Footprints

弁護士・伊藤雅浩による仕事・趣味・その他雑多なことを綴るブログ(2005年3月開設)

個人情報・パーソナルデータに関すること(2)モザイク・アプローチ

法律

個人情報の定義の続き。2条1項カッコ書きの「他の情報と容易に照合することができ,それにより特定の個人を識別することができることとなるものを含む」について。


前回,「個人情報」には,氏名,住所,電話番号,生年月日といった特定の個人を識別するのに必要な情報に限らず,広く「個人に関する情報」が含まれうることを説明した。履歴情報,閲覧情報等であっても,個人の特定が可能になれば個人情報に含まれる。
http://d.hatena.ne.jp/redips/20140308/1394242091


それ単体では個人の特定性を欠く場合であっても,「他の情報と容易に照合することができ,それによって特定の個人を識別することができるもの」については,やはり個人情報となる。他の情報と組み合わせることによって判断することをモザイク・アプローチという。


ここでのポイントは「容易に」という文言の解釈である。行政機関個人情報保護法においては「他の情報と照合すること」という表現であり「容易に」が要件となっていない。例えば,前回の表2と表1が同一の会社にはあるが,別のシステムで管理されていて,相互にアクセスできるユーザが限定されていた場合は「容易に」の要件を満たすのだろうか。また,表2と表1は「ID」という同一のキーが用いられているが,これを何か別のキーに変換していたらどうだろうか。それにより「容易に」の要件を満たさなくなれば,表2は個人情報ではない,ということもあり得る。

表1


表2


「容易に」の意義については,いくつか解説がある。


宇賀克也「個人情報保護法の逐条解説[第3版]」34頁では,解釈に委ねられる,としつつも,次のような場合には「容易に」とは言えないとする(改行位置を適宜修正し,箇条書きスタイルに変更した。)*1

■他の事業者に通常の業務では行っていない特別な照会をし,当該他の事業者において,相当な調査をしてはじめて回答が可能になる場合
■内部組織間でもシステムの差異のため技術的に照合が困難な場合
■照合のため特別のソフトを購入してインストールする必要がある場合


また,岡村久道編「クラウドコンピューティングの法律」128頁(鈴木正朝「個人情報保護法制とクラウド」)においては,これに次のように補足している*2

要するに,容易性の有無は,単一の情報システムや業務モデルとして機能しているか否かに影響される。すなわち,必ずしも個人情報取扱事業者に閉じた概念ではなく,事業者横断的であってもよい。この点は,クラウド・コンピューティングにおいては非常に重要な意味を有してくる。


寺本振透編「クラウド時代の法律実務」115頁(白石弘美「クラウド・コンピューティングと個人情報保護」)では,情報が切片化されて分散管理される場合について,クラウド事業者のデータ保管・管理方法次第では,容易照合性が失われる場合があるとしている*3


実務でよく参照されているのは経済産業省個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」である。このガイドラインに関するQ&A*4では,「容易に」について,次のようなQAがある。

Q:事業者の取扱部門ごとにデータベースがあり,他の取扱部門のデータベースへのアクセスが,規程上・運用上厳格に禁止されている場合,「容易に照合することができ」るといえますか?

A:(略)厳格に禁止されている場合であっても,双方の取扱部門を統括すべき立場の者等が双方のデータベースにアクセス可能な場合は,当該事業者にとって「容易に照合することができ」る状態にあると考えられます。
ただし,経営者,データベースのシステム担当者などを含め社内の誰もが(略)禁止されている状態であれば,「容易に照合することができ」るとはいえないものと考えられます。


これをざっとまとめると,「容易」かどうかは,社内のデータだけでなくとも,社外のデータであっても突合することで特定できれば,「容易」であるといえるが,社内のデータであっても,厳格に分離,制限されていれば「容易」とはいえない,ということになる。


この微妙な状況について切り込んでいるのは,森亮二「パーソナルデータの匿名化をめぐる議論」(ジュリスト2014年3月号25頁)である。少々長いが引用する。

事業者の内部にある情報の照合が困難ということは,本来,事業者の視点でなされるべき容易照合性の判断が,従業員の視点でなされているのではないか,との疑問がある。また,「事業者内情報の容易照合性」が果たして匿名化の基準として使えるか,という点にある。事業者内にある情報である以上,照合が不可能である状況は想定しがたく,「照合は不可能ではないが容易ではないようになっている」という微妙な状況が匿名化の基準であることになる。また,照合を禁止する手段は社内規定とその運用によることとなるが,その場合,容易照合性の有無について外部から検証することは困難であり,運用実態に関する証拠は,事業者の自己申告のみということになる。これでは消費者(本人)の納得を得ることは難しく,結局のところ,事業者内の「他の情報」について容易照合性がないことを理由とする匿名化は,理論的には可能であっても現実的には困難であることになる。


確かに,理論的には,「当社では,表1のマスタデータと,表2の履歴データは,社内で適切に分離して管理していますので,容易照合性はなく,表2は個人情報ではありません。」などと言われても,それを確認する術がない。内部のルールの変更可能性まで含めれば,基本的に同一事業者内にて分離されていても,原則として「容易」に照合できると考えるべきであろう。

*1:園部逸夫編「個人情報保護法の解説[改訂版]49頁も概ね同様。

*2:同じく鈴木先生は松本恒雄ら編「電子商取引法」の「第8章 個人情報の保護」250頁において「『容易に』とは,他社等に問い合わせることなく社内のデータベース等や広く公開されている情報などとマッチングできる状態をいう。」とする。

*3:ただし,この点については村上康二郎「クラウド・コンピューティングにおける個人情報保護の課題」情報セキュリティ総合科学4号118頁にて批判されている。http://www.iisec.ac.jp/proc/vol0004/murakami.pdf 参照。

*4:http://www.meti.go.jp/policy/it_policy/privacy/100401kaiseiq-a.pdf