昨年7月からブログには書かないことにしていた*1 が、緊急事態であるので、政府のパーソナルデータ保護法制(個人情報保護法改正)の議論の状況についてに書いておきたい。本当は論文や講演の形で示していくつもりだったが、それでは間に合わない状況が発生中であるので、周知の目的で取り急ぎかいつまんで書く。副政府CIOの向井治紀内閣審議官とお話ししたところ、「ブログに書いたらエエやないですか。どんどん書いてください。」とのことであったので、それ自体書くことを含めて許可を得たところで書くものである。
先週、IT総合戦略本部の「パーソナルデータに関する検討会」の第7回会合が開かれ、「定義と義務」についての事務局案が示された。資料が公開されている。事務局案は、これまでの「個人情報」についての定義と義務は変更しないものとし、新たに「準個人情報」と「個人特定性低減データ」の概念を追加し、「準個人情報データベース等」「準個人データ」「準個人情報取扱事業者」、「個人特定性低減データ取扱事業者」といった用語を定義しようというものであった。この案に対し、会合では委員から次々と異論が噴出し、「もっと他の案はないのか」といった大元からひっくり返す意見をはっきり言う委員もいらした。この様子は、日経IT Proの記事「「準個人情報」など類型示す事務局案に異論相次ぐ、パーソナルデータ検討会」で報じられている。
こうした政府の検討において一般的にそうであるように、事務局は事前に有識者らにヒアリングをし、事務局案をその有識者らに直前にレク*2 するものである。今回は私もその一人であるので、事務局案の問題点は直接事務局に言えばいいし、実際それができる立場にあるので、本来はこういうブログに書いて自説を主張する必要はない。しかし、個人情報保護法改正は、将来に大きな影響を残す重大な局面であり、多くの人々の意見を集約して決めて行く必要があるところ、あまりにも難解であるため、誰も本筋に迫る意見を出せない状況になっていることが懸念される。その上、今回の事務局案は、非常に詳細なところまで既に詰めたものが示されたため、世間の眼にはこれが既定路線と映り、意見が出てこない状態に陥る恐れがあるように思われる。実際には、先週の会合で最後に向井副政府CIOから発言があったように、そもそも6月予定の大綱自体ここまで詳細に決めてしまうものではないとのことであり、どんどん対案を出して欲しいとのことなので、まず事務局案を皆で理解するため、その材料を提供すべく私の理解を以下に示す。
事務局案は、まず大前提として、
ことを置いている。そこに見直し方針にあった「実質的個人識別性」の実現として「準個人情報」を導入し、FTC3要件に基づく提供の実現として「個人特定性低減データ」を導入するとどうなるか、それを演繹的に解いていった案となっている。その結論として導かれた義務は、事務局案資料の以下の図で表されている。
「本人を特定しないため義務なし」という記述があちこちにある。これの意味するところは、前記2.の「本人に係る事業者の義務は特定の個人を識別できる場合に限られる」という理屈から導かれている*3 。一番下にある「§25-27」(開示・訂正・利用の停止の求め)が、「本人を特定しないため義務なし」となっているのは、特定の個人を識別する情報がないと(つまり「個人情報」がないと)、本人を特定することができないため、本人の求めに応じることは不可能であるという理屈*4 である。確かに、現行法において「本人」は定義された用語であり、2条6項で「この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。」と定義されているのだから、そもそも個人情報に対してしか「本人」は観念し得ない。
同様の理屈でもって、「本人」が出てくる現行法の義務のすべてについて、「本人を特定しないため義務なし」とバッサリ切っている*5 。「本人」が出てくるのは、「本人の同意を得る」、「本人の求めに応じて停止」(オプトアウト)、「本人に通知」、「本人からの請求」(開示・訂正・利用の停止)である。
このようにバッサリ切った結果、重大な矛盾が生じている。図1の「§23 オプトアウト」のところの「準個人情報」についての義務が、「本人を特定して個人情報として同意を得るまたは個人が特定される可能性を低減する措置を施す」となっている。これはどういうことかというと、要するに、オプトアウトに応じる前提でもデータを元のまま提供するのは禁止ということである。
現行法では、特定の個人が識別されるもの、つまり個人情報であっても、本人からのオプトアウトに応じるのを条件に、本人の同意なく生データを提供できる(正確には、「提供してはならない」という義務が解除される)とされている(これ自体、ザル法と言われる所以であり問題だが)ところ、それよりもリスクが小さいはずの「準個人情報」について、同じルールでの生データ提供は認められず、「個人が特定される可能性を低減する措置を施す」つまり、「個人特定性低減データ」に変換して提供する義務があるというのである。具体的には、一つには、グローバルIDをローカルIDに変換*6 することである。リスクの軽いデータの方が強い義務という逆転が起きている。
この規制が現実となると、現に行われつつある行動ターゲティング広告に障害をもたらすことになる。ここ1年ちょっとの動きとして、スマートフォンOSでは、広告識別子(Advertising Identifier)の仕組みが普及しつつある。元々はAppleが(UDIDを廃止する代わりに)iOS 6から導入したもので、GoogleもAndroidに同じ機能を盛り込んだことから、急速に普及しそうな情勢にある。この広告識別子は、グローバルIDであり、複数の事業者で共用されるものであるが、利用目的を広告に限らなければならず、利用者のオプトアウト(Do Not Track)に応じなければならないというものである。このルールは、Appleではアプリ審査によって実効性が担保されると思われ、Googleは審査するつもりがあるかは不明であるが、規約で明確に目的外利用を禁じている。ルールに違反があれば、米国の場合は連邦取引委員会(FTC)がFTC法5条に基づいて権限を行使することもあり得そうであり、言わば、技術方式と法制度が協調して問題解決を図る方向である。それが、日本では、個人情報保護法が改正され、事務局案の「準個人情報」が導入されたとすれば、広告識別子を用いた履歴の集約が法的に禁止されることになってしまう。
しかもこれは、同意があれば禁止が解除されるわけでもない。図1をよく見ると「本人を特定して個人情報として同意を得るまたは...」とある。つまり、広告識別子を使うには、氏名などを取得して個人情報化し、個人情報取扱事業者となって、本人の同意を得よというのである。
これは明らかに業界が期待している方向性ではないわけだが、なぜこうなっているかというのは、単純に、最初に「本人に係る事業者の義務は特定の個人を識別できる場合に限られる」という大前提を置いて、演繹的に義務を導出したからである。
こういうときは最初の前提から見直すべきである。「本人」の定義が「個人情報によって識別される特定の個人」となっているのが原因なら、別途、「準個人情報」向けの「準個人」を定義してもよかろう(冗談だが)し、同意やオプトアウトはそもそもどういう方法で可能なのかから検討するべきであろう。例えば、総務省消費者行政課の諸問題研で、第二次提言以来継続的に検討されているところでは、個人情報がない状況での本人同意は当然に可能なものとして想定されている。実際、Webサイトでのサービスや、スマホアプリによるサービスでは、利用開始時に同意をとることができるし、利用者のアカウントが作成されていれば、それを通じて利用の停止を求めることができるし、通知も利用者に対して当然にできる。そうした本人関与の方法を、現行法の見直しも含めて法定することを模索すればよいところ、事務局案はそうした可能性を最初からバッサリと切っているのである。
事務局案がこれでよしとなってしまうのは、巷で現に行われている(また、これから行われるであろう)パーソナルデータ利活用の事業モデルを網羅する作業が行われていないからである。事務局案が想定する利活用の事例は、概要編の14頁(【事例1】)と15頁(【事例2】)の2つだけである。
そして、図2の事例1をよく見ると、事業者Aが購買履歴の一部を事業者Bに提供しているが、これは商品単位でバラバラの販売履歴であって、一人についての連なった履歴を提供するものではないから、現行法でも適法なもの*7 であり、「準個人情報」や「個人特定性低減データ」の扱いに何ら関係しない利活用モデルである。
また、図中に「プリンをリコメンド」とあるが、これは行動ターゲティングではない。「都内40代男性は鮭弁とプリンを購入しがち」という統計情報に基づいて、鮭弁を買おうとした人にプリンを勧めているだけなので、買おうとしている人についてのプロファイリングは行われないケースである。
個人情報保護法を改正する(実質的個人識別性を盛り込むために)からには、最低限、行動ターゲティングについては想定しなければならない。行動ターゲティングは、パーソナルデータ利活用の一丁目一番地であるし、歴史も長く、米国の主導で作法も完成しつつある。法改正によって行動ターゲティングがどのように規律される結果となるのか、シミュレーションして改正案の妥当性を検証しなくてはならない。事務局案ではそれが行われていないように見える。
私は、今度の改正は、米国で普及が進んでいる自主規制ルールに大体合うようにすればよいし、そこから大きく外れないようにしないといけないと考えている。そういう意味で、そのような改正を見越した動きが国内であった。JIAA(一般社団法人インターネット広告推進協議会)は、先月3月24日に「行動ターゲティング広告ガイドライン」の改定をしている。この改定で、JIAAのガイドラインは、「個人情報」に該当しない履歴情報等を「個人関連情報」と呼び、第三者提供時のオプトアウト等について、個人情報保護法の個人情報と同等の扱いをするとした。個人関連情報について米国での自主規制ルールに合わせるようにしたものだろう。
JIAAのガイドラインが、「個人関連情報」も「個人情報」と同等に扱うとすることができたのは、現行の個人情報保護法が元々ザルであり、オプトアウト手段さえ用意しておけば第三者提供できてしまうものだったからだ。そのため、個人情報保護法の保護対象範囲を個人に関する情報全域まで(ただし散在情報は除く)広げたとしても、誰も困らないのではないかと思われる。少なくともJIAAは、3月下旬というこの時期に「準備OKです」という意思表示をしたように見える。JIAAとしては、むしろ、インターネット広告業界の健全性のために、個人情報保護法による規律を望んでいるとさえ言えるのではないか。私は、今度の改正で法の目的に「利活用に対する社会的信頼の確保」を入れてはどうかと提案している*8 ように、弱く規制する規律は業界にとっても長期的に見て好都合なはずだと推察している。
今回の事務局案は、JIAAガイドラインとは一致するところがない。事務局案の「準個人情報」は(単純に言うと)グローバルIDと位置データの規制なので、単一のアドネットワークが扱う情報は「準個人情報」に当たらないことになる。業界の政策担当者は、事務局案を見て規制が緩そうに見えればそれで満足してしまうかもしれないが、中身をよく見ないといけない。業界の技術動向を見極め、健全な発展のための長期的展望に立って、必要な規律がどういうものか把握して、事務局案がそれに沿っているか調べて、必要があれば意見を出していかなければならないだろう。
見直し方針にあった「実質的個人識別性」が、このような「準個人情報」に至ったのには、「準個人情報」を新たな保護対象とするに当たり、何を回避すべきリスクとして想定するかが、事務局案では次の2点とされている(事務局案詳細編3頁)ことから導かれたものだ。
つまり、特定されることの危険性と、漏えいの危険性である。また漏えいか。またもやここでプロファイリングによる評価を受けない権利のことが蔑ろにされている。番号法のときも、「漏えいだけじゃない」ことはしつこく主張し、「社会保障・税番号大綱」には、ちゃんと、想定される懸念として「集積・集約された個人情報によって、本人が意図しない形の個人像が構築されたり、特定の個人が選別されて差別的に取り扱われたりするのではないかといった懸念」との記述が盛り込まれた。国家により付番される個人識別番号ほど強力なものではないにしても、単一事業者の識別子を用いたプロファイリングも同様の効果をもたらし得るのであるから、弱い規制であってもよいので、理論的には規律する対象となり得るものだろう。
米国やEUで、行動ターゲティング広告に一定の規律がかかっているのが、プロファイリングをリスクとして想定しているためであることに鑑みれば、日本で実質的個人識別性を実現するに際して想定するリスクにもそれを盛り込むべきである。
さらに言えば、図1にあるように、今回の事務局案には「機微情報」(前科等)についても案が示されており、「個人情報」のうち「機微情報」に当たるものは、オプトアウトによる第三者提供を禁止し、取得時に本人同意を要するものになっているのだが、図の通り、「準個人情報」に「機微情報」は定義されていない。つまり、特定の個人が識別できない情報であれば、「準個人情報」のような特定性の高い情報であっても、機微情報は普通の情報と同じに扱うというのである。これは、保護の理由として、特定されたときや漏えいしたときのリスクしか想定していないために到達した結論であろう。プロファイリングによる差別的扱いをリスクと想定していれば、当然に、「準個人情報」においても「機微情報」は定義され、さらには「準個人情報」に当たらない単一事業者が用いる識別子で集積されるデータも(本人に何らかの形で結び付けて「再識別化」されるならば)対象となるものであろう。
もう一つ。見直し方針では「オプトアウト等第三者提供の例外措置の要件の明確化」とあったので、悪質な名簿屋への対策として、「個人情報」についての「オプトアウトによる第三者提供」の原則撤廃がようやく盛り込まれると期待していたのだが、「個人情報の取扱いを現行のままとする」という大前提があるためか、図1の通り、それは盛り込まれていない。このため、肝心なところを規制できておらず、全体としてザルなままとなっており、また、対象情報によって義務の強弱を付けようにも、特定性が最高の「個人情報」ですらオプトアウトで第三者提供できてしまうため、それより弱い義務を設定できなくなってしまっている。まずは、電話帳や住宅地図、それ相当の「無味乾燥な」名簿は例外として現行通りとした上で、「○しろまる○しろまるの購入者リスト」といった個人データの提供(同意なしの)は禁止にすべきだろう。そのことに反対する世論など存在しないと思う。
検討会は、本来、まずそうした想定リスクや前提、何を達成するのかについて、委員で議論をするところから始めるべきであるところ、いきなり、特定の想定と前提の下で、詳細まで完成して理由付けされた事務局案が出てきたため、根本からの議論が不可能な状態に陥ったように見えた。
「定義と義務」の検討は検討会の次の会合(4月24日)でも行われることになっている。そこでは、ローカルミニマムに陥ることなく最適な全体設計ができるような議論がなされることを切に願う。*9
*1 書かないようにした理由は複合的なものであった。NISC兼務となったことだけでなく、ここのメインテーマであったデータプライバシーの問題が個人情報保護法改正へと現実に解決に向かい始めていたこと、様々な大型事案が爆発炎上しつつあり、それがけして私のせいで引き起こされてるのではなく、元々の世論によるものだとわかるようにする必要があったこと、あれもこれも書かないといけない状況になりつつあり、事案の書き漏らしがあると「何でこれについて書かないんだ」などと言われかねない状況になりつつあったこと、テーマが本業になってきたので、ブログに逃げずにちゃんとした媒体で発信して行くことに注力したいこと、みなさんが主体的に行動するようになってほしいと考えたことなどからであった。
*2 直前なので、細かい指摘は反映されても、大きな指摘は反映され得ない。
*3 「正確性の確保」以外。
*4 個人情報がないと本人に通知できないとか、本人の同意やオプトアウトを確認できないというのは、特定個人識別性について「氏名到達性」説を前提にしているのだろうか。しかし、現行法は、「氏名、生年月日その他の記述等により」の「記述等」の「等」のところが、映像や音声を想定したもの(法案時の内閣官房の逐条解説(二関辰郎弁護士が情報公開請求で取得したもの)には「映像、音声もそれによって個人の識別に至る限りは「等」 に含まれる。」とあり、他の解説書もこれに追随している。)であるから、映像や音声で識別された本人に対して、どうやって通知するのかとか、どうやって本人のオプトアウトを受けるのかというのは、現行法の「個人情報」についても同様に存在してきた論点であるわけで、準個人情報だからというだけで本人に係る義務がすべて否定される理由にはならない。
*5 私がレクを受けたときの版では、§18の「利用目的の通知または公表」のところも「本人を特定しないため義務なし」と灰色になっていたが、検討会提出の版では、黄色になっており「あらかじめ、または取得後速やかな利用目的の公表等」に変更されている。これは、「本人」が観念しえない準個人情報について不可能なのは「通知」についてであって、18条の「公表」については「本人」に連絡が不能であってもできること(現行法がまさにその趣旨で通知または公表とされている)を指摘した結果である。
*6 事務局案の「準個人情報」は3つの類型からなり、1の類型(事務局案詳細編5頁)は、複数の事業者で継続して共用されるものを指す(これを私は「グローバルID」と呼ぶ)が、これを「他の事業者と共有することができない番号や記号等に置換」(事務局案詳細編8頁)する(これを私は「ローカルID」と呼ぶ)としている。
*7 これが、個人データの第三者提供に当たらないことは説明が必要であろう。いずれどこかに書きたい。
*8 12月22日の堀部政男情報法研究会での講演にて提案した。
*9 他に、事務局案に沿った場合の個別の論点はたくさんある。重要なところでは、例えば、事務局案詳細編10頁に、「個人特定性低減データ」の受領者における扱いについて、「特定禁止」とあるものの、「受領者内において「個人特定性低減データ」とその他の情報とを突合、分析・評価すること、「準個人情報」とすることを禁ずるものではない」とあるが、これはFTC3要件に基づく提供を実現するものであるところ、FTCレポートでは、このような突合を禁止しているのではないかという論点がある。また、23頁の図に、「データの作られ方により同じデータでも分類が異なる場合あり」との注記があるが、これはまさに、この規律が論理的矛盾を含んでいることの表れであり、実質的個人識別性を実現するための保護対象の範囲が「準個人情報」では足りないことを示しているのだと思う。他にも、「準個人情報」の1類型の定義として「継続して共用される」識別子となっているが、この定義だと、cookieは第三者cookieであっても単一事業者のものであり「準個人情報」に該当しないことになるが、複数の事業者が結託して「CookieSync」等と呼ばれるテクニックを用いて履歴を結合すれば、同様の結果が招かれるにも関わらず、保護対象とならない。識別子の性質だけ見ても目的は達成されないように思われ、この点からも保護対象の範囲を別の角度から決める必要があるように思われる。
この議論に参加するには現行法の理解が欠かせない。私も半年前にようやく理解したばかりであり、一部は論文として書いていた*1 ところ、一般向けには、図を用いるなどしてプライバシーフリーク・カフェの動画コンテンツで提供したかったところだが、悠長にやっている場合ではなく、今すぐ全ての人が知るべきだと思うので、とりあえず取り急ぎ*2 ほとんど文章だけで。以下、行政機関個人情報保護法や情報公開法と対比しながら、個人情報保護法の民間部門の第三者提供の制限について考える。
まず最初に、先日の第1回「プライバシーフリーク・カフェ」(前編)の様子をまとめた「「個人を特定する情報が個人情報である」と信じているすべての方へ」を踏まえておかないといけない。ここは基礎の基礎であり、これを間違えていると全部が吹っ飛んでしまう。「個人を特定する情報が個人情報である」との理解は間違いであり、「個人に関する情報」全体が個人情報である(それに含まれる記述等から特定の個人を識別できる場合に)。
このことは文献[宇賀2013]で繰り返し指摘されている。
「なお、「A氏が解雇された」という情報の場合、その全体が「個人に関する情報」であって、「A氏」という個人を識別しうる部分のみが「個人に関する情報」であるわけではない。
宇賀克也, 個人情報保護法の逐条解説第4版, 有斐閣, 286頁
「たとえば、川田花子が開示請求した「保有個人情報」の中に、「1950年3月6日出生の山田太郎は、財務省に勤務している」という情報が含まれている場合、この情報全体が山田太郎の個人に関する情報である。すなわち、「1950年3月6日出生の山田太郎は」という個人を識別できる情報の部分を除いた「財務省に勤務している」という情報も山田太郎の個人に関する情報である。」
宇賀克也, 個人情報保護法の逐条解説第4版, 有斐閣, 310頁
この解釈が条文から明らかであることは、文献[宇賀2010]で(同様の条文を持つ情報公開法についてではあるが)次のように説明されている。
情報公開法要綱案第六(1)においては、「個人に関する情報(略)であって、特定の個人が識別され又は他の情報と照合することにより識別され得るもの」という表現になっていたが、本条1号本文では、「当該情報に含まれる氏名、生年月日その他の記述等により」の部分が「特定の個人を識別することができるもの」の前に付加されている。その結果、氏名、生年月日等、それ自体として個人を識別しうる情報のみならず、「平成元年に肺癌に罹患」という個人の病歴の部分等も、「個人に関する情報」に含まれることがより明確になっている。
宇賀克也, 新・情報公開法の逐条解説[第5版], 有斐閣, 70頁
また、行政管理局による行政機関情報公開法の逐条解説でも、次のように解説されている。
(参考2)個人情報の外延について
「個人情報」は、通例は特定の個人を識別可能とする情報と当該個人の属性情報からなる「一まとまり」の情報の集合物である(このため、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」と規定している。)。
解説 行政機関等個人情報保護法, 行政管理局, 12頁
したがって、安全管理措置義務違反によって個人データの漏えいをひき起したとき、漏えいした情報に購買履歴が含まれているにもかかわらず、「漏えいした情報は、氏名、生年月日、住所、電話番号である。」と発表(事例として2011年11月6日の日記参照)するのは、法解釈の誤りである。
次に、「個人データ」の第三者提供(23条)について。23条1項は「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。」と規定している。
現行法で「個人データ」は、「個人情報データベース等を構成する個人情報をいう」と定義されているので、「個人データ」に当たるには「個人情報」に該当することを要する。ここで、「個人情報」の定義のうち「氏名、生年月日その他の記述等により特定の個人を識別することができる」の部分に限って着目する(括弧書きを仮に無視する)と、提供するデータが「個人データ」由来のものであっても、そのデータが「個人情報」に該当しなければ、23条が言う「個人データの第三者提供」に当たらないとされる。
例えば、「鈴木さんにより、深夜に鮭弁とプリンが購入された」と「佐藤さんにより、昼間におにぎりとお茶が購入された」が記録された「個人情報データベース等」があって、そこから取り出した「鈴木さんにより、深夜に鮭弁とプリンが購入された」という1個のレコードは「個人データ」に該当するが、そこから切り出した「深夜に鮭弁とプリンが購入された」という部分情報を第三者に提供することは(直ちには)個人データの第三者提供に該当しない。――(1)
このことは、昨年6月の、規制改革会議の「国際先端テスト検討結果 10ビッグデータ・ビジネスの普及(匿名化情報の取扱い)」において、「週3日以上ワインを飲んでいる」か否かという二値の属性情報の提供について、「当該属性情報は「個人情報」には該当しないこととなる」とされていることから、そう理解するほかない。
この場合に、個人データ由来のデータであっても第三者提供が合法であることに違和感を覚えるかもしれないが、それは、一つには、例えば、受託業務で預かっている個人データから勝手にデータを抽出して販売するケースや、通信の秘密を侵害する形で抽出したデータを販売するケース等は、それぞれ契約違反であったり、他の法令に違反しているなど、別の問題からくる違和感であろう。(もう一つの原因からくる違和感については、次節以降を参照。)
類似の話として、個人データを統計データに加工して利用することについて、経済産業省の「個人情報保護ガイドライン等に関するQ&A(平成22年4月1日現在)」のQ45は、「A事業で取得した個人情報を、個人が特定できない情報に加工して、B事業の統計データとして利用する場合、B事業についても利用目的として特定する必要はありますか。」とのQに対し、「利用目的の特定は、個人情報を対象とするため、個人情報に該当しない統計データは対象となりません。また、最終的な利用目的を特定すれば足りますので、統計データへの加工の過程を利用目的とする必要はありません。」と答えている点が、これに共通する。
ところで、この考え方は、前節の「「個人に関する情報」全体が個人情報である」とする考え方と一見、矛盾するように思われる。これらの違いについて解説された文献は見つからなかったので、独自に検討してみるに、次のように整理すればよいのではないか*3 。
20条の安全管理措置義務では、条文は「取り扱う個人データの漏えい(略)その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」であるから、「一まとまり」の「個人に関する情報」(個人データに当たる)を扱っているからには、その一部であってもそこから漏えいすれば、安全管理措置義務違反が問われる。一方、個人データから切り出した「深夜に鮭弁とプリンが購入された」という情報を別に取り扱っているときに、それの漏えいを起したとしても、個人データの安全管理措置義務違反には当たらないと解される。これと同様に前記の第三者提供も当たらないと解される*4 。
前掲の文献[宇賀2013]の指摘は、行政機関情報公開法の開示義務(14条)に関する解説の部分で出てくるものであり、その条文は「開示請求があったときは、開示請求に係る保有個人情報に次の各号に掲げる情報(以下「不開示情報」という。)のいずれかが含まれている場合を除き、開示請求者に対し、当該保有個人情報を開示しなければならない。」であるから、請求されている情報が「個人に関する情報」の全部であるということであろう。これと同様に、民間部門においても、個人情報保護法25条の開示の求めでは、条文は「本人から、当該本人が識別される保有個人データの開示を求められたときは(略)、当該保有個人データを開示しなければならない」であるから、本人が求めている対象(保有個人データ)を開示しなくてはならないのであって、「個人に関する情報」全体が求められているとして扱う必要があるいうことであろう。
次に、前記(1)で「(直ちには)」としたのは、「個人情報」定義の残る部分「(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」を無視した場合だからであり、これに該当するならば、前記の結論は覆り、個人データの第三者提供に該当することになる。
ここで問題となるのは、「他の情報と容易に照合することができ」の解釈について、提供元基準説と提供先基準説の争いがあるとされる点である。*5
つまり、「個人情報データベース等」に格納された各要素の「個人データ」から、その一部の情報を削った(特に「個人を特定する情報」の部分を削った)データ(以下、「提供データ」と言う。)を作成して、それを第三者に提供するとき、その「提供データ」が「個人データ」に該当するか否かの判断がどのような法解釈に基づくべきなのか、「個人情報」定義のうち「氏名、生年月日その他の記述等により特定の個人を識別することができる」には該当せず、残る「他の情報と容易に照合することができ」に当たるか否かで判断されるとき、その「照合する」主体が、提供元の事業者なのか、提供先の事業者なのかという争点である。
この点につき、文献[岡村2014](72頁)は、文理解釈として、「「個人情報取扱事業者は......個人データを第三者に提供してはならない」という文言に照らせば、提供元基準説は素直な解釈であろう。」とし、提供先基準説をとった場合には「前記法文は「提供先にとって個人データと認められるもの」と読むことになり、やや不自然であるとの批判もあり得る。」としている。
政府は提供元基準説をとっている。明言されたものとして、内閣府行政刷新会議規制制度改革委員会経済活性化WGの2013年10月の会合で、消費者庁が以下のように説明している。
○しろまる消費者庁 御紹介いただきました、消費者庁消費者制度課長の堀井と申します。今日は 説明のお時間をいただき、ありがとうございます。
(略)こちらの3のところで「容易照合性」と書いてございますが、この容易照合性の判断の基準としては、その個人情報を取り扱う事業者、こちらを基準に、その事業者の方が情報を保有や取得をした時点、こういった観点で容易照合性を見ているということでございます。
また、昨年6月の、規制改革会議の「国際先端テスト検討結果 10ビッグデータ・ビジネスの普及(匿名化情報の取扱い)」においても、「週3日以上ワインを飲んでいる」か否かという二値の属性情報の提供に際して、提供元で元データとの「対応表」を廃棄するのを条件に「当該属性情報は「個人情報」には該当しないこととなる」としているように、提供元基準説がとられていることがわかる。
そして、先週のパーソナルデータ検討会の事務局案においても、詳細編に「提供元(情報を取り扱う事業者)を基準に判断する」と書かれた。
(第三者提供時の容易照合性判断基準)
提供元(情報を取り扱う事業者)を基準に判断する。「個人情報」等の定義と「個人情報取扱事業者」等の義務について(事務局案)<詳細編>, パーソナルデータに関する検討会
なお、事務局案の概要編にも論点整理として以下の記述があるが、これを、現行法解釈論の話だとして読むと、提供元基準、提供先基準の定義としては不正確なものになっている。
利活用の一環でパーソナルデータを流通する場合、以下の2つの考え方があり、事業者においてどちらの基準で考えるべきか判断できない状況が発生している。
「個人情報」等の定義と「個人情報取扱事業者」等の義務について(事務局案)<概要編>, パーソナルデータに関する検討会
- A) データの提供元で個人が特定できないデータは、提供することができる(提供元基準)
- B) データの提供元で個人が特定できないと判断したデータであっても、提供先が持つ様々なデータと組み合わされることで個人が特定できてしまう場合があるため、提供先での特定性を考慮すべき(提供先基準)
「提供元」/「提供先」の選択の他に「してはならない」/「してよい」の選択があるので、以下の図のように、4つがあり得るところ、事務局案概要編の「A)」は3と書かれており、「B)」は2のことを言っているように見える。
現行法は1である。1と3は同じことではない。個人情報保護法の第三者提供の制限は、提供してよい基準を示しているわけではない。個人情報保護法を遵守して何らかのデータを第三者提供したときに、それがプライバシー侵害の原因となることは十分にあり得るところであり、その際の提供者は不法行為責任を負う可能性があるわけで、個人情報保護法がその責任を消滅させるわけではない。
事務局案概要のB)は、「提供先での特定性を考慮すべき」という意味で2のことを言っているようである。ただ、B)の記述をよく読むと、これは、事業者が法解釈として提供元基準を採用して「データの提供元で個人が特定できないと判断した」データについて、「提供先での特定性を考慮すべき」と言っているので、これは現行法解釈論ではなく、立法論になっている(現行法解釈は1だが、それに加えて2も規制するべきという立法論)ように見受けられる。
なお、1と2は共に要求されるという解釈や立法論もあり得る点に注意。
現行法解釈として4の説を唱える*6 ものに、文献[岡村2009]がある。
Aにとって識別性を具備する情報を、これを具備しないBに提供する場合には、第三者提供の制限(法23条1項)違反とならないものと考えるべきである。Bにとどまらず通常人からみても誰の情報なのか識別できない以上、その提供によって、本法が想定する権利利益侵害のおそれが本人に通常発生するとは認められないからである。また、かく解さなければ、本人の権利利益を図るため、特定の個人を識別しうる部分を番号・符号に置き換える方法を用いて匿名化したデータを第三者に提供することすら許容されなくなりかねない。これと反対に、Aにとって識別性を具備しない情報を、これを具備するBに提供するケースは、理論上は想定できても、実際に発生しうるか疑問である。
岡村久道, 個人情報保護法[新訂版], 商事法務, 76頁
この説を頼りに正当性を主張している事業者が何社かあると聞く。私も個人的に事業者からそのように説明を受けたことがある(2013年6月30日の日記脚註2参照)。
この著者である岡村久道弁護士が、先月、厚労省の個人情報保護ガイドラインが、提供先基準を採用しているとするブログを書かれた。*7
個人情報保護法23条にいう「個人データ」の識別性判断基準について、提供先ではなく提供元を基準とする考え方が政府見解だと主張している人が居るようだ。本当であろうか。(略)
厚生労働省の『医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン』(平成22年9月最終改正)がある。 「特定の患者・利用者の症例や事例を学会で発表したり、学会誌で報告したりする場合等は、氏名、生年月日、住所等を消去することで匿名化されると考えられる」として発表等を適法としている(7頁)。本文で引用した部分に続き、「症例や事例により十分な匿名化が困難な場合は、本人の同意を得なければならない。」としている。
個人情報保護法23条の識別性判断基準と省庁指針, 情報法学日記 by 岡村久道
厚労省の「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」の7頁にその記述があるという(確かに7頁6行目からにある)のだが、しかし、その直前の段落(5頁下から2行目〜6頁5行目)を見ると、次のように書かれている。
このような処理を行っても、事業者内で医療・介護関係個人情報を利用する場合は、事業者内で得られる他の情報や匿名化に際して付された符号又は番号と個人情報との対応表等と照合することで特定の患者・利用者等が識別されることも考えられる。法においては、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」についても個人情報に含まれるものとされており、匿名化に当たっては、当該情報の利用目的や利用者等を勘案した処理を行う必要があり、あわせて、本人の同意を得るなどの対応も考慮する必要がある。
このように、厚労省のこのガイドラインも提供元基準を採用している旨を明言している。「発表等を適法としている」に当たる記述はなく、「本人の同意を得るなどの対応も考慮する必要がある」としている。同じく厚労省の「福祉関係事業者における個人情報の適正な取扱いのためのガイドライン」についても同様である。*8
なお、文献[岡村2014]においては、「提供先基準説のほうが、こうした制度趣旨に対して素直な解釈といえよう」とする理由として、以下のように、前記の図1でいう2に相当することのみを示し、4に当たる主張(文献[岡村2009]では主張されていたもの)は示されていない。
提供先にとって識別性がない情報と比べて、提供先にとって個人識別性がある情報のほうが、本人の権利利益を害するおそれが格段に大きくなることは当然である。したがって、第三者提供と個人識別性との関係について、提供先において識別情報か否かを基準とする提供先基準説のほうが、こうした制度趣旨に対して素直な解釈といえよう。
岡村久道, パーソナルデータの利活用に関する制度見直しと検討課題(中), NBL No.1020, 72頁
2の重要性は立法論として賛成する余地のあるものであるが、現行法解釈論としては1を否定する理由にならない。(1と2は互いに排他的ではなく、両方を要求する立法論もあり得る。)
1を実質論から否定するには4を正当化する必要があるところ、4を正当化しようとしても無理がある。事業者Xが4及び2に沿って事業者Aに提供するとき、事業者Aにおいてそのデータは個人データに当たらないため、事業者Aに個人情報取扱事業者の義務がなく、事業者Aはそのデータを更に第三者(事業者B)に提供する自由がある。この提供が行われるとき、事業者Bにおいてそのデータが特定の個人が識別されるものとなる場合であっても、規制されないことになる。この場合、事業者Xは2に沿ったつもりだったのに、結果として2に反する事態を招いたことになる。
このような事態について、文献[岡村2009]は、前掲引用部で「Aにとって識別性を具備しない情報を、これを具備するBに提供するケースは、理論上は想定できても、実際に発生しうるか疑問である。」としているが、「実際に発生しうるか疑問」との指摘は技術論として誤りである。パーソナルデータ検討会の「準個人データ」(4月16日事務局案)の第三者提供制限がまさにこのような事態を想定した措置になっている。
次に、具体的にどのような場合に「照合することができ、それにより特定の個人を識別する(以下、「照合による特定個人識別」と言う。)ことができることとなる」のか。基本となる照合パターンは、組織が元々持っている様々な情報についての照合であり、文献[宇賀2013]が「たとえば、メールアドレスは、一般的には個人識別性を有しないが、当該本人が契約するプロバイダーにとっては他の情報と容易に照合して個人識別が可能な個人情報といえよう。」(29頁)との例を挙げているように、組織内に契約者情報を持っていてそれと紐づく情報は「照合による特定個人識別」ができる情報ということになる。
別の照合パターンは、組織が元々持っている「個人情報」を自ら分割し、分離した部分情報を取り扱うときに、その分離した部分情報の「個人情報」該当性について、「照合による特定個人識別」ができるか否かである。このときの照合の対象は分割した元の情報であり、元の情報と照合することにより「特定の個人を識別することができる」かが判断の分かれ目となる。
この照合パターンの一つ目の典型は「対応表による照合」である。いわゆる「仮名化」の措置では、分離した部分情報に乱数等による識別子を付番し、元データとを一対一に対応付けることにより、継続して「仮名化」情報を作成することがある。
前掲の「国際先端テスト検討結果 10ビッグデータ・ビジネスの普及(匿名化情報の取扱い)」において、「週3日以上ワインを飲んでいる」か否かという二値の属性情報を第三者提供するとき、提供元で元データとの「対応表」を廃棄すれば、提供データが「個人情報」に該当しないとされているのは、この「対応表」が存在すると「照合による特定個人識別」が成立するということである。
二つ目の典型は「データセットによる照合」である。具体例としてちょうど当てはまるのが、昨年問題となった、JR東日本によるSuica乗車履歴データの日立製作所への提供の事案である。この事案では、対応表の廃棄がどのタイミングで行われるか当初の言い分と後の説明で異なるなど、事実関係がはっきりしないが、仮に対応表を常時廃棄していたとしても、提供する履歴データ自体が、非常に詳細なものであるため、元データと一対一対応してしまうものであった*9 *10 。このことを指して「データセットによる照合」と言う。
前記の「国際先端テスト結果」で、「週3日以上ワインを飲んでいる」の例が、「対応表」さえ廃棄すれば「個人情報」に該当しなくなるとされていたのは、提供データが、「週3日以上ワインを飲んでいる」か否か(YESかNOか)という二値の属性情報であるため、「データセットによる照合」は不可能であるという暗黙の前提を置いていたためであろう。実際には、「対応表」が廃棄され、かつ、「データセットによる照合」ができない場合に「照合による特定個人識別」が否定される。
前記(1)の「深夜に鮭弁とプリンが購入された」というデータの提供が「個人データの第三者提供」に該当しないのは、この「対応表による照合」と「データセットによる照合」が共にできないデータの例である。前回の日記の図2で書いたように、パーソナルデータ検討会の事務局案<概要編>14頁の「【事例】1」の購買履歴の第三者提供は、このケースに当たる。
なお、「データセットによる照合」について記述した逐条解説は見当たらないが、文献[岡村2009]の79頁は、単一の個人データについて、それが顔写真である場合には、マスキングしても元データと「照合による特定個人識別」ができることについて触れており、提供元における「データセットによる照合」の概念を示唆するものになっていた。
この場合、医師としては発表・報告用の複製物のみをマスキングによって匿名化しつつ、顔写真の原本にはマスキングせずに別途残しておく方法が通常であろう。したがって、当該原本と容易に照合しうる当該医師にとって、むしろ上述の諸事情は連結可能匿名化である場合が一般的であろう。
岡村久道, 個人情報保護法[新訂版], 商事法務, 79頁
これが、より抽象的なデータであっても、データが詳細かつデータの人数が多数のときには、提供元における「データセットによる照合」が可能と言うべきであることが、Suica乗車履歴の事案により明確になった。
前記「第三者提供時の個人データの範囲」の節で示した「個人データ由来のデータであっても第三者提供が合法であることに違和感を覚えるかもしれない」の「もう一つの原因からくる違和感」は、このようなケースのことである。
次に、この「データセットによる照合」と「k-匿名性」の関係について。
個人情報を匿名化して利活用するにはどうしたらよいかについては、経済産業省の「情報大航海」プロジェクトでも検討されたことであり、プロジェクト終了後もそれを引き継いで検討が続けられていた。経産省は「経済産業分野における匿名情報を安全に利用するための手引(案)〜情報の加工・管理・第三者提供の考え方〜」という文書を2011年に作成していたが、完成せず正式版の公表に至っていない。そのときの検討案は、以下の「個人情報保護の制度・運用に関する研究会」の報告書の一部(100頁以降に掲載)として公開されている。
この手引案には、k-匿名化といった考え方が出てくるが、当時この検討が行われているとき、法学者の間では「意味がさっぱり分からない」といった声があり不評をかっていたのを記憶している。k-匿名性という評価指標自体は明確であるが、それと個人情報保護法とがどのように対応するのか明らかになっていなかった。
その点、「データセットによる照合」の概念が法学者の間で明確になった今、k-匿名性は、「データセットによる照合」が不能な状態を表す指標として、その位置付けは明確になったと言える。例えば、前掲の「週3日以上ワインを飲んでいる」の例で言えば,YESとNOの両方とも2人以上であれば、「2-匿名性」があると評価される。
鉄道の乗車履歴データを提供する際にも、k-匿名化すれば「データセットによる照合」は否定され、現行法の第三者提供の制限は解除されることになる。
ただし、k-匿名性評価の扱い方に注意が必要である。
従来、k-匿名化が論文等で話題になるとき、以下の図の「郵便番号」「性別」「年齢」のピンクで色付けされた列のように、専ら特定の個人を識別するために用いられる属性情報を対象に、k-匿名性が評価される形で扱われることが多かった。
この扱い方では、背景が白の「趣味」の列が k-匿名性評価の対象になっていない。この例では、「趣味」の列が「アニメ」「映画」「ドラマ」「時代劇」と4種類しかないため、これを第三者提供したり一般公開しても個人の権利利益を害することはないと直感するだろう。
しかし、白の列に、例えば鉄道の乗車履歴が入った場合はどうか。この扱い方では、「郵便番号」「性別」「年齢」を丸めれば k-匿名化されたことになってしまうが、そのような扱い方をしている限り、いったい何のためのk-匿名化なのか意味不明だと言われるのも当然であった。
この点につき、すべての列を対象にk-匿名性を評価するべきとしたのが、パーソナルデータ検討会技術検討WGの第2回で、高橋克巳構成員が提出した資料「個人識別できない匿名データは作成できるか」の9頁のスライドである。
スライド下部にあるデータを表す2本の横棒について、従来のありがちなk-匿名性の扱い方では、上の横棒のように、「そのまま(非保護)」とする緑色の部分があった。これを、下の横棒のように、すべての列を「加工(k匿名化して保護)」の黄色の部分として扱うべきという指摘である。こうすることによって、現行個人情報保護法の下で非「個人データ」化することが可能となる。
この議論については、以下の論文でも発表しており、以下のスライドの5頁〜8頁がそのことを説明している。
次に、「他の情報と(容易に)照合することができ、それにより特定の個人を識別することができることとなるもの」というときの、「照合することができ」る「他の情報」がどこまでの範囲を指すか。
まず、照合について「容易に」の要件のない行政機関個人情報保護法については、行政管理局の逐条解説で次のように説明されている。
照合の対象となる「他の情報」には、その保有者が他の機関である場合も含まれ、また、公知の情報や、図書館等の公共施設で一般に入手可能なものなど一般人が通常入手し得る情報が含まれる。特別の調査をすれば入手し得るかもしれないような情報については、通例は「他の情報」に含めて考える必要はない。しかし、事案によっては、個人の権利利益を保護する観点からは、個人情報の取扱いに当たって、より慎重な判断が求められる場合がある。行政機関の長は、当該個人を識別するために実施可能と考えられる手段について、その手段を実施するものと考えられる人物が誰であるか等をも視野に入れつつ、合理的な範囲で考慮することが適当である。
解説 行政機関等個人情報保護法, 総務省行政管理局, 13頁
ここで、「他の情報と(容易に)照合する」の「照合」は次の3つの場合に分解できるのだが、
上の逐条解説の引用部のうち、「その保有者が他の機関である場合も含まれ」が(b)を指しており*11 、「公知の情報や、図書館等の公共施設で一般に入手可能なものなど一般人が通常入手し得る情報が含まれる」が(c)を指している。(a)について明記がないが、(a)(b)に関する記述部分がいずれも「も含まれ」とあるように、当然に(a)がある*12 ことを前提としている。
照合による特定の個人の識別について言われる「一般人基準」*13 とは、(c)についてを言うものである。(c)についての照合の対象が「一般人が通常入手し得る情報」に限られるとする説である。一般人基準説は、「個人情報」について同じ定義条文を持つ情報公開法において確立している説であり、例えば、行政管理局の「個人情報(法第5条第1号)についての検討資料」の「II 要件の解釈、運用」の冒頭で、「判決・答申では、照合する「他の情報」を「一般人」が入手できる情報に限るとする、いわゆる「一般人基準」を採用しているのが通例である。」*14 と書かれている。
次に、照合について「容易に」との要件が付く民間部門の義務規定にかかる「個人情報」定義では、(a)(b)(c)それぞれの照合について、より弱い基準で照合可能とされることになる。
(a)については、組織内部であっても「取扱部門が異なる等の事情により照合が困難な場合」は容易照合可能でないとする説[内閣官房2002]、「内部組織間でもシステムの差異のため技術的に照合が困難な場合、照合のため特別のソフトを購入してインストールする必要がある場合」とする説[宇賀2013]がある。
(b)については、「他の事業者への照会を要する場合」は容易照合可能でないとする説[内閣官房2002]、「他の事業者に通常の業務では行っていない特別な照会をし、当該他の事業者において、相当な調査をしてはじめて回答が可能になるような場合」は容易照合可能でないとする説[宇賀2013]がある。
(c)については、解説が見当たらない。これは、(b)さえ含まない、又は、(b)が含まれるとしても特別な照会を要する場合に限定されるとしているのだから、自組織外にある(b)以外の「他の情報」との照合を含まないのは当然ということであろうか。そうでないとしても、行政機関法の一般人基準を適用するという見解は見当たらないので、一般人基準よりかなり限定的なものと考えられる。
さて、これらの照合の対象範囲に関する説は、情報を取扱う者を照合の主体としているのであろうが、これが、前記の第三者提供時の提供データに関して提供先基準を採用した場合にどのような意味となるか、以下で検討してみる。
(a)は前記と同様の説が成立し得る。提供先の組織内において照合できる「他の情報」があるかどうかである。(b)も前記と同様の説(すなわち、提供先の組織が別の組織と「オンラインで結合されるような場合」に照合可能性が肯定されるなどの説)が成立し得る。(c)は、自組織とは無関係な他組織その他にある情報との照合を言うものであり、提供元でも提供先でも事情は同一であるから、前記と同じ議論が成り立つ。
ここで、提供元基準と提供先基準を比較してみると、(a)と(b)の照合については、照合の主体が異なるため、照合対象となる「他の情報」は異なるものとなるのに対し、(c)の照合については、提供元でも提供先でも事情は同一であるから、照合対象となる「他の情報」は同一のものとなる。
つまり、提供元基準か提供先基準かという議論は(a)と(b)の照合に関するものであって、(c)の照合はその議論に関係しないということである。
先日のパーソナルデータ検討会で事務局案が示されたことを受け、岡村弁護士が「個人情報保護法改正と情報公開法制」と題するブログで、以下のように主張されている。
ちなみに、情報公開法5条の解釈に関する判例理論は、提供元ではなく提供先を基準に、しかも一般人を基準として識別性の有無を判断しているものが判例の主流である。このように、提供先となりうる一般人を基準に判断する以上、提供元において判断できないというおそれはない。もしできないというなら、最高裁判例を間違いとして責めていることになる。実務的にも、こうした基準で何ら不都合は生じていない。
これに対し、識別性判断について提供元基準説という見解があるようだが、それによれば情報公開法制が、さらに酷い状態になってしまうことを、賢明な読者諸氏なら、もうお分かりだろう。
個人情報保護法改正と情報公開法制, 情報法学日記 by 岡村久道
「提供元ではなく」とのことであるが、情報公開法の運用では、前掲の行政管理局の検討資料にあるように、「判決・答申では、照合する「他の情報」を「一般人」が入手できる情報に限るとする、いわゆる「一般人基準」を採用しているのが通例である。」とされているところ、これは、前記の整理の(c)の照合について「一般人基準」としたものであり、(c)の照合は、提供元基準か提供先基準かに関係しないのであるから、情報公開法が一般人基準を採用していることが、提供元基準を否定することにはならない。
「提供元において判断できないというおそれはない」が何を言わんとしているか明確でないが、推察するに、提供先基準説を否定する理由として「提供先で照合できるかを提供元で判断できないから、民間部門の義務としては過剰規制である」が挙げられる*15 ことに対する反論だと思われる。
しかし、照合は前記の整理の通り(a)(b)(c)の3つから成り、そのうち「一般人を基準に判断する以上、判断できないというおそれはない」と言えるのは(c)の照合についてだけであり、残る(a)と(b)の照合について「提供先で照合できるかを提供元で判断できない」は否定されない。提供元基準か提供先基準かは(a)と(b)の照合についてのものであるから、(民間部門の義務について)提供先基準説は否定されたままである。或は「提供先基準においては(a)(b)の照合は含まれない」という説なのかもしれないが理由がない。
しかも、「提供先で照合できるかを提供元で判断できないから」は、行政機関個人情報保護法を対象にした話ではなく、民間部門の規制において行政機関並の判断を事業者に求めるのは酷であるという話であって、実際、民間部門の「個人情報」定義の「照合」には「容易に」の要件があることから、(c)の照合はそもそも含まない(か、かなり限定される)のであり、民間部門において一般人基準が採用されること自体がない。
次に、提供元基準説をとると「情報公開法制が酷い状態になってしまう」とのことだが、情報公開法は6条2項の部分開示の規定があるため問題とならない。
情報公開法は、5条で、開示請求された行政文書を「開示しなければならない」とするにあたり、その例外として1号〜6号の不開示情報を規定している。そのうち1号が「個人に関する情報」に当たる不開示情報を規定している。この1号に、行政機関個人情報保護法の「個人情報」定義と同様の、「個人に関する情報(略)であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と照合することにより、特定の個人を識別することができることとなるものを含む。)」という条文がある。そのため、この括弧書き内の「他の情報と照合することにより」の解釈について、保護法における「提供」と同列にみなして、提供元基準(開示元基準)か提供先基準(開示先基準)かという議論が成立し得る。岡村弁護士のブログは、そのような同列視をした上で、提供元基準説をとると「情報公開法制が酷い状態になってしまう」(元データが存在する限り提供元で照合が可能であり、何も開示できなくなってしまう)としていると推察される。
しかし、情報公開法は、次のように、6条2項で「氏名、生年月日その他の特定の個人を識別することができることとなる記述等の部分」を除く*16 ことにより、5条1号の情報に含まれないものとみなして、「当該部分を除いた部分につき開示しなければならない」と規定している。
(部分開示)
第六条 行政機関の長は、開示請求に係る行政文書の一部に不開示情報が記録されている場合において、不開示情報が記録されている部分を容易に区分して除くことができるときは、開示請求者に対し、当該部分を除いた部分につき開示しなければならない。ただし、当該部分を除いた部分に有意の情報が記録されていないと認められるときは、この限りでない。2 開示請求に係る行政文書に前条第一号の情報(特定の個人を識別することができるものに限る。)が記録されている場合において、当該情報のうち、氏名、生年月日その他の特定の個人を識別することができることとなる記述等の部分を除くことにより、公にしても、個人の権利利益が害されるおそれがないと認められるときは、当該部分を除いた部分は、同号の情報に含まれないものとみなして、前項の規定を適用する。
行政機関の保有する情報の公開に関する法律(平成十一年五月十四日法律第四十二号)
この規定をわざわざ置く必要があるのは、元の情報から「個人を特定する情報」の部分(つまり、氏名、生年月日その他の記述等の部分)を削除すれば「個人情報」でなくなるわけではないからである。このことは前記の第1節で示した通りである(文献[宇賀2013]がこのことを繰り返し指摘している)わけだが、この部分開示規定の趣旨について、文献[宇賀2010]は次のように解説している。
個人に関する情報は、「氏名その他特定の個人が識別され得る情報の部分」に限られないから、氏名、生年月日その他の特定の個人を識別することができることとなる記述等の部分を除いた部分も、行政機関情報公開法5条1号ただし書に該当しないかぎり不開示とすべきことになるが、個人識別性のある部分を取り除くことによって、公にしても個人の権利利益が害されるおそれがないと認められるときは、これを不開示にする意義に乏しく、最大限の開示を実現する観点からは、部分開示をすることが望ましい。そこで、このような場合には、個人識別性のある部分を削除した残りの部分については、5条1号の個人に関する情報には含まれないとみなして部分開示を行うこととしたのである。「みなして」という表現から窺えるように、理論的には個人に関する情報であるが、個人に関する情報とは取り扱わないということである。この点が、開示情報と不開示情報を区分する1項の一般的部分開示とは異なるので、2項で特別の部分開示規定を設けたのである。
宇賀克也, 新・情報公開法の逐条解説[第5版], 有斐閣, 108頁
この部分開示規定の必要性は、「個人に関する情報」の解釈から導かれるもので、提供元基準か否かに関係なく必要とされるものであるが、この規定の存在により、提供元基準(開示元基準)であっても情報公開制度に不都合をもたらさないことになっている。
なお、このことは、行政機関個人情報保護法においても、開示義務(14条)について(開示請求者以外の個人に関する情報が含まれている場合の)部分開示(15条2項)が規定されているのが同じ構造となっている。
次に、岡村弁護士のブログで「提供先を基準に判断しているものが判例の主流」とされている点について。
確かに、情報公開・個人情報保護審査会の答申一覧に掲載されている答申を見て行くと、「照合による特定個人識別」について提供先基準での(a)(b)の照合について検討している記述が見られる。
例えば、諮問庁が厚生労働大臣であった「国立病院、国立療養所、国立高度専門医療センターにおける医療事故の報告(平成12年度)の一部不開示決定に関する件」(平成14年1月9日答申)の答申書を見ると、不開示決定をした諮問庁が、「施設名及び診療経過は単体では個人を識別しないが、患者の近隣住民や親戚縁者等にとってはその取得した他の情報と照合することにより特定の個人を識別できることとなり」を理由として、5条1号の不開示情報としたものであり、諮問庁が提供先基準で(a)(b)の照合を想定していると言える。
しかし、情報公開・個人情報保護審査会は、この点につき検討し、「一般人基準」を適用して、開示が相当と判断し、諮問庁の上記の主張を退けている。つまり、審査会が提供先基準での(a)(b)の照合を否定している事例である。既に述べたように、「一般人基準」は(c)の照合であり、(c)の照合は提供元基準でも提供先基準でも同一であるのだから、こうした答申は、提供元基準を否定することにならないし、提供先基準であることを示すものにもならない。*17 *18
最後に、先の「情報公開法制が酷い状態になってしまう」というのが、逆に、「提供先基準(で(a)(b)の照合を想定)をとらないと、提供先で特定個人識別される情報まで開示されることになってしまって、プライバシーが侵害されてしまう」という意味である可能性(その場合は「一般人基準」ではないのだが)について。その点は、情報公開法5条1号の後段で拾うようになっているので、やはり問題とならない。5条1号は次のように規定されている。
一 個人に関する情報(事業を営む個人の当該事業に関する情報を除く。)であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と照合することにより、特定の個人を識別することができることとなるものを含む。)又は特定の個人を識別することはできないが、公にすることにより、なお個人の権利利益を害するおそれがあるもの。ただし、次に掲げる情報を除く。
行政機関の保有する情報の公開に関する法律(平成十一年五月十四日法律第四十二号)
これは、「個人に関する情報であって、特定の個人を識別することができるもの」(前段)と、「個人に関する情報であって、特定の個人を識別することはできないが、公にすることによりなお個人の権利利益を害するおそれがあるもの」(後段)という意味である。
提供元では特定個人識別できない情報で、かつ、提供先で(a)(b)の照合によって特定個人識別できるような情報の開示を請求されたとき、提供先基準説をとらないがために特定個人識別できないと判断して開示しようと(前段をクリア)しても、そのような開示が「個人の権利利益を害するおそれがある」場合には、やはり不開示情報とする(後段に該当)としているものである*19 。まさにこの場合に当たる事例として、以下の裁判例がある。
「情報公開法5条1号にいう上記「他の情報」がいかなる範囲の者を指すかについては、同法の文言のみからは明らかでないといわざるを得ないが、(略)
開示された情報のみでは特定の個人を識別できるとはいい難いが、ほとんどそれと等しいもの、すなわち、一般人が容易に入手し得る情報と組み合わせると特定の個人が識別され得る場合には、本来の個人識別情報と同様に取り扱わざるを得ないという趣旨に解するのが相当である。もっとも、上記のような解釈によって個人識別情報に該当しないとしても、当該個人と特別の関係のある者が開示請求によって得た情報と自己の有する情報を組み合わせることにより、当該個人に関する情報を取得することにより、当該個人の権利利益が害されるおそれがある場合には、情報公開法5条1号後段により、不開示情報となし得ることはいうまでもない。
東京地判平成15年5月16日 東京労働局長関係
この裁判例は、前掲の「個人情報(法第5条第1号)についての検討資料」の「II 要件の解釈、運用」において、「「一般人基準」を採用し、特定個人を識別することはできないとしつつ、当該個人と特別の関係のある者が開示請求によって得た情報等と照合することにより、個人の権利利益を害するおそれがあるとして、不開示を妥当とした判決」として紹介されている。
文献[岡村2014]には、「表現の自由を不当に損なう」とする以下の記述がある。
前掲最高裁判例では、プライバシー侵害だけでなく名誉権についても、非識別情報の公表・提供は名誉毀損に該当しないという立場が採用されている。これらの権利は人格権に分類されているが、当該情報の「受け手」(提供先)にとって特定個人についての識別性がない場合には、当該特定個人の人格権、人格的利益が損なわれたとは認められない。これらの判例理論では、元になった識別情報を消去することは要求されていない。
公表(提供)の際に公表(提供)元に識別情報が残存しているか否かは、本人のプライバシー保護にとって本来無関係な事柄である。にもかかわらず、元情報を消去しなければ、非識別化した情報を公表(提供)できないとすると、表現の自由を不当に損なうおそれがある。
現行の保護法23条の解釈においても、プライバシー・名誉権との前記関係を考慮すると、それとかけ離れた解釈をすることはできないから(29)、提供元ではなく提供先を基準に識別性の有無を判断する提供先基準説のほうが妥当であるように思われる(30)。
岡村久道, パーソナルデータの利活用に関する制度見直しと検討課題(中), NBL No.1020, 73頁
まず、「プライバシー・名誉権とかけ離れた解釈をすることはできない」とあるが、個人情報保護法は、予防措置としての行政による事前規制であるから、必ず実際にプライバシー権を侵害するわけではない場合が含まれていても保護の対象とするのが法の趣旨である。
提供先にとって特定個人識別されない場合まで保護するのかという点については、一律にそれを保護しないとすれば、それはそれでまた問題が生じることは、前記第3節で示した通りである。
提供元にとって特定個人識別されるデータは全部提供できないのかという点については、第2節で示した事例のように、提供が制限されない場合がかなりある。(ただし、民間部門の場合。)
提供の際に提供元で識別情報が残存しているか否かはプライバシー保護にとって本来無関係ではないかという点については、第5節で示したように、提供元での照合(データセットによる照合を含む)の可否が、結果的に、提供データが匿名化データ(仮名化データではなく)になっているかを表すものとなるという点で、重要な意義を持っているのであり、無関係ではない。
そして、表現の自由を損なうかという点については、民間部門においては、そもそも「散在情報」の第三者提供は制限されていないのだから、表現の自由は損なわれない。
「散在情報」とは何か、現行法の扱いはどうなっているか。「散在情報」と表現の自由との関係については、長くなるので、次回に書くこととする。
以上を総括すると、概ね以下の図で表すことができる。(不正確な点は多々あるが。)
情報公開法(A列)は、最大限の開示を実現するという法目的と、個人のプライバシー侵害の発生を防止するという、両立するのが大変難しい課題に、区分をし細やかにルールを規定することによって、可能な限り理想形に迫ろうというものになっている。
保護法では、提供元で保有個人情報に該当すれば、提供先で特定個人識別されるか否かに関わらず保護するのに対し、公開法では、部分開示の規定により、個人を特定する情報の部分さえ取り除けば開示するとする(A2)。だけども、提供先で特定個人識別されないからといって、必ずプライバシー侵害の発生がないとは限らないから、公開法6条2項の部分開示規定には「公にしても、個人の権利利益が害されるおそれがないと認められるときは」という条件が付いている(図4では「(場合がある)」がこれを指す)。しかも、開示対象が、提供元で特定個人識別できないものであっても、提供先で特定個人識別される場合、されない場合を含め、それが「個人に関する情報」である限りは、「公にすることにより、なお個人の権利利益を害するおそれがあるもの」という条件で不開示とする。
民間部門の個人情報保護法はそのような完全性を備えていない。民間部門においても、パーソナルデータの最大限の利活用を実現し、個人のプライバシー侵害の発生を防止するというのであれば、情報公開法と同様の規定を設けるということも考えられる。「氏名・連絡先情報さえ削除すれば提供してよいことにして欲しい」といった要望は、「部分開示規定を設けてくれ」というのに相当する。
だが、それが全く現実的でないのは、情報公開法の「公にしても、個人の権利利益が害されるおそれがないと認められるとき」といった規定は、情報公開・個人情報保護審査会による審査という、多大な社会的コストを負担することによって初めて適切な運用が可能となっているのであって、民間事業者が独自に判断できるものではない。
ならば、個人情報保護委員会(第三者機関)に、すべての事案の判断を委ねればいいかというと、そんなわけがない。情報公開法では、開示請求はそれなりの数にとどまるし、「国民の的確な理解と批判の下にある公正で民主的な行政の推進に資する」という法目的の重要さから、そのような社会的コストが許容されるのであって、民間事業者が自社の利益のためにパーソナルデータを利活用するのに際して、膨大な数に上る案件を、情報公開・個人情報保護審査会と同等のコストをかけて処理することが許容されるとは思えない。
そういう状況で、民間部門の現行法は、10年前、とりあえず、提供元で特定個人識別できるものについてだけ、単純な義務規定をまずは置いたという状況であろう。照合による特定個人識別についても「容易に」の要件が入れられて「特定個人識別できる」の条件が弱く設定された。
民間部門の第三者提供制限に、情報公開法の部分開示に相当する規定はないが、前記の第2〜5節で示したように、提供元での容易照合(データセットによる照合を含む)による特定個人識別という区切り方によって、結果的に、「k-匿名性があれば制限されない」(C2)という、それなりに利活用の余地とプライバシー保護が実現される事前規制になっていたと言うことができるのではないか。
その一方で、「個人に関する情報」であっても、提供元で特定個人識別できないものであれば、全く制限がない(C3、C4)という状況になっており、情報公開法がそれらも不開示情報(個人に関する情報型の)としているのとは対照的である。また、C2について、k-匿名化すれば提供して何ら問題が生じないかというとそうでもないと、12月のパーソナルデータ検討会の技術検討WGが報告書で指摘している。
このようなアンバランスな現行法を、どうやって理想に近づけるか、それが今度の法改正のための立法論となる。
*1 本研究は、JSPS科研費23530122(「IDの法的研究‐共通番号、国民ID及び民間IDのプライバシー」研究代表者所属機関 新潟大学)の助成を受けたものです。
*2 といいながら、書き初めから二週間近くかかってしまった。
*3 このような整理に無理があるというのであれば、「国際先端テスト検討結果」の「週3日以上ワインを飲んでいる」の提供も、個人データの提供だということになり、消費者庁の見解を否定せざる得なくなる。
*4 なお、このような考え方を行政機関個人情報保護法にまで適用できるかは疑問である。行政機関個人情報保護法は、例えば54条で、「前条に規定する者が、その業務に関して知り得た保有個人情報を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処する。」との(民間部門にはない)直罰規定を置いているが、このとき、「保有個人情報」から「個人を特定する情報」を除いた残る部分を切り出した情報を作成して、それを「自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用した」場合に、この罰則規定に該当しなくなるかというと、そんなことはなく、該当すると言うべきに思える。行政機関個人情報保護法では、保護の対象が「保有個人情報」であり、それ自体が行政文書であり、その利用目的はその行政文書の利用目的に包摂される([宇賀2013]225頁)から、その行政文書の利用目的に反して利用すること自体が認められないため、法令に基づく場合を除き、保有個人情報から切り出した情報を別に取り扱うこと事態が想定し得ないということであろうか。一方の民間部門では、そのような制約が元からあるわけではないため、個人情報保護法で制限されている以外には基本的に自由であるため、前記のように解することができるのかもしれない。
*5 文献[森2014]では、「第三者提供の文脈における個人識別性の判断基準を提供元ではなく提供先とし、提供先において個人識別性が失われていれば、第三者提供の規制対象外とするとの見解(提供先基準説)が存在するが5)、通説となるには至っていない。」とされている。
*6 第三者提供制限違反とならないとするだけでなく、権利利益侵害のおそれが発生しないとの主張を含むので、2ではなく4とした。)
*7 同趣旨の記述が、文献[岡村2014]72頁にもある。
*8 もう一つ指摘されている「疫学研究に関する倫理指針」については、たしかに、提供元基準に沿っていると見られる記述はなく、個人情報の取扱いの記述が、「個人を特定する情報が個人情報である」との誤解に基づいて書かれているようにも見える。この倫理指針は、個人情報保護法ができる前から存在したものであり、保護法の成立に伴って改訂されてきているが、個人情報についての一般論を書き足しただけのように見える。これは現行法に沿えば修正が必要であると思うし、また、立法論としては、医療・疫学分野においては特別な扱い規定を設けるということも考えられる。
*9 情報ネットワーク法学会第13回大会の個別報告「ビッグデータビジネスにおける個人情報の容易照合性に関する考察」(藤村明子, 間形文彦, 鈴木正朝, 2013年11月)が、この考え方について発表している。
*10 文献[森2014]は、27頁で、このことについて「この問題が顕在化したのが、2013年6月に発生したJR東日本による乗車履歴の販売の事件である。(中略)提供元における識別性喪失のためには、第一に、対応表など識別符号と顧客データを結び付ける情報が破棄されている必要がある。また、第二に、識別符号によって仮名化したとしても、データ自体のマッチングにより、顧客の特定が可能となることがある。(略)」と指摘している。
*11 (b)について具体的に記述したものとして、文献[宇賀2013]の「旧法の下では、異なる機関がオンラインで結合されるような場合には個人識別性が肯定されるが、逐一、文書等により他の機関に照会しなければ個人が識別できないものは、容易に照合できる場合に当たらないとして、個人識別性が否定されていた。」(220頁)がある。この部分は、旧法が照合について「容易に」を要件としていたために、引用部後段の「逐一、文書等により他の機関に照会」の場合の照合を否定されていたことを示し、「容易に」が削除された現行の行政機関個人情報保護法ではこの部分が該当し得ることを示唆したものであるが、前段は現行法においても当然に肯定されることを示したものであろう。
*12 (a)について具体的に記述したものとして、前掲の、文献[宇賀2013]29頁「たとえば、メールアドレスは、一般的には個人識別性を有しないが、当該本人が契約するプロバイダーにとっては他の情報と容易に照合して個人識別が可能な個人情報といえよう。」がある。
*13 照合の対象範囲についてではなく、識別が可能かの基準について一般人を基準とするとの概念(前掲の経済活性化WG議事概要で消費者庁が「この特定の個人を識別するという考え方ですが、これは一般的に、合理的な一般の人から見て、特定の個人に行き着けるかどうかという形での判断をするという考え方をとっております」と説明しているものがそれである。)もあるが、その一般人基準とは別である点に注意。
*14 なお、一般人が入手できる情報に限られないと判示した裁判例もある。このことについて文献[宇賀2010]は、「行政機関情報公開法は、何人にも開示請求権を認めており、当該県民も開示請求をする可能性があるのであるから、国民一般が容易に入手しうる情報のみを基準としてモザイク・アプローチを行うことは適切とはいえないであろう(名古屋高判平成15年5月8日判例集不登載参照)。」としている。
*15 この点につき、文献[上沼2014]は、第三者提供時の提供元基準説と提供先基準説に触れ、提供先基準を否定する理由として、「公的規制の面を重視し、提供者以外の事情によって違反の有無を判断すべきではないとしており」、「提供者が関与しない事情により個人情報該当性が決定されると、事業者の予見可能性が奪われることを懸念していると解される。」を示している。
*16 他の情報と照合して特定個人識別されることとなる記述等を含むとはされていない点に注意。
*17 もっとも、「一般人基準」を否定した裁判例(前掲脚註14)がある。その事例では、「「他の情報」とは、一般に容易に入手し得る情報のみに限定されるものではなく、当該情報の性質及び内容に照らし、具体的事例において個人識別の可能性をもたらすような情報を含むと解するのが相当である。」とし、「特に職業はその種類(例えば、控訴人が主張するような「海女」など)によっては、対象者を相当範囲にまで限定する役割を果たすものであるから、これらの情報と、本件処分の段階で開示された情報や異議決定によって更に開示された原判決添付別表記載の各情報を合わせることにより、特定の個人に関する情報であることが可能になるものと認められるから、本件不開示部分は、情報公開法5条1号(本文前段)の定める個人識別情報に該当するというべきである。」とされている。これを読むと、提供先(開示先)での固有の照合((a)(b)の照合)を考慮せよとは言っておらず、結局は(c)の照合のことを言っており、これもまた、提供元基準を否定することにならないし、提供先基準であることを示すものにもならない。
*18 仮に、情報公開法について、提供先基準で(a)(b)の照合を想定せよとする判例があるとしても、前記の通り、提供元基準と提供先基準は排他的ではないので、提供先基準が否定されるわけではない。
*19 逐条解説において後段の例として挙げられるのは、「カルテ」や「反省文」が典型であり、提供先で特定個人識別されなくても個人の権利利益を害し得ると解説されるものが多い。文献[宇賀2010]では、5条1号後段について、「たとえば、カルテ、反省文のように、個人の人格と密接に関係する情報については、当該個人がその流通をコントロールすることが可能であるべきであり、本人の同意なしに第三者に流通させることは適切でないというのが行政改革委員会の判断であり(略)、個人識別性がない場合であっても、開示されることにはならない。本条においては、右の趣旨を明確にするため、端的に不開示情報として表現している。」と、その立法経緯が解説されている。このように、一般人基準により「個人識別性がない」とされる場合であっても「本人」による流通のコントロールが可能であるべきとするからには、何らかの形で本人が特定され得ることを想定しているように思える。例えば、「反省文」の例であれば、少なくとも、開示情報が一般公開されるなどして本人の目に入ったときに、本人によって特定の個人(自分)が識別されることになるのであるから、「提供先において特定の個人を識別することができる場合」に当たる。