BUSINESS LAW JOURNAL5月号の「パーソナルデータ 企業法務の視点」は、色々な違和感を感じた特集でした。





パーソナルデータ検討会の技術検討WGがせっかく識別特定/識別非特定/非識別非特定という分類を定義・整理してくれたのに、企業サイドとして登場する人たちがその分類をベースとした議論をせず、未だに個人情報保護法や経産省ガイドラインにおける個人情報(個人データ)の定義を拠り所に反論しているように見えたのが、違和感を感じた主な原因だと思います。

この点に関連して、上沼紫野先生がこのような指摘をされていました(P35)。

氏名到達性がなくても個人は識別可能であり、氏名到達性がなくても個人情報該当性は認められるべきであり、近頃はそれが前提となっている。
どうも事業者の実務担当の方は、提供先基準説を当然の前提にし、提供元基準の可能性を考慮されていないのでは、と思われることが多い。確かに、提供先で特定個人が識別できなければ問題となる可能性が少ないという一般的な感覚は理解できる。ただ気になるのは、個人識別性については氏名到達性を前提としていると思われる点である。第三者提供に関しては、プライバシーに関する一般的感覚に基づいて判断するのであれば、個人識別性もプライバシーに関する一般的感覚で判断し、氏名到達性を要件としないのが一貫するのではないだろうか。データの活用という事業上のニーズは分かるものの、若干つまみ食い的になっているような点が気になるところである。

私も同様の感想を持っていますが、惜しむらくは、上沼先生もやはりこの記事で技術検討WGの定義をそのまま使っていらっしゃらない点。「氏名到達性」を用いたのもミスリードを生みそうな。

と、議論の土俵が微妙にズレたままお互い批判しあっている記事をみてその感想を述べても何も前に進まないので(笑)、この議論を一歩でも前にすすめるために、パーソナルデータの取扱いのあり方をより具体的に検討・議論するための私案として「識別・特定 × 容易照合性マトリックス」を書いてみました。


識別・特定 × 容易照合性マトリックス(GoogleDriveスプレッドシート)

STYSmatrix


まず議論のベースを技術検討WGが定義する識別特定/識別非特定/非識別非特定情報に置きたいと思います。その上で、この表の特徴・新味としては、いわゆる「容易照合性」の高〜低評価について「技術的に困難かどうか」を基準とするのではなく、「社会生活を営む上で通常その情報が露出を前提としたものかどうか」を基準としてみた点にあります。容姿をひた隠し、氏名や住所をどこにも出さずに社会で生きようとしても、そもそも住民登録や学校・会社に入ることすらできないわけでほぼ無理なわけですが、視聴履歴や端末IDは自分から公表したりあえて誰かに情報収集されなければ、表には出ないですよね。分類が難しいのが、この表の真ん中の列に挙げた体臭・詳細な職歴・乗降履歴・病歴といった「知っている人は知っている(身近な人・他人が知りうる)」系の、一定の露出をふせげない情報になります。提供先基準(受領者基準)で不安を感じる人の懸念に照らすと、識別・特定という軸と自己情報の露出度合いを掛けあわせて“漠然とした不安”を重みづけすれは議論しやすいのではないかと、このような軸を定義してみたわけです。

BLJの特集では、この容易照合性について何人かの方が「一般人にとって技術的に困難かどうか」を基準とする主張をされています(P36、P42など)。しかし、もし技術的困難性だけを容易照合性の判断基準としてしまうと、たとえばDNA鑑定は一般人が行うのは困難であるはずであることからDNA情報には容易照合性がないことになり、これを拡大解釈していくと、DNAが個人情報に該当しないパーソナルデータとも評価されかねないので、それはやっぱりヘンじゃないかなあと思った次第です。

なお、氏名など特定/非特定が必ずしも断定できない(同姓同名の可能性もあれば、世界に一人という名前もありうる)ものは、ここではいったん非特定に寄せています。DNAも何兆分の一で一致する可能性があるようですが、そこは現実的なラインで識別特定情報としています。ちなみに体臭は、一卵性双生児であっても犬にかかれば完全に嗅ぎ分けが可能だそうですよ(どうでもいいか)。

赤色セル部分が現行法上も単独で個人情報(個人データ)に該当するであろうことはほぼ議論がないと思いますが、黄色セル部分の情報にどんなものがあるのかを具体的に想定・例示しながら、その情報を取り扱う際の義務をどう規定すべきかを議論できないものかと考えています。私もこの私案を履歴を残しながら随時ブラッシュアップしていくつもりですが、もし、この私案に意見をいただけるのであれば、GoogleDriveのほうにコメント記入権限がついていますので、そちらにご記入いただくか、本ブログのコメント欄にでも残していただければ、修正・改善していきたいと思います。


17:30追記

高木先生から以下tweetでご指摘をいただきました。なるほどと理解ができた点・私の理解が追いつかない点がそれぞれあるのと、この区分が意味を成さないとして何か代わりに議論がしやすくなる土俵を考え付くことができていないので、恐縮ながら取り急ぎtweetのご紹介のみとなります。








2014.3.23 12:00 追記

高木先生より引き続き補足をいただいております。










個人情報を“散在情報”と意味のある整理を施した“処理情報”に分け、そのうち処理情報のみが個人情報保護法上の「個人データ」であるという点を重視し、これと識別非特定情報の概念を掛け合わせるというのは、3月15日のMIAU設立6周年記念イベント「MIAU祭2014」 で高木先生が披露されていた考え方で、私も当該イベントをニコ生で見て興味を持っていた点。以下当日のパワポスクリーンショットを貼っておきます(観客の頭が被ってしまって画面下の文字が確認できなかったのですが、おそらく「個人データ(個人情報データベース等を構成する個人情報)」かと思われます)。

37


これと最後のtweetでチラ見せ(笑)いただいている表を併せ読むと、最も広い概念である“個人に関する情報(=散在情報+処理情報)”のうち、“処理情報”に含まれる“識別情報(=識別特定情報+識別非特定情報)”を「個人データ(改)」として保護対象とすることをお考えのご様子。つまり、これまで曖昧だった「個人に関する情報」「パーソナルデータ」の定義から、“散在情報”を明確に取り除き、仮に散在情報に識別特定・識別非特定情報が存在しても、処理情報として取得・管理していなければ関係ないことを(現行法でも19条〜30条についてはそのように限定解釈する余地もあったがこれまで以上に)明確にすることで、保護法により生じた混乱やいわゆる過剰反応問題を解決できるのでは、というアイデアのようです。