いろいろと一区切りついたのでこのところ腰を据えて外国法を調べていた。以前は、どこから調べればよいのか、調べてもはたして理解できるのか不安で、調べるのに億劫だったが、自説の補強のために使えそうという様子が見えてきたので調べていたところ、芋づる式にいろいろなことがわかった。
気になっていたのは、法律時報2016年1月号の小特集「第15回行政法研究フォーラム 個人情報の保護と利用 変革と課題」に掲載の藤原静雄先生の記事「公的部門の個人情報保護法制の見直しー前提及び自治体条例の対応を含めー」の中で、「匿名加工情報という考え方に比較的近い発想に、スイスの個人情報保護法の間接個人情報という概念があり、これは医療情報の利用のためのものともいわれているという点を指摘しておきたい3)。」と書かれていたことだった。調べてみると、スイス法にはそのような規定が見当たらなかったが、オーストリア法に「only indirectly personal」の概念があることがわかった。また、これとは別に、ノルウェー*1の「健康記録と健康データの処理に関する法律」*2に「indirekte identifiserbare helseopplysninger (indirectly identifiable health data)」の定義語が用いられていることがわかった。
しかも、ノルウェーのこの法律は、2014年に全部改正されたもの(施行は2015年)で、改正前の法律は、「Act of 18 May 2001 No.24 on Personal Health Data Filing Systems and the Processing of Personal Health Data (Personal Health Data Filing System Act)」(個人健康データのファイリングシステム及び個人健康データの処理に関する法律)であり、そこでは、「de-identified personal health data」、「anonymous data」、「pseudonymous health data」の語が使われていて、2014年の全部改正でこれらの用語は廃止されて、「indirectly identifiable data」に置き換えられていたことがわかった。これらの概念定義とその適用規則、全部改正への変遷が大変興味深いので、ここに記しておく。
「匿名化」という語は曖昧なもので、人、業界、国によって異なる意味で使われ得るということは、一昨年のパーソナルデータ検討会でも言われていたことであったが、2001年のノルウェー法「Personal Health Data Filing System Act」(政府による非公式英訳)は、第2条で「de-identified personal health data」と「anonymous data」とを次のように明確に区別して定義していた。加えて「pseudonymous health data」の定義もこれに並べている。
2. de-identified personal health data: personal health data from which the name, personal identity number and other characteristics serving to identify a person have been removed, so that the data can no longer be linked to a natural person, and where the identity can only be traced through alignment with the same data that were previously removed,
3. anonymous data: data from which the name, personal identity number and other characteristics serving to identify a person have been removed, so that the data can no longer be linked to a natural person,
4. pseudonymous health data: personal health data in which the identity has been encrypted or otherwise concealed, but nonetheless individualized so that it is possible to follow each person through the health system without his identity being revealed,
まず第4号の「pseudonymous health data」だが、「the identity has been encrypted or otherwise concealed」とあるが*3、これは暗号論的ハッシュ関数などを用いて元データとの対応表相当のものを作成して管理される、日本の医学系倫理指針で言うところの「連結可能匿名化」のことそのものを指していると思われる。
次に、第2号の「de-identified personal health data」と第3号の「anonymous data」を見比べると、いずれも、「data from which the name, personal identity number and other characteristics serving to identify a person have been removed」(氏名、個人識別番号その他の個人を特定する特性のものを除去したデータ)という部分で共通であり、また、「, so that the data can no longer be linked to a natural person」(その結果、当該データはもはやある自然人にリンクできない。)という部分でも共通であるところ、両者の違いは、「, and where the identity can only be traced through alignment with the same data that were previously removed」が「de-identified」の方にだけ付いているところにある。
この部分の意味は、「前で削除した同じデータとの並びを通じてのみ当該識別性を辿ることができる場合」といったところであろうか*4。これはもしや、データセットによる元データとの照合可能性のことを要件としているのではないか。
つまり、「氏名、個人識別番号その他の個人を特定する特性のものを除去」という同じ加工方法であっても、加工後のデータが加工前のデータとデータ自体の突き合わせによって辿れる(照合できる)ようなデータであるときは、「de-identified personal data」となり、そうでない場合にのみ、「anonymous data」となるという、そういう区分をしているように見えるがどうだろうか。
de-identified とは別に pseudonymous が定義されているので、これらは異なるものという趣旨であろうから、de-identified の方は、対応表(又は、鍵付きハッシュ関数を用いた仮名化方式における鍵)を持たない場合を指しているのだと思われる。*5
このような区分をした趣旨がどういうものだったのかはまだ確認できていないが、推測するに、実態として、pseudonymous data のようには対応表を作らない加工方法が現にあって、それを pseudonymous data とは呼びたくないところ、かといって anonymous data と同一視してよいかといったときに、データが詳細なものであれば、元データとの照合によって、pseudonymous data と同様の性質(加工元において誰のデータなのか特定することができる性質)を持つことになるから、このように区分したのではないだろうか。
そして、この法律では、「pseudonymous health data」と「de-identified personal health data」は、personal dataであるとされ、「anonymous data」は、非personal dataとされている。
つまり、これは、日本におけるここ3年の議論で、対応表がなければ個人データに該当しないのか、そうではなく、データ自体が元データと照合できるときは依然として個人データと言うべきではないのかという考え方が出てきた*6が、15年以上も前にノルウェー法でまさにそのような概念が明文化されていたということではないだろうか。
加工元において元データとの照合が可能なことに如何なる実質的意義があるのかは、疑問に感じられる向きもあるだろう。これは、一つには、連結可能匿名化の趣旨として、本人同意の取り消しに応じて提供先でデータを削除させたいときに対応できるという観点があり、対応表がなくても元データとの照合により個人を特定できるのなら同意の取り消しに対応が可能であるという点で、連結可能匿名化と共通の性質を持ち、その点から、依然として個人データであるとすることに意義がある。そしてもう一つには、元データとの照合ができないようなデータというのは、荒いデータであるということであり、グループ化がされたものに等しい(誤解を恐れずに言えばk-匿名性でk≧2のようなもの*7)ことから、もはや一人ひとりのデータではないということを意味するという観点があり、そのような条件を満たす場合に限り非個人データであるとすることに意義がある。
ノルウェーのこの法律においても、そのような観点(特に後者の観点を含む)で、de-identified data と anonymous data が区分されたのではないだろうか。
このような条件を満たす場合に限り anonymous data (非personal data)とする考え方は、今年4月に採択されたEU一般データ保護規則(General Data Protection Regulation、GDPR)においても見られる。
GDPRの前文(26)は、データ保護指令のときより幾分詳しく書かれ、次のようになった。
(26) The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.
ここで言われていることは、まず、pseudonymisationしたデータは「identifiable natural person」とみなすべきであるとし、その一方で、「anonymous information」に対してはこの規則を適用してはならないとして、「anonymous information」がどのようなものかは、「does not relate to an identified or identifiable natural person」と説明している。これは、日本法で言うところの「個人に関する情報」ですらないことに相当するものと思われるが、この説明では依然として「identified」や「identifiable」の意味がはっきりしないところ、真ん中あたりに、「such as singling out」との文がある。これは、「To determine whether a natural person is identifiable」つまり、自然人がidentifiableであるかどうかの決定には、「singling out」といった手段を含めて考慮すべきと書かれている。
「singling out」とは、一人ひとりを区別しているという意味での「識別」を表す表現の一つで、ISO/IEC 20889「Privacy enhancing data de-identification*8 techniques」の用語定義でも使われるようだ。情報法制研究会第4回シンポジウムでの佐藤慶浩氏の報告によれば、「singling out information」は、日本のパーソナルデータ検討会で技術検討WGが「識別非特定情報」とした概念(識別特定情報も含むが)に一致しているとのことだ。
つまり、GDPRでも、識別非特定情報ですらない状態にしない限りanonymous informationとならないと整理されたということである。この要件は、ノルウェー法が、de-identified と anonymous を区分した要件と同じなのではないか。*9
なお、ドイツのFederal Data Protection Act (Bundesdatenschutzgesetz, BDSG)では、2003年の改正法から、「anonymisieren」と「pseudonymisieren」の語が定義されて使われてきており、それぞれ次のように定義されている。
§ 3 Weitere Begriffsbestimmungen
(6) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
(政府の非公式英訳)*10
“Rendering anonymous” means the modification of personal data so that the information concerning personal or material circumstances can no longer or only with a disproportionate amount of time, expense and labour be attributed to an identified or identifiable individual.(Google機械翻訳による原文の英訳)
Anonymize is mean to modify personal data in such a way that details of personal or material circumstances can no longer or only be associated with a disproportionate investment of time, cost and labor of an identified or identifiable natural person.(Excite機械翻訳による原文の英訳)
Make anonymous changing personal data is such that the single data about personal or objective relations cannot be assigned any more or only with an unreasonably big expenditure in time, costs and worker of a certain or determinable natural person.(6a) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.
(政府の非公式英訳)
“Aliasing” means replacing a person’s name and other identifying characteristics with a label, in order to preclude identification of the data subject or to render such identification substantially difficult.(Google機械翻訳による原文の英訳)
Pseudonymisation is the replacement of the name and other identifying characteristics of an indicator for the purpose preclude the identification of the data or substantially more difficult.(Excite機械翻訳による原文の英訳)
Pseudonymisieren is the replacement of the name and other identification signs by a sign for the purpose to exclude the regulation of the affected person or to complicate substantially.
anonymisationの方の要件はぼんやりしている感じだが、pseudonymisationは普通の仮名化の定義であり、ドイツ法では、anonymisationしたものは非personal dataであるとし、pseudonymisationしたものはpersonal dataとして扱うとされてきたようだ。
このように、外国法の状況やEU法の動向を見れば、日本法においても、「匿名加工情報」が非個人情報であることを要件とするならば、やはり、前々回の日記「個人情報該当性解釈の根源的懸案が解決に向け前進」で述べたように、「元データとのデータセットによる照合」が容易照合性に当たることを個人情報保護委員会が公式に認めるのが自然な流れであるように思える。
「匿名加工情報」という名称は、骨子案として出たときには紛らわしい名称だと失望する声も聞かれたが、こうして見ると、EU法の「anonymous information」や、ノルウェー法、ドイツ法とも名称が一致しており、これでちょうどよかったし、概ね同一の概念(再識別禁止義務をかける点では異なるが)だといえるのではないか。
逆に言えば、外国法との整合性を欠くことにならないためには、ドイツ法やノルウェー法の「pseudonymous data」に当たるデータを「匿名加工情報」としてはならないし、ノルウェー法の「de-identified data」に当たるデータも「匿名加工情報」としないべきだろう。
ノルウェーのこの法律は、2014年に全部改正され、前記の3つの用語は廃止されて、新たに「indirectly identifiable health data」の語が次のように定義された。
b) indirekte identifiserbare helseopplysninger: helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, men hvor opplysningene likevel kan knyttes til en enkeltperson,
(機械翻訳による原文の英訳)
b) indirectly identifiable health data: health information which names, numbers and other unique personal characteristics are removed, but the information still can be linked to an individual,
これは、改正前の「pseudonymous data」と「de-identified data」を含むものであろう。それらの間の区別をやめたということになる。
この改正の趣旨は、ノルウェー保健・ケアサービス省による改正提案のための文書「HØRING: Forslag til ny pasientjournallov og ny helseregisterlov」(Consultation - proposal for a new patient and new health registers)を英訳しながら読んで、概ね理解できた。
その第18章冒頭には次のように書かれていた。「The Ministry does not want to continue the concepts of de-identified and pseudonymous information in the new Filing Systems Act. The terms proposed replaced by the broader term "indirectly identifiable health information".」「The rules for extradition, assembly and use of health information from the central health registers have seemed vague and difficult to manage for operators in the sector. This has resulted in different interpretations of the concepts of anonymous and de-identified data.」「The Ministry has considered whether it should establish simpler procedures, for example, a researcher should be given indirectly identifiable information than for direct personal identifiable information.」(機械翻訳より)
つまり、anonymous と de-identified の概念は異なる解釈を生んで、運用が難しくなっているので、省としては、もう、de-identified と pseudonymous の区別をやめて、よりシンプルな手続きを制定したいということが書かれている。
そして、これらについてどのようなルールを課しているのか(いたのか)について、条文で確認したところ、おそらく次のようなことになっている(いた)のではないかと思う。
旧法では、例えば第7条では、氏名や個人識別番号その他の直接に個人を識別するものは本人の同意の上でのみ扱うこととしている一方で、pseudonymised 又は de-identified された形でのみ処理される規則が提供される場合には、本人同意が不要となっていた。ただし、そのような規則は処理の目的を宣言して、適切な場合にはpseudonymisationについて追加的なルールを規定すべしとされていた。
これが、新法では、第20条(Exceptions to confidentiality for indirectly identifiable health information)に集約されて、「特定の目的(research, health analysis, quality assurance, administration, planning or management of health and care services)において、indirectly identifiable health information をデータコントローラが開示することを(機密性の規定は)妨げない。ただし、この規定は11条に従って確立されるレジストリにあるhealth dataにのみ適用される。health dataは、その取り扱いが社会の重要な利益によるものである場合に限り開示され、患者のプライバシーへの心配及び機密性は保護され、処理は、倫理的に、医療と健康に配慮して行われる。data controllerは、引き渡しのための条件を課すことができる。」となった。
つまり、旧法では、pseudonymised 又は de-identified されたデータは、personal data ではあるものの、同意なき開示を許していたのが、新法では、それを特定の目的に限るとして、社会の重要な利益によるものである場合に限るとなったということであろうか。
ノルウェーのデータ保護法は、これとは別の「Personal Data Act」が制定されている。そこには、「indirectly identifiable」や「de-identified」「anonymous」「pseudonymous」といった語は定義されていない。つまり、この「健康記録と健康データの処理に関する法律」や「個人健康データのファイリングシステム及び個人健康データの処理に関する法律」は、特別法の形になっていて、医学系分野のこうした特有のやり方を規定して、Personal Data Actを特定の分野についてオーバーライドするものとなっているのだろう。おそらく、「indirectly identifiable」や「de-identified」「pseudonymous」なデータはpersonal dataなのだから、Personal Data Actでは同意が原則となっているはずである。
このようなノルウェー法の状況は、今の日本の個人情報保護法と医学系研究倫理指針が置かれている状況が非常によく似ているものではないだろうか。
まず、「de-identified personal data」と「anonymous data」の違いは、このところの日本の3省合同会議(医学研究等における個人情報の取扱い等に関する合同会議)で出ていた、見直し案の「案2」(前々回の日記「個人情報該当性解釈の根源的懸案が解決に向け前進」参照)が置かれている状況に似ている。
「案2」は、「匿名化」(連結可能匿名化と連結不可能匿名化の両方を指す)データのうち、個人情報に該当しない場合と、個人情報に該当する場合とを分けて、同意等の要否を場合分けするというものであった。ノルウェー法の「pseudonymous data」は連結可能匿名化のことであり、「de-identified personal data」は、連結不可能匿名化データのうち非個人情報になっていないもの(元データとのデータセットによる照合ができるデータである場合)に相当する。
合同会議の前回(第4回)を先日傍聴したところ、事務局は案2で行きたいとしていたが、そうすると、個人情報該当性の判断を各研究機関の倫理委員会で判断しなければならないということで、「そんなのは無理だ」との意見が委員から続出する展開となった。これは、ノルウェーでも、anonymous と de-identified の違いがあまり理解されず運用が難しくなったとされていることと似ているのではないか。
そしてノルウェーでは、その区別を捨てて、「de-identified」と同じ加工をしたものを、「anonymous data」に当たる場合があってもそれを区別せず、「personal data」とみなして扱うことにし、そうすると「pseudonymous data」との区別も不要となるので、どちらも「indirectly identifiable data」で扱ってしまうという流れである。これは、合同会議の「案1」の「仮名化」の方のみ(表の右列のみ)を使う案に相当するのではなかろうか。
ノルウェーの新法では、「anonymous data」の定義語は廃止されたが、第16条(Obligation to report data for statistics)で、「……to report anonymous data or indirectly identifiable health information, without regard to confidentiality, to statistics.」という形で出てくる。
合同会議第4回でも、「案2」が困難ならばいっそ「案3」にしてしまえ(どんなに加工しても元が個人データならば全て個人データとみなすという案)という意見に対して反対の声が出ていた。すべてが個人データならば統計的な処理をした学会発表ですら本人同意が必要になってしまうので、さすがにその案も無理があるだろう。ノルウェーの新法でも、定義こそしていないものの、当然に非personal dataと言えるものについては、裸の「anonymous data」の語を用いているわけで、何もかもが「indirectly identifiable health data」に該当するというわけではなかろう。
合同会議でも、それと同様のアプローチをとるしかないのではないだろうか。それが、ちょうど、前々回の日記「個人情報該当性解釈の根源的懸案が解決に向け前進」の「私の意見」で書いた「案4」の提案になっていると思う。「非個人情報化」の定義を細かく言い出すと、ちょうどぴったり「個人情報」と「非個人情報」が区分される境界など示すのは無理という話になりがちだが、明らかに非個人情報と言える場合はあるわけで、それを軽く規定に盛り込んでおけばよいだけではないか。
こうしてみると、まさに同じような悩みをノルウェーから数年遅れで辿っているように思えてくる。
ノルウェーでは、2014年の改正で、特定の分野の特定の場合に限って同意不要とする方向に舵を切った。改正の提案書を読むと、EUのGDPR(当時は案の段階)の動向を見ながら検討された様子があった。
一方、日本では、合同会議では当初、医学系研究倫理指針は、個人情報保護法に「上乗せ横出し」したルールであって、学術研究の適用除外を前提に義務を緩めることなどできないとしていた。ノルウェーもそうであるように、EU法の方向性は、personal dataとした上で、研究目的についてルールを緩和するというアプローチである。ここの舵を切らない限り、日本の医学系研究は立ち行かなくなるか、または、日本の個人情報保護法制が崩壊するかのどちらかの道しかないだろう。特別法の立法措置が望ましいだろうが、それが無理だというのならば、適用除外と例外規定を活かして凌ぐしかない。
冒頭で、藤原静雄先生が法律時報の記事で、どこかの国に「間接個人情報」の概念があって、それが日本の「匿名加工情報の考え方に比較的近い発想」とお書きになっていることに触れたが、少なくとも*11ノルウェーの「indirectly identifiable data」については、上記のように、連結可能匿名化と、連結不可能匿名化(のうち、元データとの照合性がないデータである場合を除く)に相当するものであるから、「匿名加工情報」とは全く別の概念と言うべきである。「匿名加工情報」は改正個人情報保護法2条9項の定義からして非個人情報に加工したものを言うのであって、間接的に識別される個人情報などでは全くない。逆に、もし仮に連結可能匿名化や連結不可能匿名化しただけのデータが常に「匿名加工情報」に該当するなどとする解釈をとったとすれば、日本の個人情報保護法の体系が根底から崩壊してしまう。
*1 ノルウェーはEU非加盟国のひとつ。
*2 ノルウェーは、電子カルテ導入率が世界一の国として知られている。
*3 原語の条文を機械翻訳で英訳したところ、政府非公式訳とは若干表現の違う、「pseudonymous health data: health data where identity is encrypted or concealed in any other way, yet individualized so that it is possible to follow each person through the health system without identity disclosed.」という文が出た。
*4 原語の条文を機械翻訳で英訳したところ、政府非公式訳とは若干表現の違う、「de-identified personal health data: health information from which names, identification numbers and other unique characteristics are removed so that the information can no longer be linked to an individual, and where identity can only be recovered by combining it with the same information that was previously removed.」という文が出た。やはりこの理解でよいように思える。
*5 「de-identified health data」の原語である「avidentifiserte helseopplysninger」でググって出てくるサイトや文書を(機械翻訳で英訳して)眺めてみると、「de-identified health data」と「anonymous data」の違いを、鍵の有無として説明しているものがいくつか見つかるので、現地でもいささか混乱があるのだろうか。私の解釈が間違っているのかもしれないが、「de-identified personal health data」の定義に鍵という記述はない。
*6 もっとも、平成15年法が成立した当初からの識者の解説本の中にもこの考え方を示唆する記述のあるものもあった。例えば、岡村久道「新訂版 個人情報保護法」商事法務の79頁には次の記述がある。これはすなわち、目の部分へのマスキングをしても、画像中のそれ以外の部分で元データと照合できることをもって、容易照合性があり、個人データに該当することを述べているものと言える。
顔写真と匿名化 医療介護GL6頁は、顔写真は一般的には目の部分へのマスキングにより、連結可能匿名化の場合を除いて個人識別性を失い、特定の患者の症例・事例を学会発表・学会誌報告する場合等は、(中略)氏名、生年月日、住所等を消去すれば匿名化されるとする。この場合、医師としては発表・報告用の複製物のみをマスキングによって匿名化しつつ、顔写真の原本にはマスキングせずに別途残しておく方法が通常であろう。したがって、当該原本と容易に照合しうる当該医師にとって、むしろ上述の諸事例は連結可能匿名化である場合が一般的であろう。
*7 「誤解を恐れずに言えば」と釈明しているのは、これは本来のk-匿名の意味で言っているのではないからである。2014年4月23日の日記「現行法の理解(パーソナルデータ保護法制の行方 その2)」の「5. k-匿名性の法的位置付け」で書いたように、「すべての列を黄色の部分として扱う」場合の「k-匿名化」を前提とした意味で言っているのであり、しかしそれは、k-匿名化の本来の用途から逸脱しているので、本当はこれをk-匿名化と呼んではいけないのだが、そうはいっても、「グループ化」と言っただけでは通じにくいだろうし、k-匿名の「k≧2」というのは通じやすいから、どうしてもこのように言いたくなるという事情があり、このように釈明している。
*8 奇しくも、このISO規格での「de-identification」は、anonymous information化することを指すようなので、ノルウェー法の「de-identified」とは明確に異なる用法のようだ。
*9 この2つの間の若干の違いはこうではないか。singiling outでないことをanonymousであることの要件とするのは、実際のところ、取扱事業者において、データをどのように扱っているか(一人ひとりのデータとして扱っているか)という、事業者の意図によって決定されざるを得ない(と私は思う)のに対し、元データとの照合可能性を要件とするのは、そうした事業者の意図から離れて、データ内容から客観的に決定されるという違いがあろう。結果的に同じことになる場合が多いと思われるが、重要な論点となりそうなところである。
*10 「anonymisieren」は「anonymisation」、「pseudonymisieren」は「pseudonymisation」と訳すのが自然としか思えないのだが、政府の非公式訳で「rendering anonymous」だの、「aliasing」などと訳されているのは、どうにも解せない。
*11 オーストリア法の「only indirectly personal」についてはまた別の回で書く予定。