高木浩光＠自宅の日記

■ 「匿名」の語が次々と削られていったCriteoのプライバシーポリシーから世界の潮流を読もう

9月のSecurity Online Dayでの演し物だった「ニッポンの個人情報のいま」が先週、以下の記事となった。

• ニッポンの個人情報のいま, 山本一郎, 鈴木正朝, 高木浩光, 2016年10月26日

その中で、2ページ目のところで、こんな話をしている。

高木　そこは注意して書かれているんじゃないかなと。他にも、興味深い他社の例がありまして、フランスのある広告事業の会社のプライバシーポリシーが、かつては「匿名化して扱います」って書いてあったのが、今は「匿名化」という言葉を一切使っていないっていうですね。Wayback Machineで過去をさかのぼって比べていくとですね、「anonymous」とか「anonymized」という言葉が次々に削られていった変遷が確認できるのですよ。どうもこの会社、フランスのデータ保護機関「CNIL」に相談して今の形になったようでして。

山本　なるほど。それは、何をもってanonymousとするか？ みたいなそういうことでしょうかね。

高木　そうです。「匿名」っていう言葉は違う概念だと、実際は仮名化なのに匿名化って言うなっていう指導を受けている様子が見られるわけです。

ニッポンの個人情報のいま, 2頁, 2016年10月26日

ここで紹介した例は、リターゲティング広告で知られるCriteo社のことである。この事案に気づいたのは6月だったが、まだここに書いてなかったので、以下に記録しておこうと思う。

まず最初に、Criteo日本法人のプライバシーポリシーを見ると、本日現在、「匿名」だという断り書きが繰り返し書かれている。

図1: Criteo日本法人のプライバシーポリシー（現時点）

取り扱うのはあくまでも「匿名の識別子」で、転送するのはあくまでも「匿名データ」であり、デバイスから抜き出すのは「匿名およびランダムな文字列」で、「匿名データのみ収集します。」と。そして「個人情報を収集することはありません。」とある。あたかも、「匿名」だから正当性があると言いたげのように見える。

ところが、本社の英語版プライバシーポリシーを見ると、「anonymous」という語は全く出てこない。これはどういうことか。もしかして日本語のものは古い版のままなのかなと思い、Internet ArchiveのWayback Machineを使って遡ってみたところ、やはりそうだった。

図2: Criteo本社の英語版プライバシーポリシーの過去の記録

図3: Criteo本社の英語版プライバシーポリシー 2014年8月11日時点

これが、2014年10月27日から12月29日までの間に改版されたようで、「anonymous」は2回しか言わない版ができた。

図4: Criteo本社の英語版プライバシーポリシー 2014年12月29日時点

そして、さらに2015年6月14日から9月5日までの間に改版されたようで、「anonymous」を1回しか言わなくなった。

図5: Criteo本社の英語版プライバシーポリシー 2015年9月5日時点

そして、とうとう、その1か月後の10月18日までの間に、1回も「anonymous」と言わないように直されていたのである。

図5: Criteo本社の英語版プライバシーポリシー 2015年10月18日時点

どのように直されていったのか、それぞれの部分を比べて見てみよう。

まず最初のブロックについて。現在の日本語版と初版の英語版、そして、1回も「anonymous」と言わないように直された時点の英語版は、それぞれ以下のようになっている。

2 – Criteoの技術

オンライン・ウェブ環境：（デスクトップ、タブレット、スマートフォンのブラウザ）

Criteoはパートナーサイトで匿名のブラウザクッキーを用いて訪問者に「タグ付け」を行います。Criteoによってタグ付けされたユーザーには、匿名の識別子が与えられます。Criteoがユーザーのお名前や住所などの個人情報を収集することは一切ありません。

ブラウザのクッキーは、Criteoが配信した広告を通じて訪問者が閲覧した製品および訪問したパートナーのページを記録します。パートナーのサイトからCriteoのサーバーに匿名データを転送するために、Criteoはピクセルタグを使用します。

2 – Our technology

Online web environment: (desktop, tablet, and smartphone browsers)

Criteo “tags” visitors to its partners’ websites with anonymous browser cookies. Users tagged by Criteo are given an anonymous identifier. At no point does Criteo collect personal data, such as your name or address.

The browser cookies track the products viewed by the visitor and pages visited of the partner for whom Criteo is delivering ads. Pixel tags are used by Criteo to transfer anonymous data from our partner's websites to Criteo's servers.

2 – Our technology

Online web environment: (desktop, tablet, and smartphone browsers)

Criteo “tags” visitors to its partners’ websites with browser cookies. Users tagged by Criteo are given a technical identifier. At no point does Criteo collect identifying personal data such as your name or address.

The browser cookies track the products viewed by the visitor and pages visited of the partner for whom Criteo is delivering ads. Pixel tags are used by Criteo to transfer browsing data from visitors of our partner's websites to Criteo's servers.

なるほど、「anonymous browser cookies」が単に「browser cookies」に変更されているのは、わざわざ「匿名の」と言う必要がないからだろう。後段の、「匿名データを転送する」は、「閲覧データを転送」に言い換えられていて、より適切に事実を伝えるものになっている。「an anonymous identifier」が「a technical identifier」に置き換えられているのは、置き換える語が見つからなかったのか、苦しさが滲み出ている。

こういう改定は、自発的に行われるとは考え難いもので、いかにも外部から指摘があってのことのように思える。フランスのデータ保護機関CNILからの指摘を受けて修正を迫られたものではないだろうか*1。

次に、2番目のブロックを同様に比べてみると、以下のようになっている。

その他の環境（モバイルアプリケーション）

モバイルアプリケーションなどのCookieをサポートしない環境では、CriteoはCookieと同じ目的で、他の匿名技術を使用する場合があります。モバイルアプリケーションで当社の広告を配信するために、当社はユーザーのモバイル機器のオペレーティングシステムに応じて、Google Advertising IDやIDFAなどの識別子を収集します。これらの識別子は、Criteoがハッシュで保存するユーザーのデバイスから抜き出された匿名およびランダムな文字列で構成されています（非可逆暗号化方法）。

3 – データの収集と使用について

匿名データのみ収集します。

Criteo が収集するのは、匿名のCookieや以下を記録する同等の識別子を通じた匿名のデータに限られます。

（中略）

個人情報を収集することはありません。

Criteoは、ユーザーを特定することはできません。ユーザーのご住所や勤務地、生年月日、Eメールアドレス、電話番号、その他いかなる個人情報も収集することはありません。Criteo はターゲティングの目的*で、ユーザーの IP アドレスを利用あるいは保存することはありません。

Other environments (Mobile applications)

In environments that do not support cookies, like mobile applications, we may use other anonymous technologies for the same purpose of cookies. To serve our ads in mobile applications we collect identifiers, such as Google Advertising ID or IDFA depending on the operating system of your mobile device. These identifiers consist in a string of anonymous and random characters singling out your device that Criteo stored by Criteo with a hash (non reversible encrypting method).

3 - Data collection and use

We collect anonymous information

We collect only anonymous data through anonymous cookies or equivalent identifiers that record:

（中略）

We do not collect any personal information

We do not know who you are. We do not know your address, your place of work, your date of birth, your email address, your phone number or any other personally identifiable information about you. We do not use or store your IP address for targeting purposes*.

Other environments (Mobile applications)

In environments that do not support cookies, like mobile applications, we may use other similar technologies for the same purpose of cookies. To serve our ads in mobile applications we collect identifiers, such as Google Advertising ID or Apple IDFA depending on the operating system of your mobile device. These identifiers consist in a string of technical and random characters singling out your device that Criteo stored by Criteo with a hash (non reversible encrypting method).

3 - Data collection and use

We do not know who you are. We collect and use technical data relating to your browsing navigation to display personalized advertisements.

We collect browsing information

In order to serve you advertisements that are the more relevant to your interests, we collect data related to your browsing activity through cookies or equivalent identifiers that record:

（中略）

We do not collect any identifying information

We do not know who you are. We do not know your address, your place of work, your date of birth, your email address, your phone number. We do not use or store your IP address for targeting purposes*.

「other anonymous technologies」としていたのを、「other similar technologies」に改めたのはいいとして、「a string of anonymous and random characters」を「a string of technical and random characters」に直しているのは、かなり苦しい。強制的に修正させられた感じがプンプンする。

続いて、「匿名データのみ収集します」「We collect anonymous information」、「収集するのは、匿名のCookieや……識別子を通じた匿名のデータに限られます」「We collect only anonymous data through anonymous cookies or equivalent identifiers」としていた部分が、「We collect and use technical data relating to your browsing navigation」に差し替えられている。加えて、「We collect browsing information」という節が加えられて、中身の説明をするように改められた。

そして、「個人情報を収集することはありません」「We do not collect any personal information」としていたところが、「We do not collect any identifying information」に改められている。つまり、こうした収集データを指して「personal informationでない」などと言うのは間違いだとCNILにダメ出しされたのであろう。「identifying information」に置き換えられたことで、日本語で言えば「個人を特定する情報を収集することはありません」という意味になった。

続く部分の、「その他いかなる個人情報も収集することはありません」「We do not know …… any other personally identifiable information about you」のところに至っては、まるっと削除されてしまった*2。cookieを通じて集められる履歴データが「personally identifiable information」でないわけあるかとCNILから叱られたのであろう。

こうした修正により、結果的に、実際にやっていることは何なのかの実態に近い説明方法に改められたわけで、それ自体が良いことだろう。抽象的に「匿名の」云々と余計なことを言う必要はそもそもなかったわけだ。

最後の3ブロック目も、以下のように変更されている。

当社は、当社が収集した匿名データを収集した日から最長13ヵ月保存します。当社のCookieは最後に更新されてから13ヵ月後に 失効します。

We retain the anonymous data that we collect for up to 13 months from the date of collection. Our cookies expire 13 months after they are last updated.

We retain the technical data that we collect for up to 13 months from the date of collection. Our cookies expire 13 months after they are last updated.

その後、このプライバシーポリシーは、さらに改定されたようで、現在の版では、前半部分がより適切に直されているようだ。

このように、（少なくとも）EU諸国では（そして米国も次第に）、こうしたターゲティングを目的とした、一人ひとりを区別して扱うという意味で識別するデータは、「匿名データ」（anonymous data）と称することは許されず、また、「個人情報」（personal innformation）でないとか、「personally identifiable information」でない*3と謳うことも許されなくなってきているわけである。

最初の改定から2年以上が経過しているにも関わらず、日本語版のプライバシーポリシーは元のままだというのは、残念でならない。日本の個人情報保護委員会は、フランスCNILのように、こうした記述を改めさせることができるのだろうか。

日本も、個人情報保護法の改正で国際関係の規定が入り、外国の事業者の事案について、外国のデータ保護機関に執行協力を求めていくとされているが、国内のこうしたプライバシーポリシーを修正させる法的根拠がないのでは、外国との相互の協力関係など築けるはずもないだろう。

ところで、このプライバシーポリシーの英語版と日本語版に、興味深い差異が見つかった。

英語版では初版から、「These identifiers consist in a string of anonymous and random characters singling out your device」というフレーズが出てくる。この「singling out」が、日本語版では「ユーザーのデバイスから抜き出された匿名およびランダムな文字列で構成されています」となっていて、「抜き出された」と訳されているのは、誤訳であろう。

「singling out your device」は、ユーザのデバイスを一つひとつを区別して扱うという意味で識別するという意味である。日本語訳を書いた人は、原文が何を言わんとしているかを理解しなかったのであろう。原文は「デバイスを抜き出す」という文なのに、「デバイスから抜き出した」という文に変えて訳してしまっている。

また、「We do not know who you are.」の文が、「Criteoは、ユーザーを特定することはできません。」と訳されているのも面白い。日本では、「個人を特定する」（＝特定の個人を識別する）という文が、「あなたが誰だと知ることはない」と同じ意味で使われているわけである。

「識別」（identify）という語は多義的で、混乱を招く。あるときは、「個人を特定する」「we know who you are」の意味で使われるが、そうではなく、一人ひとり（一つひとつ）を区別して扱うにすぎないという意味で使われることもある。パーソナルデータ検討会の技術検討WGが整理した「識別特定情報」と「識別非特定情報」の語は、この前者と後者を区別して議論するためのもの*4であった。

その点、Criteoのプライバシーポリシーは、後者に当たるものを「singling out」の語を用いて初版から書いていた。それを日本語版が訳せなかったのは、概念自体が未だ日本では理解されていないということの表れであろう。

「singling out」の語については、7月23日の日記「ノルウェー法の「de-identified personal data」と「anonymous data」そして「pseudonymous data」並びに「indirectly identifiable data」を調べた（パーソナルデータ保護法制の行方 その25）」にも書いたように、ISO/IEC 20889「Privacy enhancing data de-identification techniques」の用語定義でも使われるもので、「singling out information」がまさに識別非特定情報（と識別特定情報も含む）の概念と一致するものであるし、EUの一般データ保護規則（GDPR）においても、その前文(26)で、personal dataに該当しない「anonymous information」となる要件の一つとして「singling out」されないものであることを挙げている。

GDPRでは、singling outされた個人の情報はpersonal dataであるとしつつ、それとは別に、identifyされているか否かで義務の強弱を付けている。具体的には、Article 11「Processing which does not require identification」として、「If the purposes for which a controller processes personal data do not or do no longer require the identification of a data subject by the controller, ……」（コントローラが個人データを処理する目的が、当該コントローラがデータの本人の特定（identification）を要求していない又はもはや要求しない場合には、……）として、その他条件付きながらも、Article 15 から 20までは適用しないとしている。

このように、EU法では、「singe out」と「identify」の語でこれらの概念を区別した上で、「anonymous information」は、そのどちらでもない場合に用いる語となった。Criteoのプライバシーポリシーの改定も、この概念整理に沿うようにさせられたものとして理解できる。日本も、この潮流に逆らうことなく、こういう場合に「匿名」の語を使わないようにしていくべき*5であろう。

■ 容易照合性が提供元基準でファイル単位なのは昭和61年からだった（パーソナルデータ温故知新 その4）

前から書かねばと思っていたが*1、今がまさにこれを周知すべき時なので、取り急ぎ書いておく。

個人情報保護法の「個人情報」定義にある括弧書き「（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）」の「他の情報と容易に照合することができ」は、今や「容易照合性」と繰り返し呼ばれるようになり、色々なところで聞かれるようになった。この「容易照合性」の解釈について、いわゆる「提供元基準」なのかそれとも「提供先基準」なのかという論点は、昨年の個人情報保護法改正案の国会審議の中で、「日本の場合、これは情報の移転元で容易照合性があるということで解釈が統一されておりまして」と政府参考人が答弁した*2ことで決着したわけだが、これについて、「いったい誰がそんな取り決めをしたのか」「そんな解釈を決めたのが悪いんじゃないのか」といった不満分子が一部で燻っているかもしれない。

しかし、古い文献を読み漁っていたところ、なんと、昭和61年（1986年）の時点ですでに、提供元基準であることが明確に示されていたことを、私は比較的最近になって知った。

日本で国レベルの法として初めて制定されたデータ保護法は「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」（昭和63年法）であり、この制定に向けての法案の骨子は、昭和60年7月から総務庁行政管理局で開催された「行政機関における個人情報保の保護に関する研究会」で検討され、昭和61年12月に取りまとめられたのが、「行政機関における個人情報の保護に関する研究会意見」であった。

この研究会意見は、「第2 保護対策の対象範囲」として、「(2)個人情報の定義」を次のように提案している。

(2)個人情報の定義

個人情報とは、個人に関する情報であって、当該個人を識別できるものをいうが、個人が識別できるとは、情報の内容から、その情報が特定個人のものと識別し得ることをいうとすることが適当であると考えられる。

なお、当該情報のみでは特定個人を識別できないが、当該機関が保有する他のファイル又は台帳等と照合することにより識別できるものは含むものとすることが適当であると考えられる。

識別の方法は、氏名、住所、生年月日等で識別するか、個人別に付された番号その他の項目で識別するかを問わない。

行政機関における個人情報の保護に関する研究会意見, 行政機関における個人情報保の保護に関する研究会, 1986年

これが、その2年後に成立した法律では、次の定義条文となった。

第2条 この法律において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

二 個人情報 生存する個人に関する情報であつて、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号により当該個人を識別できるもの（当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できるものを含む。）をいう。ただし、法人その他の団体に関して記録された情報に含まれる当該法人その他の団体の役員に関する情報を除く。

行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律 2条2号

これは、研究会意見をそのまま条文に落とし込んだものと言うべきであろう。とすれば、「他の情報と容易に照合することができ」というのは、「他の情報」と言っても任意の場所にあるあらゆる情報を指すのではなく、特に「当該機関が保有する」ものとの照合を想定した定義だったことが窺える。

つまり、まさに「提供元基準」が、「当該機関が保有する……と照合」という表現で明記されていたのである。

しかし、なぜそのような定義にしたのか。その趣旨について私には考えがあるが、それを書いているとまたいつまで経っても完成しないので、そこはまたの機会に書くとして、ここでは英国法との対比をしておきたい。

英国のデータ保護法は、1984年に制定されたもので、そのときの「personal data」の定義は次のものであった。

(3) "Personal data" means data consisting of information which relates to a living individual who can be identified from that information (or from that and other information in the possession of the data user), including any expression of opinion about the individual but not any indication of the intentions of the data user in respect of that individual.

英国, Data Protection Act 1984

前段部分を訳せばこうだろう。

(3) この法律においてpersonal dataとは、生存する個人に関する情報からなるdataであって、当該情報から（又は、当該情報とデータ利用者が保有する他の情報とから）その個人を識別することができるものを言い……

このように、昭和61年（1986年）の「行政機関における個人情報の保護に関する研究会意見」が提案した個人情報定義の骨子は、英国法のpersonal data定義に瓜二つとなっている。

「who can be identified from that information」のところが、研究会意見では「情報の内容から、その情報が特定個人のものと識別し得る」となり、「who can be identified …… from that and other information in the possession of the data user」が、「当該機関が保有する他のファイル又は台帳等と照合することにより識別できる」となった。英国法には「ファイル又は台帳」という言葉は出てこないし、「照合する」との語も出てこないが、これらは「identified from that and other ……」とのフレーズの意味するところを具体化したものなのだろう。そして、「in the possession of the data user」が、照合可能性を想定する範囲が提供元基準であることを英国法も示している*3のである。

ちょうどこの研究会の直前に英国法が成立していることからしても、総務庁行政管理局のこの研究会は、英国法を参考にして個人情報定義を立案したのではないだろうか。そして、ほぼ同様の定義条文を持つ現在の民間部門での「個人情報」においても、この意義は受け継がれていると言うべきであろう。

つまり、容易照合性のことを目の上のたん瘤のように煙たがっている人からすれば、このような定義は「日本独自のもので、悪しきガラパゴス規制だ」ということにしたい向きもあるのであろうが、このように、決してそうではなく、30年も前から英国などヨーロッパでのデータ保護の考え方を取り入れてできたものなのだと言うべきだろう。

■ 医学研究等倫理指針見直し3省合同会議が迷走、自滅の道へ（パーソナルデータ保護法制の行方 その26）

7月2日の日記「個人情報該当性解釈の根源的懸案が解決に向け前進」で書いていた、文科省・厚労省・経産省の3省合同会議「医学研究等における個人情報の取扱い等に関する合同会議」*1が、終盤になって迷走している。

これまでの経緯

事の経緯を確認すると、まず、7月2日の日記の時点を要約すると、こうだった。

• 元々、連結可能匿名化は、提供元においては個人情報であるとされていた。*2
• 元々、連結不可能匿名化は、非個人情報化に当たるとされていた。*3
• 個人情報保護法の改正により、個人識別符号が導入され、そこに遺伝子配列が入ることから、ゲノムデータが含まれている場合は連結不可能匿名化しても個人情報のままということになる。
• 個人情報保護法の改正を通じて、容易照合性の解釈に係るいわゆる「提供元基準説」が政府の解釈であると確認されたため、これまでのような連結不可能匿名化をしても個人情報のままとなる場合があると指摘された。
• 研究の現場では、匿名化（連結可能匿名化及び連結不可能匿名化）の方法として、氏名・連絡先等を単に削除するだけの措置が一般的に行われており、このような処置をもって非個人情報化であるとして、インフォームドコンセントにおいて「個人情報は提供しません」などと説明している実態がある。
• 合同会議第2回と第3回で、別所委員から、対応表があろうがなかろうが元データとデータセットによる照合ができるデータは元々個人情報なのであり、氏名や住所を削除しても個人情報であるのに、その点が理解されていないとする指摘が出た。*4
• 指針の「匿名化」の定義は、一見、保護法の個人情報の定義を裏返した（A or B を not A and not Bの形に書き換えた*5）もののように見え、非個人情報化の要件を示したもののように見えるが、実はそうではなく、Bの部分が保護法とは異なっていた。*6
• これらを踏まえ、事務局は、匿名化の概念を変更する案1から案3を示した。
• 案2は、「匿名化」の定義を変更して、照合による識別の部分（上記で言う「and not B」）を削除し、実態として行われている匿名化処置（氏名や住所を削る）に定義を合わせるというもの。その上で、「匿名化」を施しても個人情報である場合と個人情報でない場合があるとして、ルールを場合分けするものであった。

その後、次のように展開した。

• 案1〜案3の中からは案2が採用となった。
• 複雑すぎるので「連結可能匿名化」と「連結不可能匿名化」の区分をやめることになった。
• 案2の新匿名化定義の加工方法と、加工結果の個人情報該当性でルール分けする（一部に、対応表の保有の有無による場合分けが残る）ことになった。
• 同意なき提供が認められないと研究が立ち行かなくなることから、学術研究機関の学術研究目的と、公的部門（国立大学を含む独立行政法人）の研究目的例外の規定を活用して、個人情報保護法及び行政機関・独法等個人情報保護法に違反しないものと整理することになった。

このような展開について、私の考えとしては、7月23日の日記「ノルウェー法の「de-identified personal data」と「anonymous data」そして「pseudonymous data」並びに「indirectly identifiable data」を調べた」に書いたように、ヨーロッパ方面の動向に合わせるならば、案2もいまいち（十年周回遅れ）であり、案1とも案3とも異なる「案4」が良いのではないかとしていたが、もはやそれは無理な情勢だった。

そして、改正指針案が9月22日から10月21日までパブコメにかけられていた。

パブコメにかけられた案について、私としては、周回遅れだと思うものの、個人情報保護法の「個人情報」定義の解釈としては正しいところへ到達できたので、まあ及第点であり、仕方がないと思っていた。

パブコメ後に出てきたトンデモ案

ところが、パブコメ明けの11月16日、第7回の合同会議で、大どんでん返しがあったのである。

第7回の資料2-2「論点整理」に、次のように、トンデモない案が示されている。

論点1 容易照合性（照合性）について

�］静棲詰�

（略）

��対応方針

ア 今般、個人情報保護法ガイドライン等で示された法の一般的な解釈も踏まえ、実態に即して個別事例ごとに判断を要することを前提としつつ、指針においては、「対応表」が適切に管理されている場合（※2）には、通常の場合、（容易）照合性がないものとして取り扱うこととしてはどうか。（ガイダンスで明確化）

＜（※2）適切に管理されている場合の考え方（案）＞

• 研究者等以外の者（研究実施から独立した者）のみが取り扱うことが研究計画書によってあらかじめ適切に定められていること
• 対応表の利用目的・方法が、研究計画書によってあらかじめ適切に限定されていること
• 機関内で「対応表」の管理に関する適切な規程が整備されていること

＜考え方＞

• 例えば、元の個人データ（情報A）について、「対応表」を作成しつつ、単体では特定の個人を識別することができない情報（情報B）を作成した場合、「対応表」が適切に管理されている場合は、通常の場合、情報Bは情報Aとの間で法律上のいわゆる（容易）照合性が存在するとは考え難い。
• したがって、「対応表」が適切に管理されている場合は、通常の場合、当該機関において（容易）照合性は存在しないと考えられる。

（※）行個法・独個法においては、照合の容易性を要件としていないが、そもそも個人情報に該当する場合であっても、相当な理由や特別な理由等があれば、利用目的以外での利用・提供が可能である。

第7回の資料2-2「論点整理」p.2

図1: 第7回の資料2-2「論点整理」p.5に掲載されている図

これがどうトンデモないのかは、その場で即座に別所委員から指摘されていた。

別所委員：（略）対応表云々のところについては、もう少し考えていただきたいと思っています。一つは、対応表の有無が容易照合とか照合性を決めるわけではなくて、対応表があろうとなかろうと、照合できれば個人情報になるというのが、独立行政法人頭個人情報保護法と行政機関個人情報保護法の考え方ですし、容易に照合することができるのであれば個人情報になるというのが個人情報保護法の考え方で、対応表というのを持ち出してしまうと、また、世の中に混乱を招くというふうに考えていますので、対応表ということではなくて、正しく法律を説明していただきたいというふうに考えています。そうしないと、今も多少混乱起きていると思いますけど、混乱が収集するということが将来期待することができないというふうになってますので、前から申し上げてますように、法律が改正されたいい機会ですので、法律の条文に沿った正しい解釈をきちんと明確にしていただくということが必要だと思います。もう一つは、容易照合性のところの基準は、個別のガイダンスではなく、個人情報保護委員会から容易照合性のガイドラインが出ると思いますので、そちらに従うべきだと思っていて、特別に何かこの領域で配慮すべきというようなものではないというふうに、そこのところは、一般の個人情報の取り扱いと同じ基準で、容易照合性は判断されるべきと思っている。ちなみに、ここに書かれているような基準は、少なくとも私が知っているところでは、個人情報保護法でこうなっているから容易照合ではないと言われるようなことが書かれているとは認識しておりませんので、そこは明確にしていただきたいと思っています。

事務局（厚労）：4ページ目の参考のところで、「個人情報の範囲にかかる法律上の解釈について」を示しているように、個人情報保護法上の「容易照合性」あるいは、行政機関個人情報保護法上の「照合性」に関しては、こちらのような考え方が示されているものと認識しております。個人情報保護法は、��に記載しているが、今般示された個人情報保護法ガイドライン（通則編）（案）で、今後変わる可能性はあると理解しているが、抜粋しているものであり、「他の情報と容易に照合することができるというのは、事業者の実態に即して個々の事例ごとに判断されるべきであるが、通常の業務における一般的な方法で、他の情報と容易に照合することができる状態をいい、例えば、他の事業者への紹介を要する場合であって照合が困難な状態は、一般に、容易に照合することができない状態であると解される。」といったことが個人情報保護委員会の方から示されていると認識している。また、行個法についても、説明が長いので省略するが、「個人を識別するために実施可能と考えられる手段について、その手段を実施するものと考えられる人物が誰であるかも視野に入れつつ、合理的な範囲で考慮することが適当である。」ということになっておりまして、情報が何かとくっつく可能性が少しで存在すればといたような解釈ではないというふうのではないかというふうに、まずあの、あの、事務局としては理解しておったところでございます。

別所委員：個人情報保護法に関しては、ガイドラインにあるだけではなくて、これまでの積み重ねがあります。少なくともここに書かれているのは、「他の事業者に照会」なので、自分の事業者内での照合の話は例示されていないです。なので、管理が適切にされていればというのは別の論点だというふうに思ってます。外に紹介しなければわからないという状態というのと、自施設内で管理されているかっていうのはぜんぜん違うと思っています。もう一つは、先ほど言いましたように、対応表の有無ではなくて、対応表の有無に関わらず容易照合することができるかどうかという状態を判断すべきなので、対応表の有無をですね、ここに入れるべきではないというふうに考えています。先ほどの行個法との話で言うと、基本的に立法趣旨を考えていただければ理解していただければ私の説明理解していただけると思いますので、きちんと立法趣旨に遡って差異を認識してきちんと明示をしていただきたいということです。

事務局：個人情報保護法と差異がある、概念上「容易に」のあるのないのでは、概念上違いがあるということは事務局としてもまあ認識しております。まあ今後あの、対応表の管理というのがどうなのかということにつきましては、えー個人情報保護委員会等と、えー調整させていただきながら、まあ、あの、決めさして、いただきたいというふうに考えております。

別所委員：対応表の管理で容易照合性の判断をするということになると、他の産業までの影響が大きいので、他の産業のところはかなりの点をつめていると思っています。そう言う意味で、個人情報保護法の改正のときにですね、いろんな意見を申し上げて来ましたし、それの結果こうなっているというところですので、できあがってしまった後で、法律そのものを変えることはできないという認識を持っていただいて、今の法律を正しく適用されるという形で、きちんとしていただきたいと思ってます。

藤原康弘委員（国立がん研究センター）：別所委員は産業界を代表されてたぶん言われていると思いますけども、私どもがここで検討しているのは、学術研究とか、医学研究をやっている領域の人たちの指針の改定を中心にしているのであって、そもそも個人情報保護法には学術研究目的は除外すると言っているのを、上乗せ規定でいろんな規定をここで考えているわけで、例えばこの、対応表の管理ありの有無を記載しないでほしいとおっしゃられますけど、今まで連結不可能匿名化とかというので議論されてる医学研究者の方々は、対応表ありの有無でいろいろ考えて来たという経緯があるので、こういうのがあった方が、これまでやってきた先生方には変更の内容がわかりやすいんじゃないかというふうに私は思っています。それから、個人情報保護委員会のこれまでいろんな議論をされてるんだと思いますけども、個人情報保護委員会の中には医学界とか医療界とかの代表の方いらっしゃいませんよね。そういう議論は、本当に、日本医師会の方が個人情報保護委員会の委員に入っているとか、かつての委員に、議論に参画されていたのならば、今回のこの検討委員会と全6回はあまり混乱しなかったと思うんですけども。やっぱり、産業界の方々を対象にした個人情報保護法と、医学・医療という領域を対象にした個人情報の解釈というのは、線引きというか、別の観点からここでは議論した方がいいと思います。

別所委員：問題の所在は、すでに法律は存在しているということだと思っています。法律に定められたことは正しく解釈されるべきだと思っていて、医学のところとか研究のところを抜くのであれば、例外条項をどうやって使うかというところで抜くべきだと思っていて、定義のところですとか、容易照合のところか、そういうところでそもそもチャレンジするのが（笑）まちがっているということ。平仄が取れるように例外事項を入れたので、例外事項の解釈をどういうふうに広げて考えることができるかというところを推し進めていくべきで、べつにあの、私、学術研究を推めるのを反対しているわけじゃなくてですね、法律の建てつけ上、きちんと整理した方がいいと、いうふうに申し上げているだけです。

課長（厚労）：別所委員のおっしゃられたことについては、別の方でちょっと話をさせていただきたいと思いますが、ただ、基本的に、我々そのー、おー、いわゆる（笑）、委員のおっしゃられた通り、えとー、対応表というのは、非常に、ありなしとか、そいうことに関して非常にあの、馴染み深いと言うか（笑）、いうところでしたのでそれがどういう意味を持つのか、それの管理というのがどういう意味を持つのか、とか、それが管理されているのはどういうなのか、というようなところを、明示した方が、よりわかりやすいというようなところもありますので、そこの表現ぶりですとか、というふうなことであれば、えー、どういう、あのー、なん、それについて少し、事務局で少し引き取らせていただきたいというふうに思います。

座長：法律の平仄は取っていただくのは当然としまして、医学研究において、対応表がかなり具体的に使われて来たというところを必要ですので、そこのところを示していただいたのは、私も個人的にはいいのではないかなというふうに思いますけども。他にはいかがでしょうか。

医学研究等における個人情報の取扱い等に関する合同会議, 第7回 （議事録未公表につき、傍聴時メモより）

この、国立がんセンターの藤原康弘とかいう人の口ぶりが酷かった。公正な議論の場に一方的に立場性を持ち込み、別所委員の指摘に「お前は産業界だろうが、俺たちは医学界だ。ここは医学界なんだぞ。」という発言。こういう言い方をする人間にはそもそも一般的に言って議論をする資格がない。ご自身が言っているように、「そもそも個人情報保護法には学術研究目的は除外する」ことになっているのだから、独自のルールを作ればいいわけで、「個人情報だが提供できる」というルールを作ればいいだけの話。「上乗せ規定でいろんな規定をここで考えているわけで」というのが間違っているわけで、そのことはこの合同会議で初期の段階から指摘されていた*7ことだ。

合同会議事務局は、医学系のルールのために法の定義を捻じ曲げようという、トンデモない方向に出た。こんなことを個人情報保護委員会が放置すれば、法の解釈も医学系指針と同様だと言い出す人がまた出てきてしまう*8。別所委員が「また世の中に混乱を招く」と指摘しているのはそういう懸念だろう。

法解釈がまた狂わされれば、「他の産業までの影響」（別所委員）が出るのであり、「混乱が収集するということが将来期待することができない」（別所委員）というのは、EUから見放されて十分性認定が遠のくということだ。がんセンターの藤原とかいう人は「ここは産業界じゃない医学界だ」と言うが、その医学界こそ、「氏名・住所を削除すればpersonal dataでなくなる」などという周回遅れの定義を2016年にもなって打ち出していたら、EUから野蛮国扱いされて、医学のための個人データ国際流通も止められてしまうだろう。そんなことも知らないでよくもまあこういう委員会がやっていられるものだ。*9

要するに、この指針が不幸なのは、ルールを個人情報該当性で場合分けしてきたことにある。学術研究の適用除外の中での独自ルールだと割り切るのなら、個人情報に該当するか否かとは独立の基準でルールを場合分けすることができる。EUでは既にそういう方向に向かっているのに、なぜそう指摘しないのか。

どうしてこうなった

パブコメ後にこのように急にひっくり返ったのはなぜか。考えられるのは、医学系学会11団体による共同「要望書」が、どこかに対して強力に効いたものと考えられる。この要望書は、あちこちに出回っていたが、10月31日の健康・医療戦略推進本部の参与会合の「資料9」に添付される形で公開されている。これが次のように主張していた。

要望書

個人情報保護委員会 御中

（略）

��学術目的で実施される医学研究に限り、厚労省・文科省が制定する現行の『人を対象とする医学系研究に関する倫理指針』（以下、「指針」）に規定された、「連結不可能匿名化又は連結可能匿名化であって当該研究機関が対応表を保有しない場合に限る」という匿名化がなされた診療情報や臨床情報であれば、法における「匿名加工情報」及び「非識別加工情報」相当であり個人情報には該当しないことを何らかの形で明確に示して欲しい。

（略）

（理由）

�　蔑�）医学研究では、例えば血圧値の1mmHgの違いが心疾患の発症や予防にどのような影響を及ぼすか、といったことを精緻に検討しなければならないことから、常に精確な検査値や診断名を機関相互に利用・提供しあうことのできる社会制度・規制環境が必要となる。そのため、一般化やトップ（ボトム）コーディングなど、改正個情法ガイドライン案（匿名加工情報編）で示されたような加工に係る手法を用いて特定の個人を識別することのできる情報ではないものに加工する、といった方法は医学研究には全く馴染むものではない。したがって、医学研究が社会の期待に応え、公益上必要な活動を行い、医療イノベーションをはじめとする健康で活力ある国民生活の実現に資するものであるためには、これら医学研究の特殊性を鑑みて、学術研究を目的とする医学研究を実施する場合においては、個情法体系における事業者等の属性と課される義務の違い及びその属性の違いに伴う「個人情報」の範囲（即ち、個人情報の定義における「容易」照合性の有無）の違いを超えた統一的なルールの下で、「病歴」を含む診療情報の利用・提供がスムーズに行える制度を整える必要がある。

しかし、そうした統一ルールとしての役割が本来期待されて制定・施行されたはずの厚労省、文科省による『人を対象とする医学系研究に関する倫理指針』の改正案（以下、「指針改正案」という。）においては、これと逆行して、「病歴」を含む診療情報を医学研究に利用・提供することを困難とするものとなりつつある。

（略）

�� �，能劼戮芯未蝓�改正個情法ガイドライン案（匿名加工情報編）で示されたような加工に係る手法を用いて特定の個人を識別する情報ではないものに加工する、といった方法は医学研究には全く馴染まない。一方、医学研究では、現行指針までの十数年の長きに亘り、「連結不可能匿名化又は連結可能匿名化であって当該研究機関が対応表を保有しない場合に限る」という匿名化ルールの下で、刑法その他による守秘義務を元来負っている医療者が、診療情報と患者のプライバシーを厳格に保護しながら、医学研究のためにオプトアウトで利用・提供してきているが、本匿名化ルールでの運用においてプライバシー侵害等の問題が生じた例はこれまでない。すなわち、個人情報の保護及び本人意思の尊重と、国民の健康・福祉に資する医学研究の実施との両立は、現行法制及び指針の下で絶妙な均衡を保って実現してきたのである。そのため、医学研究に関する限りは、本匿名化ルールでの運用であれば改正法の定める「匿名加工情報」及び「非識別加工情報」に相当するものとして取り扱うことには一定の合理性がある。

（略）

日本循環器学会, 日本癌学会, 日本糖尿病学会 日本心臓血管外科学会, 日本血管外科学会, 日本胸部外科学会, 日本老年医学会, 日本脳神経外科学会, 日本脳卒中学会, 日本疫学会, 日本循環器病予防学会, 「要望書」, 2016年10月22日

この要望書は、まず、改正法で新設される「匿名加工情報」に対する典型的な誤解がある。匿名加工情報に加工しなければ指針の「匿名化」に当たらなくなってしまうと勘違いしている。もっともこの勘違いは非常に多く*10、誤解されやすいところであり、合同会議事務局も、そのことを知りながら、そこをちゃんと資料に書かないのが悪いとも言えるが、これが誤解であることは、昨年の国会審議でも繰り返し答弁されたこと*11であるし、先月パブコメにかけられたばかりの個人情報保護委員会のガイドライン（案）にも書き込まれたところだ。そういうところをまるでウォッチしていない不勉強な輩が書いた*12要望書であることがわかる。

この要望書の主張は、要するに、「十数年の長きに亘り」そうしてきたという、これまで通りの、「連結不可能匿名化又は連結可能匿名化であって当該研究機関が対応表を保有しない場合」であれば「オプトアウトで利用・提供」できるままにしてくれというものだろう。*13

こうした圧力が強烈にかかった結果（かどうかは定かでないが）、出口を探してたどり着いたのが、前掲の「論点概要」にある「「対応表」が適切に管理されている場合は、通常の場合、情報Bは情報Aとの間で法律上のいわゆる（容易）照合性が存在するとは考え難い」などというトンデモ説なのだろう。

事務局資料をよく見てみると、興味深いのは図1に引用したPDFである。以下の図2に拡大したものを載せるが、不思議なことにいつもと違って、JPEGのモスキートノイズが出ているのだ。

図2: 図1の図のPDFを拡大して画面キャプチャしたPNG画像（これ自体がJPEGなのではない）

いつもなら、PowerPointか何かで作図されたベクトルデータの絵がPDFに張り込まれているのに、今回だけ、JPEGの画像なのである。フォントの様子も異なるようだ。これは憶測に過ぎないが、誰か事務局外から渡された図をそのまま入れ込まざるを得なかったということではなかろうか。

誰かの思いつきで「対応表の管理で分ければいい」というアイデアが持ち込まれたもので、ろくに議論されていないものだろう。第7回の合同会議でも、前掲の別所委員の指摘があっただけで終わっている。

医学系固有の匿名化なぞ初めから無かったことが判明

さて、こういう状況になると、どういう落とし所に持っていけばよいのか。

法律の「個人情報」定義では、このようなトンデモ説は政府説とは異なる。合同会議がどうしてもこの案で行くというのであれば、これはあくまでも法の適用除外の下での、指針の独自「個人情報」定義の解釈であって、法律の「個人情報」定義の解釈とは異なるものであるということを、合同会議事務局は明示することが必須であるし、個人情報保護委員会もそのような見解を示すべきである。

医学系学会11団体の言い分は、「医学研究では、現行指針までの十数年の長きに亘り」として、そういう独自の定義解釈でやってきたのだから、「独自のものとして開き直らせてくれ」と言っていることになる。

ここで次のような疑問を挟む人がいるだろう。つまり、実は高木が言っていることの方が間違いで、「対応表を適切に管理していれば容易照合性は無い」という解釈の方が政府説なのだと。

これはいわゆる「Q14問題」そのものであり、かつて経産省ガイドラインQ&Aにそれっぽいことが書かれていたが、今は修正されている。国会でもここが質問に出たことがあった（2013年）が、JR東日本がSuica乗降履歴を日立製作所に提供しても個人データの提供に当たらないと主張していた根拠の一つも、この旧Q14に基づくもので、ファイアウォールで隔てられていれば容易照合性がないとする主張（「アクセス制御説」と呼んでいる。）であった。これがちょうど今の「対応表を適切に管理していれば」ということに相当する。

この「アクセス制御説」が政府説ではないことは、残念ながら未だ明確にはされていない。個人情報保護委員会のガイドライン案では、この点をぼんやりと曖昧に書いて、極端な該当例を挙げるだけに止められている*14。これは、設立されたばかりで勉強途上にある個人情報保護委員会が、迷って決断しかねており、結論を先延ばしにしているパターンとみるべきだろう。

しかし、日本の個人情報保護法制は、過去を遡ると、昭和63年法の制定時からずっと、容易照合性は、提供元基準であったし、ファイル単位の照合であったし、組織として保有しているか否かであったし、また、それは英国法のpersonal data定義を真似て作られた条文と考えられる旨を、前回の日記「容易照合性が提供元基準でファイル単位なのは昭和61年からだった（パーソナルデータ温故知新 その4）」で示した。また、2月24日の日記「防衛庁情報公開請求者リスト事件は10年先行くSuica事案だった（パーソナルデータ温故知新 その2）」でも、当時からそういう議論があったことを示した。

ここで、歴史はそうだとして、その実質的な意義は何か？と疑問を挟む声があるかもしれない。これについて書きたいことは頭の中にはあり、今年の「CSS秋田」での議論はそこだったのだが、時間がないのでそこは次回以降で書くこととしたい。

それでもなお、高木の言っていることの方が間違いと言う人がいるかもしれないが、ここにきて、今更ながら、決定的な根拠を見つけたので、以下に示しておきたい。

今回の事務局案で、「対応表が適切に管理されている場合には照合性がないものとして取り扱うこととし（ガイダンスで明確化）」とあったので、その「ガイダンス」とやらはどんなことが書いてあるのだろう？と、今ごろになって初めて読んでみた。なんと、次のように書かれているではないか。

2 (20)及び(21)の「個人に関する情報」とは、個人の内心、外観、活動等の状況のみならず個人の属性に関する情報のすべてを指し、また、例えばインターネット上で公開されている等、公知であるか否かにもよらない。

(20)の「当該情報に含まれる氏名、生年月日その他の記述等」は、「個人情報」の一部分であって、これらだけが「個人情報」であるとすることは適当でない。「その他の記述等」としては、住所、年齢、性別、電話番号、保険証番号、診療録番号等が挙げられる。また、顔写真等の映像や音声記録も、それによって特定の個人を識別することができることとなる場合には、「個人情報」（故人である場合には「個人情報等」）に含まれる。

3 個人の医療等に関する情報は、その情報自体が身体的特徴を表すことがあり、例えば、氏名、生年月日その他の「特定の個人を識別することができることとなる記述等」を機械的にマスキングすることだけでは、特定の個人が識別されることを不可能にしたと言い難い場合がある。このため、研究の実施に伴って取得された個人情報等を「匿名化」（「連結可能匿名化」又は「連結不可能匿名化」）する場合は、当該情報の内容や用途等に応じて、特定の個人が識別される可能性が十分に低減する加工方法である必要があるとともに、「他で入手できる情報と照合することにより特定の個人を識別することができる」ことのないよう留意する必要がある。

なお、「匿名化」は本来、個人情報等の保護のためになされるものであり、研究者等又は既存試料・情報の提供を行う者が本人同意の手続等を免れるための便法として行うことは適当でない。

4 (23)の「連結可能匿名化」に関して、医療機関を有する法人等が研究機関として研究を実施する場合において、診療録番号と患者を結びつける情報にアクセス制限を行っていても、当該診療情報は「連結不可能匿名化」されたものとはいえない。当該診療情報は、当該研究機関内において特定の個人を識別することができる者が限定的であるか、また、当該研究機関内の誰がアクセスすることができるかによらず、「連結可能匿名化」された情報である。例えば、同一法人が管轄するA病院とB研究所において、A病院で取得された試料・情報を連結可能匿名化して、B研究所に提供する場合には、B研究所で対応表を保管していなくても、当該法人（研究機関）として対応表を保有することに変わりなく、個人情報等として適正に取り扱う必要がある。

5 研究機関が対応表を保有しない場合には、当該研究機関においては個人情報等を取り扱わないものとみなしてよい。ただし、例えば、当該研究機関の指示により、他の機関から特定の個人を識別することができることとなる情報（対応表を含む。）の提供を受け得るような場合は、当該情報によって特定の個人を識別することができる情報を個人情報等として適正に取り扱う必要がある。

この指針は、研究機関が保有する個人情報等を適正に取り扱うことを規定しており、適正な管理を免れるための便法として対応表の保有を他に委ねることや、移転させることは適当でない。

文部科学省, 厚生労働省, 人を対象とする医学系研究に関する倫理指針ガイダンス, 2015年, p.20より

なんと、ここまではっきり書かれていたとは、想像もしていなかった。「4」にはっきりと、対応表を適切に管理していようが（アクセス制限を行なっていても）「連結不可能匿名化」されたものとは言えず、誰が対応表にアクセスできるかに関係なく、その機関内においては、それが存在すれば常に（容易照合性があることになって）個人情報に該当すると指摘している。（旧Q14を完全に否定している。）

つまり、今回示された事務局案は、現行指針の自らのガイダンスを真っ向から否定することになる。しかも、「適正な管理を免れるための便法として」はいけないと戒められていることを、事務局自身が今やろうとしているのである。

これは、役所としては絶対にやってはいけないことだろう。役人として将来までの汚点になるだろいう。これは、できるはずもないことを気づかずにやろうとしているのではないか。自滅への道を歩んでいる。

しかも、「3」のところには、「氏名、生年月日その他の「特定の個人を識別することができることとなる記述等」を機械的にマスキングすることだけでは、特定の個人が識別されることを不可能にしたと言い難い場合がある」として、元データとのデータセット照合による識別のことを指していると思しき記述もある。

なんだ、初めからこうだったんじゃないの。

てっきり、医学系では、氏名・住所さえ削除すれば非個人情報化されるという誤った法解釈の下で動いていたと思っていたので、今回の法改正を機会に、正しい法解釈に合わせるための努力がこの合同会議でなされてきたと思っていたが、とっくの昔に既に現行指針でそうなっていた。

いや、この現行指針も、2015年とあるので、最近のものであるから、もっと昔は違っていたかもしれない。この医学系指針は、旧「疫学研究に関する倫理指針」（疫学研究指針）と旧「臨床研究に関する倫理指針」（臨床研究指針）が2014年に統合されたものである。

疫学研究指針のガイダンスを探したところ、ガイダンスではなく「Q&A」があり、以下のように書かれているのを確認できた。

Q7-1 指針第４　２（２）[1]の「連結可能匿名化であって対応表を有していない場合をいう。」とありますが、対応表を有している場合はなぜ除外されているのですか。また、「対応表を有していない」とは、例えば、研究担当部署において有していなければ良いのですか。

A7-1 連結可能匿名化された情報の場合で、研究を行う機関において対応表を有している場合は、当該情報は個人情報に該当するためです。従って、同一法人内で対応表を保有している部署と研究担当部署が分かれている場合であっても、対応表を有している場合に該当します。また、別法人に匿名化された情報のみを提供し、提供機関で対応表が保管される場合は、提供を受けた法人において当該情報は個人情報に該当しません。

「疫学研究に関する倫理指針」についてのＱ＆Ａ, 2007年

2007年当時からちゃんとこのような考え方が示されていたわけだ。事務局はこれを覆すというのか。

繰り返しになるが、歴史はやはりこうなのだが、その実質的な意義は何かから検討しなければ、皆納得しないだろう。今日は時間切れなので、次回以降で書いていくことにする。

米国やEUのルールとの比較

この主張が説得性を持つには、海外ではどうなっているのかとの比較が必要であろう。これまでの、日本の「連結可能匿名化」や「連結不可能匿名化」は海外と同じなのか違うのか。どういう経緯でこれが決まり、現在はどうなっているのか。

この点についても調べたが、時間切れとなってしまったので、今日はここまでとして、次回以降で書いていきたい。