匿名加工情報の論点について・その2

2.匿名加工情報の範囲について

(1)容易照合性と匿名加工情報

総論のところでも指摘したとおり、技術的に一般的に復元できない個人情報というものを決められない以上、匿名加工情報というのは、法的評価を含めて判断せざるを得ません。

国会答弁においても、

衆議院、内閣委員会第6号(平成27年5月15日)の向井審議官の答弁では、
「復元できないようにするとは、匿名加工情報が、通常、人の技術力等能力をもって作成のもととなった個人情報を復元しようとしても当該個人情報に戻ることのないような状態にあることをいい、どのような手法によって復元を試みたとしても本人を識別できないといった、技術的側面から全ての可能性を排除するまで求めるものではございません。」と回答し、技術的に復元可能なことをもって、匿名加工情報でなくなるわけではないことを明確にしています。

ただ、このように考えたとしても、提供元事業者においては、匿名加工情報の加工基準に従ったとしても、やはり容易照合性がなくならない場合がある以上、個人情報に該当するのではないかという疑問があります。そこで、まず匿名加工情報の定義に入る前に、個人情報の範囲の確認をします。

個人情報に該当するか否かは、当該個人情報を保有する事業者を基準に判断するというのが行政解釈です(個人データの第三者提供の際に、提供元事業者を基準に個人情報該当性を判断するのか、提供先事業者を基準にして判断するのかの問題があります。私は条文毎に提供元、提供先基準を使い分ければいいのではと考えていました)。この行政解釈を前提に、改正個人情報保護法の匿名加工情報は定義されています。個人情報に関するデータベースを保有する事業者を基準にすれば、いくら匿名加工を行ったとしても(いわゆる統計情報になるレベルの加工をしなければ)、すべてのデータを突合すれば特定の個人を識別できる可能性が高いので、「他の情報と容易に照合」することにより個人が識別できる、すなわち個人情報に該当することになります。これでは、個人情報の利活用が困難になることから、新たな類型を設けるというのが、匿名加工情報というカテゴリーを新たに設けた趣旨です。

ですが、匿名加工情報という新たなカテゴリーを設けたとしても、個人情報判断の提供元基準を取る以上、提供元事業者においては匿名加工基準にしたがって個人情報を加工したところで、個人情報となる可能性が高い事になります。

(2)提供元事業者における匿名加工情報の個人情報該当性

現在の改正法の元になった、内閣法制局への説明資料段階での当初の改正案では、提供元事業者においては、匿名加工データ(この改正案では匿名加工情報ではなく、匿名加工データになっています)について個人情報に関する義務規定が適用されることが前提になっていました(匿名加工情報の定義も異なります)。

当初の説明資料段階での匿名加工データの公表義務等の条文

(公表等)
第33条 匿名加工データを作成した者の当該匿名加工データの取扱については、第15条から第31条までの規定を適用する。ただし、当該匿名加工データを第三者に提供する場合は、第16条第1項、第2項、及び第23条第1項に定める本人の同意を要しない。
2 匿名加工データ(匿名加工データに別の情報を追加するなどの加工を施した場合を含む。以下同じ。)を事業に供する者は、匿名加工データを第三者に提供する場合は、当該匿名加工データの項目をあらかじめ、公表しなければならない。
【以下、3~4項略】

上記の改正案の33条1項を見ていただければ分かるように、「匿名加工データを作成した者」、すなわち提供事業者の元では、15条から31条の個人情報取扱事業者の義務が適用される、個人情報と同じ扱いだということなのです。これは、個人情報について、提供元基準を取る以上この帰結になるのだとおもいます。

(3)容易照合性の規範的解釈と照合禁止(識別禁止)義務の関係

ところが、実際に改正された法律は、このような規定はありません。想像にすぎませんが、同じデータについて、提供元事業者にある間は、個人情報だけれども、同じ情報が第三者提供する場合にのみ違う概念であるというのはおかしいということで、内閣法制局から概念の整理を求められたのではないかということです(私自身はこのような考え方の方がわかりやすかったように思いますが)。どのような議論を経たのか詳細はよく分かりませんが、匿名加工データから匿名加工情報へと、名称だけでなく、定義ぶりも変更されています。

当初の説明資料段階での匿名加工データの定義規定

(定義)
第2条【1項~6項略】
7 この法律において「匿名加工データ」とは、個人データに対し、当該個人データに含まれる氏名、生年月日、そのたの記述等の全部又は一部を削除する等の加工を施すことにより、特定の個人を識別することができないようにし、かつ、当該個人データに含まれる個人識別情報その他〔広く一般に流通している個人データの項目〕の全部を削除したものをいう。

改正法における匿名加工情報の定義

(定義)
第2条【1項~8項略】
9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
① 第1項第1号に該当する個人情報
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
② 第1項第2号に該当する個人情報
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む
。)。

改正法では、①号、②号に分かれている部分がありますが、ここで注目していただきたい変更点は、説明資料段階の案は比較的、一定の加工をしたものが匿名加工データとなるという説明であるのに対し、改正法において、「当該個人情報を復元することができないようにしたものをいう」が追加されていることです。

当初、同じことを裏から説明しているだけではないかと思ったのですが、「当該個人情報を復元することができないようにしたもの」ということが、匿名加工情報と個人情報を分けるポイントになるようです。もちろん、「復元することができない」というのを技術的な観点からのみ評価すれば、個人を識別できないということの裏返しにすぎないですが、本稿の最初で説明したように、容易照合性のない情報か、すなわち匿名加工情報となるかは規範的な見地(技術ではなく法的な観点から)から解釈されます。そして、匿名加工情報は、法的な観点から個人情報を復元できないから、個人情報ではないと考えているようです。

このことは、内閣法制局説明資料のつぎの説明から伺えます。

「容易照合性の判断は、同事業者の規模、技術的措置、組織的措置等その他具体的な事情を元に総合的に判断する法的評価である。同判断の基礎とされる組織的措置につき、社内規約によって照合を制限するのみでは容易照合性を否定しないと解釈する理由は、同規約による制限に反して照合が行われ得た場合、内規による処罰はあり得ても個人情報保護法においては何ら罰則等が規定されているものでは無く、照合禁止が実質的に担保されるもので無いことにある。対して、改正案は復元行為等の禁止という法的義務を課し照合を禁ずるものであり、当該義務違反に対しては、個人情報保護委員会による執行等が担保され、現行法下の状況とは異なることとなる。このように法的担保によって個人情報等との照合が禁止されているのであるから、容易に照合可能な状態にあるとは言えず、解釈上個人情報に該当しない。」(下線部筆者)

すなわち、改正法の識別行為禁止義務(36条5項、38条)で法的義務として照合が禁止されていることから、規範的な観点から(法解釈上)容易照合性がなくなり、匿名加工情報となるという理解をしているのです。ただ、そうだとすると、識別行為禁止義務がいつから生じるのか、という問題がでてきます。識別行為禁止義務が生じないと匿名加工情報にならないことになるからです。

この点については、次稿、安全管理目的のための匿名化と匿名加工情報の論点で、分析したいと思います。