内閣府のパーソナルデータに関する検討会第7回において、事務局案が提出されました。このテーマを継続的に追いかけている人でも、一見分かりにくい内容だったように思います。以下感想の域を出るものではありませんが、メモとして。


「個人情報」等の定義と「個人情報取扱事業者」等の義務について(事務局案)<詳細編>

s-pdkento25


「準個人情報/準個人データ」の存在がクセモノだった


わかりにくさやとまどいの原因となったのは、従来の個人情報/個人データ/保有個人データとは別に、「準個人情報/準個人データ」と「個人特定性低減データ」という2つの階層が増えた点が大きいと思います。しかも、その名前のキャッチーさで注目を浴びてしまった「準個人情報/準個人データ」が、かなりクセモノでした。

「準個人情報/準個人データ」は、“一人ひとりは識別されるが、個人が特定されない状態の情報”として、技術検討WGが「識別非特定情報」と名づけていたものがベースとなっています。具体的には、携帯IDや複数の事業者で継続して共用される広告IDなどの“識別子”、さらには事務局案には明確には記載がありませんでしたが、データセットから一人ひとりが識別される(個人の特定まではされない)“準識別子”を含むデータの保護をターゲットにしたものと思われます。

これらが「現行個人情報保護法にいう個人情報/個人データではない」ことを明確に位置付けた点に、今回の事務局案の意義があります。そう位置づけることによって、利用目的の変更などについては同意を取らないでも良いこととするほか、本人からの開示請求への対応を不要(そもそも本人が観念できないため?)とするなど、個人情報保護法上の義務を軽減する案としているのです。

一方、この情報の状態では第三者提供は一切不可(オプトアウトも認めない)と、他事業者への融通に関してはかなり厳格な規制を掛ける意向のようです。なんのためにこの定義を作ったんだっけ?とハシゴを外された思いを抱く方もいらっしゃるかもしれません。この点、「行動ターゲティング広告や広告IDが使えなくなるけど大丈夫?」との指摘もすでに出ているところです。

s-pdkento05


利活用の本丸「個人特定性低減データ」はまだ玉虫色


そうなると結局、パーソナルデータの利活用は認めない方向なのですか?いや、そんなことないですよと、事務局が考えた定義が、もう一つの「個人特定性低減データ」というもの。これこそが利活用および事業者間の相互流通を前提とした情報であり、今回の提案の本丸のはずなのですが、これが玉虫色でわかりにくい。

s-pdkento07


まず、準個人情報/準個人データからさらに情報を間引いて、個人が特定されないようにしたデータが「個人特定性低減データ」なのだろう…と、私はしばらく勘違いしたまま資料を読んでいたのですが、これが大間違いでした。そうではなく、下図に示されているとおり、「個人データ」または「準個人データ」の“双方”から「個人が特定される可能性を低減させる措置」を施した情報のことを言っているのですね。だとすると、いよいよ準個人情報/準個人データの存在意義がよくわからなくなってきます。

s-pdkento09


しかも肝心の、「個人が特定される可能性を低減させる措置」として何をどこまでやれば「個人特定性低減データ」となるのかというルールについては、結局のところ政令に委ねられる案になっていて、法文上は不明のままとなりそう。検討会としては、下部組織の技術検討WGに対して「最低限のルールを決めてほしい」と依頼したようですが、なかなか難しい注文のような気がします。唯一現状決まっているのが、FTCルールに倣った再識別化の禁止という1点というのは、議論の土台としてはさびしいものがあります。

鳴り物入りで作られる第三者機関と事業者の関係も、だんだんと心配になってきました。個人特定性低減データを第三者に提供=流通するにあたっては、(提供する側の、だと思われますが)事業者が第三者機関に「報告」することになっています。しかし、報告は(文字通り)事後でいいのか?、第三者機関が報告をどのくらいのスピードで捌いてくれるのか?、報告の結果第三者機関がNGと判断したらどういう法的効果が発生するのか?などなど、色々と心配は尽きません。このあたりはまだ具体的な議論がこれからだと思いますが、全部第三者機関に丸投げ・問題先送りだけは避けないと、法としての予測可能性がなくなってしまうので、その点は十分配慮していただきたいところです。

「機微情報」の行く末も気になる


また、あまり専門家の間では議論になっていないようですが、個人情報/個人データの中に「機微情報」というカテゴリもつくられようとしています。オプトアウトによる利用を禁止するなどの厳しい措置をとる方向のようで、ここに指定された情報を扱う事業者は注意が必要です。

現状はOECDプライバシーガイドラインにおける「センシティブ情報」をパクっているだけのように見えますが、ここに何が追加されるか・されないのかは要注目。人材ビジネス関連事業者などは、履歴書や職務経歴とともにこういうデータをそこそこ持っているはずなので、該当するのは間違いなさそうですが、大丈夫でしょうか。

s-pdkento13


階層はできるだけ少なくしたほうがいいのでは


以上事務局案を総合すると、日本において、「個人に関する情報」は、
1)個人情報/個人データ/保有個人データ(機微情報を含む)
2)個人情報/個人データ/保有個人データ(機微情報を含まない)
3)準個人情報/準個人データ
4)個人識別性低減データ
5)非個人情報(生存しない個人に関する情報・散在情報)
と、5つの階層に分かれてその取扱いルールが変わることになる模様。

今後の議論で、3や4についても機微情報を含んだ場合は取扱いルールを変えるなどという展開になったりすれば、階層がさらに増えるおそれもあり、これはいかにも複雑すぎる気がします。消費者にとってわかりやすい・安心できる個人情報保護制度にするはずが、事業者にすらわかりにくい・取扱いルールすら理解できない制度になってしまうような気がするのですが、私の頭が悪いだけでしょうか。

せめて、「準個人情報/準個人データ」というレイヤーは作らずに、保護を第一義とする「個人情報/個人データ」と利活用可能情報としての「個人特定性低減データ」の二階層に再度整理すれば足りるのではないのだろうか、または逆のアプローチで、非個人情報を法律上もっと明確に・幅広く定義することで、保護法への過剰反応を取り除くことはできないだろうかなどと、対案を考えているところです。