2014年11月12日
■ 行政機関法にはグレーゾーンがないですって?(パーソナルデータ保護法制の行方 その11)
この7月から、行政管理局の情報公開・個人情報保護推進室が﹁行政機関等が保有するパーソナルデータに関する研究会﹂を開いている。これは、IT総合戦略本部のパーソナルデータ制度改正大綱で、﹁行政機関及び独立行政法人等が保有するパーソナルデータ﹂について﹁調査・検討を行う﹂とされたことに対応するもので、大きく分けて以下の3点を検討するものとして始まった。
2.検討事項
(1) 行政機関等が保有するパーソナルデータの特質を踏まえた、利活用可能となり得るデータの範囲、類型化及び取扱いの在り方
(2) 行政機関等が保有するパーソナルデータの特質を踏まえた、保護対象の明確化及び取扱いの在り方
(3) (1)及び(2)に関する調査・検討等を踏まえた、総務大臣の権限・機能等と第三者機関の関係
行政機関等が保有するパーソナルデータに関する研究会開催要領, 行政機関等が保有するパーソナルデータに関する研究会︵第1回︶ 資料1
これらは要するに、(1)は、IT総合戦略本部のパーソナルデータ検討会で﹁個人特定性低減データ﹂の利活用として検討されたものを、行政機関の保有する個人情報についても認めるべきか、また、それに伴って﹁行政機関の保有する個人情報の保護に関する法律﹂︵行政機関法︶の改正を必要とするのかの論点であり、(2)は、IT総合戦略本部の検討会で﹁準個人情報﹂として検討された保護の対象情報を拡張する件を、行政機関法でどうするかという論点である。
私の関心は(2)にあるところ、大綱で﹁準個人情報﹂は採用されず﹁身体的特性に関するもの等﹂と曖昧な記載*1となったことから、この段階で行政機関法について検討しても結論の出しようがないのではないかと予想した。ところが、第5回の研究会から予想外の展開となった。
行政管理局の研究会が示した独自解釈
第5回の議事要旨から拾うと、まず前半で次の展開があった。 ︵讃岐官房審議官︶︵略︶それでは資料5でございます。これまでの議論を整理し、このようなことについてどう考えたらいいのかという大枠をまとめてみました。 ︵略︶ 12ページ、13ページでございますけれども、同じく卓上資料の146ページの定義、第2条の規定でございます。民間の個人情報保護法では、個人情報の定義として、﹁他の情報と容易に照合することができ﹂、とございます。行政機関個人情報保護法では、この﹁容易に﹂という言葉が落ちて、﹁他の情報と照合することができ﹂、と、広い範囲になってございます。これは元々﹁容易に﹂という言葉が行政機関法でもあったのですけれども、平成15年改正の際に、個人の権利利益を保護するという観点からこれを落としたということでございます。 仮に、個人特定性低減データを考える場合に、この容易照合性との関係をどう考えるのか、民間では﹁容易に﹂という言葉がありますけれども、行政機関では、一定の経緯を踏まえて権利利益の保護を図るということから﹁容易に﹂という言葉を落として、低減の可能性があるものは基本的にはすべて個人情報だと、このように厳格にしているということとの関係をどうするのか。仮にこのような厳格な定義のまま、個人特定性低減データを導入する場合、個人特定性低減データというものは法的にどのように位置付けるのか。何らかの例外規定、あるいは目的外利用のような延長線上なのか、あるいは松村構成員からありましたように、情報公開法との関係をどのように考えるのか、ということについてどう考えたらいいのか。 ︵略︶ 以上、前半のパーツについての論点全体、その他説明ということでございます。 ︵藤原座長︶ ありがとうございました。後半のパーツが残っていますけれども、まずはきちんと前半のパーツだけでも構成員の皆様方から深い議論をいただきたいと思うところでございます。 ︵略︶ ︵藤原座長︶ほかにいかがでしょうか。よろしければ順番として、先ほど讃岐審議官のご説明の中で、条文との具体的な対照性等もお示しいただいたのですけれども、そろそろ、ほぼ一致するところ、それから今後検討すべきところ等は整理しておいたほうがいいと個人的に思っております。 例えば行個法の、行政機関の定義の容易照合性という議論があったと思います。これまでのご議論ですと、そこのところの定義は変えるべきではないというご議論が多かったと思うのですけれども、まずはその辺りからいかがでしょうか。そこはいかがでしょうか。 ここのところはご意見が大体一致しているということでよろしいですか。 行政機関等が保有するパーソナルデータに関する研究会 第5回︵平成26年9月29日︶議事要旨 ここで、行政機関法の個人情報定義︵﹁他の情報と照合することができ﹂の部分︶を変更することはしない︵民間部門のように﹁容易に﹂の入ったものに変更したりはしない︶ことで合意される。そのことは順当なものであり、何ら異論ない。 問題は続く後半で、事務局から次のように説明された。 ︵讃岐官房審議官︶ それでは17ページからということでございます。保護対象その他ということでございます。 一方で利活用を言うとともに、保護のところをしっかりと押さえないといけないというのが大綱の考え方です。それについて、行政機関の保有する個人情報についてはどう考えたらいいかということでございます。 保護についての1つ目について、機微情報、もう1つは身体的特性等に関する情報等、いわゆるグレーゾーンという、指紋とか顔データとかその他さまざまなデータについて、どのように整理するのかという、そういうことが議論になっていたということだと思います。17ページはその全体を整理したものでございます。 ︵略︶ 2つ目ですけれども、いわゆるそのグレーゾーンについてということですが、民間部門におきましては、先ほど申し上げた、容易に照合することができるということが定義になっていて、行政機関においてはその定義がかなり厳しいということで、﹁容易に﹂という言葉がないということでございます。何らか照合できるものというものが個人情報であるという整理になっているということでございますので、こちらではグレーゾーンをどう整理するのかについては、もし容易照合性というところの定義を変えないのであれば、元々グレーゾーンというのが個人情報の保護がされている、こういう前提ではないかということかと思います。 行政機関等が保有するパーソナルデータに関する研究会 第5回︵平成26年9月29日︶議事要旨 なんと、大綱で﹁グレーゾーン﹂とされたものについて、グレーとなる原因が定義に﹁容易に﹂があるせいだとして、行政機関法では﹁容易に﹂がないから元々すべて個人情報だというのだ。そんな馬鹿な。 ﹁何らか照合できるものというものが個人情報である﹂とまで言われているが、これは従来の行政機関法の解釈と異なる。行政管理局の逐条解説では、照合による特定個人の識別について以下のように説明されてきた。 3) ﹁他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む﹂ 本法の対象とする個人情報は、当該情報そのものから本人が識別されるものであることが原則である。しかしながら、当該情報のみでは特定の個人を識別できない場合であっても、他の情報と照合することにより特定の個人を識別することができる場合は対象とすることが適当である。 照合の対象となる﹁他の情報﹂には、その保有者が他の機関である場合も含まれ、また、公知の情報や、図書館等の公共施設で一般に入手可能なものなど一般人が通常入手し得る情報が含まれる。特別の調査をすれば入手し得るかもしれないような情報については、通例は﹁他の情報﹂に含めて考える必要はない。しかし、事案によっては、個人の権利利益を保護する観点からは、個人情報の取扱いに当たって、より慎重な判断が求められる場合がある。行政機関の長は、当該個人を識別するために実施可能と考えられる手段について、その手段を実施するものと考えられる人物が誰であるか等をも視野に入れつつ、合理的な範囲で考慮することが適当である。 解説 行政機関等個人情報保護法, 行政管理局, 13頁 照合の対象となる﹁他の情報﹂に何が含まれるかについては、﹁現行法の理解︵パーソナルデータ保護法制の行方 その2︶﹂の﹁照合の対象情報の範囲﹂でも書いたように、﹁容易に﹂がなければ何でも対象になるわけではなく、いわゆる﹁一般人基準﹂︵一般人が通常入手し得る情報︶で限定される。このことは少なくとも情報公開法の運用では明確にされており、行政管理局の﹁個人情報︵法第5条第1号︶についての検討資料﹂の﹁II要件の解釈、運用﹂の冒頭で、﹁判決・答申では、照合する﹁他の情報﹂を﹁一般人﹂が入手できる情報に限るとする、いわゆる﹁一般人基準﹂を採用しているのが通例である。﹂と書かれている︵図1︶*2。
図1 行政管理局「個人情報(法第5条第1号)についての検討資料, II 要件の解釈、運用」より
もっとも、公開法と保護法で解釈が異なってもよい︵条文が同じであっても︶という説もあり得るところではあるから、﹁一般人基準﹂が絶対だというわけでもないのかもしれない。前掲の行政管理局の逐条解説でも、一般人基準を示しつつも﹁事案によっては﹂云々との補足がある*3。だが、いくら仮にそうするにしても、﹁何らか照合できるものは個人情報である﹂というのでは、あらゆる情報が行政機関法では個人情報ということになりかねない。特に行政機関法は、民間部門と異なり、対象情報が﹁散在情報﹂を含む︵﹁行方 その3﹂参照︶のであるから、それこそ︵データベース化されたものに限らず︶あらゆる行政文書が個人情報ということになって、困ったことになるだろう。
もしかすると、事務局は、大綱の言う﹁指紋認識データ、顔認識データなど個人の身体的特性に関するもの等﹂の意味を誤って狭く捉えているのだろうか。この文は字面的に﹁指紋や顔のこと﹂と誤読しやすいだけに、さもありなんではある。
仮に﹁指紋認識データ、顔認識データ﹂が行政機関法では個人情報に該当する*4としても、大綱の文は﹁個人の身体的特性に関するもの等﹂であり、﹁等﹂が付いている。﹁指紋認識データ、顔認識データなど﹂は﹁個人の身体的特性に関するもの﹂の例示であって、そこにさらに﹁等﹂が付いているから、﹁個人の身体的特性に関するもの﹂も例示にすぎない。
﹁等﹂に何を含めるかは決まっておらず、IT総合戦略本部の技術検討WG︵パーソナルデータ検討会の︶報告書で﹁準個人情報﹂の検討として書かれている﹁個人の身体的特性に関するもの﹂︵類型イ︶︶に並べて示された類型ア︶﹁個人又は個人が使用する通信端末機器等に関するもの﹂や、さらにそれ以外の何かが、大綱の﹁等﹂に入る余地は消滅してはいない。今回の事務局は、そうしたもののすべてが現行の行政機関法の個人情報に該当するとでも言うのか?
例えば、類型ア︶の具体例には、﹁運転免許証番号、パスポート︵旅券︶番号、健康保険証の記号・番号︵健康保険被保険者証記号番号等︶、雇用保険被保険者番号、金融機関の口座に関する番号﹂などが列挙されているが、情報公開法の運用では、情報公開・個人情報保護審査会の判断例として、﹁基礎年金番号及び年金コードは、その性質等からみて、法5条1号の特定の個人を識別することはできないが、なお個人の権利利益を害するおそれがある情報に該当する﹂︵平成15年度︵行情︶答申第231号︶*5としたものがあり、マイナンバーに匹敵する唯一無二性と悉皆性の高さを持つ基礎年金番号ですら、個人情報に該当しないとしてきている*6。
IT総合戦略本部の検討は、そうした運用を踏まえてそれらが個人情報に該当しないから﹁準個人情報﹂とすることを模索したのであって、﹁容易に﹂がグレーだからそうしたなどという話ではない。
それにもかかわらず、第5回の会合は、次のように続けられ、構成員の合意に至ってしまった。
︵藤原座長︶ ︵略︶
後者のほう、もう1つのほうはどうでしょうか。いわゆる今ご説明のあったグレーゾーンです。パーソナルデータの議論というのは、要するに個人情報という円を描けばそこに集合があって、その周辺部分にグレーゾーンというものがあって、それをどちらに、つまり個人情報に引きつけるのかそうではないという類型にするのかという議論をやっていると理解しているのですけれども、その場合、これまでの構成員の方々のご議論でありますと、容易照合性という要件を置かないということですから、そうするとグレーゾーンは個人情報に引きつけることになるというのが論理的な結論かなと思っております。
つまり個人情報に包含されているというお話になると思うのですが、これまでの議論では、今のような結論で一致しているということでよろしいでしょうか。ではここは一致したということにさせていただきます。
行政機関等が保有するパーソナルデータに関する研究会 第5回︵平成26年9月29日︶議事要旨
そして、第7回で﹁中間的な整理︵座長試案︶﹂が示され、以下のように結論付けられてしまった。
︵7︶“個人特定性低減データ”の取扱い
○ 当研究会の議論の過程において、“個人特定性低減データ”は完全に個人特定性を失わせたものではなく、規律等を課すことを前提として導入すべきであるとされた。
○ 規律等を課す前提として、“個人特定性低減データ”が行個法の個人情報に該当するかどうかについては、前述のとおり、利活用を前提とする“個人特定性低減データ”は行個法の従来の個人情報とは別の概念として規定すべきであるとする意見が示された一方で、行個法がより広い範囲の情報を保護する趣旨から容易照合性の要件を外していることに鑑みれば、特定性が完全に失われていない“個人特定性低減データ”は個人情報に包含されると解釈し、厳しく管理することを検討すべきとの意見も示された。
3行政機関等が保有するパーソナルデータの保護について
︵1︶保護対象の明確化
○ 民間部門においては、利活用を妨げる一つの要素として、技術の進展に応じて、個人情報の範囲の捉え方について、考え方が整理されていない部分が登場しているが、それについて整理する必要があると指摘されている。具体的に大綱において指摘されている曖昧な領域にあるものとしては、指紋認識データ、顔認識データなど個人の身体的特性に関するもの等が挙げられている。これらについて、現在IT本部において、個人の権利利益の保護、事業活動の実態に配慮しつつ、必要に応じて規律を設けるなど、現在その必要な規律について検討が行われているところである。
一方、このような問題は、民間部門を規律する基本法における、個人情報の定義として﹁容易照合性﹂という条件があるが、技術の進展状況を踏まえ、この条件に何が合致するかを整理する必要が生じたことによると考えられる。行個法では、前述のとおり、個人情報の定義として、照合の﹁容易性﹂を条件とせず、﹁他の情報と照合することができ、それにより特定の個人を識別することができることとなる
ものを︵個人情報に︶含む﹂との規定を維持することを当研究会の一致した意見としている。
○ このため、民間部門で議論されている情報については、既に現行の行個法における個人情報に概念的には包含されると考えられ、運用において引き続きこの考え方が確保されることが必要であると考えられる。
中間的な整理︵座長試案︶, 行政機関等が保有するパーソナルデータに関する研究会 第7回 資料1, 22頁
事務局はなぜ、﹁何らか照合できるものは個人情報である﹂という誤った思考に陥ってしまったか。考えられることとして、﹁個人特定性低減データ﹂の議論との混同があるのではないか。
大綱において、﹁個人特定性低減データ﹂を本人同意なく提供できるとする条件として、提供先︵すなわち受領者︶に﹁特定の個人を識別することを禁止する﹂などの法的義務を課すとしているのは、﹁個人特定性低減データ﹂といっても、あくまでも﹁低減﹂であって﹁無﹂にはしていないのであり、本人を特定できてしまう可能性がゼロになってはいないことに由来する。この可能性をゼロにできないことは、技術検討WG︵IT総合戦略本部の︶で主査を務めた佐藤一郎氏が、この研究会︵行政機関等パーソナルデータ研究会︶の構成員として繰り返し発言︵取扱いを慎重にする必要があると指摘する趣旨で︶している。
上に引用した﹁中間的な整理︵座長試案︶﹂の部分で、﹁“個人特定性低減データ”は完全に個人特定性を失わせたものではなく﹂とあるのはそのような意味からであるが、このときの﹁個人特定性﹂は、受領者にとっての視点であることにまず注意が必要である。そして、この可能性は、現行法の﹁他の情報と照合することができ﹂の法解釈とは別の、立法論上の考え方であるので、前記の﹁一般人基準﹂を採用せず、技術的な可能性︵いわば、行政管理局の逐条解説に出てくる﹁特別の調査をすれば入手し得るかもしれないような情報﹂を﹁他の情報﹂として照合する状況︶を言っているにすぎない。
一方、行政機関法で、ある情報が個人情報に該当するか否かは、その取扱いの主体である行政機関にとって﹁特定の個人を識別することができる﹂か否かで判断される。第三者提供の場面では、提供者︵提供元︶である行政機関において、機関内での照合、機関外との照合に加え﹁一般人基準﹂︵一般人が通常入手し得る情報︶で照合して﹁特定の個人を識別することができる﹂か否かである。この現行法の法解釈に、立法論上の技術的可能性の話を混ぜてはいけないし、受領者基準を混ぜてはいけないのだが、事務局はそこを混同しているのではないか。実際、この研究会は、提供者基準︵提供元基準︶、受領者基準︵提供先基準︶の区別をした議論を全く行っていない。*7
﹁中間的な整理︵座長試案︶﹂は昨日の第8回で修正案が示された。
●資料1中間的な整理︵座長試案︶, 行政機関等が保有するパーソナルデータに関する研究会︵第8回︶
問題の部分は修正されていない。︵23頁〜24頁︶
この修正案には、新たに﹁資料1-別紙﹂として﹁パーソナルデータの概念整理について﹂︵全2頁︶が加えられたのだが、そこに掲載されている図︵以下の図2に引用︶は、今回の事務局の整理が、IT総合戦略本部の整理とは完全に違っていることをあらわにしている。
図2 行政機関等が保有するパーソナルデータに関する研究会(第8回) 資料1の別紙(34枚目〜35枚目)
「パーソナルデータの概念整理について」2頁に掲載の図の部分
この図は、﹁個人特定性低減データ﹂を﹁識別非特定情報﹂と同一視している*8が、IT総合戦略本部はそんな見解を出していない。本家の﹁個人特定性低減データ﹂は、﹁非識別非特定情報﹂の一部を含むものである。﹁識別非特定情報﹂はいわば﹁仮名化データ﹂のこと︵k-匿名性で言えばk=1︶であり、k≧2のk-匿名化をしたデータは﹁識別非特定情報﹂に該当せず﹁非識別非特定情報﹂となる。﹁個人特定性低減データ﹂のコンセプトは、そのような﹁非識別非特定情報﹂も再識別化や再特定化のリスクがゼロではないとして、﹁個人特定性低減データ﹂の取扱いとして法的に規律する︵元のデータが提供元において個人情報である限り*9、どのように加工したものであっても*10︶というものである。
そして、図が﹁識別非特定情報﹂の全部を﹁行個法における“個人情報”﹂に含めてしまっている点も大間違いであり、それは前記の通りである。さらに、﹁個人特定性低減データ﹂の全部を﹁行個法における“個人情報”﹂に含めてしまっているのも誤りである。なぜなら、﹁個人特定性低減データ﹂はk≧2のk-匿名化をしたデータなども含むのであり、それを行政機関法の個人情報とみなすならば、もはや統計化された情報すら個人情報たり得ることになってしまう。
どうしてこんなことになっているのか。図には﹁︻小林慎太郎﹃パーソナルデータの教科書﹄︵日経BP社, 2014年︶P.39を基に作成︼﹂と書かれている。原典を確認してみたところ、元の図は以下のようになっていた。
図3 小林慎太郎, パーソナルデータの教科書, 日経BPの39頁に掲載されている図
元の図に﹁行個法における“個人情報”﹂の部分がないのは当然︵そこを今回の事務局が書き加えた︶として、図の上半分は原典の通りなのかと思いきや、元の図には﹁識別非特定情報﹂を﹁個人特定性低減データ﹂と同一視する記述はなかった。今回の事務局が勝手に加えたもののようだ。
なお、図中の﹁非識別化︵不可逆︶﹂との記述は、両方の図に共通して存在するが、これは、本家の定義とは異なっている。本家の技術検討WG報告書︵前半の報告書︶には、以下の図のように、﹁非識別非特定情報﹂から﹁識別非特定情報﹂に戻す﹁識別化﹂、﹁非識別非特定情報﹂から﹁識別特定情報﹂に戻す﹁識別特定化﹂を想定し、それができる可能性がゼロでないから、個人特定性低減データを扱う制度を導入する際には﹁受領者は個人情報の特定化、識別化または識別特定化を行なわないことが求められる﹂と指摘している。よって、﹁非識別化﹂が﹁不可逆﹂*11というのは、本家のものとは別物である。
図4 第5回 パーソナルデータに関する検討会, 資料2-1 技術検討ワーキンググループ報告書, 39頁より
﹁パーソナルデータの教科書﹂は教科書とうたっているが、昨今出版界で濫用されつつある自称にすぎないし、著者の小林さんは本家︵パーソナルデータ検討会︶の当事者でもない。なぜ、行政管理局の事務局は、本家の資料をあたらずに、商業的な一般向けの解説本を根拠にするのか。これでは学部生のレポートのレベルではないか。
行政管理局は、有権解釈を示せる立場でありながら、行政機関法の個人情報定義の解釈をこんなふうに安易に示してしまって大丈夫なのか。たいへん心配である。
この研究会で﹁準個人情報﹂的なものについて結論を出せないのは理解できるが、それは、本家の大綱が曖昧であり、基本法の改正がどうなるかが明らかになるまで結論を出せないと書けばよいだけではないのか。そこを、単純化したいばかりに踏み込んで、﹁個人特定性低減データ﹂も﹁識別非特定情報﹂も全部﹁行個法における“個人情報”﹂などという法解釈を示したら、情報公開法の運用にまで影響を及ぼしかねない重大な禍根を残すことになりやしないか。
﹁グレーゾーン﹂とは何だったのか
前掲の通り、第5回議事要旨には、繰り返し﹁グレーゾーン﹂という表現が出てくる。この﹁グレーゾーン﹂の語は、大綱の中で使われているものであるため、メディア等でも、今回の制度改正を﹁グレーゾーン解消のための改正﹂と報じるものがある。 ●ビッグデータ時代、法律は“プライバシー”を守れるのか (3/3), Business Media 誠, 2014年9月1日 “合法”と“違法”の線引きをめぐる駆け引きが始まる 個人情報保護法改正案の中には、本人の同意がなくてもデータの活用を可能とするシステムも含まれる。そこで重要になるのが、法律で守られるべきデータ――つまり﹁個人情報﹂とは何なのかを決める基準の制定である。これが“合法”と“違法”の線引きとなるのだ。 現状では、すぐに個人を識別できてしまう﹁名前﹂や﹁住所﹂といった情報は個人情報として規制されているが、そういった情報を取り除いて加工したデータをどう定義するかは決まっておらず、法律面でもグレーゾーン扱いだ。そのためにSuica問題︵参考記事︶が起きてしまったといえる。
こういう解説記事をよく目にするが、これは今となってはよくある誤りと言える。﹁﹁名前﹂や﹁住所﹂︵略︶を﹁取り除いて加工したデータ﹂も、Suicaの乗降履歴のような詳細なデータであれば、現行法で個人情報であるというべき︵正確には﹁個人データの提供であるというべき﹂︶であり︵行方 その2 4.照合による特定個人識別参照︶、﹁法律面でもグレーゾーン扱い﹂なわけではない。
では、大綱が言う﹁グレーゾーン﹂とは何か。
大綱は、グレーゾーンを次のように説明している。
(1) ﹁利活用の壁﹂を取り払うために
① グレーゾーンへの対応
パーソナルデータの﹁利活用の壁﹂を生じさせている﹁グレーゾーン﹂の要素は、情報の多種多様化及び情報通信技術の進展等を背景とした、
●﹁個人情報﹂の範囲についての法解釈の曖昧さ
●特定の個人が識別された状態にないパーソナルデータであっても、特定の個人の識別に結びつく蓋然性が高いなど、その取扱いによっては個人の権利利益が侵害されるおそれがあるものに関して、保護される対象及びその取扱いについて事業者が遵守すべきルールの曖昧さ
である。事業者におけるデータ保有の現状や利活用の際の問題を踏まえつつ、これらの曖昧さを解消していく必要がある。
パーソナルデータの利活用に関する制度改正大綱, 高度情報通信ネットワーク社会推進戦略本部
2つ列挙されている﹁曖昧さ﹂のうち、2つ目の、﹁特定の個人が識別された状態にないパーソナルデータであっても、特定の個人の識別に結びつく蓋然性が高いなど︵略︶﹂は、Suica事案で言えば、無記名Suicaの場合に当たり、検討会で﹁準個人情報﹂の候補として検討されたものである。
こちらは、現行法で個人情報に当たらないものであるから、個人情報保護法上は、グレーゾーン扱いではなく、対象外である。にもかかわらず、これを大綱がグレーゾーンとして取り上げているのは、海外では既に保護対象であったり、もしくは保護対象となりつつあるものであり、これを保護しないのは単に立法の不備であり、﹁合法だからと実施したら社会的非難を浴びかねない﹂と躊躇する意味での﹁グレーゾーン﹂、つまり事業者が抱く認識としての﹁グレーゾーン﹂を指しているのだろう。
上の﹁Business Media 誠﹂の記事が引用しているパーソナルデータ検討会の資料の図でも、﹁グレーゾーン﹂が拡大したとしている領域は、このことを指しており、図中に﹁︵事業者側︶ 利活用を進めて良い領域かどうか? → 利活用を躊躇﹂と書かれているように、事業者が抱く認識としての﹁グレーゾーン﹂を言っている。
こちらの意味での﹁グレーゾーン﹂は、行政機関法についても同様に存在し得る。無記名Suicaの乗降履歴が個人情報に該当しない理由は個人情報定義に﹁容易に﹂があるからではないのであり、﹁容易に﹂のない行政機関法でも無記名Suicaの乗降履歴は個人情報に当たらないであろう*12。このことは情報公開・個人情報保護審査会に判断してもらったらいい*13。ただ、現実には、行政機関が保有するものとして、氏名を持たない仮名データは、ほとんどないのが現状と思われる︵たいていは氏名とともに保有されている︶ため、課題としてまだ顕在化していない状況*14であろう。
一方、前掲1つ目の、﹁﹁個人情報﹂の範囲についての法解釈の曖昧さ﹂は、まさに法律面のグレーゾーンのことである。ただしこれは、現行法の政府解釈がはっきりせずグレーなままという意味ではなく、事業者が抱く認識として﹁法解釈がよくわからない﹂といった意味であろう。なぜなら、その点についてはすでに決着しているからである。
IT総合戦略本部のパーソナルデータ検討会で、第7回に事務局案として示された資料には、次の記載がある。
• ﹁個人情報﹂の判断基準の明確化
– 個人情報の範囲の判断基準である﹁容易に照合できる状態﹂については、第三者機関による統一したガイドラインによる明文化や事前相談により、明確化を図る。
– 加えて、第三者提供時における個人情報か否かの判断基準については、提供元︵情報を取扱う事業者︶を基準に判断する。
第7回 パーソナルデータに関する検討会 資料1-1﹁﹁個人情報﹂等の定義と﹁個人情報取扱事業者﹂等の義務について︵事務局案︶<概要編>﹂
このように、﹁提供元︵情報を取扱う事業者︶を基準に判断する﹂と、この時点で明確化されている。
Suica事案で言えば、当初、JR東日本は、氏名を削って提供すれば、提供先に氏名がないのだから個人データの提供に当たらないという提供先基準の解釈をとっていたと推察されるところ、消費者庁等が示していたように、政府説は提供元基準であることから、提供元での照合によって︵記名Suicaについては︶乗降履歴は個人データの提供ということになるという話である。その点についてもはや曖昧性はない。
ただ、提供元で照合できるものとみなすかの点で、曖昧性はあった。いわゆる﹁Q14﹂問題である。Suica事案で言えば、提供元が、社内で、氏名を含むデータと、氏名を取り除いたデータとに分離して管理していれば、提供元基準であっても﹁容易に照合することができ﹂に当たらないとするか否かの解釈問題である。これについても、経済産業省がQ14を削除することを約束しており、決着済みである。
まとめるとこうだ。
●1つ目のグレーゾーンは、現行法解釈︵提供元基準︶があまり周知されていないが故に、白だと勘違いする事業者が出るという意味で、事業者の認識としての﹁グレーゾーン﹂
●2つ目のグレーゾーンは、現行法では白なのだけども、個人情報と同様に保護しないと社会的非難を浴びかねないと真っ当な事業者なら感じるという意味で、事業者の
認識としての﹁グレーゾーン﹂
このように、大綱でグレーゾーンと言われているものは、個人情報定義の条文に﹁容易に﹂があることに起因するものではない。﹁提供元基準﹂か﹁提供先基準﹂かの論点や、詳細な履歴データのデータセットとしての提供元での照合︵行方 その2 4.照合による特定個人識別参照︶の解釈論点は、﹁容易に﹂があろうとなかろうといずれにせよ存在する論点であるから、行政機関法においても同様である。
そもそも大綱には﹁容易照合性﹂とか﹁容易に照合﹂といった語は出てこない。4月のパーソナルデータ検討会の事務局案の資料には、﹁容易照合性﹂とか﹁容易に照合﹂というフレーズが頻出するが、これは、﹁容易に﹂に着目していたのではなく、﹁照合﹂の方に注目していて、﹁容易に﹂の有無は問題にしておらず、単に民間部門の規定を議論しているからその定義の語を用いていたにすぎないとみるべきものだろう。
私の理解では、﹁容易に﹂の有無による違いは、﹁容易に﹂のない行政機関法では、照合による特定個人識別の対象となる﹁他の情報﹂の範囲に、いわゆる﹁一般人基準﹂︵一般人が通常入手し得る情報︶が含まれるのに対して、﹁容易に﹂のある民間部門の定義では、その﹁一般人が通常入手し得る情報﹂が含まれないという程度のものと考える。
*1 大綱には、﹁個人の権利利益の保護と事業活動の実態に配慮しつつ、指紋認識データ、顔認識データなど個人の身体的特性に関するもの等のうち、保護の対象となるものを明確化し、必要に応じて規律を定めることとする。﹂とある。
*2 ただし、﹁行方 その2﹂の脚註14も参照。
*3 この補足は、情報公開法で言うところの、﹁公にすることにより、なお権利利益を害するおそれがあるもの﹂︵5条1号後段︶に当たる情報に配慮せよということを言っているのであって個人情報定義を広く解釈すべしと言っているわけでもないのかもしれないが。
*4 顔の画像はガイドラインで︵照合を待つまでもなく直に該当する︶個人情報とされてきたし、指紋についても情報公開法で指印を個人情報として扱った審査会答申が複数あるが、大綱が言っているのは、﹁指紋認識データ、顔認識データ﹂であり、顔や指紋そのものではない。認識用に顔や指紋から加工されたデータのことであり、NICTの﹁映像センサー使用大規模実証実験検討委員会﹂の用語で言うところの﹁特徴量情報﹂に相当するものである。それを何と照合することで﹁特定の個人を識別することができることとなる﹂と事務局はみなしているのか、明らかにされていない。IT総合戦略本部の技術検討WG︵パーソナルデータ検討会の︶の報告書では、﹁準個人情報﹂該当性の基準を﹁多量又は多種の情報が収集されることにより特定の個人が識別されるおそれのある情報﹂との観点から模索し、情報の識別子としての性質に着目して、﹁特に特定の個人を識別する蓋然性が高い識別子﹂として、﹁本人の所有物と密接性があるもの﹂﹁一意性/単射性があるもの﹂﹁共用性があるもの﹂﹁変更可能性/不変性/利用停止可能性については容易に変更できないもの﹂のすべての指標に該当する場合を﹁準個人情報﹂とする提案をまとめていた。﹁指紋認識データ、顔認識データ﹂は、﹁個人の身体的特性に関するもの﹂に分類される識別子として、これらの各指標を満たすことから、﹁準個人情報﹂に当たるものとされていた。技術検討WGの整理は、具体的に何かと照合することによって﹁特定の個人を識別することができることとなる﹂といった観点から該当するとしたわけではない。そのことからも、今回の事務局は、IT総合戦略本部とは異なる見解を出していると言える。ちなみに、NICTの﹁映像センサー使用大規模実証実験検討委員会﹂の調査報告書では、﹁特徴量情報﹂について、﹁同一人が再度大阪ステーションシティに入場し、本実証実験用カメラで撮影された場合には、そこで生成した﹁特徴量情報﹂と過去に記録していた﹁特徴量情報﹂とを照合することで、過去に記録していた﹁特徴量情報﹂も、その人物のものと特定できるのだから、その時点では、特定の個人を識別できる情報になる。﹂との理由から、照合による特定個人の識別が可能とみなして、個人情報に該当すると結論づけているのだが、今回の事務局はそういった理由の検討をしたのだろうか。
*5 その理由をこの答申は次のように示している。
第5審査会の判断の理由
︵略︶
︵1︶法5条1号﹁特定の個人を識別することができるもの﹂該当性
︵略︶しかしながら,基礎年金番号は,通常,当該番号を付与された本人に通知され,また国民年金手帳に記載されるのみであり,他にこれを公にするような仕組みは一切設けられていない。むしろ,行政機関内部においても厳重に取り扱われているものであって,諮問庁の説明によると基礎年金番号のみで社会保険事務所等に照会があったとしても,当該番号に対応する個人の氏名等は教示していないとしている。また,基礎年金番号の付番の法則性等当該番号のみから個人を特定することは困難であり,当該番号等と照合することにより個人を特定することができる他の情報もない。よって,基礎年金番号が諮問庁にとって個人を特定するための重要な情報であるとしても,一般人にとっては,特定の基礎年金番号及び年金コードがわかったとしても,それだけで当該番号等を付与された個人がだれであるかを識別することは困難な情報であると認められる。
したがって,特定の﹁基礎年金番号及び年金コード﹂のみで示された情報が法5条1号に規定する﹁特定の個人を識別することができるもの︵他の情報と照合することにより,特定の個人を識別することができることとなるものを含む。︶﹂に該当するとは認められない。
︵2︶法5条1号﹁特定の個人を識別することはできないが,公にすることにより,なお個人の権利利益を害するおそれがあるもの﹂該当性
︵略︶そもそも,番号や記号については,例えば,試験の受験番号や何らかの整理番号のように,その記載のみでは,通常,そのような番号や記号が記載された行政文書が開示されたとしても,直ちに当該番号や記号に対応する個人の権利利益が害されるとは考えられないところであるが,場合によっては,当該番号や記号の性質,その付され方,使われ方等により,個人の氏名が明らかでなくても,当該番号や記号のみが公にされるだけで,当該番号や記号に対応する個人の権利利益が害される事態が生ずることもあると考えられる。
その点,基礎年金番号は,上記︵1︶のとおり,年金関係分野において極めて重要な位置付けがされており,当該番号に対応する個人がどのような年金制度に加入しているかだけでなく,当該年金の掛金支払額や年金支給額がどの程度であるかといった年金に関する情報を管理するために使用され,また,どのような企業等に勤務し,どの程度の給与等を得ていたか等の個人情報も引き出すことができる情報である。
このため,基礎年金番号が公になると,当該年金番号に対応する者の知人等をはじめ第三者が何らかの手段で当該基礎年金番号等に対応する者の氏名,住所等その者を特定することができる情報を入手し,本人になりすましてその者に係る上記のような個人情報を入手したり,場合によってはその情報を基に年金を不正に受給するおそれや国民年金手帳の偽造等の不正行為が本人の知らないうちに行われるおそれが生ずることを否定することはできない。
また,本件の場合には,基礎年金番号に加え,年金コードも明らかとなることから,当該基礎年金番号に対応する者が,当該年金コードに対応する種別︵老齢基礎年金,障害基礎年金,遺族基礎年金等の別︶の年金を実際に受給しているか否かという事実までも明らかになると認められる。
したがって,基礎年金番号及び年金コードは,その性質等からみて,法5条1号の特定の個人を識別することはできないが,なお個人の権利利益を害するおそれがある情報に該当すると認められる。
特定の基礎年金番号に係る老齢基礎年金の裁定の基礎となった記録の不開示決定︵存否応答拒否︶に関する件, 平成15年度︵行情︶答申第231号
*6 この判断例は、行政管理局﹁個人情報︵法第5条第1号︶についての検討資料﹂の﹁II要件の解釈、運用﹂にも代表的な判断例として取り上げられている。
*7 第6回の大谷和子構成員提出資料﹁行政機関等が保有するパーソナルデータに関する研究会に関する意見﹂においても、﹁個人特定性低減データであっても、﹁特定の個人が識別される可能性﹂があることから、加工後においても、依然として行個法上の﹁個人情報﹂に該当しているとの整理が適切ではないか。﹂などと書かれている。個人特定性低減データのうち、k-匿名性でk=1のデータ︵いわゆる仮名化データ︶についてだけ言うならば、その通りとも言える︵ただし、提供データが元データと照合可能な内容である場合に限る︶が、個人特定性低減データは、k≧2のk-匿名化データの場合も含むのであるから、そのようなデータについて、現行の行政機関法の解釈において個人情報に該当するとするのは、これまでの行政管理局の解説と異なるし、情報公開法の運用とも食い違う。
*8 ﹁個人特定性低減データ﹂ではなく﹁個人特定性低減情報﹂となっているのは誤記であろう。
*9 我々の意見としては、元のデータが提供元において個人情報でない場合であっても、無記名Suicaの乗降履歴のようなケースは、規律の対象としなければアンバランスだとする立場である︵行方 その6参照︶が、﹁個人特定性低減データ﹂のコンセプトでは、記名Suica︵定期券など︶の乗降履歴は元が個人情報だから、加工して提供しても﹁個人特定性低減データ﹂として扱うというものである。
*10 本当は、総務省消費者行政課の位置情報検討会の報告書﹁位置情報プライバシーレポート〜位置情報に関するプライバシーの適切な保護と社会的利活用の両立に向けて〜﹂に出てくる﹁十分な匿名化﹂︵NTTドコモの﹁モバイル空間統計﹂がそれに当たる︶に相当するような、もはや統計データと言えるレベルまで個人特定性を低減したデータについては、その基準を示して、それは﹁個人特定性低減データ﹂にも該当しない﹁非識別非特定情報﹂とみなすべきところであったが、IT総合戦略本部での検討ではその基準は示されなかった。︵行方 その8参照︶
*11 おそらく、小林さんの本の図が言いたい﹁不可逆﹂は、データ処理の可逆性、つまり、﹁非識別化﹂の処理を施したデータを元のデータに全部復元することが不可能という意味なのだろう。一方、本家が想定している﹁識別化﹂﹁識別特定化﹂の意味は、データ区分の可逆性、つまり、﹁非識別化﹂したデータから、1人でも、識別したり特定したりできれば、﹁識別化﹂﹁識別特定化﹂に当たるという意味であり、その意味では﹁不可逆﹂ではない。
*12 ただし、脚註4の後半で示した、NICT﹁映像センサー使用大規模実証実験検討委員会﹂調査報告書の﹁同一人が再度大阪ステーションシティに入場し、本実証実験用カメラで撮影された場合には︵略︶その人物のものと特定できるのだから、その時点では、特定の個人を識別できる情報になる。﹂とする考え方を、顔に替えてSuicaデバイスに適用すれば、同様に、﹁同一のSuicaがかざされたことをもって過去の履歴がその人物のものと特定でき、個人情報となる﹂と言うことができる余地はあり、このとき定義に﹁容易に﹂があるかないかで該当性に差が生ずると言うこともできそうではある。しかし、NICTの実験では顔画像との照合であり、顔画像自体が個人情報とされていることから、このような考え方が成り立ち得るのに対し、Suicaデバイスが何者かによってかざされた事実の情報との照合が、特定の個人を識別したことになるのかという別の論点が残る。ここは、米国において、従来、cookieの識別子が﹁ブラウザを識別しているのであって個人を識別しているわけではない﹂との理由でnon-PII︵非個人情報︶とされてきたものが、2012年の消費者プライバシー権利章典によって、そのような考え方が破棄され、﹁特定の消費者、コンピュータ、その他のデバイスに合理的に結び付けられ得る消費者のデータ﹂まで対象が広げられつつあるのと同様に、わが国においても立法的解決が必要なところであろう。︵行方 その6参照︶
*13 そのようなデータを情報公開請求した場合、情報公開法5条1号後段の﹁個人に関する情報であって、特定の個人を識別することはできないが、公にすることにより、なお個人の権利利益を害するおそれがあるもの。﹂として不開示情報となるだろう。
*14 今後、行政機関が公式スマホアプリを国民に提供して、GPSレベルの位置情報履歴を蓄積するようなサービスを開始すれば、そのような事案が出てくることになる。