最新 追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 2082   昨日: 2734

2017年03月05日

鳥取県の条例改正案、非識別加工情報導入で矛盾噴出(パーソナルデータ保護法制の行方 その28)

はじめに

前回の日記「個人情報ファイル概念が欠如している自治体条例」を書いた数日後、鳥取県が個人情報保護条例を改正して匿名加工情報の制度を導入するとのニュースが入ってきた。

  • ビッグデータ県が民間提供 産業創出へ体制整備, 日本海新聞, 2017年2月22日

    鳥取県は新年度、個人情報を匿名化した上でビッグデータとして民間事業者に提供する取り組みを始める。購買行動の分析などビジネス情報として活用が想定される。県は、個人情報保護条例などの一部改正案を22日開会の2月定例会に提出する。都道府県でビッグデータ活用に関する条例改正案を提案するのは県が初めて。(略)

鳥取県議会のサイトを調べてみたところ、2月23日の総務教育常任委員会の資料として、その改正案が公表されていた。

「匿名加工情報」ではなく「非識別加工情報」となっているのは想定内だが、施行日が5月30日とあり、国の改正法と同時施行とはこれまたチャレンジングだ。早速、改正案を読み込んでみたところ、案の定、いくつもの問題点があることに気づいた。列挙すると以下である。

  • 「個人情報ファイル簿」を導入するのに「個人情報取扱事務登録簿」を廃止していない。
  • 「非識別加工情報」の解釈が行政機関個人情報保護法と同じであるなら「非識別加工情報」は「個人情報」に該当するはずなのに、既存の「個人情報」に係る義務規定から「非識別加工情報」を除く手当をしていない。
  • そもそも「非識別加工情報」が「個人情報」に該当するとする解釈をとっているのかが不明。
  • 鳥取県から「非識別加工情報」の提供を受けた民間事業者においてそのデータが必ず「匿名加工情報」に該当するのかが、ますます不明。
  • 匿名加工情報への加工の基準は、鳥取県が独自に規定するのか。
  • 情報公開条例の改正案も出ているが、不開示情報に「非識別加工情報」を入れていないのは、情報公開請求できるということか。
  • 「実施機関非識別加工情報」というネーミングに違和感。

以下、それぞれについて書いておく。

「個人情報取扱事務登録簿」を廃止していない

前回の日記で指摘したことは、「個人情報ファイル」概念のない自治体が7割を超えており、そのままでは匿名加工情報(非識別加工情報)の加工基準が定まらないとする問題であったが、鳥取県もそれに該当する自治体だった。それが、この条例改正案で「個人情報ファイル」概念を新たに導入するという。

この改正案は、「個人情報ファイル簿」を規定するために「個人情報ファイル」を規定し、その「個人情報ファイル」を規定するために「保有個人情報」を規定するという形になっている。元の条例には「保有個人情報」の概念もなかったので、「個人情報ファイル簿」に必要な概念一式を、行政機関法から根こそぎ移植した形になっている。

そういうやり方自体はまあアリだとは思うが、しかし、「個人情報ファイル」というのは「非識別加工情報」のためだけに存在するわけではない。保有する個人情報ファイル(そのうち、その存在を公表するものとして定められたもの)について「個人情報ファイル簿」を作成して公表することになっているのは、1988年制定の「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」(昭和63年法)以来の伝統ある制度であり、その趣旨は、国民の不安感に対応するために個人情報ファイルの存在と概要をできる限り国民に明らかにするというものであった。国が1988年からそのような制度を設けてきたのに、鳥取県をはじめとする多くの自治体がこれに追随せず、「個人情報ファイル簿」を規定してこなかったわけだが、それで許されてきたのは、類似の概念である「個人情報取扱事務登録簿」を別途規定して、それで足りるとしてきたからだろう。

実際、前回の日記でも触れたように、自治行政局で開催中の「地方公共団体が保有するパーソナルデータに関する検討会」の資料では、「個人情報ファイル簿等(個人情報取扱事務登録簿を含む。以下同じ。)」として、「個人情報取扱事務登録簿」を「個人情報ファイル簿」と同一視しているのだから、これらは同趣旨のもので、中身もほとんど同一のものとなるべきものと考えられる。

そうすると、条例改正で「個人情報ファイル簿」を導入するのなら、「個人情報取扱事務登録簿」は廃止して然るべきと思われるところ、鳥取県はこれを廃止しなかった。条文で見ると、以下のように、「個人情報取扱事務登録簿」の規定と「個人情報ファイル簿」の規定の両方が存在しており、なすべきことがダブってしまっている。

(個人情報取扱事務の登録)
第5条 実施機関は、個人情報取扱事務を開始しようとするときは、あらかじめ、個人情報取扱事務登録簿(以下「登録簿」という。)に、次に掲げる事項を登録しなければならない。登録した事項を変更しようとするときも、同様とする。
(1) 個人情報取扱事務の名称
(2) 個人情報取扱事務を所管する組織の名称
(3) 個人情報取扱事務の目的
(4) 個人情報取扱事務の対象者の範囲
(5) 取り扱う個人情報の項目
(6) 個人情報の収集先
(7) 個人情報を実施機関以外のものに経常的に提供する場合には、その提供先
(8) その他規則で定める事項

(略)

6 実施機関は、規則で定めるところにより、登録簿を一般の閲覧に供しなければならない

(個人情報ファイル簿の作成及び公表)
第6条 実施機関は、当該実施機関が保有している個人情報ファイルについて、規則で定める事項を記載した帳簿(以下「個人情報ファイル簿」という。)を作成し、公表しなければならない

(略)

改正後の鳥取県個人情報保護条例

6条で「個人情報ファイル簿」に記載する事項は「規則で定める」とされているが、おそらくは、5条1項各号と同じようなものになるのだろう。

たしかに、「個人情報取扱事務登録簿」を廃止してしまうと、それを基礎にした他の規定に変更を加える必要が生じるので、ほいそれとは廃止できないという事情はあり得る。鳥取県条例では、例えば、8条の「利用及び提供の制限」では、「登録簿に登録された目的以外の目的のために個人情報を……してはならない。」と規定しているし、7条の「収集の制限」では、「登録簿に登録された目的を達成するために必要な範囲内で……個人情報を収集しなければならない。」と規定しているので、ここを「個人情報ファイル簿に登録された……」に置き換えてよいのかが論点となる。

もしそのように置き換えると、個人情報ファイルを構成する個人情報(記録された、又は、記録することを予定した個人情報)のみが対象ということになり、それ以外の散在情報は対象としないことになってしまうから、行政機関法が平成15年の全部改正で散在情報まで対象としたことと乖離してしまう。もっとも、それを言えば、改正前の鳥取県条例でも、「個人情報取扱事務登録簿」に登録された個人情報の取扱いしか想定していない*1わけで、先と同様に、行政機関法が散在情報を含む保有個人情報まで対象としているのに比べて範囲が狭いものとなっている*2のであり、元から乖離しているのだとも言える。

今回の改正案は、こうした論点を避けて、単純に条を追加するだけにしたのかもしれないが、「個人情報取扱事務登録簿」と「個人情報ファイル簿」で事務が二重になるのに、そのことを承知しているのだろうか。

また、行政機関法からの根こそぎ移植に伴って入った「保有個人情報」の規定も、なんだか不恰好なものになっている。「保有個人情報」は改正により2条7号として以下のように追加されるが、同様の概念は、改正前から、以下のように2条5号の「個人情報取扱事務」に含意されていたのであり、ここでも概念がダブっている。

(定義)
第2条 この条例において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(略)

(4) 公文書等 次に掲げるものをいう。ただし、電子計算機を使用して行われる専ら文書を作成し、又は文書、図画若しくは写真の内容を記録するための処理その他規則で定める処理に係るものを除く。

ア 実施機関の職員(県が設立した地方独立行政法人にあっては、役員を含む。以下同じ。)が職務上作成し、又は取得した文書、図画、写真及びスライド(これらを撮影したマイクロフィルムを含む。)であって、当該実施機関の職員が組織的に用いるものとして、当該実施機関が保有しているもの

イ 実施機関の職員が職務上作成し、又は取得した情報で当該実施機関の職員が組織的に用いるものを記録する磁気テープ、磁気ディスクその他これらに準ずる方法により一定の事項を確実に記録しておくことができる物であって、当該実施機関が保有しているもの

(5) 個人情報取扱事務 実施機関が個人情報を収集し、実施機関において利用し、又は実施機関以外のものに提供し、及び管理する事務(実施機関以外の者に委託して行うものを含む。)であって、当該個人情報を公文書等に記録するものをいう。

(略)

(7) 保有個人情報 実施機関の職員が職務上作成し、又は取得した個人情報(生存する個人のものに限る。)であって、当該実施機関の職員が組織的に利用するものとして、当該実施機関が保有しているものをいう。ただし、公文書等に記録されているものに限る。

改正後の鳥取県個人情報保護条例

公的部門では、保護する個人情報の範囲を、職員が組織的に利用するものとして当該機関が保有するものに限っており、これが民間部門と違っているところ*3なわけだが、改正前の鳥取県条例でも、「保有個人情報」の用語こそ使われなかったものの、「個人情報取扱事務」にその限定がかけられており、同様の範囲に限っていた。

したがって、今回の改正で、「保有個人情報」を定義するなら、条例の規定の全体を「保有個人情報」を用いて構成し直せばよいものを、鳥取県はそれをせず、単に「保有個人情報」を追加するだけとした。そのくせ、「保有個人情報」は「非識別加工情報」のためにしか使われていない*4

結果的に同じものを規定しているのだから、この機会に全体を再構成することはできたように思えるが、鳥取県は、本当に熟考の上でこのようにしたのだろうか。「個人情報取扱事務登録簿」と「個人情報ファイル簿」の事務がダブっていることからして、どこかから与えられた「非識別加工情報」導入パッケージのパッチを考えなしにダブルクリックでインストールしただけのように思えてならない。

「非識別加工情報」を個人情報に係る義務から除外していない

昨年6月12日の日記「行政機関法改正の論点 国会会議録から抜粋」で書いたように、「匿名加工情報」が行政機関法では「非識別加工情報」という別の名前にされたのは、民間部門の規律とは違って行政機関法では「非識別加工情報」は「個人情報」であると解釈されていることが、その理由だとされている。このことは、改正法案の国会審議で以下のように明らかにされている。

○高井委員 岡山から参りました高井崇志でございます。

(略)

ところが、この匿名加工情報という概念をせっかく個人情報保護法で導入したのに、今回の行政機関個人情報保護法では違う言葉になっているんですね。

実は、当初の議論ではずっと同じ言葉で法律がつくってこられた、そういった情報も何度か総務省からも出されていて、そういう資料でも匿名加工情報という名前だったのに、二月の下旬ぐらい、これは三月八日に閣議決定しているので、一週間ないし二週間ぐらい直前に、突然違う、非識別加工情報という名前に変わった。これは、仄聞するところでは、内閣法制局から、長官からの指示で急に変更になったということなんです。

私は、変更したことによって、いろいろな法文、ほかの法文にも影響が生じていて、非常に大きな問題であると今思っているんですけれども、これはなぜ非識別加工情報という別な言葉に修正をしたのか。そして、これによってほかの条文への波及をする混乱というのは生じないんでしょうか。

○上村政府参考人 お答えを申し上げます。

委員御指摘のとおり、今回、この法案では非識別加工情報という名称でお諮りをしたいと思ってございますが、行政機関が作成する非識別加工情報というのは、もとの個人情報から氏名それから住所を削除する、あるいはデータを入れかえする、こうした方法によって作成するところなんですけれども、このもとになったデータというものは、これは非識別加工情報をつくった後においても行政機関において保有されるということになっております。

また、非識別加工情報につきましては、行政機関におきましては照合を行う必要がある場合もあり得ます。したがいまして、他の情報と非識別加工情報の照合を禁止するという規定は置いていないわけでございます。

そういたしますと、これは理論上、行政機関の内部におきましては、非識別加工情報は、作成のもととなったデータと照合することは可能ですので、個人情報に該当することになります。他方、委員御指摘の個人情報保護法におきます匿名加工情報は、これは個人情報に該当しないということになってございますので、この二者を区別する必要がある。そのために別の名称、この場合、非識別加工情報という名称を付しているというわけでございます。

ほかに混乱が生じないかということでございますが、当然、お諮りを今度予定しております、お願いしております法案の条文には、その名称の変更はございます。

他方、行政機関から外に出ていった場合でございますが、民間事業者に提供された場合は、受け取る側の民間事業者にとっては、これは個人情報保護法が一律に適用になることになります。したがいまして、この情報は、民間事業者が受け取った段階で匿名加工情報となります。したがいまして、個人情報保護法の規定に沿いまして照合禁止の義務もかかりますので、ほかのデータと照合するということはできません。

したがいまして、民間事業者にとりましては、法運用は統一されておりますので、混乱は生じない仕組みとなっておる、そのように考えております。

国会会議録 第190回国会 衆議院総務委員会第11号(平成28年4月5日)

この考え方自体に疑問があることは、昨年4月6日の日記「行政機関法では再識別禁止がないから個人情報に当たるですって?」で書いたが、その件はここでは脇に置いておくとしよう。

あまり知られていないことと思われるが、実は、行政機関法では「非識別加工情報」が「個人情報」に該当するとの前提から、昨年の改正法では、以下のように重要な除外条文(傍線部)が入っていた。

PDFの一部分
図1: 平成28年行政機関法改正案の新旧対照表より抜粋

これは、「保有個人情報」から「行政機関非識別加工情報」と「削除情報」に該当するものを除くとしており、6条1項と8条、12条1項においてもそうするとしている。同様に、「個人情報」からもそれらを除くとし、7条、38条、48条、50条、51条においてもそうするとしている。

つまり、正確性の確保、安全確保措置、従業者の義務、利用及び提供の制限、開示請求権、利用停止義務といった、個人情報を対象とする各種義務規定において、行政機関非識別加工情報は対象としないということをわざわざ言っている*5わけである。これは、そうしないと、匿名加工して作成した行政機関非識別加工情報が、個人情報に該当するという解釈なので、提供しようとすると、8条の「利用及び提供の制限」において目的外提供に当たり、違反ということになってしまうからである*6

ところが、このことが鳥取県の条例改正案では手当されていないのである。

鳥取県の条例改正案は、31条に「実施機関は、実施機関非識別加工情報を作成し、及び提供することができる。」と規定するが、改正前の8条(利用及び提供の制限)の「登録簿に登録された目的以外の目的のために個人情報を……実施機関以外のものに提供してはならない。」は改正で変更しないため、矛盾してしまう*7

また、鳥取県条例は、自己情報開示を次のように規定しているが、改正案はここを変更しない。したがって、行政機関法と同じく「非識別加工情報」は「個人情報」であるとする解釈をとるならば、「非識別加工情報」の開示請求がなされたら、これに応じなければならないことになる。(行政機関法では請求できないことになっているのに。)

(開示請求)
第12条 何人も、実施機関に対して、当該実施機関の個人情報取扱事務に係る自己の個人情報について開示の請求をすることができる。

2 (略)

(開示義務)
第16条 実施機関は、開示請求に係る個人情報に次の各号に掲げる情報のいずれかが含まれている場合を除き、当該個人情報を開示しなければならない。

改正後の鳥取県個人情報保護条例

これはどうしたことだろうか。「非識別加工情報」導入パッケージを作成した人は、この手当の必要性を承知していなかったのだろうか。行政管理局ならば承知しているはずだが、自治行政局には理解が及ばなかったのか、それとも、鳥取県が独自に検討したため、気づかなかったのか。

と思いきや、よく見ると、11条によく似た括弧書きがあるではないか。

(委託等に伴う措置等)
第11条 実施機関は、個人情報(実施機関非識別加工情報及び削除情報(第31条第3項に規定する削除情報をいう。第45条第1項において同じ。)に該当するものを除く。以下この条において同じ。の取扱いを伴う業務を委託するときは、当該委託契約において、委託を受けた者が講ずるべき個人情報保護のために必要な措置を明らかにして、当該業務において取り扱う個人情報の安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

改正後の鳥取県個人情報保護条例

下線部が改正で加えられる部分だが、「この条において同じ」となっていて、11条だけで除外するものになっている。これは、前記の行政機関法で除外しているものとは、全く趣旨が異なるもののようだ。11条には、4項まであるが、いずれも委託に伴う措置が規定されているだけであり、なぜそこだけこれらを除外するのか、意味がわからない。いったいなぜこんなことをしたのか。*8

「非識別加工情報」は鳥取県では「個人情報」でない?

もしかして、鳥取県個人情報保護条例では、国の行政機関法とは異なり、「非識別加工情報」は「個人情報」に該当しないという解釈をとっているのだろうか。その解釈をとると前節の問題点は解消する。*9

行政機関法で「非識別加工情報」が「個人情報」であるとされた理由は、国会答弁にあるように、行政機関法では、再識別の照合禁止義務が規定されていない(民間部門では改正個人情報保護法36条5項で禁止されるのに対して)からとされている。ならば、もしや、鳥取県の条例改正案では、実施機関による再識別のための照合を禁じる規定が独自に加えられたのかも?と思い、目を通してみたが、そういう規定は見当たらなかった。

もっとも、再識別の照合禁止義務がないからといって「個人情報」だとするのは、その理屈がおかしいと私は思うところなのだが、この点は、民間部門の平成27年改正の際の、内閣法制局法令審議録(JILISによる情報公開請求で得たもの)から窺えるところがあり、確かに、民間部門では、照合禁止義務があるから容易照合性が解消されるのであって、そうでなければ、元データが存在する限り容易照合できるとする考え方を基礎に、匿名加工情報の制度が設計されていた記録があった。その件は、また別の機会に、匿名加工情報の話の中で詳しく書くつもりであるが、いずれにせよ、再識別の照合禁止義務がないと「個人情報」だとする解釈は、条文に書かれているわけではなく、法案の起草段階のある時点において内閣法制局でそのように整理されていたにすぎない*10のだから、鳥取県が独自の解釈を前提としていても不思議ではない。

そうだとすれば、私は別の観点から大歓迎*11なのだが、ならば、名称は「匿名加工情報」でよかったのではないか。行政機関法では「個人情報」だから「非識別加工情報」の名称にして区別したとされており、その理由がないのだから。

鳥取県から「非識別加工情報」の提供を受けた民間事業者においてそのデータが必ず「匿名加工情報」に該当するのか

行政機関法の改正では、「匿名加工情報」が「非識別加工情報」という別の名前に変えられてしまったが、ある行政機関で「非識別加工情報」とされた情報が、提供を受けた民間事業者においては「匿名加工情報」としての義務がかかるというのは、いったいどこの条文から読み取れるのか、「これはおかしい」とする指摘は、昨年の国会で、衆議院総務委員会の参考人質疑に呼ばれた鈴木正朝参考人が述べていた。

この問題は、プログラム言語における型システムの分類学上の用語であるところの、nominal type system (name-based type system) vs structural type system (property-based type system)に似たところがある。つまり、名前が同一である場合に限り同じ概念として扱うのか、それとも、定義している内容が同一であれば同じ概念として扱うのかの違いである。法制執務においては、どちらの考え方が採用されているのだろうか。*12

確実なのは、名前の同一性によって概念を指定する方法であろう。しかも、単にラベル名が同じというのではなく、「法令名.ラベル名」の形で指定する方法が確実であり、多くの法令ではそのような形が用いられている。昨年の行政機関法の改正では、それを採用せず、せめてラベル名だけでも同じなら良かったのに、ラベル名も異なるものとなったため、定義内容の同一性で概念同一性を推し量るしかない状況となった。国会審議では、このことも問われ、行政管理局は、「運用上、その趣旨をよく説明するなり、ガイドラインをつくっていく」と答弁していた。

○高井委員 私は、それはわかりにくいと思うんですね。

では、なぜ今回の法律でそれを書かなかったんですか。今回の法改正で、非識別加工情報が個人情報保護法三十八条に該当するということをやはり規定すべきじゃないですかね。そうしないと混乱が生じると思いますけれども、いかがですか。

○上村政府参考人 直接のお答えになるかはわかりませんが、この法律のたてつけ上、行政機関に係るものは行政機関個人情報保護法でございますし、個人情報保護法は民間企業に係るもので、この間の交流というか、入り乱れはないわけでございまして、そこは民間事業者にとって、自分たちを規律する法律が何かという紛れはないわけでございます。

それで、解釈上も定義上も、個人の識別性がなく復元できないという定義は、これはもう共通でございますので、解釈上、そこに新たなものを付加しますと、これはまた別のものになるという可能性もございますので、そこはあえてしていないというところでございます。

ただ、もし万が一おっしゃるような懸念があるとすれば、それはまだこれからの検討でございますが、運用上、その趣旨をよく説明するなり、ガイドラインをつくっていく、そういう対応になるのではないかなと思っております。

国会会議録 第190回国会 衆議院総務委員会第11号(平成28年4月5日)

これが、鳥取県個人情報保護条例ではどうなるのか。ラベル名は「非識別加工情報」であり、「匿名加工情報」ではない。しかも、前記の通り、この「非識別加工情報」が「個人情報」であるのか否かもはっきりしていない。

加えて、以下の点も問題となる。

行政機関法では、structural type system的に、定義内容の同一性をもって「行政機関法.非識別加工情報」と「個人情報保護法.匿名加工情報」の概念同一性を導こうとした。そのために、条文中に「個人情報」の語が出てくるたびに、逐一「個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。)」というカオスな二重括弧を入れて、公的部門と民間部門とでの「個人情報」定義の差分を吸収して、定義内容の同一性を確保しようとした*13

その点、鳥取県条例ではどうか。鳥取県条例でも、カオスな二重括弧はそのまま真似て取り入れられているが、「個人情報」定義の違いがそこだけじゃないことを失念しているようだ。

鳥取県条例での「個人情報」の定義は以下のようになっている。

第2条 この条例において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1) 個人情報 個人に関する情報であって、次のいずれかに該当するものをいう。ただし、法人その他の団体に関する情報に含まれる当該法人その他の団体の機関としての情報であって、個人番号(行政手続における特定の個人を識別するための番号の利用等に関する法律(略)第2条第5項に規定する個人番号をいう。以下同じ。)をその内容に含まないものを除く

改正後の鳥取県個人情報保護条例

この定義は、行政機関法や民間部門では個人情報に該当するものであっても、鳥取県条例では、法人その他の団体に関する情報(つまり、団体の役員名といった情報)については該当しないものとするというものであるが、これは、昭和63年法でもそのような定義だった*14ものである。行政機関法は平成15年の全部改正で、これを除くのをやめたのに、鳥取県条例はそれに追随しなかったようだ。

そうすると、「鳥取県条例.個人情報」と「個人情報保護法.個人情報」とは、structural type system的に見ても、概念同一性がない。

なお、両者の「個人情報」定義には、生存する個人に限るか限らないかの点でも違いがあるのだが、そこは、脚注4でも触れたように、鳥取県条例改正案は、「保有個人情報」の定義で「生存する個人のものに限る。」として差分を吸収し、対処している。

ならば、「法人その他の団体に関する情報」を除くか否かの差分も、どこかで吸収するように定義することはできたはずなのに、鳥取県はそれをしなかった。

このように、改正行政機関法の「非識別加工情報」を真似れば、自治体条例にも同じものを導入できるかというと、そんな簡単なことではないことがわかる。

全国1700以上の個人情報保護条例で、それぞれにこういう検討をしなければならないというのは、あまりに酷な話だろう。

匿名加工の基準は鳥取県が独自に規定するの?

匿名加工情報(非識別加工情報)への加工の基準は、行政機関法では、以下のように規定されており、個人情報保護委員会規則で定めることになっている。

(行政機関非識別加工情報の作成等)
第44条の10 行政機関の長は、行政機関非識別加工情報を作成するときは、特定の個人を識別することができないように及びその作成に用いる保有個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該保有個人情報を加工しなければならない。

改正後の行政機関個人情報保護法

これが、鳥取県条例では、以下のようになっている。

(実施機関非識別加工情報の作成等)
第39条 実施機関は、実施機関非識別加工情報を作成するときは、特定の個人を識別することができないように及びその作成に用いる保有個人情報を復元することができないようにするために必要なものとして規則で定める基準に従い、当該保有個人情報を加工しなければならない。

改正後の鳥取県個人情報保護条例

これは、鳥取県の規則で定めるということだろう。といっても、個人情報保護委員会の規則を丸写しするのは目に見えている。

しかし、個人情報保護委員会の匿名加工の基準の規定は、かなり抽象的なもので、委員会のガイドラインでも明確にされず、「事務局レポート」でお茶を濁されたところであるが、その解釈は個人情報保護委員会に委ねられている。そういう規則を丸写しにして、鳥取県の規則を設けたとして、その解釈を鳥取県は独自に与えることができるのだろうか。そもそも、匿名加工の考え方について理解できる人材が、鳥取県内に存在するのかも疑わしい。

情報公開条例の不開示情報に「非識別加工情報」が追加されていない

行政機関法の改正では、情報公開法も改正し、5条の不開示情報に1号の2を追加し、「行政機関非識別加工情報」と「削除情報」を不開示情報とした。それなのに、鳥取県情報公開条例の改正案では、それに相当する追加がない。*15

これはどういうことか。ここでも、「非識別加工情報」は鳥取県では「個人情報」に該当しないということで、不開示情報に入れなかったということなのか。

情報公開法が、これらを不開示情報としたのは、作成した行政機関非識別加工情報は、誰にでも提供するものではなく、44条の6が定める欠格事由に該当せず、契約を締結して手数料を払った事業者にのみ提供するものだから、情報公開法での開示請求では出さない情報とする必要があったためである。

その点、鳥取県は大丈夫なのか。作成した非識別加工情報は、鳥取県情報公開条例の「公文書」に該当するだろうから、情報公開請求に応じざるをえなくなりはしないか。

ここは、行政管理局の「行政機関等が保有するパーソナルデータに関する研究会」でも論点となっていた。最終回の第16回で、松村構成員が次のようにに指摘していた。

【松村構成員】 私は3点それぞれについて意見がございます。

まず、15ページのところですが、適用除外が適当だろうと考えております。公にすることによりこういう支障があるから不開示というのが、情報公開法の不開示情報の考え方です。一方、例えば訴訟に関する書類や登記情報など、他の情報の固有の理由による開示請求から除外する考え方は、全て適用除外で、他法で措置するという考え方をとっているわけですね。

ですから、個人情報保護制度で匿名加工情報という仕組みを作って、それが情報公開法の開示請求になじまないということであれば、その考え方からすると、適用除外という考え方の方が素直だろうと思います。

ぎりぎり言えば、「少なくとも不開示とすることなど」の「など」と書いてありますから、 不開示情報とするか、あるいは適用除外とするかと少なくとも並べていただいて、というのが私はすっきりするのではないかと思います。

私の理解する情報公開法の適用除外、不開示情報は、そういう整理になっていると思います。あくまでも情報公開法は、政府が持っている情報の開示という意味では一般法となっております。特別の情報の取扱いについて別途規定するのは、それぞれの個別法で適用除外を定める、というのが基本的なルールです。なぜ不開示情報という形で出てくるのか理解ができません。それが1点です。

行政機関等が保有するパーソナルデータに関する研究会 第16回 議事要旨

松村構成員は、「行政機関非識別加工情報」と「削除情報」を不開示情報として、1号の2に並べることに、反対だったようだ。私も、法案が出てから、この1号の2不開示情報には違和感を覚えたのだが、後からこの議事要旨を読んで、なるほどそういうことかと思った。松村構成員がこの指摘をした日は、閣議決定の前日で、もう法案はできあがってしまっていた。内閣法制局の法案審査でこのように整理されたのであろうが、松村構成員は「なぜ不開示情報という形で出てくるのか理解ができません」とまで指摘していた。

鳥取県は、もしや、そうした違和感から、情報公開条例でこれを不開示情報としなかったのだろうか。しかし、「実施機関非識別加工情報」の情報公開の適用除外とするのは、どこかで読めるようになっているのだろうか。

「実施機関非識別加工情報」というネーミングの違和感

行政機関法では、「非識別加工情報」とは別に「行政機関非識別加工情報」という用語を定義した。話をわかりやすくするために、ここでは「非識別加工情報」の語を「匿名加工情報」の語に置き換えて述べてみる。

「匿名加工情報」と「行政機関匿名加工情報」の違いは、前者は、「匿名加工情報」という一般的な概念を指すのに対し、後者は、「個人情報ファイル簿」に記載されている「個人情報ファイル」(のうち、規定された条件を満たすものに限るもの)をソースとして匿名加工したものを指す概念である。

ここで、用語の名称に「行政機関」の接頭語が用いられたのは、この法が適用される個々の行政機関のことを指しているわけではなく、単に、「個人情報保護法」と「行政機関個人情報保護法」の違いを表すものとして、後者の法律名から「行政機関」の語が切り出されて用いられたものと私は理解していた。というのも、両者の違いは、民間部門では、匿名加工情報を提供するかは事業者の自由にすぎないのに対し、行政機関では、提案を募集しなければならないとする、オープンデータ政策的な意味を持つものであり、その違いを表すものとして、「行政機関匿名加工情報」の語はたしかに相応しいものと思っていた。

したがって、鳥取県条例に匿名加工情報の制度を導入するのなら、ここは「鳥取県匿名加工情報」とするか、あるいは、「地方公共団体匿名加工情報」とするのが相応しかったように思える。それが、「実施機関匿名加工情報」となっていて、予想外だったので、正直、初見で苦笑してしまった。

「鳥取県匿名加工情報」のように各自治体ごとに命名するのもイマイチなので、「地方公共団体匿名加工情報」の方がベターだろう。だが、「地方公共団体匿名加工情報」と「行政機関匿名加工情報」に概念上の違いがないのであれば、名前は同じにした方がさらによい。そういう意味では、行政機関法で、「行政機関匿名加工情報」と名付けたことからして失敗だった。最初から、自治体にも波及することを踏まえて、統一的な概念とするために、「公的部門匿名加工情報」とか、何らかの共通に使える用語とするべきだったように思える。

おわりに

昨年の臨時国会で成立した「官民データ活用推進基本法」は、19条(国の施策と地方公共団体の施策との整合性の確保等)で、「国は、官民データを活用する多様な主体の連携を確保するため、官民データ活用の推進に関する施策を講ずるに当たっては、国の施策と地方公共団体の施策との整合性の確保その他の必要な措置を講ずるものとする。」として、事実上、いわゆる「個人情報保護条例2000個問題」の解決を求めている。官民データ活用の観点からは、特に、匿名加工情報について、その概念の共通化、統一化が求められるところであろう。

それにもかかわらず、鳥取県が「全国初」と出してきたこの条例改正案を見ると、そのバラバラ感は増すばかりのように思える。やはり、この調子で各自治体に任せておいたら悲惨なことになりそうなので、国家法によって統一的な規定を設けることが急務であろう。自治体は、無理をせず、何もしないでいた方がよい*16のではなかろうか。

*1 そもそも、次の脚注に書いたように、職員が組織的に用いるものとして職務上作成する単発の文書に個人情報が含まれる場合があるはずなのに、鳥取県条例の7条は、登録簿に登録された目的を達成するために必要な範囲内でしか個人情報を収集してはならないとしており、そうなると、単発の文書の作成が(登録簿に登録しない限り)不可能ということになるが、どう運用しているのだろうか。もしかして、「収集」の文言が、「取得」とは異なる意味で解釈されているのだろうか。つまり、実質的に「個人情報ファイル」に相当する形で個人情報を取得する(個人情報ファイルに記録するつもりで取得する)場合のみを「収集」と呼んでいるのだとすれば、辻褄が合う。もしそうだとすると、このパターンの自治体条例は、行政機関法の平成15年改正から完全に乖離しているということになるのだが。

*2 例えば、行政機関法においては、職員が組織的に用いるものとして職務上作成した単発の文書に、個人に関する情報が氏名と共に記載されたらば、それは保有個人情報となるのだが、自治体において、そうした単発の文書について、個人情報取扱事務登録簿に登録するということは行われていないだろう。

*3 民間部門では、そういう限定がないため、あらゆる個人情報が対象となってしまっており、この点が、無用な規制として世間の反感を買う原因の一つとなっているのであり、次の改正で直すべきところである。

*4 この「保有個人情報」定義では、「生存する個人のものに限る。」とされており、鳥取県条例の「個人情報」が死者を含むものとなっているのに対して、範囲が異なっているので、そのために別の語にしたのだという理由も考えられるところ、この限定は、国の「非識別加工情報」や民間部門の「匿名加工情報」に合わせるためのものにすぎないから、全体を再構成する際には、「保有個人情報」では死者を含むままとしつつ、「非識別加工情報」の定義中で「(生存する個人のものに限る。)」と限定すれば足りただろう。

*5 安全確保措置については、除外した上で、44条の15で、改めて規定しなおされている。(「個人情報保護委員会規則で定める基準に従い」行うこととされている点が異なる。)

*6 44条の2(行政機関非識別加工情報の作成及び提供)で、「行政機関の長は、この章の規定に従い、行政機関非識別加工情報を作成し、及び提供することができる。」と規定しているので、提供できるようでもあるが、一つの法律内で矛盾する規定は忌避されるので、このように逐一除外しているのだろう。

*7 この8条1項は、2号で「法令の規定に基づいて利用し、又は提供するとき」を、制限の例外としているので、この条例自身の規定に基づくことを理由にこの例外に該当すると解釈することもできるのかもしれないが、はたしてそんなのはアリだろうか。

*8 仮説として、図1のように、行政機関法で、「個人情報」から「非識別加工情報」と「削除情報」を除くとの括弧書きが書き込まれているのが、行政機関法6条2項の部分であり、これが「取扱いの委託を受けた者が受託した業務を行う場合について準用する。」との規定であることから、鳥取県では、委託に関する部分にだけこれを入れたのではないか。しかし、行政機関法でここにこの括弧書きがあるのは、「個人情報」の語が最初に登場するのがたまたま6条2項だっただけで、委託云々が特別なわけではない。行政機関法は、そこに「次条、第38条、第48条、第50条及び第51条において同じ。」としているのに、鳥取県は「この条において同じ。」とした。これはどういうことなのか。もしかして、ズブの素人が条文を書いた結果ということなのか。

*9 そのわりには、前記のように、11条でだけ、「個人情報」から「非識別加工情報」を除くとしているから、「非識別加工情報」が「個人情報」であることを前提としているようである。しかし、脚注8のように、11条だけにこの括弧書きを適用したことの意味が不明であり、よくわからないまま規定されたことによる単なる間違いの可能性がある。

*10 先月14日からパブコメにかけられている、「行政機関の保有する個人情報の保護に関する法律についてのガイドライン(行政機関非識別加工情報編)(案)」には、この点について、次の記載がある。平成28年改正の際には、行政管理局は、常に個人情報に該当するという説明をしていたが、個人情報保護委員会のガイドラインでは、「該当し得る」と、常にそうなるわけではないというニュアンスに変わっている。

なお、法は、個人情報保護法とは異なり、照合禁止義務(個人情報保護法第36条第5項)を定めていないことから、非識別加工情報は、その作成に用いた個人情報の全部又は一部を含む個人情報との照合によって特定の個人を識別し得ることとなり、法第2条第2項第1号の「個人情報」に該当し得る。(略)

*11 行政機関法の「非識別加工情報」の規定ぶりは直すべきだと考えているので。

*12 これについては、また別の機会に詳しく書きたい。途中までは書いたものの放置中の原稿はある。

*13 「非識別加工情報」の定義では、それにも失敗したのであるが。その点については、また別の機会に書く予定。

*14 昭和63年法での個人情報定義は、「生存する個人に関する情報であつて、当該情報に含まれる(略)をいう。ただし、法人その他の団体に関して記録された情報に含まれる当該法人その他の団体の役員に関する情報を除く。」となっていた。

*15 今回の鳥取県情報公開条例の改正は、不開示情報とする「個人に関する情報」の範囲の規定ぶりを、「特定の個人が識別され、若しくは識別され得るもの」というOECD型の条文から、照合型の条文に変更するだけのものとなっている。これは、鳥取県個人情報保護条例の個人情報定義も、改正前ではOECD型だったのを、今回の改正で、個人識別符号を導入するのを機会に、照合型の条文に変更するため、それに合わせるということであろう。

*16 様々な失敗事例が出れば、私としては自説強化の材料になって、ありがたい面もあるのではあるが、取り返しのつかないところまで広がってしまうのはまずい。

本日のリンク元 TrackBack(0)

2017年03月10日

「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか

残念なニュースが入ってきた。

このサイトについては、今年の正月早々に以下の件で話題になっていた。

このとき、タイトルには「国税……」とあるが、「国税クレジットカードお支払サイト」と「都税クレジットカードお支払サイト」の両方を話題にしていた。

これは、GMOペイメントゲートウェイ株式会社とトヨタファイナンス株式会社が組んで、東京都への都税の納税代行と、国税庁への国税の納税代行をする「クレジットカードお支払いサイト」を運営している*1のだが、サイトの画面構成からして、誰が運営主体なのか不明だということが問題となっていた。

国税の方については、少なくとも国税庁が運営しているものではないことは(比較的*2)明白であり、サイトのドメイン名が「noufu.jp」となっていて政府ドメイン名「.go.jp」でないことについては何ら問題がなく*3、しかし、民間事業者のどこが運営してるのかが、画面構成からはいまいちハッキリしない(本文中に一応「国税庁長官が指定した納付受託者(トヨタファイナンス株式会社)が運営する」とは書かれているものの、トヨタファイナンスのロゴ等はどこにもなく、正体が隠されたような感じになっている。)ことが問題点であった。

それに対して、「都税クレジットカードお支払サイト」は違っていた。

それから2か月、本当に事故が起きてしまった。

今回、国税の方では被害がないようだ*4が、もし仮に、国税の方で被害が出た場合、正月に上記のようにツイートしていたように、国税庁には直接の責任がないだろう。国税のコンビニ払いでコンビニが事故を起こしても、コンビニ事業者の責任であって、国税庁には、そのような事業者を指定してしまったことに過失はなかったかという限度の責任しかないのと同様にである。(それに対して、もし、e-Taxで事故が起きたら、たとえサーバ保守をどこかの業者に委託していようとも国税庁が直接の責任を負うわけだが、それとは異なる。)

しかし、今回の事件で、都税について出た被害で、東京都主税局の責任はどうか。都税の方では、サイトの左隅上に「東京都主税局」のロゴが貼られており、「公式」との表記もあることから、多くの人が、これを東京都主税局が運営するサイトと誤認していた。「https://zei.tokyo/」というドメイン名がふざけていると(「.lg.jp」ドメインを使うべきと)怒っていたセキュリティ専門家のような人々でさえ、東京都主税局が運営していると思い込んでいた。

したがって、今回の事件での被害者の何十万人は、東京都主税局が運営するサイトだから安全だろうと思って利用したであろう。すると、東京都主税局がそのような誤認サイトを放置した(もしくは積極的にロゴの使用を認めていた)のであれば、東京都主税局にもサイト運営社並みの責任が問われるのではなかろうか。

なお、今回の事件で、東京都は、以下のように、およそ運営主体には見えない(単にサービスが停止していることを迷惑としているだけなので)発表をしている。

  • 「都税クレジットカードお支払サイト」における不正アクセスについて, 東京都主税局, 2017年3月10日

    都税のクレジットカード納付を行うために、受託事業者が運営している「都税クレジットカードお支払サイト」について、外部からの不正アクセスにより、クレジットカード情報とメールアドレスが流出したおそれがあることが判明しました。

    このため、「都税クレジットカードお支払サイト」については、平成29年3月10日11時15分より利用を停止しております。関係者の皆様には、多大なご迷惑をおかけし、深くお詫びを申し上げます。

本来ならば、そのような突っぱねた態度(事故は指定事業者の問題であると)で正しいのだが、「東京都主税局」のロゴを貼らせ(貼ることを許し)、東京都主税局運営サイトであるかのように利用者が誤認していたことについて、何か言うことはないのか。

なお、正月にこの件が話題になった後も、改善はされていなかったようだ*5

他方、GMOペイメントゲートウェイ社の発表は、以下のようになっており、東京都から自ら受託しているかのような記述になっている。今になってもなお依然としてトヨタファイナンスからの受託であることを理解していないのだろうか。

  • 不正アクセスに関するご報告と情報流出のお詫び, GMOペイメントゲートウェイ株式会社, 2017年3月10日

    GMOペイメントゲートウェイ株式会社(以下、当社)において運営受託しております東京都様の都税クレジットカードお支払サイトおよび独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトにおいて、第三者による不正アクセスが確認され、情報が流出した可能性があることが判明いたしました。

    このような事態を起こし、お客様および関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますこと、心より深くお詫び申し上げます。

その点、トヨタファイナンス社の発表では、この点が正確な記述になっている。

  • 不正アクセスに関するご報告とお詫び, トヨタファイナンス株式会社, 2017年3月10日

    当社が東京都様より都税の収納代行業務の指定を受け、運営しております「都税クレジットカードお支払いサイト」におきまして、サイトの運営を委託しておりますGMOペイメントゲートウェイ株式会社(以下、GMO-PG社)のサイトに第三者による不正アクセスが確認され、情報が流出した可能性があることが判明いたしました。

    このような事態を起こし、お客さまおよび関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますこと、心より深くお詫び申し上げます。

ちなみに、本来どうあるべきかについては、正月のときにもツイートしていた。

こういう事故が起きても、2つ以上の事業者を指定してサービスが提供されていれば、片方が停止しても、納税者はもう一方を利用することができる。複数の事業者らは、それぞれのブランドを前面に出して利用者の信頼を得て、競争するのが本来の形であろう。

それから、トヨタファイナンス社が、この事業についての利用目的の公表義務(18条1項)と直接書面取得時の利用目的明示義務(18条2項)を怠り、個人情報保護法に違反している*6ことも、この際ちゃんと*7追求してほしいところだ。

*1 他にも、「愛知県県税クレジットカードお支払サイト」(zei.aichi.jp)や「大阪府自動車税お支払サイト」(publicservice.jp/osaka)、「三重県自動車税お支払サイト」((publicservice.jp/mie))、「福岡市税クレジットカードお支払サイト」(zei.gmopg.jp/city/fukuoka)などがあるようだが、なぜか一覧表が存在しない。トヨタファイナンス社はこのビジネスをやる気があるのだろうか。

*2 それでもなお、当該サイトのフッタには、「国税庁HP」とのリンクがあり、国税庁運営であるかのような誤解を若干与える部分は残存しているが。

*3 ただし、民間事業者が金銭関係のサービスを運営するサイトのドメイン名としては、運営者を明確にした「.co.jp」のドメイン名の方が望ましく、「.noufu.jp」というのはあまりに拙く、「ナメとんのか」という印象を拭えない。

*4 トヨタファイナンスの発表文によれば、「尚、当社が収納代行業者と指定されております国税及び他の自治体のサイトのご利用中のサービスにつきましては、現時点では同様の問題が発生していないことを確認しております。」とある。

*5 当該サイトのGoogleの「キャッシュ」と称した半永続コピー(2017年3月8日 22:40:47 GMT 時点)による。

*6 現在でも、「国税クレジットカードお支払いサイト」は、「個人情報の取り扱いについて」や「プライバシーポリシー」といったページに、トヨタファイナンス社の公表事項を記載していない。(今回の事故の発表で、トヨタファイナンス社は「当社が運営」「GMOに委託」と認めている。)

*7 安全管理措置ばっかじゃなくて、利用目的義務違反もちゃんと執行しろって。

本日のリンク元 TrackBack(0)

最新 追記

最近のタイトル

2024年03月16日

2024年03月13日

2024年03月11日

2023年03月27日

2022年12月30日

2022年12月25日

2022年06月09日

2022年04月01日

2022年01月19日

2021年12月26日

2021年10月06日

2021年08月23日

2021年07月12日

2020年09月14日

2020年08月01日

2019年10月05日

2019年08月03日

2019年07月08日

2019年06月25日

2019年06月09日

2019年05月19日

2019年05月12日

2019年03月19日

2019年03月16日

2019年03月09日

2019年03月07日

2019年02月19日

2019年02月11日

2018年12月26日

2018年10月31日

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|10|12|
2019|02|03|05|06|07|08|10|
2020|08|09|
2021|07|08|10|12|
2022|01|04|06|12|
2023|03|
2024|03|
最新 追記