していた。
つまり、委員会規則で定められた基準に従わない「匿名加工情報」の作成は法律で禁止されることになる。第三者提供するつもりがなくても、である。
これは大変マズい。これまでも、個人情報取扱事業者は、自社内で個人データを取り扱うときに、氏名を削除するなどの加工をして、その後に統計化するなどの処理を、ごく普通に当然の適法な行為と疑うことなく行ってきただろう。それが、この改正によって違法となってしまう。そんなバカなと思われるかもしれないが、条文上はそうなっている。
また、同条3項によれば、匿名加工情報を作成したら、その項目を公表しなければならないそうだ。いついかなる時もである。事業化する前の段階でテストとして試しにちょっと匿名加工情報を作ってみただけでも*3、公表しないでいると違法になってしまう。そんなご無体な。これじゃまるで危険物の取締りのようだ。
同様に、第三者提供するつもりがなくても、同条2項により、「行った加工の方法に関する情報の漏えいを防止するため」の安全管理措置義務を負うことになるし、同条6項により、苦情の処理も受け付ける努力が求められる。自社内でどんな匿名加工しようが勝手なのに。
匿名加工情報の規定ぶりが生煮えでマズい事態に(パーソナルデータ保護法制の行方 その15), 2015年3月10日の日記
23条と同様の除外がない。ということは、委託・事業承継・共同利用の場合も、これらは適用されることになる。
これはマズい。これまでも、一般に、データ処理の委託のために、個人データを半生データに加工(氏名を削除するなど)して「匿名加工情報」の形で委託先にデータを預託することは、安全管理措置の一環として、ごく普通に行われている。これが、今回の改正で、委託元に「項目及びその提供の方法について公表する」義務が新たに課されることになる。
こうした加工をしないで生データのまま個人データを委託先に預託する場合は何ら義務がかからない(22条の委託先の監督義務はあるにせよ)のに、安全管理措置として良かれと思って半生データに加工すると、「項目及びその提供の方法について公表する」義務がかかることになる。これでは、余計な義務を嫌がって、生データのまま預託する事業者が続出するだろう。この改正によって、安全管理措置の一つが蔑ろにされ、社会全体のデータ漏洩の脅威が増大することになる。
それだけではない。匿名加工情報の加工方法は、36条1項により、委員会規則で定める基準に強制されるので、もし、その委員会規則の基準が、仮名化(氏名を削っただけ)では匿名加工として認めないレベルで制定された場合には、委託の際の安全管理措置として半生データを作成・提供することが、違法になってしまう。そのため、委託のときは生データで預託するしかない場合が続出しそう(k-匿名化したら用をなさないような委託ではそうするしかない)である。
匿名加工情報の規定ぶりが生煮えでマズい事態に(パーソナルデータ保護法制の行方 その15), 2015年3月10日の日記
これらの指摘が、ある業界団体の方々に伝わったようで、3月24日、その業界団体の方との立ち話で「その件は議員さんに伝えてある」と聞かされた。
そしてその翌日、3月25日の衆議院内閣委員会第2回で次の質問が出ていた。
○高井委員 (略)
それでは、次の、ちょっと細かい話になって恐縮なんですが、匿名加工情報、先ほどからも出てきています。個人情報なんだけれども、誰かわからないようにする。氏名とか年齢とか、わからないように匿名化して、そして、それだったら活用してもいいよ、場合によっては第三者に提供したりしてもいいよという、これは今回の法律で非常に大きな目玉であります。
この匿名加工情報については、法律の第三十六条というところにずっと出てくるんです。ところが、今申し上げた第三者に提供するときに対してさまざまな規制がかかるのではないかと思うんですが、実はこの法律の第四項にだけ「第三者に提供するとき」と出てまいりまして、そのほかの一項、二項、三項、五項には出てこないんですね。ただ、私は、これは三十六条全体が第三者に提供するときということを前提にした法律じゃないかと思うんですが、違うんでしょうか。
○向井政府参考人 お答えいたします。
匿名加工情報そのものは、それを作成いたしました個人情報取扱事業者内部におきましても、匿名加工情報のもととなった個人情報取得の際の利用目的にとらわれることなく、第三者に提供しなくても自社利用が可能でございます。
この点を明確にいたすために、三十六条は、匿名加工情報を作成した場合における義務として、第一項におきまして加工基準の遵守、第二項におきまして加工方法等の漏えい防止、第三項におきまして作成した情報の項目の公表義務、第五項におきまして匿名加工情報の識別禁止、六項におきまして安全管理措置を規定しております。これは、第三者提供のみではなく、自社利用の場合にもかかるというものでございます。
これに加えまして、作成した匿名加工情報を第三者に提供する場合の規律として第四項を設けまして、あらかじめ、第三者に提供する情報の項目及びその提供の方法を公表するとともに、提供に係る情報が匿名加工情報である旨を明示しなければならないとしているところでございます。
○高井委員 まあ、そういう答弁かなと思ったんですが。
実は、匿名加工したものを自社で利用する場合というのはどういう場合かというと、いろいろな個人情報を会社で持っているんだけれども、セキュリティー上、万が一漏えいしてはいけないということで社内で持っておいたりするとき、あるいは業務委託とかしたりするときに、一部匿名化して保有するということがあるんですね。ところが、今のこの条文だと、そういう利用についても一々公表とか、いろいろ匿名加工情報というのは義務規定が、本来ある個人情報よりも厳しい規定というか、余計な事務が発生するということになってしまいます。
そうすると、事業者とすると、だったら、今までは会社の中であえて匿名化していたけれども、では、もう匿名化せずに、生の個人情報のままでずっと保管しておかなきゃいけなくなるねと。そうすると、万が一漏えいしたときに、それが個人情報の漏えいになってしまうということで、私は、非常に事業者に余計な負担をかける法律になってしまっているんじゃないかと思いますが、いかがですか。
○向井政府参考人 お答えいたします。
匿名加工情報につきましては、まず、通常、個人情報を匿名化して別途保存しながら使うということがよく会社で行われていることは承知しております。
ただ、その場合でも、通常は、別のIDと容易に照合することにより個人情報になり得るものとして、その一部が匿名化されているということではないかと思いますので、それが全体としては個人情報になるということが多分多いのではないかと思いますが、実態は、実際、匿名加工情報という場合は、そういう意味では、匿名加工されたものが切り離されて、それで安全管理措置とかが講じられているもののみが匿名加工情報でございますので、そういったものを利用するというのは、一種特殊な場合ではないかと考えられます。
ただ、現実問題として、そういうふうなものがどういうふうに会社で管理されているかというのは多分ケース・バイ・ケースにならざるを得ないと思っておりますので、そこのところは、やはりまた、今後そういう実際の運用をしていく際に、常識的に、より安全、安全といいますか、わざわざそういうふうな危険を減らすためのようなものが匿名加工ということに当たることによりまして余計な負担が生じないような運用をする必要があると考えておりますので、そういう運用をする際にも、企業の実態をちゃんとヒアリングして、聞いてから定める必要があるというふうに考えております。
○高井委員 本当にそのとおりだと思います。
私も、会社の中でどういう運用とかをやっているかまで詳細にはわからないので、やはりそういったことを私も聞きますし、また皆さんの方でもしっかり聞いていただいて、本当に屋上屋を重ねるというか、法律ができたことによって、何の法の趣旨とも関係ないんだけれども、余計な手間が、法律に書いてあるからやらざるを得ないみたいな、そういうことはないように、ぜひこれからも注意していただきたいと思います。
このように、「自社内で個人データを取り扱うとき」と「データ処理の委託のため」について、しっかりと質疑が行われている。
政府参考人の答弁は、よく見ると「自社内で個人データを取り扱うとき」についてしか述べていない(「別途保存しながら使う」ケースについて答えている)が、質問が「あるいは業務委託とかしたりするときに」とあるので、それにも答えたものとして解することができるだろう。
答弁が途中から「一種特殊な場合ではないか」「多分ケース・バイ・ケースにならざるを得ない」「聞いてから定める必要がある」とシドロモドロになっているのは、「何かおかしい」と気づきながらうまく言えないことが正直に言葉に出てしまう、向井審議官のお人柄によるものだと思う。
これを「業務委託とかしたりするときに」についても答えているとみなすならば、本来の答弁は次のような形のものであって然るべきだっただろう。
まず、通常、個人情報を匿名化して、別途保存しながら使う、あるいは委託先に提供するということがよく会社で行われていることは承知しております。
ただ、その場合でも、通常は、別のIDと容易に照合することにより個人情報になり得るものとして、その一部が匿名化されているということではないかと思いますので、それが全体としては個人情報になるということが多分多いのではないかと思いますが、実態は、実際、匿名加工情報という場合は、そういう意味では、匿名加工されたものが切り離されて、それで安全管理措置とかが講じられて、別のIDと容易に照合することができないようになっているもののみが匿名加工情報でございますので、そういったものを利用あるいは委託先に提供するというのは、
一種特殊な場合匿名加工情報には当たらないのではないかと考えられます。
つまり、法律上の「匿名加工情報」は、個人情報に当たらないもののみが匿名加工情報たり得るというものであり、先に例示したような「匿名化して委託する」ときというのは、依然としてそのデータは個人情報であるから、匿名加工情報の提供に当たらず、36条〜39条の義務は課されないということであろう。
この質疑を踏まえて、3日後の3月28日の情報法制研究会第1回シンポジウムでは、資料の3枚目〜12枚目スライドを作成している。
この時点では、元データとの照合で個人データとなるような匿名化をしたデータ(元データと一対一対応する、いわゆる「仮名化データ」)は、法律上の「匿名加工情報」に当たらないと整理することで、一応、「これまで適法に行われてきた業界の慣行に無用な規制をかけることとなる」という最悪の事態は回避されている*9としてお話しした。
ところが、その後、その整理でもなお問題は残っており、解決していないことに気づいた。
元データと一対一対応するのではなく、例えばk-匿名化のようなグループ化処理を施す匿名化処理をして、自社内で目的内で利用(特定した利用目的の範囲内で利用)する場合が、やはり法律上の「匿名加工情報」に該当してしまい、無用な規制がかかることになってしまう。そのような処理も、自社内での統計処理の途中過程において、ごく普通に行われていることであろう。
そもそも、条文上、目的内と目的外の区別がないので、こうなるのは必然である。どこぞの事業者の要望によって後からねじ込まれたこの規定は、目的外利用を本人同意なしに可能とする替わりに導入する縛り(公表の義務や加工方法の義務)によって、何の罪もない目的内利用についてまで道連れに無用な規制をかけることになるわけだ。このケースも到底容認できないものであろう。
このことについて、5月11日に、鈴木正朝先生と共に、向井審議官及び担当室の方々と意見交換の機会を頂いた際にその場で指摘した。この問題を解決するには法案修正しかないとして、前掲の修正試案もお示ししている。問題の所在は向井審議官には伝わったと思ったが、残念ながら修正試案の出来がどうこういう以前の都合によって法案修正には至らなかった。
それ以降はもはや諦めていたので「どうにでもなればいい」と鼻を穿りながら傍観していたが、5月28日になって、参議院内閣委員会の質疑で、その回答とも言える答弁が飛び出してきたのを中継で見て、驚いた。*10
○石橋通宏君 そこは大変重要なところです。
といいますのは、第三十六条の条文を、これ改めて確認をしていきますと、これは、個人情報取扱事業者、個人情報を持っている事業者が匿名加工情報を作成する、つまり、意思を持って、これから法律上の匿名加工情報を作るんだという意思、意図を持って、その委員会規則で定める基準に従って個人情報を個人を識別できないよう、かつ復元できないよう、これ法律の要請ですね、加工したものが匿名加工情報であるという規定になっているわけです、ですね。
とすると、これに合致しない加工情報というのは法律上の匿名加工情報にはならないということで整理をしたいと思いますが、それでよろしいですね。
○政府参考人(向井治紀君) 御指摘のとおりでございます。
○石橋通宏君 ということは、これ、かねてから衆議院でも質疑出ていたと思いますが、個人情報を持っている事業者が、例えば安全上の観点から、これは今、現行でもよくある話です、匿名化をする若しくは仮名化をすると。一定の識別情報等々を取り除いて、普通取り扱うというようなことはされております。今回、それが、じゃ、匿名加工情報に当たるのではないかと。どこからどこまでが当たるのか当たらないのかということが、かなり混乱を持って議論されてきたわけです。
今の御説明でいくと、そういう場合、つまり事業者がこれは匿名加工情報を作るので規則にのっとってこれを加工しましたというのでなければ匿名加工情報には当たらないという今御説明だったので、とすると、先ほど言ったように、事業者が安全上の観点などなどから全く別の目的で加工化した、仮名化した、それは法律で言う匿名加工情報には当たらないというのが政府見解であるということでよろしいんですね事業者が安全上の観点などなどから全く別の目的で加工化した、仮名化した、それは法律で言う匿名加工情報には当たらないというのが政府見解であるということでよろしいんですね。
○政府参考人(向井治紀君) 委員御指摘の、形式的に匿名化を施したというふうなもの、加工を施したという場合にまで匿名加工情報としての取扱いを求めるものではございません。
○石橋通宏君 そうすると、一体どういう場合に、どういう時点に法律上、匿名加工情報に当たるものになるのかというのは、誰がどう判断するのかということが非常に曖昧にむしろなるのではないかなということが心配されるわけです。
大臣、そうすると、この三十六条の規定にのっとって、個人情報取扱事業者が匿名加工情報を作るんだという意図を持って規則にのっとって作りましたと。そうすると、公表の義務が生じるわけですから、それをもって事業者は公表するわけですね。その場合にのみ、法律上の匿名加工情報として扱われると。つまり、事業者が、いや、これは僕は匿名加工情報を作る意図はなくて、あくまで自社内の利用とか、あくまで安全上の対策とかでやるもの、仮名化をするものであるから、これは法律上言うところの匿名加工情報を作る意図も何もありませんと。そういう加工化というのはそれに当たらないので公表しませんから、それは、要は作成した事業者の側が公表する公表しない、意図を持って作成する作成しない、それをもってこの法律上の三十六条の定義に当たるか当たらないかが判断されるという整理でよろしいんですか。
○政府参考人(向井治紀君) 実際に、先生御指摘のとおり、どこでまさに匿名加工情報になるのかというのが明確化されるというのは、まさに公表されたときだというふうに考えております。
○石橋通宏君 そうすると、いいですか、整理しますが、匿名加工情報を作るという意図を持って正式な基準にのっとって作成をされたと。定義に合致するようにそれが、匿名加工情報が作られたと、事業者が意図を持ってね。それで、公表すればこの法律の匿名加工情報、第二節の規定に照らし合わせてそれが適用されるという整理でよろしいということなので、そうでないもの、そういう意図を結果的に、結果的にですよ、事業者がそういう意図がなかった、基準にものっとっていない、でも結果的に個人情報を何らかの仮名化なり匿名化の加工をしたら、条文には合致するように、要は識別できない、復元もできない状態になってしまったんだけれども、これは、いや、私はそういう意図で作ってないですから、だから公表もしませんよという、それは法律上には問題にならないという整理でよろしいですね。向井審議官、もう一回そこだけ確認。
○政府参考人(向井治紀君) 御指摘の場合につきましては、およそ利活用なされていないものでございまして、特にそれによって権利侵害だとか起こる問題ではございませんので、基本的にはそういうふうな場合に公表する必要はないものと考えております。
これは要するに、たまたま結果的に2条9号の定義に該当するようなデータが作成されても、目的外で利用する意図や、第三者提供する意図がなければ、それは法律上の「匿名加工情報」に該当せず、36条の義務はかからないということが回答されている。
条文上はどう見てもそうはなっていないが、そうだというのだからそうなんだろう。言わば前掲図5の案1「客体を目的で限定する方法」が、条文上は何ら書かれていないが、暗にそういうものだとして解釈するということにしたということだ。
「匿名加工情報になるのかというのが明確化されるというのは、まさに公表されたときだ」と答弁されているが、これはいったいどういう了見なのか。「該当したら公表の義務」であるのに、「公表したら該当」だなんて、そんな法解釈ありえないだろう。「公表されて初めて(外から)匿名加工情報だとわかる」という意味なら間違ってはいないが、そんなことを尋ねられているわけではなかろう。
もう一度よく読むと、石橋委員の最初の見解「法律上の匿名加工情報を作るんだという意思を持って加工したものが匿名加工情報である」に対して、政府参考人が「御指摘のとおりでございます。」と答弁している*11。これを真に受けるとすれば、次のように整理できる。
- 法律上の「匿名加工情報」に該当させる意図を持って加工する場合
- 36条の義務がかかる。加工したものは個人データでないものとして(加工したものが個人データでないのであれば*12)本人同意なく第三者に提供したり、目的外で利用できる。
- 法律上の「匿名加工情報」に該当させる意図なくして加工する場合
- 36条の義務はかからない。加工したものが個人データでないのであれば、本人同意なく第三者提供したり目的外で利用できる(元々規制されていない)。
しかしこんな解釈アリだろうか? これがアリなら、「俺は個人情報にしたつもりはなかった」と本気で思っているなら「それは個人情報でない」ということになってしまい、何でも規制を逃れられることになってしまいやしないか。
ただ、たしかに、2条9項の定義をよく見ると、個人情報の定義(客体の範囲を客観的に確定させている)とは違って、「(略)できないように(略)加工して得られる(略)であって、(略)できないようにしたものをいう。」とあるように、「できないようにした」という作成者の行為の要素が入り込んだ客体定義だと言えるのかもしれない。むろん、そこには、どのような目的で「できないようにした」場合かは何ら限定されていないし、36条に関連して「できないようにした」ものに限るとの限定もない。
やはり無理のある解釈と言わざるをえないと思うが、このままでは全く無用な規制をかける事態になってしまうので、そういうことにするしかない。
そもそも、法律なんてそんな綻び(論理的破綻)はそこら中にあるのであって、気にしなければいいという趣旨の声も耳にした。まあ、たしかにそうかもしれない。改正前の個人情報保護法でも、とんでもない綻びがあって、今日まで見ないふりをして誤魔化してきて、今回の改正でようやく修正されたところがある*13。3年ごとの見直し規定も入ったことであるし、それと同様に次の改正で直せばよいことなのかもしれない。
いずれにせよ、言っておきたいのは、見出しの通り「匿名加工情報の定義に該当するからといって36条〜39条の義務が課されるわけではない」ということである。
条文だけ読めばそう読めるのでやむをえないことだが、「今回の改正で委員会規則に従った匿名加工しか許されなくなる」と誤解している人が少なくないようなので、注意喚起しておきたい。
例えば、次の事案も、そのような誤解に基づくものではないだろうか。
- なぜCCCはプライバシーマークを返上し、T会員規約を改訂したのか(後編), 浅川直輝, 日経ITPro, 2015年11月26日
- とはいえ今回の改訂では、CCCのグループ会社のみならず、Tポイントの提携先企業に渡す情報についても「特定の個人を識別できない状態に加工をする」などの制限が削除されているように読めます。なぜ、グループ会社だけでなく、提携先企業についてもデータ加工の項目を削除したのですか。
- これは個人情報保護法の改正、施行という「過渡期」にあるための措置です。グループ会社には氏名や住所といったデータを提供する一方で、提携先には、個人情報保護委員会の基準に従う形で、氏名などを除いた加工データを提供します。
改正法では、こうしたデータ加工について「匿名加工情報」という類型が法律に加わりました。データ加工がこの類型に当たるとされた場合、委員会への届け出、提供先への通知といった義務が加わります。
我々が、Tポイントの提携先企業に提供している「個人を識別できない状態に加工した」情報は、新法が想定する匿名加工情報というよりは、顧客のデモグラフィック(人口統計)情報のような、統計情報に近いものと考えています。
ただ今のところ、匿名加工情報と統計情報の間には、専門家の間でも明確な線引きはありません。そもそも、こうした線引きの議論が出てきたのも、つい1年ほど前のことです。この状態で、規約にデータ加工の方法を詳細に記載するのは、あまりに規約が煩雑になり、難しいと考えました。
これは、匿名加工をする限りは必ず、委員会規則に従って加工する必要があり、公表が必要になると誤解しているのだろう。「データ加工がこの類型に当たるとされた場合、」とあるように、2条9項に該当するか否かを外部から認定されると思い込んでいる様子がある。そう認定される前に利用規約から「特定の個人を識別できない状態に加工をする」の文言を削除したということなのだろう。
だが、「統計情報に近いものと考えています。」とあるように、「特定の個人を識別できない状態に加工をする」が、非個人データへの加工であるとの自信があるならば、独自の方法で匿名加工すればよいのであって、法律上の「匿名加工情報」に該当させる意図なくして加工したということで、公表の義務もない。
他に聞いた例では、匿名加工をするからには9条2号の「個人識別符号の全部を削除すること」に従わなくてはならなくなり、そうするわけにはいかないから困るという声があった。自社内の目的内利用でそのようなことを強制されたら困る事業者は少なくないだろう。これも誤解であり、法律上の「匿名加工情報」に該当させる意図なくして加工しているものには何らの規制もかからない。
こうしたことは、条文を読んだだけではわからないので、国会の審議を辿るなどして理解する必要がある。これから新法の解説本が続々と登場するだろうが、そうした書籍ではこの点についてしっかりと解説されていることを期待したい。
*1 その前に、総務省「パーソナルデータの利用・流通に関する研究会」報告書「パーソナルデータの適正な利用・流通の促進に向けた方策」で、いわゆる「FTC3要件」を参考とする提案があったが。
*2 3月8日の日記「世界から孤立は瀬戸際で回避(パーソナルデータ保護法制の行方 その14)」参照。
*3 口頭での表現としては「仮名化データも許す道は残っているか?」という尋ね方をした。
*4 37条の修正について説明が足りていないところがあったので若干の補足を。元の37条が「匿名加工情報取扱事業者は、匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより……」という規定であるところ、「……第三者に提供する」までを1項とし、「ときは……」以降を2項として分割した上で、1項を「……第三者に提供することができる。」とし、2項を「前項の規定により提供するときは」としている。また、1項の匿名加工情報を「前条第1項の規定又は本項の規定により第三者から提供を受けた匿名加工情報」に限定している。ここで、「又は本項の規定により」とあるのは、匿名加工情報取扱事業者が別の匿名加工情報取扱事業者から匿名加工情報の提供を受けた場合に対応したもの。「本項の規定により」という自分自身を参照した循環参照が条文作法として認められるものなのか若干怪しい(前例があるのか?)が、論理的には正しいと思う。それから、1項で、「第三者に提供することができる。」を「他の第三者に提供することができる。」としたのは、前の文で「第三者から提供を受けた」とあり、複数の第三者が登場していることから、それとは別の第三者であることを明確にしたもの。これにより、「第三者から提供を受けた」その元の第三者へ提供する場合を含まない規定ということになるが、受領したものをそのまま元の事業者へ提供するのは必要のないことなので支障はないと考えた。ただ、受領したものをさらに加工した匿名加工情報を元の事業者へ提供するという事業が現実にあり得るものとして想定でき、それを明文で許可できていないことになる(しかし、そもそも、匿名加工情報取扱事業者が受領した匿名加工情報をさらに加工した匿名加工情報を作成することについて、改正法は許可する明文規定を置いていない。匿名加工情報を作成するときに委員会規則に従って加工する義務は、36条1項の「個人情報を加工」して作成する場合についてしか規定がない。この点はまた別の綻びとして残っていると言える。)。今になって思えば、ここは「当該第三者又は他の第三者に提供することができる。」とした方がよかったかもしれない。
*5 急いで書いたので、36条に挿入した2項の「第16条第1項の規定にかかわらず、15条の規定により特定された当該個人情報の利用目的の達成に必要な範囲を超えて取り扱うことができる。」のところは、若干、論理的におかしいと承知している。ここで言う匿名加工情報は、個人データに当たる場合もあるし個人データに当たらない場合もあるという想定であるので、個人データに当たる場合については、「15条の規定により特定された当該個人情報の利用目的の達成に必要な範囲を超えて取り扱うことができる。」という条文でよいけれども、個人データに当たらない場合には、「15条の規定により特定された当該個人情報の利用目的」が存在しないので、論理的におかしいわけだ。ここをきっちり直すとかなりグチャグチャした修正案になって理解されなさそうに思えたし、法案修正することになれば法制局で適切に直されるであろうと思い、あえてこのままにした。なお、1項で同様の問題が起きないのは、個人データに当たらない場合について「第23条第1項の規定にかかわらず、第三者に提供することができる。」という、第23条第1項に該当しない場合があるのにそれを含めて「第23条第1項の規定にかかわらず」と規定する形は条文作法として問題ないと考えたため。
*6 この場合に受託者に個人情報保護法第4章第1節の義務がどう適用されるかは、それ自体、議論になるところ。
*7 非個人情報化しているのではなく、個人データの委託に際しての安全管理措置としてである。
*8 「第三者に提供する」は、委託の場合も含まれる。なぜなら、23条で委託の場合に第三者提供が制限されないのは、旧23条4項で、同1号の委託について「前三項の規定の適用については、第三者に該当しないものとする。」と規定されていることによるものであり、それを前提としないならば「第三者への提供」には委託の場合も含むのであり、そして、36条には、委託について同様の「第三者に該当しないものとする」との規定が盛り込まれなかったからである。
*9 ただし、その前提となっている解釈「照合が禁止されているので、容易照合性は認められないと解釈している」に疑問を示し、依然として問題があるから条文修正が必要という立場をとっていた。この論点については本シリーズの後編で述べる予定。
*10 私はこの質問に関与していない。あまりに的確な質問なので、誰かが振りつけしたのだろうと思ったが、そういう話もこれまでのところ聞いていない。議員と担当室との事前のやりとりがあって、必然的にこのような質問展開になったものだろう。つまり、これは担当室の問題意識が現れたものではないかと推測する。
*11 こうしたやりとりは、議員が事前に担当室からレクを受けた際に聞かされた担当室の見解を、そのまま問いかけて確認をしているものと思われる。
*12 この注意書きの重要性は、本シリーズの後編で述べる予定。
*13 改正前では、電話会社発行の電話帳なども文理上、個人情報データベース等に該当するものとして保護対象になるとしか読めない条文になっていた。法が制定される際、国会で電話帳保護の必要性を疑問視されたことを受け、政令でこれを除外したが、除外したのは、「個人情報取扱事業者」の要件である5000人を数える対象から除いただけであり(2条3項5号)、5000人要件を満たした事業者にとっては、そうした電話帳も「個人情報データベース等」の一部として保護の対象となるとしか読めないものだった。しかし、実際の運用では、誰もそうした電話帳を保護するべきものとしてこなかった。この綻びは、今回の改正で、「個人情報データベース等」の定義に「利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く」との括弧書き加えられた(改正後2条4項柱書き)ことで解消している。