このシリーズの前編を書いたのは去年の暮れだったから、それからもう10か月になる。「中編・後編に続く」と予告していたものの、もはやその意義はだいぶ薄れてしまった。当時の予定では、中編で「匿名加工情報関係のところ」を書くつもりで、宇賀先生が匿名加工情報に係る論点(特に容易照合との関係について)をどのように書かれていて、それをどう理解したらよいかを検討する予定だった。当時としては、そこの論点に踏み込んだ文献は非常に少なく、宇賀本がそこを書けばそれが通説ということになってしまう心配があった。しかし、その直後に情報公開請求していた開示資料が届き、立案部局と内閣法制局で何があったかを直接知り、数か月かけて分析するうちに真相が見え、6月4日の日記「匿名加工情報は何でないか・後編」にそれをまとめ、さらに、7月22日の日記「匿名加工情報は何でないか・後編の2」で別の情報公開請求の開示資料からそれを裏付けることができた。今となっては、この領域の専門家の間では、開示資料を見ないと何とも言えないことが理解され、宇賀本に書かれているからということでそれが通説となるような空気は雲散霧消したようであることから、もはやこれを書く意義は薄れていた。
とはいえ、宇賀本の記述と開示資料の対応関係を確認しておくことは有意義であるし、また、匿名加工情報の他の論点(容易照合以外の)について宇賀先生独自の説がいくらか見つかるので、それらについて書いておこうと思う。
まず、宇賀先生の独自の説について。
匿名加工情報を巡る最も基礎的な論点の一つは、匿名加工情報はその定義からして統計情報までもが個人データを元に作成する限りは該当してしまうのではないかとの懸念にどう答えるかである。この懸念を最初に指摘したのは、2014年7月のセミナーのときで、この時点では、制度改正大綱が示された直後の段階で、条文はまだ存在しなかったので、大綱にある「個人の特定性を低減したデータ」との概念について示した懸念であった。それが後に、2014年11月のセミナーのパネル討論で向井審議官から、十分に低減したデータは「個人に関する情報」に当たらないとすることで解決したとする発言があり*1 、2015年12月の瓜生本にも「統計情報については「個人に関する情報」とはいえないことから」との説明が記載され、2016年11月の個人情報保護委員会のガイドライン(匿名加工情報編)でも、「統計情報は(略)法における「個人に関する情報」に該当するものではない」として整理されており、もはや解決済みの論点のはずである。
しかし、この説明に納得のいかない方は今もなおいらっしゃるようで、宇賀先生もやや納得されていないのか、以下のように、独自の説による解決を唱えて*2 おられる。
民間部門において、個人情報を加工して作成した統計情報も、形式的には匿名加工情報の定義に該当するようにも読め、これについても新たに匿名加工情報としての規制が加わるのではないかとの懸念が示されている。政府は、統計情報は「個人に関する情報」に当たらないので、個人情報にも匿名加工情報にも該当しないという立場をとり(略)、ガイドライン等でその趣旨を明確にする予定である。このように、個人情報を加工して統計情報とされたものであれば、もはや「個人に関する情報」ではないという解釈をとれば、統計情報は個人情報にも匿名加工情報にも該当しないことになり、新たに匿名加工情報に関する義務が課されるという懸念は解消されることになる。また、個人情報を加工して作成された統計情報も匿名加工情報にあたるという解釈をとったとしても、匿名加工情報取扱事業者として義務を課されるのは、匿名加工情報データベース等を事業の用に供している者に限られ、匿名加工情報データベース等は、特定の匿名加工情報を容易に検索できるように体系的に構成したものであるから、統計情報は匿名加工情報データベース等に含まれているものとはいえないことになる。したがって、統計情報を事業の用に供する場合には、匿名加工情報取扱事業者に該当せず、匿名加工情報取扱事業者の義務等の規定(本法37条〜39条)は適用されないことになる。また、個人情報取扱事業者が匿名加工情報を作成する場合に係る義務等(本法36条)も、匿名加工情報データベース等を構成するものに限られているので(同条1項かっこ書)、本法2条9項の「匿名加工情報」に統計情報が含まれうるとしても、本法4章2節の匿名加工情報取扱事業者の義務規定は統計情報にはかからないことになる(この問題について、坂下明宏=藤井啓介「改正法における統計の扱い」Business Law Journal 8巻8号〔2015年〕49頁以下参照)。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 77頁〜78頁
この段落は、一通り政府説を紹介した後、「また、」以下で、「個人情報を加工して作成された統計情報も匿名加工情報にあたるという解釈をとったとしても」として、政府説に無理があるとしても匿名加工情報取扱事業者に該当しないから結局は問題とならないということが主張されている。
だが、この理屈がおかしい。
確かに、「統計情報」というものを1個の数値(平均値など)だと限定的に捉えれば、この説は成り立つ。散在的に1個しかなければ「データベース」に該当しないからである。1個の場合に限らずとも、平均・分散・最大・最小の4個からなる1つの組についてもここで言う「データベース」に該当しない。
しかし、「統計情報」が複数の数値のリストから構成されることもあるし、むしろそれが一般的である。例えば、都道府県別に集計した平均値のリスト(47個の要素からなるデータベース)がそれである。その場合、そのような統計値のリストは、「特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの」に該当(ここでは「統計情報も匿名加工情報にあたるという解釈をとったとしても」との仮定を置いているのだから)してしまう。
このような宇賀説では、統計情報が複数の数値のリストから構成される場合には、匿名加工情報取扱事業者の義務が課されることを否定できていない。
都道府県別に集計した平均値のリストは、「特定の統計情報を電子計算機を用いて検索することができるように体系的に構成したもの」ということになる*3 のだから、「義務対象がデータベース化されたものに限られるので」という理由ではこの問題は解決しない。統計値のリストが「匿名加工情報データベース等」に該当しないのは、あくまでも、統計値が「個人に関する情報」(個票)でないからである。
引用部の最後で参照されている文献(Business Law Journal 8巻8号40頁以下)を確認してみたところ、この宇賀説のインスパイヤ元であろうか、似たことが書かれているものの、やや異なることが書かれていた。この記事は、NTTドコモ法務部の方々によって書かれたもので、モバイル空間統計を例にしつつ以下のように書かれている。
改正法2条9号の定義では、個人情報に含まれる記述等の一部や個人識別符号の全部を削除する措置(他の記述等に置き換えることを含む)を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報が匿名加工情報であるとされている。統計化においても元の情報の記述等の一部を削除するというプロセスは入るから、統計も匿名加工情報に含まれるように読める。
一方で、改正法36条では、匿名加工情報は「匿名加工情報データベース等を構成するものに限る」とされている。そして「匿名加工情報データベース等」とは「匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの」と定義されている(同法2条10項)。つまり、匿名加工情報は検索の対象となり得るものである。容易に検索できることでプライバシー侵害の可能性が高まるから規制対象となるのだとすると、規制対象として保護を図るべき情報には、不可逆ではあるが元の情報と一対一対応の関係を保っている情報(例えば「甲野太郎」という名前を「001」という数字に置き換えた情報)が該当すると思われる。これに対し、例えばモバイル空間統計では、図表1のような三段階の処理がなされている。二段目の集計処理により元の情報との一対一の関係がなくなっている。このようなものを検索してもプライバシー侵害の可能性が高いとはいえない。改正法36条の匿名加工情報には、このような集計処理を行なっている統計は含まれないと解釈すべきではないか。
坂下明宏・藤井啓介「改正法における統計の扱い」Business Law Journal 8巻8号(2015年6月)51頁
「匿名加工情報は検索の対象となり得るものである」から云々と書かれているが、モバイル空間統計も統計値のリストであるから、検索できるように体系的に構成されているはずであるところ、この記事では、宇賀説とは異なり、「統計情報は検索できるように体系的に構成していないから該当しない」とは書いておらず、「元の情報との一対一の関係がなくなっている」ことを理由としている。まさにそれが政府見解の通り「個人に関する情報」(個票)でないものになっているということであり、統計情報について「検索の対象となり得る」云々は関係のないことだろう。
ただ、この記事の意図を斟酌すれば、「検索の対象となり得る」という表記は、明記されていないものの、「個人についてを検索」という意味で書かれているのだと読解すると、腑に落ちる。モバイル空間統計は「個人についてを検索できる」ようになっていない(「元の情報との一対一の関係がなくなっている」からそうなるわけだが)わけである。ここで、「匿名加工情報データベース等」が「個人についてを検索」できるものかと言えば、匿名加工情報は「個人に関する情報」であるから、「個人に関する情報」を検索できるように体系的に構成しているということになるので、「個人についてを検索」できるものであろう。この記事の言っていることが、「個人についてを検索」できるもののみが「匿名加工情報データベース等」となり得るということであるなら、それは間違っていない*4 。
これに対し宇賀説は、そういう話をしているわけでもなく、「統計情報も匿名加工情報にあたるという解釈をとったとしても」という前提の下で、「匿名加工情報データベース等」該当性のみを検討しているため、似て非なる論となって、話の論理がおかしくなっている。
次は、小さい話で、ありがちなパターンであるが、2条9項2号の解説部分で、情報技術論的に誤った記述がある。
個人識別符号は、それ単独で特定の個人を識別できるものであることから、特定の個人を識別することができないように加工するためには、個人識別符号の全部を削除する必要がある。当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えること、例えば、個人識別符号をハッシュ化された番号に置き換えることは、不可逆性を有するため、当該個人識別符号を全部削除することと同じ意味を持つので、この方法による加工も認められる。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 76頁
ここでいう「ハッシュ」は暗号学的ハッシュ関数(一方向性関数の一種)のことであるが、一方向性関数にかけたら不可逆だと言うのは短絡的である。常にそう言えるわけではなく、この性質は、元の値の定義域が十分に広く、元の値の候補を推測できない場合に限られる点に注意が必要である。元の値が推測できたなら、それを同じハッシュにかけるとことで、ハッシュ化された符号との同一性を確かめることができてしまう。個人識別符号を匿名加工のために置き換えるというここの文脈では、それが不可能であることが重要である。
その問題を避けるため、このような用途では、鍵付きハッシュ関数を用いる(かつその鍵を秘匿する)ことが必須である。このことは、個人情報保護委員会事務局レポート「匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」(2017年2月)には書かれている(21頁)。ただ、「鍵となる秘密の文字列を付加した上でハッシュ化をすること(いわゆる鍵付きハッシュ関数の利用)が望ましい」と、「望ましい」となっていて、ヌルい記載ぶりになっている。ここは必須と書くべきところであった。
また、鍵付きハッシュ関数を用いるにしても、「全部削除することと同じ意味を持つ」というのはずいぶん乱暴だ。同じでないことは明らかであり、例えば、複数回に分けてデータ提供を行う場合に、削除せずにハッシュ値に置き換えたならば、その値を用いて前のデータと後のデータについて同一の個人の個票から作成されたデータであるか否かを受領者が判別できるのに対し、削除した場合にはそれができない。事務局レポートには、そうしたケースの問題点も書かれている。そもそも、本当に同じなのなら、削除すれば足り、わざわざ置き換える必要もない。
次に、これが元々の本題であるが、匿名加工と容易照合の関係について宇賀説はどうなっているか。まず、38条(識別行為の禁止)の「当該匿名加工情報を他の情報と照合してはならない」について次のように解説されている。
(2)「当該匿名加工情報を他の情報と照合してはならない」
匿名加工情報は、個人情報に含まれる記述等の一部を削除し(本法2条9項1号)、個人識別符号の全部を削除することにより(同項2号)、特定の個人が識別されないように加工されている。しかし、匿名加工情報は、通常人の能力等では特定の個人を識別できないように加工された情報であるが、いかなる手法によっても特定の個人を識別することができなくすることまで求められるわけではない。しかも、匿名加工情報として想定されているものは、ポイントカードの購買履歴や交通系ICカードの乗降履歴等のビッグデータであり、識別非特定情報である。かかる識別非特定情報としてのパーソナルデータを第三者に提供した場合、提供先が有する情報との照合により、特定の個人が識別されてしまう可能性は否定できない。ICTの飛躍的発展に伴い、匿名加工情報取扱事業者自身が保有する情報や、国、地方公共団体、私人等により公開されている膨大かつ多様な情報と照合して分析を行うと、それらの情報に共通に含まれる項目からパーソナルデータが集積される等して、特定の個人が識別される可能性を否定することは困難なのである。
個人データの第三者提供に当たり、本人同意が原則とされているのは、個人データが第三者に提供されると、その後、当該個人データがいかに流通し、いかに使用されるかが不透明な状態に置かれることになり、かつ、個人データは他の個人データとの結合・照合等が容易であり、第三者に提供された場合、個人の権利利益に重大な被害を及ぼすおそれがあるからであるが、匿名加工情報については、個人データではなくても、第三者提供により、同様のリスクが生ずるのである。したがって、匿名加工情報については、提供元においてモザイク・アプローチによっても特定の個人が識別されないことのみではなく、提供先において保有するまたは取得可能な情報との照合により、特定の個人が識別されないような措置が講じられる必要がある。
もっとも、匿名加工情報を提供することにより、提供先で個人情報に復元される可能性を懸念し、匿名加工情報の提供を躊躇したり、復元の可能性を根絶するほどの削除等を行い、情報としての有意性を喪失させてしまっては、匿名加工情報という範疇を設けることにより、パーソナルデータの利活用の促進を図る立法政策を実現することはできないことになる。したがって、匿名加工情報の有意性を確保しつつ、そこから特定の個人が識別されることを抑止する対策を講ずる必要がある。
匿名加工情報を提供する者にとって、匿名加工情報を受領する者がいかなる情報を保有しているかを常に予見することはできず、匿名加工情報が個人情報となるリスクを完全に排除することは不可能を強いることになる。そこで、本法では、個人情報取扱事業者は一定の加工方法を取ればよいこととし、匿名加工情報の提供を受けた匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等もしくは個人識別符号もしくは匿名加工情報を作成するための加工の方法に関する情報を取得し、または当該匿名加工情報を他の情報と照合することを禁じられている。これによって、匿名加工情報の提供を受けた匿名加工情報取扱事業者の側で匿名加工情報が個人情報とならないように法的な担保措置を講じているのである。
本条の識別禁止義務を履行するために、匿名加工情報の提供を受けた匿名加工情報取扱事業者は、自己の保有する個人情報や他の匿名加工情報と取扱いを峻別する必要があり、当該匿名加工情報にアクセスできる者を必要最小限に限定し、ファイアウォールを設定する等のシステム上の分離措置も講じておくべきであろう。このような識別禁止義務が匿名加工情報を受領した匿名加工情報取扱事業者に課されることにより、それ単体では特定の個人を識別できない匿名加工情報について、他の情報との照合等により特定の個人を識別できるようにすることも禁じられているから、モザイク・アプローチによる特定の個人の識別性もないことになり、個人情報に該当しないものとして位置付けることが可能になる。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244〜255頁
この説明は、要するに、前々回に示した、内閣法制局長官の指摘によってひっくり返る前の、ボツになった旧案についての説明資料(立案担当部局が法制局に説明するための)に基づいて書かれているようである。このことは以下の点から推察される。
第1に、冒頭で、匿名加工情報がどういうものかについて、「特定の個人が識別されないように加工されている」と説明しながら、復元できないように加工されていることについて触れていない。前回の日記の「内閣法制局長官が「復元できないように」を加えた意義とは」にまとめたように、長官がひっくり返す前の案には、匿名加工情報定義の「かつ、......復元することができないようにしたもの」との要件が存在しなかったわけであり、宇賀本のこの記述には「復元できないように」が加えられた事情が反映されていない。
第2に、「記述等の一部を削除し」とのみ書かれているのも、長官指摘後の変更を踏まえていないからだろう。前回の図9の開示資料にあるように、「復元することができないように」に対応する加工方法として列挙されている、「階級区分への変更」「特殊な属性をまとめる」「ノイズの付加」「複数者間のレコード間で値を入れ替え、並べ替え」といった加工は、「記述等の一部を削除」することでは実現できない。匿名加工情報定義に「(......により他の記述等に置き換えることを含む。)」の括弧書きがあってこそそのような加工が該当し得る*5 のだから、ここを欠かしてはいけないのであり、ここを欠かすということはそのことが踏まえられてないように見受けられる。
第3に、「匿名加工情報として想定されているものは、ポイントカードの購買履歴や交通系ICカードの乗降履歴等のビッグデータであり、識別非特定情報である」と書かれているが、これは、前々回の図14に示したように、ボツになった旧案では、「3号個人情報」(容易照合により個人情報となる部分)をそのまま匿名加工情報として提供できるとしていたわけであり、その想定で書かれているように見える。「識別非特定情報である」というのはそういうことで、仮名化しただけで匿名加工情報として扱えるという想定に沿った説明のようである。
ちなみに、匿名加工情報と「識別非特定情報」との関係については、今年2月(宇賀本の出版から3か月後)に公表された個人情報保護委員会事務局レポートにも、脚注14として以下のように記載がある。
匿名加工情報は、個人情報から作成されるものであり、特定の個人を識別することができず、かつ、元となる個人情報を復元することができない、個人に関する情報である。個人に関する情報であるということは、すなわち情報の単位としては一人ひとりに対応した情報であることが許容されるものである14。
14 パーソナルデータに関する検討会「技術検討ワーキンググループ報告書」(2013年12月)にある「非識別非特定情報」(一人ひとりが識別されない(かつ個人が特定されない)状態の情報)だけでなく、「識別非特定情報」(一人ひとりは識別されるが、個人が特定されない状態の情報)も匿名加工情報に該当する場合があると考えられる。
個人情報保護委員会事務局レポート, 匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて, 2017年2月, 11頁
事務局レポートのこの記載は勇み足だったと私は思っている。事務局レポートが言いたかったことは、一つには、匿名加工情報は「個人に関する情報」である(定義により)からそれは「個票」というデータ形態を指しているのだということだと思うが、個票であることと識別非特定情報であることとは同じことなのかが論点となる。
私の考えでは、個票は必ずしも実在する人のものとは限らないデータを含めて指す。匿名加工情報の個票は、確かに、元となる個人データの個票と1対1対応する形で作成が開始されるが、加工により内容が改変されるのだから、それはもはや元の本人のデータであるとは言えない状態になる*6 。例えば、前掲の、法制局長官の指摘によって入れることになった「ノイズの付加」「複数者間のレコード間で値を入れ替え、並べ替え」といった加工では特にそうなのだが、こうした加工を施したデータはもはや本人のデータではなくなっており、元の個人データと1対1対応はしないものとなる。私の考えでは、そのような、もはや本人のものではない、すなわち、実在しない個人の個票であっても、法文上の「個人に関する情報」に該当するとする解釈でよい*7 と考えている。そういうことが言いたいのであれば、ここで「識別非特定情報」を持ち出す必要はない。
その点、事務局レポートは「識別非特定情報も匿名加工情報に該当する場合がある」と書いているし、「情報の単位としては一人ひとりに対応した情報であることが許容されるものである」とも書いている。これをどう捉えるかだが、「一人ひとりに対応した」を、全個票(対象ファイルの全レコード)について元の個人データと1対1対応する話だと捉えると、長官指摘前のボツになった旧案のときと同じことを言っていることになってしまう。事務局レポートとしては、常にそうなのではなく、そういう加工方法も「許容される」と言いたいのであろうが、それでは「もたない」としたのが長官指摘であり、長官指摘による変更を踏まえれば、成立した法の解釈から逸脱するのではないか。しかし、これを「全個票について」ではなく、一部の個票(対象ファイル中の一部のレコード)について元の個人データと対応する話(この場合は「1対1対応」とは言わない)だと捉えると、私の意見(現在の)と一致する。つまり、匿名加工情報に加工された個票のうちのごく一部が(例えば、100万のうちの1000が)、同じ内容の個票が元のファイルに1つしか存在しない性質のものである場合について、「許容されるものである」と言っているのであれば、私は首肯する*8 。幸い、事務局レポートのこの記載は、そういう意味だと解釈できる余地が残っていると思う。「一人ひとりに対応した」との表現は、必ずしも全単射を意味するわけではない曖昧な日本語表現だということでよい。
では、事務局レポート脚注14の「識別非特定情報も匿名加工情報に該当する場合がある」というのはどういうことなのか。上記のように一部の個票のみが元の個人データと対応する性質のファイルについて、それを「識別非特定情報」と呼ぶのか?という疑問がある。結局、そこは「識別非特定情報」なる概念をどう定義するかしだいであるけれども、私の意見としては、「識別非特定情報」は、取り扱う事業者が一人ひとりを識別するつもりで取り扱っているファイル(を構成する各要素)のみが該当するように定義するのが有意義*9 と考えているので、その立場からは、匿名加工情報に加工した個票は「事業者が一人ひとりを識別するつもりで取り扱う」ものではないから、全ての匿名加工情報は「識別非特定情報」に該当しないと言うべきだと考えている。その立場からすると、事務局レポートのこの脚注は、「識別非特定情報」の用法から外れたおかしな記述だということになる。他方、この立場とは異なり、単に個票の形態(個票のリストで構成されたファイル)の全てを「識別非特定情報」と言うとする定義をとるならば、匿名加工情報の全ては識別非特定情報ということになろう。しかし、事務局レポートは、「識別非特定情報も匿名加工情報に該当する場合がある」としか言っていないので、そのどちらでもないことになる。おそらくは、元データと対応する個票についてだけ「識別非特定情報」と言うとする定義が想定されているのだと思われるが、そのような概念定義は技術検討WGが「識別非特定情報」概念を用意した趣旨とは異なるもの*10 だろうから、やはりこの記述はおかしい。
これに対して、宇賀本の記述「匿名加工情報として想定されているものは識別非特定情報である」は、どういう意味なのか。事務局レポートのように「場合がある」とは書かれていないし、ファイル中の個々の要素の該当性を言っているようには見えない。実は、別の節で次のように書かれており、宇賀説では、匿名加工情報は常に「識別非特定情報」であるということになっている。しかもその理由が、「特定の匿名加工情報を容易に検索することができる」ようになっているからだという。
匿名加工情報取扱事業者とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(匿名加工情報データベース等)を事業の用に供しているものをいう。特定の匿名加工情報を容易に検索することができることが要件になっているので、識別性は存在するが、匿名加工情報であるので特定性はないことになり、識別非特定情報を事業の用に供する者になる。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 77頁
このような見解は、他では誰も言っていないものだと思う。
たしかに、「識別非特定情報」とは何かというときに、私もかつて言っていたことだが、散在情報を含めず、「個人に関する情報」が一列に並べられたものだと説明されることがあったし、「検索できるように体系的に構成されたもの」とは、脚注3に書いたように「一列に並べられたリスト」という程度の意味なので、これらを付き合わせると、このような理屈が出てくるのもわからなくもない。
しかし、改めて確認すると、技術検討WGでの「識別非特定情報」定義では、「それが誰か一人の情報であることが分かるが、その一人が誰であるかまでは分からない情報」となっていたのであり、この「誰か一人」というのは、明記されてはいなかったが、実在する個人を当然の前提としていたのだと思う。つまり、匿名加工情報のような、加工によってもはや実在する個人についてのものとは言えなくなったデータについては、「識別非特定情報」に該当しないもの、というか、そもそもこのような区分で整理する対象外だったと言うべきだろう。
宇賀説は、そのような実在しない個人に関する情報を想定しないで「識別非特定情報」の語を拡大して用いているだけという、単なる用語法上の齟齬があるという話*11 である可能性もあるが、そうではなく、実在する個人を対象としたつもりで「識別非特定情報」の語を用いているならば、やはり前記のように、法制局長官指摘によってボツになった「3号個人情報」を匿名加工情報と同一視しているということになる。
次に、第4の理由は、宇賀本の前掲引用部分の記述は、前々回の図3に示した説明文書と、文章構造が酷似しており、ボツになった旧案の説明に沿って書かれたものと推察されることである。
その説明文書の記述(左)と宇賀本の記述(右)とを以下のように並べて対比させると、元の文章があって書かれたものであることがわかる。
匿名加工データは、氏名等データに含まれる項目の全部又は一部に削除等の加工を施すことでデータ又はデータセット単体では特定の個人を識別できないものとすることに加えて、法第2条第1項第2号「個人識別情報」及び〔広く一般に流通している個人データの項目〕を削除することで、他の情報と組み合わせた場合においても、特定の個人が識別されることの蓋然性を減じたものである。
しかしながら、上記のような加工を施したとしても、情報通信技術の発展に伴い、当該匿名加工データを取り扱う者自身が保有するデータや、私人や行政等主体を問わず公開されている大量かつ多種多様な情報と突合させて分析することにより、これらの情報に含まれる共通の項目から個人に関する情報が集積又は個人情報と直接結びつくことによって、特定の個人を識別することができる状態若しくは、個人識別情報が結びつき、個人の特定に結びつくおそれが高い状態となる可能性を否定することができなくなっている。
法律案審議録より、2014年9月22日付(推定)「匿名加工データ(仮)(第2条第7項関係)」「特定等の禁止(第34条関係)」
匿名加工情報は、個人情報に含まれる記述等の一部を削除し(本法2条9項1号)、個人識別符号の全部を削除することにより(同項2号)、特定の個人が識別されないように加工されている。しかし、匿名加工情報は、通常人の能力等では特定の個人を識別できないように加工された情報であるが、いかなる手法によっても特定の個人を識別することができなくすることまで求められるわけではない。しかも、匿名加工情報として想定されているものは、ポイントカードの購買履歴や交通系ICカードの乗降履歴等のビッグデータであり、識別非特定情報である。かかる識別非特定情報としてのパーソナルデータを第三者に提供した場合、提供先が有する情報との照合により、特定の個人が識別されてしまう可能性は否定できない。ICTの飛躍的発展に伴い、匿名加工情報取扱事業者自身が保有する情報や、国、地方公共団体、私人等により公開されている膨大かつ多様な情報と照合して分析を行うと、それらの情報に共通に含まれる項目からパーソナルデータが集積される等して、特定の個人が識別される可能性を否定することは困難なのである。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244頁〜245頁
このように、それぞれの色の部分が同じ内容を述べている。
続く部分は、2つの段落が逆順になっているが、同じ内容のことが書かれている。以下は宇賀本の方の順序を逆にして並べたものである。
このように、ある事業者が匿名加工データを提供した場合に、当該データが提供先において「個人情報」に復元される蓋然性を否定できないために、事業者がレピュテーション・リスクを恐れ、データの流通に躊躇することや、あらかじめデータに含まれる項目を削除、置換することで有意さを欠く形に加工してしまっては、新たなイノベーションや新ビジネスの創出を企図する本改正の趣旨を全うできない。そこで、有意な情報を利活用し得ることとするため、匿名加工データの有意性を確保しつつも、個人の権利利益侵害を未然に防止するための規律が求められる。
法律案審議録より、2014年9月22日付(推定)「匿名加工データ(仮)(第2条第7項関係)」「特定等の禁止(第34条関係)」
もっとも、匿名加工情報を提供することにより、提供先で個人情報に復元される可能性を懸念し、匿名加工情報の提供を躊躇したり、復元の可能性を根絶するほどの削除等を行い、情報としての有意性を喪失させてしまっては、匿名加工情報という範疇を設けることにより、パーソナルデータの利活用の促進を図る立法政策を実現することはできないことになる。したがって、匿名加工情報の有意性を確保しつつ、そこから特定の個人が識別されることを抑止する対策を講ずる必要がある。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244頁〜245頁
本法が個人情報について同意を含む本人の関与を求める趣旨は、本人が関与することを通じて本人の意図する情報の取扱いを求めることによって本人の権利利益の侵害を防止することにある。特定の個人を識別していない状態のデータは、その取扱いによって個人の権利利益を侵害する蓋然性は低いものである一方、有意性を残したデータは、特定の個人を識別するリスクが残り得るものである。そこで、本人関与に代えて同人の権利利益の侵害を防止するための匿名加工データの定義と取扱いの規律が必要であるところ、有意性とリスクとのバランスを勘案して法第2条第7項(新設)「匿名加工データ」に該当する形とすれば個人データを同意なく第三者へ提供することを可能とするものである。
法律案審議録より、2014年9月22日付(推定)「匿名加工データ(仮)(第2条第7項関係)」「特定等の禁止(第34条関係)」
個人データの第三者提供に当たり、本人同意が原則とされているのは、個人データが第三者に提供されると、その後、当該個人データがいかに流通し、いかに使用されるかが不透明な状態に置かれることになり、かつ、個人データは他の個人データとの結合・照合等が容易であり、第三者に提供された場合、個人の権利利益に重大な被害を及ぼすおそれがあるからであるが、匿名加工情報については、個人データではなくても、第三者提供により、同様のリスクが生ずるのである。したがって、匿名加工情報については、提供元においてモザイク・アプローチによっても特定の個人が識別されないことのみではなく、提供先において保有するまたは取得可能な情報との照合により、特定の個人が識別されないような措置が講じられる必要がある。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244頁〜245頁
次の1段落を飛ばすと、その次の段落も以下のように揃っている。
そして、本条が禁止する状態に匿名加工データがなることを防止するためには、例えば、自らが保有する個人情報と混同した取扱いがなされないよう、アクセスクリアランスを設定するなどの規定を含む自社規約を定めることにより情報の取扱いを限定すること(組織的分離措置)や、ファイアウォールを設けること(技術的分離措置)を施すなどの取り組みが望ましい。
なお、匿名加工データが受領者において法第2条第1項「個人情報」、同条第4項「個人データ」及び同条第5項「保有個人データ」に該当するか否かは、匿名加工データが単体で特定の個人を識別することができないものであること及び本条により匿名加工データを受領した者において当該匿名加工データにつき特定の個人を識別することができる状態とすることが禁止されることから、当該受領者において「他の情報と容易に照合することによって特定の個人を識別することができる(法第2条第1項かっこ書き)」とはいえず、これらの該当性はない。
法律案審議録より、2014年9月22日付(推定)「匿名加工データ(仮)(第2条第7項関係)」「特定等の禁止(第34条関係)」
本条の識別禁止義務を履行するために、匿名加工情報の提供を受けた匿名加工情報取扱事業者は、自己の保有する個人情報や他の匿名加工情報と取扱いを峻別する必要があり、当該匿名加工情報にアクセスできる者を必要最小限に限定し、ファイアウォールを設定する等のシステム上の分離措置も講じておくべきであろう。このような識別禁止義務が匿名加工情報を受領した匿名加工情報取扱事業者に課されることにより、それ単体では特定の個人を識別できない匿名加工情報について、他の情報との照合等により特定の個人を識別できるようにすることも禁じられているから、モザイク・アプローチによる特定の個人の識別性もないことになり、個人情報に該当しないものとして位置付けることが可能になる。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244頁〜245頁
飛ばした1段落については、同じ文書の前のページの以下の部分と似ている。
2(1) 1から3の各リスクに対応する2(2)の方法は、提供先の事情を考慮することが求められ、社会に存在するすべての事情を基礎として匿名加工データを作成する者に特定リスクを予見し、これを減じなければ対応できないものである。しかしそのような対応を求めることは不可能を強いることと同義であるから、匿名加工データの作成者と受領者との間で、各リスクを公平に配分し、減じることが肝要である。そこで、匿名加工データとは、個人データに対し、当該個人データに含まれる氏名、生年月日その他の記述等の全部又は一部を削除する等の加工を施すことにより、特定の個人を識別することができないようにし、かつ、当該個人データに含まれる個人識別情報その他〔広く一般に流通している個人データの項目〕の全部を削除したものをいうこととする。併せて受領者(第二次取得者以降を含む。)に特定の個人を識別する等を禁止する、特定等禁止義務(後掲)を課すこととする。これにより、匿名加工データの作成者に求められる加工の要件が明確となり、他方、受領者にとっても最低限の法定要件を具備したデータを受領していることが担保され、かつ受領者において特にリスク3に対応することとなる特定等禁止義務が課されることから、特定の個人を識別するリスクを両者で減じることとなるものである。
法律案審議録より、2014年9月22日付(推定)「匿名加工データ(仮)(第2条第7項関係)」「I 改正の背景・経緯」
匿名加工情報を提供する者にとって、匿名加工情報を受領する者がいかなる情報を保有しているかを常に予見することはできず、匿名加工情報が個人情報となるリスクを完全に排除することは不可能を強いることになる。そこで、本法では、個人情報取扱事業者は一定の加工方法を取ればよいこととし、匿名加工情報の提供を受けた匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等もしくは個人識別符号もしくは匿名加工情報を作成するための加工の方法に関する情報を取得し、または当該匿名加工情報を他の情報と照合することを禁じられている。これによって、匿名加工情報の提供を受けた匿名加工情報取扱事業者の側で匿名加工情報が個人情報とならないように法的な担保措置を講じているのである。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244頁〜245頁
宇賀先生の逐条解説が、正確な解説書として信頼されてきたのは、政府見解に忠実に書かれてきたからであり、政府の内部文書に基づいて書かれてきた*12 からなのだろう。しかし、今回は、内閣法制局の予備審査の途中で案が大幅に変更されるというイレギュラーな展開であったことから、情報公開請求して出てくる内部文書には、旧案についての破棄されたはずの説明も混じっていたわけであり、宇賀先生はそれに気づかず、破棄された説明に従って解説書を書かれてしまわれたということになろう。この解説がそのまま信頼されていくことになるとすれば問題だと思う。
そして次に、宇賀本の別のページでも、36条5項の解説部分で、以下のように書かれているのだが、これも、前々回の図12に示した、2014年11月13日時点(長官指摘前)の法制局第二部長向けの説明文書をベースに書かれているようである。
ア 個人情報に措置を講じて匿名加工情報を得た事業者について
措置を講じた事業者は、匿名加工情報の元となった個人情報を引き続き保持し、かつ措置方法を有していることが通常である。また、システム上両データの連結性が認められる、両データへアクセス可能な人間が複数存在する等の事情が存在するとすれば、匿名加工情報と元となった個人情報は容易に照合することができる状態にあると言える。
しかしながら、改正法においては、復元行為等を禁止し、匿名加工情報を元のデータに復元すること、記述等を加えて新たな個人情報とすること及び個人情報を含む他の情報と照合することにより特定の個人を識別することができる場合の照合行為を禁止している。
容易照合性の判断は、同事業者の規模、技術的措置、組織的措置等その他具体的な事情を元に総合的に判断する法的評価である。同判断の基礎とされる組織的措置につき、社内規約によって照合を制限するのみでは容易照合性を否定しないと解釈する理由は、同規約による制限に反して照合が行われ得た場合、内規による処罰はあり得ても個人情報保護法においては何ら罰則等が規定されているものでは無く、照合禁止が実質的に担保されるもので無いことにある。対して、改正案は復元行為等の禁止という法的義務を課し照合を禁ずるものであり、当該義務違反に対しては、個人情報保護委員会による執行等が担保され、現行法下の状況とは異なることとなる。このように法的担保によって個人情報等との照合が禁止されているのであるから、容易に照合可能な状態にあるとは言えず、解釈上個人情報に該当しない。
法律案審議録より、2014年11月13日付「個人情報と匿名加工情報(仮称)における容易照合性の考え方について」
匿名加工情報は特定の個人を識別できないように個人情報を加工して作成されたものであるから、作成元の個人情報取扱事業者においては、削除等の加工が行われる前の情報を保有しており(法38条の場合と異なり、匿名加工情報を作成した個人情報取扱事業者は、個人情報から削除された記述等や加工方法を保有することを禁止されていない)、単に社内規定で両者の照合を禁止する程度では、容易照合性を否定するには十分とは考えられない。作成の元データと容易に照合可能な状態にあれば、作成事業者が主観的には「匿名加工情報」に加工したと考えたとしても、それは個人情報に該当し、また、当該個人情報は個人情報データベース等に含まれるので、個人データに該当することになり、個人情報取扱事業者は個人データに係る義務を負うことになる(略)。たとえば、個人情報取扱事業者が個人情報を加工して当該情報自体からは特定の個人を識別できないようにしたとしても、加工元の個人情報と加工後の情報に共通のIDが付されており、両者を連結して利用する場合もあるのであれば、それは個人情報に該当することになる。したがって、匿名加工情報が個人情報に該当しないといえるためには、匿名加工情報を作成した個人情報取扱事業者において、容易照合性が否定されることが必要になる。そこで、本法では、個人情報取扱事業者が、匿名加工情報を作成して自ら匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた本人を識別するために、当該匿名加工情報と他の情報と照合することを禁止している。このように容易照合禁止義務が法的に課されているため、匿名加工情報を作成した個人情報取扱事業者において、当該匿名加工情報がモザイク・アプローチの下でも個人情報には該当しないことが法的に担保されることになる。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 244頁〜245頁
ここに書かれていることは、前々回の冒頭「問題の所在」で確認した、A説(非個人情報でない限り匿名加工情報となり得ない)なのか、それとも、B説(匿名加工情報に加工すれば(照合禁止義務があるので)非個人情報ということになる)なのかとの論点について、B説の立場を鮮明にしている。
つまり、宇賀説はB説ということになるが、といっても、破棄された旧案の説明を単になぞったもののようであり、A説対B説の対比の下での検討が行われているわけではないので、そのように意識して書かれたものではないのかもしれない。
なお、長官指摘によってひっくり返った変更後の案についての説明では、必ずしもB説の立場というわけではなく、A説として整理できそうだということは、前回までに書いた。
前掲の宇賀本の記述では、「復元の可能性を根絶するほどの削除等を行い、情報としての有意性を喪失させてしまっては、匿名加工情報という範疇を設けることにより、パーソナルデータの利活用の促進を図る立法政策を実現することはできないことになる。」と書かれているが、法制局長官の指摘は「出すところで復元できない様に」せよというものだった*13 。復元の可能性を根絶すると有意性を喪失すると言うが、匿名加工情報は結局は最終的に統計量に集計して利活用するのだから、復元できないように加工(これは削除に限られるものではない)したものだって利活用の道はあるというのが、利活用現場のデータサイエンティストらから昨今聞こえてくるし、前々回の図17に示した長官指摘後に再整理された説明文書では、変更後の案では規制緩和にならないことを受け止めた上で、規制緩和でなくても「制度が明瞭で利活用に躊躇しないもの」とすることに意義があるのだと整理されたようであり、そのことを宇賀本は踏まえていない。
*1 このことについて、2016年2月5日の日記「匿名加工情報は何でないか・前編の2」の「十分に低減する加工をしたものは匿名加工情報に当たらない」で触れたが、このときは、この向井発言を受けて、「そこでやや疑問に思ったのは、「個人に関する情報」とは何だろうかという点である。当時その時点までの私の理解では、「個人に関する情報」は一人ひとりの情報を指す(すなわち、識別非特定情報と識別特定情報を指す)ものと理解していたが、どうやらそうとは限らないようだった。数人の個人についての情報であっても「個人に関する情報」ということらしい。いまいち納得しがたいが、(略)」と書いていた。これを今になって振り返ると、次のように言える。この発言を聞く前の時点で、私は「識別非特定情報」と「個人に関する情報」とを同一視(識別特定情報を除いて)していた。つまり、「識別非特定情報」であれば「個人に関する情報」であるし、「個人に関する情報」であれば「識別非特定情報」(又は識別特定情報)となると捉えていた。ところが、記憶が不確かだが、このときのパネルで私は向井審議官に「一人ひとりの情報を指すのか?」というような質問をしたのであろうか、それに対する返事として「数人の個人についての情報であっても「個人に関する情報」ということ」という回答があったようで(もはや覚えていないのだが)、それでこのときの日記(2016年2月)ではこのように書いたわけだ。今思えば、2014年11月時点では向井審議官も整理しきれていなかったが故のブレた発言だったのであろうか。現在では、「個人に関する情報」とはある一人の個人についての記録のことであるとの解釈で落ち着いていると思う。私としては、その後、「識別非特定情報」の概念をこういう文脈で持ち出すのは混乱が生じると感じていたところ、こういうときは「個票」と呼べばよいのだという理解に至り(勉強会での山本隆一先生の発言を耳にして以来その理解に至った)、2016年7月のセミナー以降では、以下の図のように、個票の形でなければ「個人に関する情報」ではなく、匿名加工情報でもないということになると、そういう説明方法をとるようになった。
*2 同様の見解が、宇賀克也「個人情報の保護と利用 ——ポジティブ・サムを目指した改革の意義と課題——」法律時報88巻1号(2015年12月)72頁に、「匿名加工情報データベース等を構成する匿名加工情報のみを対象としているので(36条1項)、匿名加工情報を容易に検索することができるように体系的に構成されていない統計情報については、同法4章2節の規定の適用はないと解することが可能なように思われる。」として書かれており、また、宇賀克也・藤原静雄・山本和徳「《鼎談》個人情報保護法改正の意義と課題」行政法研究13号(2016年4月)12頁にも、「統計情報は匿名加工情報データベース等を構成するものに含まれず、匿名加工情報に係る義務は生じないと解することができるように思われます。」と書かれており、宇賀説として次第に確立していった様子が窺える。
*3 もっとも、そもそも「特定の〇〇を電子計算機を用いて検索することができるように体系的に構成したもの」とはいったい何のことか?という疑問があって然るべきである。「個人情報データベース等」の定義に昔からあった「特定の個人情報を電子計算機を用いて検索することができるように」とは、有り体に言えば「誰それの個人データレコードを取り出せるようになっている」ことを言うわけだが、これが、「特定の匿名加工情報を電子計算機を用いて検索することができるように......」となると、いささか謎である。匿名加工情報は無記名の個票であり、何を手掛かりに「検索する」のであろうか。個票に何かしらの番号(究極的には行番号のみがある)が振られてはいるだろうが、それを使って検索するなどということは用途としてあり得るのだろうか。この疑問については、別の重要な論点に拡大するので別の機会に再び書くことにしたいが、結局、今改正で2条10項に新たに書かれたこの「......検索できるように体系的に構成したもの」というフレーズは「一列に並べられたリスト」という程度の意味で使われてしまっている。そんな条文でいいのか?という疑問があって然るべきところ、私の立場では(「法とコンピュータ」No.34で書いた主張を裏付けるためには)、むしろそのような解釈が定着することは好都合なので、これは歓迎している。
*4 そのわりには、最後の部分で「このようなものを検索しても」とあるのは統計値を検索することを指しており、一貫していないのだが。
*5 ただし、2条9項柱書きの「復元することができないように」と、2条9項各号の措置との関係については、2つの説があり得る。A説は、各号の措置を講じることが、「特定の個人を識別することができないように」することと「復元することができないように」することの両方に掛かっていると解釈するもので、私もてっきりそうだと思い込んでいたが、B説は、各号の措置を講じることは「特定の個人を識別することができないように」することについてだけで、「復元することができないように」は各号の措置とは関係なく求めているとする解釈である。前回の日記では、このことについて以下のように、B説の方が自然だと書いていたが、どちらも一理あり、はっきりしない。このことについてはまた別途書こうと思う。
確かに、2条9項柱書きの「次の各号に掲げる...区分に応じて...各号に定める措置を講じて」の文が、「特定の個人を識別することができないようにし」のみに係っていているのか、「かつ、...復元することができないようにし」にも係っているのかが、どちらともとれそうだが、前者の解釈の方が自然のようにも思える。
*6 というより、そのレベルまで加工するべきという方が先なのだが。
*7 匿名加工情報の定義が、「個人に関する情報であって......」となっていて、「生存する個人に関する情報であって」となってはいないのは、死者を含めるとの趣旨ではなく、このように、実在する個人に限らないことを想定してのものだと理解できる。(元々「生存する」を頭に付けない「個人に関する情報」は、死者を含むという意味だけでなく、このように、実在する個人から切り離された架空の個人についての個票の場合をも指すものなのだと考える。)
*8 これは、かつて、k-匿名性の指標を用いて、全列QIとしてk≧2としたとき非個人情報となるとした見解(2014年4月23日の日記の「k-匿名性の法的位置付け」参照)より、非個人情報化要件が緩和されている。ごく一部であっても「同じ内容のレコードが元のファイルに1つしか存在しない」ならば、この指標ではk=1となってしまうのであったのに対して。これについては、「匿名加工情報は何でないか・後編の3」で書く予定。
*9 そもそもこの用語は、法改正の検討のための整理用の概念に過ぎないので、目的的に定義する用語である。
*10 技術検討WGの定義では、個票のリストというファイル単位で「識別非特定情報」と評価されるものであって、その個々の要素ごとに該当するか否かが決まるという性質の概念ではなかったと思う。
*11 なお、「識別非特定情報」の概念を安易に使うことの問題点については、本シリーズの前編でも、「識別と特定が区分された」において批判したところである。
*12 情報公開請求で得られた開示文書を元にして書いているのなら、その事実を明らかにしたらよいだろう。前々回の図22に示したように、一昨年の二弁本においても、旧案の説明文書を元に解説してしまっていたわけだが、二弁本が立派なのは、ちゃんと情報公開請求により開示された資料を元に書いていることを明らかにしていたし、それぞれの解説の根拠となる開示資料がどれなのかを明記していた。そのため、その資料が正しい限りにおいて正しい解説となることは示されていたわけである。引用においては当然の出典明記であろうと思うし、引用でないのだとしても、そもそも学術研究は根拠を明らかにするのが必然的に要されるはずなのだが、法学の世界は別なのだろうか。あるいは逐条解説書は学術研究ではないのかもしれないが。
*13 法制局長官がひっくり返す前の旧案では、受領者に対する禁止義務は、復元することの禁止であった(2017年1月8日の日記の図2参照)が、変更された後(つまり成立した法)では、復元を禁止するとは規定されていない。これは、復元はそもそもできないように加工されているという前提があると考えられる。