このシリーズの前編を書いたのは去年の暮れだったから、それからもう10か月になる。「中編・後編に続く」と予告していたものの、もはやその意義はだいぶ薄れてしまった。当時の予定では、中編で「匿名加工情報関係のところ」を書くつもりで、宇賀先生が匿名加工情報に係る論点(特に容易照合との関係について)をどのように書かれていて、それをどう理解したらよいかを検討する予定だった。当時としては、そこの論点に踏み込んだ文献は非常に少なく、宇賀本がそこを書けばそれが通説ということになってしまう心配があった。しかし、その直後に情報公開請求していた開示資料が届き、立案部局と内閣法制局で何があったかを直接知り、数か月かけて分析するうちに真相が見え、6月4日の日記「匿名加工情報は何でないか・後編」にそれをまとめ、さらに、7月22日の日記「匿名加工情報は何でないか・後編の2」で別の情報公開請求の開示資料からそれを裏付けることができた。今となっては、この領域の専門家の間では、開示資料を見ないと何とも言えないことが理解され、宇賀本に書かれているからということでそれが通説となるような空気は雲散霧消したようであることから、もはやこれを書く意義は薄れていた。
とはいえ、宇賀本の記述と開示資料の対応関係を確認しておくことは有意義であるし、また、匿名加工情報の他の論点(容易照合以外の)について宇賀先生独自の説がいくらか見つかるので、それらについて書いておこうと思う。
まず、宇賀先生の独自の説について。
匿名加工情報を巡る最も基礎的な論点の一つは、匿名加工情報はその定義からして統計情報までもが個人データを元に作成する限りは該当してしまうのではないかとの懸念にどう答えるかである。この懸念を最初に指摘したのは、2014年7月のセミナーのときで、この時点では、制度改正大綱が示された直後の段階で、条文はまだ存在しなかったので、大綱にある「個人の特定性を低減したデータ」との概念について示した懸念であった。それが後に、2014年11月のセミナーのパネル討論で向井審議官から、十分に低減したデータは「個人に関する情報」に当たらないとすることで解決したとする発言があり*1 、2015年12月の瓜生本にも「統計情報については「個人に関する情報」とはいえないことから」との説明が記載され、2016年11月の個人情報保護委員会のガイドライン(匿名加工情報編)でも、「統計情報は(略)法における「個人に関する情報」に該当するものではない」として整理されており、もはや解決済みの論点のはずである。
しかし、この説明に納得のいかない方は今もなおいらっしゃるようで、宇賀先生もやや納得されていないのか、以下のように、独自の説による解決を唱えて*2 おられる。
民間部門において、個人情報を加工して作成した統計情報も、形式的には匿名加工情報の定義に該当するようにも読め、これについても新たに匿名加工情報としての規制が加わるのではないかとの懸念が示されている。政府は、統計情報は「個人に関する情報」に当たらないので、個人情報にも匿名加工情報にも該当しないという立場をとり(略)、ガイドライン等でその趣旨を明確にする予定である。このように、個人情報を加工して統計情報とされたものであれば、もはや「個人に関する情報」ではないという解釈をとれば、統計情報は個人情報にも匿名加工情報にも該当しないことになり、新たに匿名加工情報に関する義務が課されるという懸念は解消されることになる。また、個人情報を加工して作成された統計情報も匿名加工情報にあたるという解釈をとったとしても、匿名加工情報取扱事業者として義務を課されるのは、匿名加工情報データベース等を事業の用に供している者に限られ、匿名加工情報データベース等は、特定の匿名加工情報を容易に検索できるように体系的に構成したものであるから、統計情報は匿名加工情報データベース等に含まれているものとはいえないことになる。したがって、統計情報を事業の用に供する場合には、匿名加工情報取扱事業者に該当せず、匿名加工情報取扱事業者の義務等の規定(本法37条〜39条)は適用されないことになる。また、個人情報取扱事業者が匿名加工情報を作成する場合に係る義務等(本法36条)も、匿名加工情報データベース等を構成するものに限られているので(同条1項かっこ書)、本法2条9項の「匿名加工情報」に統計情報が含まれうるとしても、本法4章2節の匿名加工情報取扱事業者の義務規定は統計情報にはかからないことになる(この問題について、坂下明宏=藤井啓介「改正法における統計の扱い」Business Law Journal 8巻8号〔2015年〕49頁以下参照)。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 77頁〜78頁
この段落は、一通り政府説を紹介した後、「また、」以下で、「個人情報を加工して作成された統計情報も匿名加工情報にあたるという解釈をとったとしても」として、政府説に無理があるとしても匿名加工情報取扱事業者に該当しないから結局は問題とならないということが主張されている。
だが、この理屈がおかしい。
確かに、「統計情報」というものを1個の数値(平均値など)だと限定的に捉えれば、この説は成り立つ。散在的に1個しかなければ「データベース」に該当しないからである。1個の場合に限らずとも、平均・分散・最大・最小の4個からなる1つの組についてもここで言う「データベース」に該当しない。
しかし、「統計情報」が複数の数値のリストから構成されることもあるし、むしろそれが一般的である。例えば、都道府県別に集計した平均値のリスト(47個の要素からなるデータベース)がそれである。その場合、そのような統計値のリストは、「特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの」に該当(ここでは「統計情報も匿名加工情報にあたるという解釈をとったとしても」との仮定を置いているのだから)してしまう。
このような宇賀説では、統計情報が複数の数値のリストから構成される場合には、匿名加工情報取扱事業者の義務が課されることを否定できていない。
都道府県別に集計した平均値のリストは、「特定の統計情報を電子計算機を用いて検索することができるように体系的に構成したもの」ということになる*3 のだから、「義務対象がデータベース化されたものに限られるので」という理由ではこの問題は解決しない。統計値のリストが「匿名加工情報データベース等」に該当しないのは、あくまでも、統計値が「個人に関する情報」(個票)でないからである。
引用部の最後で参照されている文献(Business Law Journal 8巻8号40頁以下)を確認してみたところ、この宇賀説のインスパイヤ元であろうか、似たことが書かれているものの、やや異なることが書かれていた。この記事は、NTTドコモ法務部の方々によって書かれたもので、モバイル空間統計を例にしつつ以下のように書かれている。
改正法2条9号の定義では、個人情報に含まれる記述等の一部や個人識別符号の全部を削除する措置(他の記述等に置き換えることを含む)を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報が匿名加工情報であるとされている。統計化においても元の情報の記述等の一部を削除するというプロセスは入るから、統計も匿名加工情報に含まれるように読める。
一方で、改正法36条では、匿名加工情報は「匿名加工情報データベース等を構成するものに限る」とされている。そして「匿名加工情報データベース等」とは「匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの」と定義されている(同法2条10項)。つまり、匿名加工情報は検索の対象となり得るものである。容易に検索できることでプライバシー侵害の可能性が高まるから規制対象となるのだとすると、規制対象として保護を図るべき情報には、不可逆ではあるが元の情報と一対一対応の関係を保っている情報(例えば「甲野太郎」という名前を「001」という数字に置き換えた情報)が該当すると思われる。これに対し、例えばモバイル空間統計では、図表1のような三段階の処理がなされている。二段目の集計処理により元の情報との一対一の関係がなくなっている。このようなものを検索してもプライバシー侵害の可能性が高いとはいえない。改正法36条の匿名加工情報には、このような集計処理を行なっている統計は含まれないと解釈すべきではないか。
坂下明宏・藤井啓介「改正法における統計の扱い」Business Law Journal 8巻8号(2015年6月)51頁
「匿名加工情報は検索の対象となり得るものである」から云々と書かれているが、モバイル空間統計も統計値のリストであるから、検索できるように体系的に構成されているはずであるところ、この記事では、宇賀説とは異なり、「統計情報は検索できるように体系的に構成していないから該当しない」とは書いておらず、「元の情報との一対一の関係がなくなっている」ことを理由としている。まさにそれが政府見解の通り「個人に関する情報」(個票)でないものになっているということであり、統計情報について「検索の対象となり得る」云々は関係のないことだろう。
ただ、この記事の意図を斟酌すれば、「検索の対象となり得る」という表記は、明記されていないものの、「個人についてを検索」という意味で書かれているのだと読解すると、腑に落ちる。モバイル空間統計は「個人についてを検索できる」ようになっていない(「元の情報との一対一の関係がなくなっている」からそうなるわけだが)わけである。ここで、「匿名加工情報データベース等」が「個人についてを検索」できるものかと言えば、匿名加工情報は「個人に関する情報」であるから、「個人に関する情報」を検索できるように体系的に構成しているということになるので、「個人についてを検索」できるものであろう。この記事の言っていることが、「個人についてを検索」できるもののみが「匿名加工情報データベース等」となり得るということであるなら、それは間違っていない*4 。
これに対し宇賀説は、そういう話をしているわけでもなく、「統計情報も匿名加工情報にあたるという解釈をとったとしても」という前提の下で、「匿名加工情報データベース等」該当性のみを検討しているため、似て非なる論となって、話の論理がおかしくなっている。
次は、小さい話で、ありがちなパターンであるが、2条9項2号の解説部分で、情報技術論的に誤った記述がある。
個人識別符号は、それ単独で特定の個人を識別できるものであることから、特定の個人を識別することができないように加工するためには、個人識別符号の全部を削除する必要がある。当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えること、例えば、個人識別符号をハッシュ化された番号に置き換えることは、不可逆性を有するため、当該個人識別符号を全部削除することと同じ意味を持つので、この方法による加工も認められる。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 76頁
ここでいう「ハッシュ」は暗号学的ハッシュ関数(一方向性関数の一種)のことであるが、一方向性関数にかけたら不可逆だと言うのは短絡的である。常にそう言えるわけではなく、この性質は、元の値の定義域が十分に広く、元の値の候補を推測できない場合に限られる点に注意が必要である。元の値が推測できたなら、それを同じハッシュにかけるとことで、ハッシュ化された符号との同一性を確かめることができてしまう。個人識別符号を匿名加工のために置き換えるというここの文脈では、それが不可能であることが重要である。
その問題を避けるため、このような用途では、鍵付きハッシュ関数を用いる(かつその鍵を秘匿する)ことが必須である。このことは、個人情報保護委員会事務局レポート「匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」(2017年2月)には書かれている(21頁)。ただ、「鍵となる秘密の文字列を付加した上でハッシュ化をすること(いわゆる鍵付きハッシュ関数の利用)が望ましい」と、「望ましい」となっていて、ヌルい記載ぶりになっている。ここは必須と書くべきところであった。
また、鍵付きハッシュ関数を用いるにしても、「全部削除することと同じ意味を持つ」というのはずいぶん乱暴だ。同じでないことは明らかであり、例えば、複数回に分けてデータ提供を行う場合に、削除せずにハッシュ値に置き換えたならば、その値を用いて前のデータと後のデータについて同一の個人の個票から作成されたデータであるか否かを受領者が判別できるのに対し、削除した場合にはそれができない。事務局レポートには、そうしたケースの問題点も書かれている。そもそも、本当に同じなのなら、削除すれば足り、わざわざ置き換える必要もない。
次に、これが元々の本題であるが、匿名加工と容易照合の関係について宇賀説はどうなっているか。まず、38条(識別行為の禁止)の「当該匿名加工情報を他の情報と照合してはならない」について次のように解説されている。
(2)「当該匿名加工情報を他の情報と照合してはならない」
匿名加工情報は、個人情報に含まれる記述等の一部を削除し(本法2条9項1号)、個人識別符号の全部を削除することにより(同項2号)、特定の個人が識別されないように加工されている。しかし、匿名加工情報は、通常人の能力等では特定の個人を識別できないように加工された情報であるが、いかなる手法によっても特定の個人を識別することができなくすることまで求められるわけではない。しかも、匿名加工情報として想定されているものは、ポイントカードの購買履歴や交通系ICカードの乗降履歴等のビッグデータであり、識別非特定情報である。かかる識別非特定情報としてのパーソナルデータを第三者に提供した場合、提供先が有する情報との照合により、特定の個人が識別されてしまう可能性は否定できない。ICTの飛躍的発展に伴い、匿名加工情報取扱事業者自身が保有する情報や、国、地方公共団体、私人等により公開されている膨大かつ多様な情報と照合して分析を行うと、それらの情報に共通に含まれる項目からパーソナルデータが集積される等して、特定の個人が識別される可能性を否定することは困難なのである。
個人データの第三者提供に当たり、本人同意が原則とされているのは、個人データが第三者に提供されると、その後、当該個人データがいかに流通し、いかに使用されるかが不透明な状態に置かれることになり、かつ、個人データは他の個人データとの結合・照合等が容易であり、第三者に提供された場合、個人の権利利益に重大な被害を及ぼすおそれがあるからであるが、匿名加工情報については、個人データではなくても、第三者提供により、同様のリスクが生ずるのである。したがって、匿名加工情報については、提供元においてモザイク・アプローチによっても特定の個人が識別されないことのみではなく、提供先において保有するまたは取得可能な情報との照合により、特定の個人が識別されないような措置が講じられる必要がある。
もっとも、匿名加工情報を提供することにより、提供先で個人情報に復元される可能性を懸念し、匿名加工情報の提供を躊躇したり、復元の可能性を根絶するほどの削除等を行い、情報としての有意性を喪失させてしまっては、匿名加工情報という範疇を設けることにより、パーソナルデータの利活用の促進を図る立法政策を実現することはできないことになる。したがって、匿名加工情報の有意性を確保しつつ、そこから特定の個人が識別されることを抑止する対策を講ずる必要がある。
匿名加工情報を提供する者にとって、匿名加工情報を受領する者がいかなる情報を保有しているかを常に予見することはできず、匿名加工情報が個人情報となるリスクを完全に排除することは不可能を強いることになる。そこで、本法では、個人情報取扱事業者は一定の加工方法を取ればよいこととし、匿名加工情報の提供を受けた匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等もしくは個人識別符号もしくは匿名加工情報を作成するための加工の方法に関する情報を取得し、または当該匿名加工情報を他の情報と照合することを禁じられている。これによって、匿名加工情報の提供を受けた匿名加工情報取扱事業者の側で匿名加工情報が個人情報とならないように法的な担保措置を講じているのである。
本条の識別禁止義務を履行するために、匿名加工情報の提供を受けた匿名加工情報取扱事業者は、自己の保有する個人情報や他の匿名加工情報と取扱いを峻別する必要があり、当該匿名加工情報にアクセスできる者を必要最小限に限定し、ファイアウォールを設定する等のシステム上の分離措置も講じておくべきであろう。このような識別禁止義務が匿名加工情報を受領した匿名加工情報取扱事業者に課されることにより、それ単体では特定の個人を識別できない匿名加工情報について、他の情報との照合等により特定の個人を識別できるようにすることも禁じられているから、モザイク・アプローチによる特定の個人の識別性もないことになり、個人情報に該当しないものとして位置付けることが可能になる。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244〜255頁
この説明は、要するに、前々回に示した、内閣法制局長官の指摘によってひっくり返る前の、ボツになった旧案についての説明資料(立案担当部局が法制局に説明するための)に基づいて書かれているようである。このことは以下の点から推察される。
第1に、冒頭で、匿名加工情報がどういうものかについて、「特定の個人が識別されないように加工されている」と説明しながら、復元できないように加工されていることについて触れていない。前回の日記の「内閣法制局長官が「復元できないように」を加えた意義とは」にまとめたように、長官がひっくり返す前の案には、匿名加工情報定義の「かつ、......復元することができないようにしたもの」との要件が存在しなかったわけであり、宇賀本のこの記述には「復元できないように」が加えられた事情が反映されていない。
第2に、「記述等の一部を削除し」とのみ書かれているのも、長官指摘後の変更を踏まえていないからだろう。前回の図9の開示資料にあるように、「復元することができないように」に対応する加工方法として列挙されている、「階級区分への変更」「特殊な属性をまとめる」「ノイズの付加」「複数者間のレコード間で値を入れ替え、並べ替え」といった加工は、「記述等の一部を削除」することでは実現できない。匿名加工情報定義に「(......により他の記述等に置き換えることを含む。)」の括弧書きがあってこそそのような加工が該当し得る*5 のだから、ここを欠かしてはいけないのであり、ここを欠かすということはそのことが踏まえられてないように見受けられる。
第3に、「匿名加工情報として想定されているものは、ポイントカードの購買履歴や交通系ICカードの乗降履歴等のビッグデータであり、識別非特定情報である」と書かれているが、これは、前々回の図14に示したように、ボツになった旧案では、「3号個人情報」(容易照合により個人情報となる部分)をそのまま匿名加工情報として提供できるとしていたわけであり、その想定で書かれているように見える。「識別非特定情報である」というのはそういうことで、仮名化しただけで匿名加工情報として扱えるという想定に沿った説明のようである。
ちなみに、匿名加工情報と「識別非特定情報」との関係については、今年2月(宇賀本の出版から3か月後)に公表された個人情報保護委員会事務局レポートにも、脚注14として以下のように記載がある。
匿名加工情報は、個人情報から作成されるものであり、特定の個人を識別することができず、かつ、元となる個人情報を復元することができない、個人に関する情報である。個人に関する情報であるということは、すなわち情報の単位としては一人ひとりに対応した情報であることが許容されるものである14。
14 パーソナルデータに関する検討会「技術検討ワーキンググループ報告書」(2013年12月)にある「非識別非特定情報」(一人ひとりが識別されない(かつ個人が特定されない)状態の情報)だけでなく、「識別非特定情報」(一人ひとりは識別されるが、個人が特定されない状態の情報)も匿名加工情報に該当する場合があると考えられる。
個人情報保護委員会事務局レポート, 匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて, 2017年2月, 11頁
事務局レポートのこの記載は勇み足だったと私は思っている。事務局レポートが言いたかったことは、一つには、匿名加工情報は「個人に関する情報」である(定義により)からそれは「個票」というデータ形態を指しているのだということだと思うが、個票であることと識別非特定情報であることとは同じことなのかが論点となる。
私の考えでは、個票は必ずしも実在する人のものとは限らないデータを含めて指す。匿名加工情報の個票は、確かに、元となる個人データの個票と1対1対応する形で作成が開始されるが、加工により内容が改変されるのだから、それはもはや元の本人のデータであるとは言えない状態になる*6 。例えば、前掲の、法制局長官の指摘によって入れることになった「ノイズの付加」「複数者間のレコード間で値を入れ替え、並べ替え」といった加工では特にそうなのだが、こうした加工を施したデータはもはや本人のデータではなくなっており、元の個人データと1対1対応はしないものとなる。私の考えでは、そのような、もはや本人のものではない、すなわち、実在しない個人の個票であっても、法文上の「個人に関する情報」に該当するとする解釈でよい*7 と考えている。そういうことが言いたいのであれば、ここで「識別非特定情報」を持ち出す必要はない。
その点、事務局レポートは「識別非特定情報も匿名加工情報に該当する場合がある」と書いているし、「情報の単位としては一人ひとりに対応した情報であることが許容されるものである」とも書いている。これをどう捉えるかだが、「一人ひとりに対応した」を、全個票(対象ファイルの全レコード)について元の個人データと1対1対応する話だと捉えると、長官指摘前のボツになった旧案のときと同じことを言っていることになってしまう。事務局レポートとしては、常にそうなのではなく、そういう加工方法も「許容される」と言いたいのであろうが、それでは「もたない」としたのが長官指摘であり、長官指摘による変更を踏まえれば、成立した法の解釈から逸脱するのではないか。しかし、これを「全個票について」ではなく、一部の個票(対象ファイル中の一部のレコード)について元の個人データと対応する話(この場合は「1対1対応」とは言わない)だと捉えると、私の意見(現在の)と一致する。つまり、匿名加工情報に加工された個票のうちのごく一部が(例えば、100万のうちの1000が)、同じ内容の個票が元のファイルに1つしか存在しない性質のものである場合について、「許容されるものである」と言っているのであれば、私は首肯する*8 。幸い、事務局レポートのこの記載は、そういう意味だと解釈できる余地が残っていると思う。「一人ひとりに対応した」との表現は、必ずしも全単射を意味するわけではない曖昧な日本語表現だということでよい。
では、事務局レポート脚注14の「識別非特定情報も匿名加工情報に該当する場合がある」というのはどういうことなのか。上記のように一部の個票のみが元の個人データと対応する性質のファイルについて、それを「識別非特定情報」と呼ぶのか?という疑問がある。結局、そこは「識別非特定情報」なる概念をどう定義するかしだいであるけれども、私の意見としては、「識別非特定情報」は、取り扱う事業者が一人ひとりを識別するつもりで取り扱っているファイル(を構成する各要素)のみが該当するように定義するのが有意義*9 と考えているので、その立場からは、匿名加工情報に加工した個票は「事業者が一人ひとりを識別するつもりで取り扱う」ものではないから、全ての匿名加工情報は「識別非特定情報」に該当しないと言うべきだと考えている。その立場からすると、事務局レポートのこの脚注は、「識別非特定情報」の用法から外れたおかしな記述だということになる。他方、この立場とは異なり、単に個票の形態(個票のリストで構成されたファイル)の全てを「識別非特定情報」と言うとする定義をとるならば、匿名加工情報の全ては識別非特定情報ということになろう。しかし、事務局レポートは、「識別非特定情報も匿名加工情報に該当する場合がある」としか言っていないので、そのどちらでもないことになる。おそらくは、元データと対応する個票についてだけ「識別非特定情報」と言うとする定義が想定されているのだと思われるが、そのような概念定義は技術検討WGが「識別非特定情報」概念を用意した趣旨とは異なるもの*10 だろうから、やはりこの記述はおかしい。
これに対して、宇賀本の記述「匿名加工情報として想定されているものは識別非特定情報である」は、どういう意味なのか。事務局レポートのように「場合がある」とは書かれていないし、ファイル中の個々の要素の該当性を言っているようには見えない。実は、別の節で次のように書かれており、宇賀説では、匿名加工情報は常に「識別非特定情報」であるということになっている。しかもその理由が、「特定の匿名加工情報を容易に検索することができる」ようになっているからだという。
匿名加工情報取扱事業者とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(匿名加工情報データベース等)を事業の用に供しているものをいう。特定の匿名加工情報を容易に検索することができることが要件になっているので、識別性は存在するが、匿名加工情報であるので特定性はないことになり、識別非特定情報を事業の用に供する者になる。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 77頁
このような見解は、他では誰も言っていないものだと思う。
たしかに、「識別非特定情報」とは何かというときに、私もかつて言っていたことだが、散在情報を含めず、「個人に関する情報」が一列に並べられたものだと説明されることがあったし、「検索できるように体系的に構成されたもの」とは、脚注3に書いたように「一列に並べられたリスト」という程度の意味なので、これらを付き合わせると、このような理屈が出てくるのもわからなくもない。
しかし、改めて確認すると、技術検討WGでの「識別非特定情報」定義では、「それが誰か一人の情報であることが分かるが、その一人が誰であるかまでは分からない情報」となっていたのであり、この「誰か一人」というのは、明記されてはいなかったが、実在する個人を当然の前提としていたのだと思う。つまり、匿名加工情報のような、加工によってもはや実在する個人についてのものとは言えなくなったデータについては、「識別非特定情報」に該当しないもの、というか、そもそもこのような区分で整理する対象外だったと言うべきだろう。
宇賀説は、そのような実在しない個人に関する情報を想定しないで「識別非特定情報」の語を拡大して用いているだけという、単なる用語法上の齟齬があるという話*11 である可能性もあるが、そうではなく、実在する個人を対象としたつもりで「識別非特定情報」の語を用いているならば、やはり前記のように、法制局長官指摘によってボツになった「3号個人情報」を匿名加工情報と同一視しているということになる。
次に、第4の理由は、宇賀本の前掲引用部分の記述は、前々回の図3に示した説明文書と、文章構造が酷似しており、ボツになった旧案の説明に沿って書かれたものと推察されることである。
その説明文書の記述(左)と宇賀本の記述(右)とを以下のように並べて対比させると、元の文章があって書かれたものであることがわかる。
匿名加工データは、氏名等データに含まれる項目の全部又は一部に削除等の加工を施すことでデータ又はデータセット単体では特定の個人を識別できないものとすることに加えて、法第2条第1項第2号「個人識別情報」及び〔広く一般に流通している個人データの項目〕を削除することで、他の情報と組み合わせた場合においても、特定の個人が識別されることの蓋然性を減じたものである。
しかしながら、上記のような加工を施したとしても、情報通信技術の発展に伴い、当該匿名加工データを取り扱う者自身が保有するデータや、私人や行政等主体を問わず公開されている大量かつ多種多様な情報と突合させて分析することにより、これらの情報に含まれる共通の項目から個人に関する情報が集積又は個人情報と直接結びつくことによって、特定の個人を識別することができる状態若しくは、個人識別情報が結びつき、個人の特定に結びつくおそれが高い状態となる可能性を否定することができなくなっている。
法律案審議録より、2014年9月22日付(推定)「匿名加工データ(仮)(第2条第7項関係)」「特定等の禁止(第34条関係)」
匿名加工情報は、個人情報に含まれる記述等の一部を削除し(本法2条9項1号)、個人識別符号の全部を削除することにより(同項2号)、特定の個人が識別されないように加工されている。しかし、匿名加工情報は、通常人の能力等では特定の個人を識別できないように加工された情報であるが、いかなる手法によっても特定の個人を識別することができなくすることまで求められるわけではない。しかも、匿名加工情報として想定されているものは、ポイントカードの購買履歴や交通系ICカードの乗降履歴等のビッグデータであり、識別非特定情報である。かかる識別非特定情報としてのパーソナルデータを第三者に提供した場合、提供先が有する情報との照合により、特定の個人が識別されてしまう可能性は否定できない。ICTの飛躍的発展に伴い、匿名加工情報取扱事業者自身が保有する情報や、国、地方公共団体、私人等により公開されている膨大かつ多様な情報と照合して分析を行うと、それらの情報に共通に含まれる項目からパーソナルデータが集積される等して、特定の個人が識別される可能性を否定することは困難なのである。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244頁〜245頁
このように、それぞれの色の部分が同じ内容を述べている。
続く部分は、2つの段落が逆順になっているが、同じ内容のことが書かれている。以下は宇賀本の方の順序を逆にして並べたものである。
このように、ある事業者が匿名加工データを提供した場合に、当該データが提供先において「個人情報」に復元される蓋然性を否定できないために、事業者がレピュテーション・リスクを恐れ、データの流通に躊躇することや、あらかじめデータに含まれる項目を削除、置換することで有意さを欠く形に加工してしまっては、新たなイノベーションや新ビジネスの創出を企図する本改正の趣旨を全うできない。そこで、有意な情報を利活用し得ることとするため、匿名加工データの有意性を確保しつつも、個人の権利利益侵害を未然に防止するための規律が求められる。
法律案審議録より、2014年9月22日付(推定)「匿名加工データ(仮)(第2条第7項関係)」「特定等の禁止(第34条関係)」
もっとも、匿名加工情報を提供することにより、提供先で個人情報に復元される可能性を懸念し、匿名加工情報の提供を躊躇したり、復元の可能性を根絶するほどの削除等を行い、情報としての有意性を喪失させてしまっては、匿名加工情報という範疇を設けることにより、パーソナルデータの利活用の促進を図る立法政策を実現することはできないことになる。したがって、匿名加工情報の有意性を確保しつつ、そこから特定の個人が識別されることを抑止する対策を講ずる必要がある。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244頁〜245頁
本法が個人情報について同意を含む本人の関与を求める趣旨は、本人が関与することを通じて本人の意図する情報の取扱いを求めることによって本人の権利利益の侵害を防止することにある。特定の個人を識別していない状態のデータは、その取扱いによって個人の権利利益を侵害する蓋然性は低いものである一方、有意性を残したデータは、特定の個人を識別するリスクが残り得るものである。そこで、本人関与に代えて同人の権利利益の侵害を防止するための匿名加工データの定義と取扱いの規律が必要であるところ、有意性とリスクとのバランスを勘案して法第2条第7項(新設)「匿名加工データ」に該当する形とすれば個人データを同意なく第三者へ提供することを可能とするものである。
法律案審議録より、2014年9月22日付(推定)「匿名加工データ(仮)(第2条第7項関係)」「特定等の禁止(第34条関係)」
個人データの第三者提供に当たり、本人同意が原則とされているのは、個人データが第三者に提供されると、その後、当該個人データがいかに流通し、いかに使用されるかが不透明な状態に置かれることになり、かつ、個人データは他の個人データとの結合・照合等が容易であり、第三者に提供された場合、個人の権利利益に重大な被害を及ぼすおそれがあるからであるが、匿名加工情報については、個人データではなくても、第三者提供により、同様のリスクが生ずるのである。したがって、匿名加工情報については、提供元においてモザイク・アプローチによっても特定の個人が識別されないことのみではなく、提供先において保有するまたは取得可能な情報との照合により、特定の個人が識別されないような措置が講じられる必要がある。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244頁〜245頁
次の1段落を飛ばすと、その次の段落も以下のように揃っている。
そして、本条が禁止する状態に匿名加工データがなることを防止するためには、例えば、自らが保有する個人情報と混同した取扱いがなされないよう、アクセスクリアランスを設定するなどの規定を含む自社規約を定めることにより情報の取扱いを限定すること(組織的分離措置)や、ファイアウォールを設けること(技術的分離措置)を施すなどの取り組みが望ましい。
なお、匿名加工データが受領者において法第2条第1項「個人情報」、同条第4項「個人データ」及び同条第5項「保有個人データ」に該当するか否かは、匿名加工データが単体で特定の個人を識別することができないものであること及び本条により匿名加工データを受領した者において当該匿名加工データにつき特定の個人を識別することができる状態とすることが禁止されることから、当該受領者において「他の情報と容易に照合することによって特定の個人を識別することができる(法第2条第1項かっこ書き)」とはいえず、これらの該当性はない。
法律案審議録より、2014年9月22日付(推定)「匿名加工データ(仮)(第2条第7項関係)」「特定等の禁止(第34条関係)」
本条の識別禁止義務を履行するために、匿名加工情報の提供を受けた匿名加工情報取扱事業者は、自己の保有する個人情報や他の匿名加工情報と取扱いを峻別する必要があり、当該匿名加工情報にアクセスできる者を必要最小限に限定し、ファイアウォールを設定する等のシステム上の分離措置も講じておくべきであろう。このような識別禁止義務が匿名加工情報を受領した匿名加工情報取扱事業者に課されることにより、それ単体では特定の個人を識別できない匿名加工情報について、他の情報との照合等により特定の個人を識別できるようにすることも禁じられているから、モザイク・アプローチによる特定の個人の識別性もないことになり、個人情報に該当しないものとして位置付けることが可能になる。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244頁〜245頁
飛ばした1段落については、同じ文書の前のページの以下の部分と似ている。
2(1) 1から3の各リスクに対応する2(2)の方法は、提供先の事情を考慮することが求められ、社会に存在するすべての事情を基礎として匿名加工データを作成する者に特定リスクを予見し、これを減じなければ対応できないものである。しかしそのような対応を求めることは不可能を強いることと同義であるから、匿名加工データの作成者と受領者との間で、各リスクを公平に配分し、減じることが肝要である。そこで、匿名加工データとは、個人データに対し、当該個人データに含まれる氏名、生年月日その他の記述等の全部又は一部を削除する等の加工を施すことにより、特定の個人を識別することができないようにし、かつ、当該個人データに含まれる個人識別情報その他〔広く一般に流通している個人データの項目〕の全部を削除したものをいうこととする。併せて受領者(第二次取得者以降を含む。)に特定の個人を識別する等を禁止する、特定等禁止義務(後掲)を課すこととする。これにより、匿名加工データの作成者に求められる加工の要件が明確となり、他方、受領者にとっても最低限の法定要件を具備したデータを受領していることが担保され、かつ受領者において特にリスク3に対応することとなる特定等禁止義務が課されることから、特定の個人を識別するリスクを両者で減じることとなるものである。
法律案審議録より、2014年9月22日付(推定)「匿名加工データ(仮)(第2条第7項関係)」「I 改正の背景・経緯」
匿名加工情報を提供する者にとって、匿名加工情報を受領する者がいかなる情報を保有しているかを常に予見することはできず、匿名加工情報が個人情報となるリスクを完全に排除することは不可能を強いることになる。そこで、本法では、個人情報取扱事業者は一定の加工方法を取ればよいこととし、匿名加工情報の提供を受けた匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等もしくは個人識別符号もしくは匿名加工情報を作成するための加工の方法に関する情報を取得し、または当該匿名加工情報を他の情報と照合することを禁じられている。これによって、匿名加工情報の提供を受けた匿名加工情報取扱事業者の側で匿名加工情報が個人情報とならないように法的な担保措置を講じているのである。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244頁〜245頁
宇賀先生の逐条解説が、正確な解説書として信頼されてきたのは、政府見解に忠実に書かれてきたからであり、政府の内部文書に基づいて書かれてきた*12 からなのだろう。しかし、今回は、内閣法制局の予備審査の途中で案が大幅に変更されるというイレギュラーな展開であったことから、情報公開請求して出てくる内部文書には、旧案についての破棄されたはずの説明も混じっていたわけであり、宇賀先生はそれに気づかず、破棄された説明に従って解説書を書かれてしまわれたということになろう。この解説がそのまま信頼されていくことになるとすれば問題だと思う。
そして次に、宇賀本の別のページでも、36条5項の解説部分で、以下のように書かれているのだが、これも、前々回の図12に示した、2014年11月13日時点(長官指摘前)の法制局第二部長向けの説明文書をベースに書かれているようである。
ア 個人情報に措置を講じて匿名加工情報を得た事業者について
措置を講じた事業者は、匿名加工情報の元となった個人情報を引き続き保持し、かつ措置方法を有していることが通常である。また、システム上両データの連結性が認められる、両データへアクセス可能な人間が複数存在する等の事情が存在するとすれば、匿名加工情報と元となった個人情報は容易に照合することができる状態にあると言える。
しかしながら、改正法においては、復元行為等を禁止し、匿名加工情報を元のデータに復元すること、記述等を加えて新たな個人情報とすること及び個人情報を含む他の情報と照合することにより特定の個人を識別することができる場合の照合行為を禁止している。
容易照合性の判断は、同事業者の規模、技術的措置、組織的措置等その他具体的な事情を元に総合的に判断する法的評価である。同判断の基礎とされる組織的措置につき、社内規約によって照合を制限するのみでは容易照合性を否定しないと解釈する理由は、同規約による制限に反して照合が行われ得た場合、内規による処罰はあり得ても個人情報保護法においては何ら罰則等が規定されているものでは無く、照合禁止が実質的に担保されるもので無いことにある。対して、改正案は復元行為等の禁止という法的義務を課し照合を禁ずるものであり、当該義務違反に対しては、個人情報保護委員会による執行等が担保され、現行法下の状況とは異なることとなる。このように法的担保によって個人情報等との照合が禁止されているのであるから、容易に照合可能な状態にあるとは言えず、解釈上個人情報に該当しない。
法律案審議録より、2014年11月13日付「個人情報と匿名加工情報(仮称)における容易照合性の考え方について」
匿名加工情報は特定の個人を識別できないように個人情報を加工して作成されたものであるから、作成元の個人情報取扱事業者においては、削除等の加工が行われる前の情報を保有しており(法38条の場合と異なり、匿名加工情報を作成した個人情報取扱事業者は、個人情報から削除された記述等や加工方法を保有することを禁止されていない)、単に社内規定で両者の照合を禁止する程度では、容易照合性を否定するには十分とは考えられない。作成の元データと容易に照合可能な状態にあれば、作成事業者が主観的には「匿名加工情報」に加工したと考えたとしても、それは個人情報に該当し、また、当該個人情報は個人情報データベース等に含まれるので、個人データに該当することになり、個人情報取扱事業者は個人データに係る義務を負うことになる(略)。たとえば、個人情報取扱事業者が個人情報を加工して当該情報自体からは特定の個人を識別できないようにしたとしても、加工元の個人情報と加工後の情報に共通のIDが付されており、両者を連結して利用する場合もあるのであれば、それは個人情報に該当することになる。したがって、匿名加工情報が個人情報に該当しないといえるためには、匿名加工情報を作成した個人情報取扱事業者において、容易照合性が否定されることが必要になる。そこで、本法では、個人情報取扱事業者が、匿名加工情報を作成して自ら匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた本人を識別するために、当該匿名加工情報と他の情報と照合することを禁止している。このように容易照合禁止義務が法的に課されているため、匿名加工情報を作成した個人情報取扱事業者において、当該匿名加工情報がモザイク・アプローチの下でも個人情報には該当しないことが法的に担保されることになる。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244頁〜245頁
ここに書かれていることは、前々回の冒頭「問題の所在」で確認した、A説(非個人情報でない限り匿名加工情報となり得ない)なのか、それとも、B説(匿名加工情報に加工すれば(照合禁止義務があるので)非個人情報ということになる)なのかとの論点について、B説の立場を鮮明にしている。
つまり、宇賀説はB説ということになるが、といっても、破棄された旧案の説明を単になぞったもののようであり、A説対B説の対比の下での検討が行われているわけではないので、そのように意識して書かれたものではないのかもしれない。
なお、長官指摘によってひっくり返った変更後の案についての説明では、必ずしもB説の立場というわけではなく、A説として整理できそうだということは、前回までに書いた。
前掲の宇賀本の記述では、「復元の可能性を根絶するほどの削除等を行い、情報としての有意性を喪失させてしまっては、匿名加工情報という範疇を設けることにより、パーソナルデータの利活用の促進を図る立法政策を実現することはできないことになる。」と書かれているが、法制局長官の指摘は「出すところで復元できない様に」せよというものだった*13 。復元の可能性を根絶すると有意性を喪失すると言うが、匿名加工情報は結局は最終的に統計量に集計して利活用するのだから、復元できないように加工(これは削除に限られるものではない)したものだって利活用の道はあるというのが、利活用現場のデータサイエンティストらから昨今聞こえてくるし、前々回の図17に示した長官指摘後に再整理された説明文書では、変更後の案では規制緩和にならないことを受け止めた上で、規制緩和でなくても「制度が明瞭で利活用に躊躇しないもの」とすることに意義があるのだと整理されたようであり、そのことを宇賀本は踏まえていない。
*1 このことについて、2016年2月5日の日記「匿名加工情報は何でないか・前編の2」の「十分に低減する加工をしたものは匿名加工情報に当たらない」で触れたが、このときは、この向井発言を受けて、「そこでやや疑問に思ったのは、「個人に関する情報」とは何だろうかという点である。当時その時点までの私の理解では、「個人に関する情報」は一人ひとりの情報を指す(すなわち、識別非特定情報と識別特定情報を指す)ものと理解していたが、どうやらそうとは限らないようだった。数人の個人についての情報であっても「個人に関する情報」ということらしい。いまいち納得しがたいが、(略)」と書いていた。これを今になって振り返ると、次のように言える。この発言を聞く前の時点で、私は「識別非特定情報」と「個人に関する情報」とを同一視(識別特定情報を除いて)していた。つまり、「識別非特定情報」であれば「個人に関する情報」であるし、「個人に関する情報」であれば「識別非特定情報」(又は識別特定情報)となると捉えていた。ところが、記憶が不確かだが、このときのパネルで私は向井審議官に「一人ひとりの情報を指すのか?」というような質問をしたのであろうか、それに対する返事として「数人の個人についての情報であっても「個人に関する情報」ということ」という回答があったようで(もはや覚えていないのだが)、それでこのときの日記(2016年2月)ではこのように書いたわけだ。今思えば、2014年11月時点では向井審議官も整理しきれていなかったが故のブレた発言だったのであろうか。現在では、「個人に関する情報」とはある一人の個人についての記録のことであるとの解釈で落ち着いていると思う。私としては、その後、「識別非特定情報」の概念をこういう文脈で持ち出すのは混乱が生じると感じていたところ、こういうときは「個票」と呼べばよいのだという理解に至り(勉強会での山本隆一先生の発言を耳にして以来その理解に至った)、2016年7月のセミナー以降では、以下の図のように、個票の形でなければ「個人に関する情報」ではなく、匿名加工情報でもないということになると、そういう説明方法をとるようになった。
*2 同様の見解が、宇賀克也「個人情報の保護と利用 ——ポジティブ・サムを目指した改革の意義と課題——」法律時報88巻1号(2015年12月)72頁に、「匿名加工情報データベース等を構成する匿名加工情報のみを対象としているので(36条1項)、匿名加工情報を容易に検索することができるように体系的に構成されていない統計情報については、同法4章2節の規定の適用はないと解することが可能なように思われる。」として書かれており、また、宇賀克也・藤原静雄・山本和徳「《鼎談》個人情報保護法改正の意義と課題」行政法研究13号(2016年4月)12頁にも、「統計情報は匿名加工情報データベース等を構成するものに含まれず、匿名加工情報に係る義務は生じないと解することができるように思われます。」と書かれており、宇賀説として次第に確立していった様子が窺える。
*3 もっとも、そもそも「特定の〇〇を電子計算機を用いて検索することができるように体系的に構成したもの」とはいったい何のことか?という疑問があって然るべきである。「個人情報データベース等」の定義に昔からあった「特定の個人情報を電子計算機を用いて検索することができるように」とは、有り体に言えば「誰それの個人データレコードを取り出せるようになっている」ことを言うわけだが、これが、「特定の匿名加工情報を電子計算機を用いて検索することができるように......」となると、いささか謎である。匿名加工情報は無記名の個票であり、何を手掛かりに「検索する」のであろうか。個票に何かしらの番号(究極的には行番号のみがある)が振られてはいるだろうが、それを使って検索するなどということは用途としてあり得るのだろうか。この疑問については、別の重要な論点に拡大するので別の機会に再び書くことにしたいが、結局、今改正で2条10項に新たに書かれたこの「......検索できるように体系的に構成したもの」というフレーズは「一列に並べられたリスト」という程度の意味で使われてしまっている。そんな条文でいいのか?という疑問があって然るべきところ、私の立場では(「法とコンピュータ」No.34で書いた主張を裏付けるためには)、むしろそのような解釈が定着することは好都合なので、これは歓迎している。
*4 そのわりには、最後の部分で「このようなものを検索しても」とあるのは統計値を検索することを指しており、一貫していないのだが。
*5 ただし、2条9項柱書きの「復元することができないように」と、2条9項各号の措置との関係については、2つの説があり得る。A説は、各号の措置を講じることが、「特定の個人を識別することができないように」することと「復元することができないように」することの両方に掛かっていると解釈するもので、私もてっきりそうだと思い込んでいたが、B説は、各号の措置を講じることは「特定の個人を識別することができないように」することについてだけで、「復元することができないように」は各号の措置とは関係なく求めているとする解釈である。前回の日記では、このことについて以下のように、B説の方が自然だと書いていたが、どちらも一理あり、はっきりしない。このことについてはまた別途書こうと思う。
確かに、2条9項柱書きの「次の各号に掲げる...区分に応じて...各号に定める措置を講じて」の文が、「特定の個人を識別することができないようにし」のみに係っていているのか、「かつ、...復元することができないようにし」にも係っているのかが、どちらともとれそうだが、前者の解釈の方が自然のようにも思える。
*6 というより、そのレベルまで加工するべきという方が先なのだが。
*7 匿名加工情報の定義が、「個人に関する情報であって......」となっていて、「生存する個人に関する情報であって」となってはいないのは、死者を含めるとの趣旨ではなく、このように、実在する個人に限らないことを想定してのものだと理解できる。(元々「生存する」を頭に付けない「個人に関する情報」は、死者を含むという意味だけでなく、このように、実在する個人から切り離された架空の個人についての個票の場合をも指すものなのだと考える。)
*8 これは、かつて、k-匿名性の指標を用いて、全列QIとしてk≧2としたとき非個人情報となるとした見解(2014年4月23日の日記の「k-匿名性の法的位置付け」参照)より、非個人情報化要件が緩和されている。ごく一部であっても「同じ内容のレコードが元のファイルに1つしか存在しない」ならば、この指標ではk=1となってしまうのであったのに対して。これについては、「匿名加工情報は何でないか・後編の3」で書く予定。
*9 そもそもこの用語は、法改正の検討のための整理用の概念に過ぎないので、目的的に定義する用語である。
*10 技術検討WGの定義では、個票のリストというファイル単位で「識別非特定情報」と評価されるものであって、その個々の要素ごとに該当するか否かが決まるという性質の概念ではなかったと思う。
*11 なお、「識別非特定情報」の概念を安易に使うことの問題点については、本シリーズの前編でも、「識別と特定が区分された」において批判したところである。
*12 情報公開請求で得られた開示文書を元にして書いているのなら、その事実を明らかにしたらよいだろう。前々回の図22に示したように、一昨年の二弁本においても、旧案の説明文書を元に解説してしまっていたわけだが、二弁本が立派なのは、ちゃんと情報公開請求により開示された資料を元に書いていることを明らかにしていたし、それぞれの解説の根拠となる開示資料がどれなのかを明記していた。そのため、その資料が正しい限りにおいて正しい解説となることは示されていたわけである。引用においては当然の出典明記であろうと思うし、引用でないのだとしても、そもそも学術研究は根拠を明らかにするのが必然的に要されるはずなのだが、法学の世界は別なのだろうか。あるいは逐条解説書は学術研究ではないのかもしれないが。
*13 法制局長官がひっくり返す前の旧案では、受領者に対する禁止義務は、復元することの禁止であった(2017年1月8日の日記の図2参照)が、変更された後(つまり成立した法)では、復元を禁止するとは規定されていない。これは、復元はそもそもできないように加工されているという前提があると考えられる。
前回の宇賀先生の逐条解説に続き、今年6月末に出版された岡村先生の逐条解説「個人情報保護法〔第3版〕」について。この本の第2版は、2013年6月30日の日記でCCCからの回答においても参照されていたように、企業法務の現場で絶大な信頼を誇り多大な影響力のある大著であった。宇賀本の特徴が政府の文書を元に淡々と書かれたものであるのと対照的に、岡村本は条文から見えない部分を独自の見解で詳しく論ずる部分が好評を博していた。第3版で改正法について加筆されており、匿名加工情報の解釈がどうなっているのかが気がかりなところである。この岡村逐条3版に加え、文庫本「個人情報保護法の知識」(日経文庫)が第3版と第4版と立て続けに出版されていたので、こちらもあわせて確認してみた。
まず、岡村文庫第3版224頁〜225頁に、「1号匿名加工情報」と「2号匿名加工情報」という奇妙な見出しが目に入った(図2)。「個人情報」なら1号と2号ができたが、「匿名加工情報」に1号と2号があるとするのは初めて見た。
その内容は以下のように書かれている。
(2) 1号匿名加工情報
まず、個人識別符号を含まない個人情報(2条1項1号)を加工元情報とするときは、当該個人情報に含まれる記述等の一部を削除することによって、匿名加工情報となります(2条9項1号)。以下、1号匿名加工情報といいます。
一部削除の対象となる記述等とは、個人識別性を有する部分です。基本4情報(氏名、住所、生年月日、性別)が含まれる個人情報を元情報として、氏名や(略)ようなケースが想定されています。
この一部削除には、当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含みます(同号カッコ書き)。先のケースで(略)ようなケースが想定されています。(略)といったデータになります。
(3) 2号匿名加工情報
次に、個人識別符号を含む個人情報(2条1項2号)を加工元情報とするときは、当該個人情報に含まれる個人識別符号の全部を削除することによって、匿名加工情報となります(2条9項2号)。以下、2号個人識別符号といいます。
2号個人識別符号では、個人識別符号の全部削除が要件です。1号匿名加工情報の場合と違って、個人識別符号それ自体が個人識別性を有しているからとされています。(略)
岡村久道『個人情報保護法の知識』第3版(日本経済新聞社, 2016)224頁〜225頁
これは変だ。この説明だと、個人情報に個人識別符号が含まれる場合には氏名等を削除しなくてよい(1号の措置を求めない)ことになってしまう。匿名加工情報がどういうものかが頭にあれば、そんなわけがないことはすぐにわかる。氏名等と個人識別符号の両方が含まれるときは、2条9項の1号と2号の両方の措置を講じることになるのは、自明のことだと思っていたが、この本では、1号と2号は排他的なものとして書かれている。
というか、それ以前にそもそも、2条9項の各号は、「区分」と「措置」であって、「匿名加工情報」ではない。言うならば「1号措置」と「2号措置」なのであって、「1号匿名加工情報」「2号匿名加工情報」と呼ぶこと自体がおかしい。このことは以下のように条文から明らか。
9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
一 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
さすがにこれは、うっかりミスか編集者のミスで、第4版では修正されるだろうと思っていたのだが、5月になって出版された第4版でも、本文には変更があるのに、この部分はこのまま、直されていなかった。
一方、6月に出版された岡村逐条3版では、1号・2号個人識別符号との言葉は用いられていない。これに相当する箇所は、以下のように書かれている。
X 匿名加工情報(法2条9項関係)
1 概説
「匿名加工情報」とは、法2条9項各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう(同項柱書)。平成27年改正によって新設された概念である。
「匿名加工」に要する措置内容は、加工元となる個人情報が個人識別符号を含むものか(同項2号)、含まないものか(同項1号)によって、〔表2-4〕のとおり区分されている。個人識別符号は法2条2項が定義している。
岡村久道『個人情報保護法〔第3版〕』(商事法務, 2017)118頁〜119頁
1号・2号匿名加工情報の語は用いられなくなったものの、ここでも、2条9項の1号措置と2号措置が排他的なものとして書かれている。どうしてこうなるのだろう?
どうやらこれは、2条1項1号の条文が読み違えられているようだ。2条1項1号は以下のようになっている。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(略)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
ここに「個人識別符号を除く」とあるからと、1号個人情報は「個人識別符号が含まれないもの」と読まれてしまったようだ。
しかし、条文に目を凝らせば明らかなように、個人識別符号が除かれているのは、「記述等」の定義部分で除かれているだけである。そして、「「記述等」が個人情報」なのではない。「記述等......により......できるもの」という文である。
つまり、ある「個人に関する情報」が個人情報であるか否かというときに、何によって特定の個人を識別することができることとなるのかについて、個人識別符号によるものが2号個人情報であり*1 、それ以外によるものが1号個人情報であると、そういう定義である。
このことは、ある「個人に関する情報」が1号個人情報でありかつ2号個人情報でもあるという状況を排除しない。したがって、1号・2号の両方の個人情報に該当するときは、2条9項も、1号・2号の両方の措置を講じることになる。
実は、同じ間違いが前回の宇賀本にもある。
(13) 「第1項第1号に該当する個人情報」(9項1号)
本法2条1項1号に該当する個人情報である。個人識別符号が含まれない個人情報であって、それ単独で個人情報である場合(氏名、顔の画像等)もあれば、他の情報と容易に照合されて個人情報になる場合もある。
宇賀克也『個人情報保護法の逐条解説《第5版》』(有斐閣, 2017)75頁
どうしてこんな基礎的なところで二人とも間違うのだろうか。
次に、匿名加工情報取扱事業者(2条10項)の定義中に出てくる「匿名加工情報データベース等」の定義について。岡村逐条3版に以下の記載がある。
「匿名加工情報データベース等」について政令で定めるものとは、これに含まれる匿名加工情報を一定の規則に従って整理することにより特定の匿名加工情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう(令6条)。この要件の大半は「個人情報データベース等」(法2条4項)のそれと同様であるから、本章Vを参照されたいが、検索方法が電子計算機を用いたものである場合にも容易検索性を要件としている点で、法2条4項と異なる。
岡村久道『個人情報保護法〔第3版〕』(商事法務, 2017)122頁
このような解説も初めて見た。ここは、従前の「個人情報データベース等」に電算処理情報(2条4項1号)とマニュアル処理情報(2条4項2号)の2つがあったのと同様に、「匿名加工情報データベース等」にもその2つがあることについて解説している部分だが、その2つは完全にパラレルになっているかと思いきや、「容易検索性」の点で違いがあるというのである。
しかしどうだろう。以下に条文を並べてみる。
4 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
10 この法律において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第36条第1項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第5項各号に掲げる者を除く。
このように、緑で強調の部分、青で強調の部分、それぞれを対比させると、「個人情報」と「匿名加工情報」の違いだけで、他は完全に同一である。(ここに違いを設ける必然性がないので当然そう立案するだろう。)
ではなぜ、岡村逐条3版はここに違いがあると言うのか。おそらく、次のように誤読したのではないか。(赤で強調した「の」が上との差)
10 この法律において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他の特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第36条第1項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第5項各号に掲げる者を除く。
法制執務において、「A その他 B」と「A その他の B」とでは意味が違ってくることは、基礎中の基礎であり、前者は並列的例示、後者は包括的例示と呼ばれる。後者の場合では、AはBに含まれることになる(AはBの一種)ので、B=「容易に検索することができるように体系的に構成したもの」なら、Aも「容易に検索......」という性質を持つものということになる。それに対し、前者の場合では、AはBとは別に並置したもの(上の「前号に掲げるもののほか、」と同じ意味)ということになるから、Bが「容易に検索......」とあるからといってAもその性質を備えるとは限らない。法の条文は前者になっているから、直ちにAも「容易検索性を要件としている」とするのはおかしい。
もっとも、ここでは、「電子計算機を用いて検索することができるように体系的に構成」することは、「容易に検索することができるように体系的に構成」することの一つの手段ではある。そもそも電子計算機を用いた検索は元々、容易にできるものであるところ、マニュアル処理情報においても電子計算機による方法に準ずる程度に「容易に」できるように「一定の規則に従って整理」されたものを要求しているところである。その意味では、「電子計算機を用いたものである場合にも容易検索性を要件としている」とする文自体は間違ってはいない。
だが、そのように言うのならば、従前の「個人情報データベース等」でも同様に「電子計算機を用いたものである場合にも容易検索性を要件」としていることになるから、岡村逐条3版の「容易検索性を要件としている点で、法2条4項と異なる。」という記述は、そういうことを言っているわけでもない。
以上のことから、この解説は、誤読によるものか、そうでないならば、論理的な誤りがあるか、単なる思い違いと思われる。
次に、前回も取り上げた論点の、統計情報と匿名加工情報の関係について。岡村文庫3版には、このことについて以下の記述があった。
他方で、匿名加工情報は「統計情報」を含む概念です。改正担当者は否定していますが、法文上、36条1項の基準を満たす匿名加工を徹底したものともいえるものだからです。にもかかわらず、本条の義務が新たに課せられるとすれば、規制強化に該当する疑いがあります。
本条に関係する個人情報保護委員会規則によって、こうした不合理をできる限り軽減することを明確化し、それが困難であれば早期の改正による正常化が求められるところです。
岡村久道『個人情報保護法の知識』第3版(日本経済新聞社, 2016)236頁
これは、前回も書いたように、匿名加工情報は定義上「個人に関する情報」であることを要件としたことで、法案の起草初期の時点から解決されている。統計情報は「個人に関する情報」ではないので、統計情報は匿名加工情報に該当しない。このことは2015年12月出版の瓜生本にも書かれていたことなのに、「改正担当者は否定していますが」というのはそのことなのだろうか。岡村文庫3版は、2016年3月の時点で、このように書いてしまっていた。
それが、岡村文庫4版(2017年5月)では、以下のように変更されている。個人情報保護委員会のガイドラインを踏まえての修正であろうか。
匿名加工指針は「統計情報」と「特定の個人との対応関係が排斥されている」か(統計情報)、いないか(匿名加工情報)で区別しています。2条9項の法文に照らすと無理があるように思えますが、「統計情報」に規制を及ぼさないための苦肉の策といえるでしょう。
岡村久道『個人情報保護法の知識』第4版(日本経済新聞社, 2017)243頁
いちおう撤回されて、政府の説明に沿うように改められたが、「無理がある」とか「苦肉の策だ」などと書かれていて、なぜ無理があるのかの理由はここには書かれていなかった。
これが、岡村逐条3版で、以下のように、理由を含めて詳しく書かれた。
**個人に関する統計情報との関係: 匿名加工GL2-1は、統計情報は、「複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に把握するもの」であり、「特定の個人との対応関係が排斥されている限りにおいては、法における『個人に関する情報』に該当するものではないため、改正前の法においても規制の対象外と整理されており、従来同様に規制の対象外となる」とする。もともと「個人に関する情報」という要件は団体情報等を除外するため設けられたものにすぎないので、特定の個人との対応関係を加工して導出した「特定の村の後期高齢者男性数」のような情報が「個人に関する情報」に該当しないということには躊躇を感じ、匿名加工情報の定義内容等に照らしても解釈に無理があるが、統計情報を除外するために、やや極端な解釈を導入せざるをえなかったものと思われる。それにしても、統計情報と匿名加工情報は燦然と区別しうる性格のものか疑問が大きく、その境界線が不明確なままとならないか懸念される。
岡村久道『個人情報保護法〔第3版〕』(商事法務, 2017)119頁〜120頁
「「個人に関する情報」という要件は団体情報等を除外するため設けられたものにすぎない」とある。これが、政府見解と齟齬をきたす原因となっているようだ。
「個人に関する情報」が何であるかについては、前回も書いた。データベースやファイルを構成している場合には、要するに「個票」の一つひとつのことである。
このことはたしかに気づくまで理解が難しいもので、私も岡村本その他の個人情報保護法の解説書で勉強していた6年前には全くわからなかった。どの本を読んでも、「「個人に関する情報」には、個人の属性・行動、個人に対する評価、個人が創作した表現等、当該個人と関係するすべての情報が含まれる」(宇賀逐条第3版27頁)といったように、「個人に関する情報」にどんな情報が含まれるかの説明ばかり書かれていて、そもそも「個人に関する情報」とは何を指しているものなのかがすっ飛ばされている。
私が理解に至ったのは、情報公開法の解説書を読んでからだった。宇賀克也『新・情報公開法の逐条解説第5版』(有斐閣, 2010)で、情報公開法5条1号と6条2項について勉強すると、繰り返し「個人に関する情報」というフレーズを用いて書かれており、それ自体がひとくくりの用語なのだということに気づかされた。(「2014年4月23日の日記の「1.個人に関する情報」の節を参照。)
不幸なことに、個人情報保護法では、条文が「生存する個人に関する情報であって」と始まることから、「生存する」と「個人に関する」の2つの連体修飾語が「情報」にかかる独立した要件として修飾しているだけのように読めてしまい、「個人に関する情報」がひとくくりの用語であることが見えにくくなっている。たしかに、文法的にも、「個人に関する情報」に「生存する」が修飾しているというのはおかしい(情報の生死を言うのはおかしい)ので、「個人に関する情報」でひとくくりの用語だとは読めないという問題点*2 はある。「個人(生存する個人に限る)に関する情報であって」の方が誤解のない条文だっただろう。
この形の条文は、英国のData Protection Act 1984を参考に*3 、昭和63年法で初めて用いられたものである。2016年11月23日の日記「容易照合性が提供元基準でファイル単位なのは昭和61年からだった」に書いたように、英国法の「personal data」定義が、「"Personal data" means data consisting of information which relates to a living individual who can be identified from that information (or from that and other information in the possession of the data user), including ......」となっていて、日本法の定義はこれに瓜二つである。
ここで明らかなように、英国法では「a living individual」と、単数の不定冠詞のついた「個人」を指している。英国法に限らず、EUのデータ保護指令でも「'personal data' shall mean any information relating to an identified or identifiable natural person」と単数の不定冠詞のついた「natural person」を指していたし、OECDガイドラインでも同様であった。当然すぎてなのか、どの解説書にも書かれていないが、「個人に関する情報であって」とは、ある一人の個人についてを定義したものなのである。このことを強調して条文にすれば、「この法律において「個人情報」とは、生存するある一人の個人に関する情報であって、当該情報に含まれる氏名、......により当該個人を識別することができるもの(略)をいう。」とすべきところ、日本語には冠詞に係る区別が希薄であり、そこをあえて書くのは日本語として美しくないということなのか、法文上は現状のようになっているわけである。
それに対して、岡村本の解釈はこれとは違っている。岡村逐条3版には以下の記載がある。
したがって、たとえ生存する個人に関する情報であっても、「昨年度末時点における成人の島根県民数」のような、識別性を欠く統計情報は個人情報たりえない。ただし、識別性を有しない情報が、個人情報ではなく匿名加工情報として義務の対象となる場合がある(略)。
岡村久道『個人情報保護法〔第3版〕』(商事法務, 2017)71頁〜72頁
このように、岡村本は、島根県民数といった情報も「個人に関する情報」と捉えていて、これが個人情報に該当しないのが、識別性がない(特定の個人を識別することができるものではない)からだという整理になっている。つまり、岡村本では、「個人に関する情報」の「個人」を「an individual」ではなく「some individuals」で捉えているわけである。この前半の文は岡村逐条の第1版から記載されており、ずっとこの前提で語られてきたようである。
というわけで、前掲の引用に戻ると、「もともと「個人に関する情報」という要件は団体情報等を除外するため設けられたものにすぎないので」という岡村逐条3版の主張は、このように、「個人に関する」を「生存する」と並置の単なる修飾語と捉え、「個人」を「some individuals」として捉えているから、そのような発想になっているのだと考えられる。*4
岡村逐条3版には、別の場所で以下の記載もある。
2「個人に関する情報」
(1)「個人」に関する情報 以下、本項が定義する個々の要件について詳論するが、第一に「個人に関する情報」であることを要する。この要件を満たすもの全般を、生存者性・個人識別性の一方または双方有無にかかわらず、近時は「パーソナルデータ」と呼ぶことがあるが、これは通称であって法令上の概念ではない。
岡村久道『個人情報保護法〔第3版〕』(商事法務, 2017)67頁
なるほど、岡村先生は「パーソナルデータ」を「島根県民数」のようなものまで入ると捉えていたのだなと改めて気づかされる。政府のパーソナルデータ検討会では当然に「an individual」に関する情報をパーソナデータと呼んでいたわけで、そこからして隔たりがあったわけだ。
ここの解釈の齟齬は、今年1月の総務省自治行政局「地方公共団体が保有するパーソナルデータに関する検討会」でも、岡村構成員の発言によって議論の俎上に載っていたようで、議事概要に以下のように記録されている。
【岡村構成員】
○しろまる統計情報と匿名加工情報はどこで線を引くのか。
【小川参事官】
○しろまるガイドラインに記載しているように、「特定の個人との対応関係が排斥されている」形で加工されているものは、今までと同様に統計情報として扱われる。
○しろまる統計情報の場合は集計した形で数値が出てくるが、匿名加工情報の場合は個票のデータを個人が特定できないような形にして出すというイメージである。
○しろまる特定の個人との関係が残したまま匿名化したものが、匿名加工情報ということになる。【佐藤構成員】
○しろまる非識別加工情報については、各個人の情報が1人ずつ行になって入っているデータであり、ある意味で1人1人が区別できるようになっている。一方、統計情報は、基本的には1人1人が区別できないデータである。《議事3について》
(略)
このように、岡村構成員がここでもこの疑問を投げかけたのに対し、個人情報保護委員会事務局の参事官から、個票のことだと回答され、佐藤一郎構成員からも、個票とはどういうものかが説明されている。
1月の時点でこのようなやり取りがあったにもかかわらず、6月出版の著書で前掲のように書かれたということは、この説明を受けてもなお、納得がいかなかったということであろうか。公表された議事録が「議事要旨」として内容が丸められてしまっているので、この説明を受けて岡村構成員が何と発言したのか不明(議事要旨上は発言がない)である。
なお、「個人に関する情報」がこのように「個票」のようなものであるとすることは、データベースやファイルを構成している場合に限らず、情報公開法(散在情報の状態で法の対象となる)においても、重要な意義を持つ。
情報公開法では、部分開示決定をする際に、1号不開示情報(個人に関する情報)が文書中のどの範囲までを指しているのかが問題となる。そこをどう解釈するかは逐条解説書にも明記されていないが、政府の情報公開・個人情報保護審査会における運用で直面する課題であり、審査会の元常勤委員の森田弁護士による以下の書籍で詳細に論じられている。
ここでは、「保有個人情報」とあるように、行政機関個人情報保護法における本人情報開示請求の運用の話として書かれているが、「保有個人情報」は、「個人に関する情報」のうち特定の個人を識別することができるもので、かつ、行政文書に記録されているものなので、情報公開法の「個人に関する情報」とパラレルである。しかも、行政機関個人情報保護法の部分開示規定は、情報公開法の部分開示規定の引き写しであり、請求した本人の個人情報の中に本人以外の個人の「個人に関する情報」が含まれている場合などは、まさに、このような「個人に関する情報」の範囲をどう捉えるかが重要となっている。
このことからしても、「個人に関する情報」という句がそのような「ひとまとまりの情報」を指していること(島根県民数を含むような概念ではない)がわかる。
その他、匿名加工情報の加工基準に関わる解釈上の論点(前回までに論じたような)について気になるところであったが、岡村逐条3版は、加工基準についてはさらっと触れただけになっており、これまで論点となっていたことはほとんど書かれていなかった。
*1 この説明はやや正確でない。この説明で正しくなるのは、個人識別符号の定義が、特定の個人を識別することができるものを指している場合にである。与党提言による修正で「特定の」の文言が挿入されたので、結果的にこの説明でよいのだが、挿入される前の改正法案(本来の趣旨)ではこの説明では不正確であり、元々の区分の趣旨を説明するものとしてはこの説明はイマイチである。
*2 これを看過できない問題だとするならば、次のように考えればよいだろう。個人情報保護法上は、「生存する個人に関する情報」というひとくくりの概念があり、これは「個人に関する情報」の下位概念(前者は後者の一種)である。議論・解説においては、個人の生存性が論点にない文脈では、そこを省略して、上位概念である「個人に関する情報」の語が用いられることがある。
*3 2016年11月23日の日記「容易照合性が提供元基準でファイル単位なのは昭和61年からだった」では、「英国法を参考にして個人情報定義を立案したのではないだろうか。」として推測の域を出ないものだったが、その後、情報公開請求により、英国法を参考にしたことの証拠が見つかっている。1987年9月30日付データ・プライバシー保護専門部会「行政機関の保有する電子計算機処理に係る個人情報の保護対策ー検討資料」に、「当該記録のみでは、特定個人を識別できないが、当該行政機関が保有する他の台帳等と照合することにより識別できる場合は対象とすることが適当である(イギリス法§1(3)参照)。」との記載がある。
*4 ちなみに、実は、「個人に関する情報」をこのように誤解する人は以前から少なくなかったようである。個人情報保護法が立案段階だった2000年9月、内閣IT戦略本部の個人情報保護法制化専門委員会において、9月8日に示された「個人情報保護基本法制に関する大綱案(素案)」に対し、第24回会合で、上谷清委員が「技術的な話だが、「個人情報」の定義の中で「当該個人」という表現があり、現行の行政機関個人情報保護法にも用いられているが、「当該」という関係代名詞に対応する先行詞がなく、これはおかしいのではないか。「特定の」個人という表現の方が適当ではないか。」(議事要旨より)との指摘があり、同年9月22日に示された「大綱案(素案修正版)」で「特定の個人を識別」に修正されたという経緯がある。これは、昭和63年法の「個人情報」定義では、「特定の個人を識別」という文言は用いられておらず、「個人に関する情報であって......により当該個人を識別できるもの」という文であったところ、素案がそれを引き継いでいることに対する指摘であった。しかし、この指摘は「当該」が指す先行詞がないと言うが、「個人に関する情報であって」の解釈を、今回の岡村本の主張と同様、「個人」を抽象名詞としての「個人」として捉えていたようであり(議事要旨ではなく、議事録(発言のままの記録)の方を見るとその様子がより鮮明にわかる。)、その場合にはたしかに「当該」が指す先行詞とならないわけであるが、ここの「個人」は具体的な「ある個人」のことであるから、「先行詞がない」との指摘は当たらないものだった(修正の必要はなかった)と言うべきだろう。そのことは、昭和63年法立案時に参考にした英国法の「...... information which relates to a living individual who can be identified ......」の英語で思考すれば、明白である。余談になるが、こうした誤解を是正することなく立法したのが平成15年法であり、放置された小さなズレが積み重なって、本来の趣旨から捻じ曲げられて行った結果、現在の個人情報保護法制は迷走しているのである。私の活動の狙いは、失われた元の趣旨に戻すことにある。