2017年05月05日
■ 匿名加工情報が非識別加工情報へと無用に改名した事情(パーソナルデータ保護法制の行方 その30)
目次
- 当初の案では「匿名加工情報」だった
- 用語と定義範囲が一致することの重要性
- 行政機関法では匿名加工情報は常に個人情報である?
- 匿名加工情報がそもそも照合によって個人情報に復元されるのか
- 内閣法制局長官の大どんでん返し
- 長官のちゃぶ台返し
- 国会審議での展開
- 改正法成立後の状況
昨年成立した行政機関個人情報保護法(行政機関法)の改正法で、「匿名加工情報」が法案国会提出の段階で「非識別加工情報」と名称を変えられていたことについて、昨年3月の日記で以下のように書いていた。
- 行政機関匿名加工情報取扱事業者に再識別禁止の義務はかかるのか(パーソナルデータ保護法制の行方 その21), 2016年3月27日の日記
名称変更の謎
しかし解せないのは、「匿名加工情報」だったはずの用語が、どういうわけか、「非識別加工情報」などという別の名前になっており、名前を変える理由が謎になっていることだ。国会提出後に新旧対照表と同時に公表された「概要」の資料では、図1のように「匿名加工情報」のままとなっており、何か不測の事態が起きたように見える。
この資料に、「個人の権利利益を侵害することにならないよう、民間事業者と行政機関等の双方に必要な規律を課す」とあるように、双方に義務を課すのだから、同じ名前でないと辻褄が合わないように思える。
この名称変更のいきさつが、情報法制研究所(JILIS)からの情報公開請求により明らかになったので、以下に記しておく。
当初の案では「匿名加工情報」だった
情報公開請求したのは、内閣法制局の法律案審議録*1であり、そのうち、総務省に移送されて開示された「……のうち、総務省から内閣法制局に提出されたもの全て」に、2016年2月15日以降の*2内閣法制局とのやりとりが記載されていた。
まず最初に、2月19日付で「長官・次長配布版」として作成された「……に関する法律案(仮称)説明資料」の「概要」(p.2)に以下の記述がある。この時点では、「非識別加工情報」ではなく「匿名加工情報」として書かれている。
(3) 匿名加工情報と個人情報の関係
行政機関個人情報保護法等における行政機関匿名加工情報等を個人情報保護法上の匿名加工情報に該当するように定義し、かつ、提供先を当該行政機関匿名加工情報等を事業の用に供する者とすることにより、行政機関匿名加工情報等の提供先について、個人情報保護法における匿名加工情報取扱事業者としての規律(識別行為の禁止等)に服することとする。
「としての規律(識別行為の禁止等)に服することとする」とあるように、この段階で、行政機関側で作成した(行政機関法の)匿名加工情報が、提供先の民間事業者においても(個人情報保護法の)匿名加工情報として義務の対象となるようにすることの必要性が、十分に認識されていたことがわかる。
ただ、「服することとする」というものの、そうなっていることの根拠が、「ように定義し、かつ、」「とすることにより」とあって、前者はまだわかるが、後者が何を言わんとしているのかはよくわからない。「提供先を当該行政機関匿名加工情報等を事業の用に供する者とすることにより」がどういう効果を持つのかがわからない。*3
用語と定義範囲が一致することの重要性
この問題は、昨年の衆議院総務委員会の参考人質疑の回で鈴木正朝参考人が指摘した論点であり、意見陳述で以下のように述べていた。
○鈴木参考人 新潟大学から参りました鈴木正朝と申します。(略)
趣旨には賛成ですが、テクニカルな話になるかもしれませんが、本法案の根幹となる非識別加工情報の条文の一部に問題が残っていると言わざるを得ません。本来実現すべき趣旨に沿った条文の文言に改められるべきだと思っております。
るる順に説明してまいります。
二番ですが、匿名加工情報から非識別加工情報への変更ということでありますが、どうやら、閣議決定直前に用語の変更がなされたのではないか。既に国会に提出されておりますポンチ絵などを見ますと、匿名加工情報の文言が残っておりました。結構どたばただったのだろうなと思いながら見ておりました。
この修正の結果、提供した先の受領者に、匿名加工情報の識別行為の禁止義務、民間の個人情報保護法の三十八条が規定されておりますが、これが当然に適用されるのか、条文上一義的に明らかになっていないという問題が出てまいりました。この法適用に疑義を残すことは、制度上やはり、オープンデータを推進するという意味からして、大きな問題が残っているのではないかということを指摘したいと思っております。
三番ですが、識別行為の禁止義務、民間部門の個人情報保護法三十八条の適用の疑義についてであります。
提供した先の民間の個人情報取扱事業者に匿名加工情報の義務が適用されるためには、明文の根拠規定を置くことが必要だと思います。しかし、その根拠条項がないばかりか、形式的には、法令用語の統一ができておりません。そうであるならば、せめて実質的に、その対象情報の範囲が、内容が一致している必要がありますが、非識別加工情報と匿名加工情報は、法文の文言を見る限り、一致しておりません。説明とは違います。
第一に根拠条項がなく、第二に法令用語が異なり、第三にその用語の定義、すなわち概念の示す範囲が一致していない。それなのに、非識別加工情報の提供を受けた民間の個人情報取扱事業者は、当然に識別行為の禁止義務、三十八条が適用されると説明されています。
これは、でき上がった法律で、苦肉の策で法解釈学が受け持つのではなく、今まさに法案として審議中に発見された問題であります。これは、両者が一般法と特別法の関係にあり、かつ、両者が基本的に同じ概念だという強弁を受け入れることで成立する考え方であります。国民の権利義務に係るまさに法律事項の条項の適用において、このような解釈を前提とした法案を許していいのかどうか、私は甚だ疑問であると思っております。
具体的にどう直すか枠囲みに書きましたが、明文規定への追加案もあります。個人情報保護法を改正し、三十八条に受けの明文規定を置くこともできます。行政機関法に明文規定を置いてもいいです。それから、形式的には、法令用語の統一もあってもいいでしょう。匿名加工情報の統一案。非識別加工情報統一案。むしろ、個人情報保護法の本体を改正し、非識別加工情報という用語を採用することもできる。もしくは、用語は変えると決めてしまったのであれば、実質的には、その対象情報の範囲が一致するように、条文のわずかばかりの修正を行えばいいのではないかと思いました。
鈴木参考人は解決案を示しており、「どう直すか枠囲みに書きました」というのは、図3の写真の資料のことであり、以下のように提案していた。
(1) 明文規定追加案
個人情報保護法を改正し、38条に受けの明文規定を置くこと。(行政機関法に明文規定を置いてもいいが。)(2) ア)形式的には、法令用語の統一
崙震床湛情報」統一案
◆嵌鷦永眠湛情報」統一案(個人情報保護法改正)
イ)実質的には、その対象情報の範囲が一致していること
ちなみに、この「個人情報保護法38条に受けの明文規定を置く」ことについて、昨年の行政機関法の改正法が個人情報保護法38条の改正も含んでいることから、そのような規定は既にあると誤解している人を複数目にしたので、そうではないことをここで確認しておきたい。個人情報保護法38条の改正は以下のようになっている。
(識別行為の禁止)
第38条 匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第36条第1項、行政機関の保有する個人情報の保護に関する法律(…)第44条の10第1項(同条第2項において準用する場合を含む。)若しくは独立行政法人等の保有する個人情報の保護に関する法律第44条の10第1項(同条第2項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
強調部が改正で加えられる部分であり、パッと見で、「他の情報と照合してはならない」との規定に、行政機関法や独法法が参照されているかのように見える。しかし、よく見れば、加えられた部分は「の規定により行われた加工の方法*4」に係っているだけであり、「取得してはならない」とする情報に、行政機関法や独法法における匿名加工の際に生じた「加工の方法」を加えるだけの規定である。これが加えられたのは、さすがにこれらの法を参照することなく単に「加工の方法」で済ますことはできなかったからなのだろう。*5
そうすると、同じように行政機関法と独法法を参照して、以下のようにすることもできたはずで、鈴木参考人の解決案(1)はそういう提案だった。
(識別行為の禁止)
第38条 匿名加工情報取扱事業者は、匿名加工情報(行政機関の保有する個人情報の保護に関する法律第2条第9項に規定する行政機関匿名加工情報及び独立行政法人等の保有する個人情報の保護に関する法律第2条第9項に規定する独立行政法人等匿名加工情報を含む。以下この節において同じ*6。)を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、(略)を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
なぜこうしなかったのかは、開示資料からではわからなかったが、おそらく、このようにせずとも、「匿名加工情報」という用語が同じで、かつ、前掲図2の部分が言うように、「行政機関個人情報保護法等*7における行政機関匿名加工情報等を個人情報保護法上の匿名加工情報に該当するように定義し」ていれば、必然的に、行政機関匿名加工情報等は、常に、個人情報保護法における匿名加工情報にも該当することになって、自動的にこの38条の義務が課されるという手はずだったのだろう。
ところが、2月22日・23日の内閣法制局長官・次長による指摘で、これがひっくり返されることになる。
その様子を見る前に、前掲図2の2月19日付「説明資料」の続きの部分を確認しておきたい。
行政機関法では匿名加工情報は常に個人情報である?
「行政機関法では匿名加工情報は個人情報である」という整理が、以下のようになされていた。
1枚目の写真は、図2の写真の次のページである。以下の文章がある。
一方で、行政機関等が民間事業者が作成した匿名加工情報を取得する場合には、それらの匿名加工情報は、作成にあたり削除された記述等や加工の方法に関する情報等が廃棄されていない限り、行政機関個人情報保護法等では、個人情報に該当することとなるため、行政機関等には、個人情報としての規律がかかることにより、利用目的の特定等の義務が生じることとなる。
この文章が何を意味しているかは、2枚目の写真の下の矢印(左向きの)が端的に表している。
つまり、上の矢印(右向きの)のように、行政機関匿名加工情報を提供するとき、その行政機関匿名加工情報が個人情報であるというだけでなく、下の矢印(左向きの)は、民間事業者が持つ匿名加工情報を行政機関が取得したら、行政機関法上の個人情報に該当するというのである。
これは初耳であり、驚いた。国会審議ではこの解釈は出ていなかったと記憶している。
下の矢印(左向きの)のようなケースは、個人情報保護法改正法の成立後、昨年になってから、「国立大学を含む独立行政法人は、民間事業者で作成された匿名加工情報の提供を受けて取り扱うことはできるのか」という論点として出てきて、独法には個人情報保護法38条等が適用されないから、そういう提供は想定されていないのではないかという話があった。
個人情報保護委員会は、このようなケースについて、ガイドライン、Q&A、事務局レポートのいずれにも書いていない。
医学系研究倫理指針見直しのパブリックコメントでは、その点に係る質問があり、以下のように回答されていた。
Q (略)国立大学付属病院は、「独立行政法人等の保有する個人情報の保護に関する法律」の規定によるが、「法」に従う私立大学、私立病院、私立の研究機関、学会等が主導して行う他施設共同研究に国立大学付属病院が参加する場合には「指針」の第17は該当しると考えられる。ここでは、特に(9)の「匿名加工情報の提供を受けた」場合の公表に係る対応について、研究者の負担を増大させることが懸念されるため、過剰な負担を強いることのない記述を検討いただきたい。(略)
A 第17の(9)については、個情法に規定されている内容を引用しているものであり、法律と同等の手続きを行わなければ匿名加工情報にはならないため記載を変更することができません。なお、国立大学が匿名加工情報の提供を受けた場合には、匿名加工情報ではなく、個人情報又は個人情報でない情報(非個人情報)のどちらに該当する情報かを判断し、個人情報又は非個人情報として取り扱っていただく必要があると聞いています。詳しくは総務省にお尋ねください。
「と聞いています」「総務省にお尋ねください」という回答もなかなかだが、総務省行政管理局は未だここのところの見解を公けにしていないのではなかろうか。
この回答では「非個人情報」となる場合も想定されているが、前掲図4のように、少なくとも行政機関法改正法の立案段階では、民間の「匿名加工情報」を公的部門が受領したら常に行政機関法上の個人情報に該当するとされていたのである。
ちなみに、法案に先立って有識者らが検討していた(という体裁の)「行政機関等が保有するパーソナルデータに関する研究会」の「行政機関個人情報保護法・独法等個人情報保護法の改正に向けた考え方」」(2016年3月7日)では、この点について以下のように書かれていた。
なお、公的部門が民間部門から匿名加工情報を受領する場合、行政機関等は所掌事務の範囲内でしか匿名加工情報の入手はできず、通常、他の第三者に提供することは想定しがたい*8 こと、法令に基づく場合は民間企業等から加工前の個人情報の提供を受けることができること、セキュリティ面で適正な取扱いを行うことは当然のことと想定されることを踏まえて、規律を設けることが必要かの検討が必要である。
行政機関個人情報保護法・独法等個人情報保護法の改正に向けた考え方, 行政機関等が保有するパーソナルデータに関する研究会, 2016年3月7日
この研究会の「考え方」は、改正法案の閣議決定(3月8日)の前日に公表されたもので、その3日前に8か月ぶりに開かれた会合で検討され決定されたものなので、この時点ですでに前掲図4の説明資料は完成していたわけである。
ここで、その「3日前に8か月ぶりに開かれた会合」の議事要旨を確認したところ、これに近い論点が、以下のように議論されていた。
【宍戸構成員】(略)その上で、事務局に少し整理をお伺いしたいのは、例えば、行政機関が匿名加工情報を作って、それを国立大学法人にご提供いただいたとします。その行政機関が作った匿名加工情報は、国立大学法人にとっては何らかの形で照合可能なので、なおそのままでは独個法上の個人情報に当たる、そういう整理の仕方になるのですか。
そうではなくて、国立大学法人は最初の加工前の個人情報を持っていないので、個人情報ではないと考えるのですか。
【事務局】今のご質問ですけれども、行個法上は、目的外でも国の行政機関が独立行政法人に対して相当の理由があれば、個人情報そのものを提供できる。すなわち独立行政法人で、元データを入手し得るのであれば、元の個人情報と照合することができ、個人情報に該当するということになるのではないかと考えております。
【宍戸構成員】そうだといたしますと、今回の法改正において、匿名加工情報が少なくとも行政機関及び独法の間を回っている間は常に、カテゴリーとして匿名加工情報は個人情報の中に入っている、そういう整理ですか。
【松村構成員】考え方には、そのように書いてあります。「すべからく」そうだと書いてあるから問題だと申し上げているところです。
【下井構成員】そういうものもある、ということではないですか。
【佐藤構成員】その問題を突き詰めていきますと、行政機関ないし独法の間で元となる個人情報の受け渡しができるとなりますと、2つ考えなければいけないことがあります。まず、行政機関ないし独法の間で匿名加工情報を取り扱っていいのかどうか。もともと照合できるものを渡しても仕方ないので、独法は行政機関の匿名加工情報を買ってはいけないと整理をするのか。買った場合には何か行政執行上の理由で、個人情報ファイルと個人情報そのものをもらうというのと同じ扱いにするのか。おそらく、どちらかの整理をしていかないといけないと思います。
それは、どういうふうにお考えになっていますか。
【大槻管理官】今回の仕組みは、基本的に行政機関で加工した情報を民間で活用してもらうことを想定していますので、行政機関同士や、行政機関と独法間のやりとりは想定していません。
そうしますと、事実上匿名加工情報的な情報をやりとりしたら、どういうふうに取り扱うかということでありますが、その場合はもともとの行個法の取扱いにさかのぼって、個人情報である部分は個人情報としての規律で取り扱っていただくということかと思います。
【佐藤構成員】1つ気になるのは、独立行政法人や国立大学法人で、行政機関から匿名加工情報をもらおうといったときに、私立大学は買えるけれども国立大学法人は買えないということが起きてくるのではないですか。
【宍戸構成員】同じことですが、国立大学法人東京大学が提供するデータは、慶応義塾大学は買えるけれども京都大学は買えないといった問題が起きませんか。
【藤原座長】今のお話は、東大病院と慶応病院と市立の大学とで、医療データをどのような回し方をするのかという以前からの問題のことだと思います。
まずその前に12ページの議論を片付けてしまうと、公的部門と書いてあり、独法も行法も両方とも含みますし、独法と行政の間であれば現在でも生データの交換ができるわけですから、今佐藤構成員が言われたような心配はないわけですね。
【佐藤構成員】ただ、独法や大学が例えば研究で使いたいといった場合に、行政執行上の理由でそのデータが欲しいと言えるかというところです。
【藤原座長】それは、まさしくデータによるのではないですか。そこは今と変わらないと思います。それについて、医療データ等では困るから、医療の分野等については何とか回す仕組みを作ろうという議論をしてきたわけです。そこの基本線は変わらないお話だと思います。
12ページのなお書きのところは、ここまでのような議論を招くものであれば、10ページとの整合性、及び現行はどこまでできて、今度はどうなるのかという趣旨がはっきり分かるような直し方をさせていただきたいと思います。
第16回議事要旨, 行政機関等が保有するパーソナルデータに関する研究会, 2016年3月4日
この会合は一般傍聴していたので、このやり取りは記憶にある。ただ、後半の、独法は匿名加工情報を取得し利用できるのかの方だけが記憶に残っていた。今改めて見ると、前半部分は、行政機関・独法で作成された匿名加工情報は行政機関法・独法法上の個人情報であるとされた話の流れで、それを別の行政機関・独法で受領したときも個人情報なのかという議論だったようだ。私は傍聴していたときこれを聞き逃していたようだ。てっきり、作成された行政機関・独法において個人情報という話だけがされているのだと思っていて、匿名加工情報を行政機関・独法が受領すると常に個人情報になるという話がされているとは、思いもよらなかったのだろう。
これについて、事務局ははっきりと、「独立行政法人で、元データを入手し得るのであれば、元の個人情報と照合することができ、個人情報に該当するということになる」と答えている。しかも、「元データを入手し得る」ことの根拠として、「行個法上は、目的外でも国の行政機関が独立行政法人に対して相当の理由があれば、個人情報そのものを提供できる」という法律上の可否を理由にしている。
これはびっくりだ。個人情報該当性について、「他の情報と照合することができ」をどう解釈するかは、これまで、行政管理局の解説書が以下のように説明していた。
照合の対象となる「他の情報」には、その保有者が他の機関である場合も含まれ、また、公知の情報や、図書館等の公共施設で一般に入手可能なものなど一般人が通常入手し得る情報が含まれる。特別の調査をすれば入手し得るかもしれないような情報については、通例は「他の情報」に含めて考える必要はない。しかし、事案によっては、個人の権利利益を保護する観点からは、個人情報の取扱いに当たって、より慎重な判断が求められる場合がある。行政機関の長は、当該個人を識別するために実施可能と考えられる手段について、その手段を実施するものと考えられる人物が誰であるか等をも視野に入れつつ、合理的な範囲で考慮することが適当である。
解説 行政機関等個人情報保護法, 総務省行政管理局
なるほど、たしかに、照合の対象とする他の情報には「他の機関」が保有するものを含むとされている。
ただ、これまでの私の理解では、他の機関が保有していれば常に該当するわけではなく、その機関と何らかの関係性を持つ場合に限られるものと思っていた。そうでなければ、「他の機関」というのが未知の組織である場合も含めて、保有しているかを把握しなければ個人情報該当性を判断できなくなってしまう。
その点、この論点においては、「匿名加工情報の提供を受けた」という関係性の存在が前提になっている。提供を受けた機関から提供した機関への日常的な問い合わせが行われていなくても、提供した機関から提供を受けた機関への(単発の場合を含め)提供があれば、つまり、組織間に片方向の関係性さえあれば、提供を受けた機関において「他の情報と照合することができ」に該当するということであろうか。
ちなみにこの解説書の言う「他の機関」というのは、行政機関等のことなのだろうか。それとも民間組織も「機関」に含むのだろうか。
そして、この研究会の議論のときは、改めて見ても、公的部門から公的部門への匿名加工情報の提供に関してのみ議論されていたが、今回の開示資料に書かれている前掲図4の整理では、民間部門から公的部門への匿名加工情報の提供においても、常に、提供を受けた行政機関・独法では個人情報に該当するというのである。
提供を受けたという片方向の関係性があれば提供元の情報との「照合することができ」に該当するという解釈は、私は、むしろ賛成したい素晴らしい解釈だと思うが、これまで、てっきり、支持されていない解釈だとばかり思っていた。
その点、このような解釈に反する事例として、よく引き合いに出されるのが、情報公開・個人情報保護審査会の答申「平成18年度(独個)答申第3号」である。
この事案は、独法法が適用される国立大学法人東京大学が、医科学研究所ヒトゲノム解析センターにおいて保管しているDNA及び診療情報等について、本人からの自己情報開示請求に対して不開示決定をしたことに対する請求者からの異議申立てがあり、審査会が決定を妥当と判断したものであり、その判断において、独法法2条2項該当性について、以下のように判断していた。これは、今回の行政管理局の整理に反するように見える。
異議申立人は、情報はすべて匿名化してからバイオバンクジャパンに送るとはいえ、それには個別のIDが付与されており、送付後も協力病院が持っている個人を識別する情報と結び付けることが可能な状態にあり、これは、法に定義された「個人情報」に該当するものであって、法2条2項には、「他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む」と記されている旨主張する。
しかしながら、上記(1)において、諮問庁が詳細に説明するとおり、バイオバンクジャパンに提供された試料及び臨床情報については、個人情報保護の観点から、厳格な取扱いを行なっているところであり、取り分け、上記(1)のイ(ウ)ゝ擇哭△里箸り、「匿名化に用いた対応表は、各病院の個人情報管理者及び個人情報管理補助者以外は扱うことができない。」及び「提供者提供者の個人情報が付された情報資産は、病院以外では扱うことのできない(病院内で提供者の個人情報の匿名化を施すため、病院外の組織においてはレベル3の情報資産は存在しないこととなる)。」とされていることから、バイオバンクジャパンは、提供された試料及び臨床情報について、個人を特定する情報を保有していないだけでなく、個人を特定する情報を協力病院から入手することもできず、異議申立人が主張する「協力病院が持っている個人を識別する情報と結び付けることが可能な状態にある」とは認められない。
したがって、バイオバンクジャパンが保管している情報は、「他の情報と照合することができ」ないため、「それにより特定の個人を識別することができることとなるもの」ではないので、法2条2項の個人情報に該当するとは認められない。よって、(略)
この事案では、病院から東大への提供であるので、病院が民間事業者であれば、前記の通り、「他の機関」と言えるのかという論点が残るかと思ったが、病院に国立病院も含まれていたのであろうから、それは明らかに「他の機関」に含まれるので、やはり、この答申の判断は、今回の行政管理局の整理に反しているように思える。
繰り返しになるが、「片方向の関係性があれば照合することができる」とする解釈は、私は賛成であり、民間部門にも適用していくべきと考えている*9のだが、ただ、行政管理局のこの整理が解せないのは、匿名加工情報が照合によって常に個人情報に該当するとした点である。
匿名加工情報がそもそも照合によって個人情報に復元されるのか
この点は、昨年3月6日の日記「行政機関法では匿名加工情報が個人情報に当たるですって?(パーソナルデータ保護法制の行方 その20)」で詳しく書いている。このときは、松村雅生構成員が、執拗に事務局の見解はおかしいと追求していた様子を速報で書いた。その後、議事要旨が公開されているので、改めて、松村構成員の主張した部分を以下に引用しておく。
【松村構成員】12ページの真ん中のなお書きについてです。匿名加工情報というのは、元の情報があるのだから、行個法上の個人情報に当たると整理されています。一方で10ページでは、先ほど下井構成員がご指摘されたように、個人情報を加工して個人情報該当性を適切に排除すれば、行個法上の個人情報ではなくなると整理されています。
もちろん「個人情報該当性を適切に排除すれば」となっていますが、では、どのような加工のやり方であれば、個人情報該当性を排除することができるのかどうか。それはどうなっているのでしょうか。
【大槻管理官】趣旨としましては、10ページにありますとおり、個人情報該当性を適切に排除するということですけれども、12ページのなお書きのところをどういうふうに読み取るかということを、もう少し詳しくご説明します。
行政機関の中においては、当然作成の元になった個人情報は持っているものですから、それと照合すれば、個人情報に当たるものである言えるかと思います。これを実際に民間事業者に提供する場合どうなるのかということですが、そういった場合、民間事業者においては、元の個人情報は当然持っていませんから、まず照合されることはないだろうと考えられます。したがって、個人情報該当性が適切に排除されたものを提供するという趣旨でございます。
【松村構成員】匿名加工情報は、もちろん若干個人識別性が残っているかどうかという議論がありますけれども、大半は識別性がなくなったものを言っているわけです。それについても、12ページでは、保護法の適用になるから、利用・提供は勝手にできないという趣旨で書いてあります。その点について、今のご説明とどういうふうに整合性があるのでしょうか。
【大槻管理官】繰り返しになりますけれども、個人情報該当性を適切に排除するというのがもともとの発想ですけれども、吟味したところ行政機関の中にあるときに、個人情報なのかどうか、どちらかと整理したならば、個人情報と言わざるを得ないということです。
【松村構成員】元の情報を持っている限りは、いくら一部だけを取り出して渡そうとしても、渡せませんよというのがこの12ページの考え方ではないのですか。そうした場合に、10ページの「個人情報該当性を適切に排除すれば」利用・提供は問題ないというケースが起こり得るのでしょうか。行政機関が匿名加工情報を提供しようとする場合に、元の情報を持っていれば、その一部個人識別情報でなくなった場合でも出せないと、12ページには書いてあるのではないですか。そのように読めるのですが、そうでなければ、そうでないように書いた方がよろしいのではないでしょうか。
【大槻管理官】分かりました。「適切に排除する」というのが、きつく書き過ぎていて、12ページに書いている内容と整合性がとれないのではないかということについて、10ページの表現を少し検討したいと思います。
【藤原座長】松村構成員のご指摘は、民間でもときどき問題になりますが、提供元にデータがある限り、どう加工しようと提供元としてみれば照合できるというお話ですか。
【松村構成員】個人情報だから利用・提供できないという問題の話です。ところが、問題ないと書いてある。
【事務局】松村構成員からご指摘ございましたが、民間法制の場合は本人というのが限定となっておりますが、行政機関個人情報保護法の場合は第8条第2項第4号に基づき特別の理由があれば提供し得るということですので、必ずしも提供できないということにはならないだろうと考えられます。
それから、先ほどの下井構成員のご発言とも関連するのかもしれませんが、個人情報そのものではなく、これを加工して外部に提供した場合には、もう個人が識別されないものであり、元データとの照合では、確かに個人情報に当たるかもしれませんが、権利利益侵害性の高低はかなり違うということもあります。そういった元データとの照合では個人情報に当たるとしても、提供の在り方については新たな提供の仕組みは考え得るのではないか。現在ですと、特別の理由に該当するということで提供するとなると思いますが、もともとの個人情報そのものとは性質が違うような情報の提供の在り方を新たに整備することによって、提供しやすくなっていくという側面があるのではないかと思います。
【松村構成員】私は、どちらが正しいかを問題としているのではなく、少なくともこの考え方の中で、12ページのなお書きのところと10ページの「個人情報該当性を排除すれば」利用・提供は問題ないというところが矛盾している点を指摘しているのです。
【藤原座長】以前、公的部門と民間部門について、個人情報該当性は提供元基準か提供先基準かという議論をしたときに、提供元でもあり提供先でもあるというご説明であったのを覚えていらっしゃると思うのですが、そこのところのお話にも関係するのではないかと思われます。松村構成員の従来からの御主張は理解しているつもりです。
ただ、公的部門は民間部門と異なり、8条の記述のスタートのところが違うのではないですかね。
【松村構成員】これで最後にしようと思いますが、行政機関個人情報保護法の問題として、12ページでは提供元に個人情報があるのだから、どう加工しようと識別性が残っている、個人情報の規制がかかるという趣旨で書いてあると理解できる一方、10ページでは加工したらそれはもう個人情報から外れるから、目的外の利用・提供も自由にできると書いてあるように読めます。
この点は矛盾しているのではないでしょうか。私は提供元、提供先どちらの識別性の基準に立つべきかを議論しているつもりはありません。
(略)
【松村構成員】それでは、1点だけ確認ですが、12ページのなお書きの考え方をとりますと、匿名加工情報は、すべからく行個法で言う個人情報に当たると、この研究会では整理されるということでしょうか。
【藤原座長】すべからくといわれると考えますが、行個法ではそうもなります。
【松村構成員】そうしますと、この12ページのなお書きは、どう読めばよろしいのでしょうか。
【藤原座長】それでは松村構成員のご質問に関連しますので、ここで佐藤構成員から意見書が提出されているご意見を開陳していただけますか。
(略)
【松村構成員】考え方には、そのように書いてあります。「すべからく」そうだと書いてあるから問題だと申し上げているところです。
【下井構成員】そういうものもある、ということではないですか。
第16回議事要旨, 行政機関等が保有するパーソナルデータに関する研究会, 2016年3月4日
このように議論は平行線のまま終わっていたのだが、前掲の開示資料(2月19日作成)には、続くページの「別紙2」で、次のように書かれている。
2 「匿名加工情報」と「個人情報」
(1)「匿名加工情報」と改正後の個人情報保護法の「個人情報」
改正後の個人情報保護法における匿名加工情報は、「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」(第2条第9項)と定義されている。作成に用いた個人情報を「復元することはできない」が、自ら保有し、又は入手可能な他の情報との照合により特定の個人を識別することも概念上はあり得ることから※、「匿名加工情報」は、個人情報保護法の「個人情報」に当たることもあり得る。
改正後の個人情報保護法では、匿名加工情報を作成する民間事業者及び取得する民間事業者に対して、特定の個人の識別のための照合の禁止を義務付けており(第36条第5項及び第38条)、その結果、民間事業者にとっては、当該匿名加工情報は、「個人情報」には該当しないものとなる。
(※)実際には、現時点で想定している加工の方法により「個人情報を復元することができないようにした」情報であって、他の情報との照合により特定の個人を識別することができるものは、現時点では想定していない。
(2) 「匿名加工情報」と行政機関個人情報保護法の「個人情報」
匿名加工情報は、それ自体では、作成に用いた個人情報を「復元することができない」が、作成にあたり削除した記述等や個人識別符号、加工の方法に関する情報など、他の情報との照合により特定の個人を識別することができることから、行政機関個人情報保護法の「個人情報」に当たるものである。
なお、作成にあたり削除した記述等や個人識別符号、過去の方法に関する情報等が廃棄された場合には、他の情報との照合により特定の個人を識別することができなくなり、「個人情報」にはあたらないこととなる。また、匿名加工情報の本人が全て「生存する個人」でなくなった場合には、「個人情報」にはあたらないこととなる※。
(※)「匿名加工情報」は、個人に関する情報であるのに対して、「個人情報」は、生存する個人に関する情報である。
(1)が民間部門の話で、(2)が公的部門の話となっている。
(1)の言っていることは、民間部門において、匿名加工情報は、「自ら保有し、又は入手可能な他の情報との照合により特定の個人を識別することも概念上はあり得る」という理由から、そのままでは個人情報に該当する場合もあるとしながら、改正により、「特定の個人の識別のための照合の禁止を義務付けて」いることから、個人情報に該当しなくなるという整理である。
この整理は、以前から問題視していた*10考え方で、「匿名加工情報は何でないか・後編」で書くつもりだと何度か言いつつ、まだ書いていないところである。その後、個人情報保護委員会のガイドラインとQ&Aはこの論点に触れなかったが、「事務局レポート」にはこの点が書かれてしまった。また、JILISからの情報公開請求で開示された、2015年の個人情報保護法改正案の内閣法制局法令審議録から、これまで判明していなかったことも明らかになったことから、いずれその「後編」でそのことをがっつりまとめる予定である。
それにしても、この部分に「※」として、「実際には、……現時点では想定しないない。」などと書かれている。これは重要な記述だ。つまり、匿名加工情報が「自ら保有し、又は入手可能な他の情報との照合により特定の個人を識別すること」というのは、あくまでも概念上あり得るとされているにすぎず、実際には、そういうことが起きるような「加工の方法」というのを、現時点では想定していないというのである。これが何を意味するかについては、その「後編」で書くつもりだ。
そして、(2)では、公的部門での話として、(1)と同様の理屈を用いて、自ら保有している情報との照合により特定の個人を識別することができるとし、ここには書かれていないが、行政機関法では再識別の禁止規定を置かないことから、個人情報に当たるとしている。
ここでおかしいのは、一見、(1)と同じ理屈を用いているようで、同じではないことだ。(1)では、あくまでも概念上あり得るという話であり、実際にはそうなるような加工の方法を想定していないと言っている。それなのに、(2)は、そこを無視して、常に「個人情報に当たる」としてしまっている。そこに理由は何ら示されていない。
両者の文章の違いをもう少し分析してみると、(1)では「自ら保有し、又は入手可能な他の情報との照合により」となっているのに対し、(2)では「作成にあたり削除した記述等や個人識別符号、加工の方法に関する情報など、他の情報との照合により」と、具体化されている。削除したものや加工の方法は「自ら保有し」でいるものに相当するだろう。
「削除したものや加工の方法」と照合することで、匿名加工情報が元の個人情報に復元できるというのは、いったいどういう加工方法を想定しているのであろうか。(民間部門ではそういう加工方法は想定していないと、(1)の「※」が言っている。)
一つ考えられるのは、加工元で、鍵付きハッシュ関数で「仮ID」を作成し、鍵を残して保管する場合である。鍵は「対応表」に相当するもので、医学系研究分野で言われるところの「連結可能匿名化」(「連結可能仮名化」と呼ぶべきだが)に相当するものである。この場合、元データと対応表を用いれば、仮IDの付された匿名加工情報は、元の個人情報に対応づけることができ、復元できるということになる。このとき、「元データ」が「作成にあたり削除した記述等や個人識別符号」に当たり、ハッシュ関数のアルゴリズムと鍵が「加工の方法」ということになろう。
ここで、仮IDを残した匿名加工情報の提供はアリなのかという論点がある。これはナシとすべきだったと思うが、これについてもさきほどの「後編」で書く予定である。
仮IDを残さないのであれば、「削除したものや加工の方法」と照合することで元の個人情報に復元できることはないと言うべきだと思う。逆に言えば、そのような加工方法を、個人情報保護委員会の加工基準の規則は求めているのだと言うべきだと思う。
ともあれ、行政機関法改正案の立案段階では、このように、匿名加工情報は常に個人情報に該当すると整理されてしまった。
そのため、そのままでは、改正前の行政機関法の各義務規定が、作成した匿名加工情報にも適用されてしまい、目的外利用・提供の禁止等の規定に抵触してしまうことになるため、法案は、「保有個人情報」や「個人情報」から「行政機関匿名加工情報」と「削除情報」に該当するものを除くとした。この件は、3月5日の日記「鳥取県の条例改正案、非識別加工情報導入で矛盾噴出(パーソナルデータ保護法制の行方 その28)」の「「非識別加工情報」を個人情報に係る義務から除外していない」の節でも述べた。
開示資料を見ると、この除く作業に、手間をかけて綿密な検討が行われていた。以下の写真のページなどがそれである。
1枚目の写真のページには、「規律の一覧性の観点から、行政機関匿名加工情報及び行政機関匿名加工関連情報に関する措置は、新設する規定において措置することとし、現行の規律からは、除外することとする。」と書かれている。(ここで、「行政機関匿名加工関連情報」という語が出てくるが、これは後に「削除情報」の語に変更され、今に至る。)
2枚目の写真のページの図は、匿名加工情報と削除情報について、「個人情報」、「保有個人情報」、「個人情報ファイル」に係るそれぞれの規定について、どういう理由で除外するのかを整理している。
3枚目の写真の図は、各条で除外するのかしないのかを整理し、間違いがないか確認する表になっている。
匿名加工情報が個人情報でないのなら、こんな整理は無用だったのに、なんともはや、いかにも内閣法制局で強いられる作業だなという感がある。
内閣法制局長官の大どんでん返し
さて、以上を踏まえて、ようやく本題に戻る。
このような「長官・次長配布版 説明資料」が作成され、2016年2月22日と23日にかけて、内閣法制局長官・次長による検討と指摘があったようだ。それを受けて作成されたのが、次の2月29日付の資料である。
「関連規定を修正すべき」と指摘されているが、前掲の通り、これは根本から見直す必要が生じるのであり、図6で整理したような「規律の一覧性の観点から」の除外規定なども、全部吹っ飛ぶことになる。
これでは堪らんということだったのか、1週間後の2月29日に内閣法制局長官に持ち込まれた資料では、行政管理局の対応は、それに従わないものとなっており、以下のように書かれている。
行政機関匿名加工情報は、作成に用いた個人情報等特定の情報と照合した場合に限り、特定の個人を識別することができることから、それを明確化するために、第9項を追加し、それ以降の項を1項ずつ繰り下げました。<別紙1参照>
なんと、長官の指摘に真っ向から逆らっている。「作成に用いた個人情報等特定の情報と照合した場合に限り」云々と、これまでの整理を繰り返し、それがわかりにくいようだから「それを明確化する」として、9項を新たに追加するというのである。
なお、この修正前では、匿名加工情報の定義は以下のようになっていた。
8 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。以下この項において同じ。)の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
この定義は、強調部を除いて、民間部門における定義と同一である。強調部は、民間部門と公的部門とでの「容易に照合」と「照合」の差分を吸収して、民間部門における個人情報のみを加工の対象とするという趣旨である。この点は問題がなく、素直な定義条文だったと言えよう。
これに対して、長官の指摘を受けて追加する(2月29日に)という9項の内容は、以下のものであった。
9 この法律において匿名加工情報について「特定の個人を識別することができない」とは、匿名加工情報に含まれる記述等により、又は他の情報(匿名加工情報の作成に用いられた個人情報その他個人情報保護委員会規則で定める情報を除く。)と照合することにより、匿名加工情報の作成に用いられた個人情報の本人その他の特定の個人を識別することができないことをいう。
こういう定義規定はアリなんだろうか。8項の条文解釈を2条の定義規定に書こうとする内容になっている。
ここで、照合の対象とする「他の情報」から除く情報を、「個人情報保護委員会規則で定める情報」とした(規則に委任した)のは何故なんだろうか。後で規則で規定するくらいなら、法のここにそのまま書けばよいことのはずだ。一般に、規則に委任する意義は、制定後に状況の変化に応じて改正しやすいようにするといったことにあり、些細な規定であるはずのところ、解釈を「明確にする」ために書いたこれを規則に委任するというのは、理解できない。
ここは、憶測にすぎないが、時間がない中で、結局、決めることができず、先送りしたのではないか。
この資料は、この修正の理由について、以下のように書いている。前掲図5の説明が、より詳細化されたような記述になっている。
【理由】
1 個人情報保護法における匿名加工情報と個人情報の関係
個人情報保護法に規定する「匿名加工情報」は、「特定の個人を識別できないように、個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」とされている(第2条第2項)。
これについては、匿名加工情報は、他の情報と照合したとしても、基本的には特定の個人を識別することができない情報であることを規定したものであるが、その場合であっても、次のような特別な情報と照合した場合等には、なお特定の個人を識別される余地があるものである。
加工に用いた個人情報自体や当該個人情報を複製して作成した情報との照合
加工に用いた個人情報と加工の方法に関する情報を用いて作成した情報との照合
加工に用いた個人情報から削除した記述等及び個人識別符号と加工の方法に関する情報との両方がある場合におけるそれらの情報との照合 等
個人情報保護法の「個人情報」における他の情報との照合による特定の個人の識別については、照合が「容易に」行えることを要件としており(第2条第1項)、これらの情報との照合は、「容易に」行えるものではないことから、個人情報保護法では、「匿名加工情報」は、個人情報保護法の「個人情報」にはあたらないものである。
※ このように、「匿名加工情報」は、基本的に他の情報と容易に照合することで特定の個人を識別することができないものであるが、技術の進歩を勘案すると、照合による識別可能性を技術的に完全に排除することは、将来にわたって確実とまではいえないことから、個人情報保護法では、匿名加工情報取扱事業者に対して、識別行為の禁止義務を設けている(第38条)。
これは、修正前の図5と、言っていることが違っている。
図5の整理では、民間部門の個人情報保護法では、匿名加工情報について、「他の情報との照合により特定の個人を識別することも概念上はあり得る」としつつ、「特定の個人の識別のための照合の禁止を義務付けて」いることから、個人情報に該当しなくなるという整理だったが、その考え方が、この修正した整理では消滅している。
それに替わって、そういう照合は「容易に行えるものではない」という新たな考え方が登場し、それを理由として、民間部門では、「匿名加工情報」が「個人情報」にあたらないという整理になっている。
なぜこうなったのだろうか。推測にすぎないが、これが長官の指摘だったのではないか。つまり、長官が「匿名加工情報は個人情報にあたらない」とする指摘に際して、なぜそうなのかの理由が、民間部門における考え方として、このように説明されたのではないか。
もしそうだとすれば、照合禁止規定の存在により容易照合性が否定されるという、一昨年の個人情報保護法改正案の立案段階で一時、整理された考え方は、内閣法制局長官の頭の中ではその後否定されているのではないだろうか。これは、前記の「匿名加工情報は何でないか・後編」で書こうと思ってきた推測と符合する面がある。(これにつていは、その「後編」で書くこととしたい。)
そして、続いて次のように書かれている。
2 行政機関個人情報保護法における匿名加工情報と個人情報との関係
行政機関個人情報保護法では、「匿名加工情報」は、個人情報保護法に規定する「匿名加工情報」と同じ範囲となるように規定することとしている(第2条第8項)。
行政機関個人情報保護法の「個人情報」は、個人情報保護法の「個人情報」とは異なり、他の情報との照合による特定の個人の識別について、「容易に」行えるものであることを要件としていないことから(第2条第2項)、1 銑のような照合により特定の個人を識別することができる情報については、「個人情報」にあたることになる。
3 行政機関個人情報保護法における規定の明確化
2のとおり、行政機関個人情報保護法では、「匿名加工情報」は、「個人情報」に該当する場合があるものであるが、それは、1 銑のような特別の場合に限られるものであることから、「匿名加工情報」が一般に他の情報との照合により特定の個人を識別することができるものであるという誤解が生じないようにするため、匿名加工情報について「特定の個人を識別することができない」こととは、「匿名加工情報の作成に用いられた個人情報その他個人情報保護委員会規則で定める情報」という特別の情報との照合の場合以外には、特定の個人を識別することができないことであることを明らかにする規定を設けることとしたい。
このように、前半の「2」の部分で、行政機関法では、「容易に」ではなく「照合する」ことによってでも個人情報に該当することとなるから、行政機関法では匿名加工情報は個人情報に当たるのだという整理になった。
この理由説明の文を見ると、常に個人情報に当たるとは言っていないようである。「 銑のような照合により特定の個人を識別することができる情報については」とあり、そうでない場合もあることを想定した整理に変更されたように見える。
この整理は、前掲のパーソナルデータ研究会の最終回会合での、事務局や管理官の説明と食い違っている。この資料の日付が2月29日、前掲のパーソナルデータ研究会の最終回会合は3月4日だから、研究会でも、変更された整理に沿って説明されて然るべきところ、変更前の整理のまま説明されたように見える。どういうことだろうか。*11
また、研究会の有識者の方々には、こうした法制局との整理は見せていなかったのであろうか。もし見ていれば、あのような平行線の議論を延々続けずに済み、皆でこの混乱した状況をどう打開するか検討することもできたかもしれない。*12
それにしても、「「 銑のような照合」が、「容易に照合すること」はできないものの、「照合すること」はできるとするのは、どういう基準からなのか。おそらく、照合の手段の技術的な困難性のことを言っているのではないか。前掲の「【理由】」の「1」には「※」として、「技術の進歩を勘案すると」云々と書かれている*13ので、照合の容易性を技術の問題と捉えたフシがある。
しかし、私は、「容易に照合することができ」と「照合することができ」の違いを、技術的困難性で区別するものとして解釈すべきでないと考えている。このことについては、2016年12月30日の日記「宇賀克也「個人情報保護法の逐条解説」第5版を読む・前編(保護法改正はどうなった その5)」の「Q14問題が前進」の節で軽く触れたが、いずれまた詳しく書くつもりである。
そこを仮に、百歩譲って、技術的困難性の違いと捉えたとしても、個人情報保護委員会の加工基準に従って適切に作成された匿名加工情報が、元データと照合できてしまうというのは、どういう状況を言うのかという疑問に辿り着く。
前節では、元データと照合できる例として、「仮ID」を残して提供する場合を挙げたが、その例の場合、技術的に全く困難ではないので、民間部門の「容易に照合」でも照合できるのであり、公的部門の「照合」と違いが生じないわけで、行政管理局の新しい整理で両者を区別しようとした、その思惑に相応しい例にはならない。
したがって、ここでいかなる照合が想定されているのかは、謎ということになる。無理くり例を考えてみるに、例えば、乱数(暗号論的擬似乱数生成器)を用いて匿名加工が行われているとしたときに、その暗号論的擬似乱数生成器のアルゴリズムが非常に高度な分析によって危殆化(暗号アルゴリズムの危殆化のように)してしまい、元データとの対応関係を予測できるようになってしまう事態が何十年後かに訪れるかもしれないという可能性をもって、行政機関法では「照合することができ」る可能性を否定できないから「照合することができ」るとしているなら、それは法律論的に言ってあまりにバランスを欠く整理であり、不適切な法制執務だと非難されて然るべきものだろう。
他にどういう場合が想定されるのか。行政管理局はそこの答えを持っていないのだと思う。空理空論でその場の状況に都合よく辻褄が合う理屈付けが編み出されただけで、現実に即した実体を伴っていないものだろう。
そして、後半の「3」の部分は、この整理を前提として、9項を新たに導入する必要性を、「 銑のような特別の場合に限られるものであることから、「匿名加工情報」が一般に他の情報との照合により特定の個人を識別することができるものであるという誤解が生じないようにするため」と説明している。
「誤解が生じないように」というが、行政法規の条文で誤解を恐れる必要などあるのだろうか。解釈は別途示していけばよいことだろう。そもそも、「「匿名加工情報」が一般に他の情報との照合により特定の個人を識別することができるものであるという誤解」など、いったい誰がするのだろうか。
このような展開になった経緯として、やはり憶測に過ぎないが、法制局長官との議論において、まず、長官から「匿名加工情報は個人情報じゃない」と言われたのに対して、行政管理局はそれまでの整理を説明したところ、長官から「常に個人情報になるわけじゃないだろ。仮に個人情報に当たる場合があるとしても、一部のケースに過ぎないはずだ。」といった指摘があり、その「一部」というのがどういう場合なのか明らかにすることを宿題とされたのではないか。その宿題の回答が、前掲の「 銑」であり、「 銑のような特別の場合に限られるものである」ということなのだろう。
「誤解が生じないように」と言っているが、要は、行政管理局の前の整理がおかしかっただけである。
そして、開示資料には、この理由説明に付属する「(参考)」として、以下の、「行政機関匿名加工情報から本人を識別する行為の禁止義務を措置しないこと」という説明もあった。
この説明が「(参考)」として用意されていたということは、別案として、行政機関法にも、民間部門と同じように、再識別の照合禁止規定を置けばよいとする意見もあったことを窺わせる。つまり、修正前の整理では、「民間部門では照合禁止規定があるから個人情報でなくなるが、公的部門では照合禁止規定を置かないので個人情報となる」という理屈が使われていたので、「ならば、照合禁止規定を置けばいいじゃないか。」という意見も出てくるわけだ。
その案は採用しないとするのが、この説明であり、その理由が以下のように書かれている。
1 行政機関については、次の理由から、照合によって識別する行為を禁止する必要はない。
行政機関匿名加工情報は、民間事業者に提供するために作成するものであることから、作成した匿名加工情報を自ら利用することを前提とした規律として、作成した行政機関匿名加工情報を他の情報と照合することを禁止する義務(個人情報保護法第36条第5号参照)を設ける必要はない(実際のところ、元となる保有個人情報を有する行政機関は、作成した行政機関匿名加工情報について、他の情報と照合する必要も動機もない。)。
行政機関は、所掌事務遂行に必要でなければ、個人情報を取得、保有してはならないため(行政機関個人情報保護法第3条第1項)、他者から提供を受けた匿名加工情報を不正に復元することによる個人情報の取得、保有は認められない。また、行政機関としては、所掌事務遂行に必要であれば、匿名加工情報の作成に用いた個人情報自体を取得することも可能であり、匿名加工情報から本人を識別するために受領した匿名加工情報を他の情報と照合したり、加工に関する情報を取得する必要も動機もない。したがって、行政機関の長に対して識別行為の禁止義務(個人情報保護法第38条)を装置する必要はない。
2 一方で、仮に行政機関の長に対して、行政機関匿名加工情報(又は他者から提供を受けた匿名加工情報)から本人を識別する行為を禁止すると、以下のような場合に識別行為を行うことが禁じられることとなり、行政事務の適正かつ円滑な遂行に支障を生じるおそれがあると考えられる。
行政機関匿名加工情報に対して、保有個人情報の開示請求があった場合に、識別行為を禁じられると、開示請求の対象となった行政機関匿名加工情報が保有個人情報に該当するか否かを判断できないおそれがある
行政機関である個人情報委員会において、民間事業者や行政機関等による匿名加工情報の取扱いを監督することに支障を生じるおそれがある
まず、1の△砲弔い討世、これは、要するに、行政機関は法令に定められた所掌事務しかしないから、不正なことをしないし、所掌事務として必要なら元々法的に元データを取得できるということを言っている。これは、行政機関法が、個人情報保護法17条(適正な取得)の「偽りその他不正の手段により個人情報を取得してはならない」に相当する規定を置いていない理由*14と同趣旨のことと思われる。
しかしそれを言うなら、独法法はどうなのか。独法法には、5条(適正な取得)に「独立行政法人等は、偽りその他不正の手段により個人情報を取得してはならない。」と規定している*15わけで、行政機関と同列には考えられないことを意味している。ならば、独法法には、匿名加工情報に対する再識別の照合禁止規定を置くべきだったと言えるのではないか。これは、前記の、国立大学や国立研究開発法人が匿名加工情報を取得して研究に利用することは認められるのかという論点の解決策だったかもしれないのに、気付かれないまま改正法が成立してしまったように思えるが、どうか。
次に、1の,砲弔い董
段落の前半部分は、民間部門が再識別の照合禁止規定を置いている理由が、匿名加工情報を作成した事業者が自ら目的外利用することを許すためであると想定している様子が窺える。(ちなみに、ここからも、修正後の理由では、修正前にあった「容易照合性を消滅させるための照合禁止義務」という考え方が破棄された様子が窺える。)
段落の後半部分(括弧書きの部分)は、「実際のところ……他の情報と照合する必要も動機もない。」と言い切っている。ここは大変重要なことなので覚えておきたい。
次に、2では、「仮に……禁止すると、行政事務の適正かつ円滑な遂行に支障を生じる」と言っている。さっき「照合する必要も動機もない」と言い切ったばかりなのに、いきなり矛盾している。
支障が生じる例として ↓△示されているが、,蓮◆峭埓機関匿名加工情報に対して、保有個人情報の開示請求があった場合」と言うけども、前掲図6のところで整理されていたように、行政機関匿名加工情報は、開示請求権の対象としないことにして、保有個人情報から除外しているのだから、これは例になっていない。△浪燭問題なのかよくわからないし、いくらでも解決方法があるだろう。ずいぶん急いで書いたのか、無理のある内容になっている。
まあ、ここはあくまでも「参考」にすぎないのであり、いずれにせよ、再識別の照合禁止規定を置けばよいとする別案は採用されなかったわけである。
長官のちゃぶ台返し (ノ`m´)ノ ~┻━┻ (/o\)
このような行政管理局の対応に対し、法制局長官はどう思ったのだろうか。その翌日の3月1日に、再び長官・次長との面談があったようで、「御指摘への対応」が以下のようにまとめられていた。
御指摘内容に、「匿名加工情報が、行政機関個人情報保護法では個人情報に該当するのであれば、「匿名加工個人情報」とすべきではないか。」とある。
今の法制局長官のキャラクターを存じ上げないので空想でしかないが、これは長官の逆鱗に触れたのではなかろうか。
長官は前回「匿名加工情報は個人情報じゃないだろ。根本から直せ。」と指摘したのに、行政管理局はそれに従わず、「匿名加工情報は個人情報の場合があるということ。一般に個人情報だとの誤解が生じないようにした。」という対応案を持ってきたわけだ。長官はこの回答に全く納得しなかったのではなかろうか。用語の名前を変更したところで解決にならないのに、名前を変えよという。これはもはや、「そんなに匿名加工情報が個人情報だ言うなら「匿名加工個人情報」と言えや!」と、匙を投げたような展開になったのではないだろうか。
2月29日に持ち込まれた資料には、案文に「匿名加工個人情報」と直す手書きの書き込みメモがあった。
そして、3月1日の資料の続きには、以下のようにその修正理由が整理されている。
【修正点】
「匿名加工情報」を「匿名加工個人情報」に改めるとともに、「匿名加工情報」について設けていた第2条第9項での規定の内容を、「匿名加工情報」の定義において規定する。【理由】
匿名加工情報が個人情報保護法における「個人情報」に該当しないのに対して、行政機関個人情報保護法では、「匿名加工情報」は「個人情報」に該当するものであることから、その違いを規定上明確にするため、「匿名加工情報」と定義していた情報について、「匿名加工個人情報」とするとともに、相違している部分について、定義において明確にすることとしたい。
名前変更の理由が「その違いを規定上明確にするため」とされているが、長官の指摘は本気でそういう必要性があると考えてのものだったのだろうか。激怒してか、拗ねてか、意固地になって名前を変えろとしたものに、こうして理由が後から作られていっているだけではないのか。
もう一つの変更点は、長官の2番目の指摘への対応で、前の指摘への対応で新設した9項を、8項の定義中に組み込むというものだ。やはり、条文解釈を定義条項で規定するというあのような形は認められなかったのか。
その結果、この修正で、匿名加工情報(匿名加工個人情報)の定義が以下のように煩雑なものになってしまった。
8 この法律において「匿名加工個人情報」とは、次の各号に掲げる個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。以下この項において同じ。)の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報(当該情報に含まれる記述等により、又は当該個人情報その他個人情報保護委員会規則で定める情報情報以外の情報と照合することにより、当該個人情報の本人その他の特定の個人を識別することができないものに限る。)であって、当該個人情報を復元することができないようにしたものをいう。
強調部が、図9の9項から移設されてた部分で、「……識別することができないことをいう。」が「……識別することができないものに限る。」に変更され、他にも若干の変更が加えられている。(その後さらに修正されている。)
そして、この3月1日の面談で、さらなる名称の変更が検討されたようで、3月1日付の案文に、以下の手書きメモがある。
なんと、「匿名加工利用情報」という案もあったようだ。どうしてこうなったのか開示資料には記載がないが、昨年に鈴木先生らから聞いたところでは、「匿名加工個人情報」という名称には与党からの反対もあったとか。確かに、「匿名加工個人情報」という名称では、「個人情報なのに提供していいのか」という反発が起きかねず、国民の理解を得られないだろう。(名前がどうであれ中身は同じなのであり、中身をどうにかしないといけないわけだが。)
そして、翌日の3月2日、再々度、長官・次長の面談があったようで、「長官・次長指摘(3月1日)への対応概要」という資料が作成されていた。
ここで、「非識別加工情報」という名称に変更となった。
もはや理由の説明文は付けられていないが、「御指摘内容」には、「匿名加工情報について、基本法の「匿名加工情報」とは異なる文言とすべきではないか。」とある。これは、推測するに、前回の指摘では、「個人情報なんだから「匿名加工個人情報」にせよ」としたものの、その名称には反対があったことから、個人情報であることを明確にするためでなくても、せめて基本法(個人情報保護法)の名称と違ったものにする必要があると、指摘の理由を譲歩したものではないか。
これも重要なところで、行政機関法で「非識別加工情報」という名称になっている理由は、それが個人情報であることを明確にするわけではなく(その理由は破棄されている)、とにかく個人情報保護法の「匿名加工情報」とは何かが違うのだといった程度の趣旨しかないものと解するべきだろう。
このようにして、「匿名加工情報」→1週間後→「匿名加工個人情報」→当日→「匿名加工利用情報」→翌日→「非識別加工情報」という変遷をたどり、その6日後に法案が閣議決定された。
国会審議での展開
国会では、衆議院と参議院のそれぞれで、ここも論点の一つとなった。その概要については、昨年6月12日の日記「行政機関法改正の論点 国会会議録から抜粋(パーソナルデータ保護法制の行方 その23)」で、以下のように書いていた。
「1. 匿名加工情報 定義と照合による識別」については、個人情報保護法制全体の体系を破壊しかねない重要な論点であった。衆議院の参考人質疑に鈴木正朝先生が呼ばれ、問題点の指摘と修正案の例示がなされている。
問題点を簡潔にまとめると、「匿名加工情報」であったはずの名称が、閣議決定直前に「非識別加工情報」という別の名称に変更されたこと、また、その「非識別加工情報」の定義が、民間部門の「匿名加工情報」定義とは指している情報の範囲が異なり得る(個人情報保護委員会規則によって可変になっている)ことから、行政機関で作成された匿名加工情報である「非識別加工情報」と民間部門の「匿名加工情報」の概念同一性が不確かとなってしまった。「非識別加工情報」が民間事業者に提供されたときその受領者には再識別禁止の義務を課すのがこの制度のキモであるが、法案では行政機関法にその規定を盛り込んでおらず、改正個人情報保護法の38条(識別行為の禁止)でそれを担保する予定であったのに、閣議決定直前の変更により両者の概念同一性が不確かとなったことから、必ずこの義務がかかるのかが謎な法案となってしまったのである。
鈴木参考人の修正案は、定義中の2番目の括弧書きを削除して委員会規則への委任規定を排し、定義が指す情報の範囲を民間部門の「匿名加工情報」と同一にし、かつ、名称を「匿名加工情報」に戻すとするものであったが、結局は採用されていない。
この結果、この法案を正当化するために、行政管理局は、いくつもの無用な理屈を答弁せざるを得なくなった。まず、名称をわざわざ違える理由は、民間部門では匿名加工情報が当該事業者において非個人情報であるとされているのに対して、「公的部門では当該機関において個人情報に当たる」から、そのように違うものだということを明確化するためのものとされた。次に、公的部門でそのように匿名加工情報が個人情報に該当する理由が、民間部門と異なり「公的部門では再識別禁止の規定を入れていない」ことによるとされた。ここで、第1の誤りが固着してしまった。この理屈を正当化するために、「民間部門では匿名加工する事業者自身による再識別を禁止する規定がある」旨の答弁が繰り返されたが、改正個人情報保護法36条5項は、「自ら当該匿名加工情報を取り扱うに当たっては」と限定的なケースについて禁止しているだけであって、常に禁止しているわけではない。すなわち、民間部門で匿名加工情報が非個人情報となるのは、匿名加工する事業者に再識別禁止の義務が課されているからではないのである。この第1の誤解釈を前提として「再識別禁止の義務があれば容易照合性が否定される」という理屈が用いられ、これが第2の誤りの固着となった。次に、そうすると「なぜ公的部門にも再識別禁止規定を置かないのか」という指摘が入るものだから、置かないことの正当化に奔走することとなり、「公的部門では元データとの照合を必要とするから」という理屈が編み出され、ありもしない不必要な具体事例がでっち上げられて答弁される事態となった。さらに、「個人情報であるのに提供してよいのか」という指摘も出てくるので、これに対抗して、「民間部門では提供元基準かもしれないが、公的部門では提供先か提供元かという基準は設けていない」と答弁せざるを得なくなり、これが第3の誤りの固着となった。このとき、民間部門とでそのような違いが生ずる理由として、「公的部門では民間部門とは違い、利用目的以外の目的のために第三者に提供するという場面は例外的な場合に限られているから」などというイミフな理屈まで飛び出した。
このような答弁をせざるを得なくなった行政管理局は誠にお気の毒であったが、これら第1〜第3の誤りは、基本法の解釈にも悪しき影響を及ぼす看過できないものである。このように法が成立したことで、今後、心ない有識者らがこれら多数の誤りを含む国会答弁の理屈をそれがあたかも当然の真理であるかの如く無批判に自身の教科書に転記していくことになるだろう。その読者らがそれを真に受けてしまえば、我が国の個人情報保護法制体系の完成は遠のくばかりである。せめて行政管理局におかれては、已む無く捻出した理由の部分についてはあえて逐条解説に書かないでおくという正義を示してほしいところである。
この論点については、次回以降で改めて詳細に検討する予定である。
行政機関法改正の論点 国会会議録から抜粋(パーソナルデータ保護法制の行方 その23), 2016年6月12日の日記
「次回以降で改めて詳細に検討する予定」と言っていたのが、今ようやく書けているわけだが、改めて振り返ると、大筋で外していなかったと言えよう。上記の開示資料の検討を踏まえれば、新たに言えることもある。
まず、公的部門と民間部門とで匿名加工情報の概念同一性が重要であることは、当初案から意識されていて、定義する情報の範囲が一致することで担保しようとしていた(前記の通り)ことが確認できた。それが、名称が全く異なるものに変更され、定義条文に変更が加えられた(一時、9項としていたものが、8項へ組み込まれた)ことで、概念同一性が失われてしまった。
2月29日時点の行政管理局の対応では、8項の「匿名加工情報」の定義はそのままとしつつ、その解釈を9項に規定するという形だったので、まだ概念同一性は維持されていると言えたのに、3月1日の変更で、それを8項に組み込むことになった時点で、定義する情報の範囲が委員会規則に委任する形となり、概念同一性が失われてしまった。委員会規則に委任としてしまった理由は定かでないが、1週間で検討しなくてはならかった結果だということが判明した。2回目以降の長官指摘への対応は1日で成さねばならず、根本的な対応策を練る時間は全くなかった様子が窺えた。
このことについて、衆議院内閣委員会では以下のやりとりがあった。
○高井委員 全くお答えいただけていないんですけれども。
これは難しい部分なんですね。ただ、専門家の間ではかなりこの問題は話題になっていて、では、なぜそういうことになっているかというと、先ほど申し上げましたとおり、もともと匿名加工情報と同じ概念であれば問題なかったわけですよ。当初、総務省だって、行政機関個人情報保護法といえども、匿名加工情報という言葉でずっと検討会も進めてきたわけですよ。それが、二月の下旬になって、法制局から突然これはだめだと言われて、違う言葉になったことによって、いろいろな矛盾が生じているわけです。
其田事務局長にもう一度伺いますが、これは、きちんと総務省と議論はしているんですか。私は、非常に時間もタイトだし、個人情報保護法との整合性がとれていない。先ほど上村局長は、個人情報保護法のことは所管じゃないのでよくわからないとお答えになりましたけれども、これはまさに密接する法律ですから、ここに矛盾があったら大混乱になるんですけれども、本当にこれは一週間かそこらの時間で、しっかり法文全体を見て、どちらの方にもそごがないようにしっかり検討されたんですか。
○其田政府参考人 お答え申し上げます。
法案の検討の過程は、今委員がおっしゃったとおり、非常に急に短い間でということであったのは事実でございます。ただ、事前に私どもも総務省から法案の御説明をいただきまして、条文も御説明をいただきまして、確かに少し解釈は難しくなったなというふうには承知をいたしましたけれども、先ほど総務省の局長から御答弁申し上げましたような形で、法的な、論理的な整合性というものはできているというふうに認識をいたしまして、今後、法案の御審議をお願いすることになっているというふうに承知をしております。
次に、国会審議では、名称をわざわざ違える理由が、「公的部門では当該機関において個人情報に当たる」ことを明確化するためのものと答弁されていた。これは何度か答弁されているが、会議録から拾ってくると、例えば以下がそれである。
○高井委員 (略)私は、変更したことによって、いろいろな法文、ほかの法文にも影響が生じていて、非常に大きな問題であると今思っているんですけれども、これはなぜ非識別加工情報という別な言葉に修正をしたのか。そして、これによってほかの条文への波及をする混乱というのは生じないんでしょうか。
○上村政府参考人 お答えを申し上げます。
委員御指摘のとおり、今回、この法案では非識別加工情報という名称でお諮りをしたいと思ってございますが、行政機関が作成する非識別加工情報というのは、もとの個人情報から氏名それから住所を削除する、あるいはデータを入れかえする、こうした方法によって作成するところなんですけれども、このもとになったデータというものは、これは非識別加工情報をつくった後においても行政機関において保有されるということになっております。
また、非識別加工情報につきましては、行政機関におきましては照合を行う必要がある場合もあり得ます。したがいまして、他の情報と非識別加工情報の照合を禁止するという規定は置いていないわけでございます。
そういたしますと、これは理論上、行政機関の内部におきましては、非識別加工情報は、作成のもととなったデータと照合することは可能ですので、個人情報に該当することになります。他方、委員御指摘の個人情報保護法におきます匿名加工情報は、これは個人情報に該当しないということになってございますので、この二者を区別する必要がある。そのために別の名称、この場合、非識別加工情報という名称を付しているというわけでございます。
○濱村委員 (略)一方で、では、非識別加工情報と匿名加工情報、なぜ名称が違うのかという点、これはどういう違いがあるのかということについて法律上の観点で明らかにしたいと思いますが、どのような違いがあるでしょうか。
○上村政府参考人 御指摘のように、匿名加工情報と非識別加工情報は、双方とも、特定の個人を識別できず、もとの個人情報を復元できないように加工したものである、こういう点では共通するものでありますけれども、個人情報保護法が適用される民間事業者におきましては、この作成者それから需要者(転載者コメント:「受領者」の誤り(速記者の聞き違いが修正されなかったもの)と思われる。)ともに、識別行為の禁止義務、これは三十六条五項及び三十八条で課せられています。したがいまして、匿名加工情報は、いずれにおきましても個人情報の該当性が否定されるものでございます。
他方、行政機関におきましては、非識別加工情報の作成後におきましても、もとの個人情報のデータを保有するところ、民間事業者に課せられる識別行為の禁止義務に相当する規定を設けておりません。そのことから、理論上、非識別加工情報は、その作成のもととなったデータと照合することが可能であるために、基本的にこの非識別加工情報は個人情報に該当することになります。
このように、個人情報保護法が適用される民間事業者と行政機関個人情報保護法が適用される行政機関とでは、加工後の情報が個人情報に該当するか否かという点で法律上の位置づけが異なるわけでございます。このような法律上の位置づけを踏まえまして、名称を変えているということでございます。
これを改めて見ると、行政管理局長の答弁は、2月29日の修正前の整理(2月19日付説明資料)に基づいているようだ。
つまり、民間部門では「識別行為の禁止義務」があるから「個人情報の該当性が否定されるもの」だと言い、行政機関法では「作成のもととなったデータと照合することは可能ですので、個人情報に該当する」と言っている(常に該当するという意味になっていて、「該当する場合もある」とは言っていない。)が、それは、2月29日の修正後の整理で破棄された考え方のはず(前記の通り)だ。
2月29日の修正後の整理では、民間部門の「識別行為の禁止義務」の有無とは関係なく、民間部門では「容易に」要件があるから元データと照合できないのに対して、公的部門では「容易に」要件がないから元データと照合ができる場合が存在し得るという理屈で、「個人情報である場合もある」という整理に変更されたはずだ。行政管理局長は、それを踏まえずに答弁したのではないか。
もしくは、2月29日の整理がその後さらに破棄されたという可能性もあるが、それは内閣法制局長官の指摘を無視したことになるのではないか。
そして、名称を変更した理由も、「加工後の情報が個人情報に該当するか否かという点で法律上の位置づけが異なる」ことを明確にするためだと答弁されているが、これも、3月1日の法制局長官指摘で理由が変更されて、3月2日付の資料にあるように、個人情報か否かとは関係なく、単に基本法(個人情報保護法)のそれとは異なるものだと示す程度の意味しかないと再整理されたはず(前記の通り)ではないか。行政管理局長は、そういった議論があったことを踏まえずに答弁したのではなかろうか。
これについては、他にも以下の答弁がある。
○上村政府参考人 お答えいたします。(略)
それで、御指摘の、条文中の「他の情報」に係る括弧書きでございますが、その点を明確にしたものでございます。
このように明確化を図ることで、行政機関の内部におきましては、非識別加工情報が個人情報に当たるということを、職員も含めまして、不当な目的で利用することは許されないなど、法律上厳格な取り扱いを求めることとしたということでございます。
参考人の御意見は大変貴重なものだと思いますが、行政機関個人情報保護法は行政機関内部での厳格な規律を定めるものでございまして、このような観点から、政府としては、お示ししている今の定義が最適なものと考えております。御理解を賜りたいと思います。
これも後付けの理由で、全くおかしい。たとえ、非識別加工情報が個人情報に当たる(ものがある)としても、行政機関非識別加工情報は、従前の行政機関法の規律から除くように規定している(前掲図6)ので、個人情報だからといって従前の規律(正確性の確保だとか)に従う義務は課されないのであり、行政機関非識別加工情報には、行政機関非識別加工情報に係る規律に従えばよいわけで、職員に非識別加工情報が個人情報であると意識させる必要性はない。そのように法を構成したではないか。
そもそも、職員に意識させる必要があると言うなら、まさに「匿名加工個人情報」という名称にするべきだっただろう。「非識別加工情報」という名称では、職員に個人情報と意識させる効果はないわけだし、個人情報と意識させる意図は、3月2日の再整理で破棄された考え方ではないのか。
次に、「行政機関におきましては照合を行う必要がある場合もあり得ます。」という答弁も出ていたわけだが、これは、「名称を非識別加工情報にする必要がある」→「行政機関法ではそれは個人情報だから」→「行政機関法では識別行為の禁止義務を置いていないから」→「行政機関では識別禁止行為の義務を置けないから」→「行政機関では識別を行う必要があるから」と、流れ流れて出てきた理屈だが、前記の通り、2月29日付の資料(図10)では、「実際のところ、元となる保有個人情報を有する行政機関は、作成した行政機関匿名加工情報について、他の情報と照合する必要も動機もない。」と言っていたわけで、話が違ってきている。
国会では、以下のように、さも初めからその必要があったかのように答弁されていた。
○奥野(総)委員 (略)まず最初に、先ほどもちょっとございましたけれども、いわゆる匿名加工情報と非識別加工情報の違いですね。なぜ行政機関の方については非識別加工情報というワーディングを入れたのか、その違いについて伺いたいと思います。
○上村政府参考人 お答えいたします。
非識別加工情報は、行政機関が民間事業者に提供するために作成するものでございまして、適正に加工されることによりまして特定の個人を識別することができないようになったものではございますが、先ほども答弁をいたしましたように、新制度が施行されていく中におきまして、行政課題の解決等のために、提供元の行政機関等において照合行為を行う必要が生じることがあり得ます。そうしたことから、今回の行政機関個人情報保護法の改正案につきましては、照合禁止義務をまず置いていないわけでございます。
(略)
○奥野(総)委員 今のお話ですと、行政機関等については照合禁止義務を設けていないということなんですが、その理由、民間については照合禁止義務があり、そして行政機関等については照合禁止義務を設けていない理由について、もう一度伺いたいと思います。
○上村政府参考人 繰り返しになりますけれども、非識別加工情報の提供を受けた民間事業者から何らかの事故情報等あるいはそのおそれ等の情報のフィードバックがあった場合に、行政機関の責務と申しますか公共的な立場から、行政課題の解決のために、提供元の行政機関等において照合行為を行うという必要があり得る場合があるということでございます。これは、行政事務の適正かつ円滑な遂行を義務としております行政機関にとっては必要な規定であろうと思いますので、こういう禁止義務は置いていない、こういうことでございます。
○奥野(総)委員 直観ですごく気持ち悪いんですよね。これがあるということは、識別ができてしまうということですよね。復元はできないにしても、識別はできてしまう。要するに、特定の個人がわかってしまう。特定の個人がわかってしまうような情報を民間に渡してしまう。まさに個人情報を民間に渡すということになるわけですね。渡した瞬間にこれは名前が変わると言っていますが、しかし、個人情報ですよね。個人情報を民間に渡してしまう気持ち悪さというのがあると思うんですよ。
もう少し具体的に、では、どういう場合に識別しなきゃいけないか。民間に渡してしまった、その上で、では、どういう場合にもう一回照合しなきゃいけないか。具体的にもう少し例を挙げることはできますか。
○上村政府参考人 現時点で、まだどのような情報を非識別加工情報として御提供するかということも決まっていないわけでございますので、あくまでもこの法案立案担当部局として想定し得るケースということで御答弁させていただきたいと思います。
例えば、交通事故情報でございますけれども、こうした交通事故情報に関する非識別加工情報の提供を受けた民間事業者から、この事故が、原因が、運転者の過失ではなくて車両自体に問題がある可能性がある、こうした情報提供を受けた場合に、緊急にその事故関係者を特定して調査等を実施していく必要が生じた場合、そうしたものが一つ考えられるかと思います。
○奥野(総)委員 そもそも、やはり個人情報は出しちゃいかぬと思うんですね。今のは相当プライベートな情報ですね。個人の事故に係る情報、それを識別してフィードバックするということなんですけれども、個人情報そのものを出しているという、そこの気持ち悪さが残るんですね。(略)
繰り返しになるが、2月29日の行政管理局作成資料では、「実際のところ、元となる保有個人情報を有する行政機関は、作成した行政機関匿名加工情報について、他の情報と照合する必要も動機もない。」としていたわけで、元データを持っているんだから再識別なんて必要も動機もないと言っていたわけだ。この国会答弁で出てきた「事故情報のフィードバック」の事例も、元データを持っているのだから、フィードバックを受けて対処をすることはできるわけで、そこに、当該匿名加工情報との照合は必要ないと言うべきだろう。
この疑問には当然気づかれるわけで、参議院の審議では、以下のように、そのことが質問されていた。
○石上俊雄君 続きまして、基本法の照合禁止についてお伺いしたいと思います。
資料七の,留βΔ書いてありますけれども、基本法では、匿名加工情報への照合禁止は提供元にも提供先にも課せられるわけであります。しかし、よく考えてみると、そもそも加工元は匿名化される前の元データを保有しているわけでありますから、このような制限が何で必要なのかという、そういう疑問が浮かんでくるわけでありますので、その辺についてお答えいただきたいのと、識別行為禁止の適用除外が必要な場合というのは本当にないのかというところをまた考えるわけであります。
資料の七の△砲舛腓辰伴┐気擦討い燭世ましたが、加工者が主観的に匿名化できたと考えて出したものを客観的に識別可能で苦情が寄せられた場合、法律上の紛争解決もあるわけでありますけれども、当事者間における任意解決もあるわけでありまして、言わば、俺の情報を何で出したんだと、これは私の情報だといったことを訴えられて、じゃ、それをよしとしてあげるからちょっと金銭的なという要求がなされたときに、それが事実なのかというのを確認するために照合しないとできないわけであります。こういうことが本当できなくていいのかというところの疑問があるわけでありますので、この辺について、個人情報保護委員会、お答えいただけますでしょうか。
○政府参考人(其田真理君) お答え申し上げます。
匿名加工情報は、個人情報の本人を識別することを禁止する等の制度的な担保を前提といたしまして、目的外利用でありますとか第三者提供に係る本人同意の取得が求められないことなど、個人情報、一般の個人情報の取扱いに比べて緩やかな規律の下で利活用を認める、可能にする制度でございます。
委員御指摘の苦情対応のための識別の必要性につきましては、事業者は作成の元となる個人情報を保有しておりまして、また加工日時でありますとか手法等、加工に関する情報を保有しておりますので、苦情の申出のあった方の情報がこれに含まれているかどうかということは、匿名加工情報を識別のために照合しなくても可能であると考えられます。
したがいまして、委員会としましては、識別行為の禁止義務について例外規定を設けなくても実務上の問題は生じないものと考えております。
○石上俊雄君 (略)あと、次にちょっと入りますが、今まで照合禁止についてお伺いをさせていただいたわけですが、資料七の,房┐靴燭茲Δ法∈2鵑旅垳痛,任蓮提供元、行政機関ですね、での照合はこれ禁止していないんですね、可能ということになっているわけであります。総務省の研究会では、基本法同様に行個法でも、提供元、行政機関における照合禁止を明記しても問題ないんじゃないかという意見もあったわけなんですけれども、改正案では行政機関に照合禁止義務を置かなかったということで落ち着いたわけであります。
このことについて何なのかなというふうに疑問が湧きますので、そのことについてお答えいただきたいというふうに思いますし、照合の必要性がある場面としてどういう状況を想定しておられるのか、できれば具体的な例も挙げていただきながら御説明いただけますでしょうか。総務省、お願いします。
○政府参考人(上村進君) お答えいたします。
委員御指摘いただきました総務省の有識者研究会では、確かに検討途上におきまして、そのような照合禁止を設けても問題はないのではないかという御意見もあったと、これは事実でございます。その段階ではまだ、後で申し上げますような照合が必要になり得る場合があるという具体的な検討まで至らなかったためではないかと思ってございます。
いずれにしましても、この研究会の最終報告におきましては、行政を適切に執行するため、識別行為を行う必要が生じる場合もあり得るか、検討の上、照合必要性を判断すべきというふうにされているところでございます。
このような御議論も踏まえまして、政府で検討した結果、委員も今御指摘になりましたとおり、非識別加工情報について照合禁止義務というのは課していないわけでございます。これは、新制度が施行されていく中で、行政課題の解決等のために提供元の行政機関において照合行為を行う必要性が生じることがあり得るということを想定しております。この際、照合禁止義務がありますと、行政事務の適正かつ円滑な遂行に支障が生じるおそれがあると、そういうふうに考えるに至ったものでございます。
それで、具体例はというお尋ねでございました。なかなか、想定でございますので、実際こういうことがあるということを今思っているわけではございませんが、立案担当部局としましては、例えばの例といたしまして、交通事故情報に関する非識別加工情報の提供があったといたしますと、この提供を受けた民間事業者から、この事故というのは運転者の過失ではなくて車両そのものに問題がある可能性があると、こういう情報提供を受けたケースがあるといたしますと、同種の事故というのは今後とも起こり得るわけでございますので、緊急に事故関係者を特定して調査を実施する必要というのが生じてこようかと思っております。
また、類似のケースになりますけれども、例えば製品事故情報に関する情報提供を受けた民間事業者から、一定の条件下ではこの製品が重大な欠陥が原因となって事故を起こす可能性があるというふうなことが見付かった場合に、緊急にその製品を使用している本人を特定して通知すると、仮定の例でございますが、そういうことは想定し得ると考えております。
以上によりまして、今回の御提案をしている法案におきましては照合禁止義務というものは課さないということにしたところでございます。
このように、個人情報保護委員会事務局長は、「事業者は作成の元となる個人情報を保有しておりまして(略)匿名加工情報を識別のために照合しなくても可能である」と答えたのに対し、行政管理局長は、「実際こういうことがあるということを今思っているわけではございませんが」としつつ、照合の必要があるとして、製品事故情報の例を示していた。
この製品事故情報の答弁は、まさに元データがあれば何ら問題ない事案だろう。「緊急にその製品を使用している本人を特定して通知する」には、元データから製品名で検索して購入者を抽出できる。そこに匿名加工情報は何の関係もない。
前掲の昨年6月12日の日記では、このことについて、「ありもしない不必要な具体事例がでっち上げられて答弁される事態となった」と書いたが、今回の開示資料でそれが図星だったと判明したと言えよう。
もっとも、匿名加工情報の作成者に対する照合禁止義務はあってもなくてもどちらでもかまわないのであり、瑣末な論点である。このことは、衆議院で鈴木正朝参考人が、次のように質問に答えて指摘していた。
○鈴木参考人 (略)ちなみに、提供元においては識別行為の禁止は照合性の判断の有無には一切影響がないのにもかかわらず、実は、その判断を間違えた上に今回の答弁が立脚しているところが極めて問題だと思っております。もともと、提供元にはもとデータはあるわけですから。鈴木正朝と書いたもとデータがあって、そのコピーは幾つでも、利用目的の範囲内で幾らでもコピーは出てきて、使うことができるわけです。そこから提供データに出したとしても、照合を原則的に禁止する必要はないんです。
なぜこの規定が出てきたかというと、もともとは、Suica事件のように、匿名加工情報について相手方にどうやって引き渡すかというために匿名加工情報を設計していながら、パーソナルデータ検討会でもそこの第三者提供に本人同意が要らないための仕組みをつくりながら、実は、なぜか、どこかからのロビー活動によって社内利用というものが突如登場したわけです。社内利用するにおいて匿名加工情報を切り出したならば、別の規律が、社内において、個人情報とは異なる、非個人情報である特別な匿名加工情報について別な規律を置く必要があることから、分別して管理しなければならないということで、三十六条五項でしょうか、提供元においてもなおかつ識別行為禁止が出てきたんです。
これは、照合の有無の定義とは一切関係ない条文を捉えて、禁止規定があるからないからという無駄な議論をしている。これは、個人情報保護法の基本的解釈を誤った中で行政機関法を組み立てていることの証左であります。
したがいまして、ここの行管の答弁に関しては、もう一度精査して、やり直しを求めざるを得ないということを思っております。
この指摘は、前記の検討を踏まえると、2月29日までの内閣法制局長官の指摘でも、同様のことが言われていたのではないだろうか。2月29日の修正された整理では、「容易照合性を消滅させるための照合禁止義務」という考え方が破棄されたように見えるからだ。「禁止規定があるからないからという無駄な議論をしている」というのは、正に的を射た指摘だったのではなかろうか。
結局どうすればよかったのかは、一つには、単に、行政管理局の元の案に戻せばよかったかもしれないし、鈴木正朝参考人が質問に答えて読み上げていた以下の修正案でもよかったかもしれない。
○鈴木参考人 ここでは定義の話をしておりまして、定義と審査基準は異なると思いますけれども、どうやってここの定義を直したらいいか。
二条八項を見ていただきたいわけであります。
この前半部分の非識別加工情報の定義部分の、括弧、括弧、除く、除くとある、なかなかテクニカルな条項、これはなかなか一読了解にはならないわけですが、これは大変よくできておりまして、いわゆるこの作業は、ベン図を描いていきますと、時間をかけると、よくよく、よくできていることがわかります。
要するに、容易照合性の民間部門法と、容易性がない照合性のみの行政機関個人情報保護法の二つがある中で、非識別加工情報と匿名加工情報の概念を合わせるために、まず前半部分で、容易照合性のある民間法と概念をそろえるところをやっております。
それに引き続いて、今問題になっている「他の情報(当該個人に関する情報の全部又は一部を含む個人情報その他の個人情報保護委員会規則で定める情報を除く。)」という文言が続くわけであります。
すなわち、八項は何をしているかというと、民間法とそろえるということをやっております。したがいまして、容易にという言葉をここでも使ってしまえば、実は簡単に両法律の概念をそろえることができる。多分、やりたいことはそこではなかったのか。時間がなくて、いろいろ文言をひねくり出して詰め切れないから委員会規則に投げる、こういうことをしてしまったのではないかと拝察するわけであります。
修正案を考えてまいりました。ちょっと読み上げてみます。
括弧書きでありますが、個人に関する情報について、当該個人に関する情報に含まれる記述等により、または当該個人に関する情報が他の情報と照合することができる個人に関する情報である場合にあっては他の情報と容易に照合することにより、特定個人を識別することができないことをいう。四十四条の十第一項において同じ。括弧閉じ。
こうすることで、民間部門の匿名加工情報の定義と同じ内容になります。
用語が不一致であるならば、せめて定義を一致させる。でなければ、二つの違った法律の中の違った用語が、官から民に移った途端に当然に三十八条を適用されるというのはなかなかアクロバットなやり口だろうと思いますので、せめて、この括弧書きの内容を委員会規則に委ねず、今のように、容易にという言葉を使って、うまく両概念の整合を図るよう調整いただくことも一案ではないかというふうに思っております。
成立した法の条文と、鈴木参考人修正案の条文を、以下に並べてみる。
8 この法律において「非識別加工情報」とは、次の各号に掲げる個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。以下この項において同じ。)の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができない(個人に関する情報について、当該個人に関する情報に含まれる記述等により、又は当該個人に関する情報が他の情報と照合することができる個人に関する情報である場合にあっては他の情報(当該個人に関する情報の全部又は一部を含む個人情報その他の個人情報保護委員会規則で定める情報を除く。)と照合することにより、特定の個人を識別することができないことをいう。第44条の10第1項において同じ。)ように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
8 この法律において「非識別加工情報」とは、次の各号に掲げる個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。以下この項において同じ。)の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができない(個人に関する情報について、当該個人に関する情報に含まれる記述等により、または当該個人に関する情報が他の情報と照合することができる個人に関する情報である場合にあっては他の情報と容易に照合することにより、特定個人を識別することができないことをいう。第44条の10第1項において同じ。)ように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
今思うと、「容易に照合することにより」というのは日本語的におかしかったかもしれない。「容易に照合することができ」が日本語的に正しいのは、「容易に」が「できる」に係っているからであり、「容易に照合する」というのはやはりおかしいか。直すとすれば、以下でどうか。
8 この法律において「非識別加工情報」とは、次の各号に掲げる個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。以下この項において同じ。)の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができない(個人に関する情報について、当該個人に関する情報に含まれる記述等により、または当該個人に関する情報が他の情報と照合することができる個人に関する情報である場合にあっては他の情報と容易に照合することができ、それにより特定個人を識別することができないことをいう。第44条の10第1項において同じ。)ように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
鈴木参考人が述べた「やりたいことはそこではなかったのか」というのは、「特定の個人を識別することができない」という定義条文が、どのような意味で「できない」と言っているのかが、容易照合による識別ができないという意味なのか、それとも、(容易さを求めない)照合による識別ができないという意味なのか、これがどちらともとれることが問題で、その結果このようになったと考えたからで、「容易に」を入れて書き直したというものだった。
しかし、開示資料を見るに、行政管理局の意図はそれとはやや違ったようだ。
2月29日の修正された整理で、2条9項を導入しようとした狙いは、「他の情報と照合することにより、特定の個人を識別することができない」というときの「他の情報」から、元データ(加工に用いた個人情報)を外すというものだったと思われる。行政管理局は、元データと照合できる場合があるからその場合は個人情報となるとしていた(前掲図9の 銑)ので、その場合をここでは問題としない(ここでは「特定の個人を識別することができない」ということにする)ことによって、民間部門の匿名加工情報と合わせようという趣旨だったと考えられる。こうすることにより、行政機関法上は個人情報である場合もあるが、匿名加工情報(非識別加工情報)としては、そのような意味で「特定の個人を識別することができない」ものになっているということになる。
ということは、鈴木参考人案でもよかったとも言える。2月29日の整理では、前記の通り、民間部門では「容易に」要件があるから、元データと容易照合できないので個人情報とならないところ、公的部門では「容易に」要件がないから、元データと照合できて個人情報となる場合があるということで、この違いを理由にしていたのだから、その意味で「容易に」を捉えるなら、鈴木参考人案でもよかったはずだ。
ただ、前記の通り、ここで行政管理局が前提とした「容易に」の有無の違いは、技術的な困難性で区別しているようだから(とは限らないので、推測に過ぎないが)、我々はそのような意味に「容易に」を捉える解釈には反対の立場である。ここは、「容易に」の有無をどう整理するかの論点で、民間部門の定義をどうするかも合わせて、再検討しなくてはならないところだと考えているが、とりあえず、民間部門に合わせた定義にしておくという意味で、鈴木参考人案でもよかったはずだ。
一方、2月22日・23日の法制局長官の指摘では、どのような意味でここを問題視したのだろうか。残念ながら、内閣法制局には、法制局側がどのような指摘をしたのかの記録は一切存在せず*17、行政管理局がメモして作成した記録しか存在しないため、謎のままである。
改正法成立後の状況
そして、今年になって、個人情報保護委員会から、問題となった「個人情報保護委員会規則で定める情報を除く」の委員会規則「行政機関の保有する個人情報の保護に関する法律第四章の二の規定による行政機関非識別加工情報の提供に関する規則」が公布された。その内容は以下であった。
(他の情報から除かれる情報)
第2条 法第2条第8項の個人情報保護委員会規則で定める情報は、同項で規定する個人に関する情報の全
部又は一部を含む個人情報(同項で規定する個人情報をいう。)とする。
これはひどい。法の委任部分と比べてみよう。
【委任元】
当該個人に関する情報の全部又は一部を含む個人情報その他の個人情報保護委員会規則で定める情報
【委任先】
同項で規定する個人に関する情報の全部又は一部を含む個人情報(同項で規定する個人情報をいう。)
何も規定していない。これだったら、初めから委員会規則への委任など必要なかった。
個人情報保護委員会は、非識別加工情報についてのガイドラインも出している。そこでは、この件が以下のように説明されている。
なお、法は、個人情報保護法とは異なり、照合禁止義務(個人情報保護法第36条第5項)を定めていないことから、非識別加工情報は、その作成に用いた個人情報の全部又は一部を含む個人情報との照合によって特定の個人を識別し得ることとなり、法第2条第2項第1号の「個人情報」に該当し得る。このとき、非識別加工情報が、一般に他の情報との照合により特定の個人を識別することができるとの誤解が生じないよう、「特定の個人を識別することができない」について、その記述等自体によって特定の個人を識別できないことはもちろん、他の情報(法第2条第8項で規定する個人に関する情報の全部又は一部を含む個人情報を除く。)との照合によって特定の個人を識別できないように加工したものであることを明らかにしている。
行政機関の保有する個人情報の保護に関する法律についてのガイドライン(行政機関非識別加工情報編), 個人情報保護委員会, 2017年3月
当初、このガイドライン案が出たとき、「誤解が生じないよう」というのが何なんだろうと疑問に思っていたが、今回の開示資料により、行政管理局の2月29日の整理に基づくものだったのだとわかった。
しかし、「照合禁止義務を定めていないことから」と書かれてしまったのは残念だ。行政管理局の修正前の整理に基づいているのではないか。2月29日の修正後の整理に基づけば、このような説明にならないはずだ。
「「個人情報」に該当し得る」と書かれた(常に該当するのではなく)ところは、せめてもの救いか。
規則2条に委任された部分については、依然としてどういう意味なのかわからない。「同項で規定する個人に関する情報の全部又は一部を含む個人情報」というのは、いったい何を指すのか。
この点は、ガイドライン案のパブリックコメントで、JILIS提出意見で尋ねていたところ、以下のように回答が得られている。
Q 意見1【規則2条】【ガイドライン3頁】規則2条が規定する情報として具体的にどのようなものが該当するのか明らかにするべき
意見
規則案2条は、「法第2条第8項の個人情報保護委員会規則で定める情報は、同項で規定する個人に関する情報の全部又は一部を含む個人情報(同項で規定する個人情報をいう。)とする。」としているが、具体的に何を指しているのかが明らかでない。ガイドライン案の3頁には、これに関して、「非識別加工情報が、一般に他の情報との照合により特定の個人を識別することができるとの誤解が生じないよう、「特定の個人を識別することができない」について、その記述等自体によって特定の個人を識別できないことはもちろん、他の情報(法第2条第8項で規定する個人に関する情報の全部又は一部を含む個人情報を除く。)との照合によって特定の個人を識別できないように加工したものであることを明らかにしている。」との説明があり、そこの括弧書きが規則2条の情報を指しているものと推察されるが、それが何を指していて、何を「他の情報」から除くとしているのかが明らかでない。規則2条が規定する情報として具体的にどのようなものが該当するのか明らかにされたい。
理由
法2条8項と規則2条は以下のように解釈されると理解した。
規則2条の「同項で規定する個人に関する情報」は、法2条8項の「当該個人に関する情報の全部又は一部を含む個人情報その他の個人情報保護委員会規則で定める情報」の「当該個人に関する情報」のことを指している。(この理解でよいか確認したい。)
法2条8項の上記,濃仮箸靴拭崚該個人に関する情報」は、同項の「個人に関する情報について、……に含まれる記述等により」の「個人に関する情報」のことを指している。(この理解でよいか確認したい。)
法2条8項の上記,濃仮箸靴拭崚該個人に関する情報」は、同項の「特定の個人を識別することができない(……)ように個人情報を加工して得られる個人に関する情報」の「個人に関する情報」のことを指している。(この理解でよいか確認したい。)
このように解釈すると、規則2条の「同項で規定する個人に関する情報」とは、加工して得られる非識別加工情報のことを指していることになる。しかし、「特定の個人を識別することができないように」というときの、照合の対象から除外する情報として、加工して得られる情報を対象とするのは、意味不明と言わざるを得ない。このため、規則2条が規定する情報が何を指しているのか、不明である。
上記の解釈が誤りであるなら、どこが誤っていて、どのように解釈すべきなのか、お示しいただきたい。
A 本委員会規則案第2条は、非識別加工情報が、「他の情報」との照合により特定の個人を識別することができないよう加工したものとしつつも、行政機関において元の個人情報との照合による識別可能性が残ることから、非識別加工情報であることが否定されないよう、例外的に「他の情報」から元の個人情報が除外されることを確認的に定めるものです。
なお、本委員会規則案第2条では、法第2条8項において他の情報から除かれる情報を「当該個人に関する情報の全部又は一部を含む個人情報」と規定されていることを踏まえて規定しているものであり、「個人情報を加工して蹴られる個人に関する情報」を示すものではありません。
「行政機関の保有する個人情報の保護に関する法律についてのガイドライン(行政機関非識別加工情報編)(案)」に関する意見募集結果, No.1
回答では「元の個人情報」と言っている。それならばそのように、規則を定めるべきだろう。なぜしないのか。
いや、むしろ、あえて定めないでおき、あやふやにしておいた方がよいのかもしれない。ここで、「元の個人情報」と規定してしまうと、我々が反対している「「容易に」の有無の違いを技術的な困難性で区別する解釈」が固定されてしまいかねない。次の改正で直すべきポイントとして胸に刻んでおくのがよい。
さて、以上のような事情により、グダグダな定義となってしまった「非識別加工情報」だが、これから出版されてくる解説書では、どのように説明されるのであろうか。「行政機関では個人情報に当たるから、民間と区別するために非識別加工情報と呼ぶ」などと、訳知り顔で言う輩がこれから何人出てくるだろうか。そんな安直な話ではないし、名前を区別する意義なぞ実はないということを知るべきだ。
地方公共団体の2000の個人情報保護条例もどうなるのか。さっそく拙速に改正した鳥取県がやらかしてしまったわけだが、いちいち「非識別加工情報」という名前でやっていくのか。こんなの「匿名加工情報」と呼べばいいことだろう。
自治行政局が、「地方公共団体が保有するパーソナルデータに関する検討会」で、地方公共団体の個人情報保護条例に「非識別加工情報」の導入を促すべく、「条例改正のイメージ」を出そうとしているが、これを見ると、「非識別加工情報」の定義に、「(当該個人に関する情報の 全部又は一部を含む個人情報その他の規則で定める情報を除く。)」と、例の無意味な委員会規則への委任をそのまま入れていて、それぞれの地方公共団体が定める規則に委任させようとしているのには、もう笑うしかない。
最後に一言。
昨年、このようなグダグダな展開について、今の内閣法制局長官が悪いのだと言われていると(鈴木先生らから)耳にした。しかし、こうして開示資料を熟読してみると、むしろ、「匿名加工情報は個人情報じゃない」との指摘こそが、長官ならではの慧眼だったのではないかと思えてきた。
似たような話は以前にも耳にしたことがある。別の法案についての昔の話だが、閣議決定直前になって、法制局長官の鶴の一声で、全面書き直しとなり、結果的には最も良い案になったことがあったという。部長審査(内閣法制局の)までにいろいろな意見があって、こうしてみる、ああしてみると、時間をかけて少しずつ案を修正していたものが、しだいに矛盾を孕んでいったところ、最後の段で、長官がすべてえいやっと解決してしまったという例だ。
本来、長官にはそれだけの力量が求められるのだろう。その点、今回のケースでは、それができなかったわけである。ただ、個人情報保護法制は、体系が複雑すぎ、また未解明のところも多いため、長官一人で全部解決することを期待するのはさすがに無理があるのかもしれない。
そもそも、2月19日付の「説明資料」は、それまで何か月かかけて、行政管理局が内閣法制局(部長まで)の予備審査を受けて作成されていたものであり、部長と長官で言うことが違うじゃないかといった不満も出たかもしれない。どういう議論を経てこの最初の「説明資料」に至ったのか、そこを調べれば*18何かわかるかもしれない。
それにしても、もう少しうまいやり方はないものだろうか。立案担当部局と内閣法制局とのやりとりは、ずっと非公開の下で行われ、国会審議に入っても、こうした内部資料がオープンになるわけではない。もし、国会でこれらの資料を基に審議することができれば、長官の指摘の趣旨を汲んで、これは何かおかしいことになっているぞと、議員らは気づくことができたのではないか。これが日本の伝統的なやり方で変えられないのだろうが、矛盾を残したままの法律が成立してしまう、危ういものではないか。それが成立してしまえば、さもそれが当然であるかのように解説され、そのまま定着してしまうというのも、いかがなものか。
こうしたことを避けるには、改正の準備が始まる前から、その分野の専門家が、現行法の問題点と解決に向けた立法論を積み重ねておくことが肝要だろう。残念ながら、これまでこの分野では、決まった法律を追認するだけの有識者ばかりで、こんなことになっているようだ。
*1 行政文書ファイル管理簿に掲載されている法律案審議録「行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案(平成28法律51)」
*2 他の法律案審議録ではもっと前の段階からの協議内容が収載されたものもあったが、行政管理局作成の法律案審議録では、一定程度に案が完成した段階から収載するスタイルのようだ。
*3 「行政機関匿名加工情報取扱事業者」という用語は定義されている(成立した法では2条11項)が、どこで使われているかを見てみると、第4章の2(行政機関匿名加工情報の提供)の中で、いずれも「行政機関匿名加工情報取扱事業者となろうとする者は」の形で出てくるだけで、行政機関匿名加工情報取扱事業者に直接義務を課す規定は存在しないので、提供先をそこに絞ったからといって、個人情報保護法の匿名加工情報との関係について効果があるようには思えない。もしかして、さらに前の案では、行政機関匿名加工情報取扱事業者の再識別禁止義務を行政機関法に置く案もあったのではないか。その案が何らかの理由でボツになり、その残骸がこれだということはないか。
*4 加工の方法には鍵付きハッシュ関数の鍵などが含まれることになるので、その秘密性が求められ、取得が禁じられている。
*5 なお、この手当てが必要だということは、地方公共団体が、それぞれに個人情報保護条例を改正して「実施機関匿名加工情報」を導入した場合に、それぞれの条例における「加工の方法」も同様にこの個人情報保護法38条に追加する必要があるということではないか。2000個の条例をここに列挙するわけにはいかないだろうし、そもそも条例で法律を改正することはできないので、これは詰んでいると言えよう。3月5日の日記「鳥取県の条例改正案、非識別加工情報導入で矛盾噴出」にはこれも書いておくべきだった。
*6 本当は、37条も含めたいので、この括弧書きは37条に置く必要がある。
*7 この「等」は、行政機関法と独法法の両方を指すもの。
*8 「所掌事務の範囲内でしか匿名加工情報の入手はできず」と言うが、独立行政法人の国立大学や国立研究開発法人では、様々な研究の目的で情報を取り扱うわけで、それを「所掌事務の範囲内」という括りとしていいのかという論点もあるし、そう括るのだとすると、「他の第三者に提供することは想定しがたい」というのは、研究における情報の取扱いの実態からかけ離れている。
*9 ちなみに、EUの一般データ保護規則(GDPR)では、このような仮名化が施されている場合も、personal dataに該当するとした上で、本人情報開示請求その他の本人関与に係る義務の規則について、その義務を果たすだけのために本人を特定するための付加的な情報を取得したりすることを義務としないとし、本人から、本人関与の権利を行使するために、本人を特定するための追加的な情報が提供される場合を除いて、一部の義務規定を適用しないとする構成になっており、これはなかなかに合理的なルールだなと思う。
Article 11 Processing which does not require identification
1. If the purposes for which a controller processes personal data do not or do no longer require the identification of a data subject by the controller, the controller shall not be obliged to maintain, acquire or process additional information in order to identify the data subject for the sole purpose of complying with this Regulation.
2. Where, in cases referred to in paragraph 1 of this Article, the controller is able to demonstrate that it is not in a position to identify the data subject, the controller shall inform the data subject accordingly, if possible. In such cases, Articles 15 to 20 shall not apply except where the data subject, for the purpose of exercising his or her rights under those articles, provides additional information enabling his or her identification.
*11 この点について、当時噂で耳にしたところでは、法制局対応の担当者と研究会対応の担当者が別だったのではないかという見方がある。
*12 もっとも、非公式に見せられても、それを元にした議論は公の場ではできないであろうが。
*13 この「※」の記述自体は全く間違っていない。よく見ると、38条のことだけに触れており、36条5項に触れていないのであり、これは私の考えと違わない。(36条5項に触れると話がおかしくなる。)
*14 このことは、行政機関法の全部改正法案の立案報告書に、以下の記載がある。
ア 適法かつ適正な方法による取得について
基本法制第5条では、個人情報は、適法かつ適正な方法で取得されなければならないこととされており、同法制第22条では、個人情報取扱事業者は、偽りその他不正な手段により個人情報を取得してはならないこととされている。
一方、行政機関法制では、個人情報の適法かつ適正な取得に関する規定を置くこととしていないが、行政機関における個人情報の取得が、適法かつ適正な手続によらなければならないのは、日本国憲法の下では特別の法律を待たずとも当然要請されるところである。また、行政機関の職員については、国家公務員法(法令遵守義務(第98条))等他の法規により規律されている。
基本法制第22条は、行政機関に関しては既に存在しているこのような行為規範の趣旨が、いわば民間の個人情報取扱事業者に対する具体的な行為規範として規定されたものとみることができるのであって、行政機関法制において、改めて規定する必要はない。
行政機関等の保有する個人情報の保護に関する法制の充実強化について −電子政府の個人情報保護−, 行政機関等個人情報保護法制研究会, 2001年10月26日, 9頁
*15 このことは、前掲の立案報告書に、以下の記載がある。
2 適正な取扱い
(略)個人情報の適正な取得に関する規定(基本法制第22条)に相当する規律については、行政機関の職員の場合、国家公務員法(法令遵守義務(第98条))等他の法規により規律されていること等から、改めて規定を設ける必要はないが、対象法人においては、必ずしもこのような仕組みになっていないことから、基本法制第22条に相当する規定を設ける。
行政機関等の保有する個人情報の保護に関する法制の充実強化について −電子政府の個人情報保護−, 行政機関等個人情報保護法制研究会, 2001年10月26日, 30頁
*16 ちなみに、この質問の様子は、質問者の石上俊雄議員のサイトに詳細にレポートされていた。
*17 内閣法制局に「法令審議録」を情報公開請求してわかったことだが、「法令審査録」のうち内閣法制局作成分は、閣議決定用に完成した最終版の法案だけであった。
*18 現在、追加の情報公開請求中。
