最近,パーソナルデータ,個人情報に関する話題が多い。
法律雑誌の権威であるジュリストの3月号は「ビッグデータの利活用に向けた法的課題」という特集で,宇賀克也先生,森亮二先生,新保史生先生,鈴木正朝先生ら,この分野の一線級の豪華な論客が各テーマについて解説しており,この種の問題を取り扱う人にとっては必読であるといえる。
また,2月24日には「第1回プライバシーフリーク・カフェ」という対談イベントがニコ生で放映された(このネーミングに至る経緯等についてはここでは触れない。)。このときの様子については,企業法務マンサバイバルで詳しく紹介されている*1。
上記のプライバシーフリーク・カフェの冒頭でも高木浩光さんが強調されていたように,個人情報保護法制の基本概念である「個人情報」の定義,範囲について,多くの人が誤解していたり,誤った説明がなされている。高木さんはあちこちで,この誤解を解こうと情報発信されているが,なかなか狭く解する人が多いので,私も微力ながらこの点について説明してみたい。
まず,下記の表(RDBにおけるテーブルのイメージ)のどこまでが個人情報となるだろうか。表1は,マスタデータで,4人の氏名,住所,電話番号,生年月日と,棋士としての属性(通算対局数,勝利数)が格納されている。表2は,トランザクションデータというか,履歴情報で,何らかの手法で取得したインターネット書店での書籍購入履歴である。赤いカラムはプライマリーキーなので,2つの表を連結することにより,どの人物がいつ,どんな本をどのサイトで買ったのかがわかるようになっている(なお,当然ながら,表2は架空のデータである。)。
個人情報保護法2条1項の「個人情報」の定義を見てみる。
この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
この中の「氏名,生年月日その他の記述等により特定の個人を識別することができるもの」という部分のみを取り出して,「氏名,生年月日,住所,電話」などだけが個人情報になる,と解釈しているのが典型的な誤解の例だ。
法文では,まず「生存する個人に関する情報」となているので,上記表1の情報はすべて,生存する個人に関する情報であるから,この条件に含まれる。そして,「当該情報に含まれる」すなわち,表1に含まれる氏名等によって,特定の個人を識別できるものであるから,表1全体が個人情報にあたる。
そして,表2についても,SQLのselect文を知らなくても,2つの表をガッチャンコすれば下記のようなビューが作成されることは容易にわかる。
このビューは,「生存する個人に関する情報」であり,「当該情報に含まれる」氏名等により,特定の個人を識別できるものであるから,結局,表2全体も個人情報である。
いちおう,表2単体では,確かに特定の個人を識別できるものではないが,同じスキーマの中に作られた表1と結合することは極めて容易なので,表2の個人情報性を考える際には「他の情報と容易に照合することができ・・」という法の定義(カッコ内)を持ち出すまでもないと考える*2。
ちなみに,表1の情報は,住所,電話番号は別とすれば,すべて将棋連盟のホームページにおいて公開されている情報である。しかし,公開されている情報だからといって,個人情報の定義から外れるということはない*3。
気力が続けば,この続きもまた。
*1:http://blog.livedoor.jp/businesslaw/archives/52360646.html
*2:表1と表2がまったく別の管理がなされているような場合,表2の保有者にとって表2が個人情報に当たるかという問題はあるが,その点については次回エントリの http://d.hatena.ne.jp/redips/20140310/1394450508 参照。
*3:個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(平成21年)の2頁では「公刊物等によって公にされている情報・・も含まれ(る)」としている。