宇賀先生の大著「個人情報保護法の逐条解説」(有斐閣)の第5版が11月に出版され、その中で拙稿(ビジネス法務16巻11号の特集「改正 個人情報保護法への最新対応」中の「改正はデータ利活用を促進するか――匿名加工情報の制度概要と匿名加工基準の規則案」)についても参照して頂いている*1と聞き、早速読ませて頂いた。すると、参照して頂いた部分とは別に、いくつか重要な第4版からの変更点が見つかった。また、法改正に伴って加筆された匿名加工情報関係のところにも、重要な論点となる部分があったので、これらについて私の考えをここに書いておく*2ことにする。
2条1項の「当該情報に含まれる氏名、生年月日その他の記述等……により特定の個人を識別することができるもの」の解説部分(38頁)に、なんと、以下のように加筆された。
個人を識別できるとは、誰か1人の情報であることが分かることを意味し、特定の個人を識別できるとは、識別される個人が誰か分かることを意味する。特定を要件としているのは、名寄せが容易であり、個人との結びつきが明確であるため、その取扱いによっては本人の権利利益を侵害するおそれがあるからである。特定個人識別性の判断主体は事業者であるが、一般人の判断力・理解力により、当該情報を特定の個人に結びつけることが可能か否かが判断基準となる。個人識別情報を広く対象としており、要配慮個人情報(2条3項)のみを対象とするものではない。特定個人識別性のない情報であっても、知的所有権に係る情報のように、(略、以下変更なし)
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 38頁
この部分は、これまでの第4版では以下のように書かれていた。
個人識別情報を広く対象としており、センシティブ情報のみを対象とするものではない。「氏名、生年月日その他の記述等」の「その他の記述等」とは、電話番号、会員番号等の番号も含まれる。また、映像、声、指紋、筆跡等により、本人を識別しうる場合も、「その他の記述等」に含まれる。個人識別性のない情報であっても、知的所有権に係る情報のように、(略、以下変更なし)
宇賀克也, 個人情報保護法の逐条解説《第4版》, 有斐閣, 28頁
このように、第4版までは「個人識別性」の語で書かれていたところが、第5版では「特定個人識別性」に書き換えられている。そして「識別非特定情報」の語も、後ろのページで以下のように使われている。
特定の匿名加工情報を容易に検索することができることが要件になっているので、識別性は存在するが、匿名加工情報であるので特定性はないいことになり、識別非特定情報を事業の用に供する者になる。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 77頁
これにはやや驚いた。「特定」と「識別」の区別は、正式な政府見解には至っていないと理解している。国会でもこの概念を用いた答弁はなかったと記憶している。宇賀先生は、パーソナルデータ検討会の技術検討WG報告書(2013年12月)が示した概念を採用されたようだ。
実は、私は、政府はこのような見解を公式にとるべきではないと考えている。私自身も、2013年4月の総務省のパブコメで、「特定個人識別性と不特定個人識別性を区別した上で両方を論点とするべき」とする意見*3を提出していたわけで*4、その通りになったとも言えるわけだが、3年半前に私がこのように主張したのは、世間では、個人情報保護法の「個人情報」該当性が、このような意味での「特定個人識別性」に限定されていて、「不特定個人識別性」(識別非特定情報)まで含めて捉えられてはいないという現実に直面していたからだった。一方、昭和63年法(行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律)のときの「個人情報」定義には、「特定の」の語は付されておらず、また、「個人別に付された番号、記号その他の符号により当該個人を識別できるもの」との条文もあったことから、もしかすると、最初の立法時点では、このような意味での「特定個人識別性」に限定されてはいなかったのではないか(民間部門で言う会員番号等に相当する符号も当初から含めていたのではないか)という考えもあった。
仮に昭和63年法からそうだったのだとしても、現に多くの人々がそうは考えていない状況では、これらをまず区別しなければ議論が深まらないわけで、だからこのような区別をしてきたのであり、技術検討WG報告書がこれを記した趣旨も、議論のための概念整理であって、現行法の解釈がそうだと指摘したものではなかったはずだ。だから、正式な政府見解には採用されていないし、国会答弁にも出てきていない。
法案が国会に提出される直前、個人識別符号の定義条文に、政府案にはなかった「特定」の文言が(新経済連盟の意向を汲んだ)与党提言によって挿入されたが、「特定」の文言の有無によって何が異なるのかの見解は明らかにされておらず、個人情報の範囲はこれまでと同じだという見解しか示されていない。つまり、「特定」の文言があろうがなかろうが、従前も政府解釈は「識別非特定情報」の一部を個人情報としてきた(昭和63年法の言う「個人別に付された番号、記号その他の符号により当該個人を識別できるもの」がこれに該当)という余地が残されているとも言える。
それを、こうのようにして、あたかも現行法の解釈として「特定」と「識別」が区別されていて、「特定個人識別性」のあるもののみが保護対象である*5かのように解説するのは、政府解釈と異なる可能性のある理解が広まってしまい、次の改正でEU法との整合性を図ることへの障害として作用する恐れがあると批判しておきたい。
続いて、「(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」の解説部分(39頁)に、以下の強調部が加筆された。
ある情報を他の情報と組み合わせることによって、不開示規定により守られるべき不開示情報が認識されるかを判断することをアメリカではモザイク・アプローチ(宇賀・情報公開209頁参照)、イギリスではジグソー・アプローチという。それで自体で特定の個人を識別できる場合のみならず、当該個人情報取扱事業者の内部において、他の情報と容易に照合することにより特定の個人を識別できる場合には、個人情報として保護することにより、個人の権利利益の侵害を未然に防止することとしている。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 39頁
この強調部は、第4版にはなかった記述である。平成15年法の立案担当者らによる逐条解説書にもこれに相当する記述はなかった。「当該個人情報取扱事業者の内部において、他の情報と容易に照合」と書かれたことから、いわゆる「提供元基準」が明確に言及されたことになる。
これは、昨年の法改正での国会審議で「提供元基準」が確認的に示されたところ*6であるが、それだけでなく、11月23日の日記「容易照合性が提供元基準でファイル単位なのは昭和61年からだった(パーソナルデータ温故知新 その4)」に書いたように、昭和63年法の原案を提案した行政管理局研究会のとりまとめで、「当該情報のみでは特定個人を識別できないが、当該機関が保有する他のファイル又は台帳等と照合することにより識別できるものは含む」と書かれていたことと付合するので、これでよいのだと思う。
ここで、「当該個人情報取扱事業者の内部において」照合できる場合を対象とすることが、なぜ、「個人の権利利益の侵害を未然に防止する」ことになるのかが重要であるところ、その説明はない。これについての私の考えは、「容易照合性が提供元基準でファイル単位なのは昭和61年からだった」の続きとしていずれ書く予定である。
ところで、ここの解説に、「不開示規定により守られるべき不開示情報が認識されるかを判断すること」云々が持ち出されている(これは第4版でも同じだった)ことについては、批判しなければならない。これは、情報公開法における「個人に関する情報であって……」(情報公開法5条1号)の概念について触れたものであろう。情報公開法の5条1号と個人情報保護法の個人情報は、条文こそよく似ているが、その趣旨は全く異なるものであった可能性がある(実際、「容易に」の有無の違いとして条文に現れている)にもかかわらず、その点を疑わずに同一視しているのは、容易照合性の解釈を本来趣旨から乖離させる原因となっている(どのように乖離しているかは上記の「続き」で書く予定)と私は考えるので、このような解説方法には問題があると指摘したい。
「Q14問題」とは、「パーソナルデータ保護法制の行方 その9」で書く予定だった(が未だ書いていない)もので、2月24日の日記「防衛庁情報公開請求者リスト事件は10年先行くSuica事案だった(パーソナルデータ温故知新 その2)」の「Q14問題の元凶がここに」で若干触れていた件である。
すなわち、2013年のSuica乗降履歴提供事案において、JR東日本が「個人データの提供に当たらない」とした理由の一つに、「自社内で別々のデータベースで管理しているから容易照合性がない」*7としたのに対し、少なくとも鈴木正朝先生を含む我々の見解は、一つの事業者内でそれらのデータベースが存在する以上は容易照合性があると解釈すべきというものであった。
「別々のデータベースで管理しているならば容易照合性がない」とする立場のことを「アクセス制御説」と我々は呼んでいるが、そのような解釈に立つと、個人データ保護の趣旨からして制度が根底から瓦解すると我々は考えているところ、その理由を一言で説明するのは容易でなく(「その9」を未だ書けていない)、そういう中で、宇賀本第4版に以下の記述があったことは、アクセス制御説をとる人たちにとって格好の根拠となっていて、我々にとっては障害となっていた。
本項における「容易に」のの要件をいかに解するかは解釈に委ねられることになるが、他の事業者に通常の業務では行っていない特別な照会をし、当該他の事業者において、相当な調査をして初めて回答が可能になるような場合、内部組織間でもシステムの差異のため技術的に照合が困難な場合、照合のため特別のソフトを購入してインストールする必要がある場合には、「容易に」の要件を満たさないであろう。
宇賀克也, 個人情報保護法の逐条解説《第4版》, 有斐閣, 29頁
これが、今回の第5版で、上記の強調部が削られ、以下のように変更された。
本項における「容易に」の要件をいかに解するかは解釈に委ねられることになるが、他の事業者に通常の業務では行っていない特別な照会をし、当該他の事業者において、相当な調査をして初めて回答が可能になるような場合や、照合のため特別のソフトを購入してインストールする必要がある場合には、「容易に」の要件を満たさないであろう。
宇賀克也, 個人情報保護法の逐条解説《第5版》, 有斐閣, 40頁
これにより、宇賀説は「アクセス制御説」を否定したものと考えられる。
ただ、それでもなお、「照合のため特別のソフトを購入してインストールする必要がある場合」が残っている*8点には、賛同できない。
もっともこのフレーズは、平成15年法の立案担当者らによる逐条解説書にもあった。
「他の情報と容易に照合することができ」とは、それ自体では個人識別性がない情報について、特別の調査を行なったり、特別のソフトを組み込むといった特別の費用や手間をかけることなく、すなわち、事業者において通常の業務における一般的な方法で、個人を識別する他の情報との照合が可能な状態である。これに該当しない場合としては、例えば、日常的に行われていない他の事業者への特別な紹介を要する場合、内部でもシステムが異なる等の事情により技術的に照合が困難な場合が考えられる(事業者または内部組織の間で組織的・経常的に相互に情報交換が行われれている場合等は、「容易に照合することができ」る場合に当たると考えられる。)。
園部逸夫編 個人情報保護法制研究会著, 個人情報保護法の解説《改訂版》, ぎょうせい, 2005年, 49頁
この逐条解説書は政府見解を探る上で大半は信頼に足るものであるが、唯一受け入れがたい、勇み足ではないかと疑われる記述が、この部分だった。宇賀説はこれの一部を否定したことになる。
なお、先月公表された、個人情報後委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」では、ここの解釈について、次のように説明している。
「他の情報と容易に照合することができ」るとは、事業者の実態に即して個々の事例ごとに判断されるべきであるが、通常の業務における一般的な方法で、他の情報と容易に照合することができる状態をいい、例えば、他の事業者への照会を要する場合等であって照合が困難な状態は、一般に、容易に照合することができない状態であると解される。
個人情報後委員会, 個人情報の保護に関する法律についてのガイドライン(通則編)
このようにガイドラインは、逐条解説書の解説を採用しておらず、「事業者の実態に即して個々の事例ごとに判断されるべきであるが」と一般論でお茶を濁している。これは、委員会においてもどのような解釈をとるべきか決めあぐねていて、解釈の確定を先送りしているものと私は理解している。
ここの解釈は、前記のように、提供元基準の趣旨(なぜその場合を対象とすることが本人の権利利益保護となるのかの理由)に立ち戻って整理する必要があると私は考えている。今後、誰もが納得できるような整理を示していきたい。
(中編・後編に続く)
*1 235頁で「このように、個人情報保護委員会規則では、いずれの事業者にも適用される一般的な必要最小限の加工方法を示すにとどめており(これについて、高木浩光……17頁以下参照)、具体的な加工方法は……」との文脈で参照頂いている。ただ、拙稿では「いずれの事業者にも適用される一般的な必要最小限の加工方法を示すにとどめている」と書いた記憶がない。それは個人情報保護委員会(と法改正をした内閣官房IT総合戦略室)がかねてより示していた見解であり、私がビジネス法務誌で書いたことは、匿名加工基準の委員会規則である施行規則19条をどう読むのかについてであった。おそらく、宇賀先生が参照してくださった趣旨は、施行規則19条をどう読むかについて参照せよということなのだと思う。
*2 いずれは論文や解説記事で書いていきたいが、取り急ぎ。
*3 この意見は、総務省情報流通行政局情報セキュリティ対策室による「パーソナルデータの利用・流通に関する研究会」報告書の公表とともに、「「パーソナルデータの利用・流通に関する研究会」論点整理に対する意見募集で寄せられたご意見について」として公表されており、以下の内容が掲載されている。この仮の用語の「不特定個人識別性」は当時評判がすこぶる悪く(不特定では意味がわからないと何人もの識者に言われた。)、後の技術検討WGでは「識別非特定」の語が編み出された。
平成25年4月17日
産業技術総合研究所 セキュアシステム研究部門 セキュアサービス研究グループ意見1 特定個人識別性と不特定個人識別性を区別した上で両方を論点とするべき
「論点整理」に書かれている「個人識別性」の言葉は意味が曖昧であり、二つの解釈があり得る。すなわち、個人情報保護法の「個人情報」定義が要件としている「特定の個人が識別される」場合(氏名住所等によりそれが実際に誰であるかまでが識別される場合、言い換えれば、個人が特定される場合)(以下、特定個人識別性という。)と、特定の個人は識別されない(個人は特定されない)が個人の識別は行われる(一人一人が区別・同定される)場合(以下、不特定個人識別性という。)である。後者の形態による個人に関する情報の収集・蓄積は、今日、一部の事業者により行われており、そこでは何らかの識別子を用いていわば仮名の状態で個人に関する情報が蓄積されている。
「論点整理」は、両者を明確に区別することなく「個人識別性」と表現しているため、後者を含む意味で書かれているのかが明らかでない。例えばp.2には「パーソナルデータの利活用が、プライバシー等の観点から問題となり得るのは、特定の個人と結びつきが強い場合である」との記述があるが、「特定の個人」とあることから、これは前者のみを指していて、後者を含めていないように読める。しかし、以下に示す意見2の通り、後者をも論点とするべきと考える。
したがって、まずは特定個人識別性と不特定個人識別性を区別した上で、両方についてを論点とするべきである。
*4 さらに遡ると、2010年の堀部政男情報法研究会の第3回シンポジウムで「インターネットにおけるID利用の現状とプライバシーの課題」と題して登壇させていただいたときに、「特定と識別」というスライド(5頁)を用いて、「識別して個人を特定する」と「識別するが個人を特定しない」とを対比させていた。
*5 ちなみに、「特定を要件としているのは、名寄せが容易であり、個人との結びつきが明確であるため、その取扱いによっては本人の権利利益を侵害するおそれがあるからである。」と書かれている文は、平成15年法の立案担当者らによる逐条解説書の以下の記述からの借用と思われる。
「個人に関する情報」のうち、特定の個人を識別できる情報は、コンピューター処理によって「名寄せ」が容易であることに加えて、当該情報と本人との結びつきが明確であることから、その取扱いによって本人に権利利益の侵害がもたらされる可能性がある。
園部逸夫編 個人情報保護法制研究会著, 個人情報保護法の解説《改訂版》, ぎょうせい, 2005年, 49頁
*6 国会で「提供元基準」に言及された部分として以下がある。
○政府参考人(向井治紀君) お答えいたします。
日本の個人情報の定義は、容易に照合できる、他のデータと合わせて個人が識別できるものというふうになっているところでございます。
その際に、情報を移転する際に、容易に照合するのは情報の移転元か移転先かという議論がございます。日本の場合、これは情報の移転元で容易照合性があるということで解釈が統一されておりまして、そういたしますと、一旦個人情報となりますと、その情報の一部を提供する場合でも、これは大抵の場合、提供元において容易照合性はありますので、個人情報になってしまうという、そういうことはございます。
第189回国会参議院内閣委員会第10号, 平成27年5月28日
*7 2013年7月25日付でJR東日本が発表した資料「Suicaに関するデータの社外への提供について」において、最終ページで、「情報ビジネスセンターでは、個人を特定できないデータを利用しています」、「情報ビジネスセンターと業務セクションとは厳格に分離※しています。※組織、作業環境、スタッフ(アクセス権限)、システム」として、2つのデータベース間にファイアウォールを置いている図を示していた。(2016年2月24日の日記脚注6再掲)
*8 ちなみに、今回の削除によって、この「照合のため特別のソフトを購入してインストールする」主体が誰なのかが、第4版と第5版とで違ってしまっているが、よいのだろうか。第4版では、「内部組織間でも」に続く文として読解され、インストールするのは当該事業者であったのが、第5版では、「他の事業者において」に続く文として読解され、インストールするのは他の事業者となってしまっている。