Footprints

弁護士・伊藤雅浩による仕事・趣味・その他雑多なことを綴るブログ(2005年3月開設)

個人情報・パーソナルデータに関すること(6)大綱の話1

法律

前回の投稿から2か月以上さぼってるうちに,パーソナルデータに関する検討会は全12回を終え,「パーソナルデータの利活用に関する制度改正大綱」(http://www.kantei.go.jp/jp/singi/it2/info/h260625_siryou2.pdf)が6月24日に出され,現在パブコメにかけられている。


その中から,目玉となる「個人が特定される可能性を低減したデータの取扱い」について取り上げてみる。Suica事案のように,大量に集めたパーソナルデータを効率的に利用できるようにするべく第三者に提供するには,現行法の原則では本人に個別的な同意を取ることが必要とされており,これがネックだとされていた。


この点について,大綱の第2のII1(7頁)では,

パーソナルデータの利活用により、多種多様かつ膨大なデータを、分野横断的に活用することによって生まれるイノベーションや、それによる新ビジネスの創出等が期待される。この際、目的外利用や第三者提供に当たって、本人の同意を必要とする現行法の仕組みは、事業者にとって負担が大きく、「利活用の壁」の一つとなっている。そこで、個人の権利利益の侵害を未然に防止するために本人の同意が必要とされている趣旨を踏まえつつ、パーソナルデータの利活用を促進するために、現行法の規律に加え、新たに一定の規律の下で原則として本人の同意が求められる第三者提供等を本人の同意がなくても行うことを可能とする枠組みを導入する。具体的には、個人データ等から「個人の特定性を低減したデータ」への加工と、本人の同意の代わりとしての取扱いに関する規律を定める。

と,基本的な枠組みを紹介し,その内容として,第3のII1(11頁)では,

現行法は、個人データの第三者提供や目的外利用をする場合、一定の例外事由を除き本人の同意を要することとしている。この個人データの第三者提供や目的外利用に関して、本人の同意に基づく場合に加え、新たに「個人データ」を特定の個人が識別される可能性を低減したデータに加工したものについて、特定の個人が識別される可能性とその取扱いにより個人の権利利益が侵害されるおそれに留意し、特定の個人を識別することを禁止するなど適正な取扱いを定めることによって、本人の同意を得ずに行うことを可能とするなど、情報を円滑に利活用するために必要な措置を講じることとする。

となっている。これを受けて,パーソナルデータの利活用が促進される,というトーンでの報道がなされている。ただし,この中の,「特定の個人が識別される可能性を低減したデータに加工」とはどういう加工を施せばよいのかというところが問題となる。この点について大綱では次のように書かれている(同11頁)。

また、個人が特定される可能性を低減したデータへの加工方法については、データの有用性や多様性に配慮し一律には定めず、事業等の特性に応じた適切な処理を行うことができることとする。さらに、当該加工方法等について、民間団体が自主規制ルールを策定し、第三者機関(後掲参照)は当該ルール又は民間団体の認定等を行うことができることとする。加えて、適切な加工方法については、ベストプラクティスの共有等を図ることとする。

上記のとおり,自主規制ルール等によって加工方法を定め,それに第三者機関が認定するというような枠が提示されているだけで,具体的な加工方法について決められているわけでもないし,今後の個人情報保護法の改正が行われたとしても,その時点では明らかになるわけではない。


なお,単に氏名,住所などを削れば「個人特定性低減」とはならないと思われる*1。希少データを取り除いたり,属性を曖昧化するなどの処理が求められるケースが出てくるだろう。


また,個人データを加工すればよいというだけでなく,提供の際には(1)特定の個人が識別される可能性とその取扱いにより個人の権利利益が侵害されるおそれに留意すること,(2)特定の個人を識別することを禁止するなど適正な取扱いを定めることなども必要とされる。(2)の部分は,事務局案からの変更点だったように思う。


なお,現行法のもとでも,本人の同意を得ることなく第三者提供を可能にする方法はある。最近話題になっている「オプトアウト」(個人情報保護法23条2項)がその一つだが,きちんと運用しようとすると,それなりに大変なので(事業者にとっての)使い勝手が必ずしもよくない。また,第三者提供とはみなされない形式での利用として,共同利用(同法23条4項3号)もあるが,立法時の趣旨を潜脱しているかのような利用もあり,問題視されていた。


共同利用については,大綱12頁でも,

共同利用については、個人情報取扱事業者において現行法の解釈に混乱が見られるとの指摘があるところであり、個人データを共同して利用する者の全体が一つの取扱事業者と同じであると本人が捉えることができる場合のみ共同利用が認められるものであるという現行法の趣旨を踏まえた運用の徹底を図ることとする。

と,問題として捉えられている。オプトアウトについても,同様に「現行法の趣旨を踏まえた運用の徹底を図る」とされている(同12頁)。


立法論としては,今回の大綱を踏まえた改正により,法23条3項と4項の間くらいに,「個人特定性低減データ」への加工をすることによって「当該(加工後の)個人データを第三者に提供することができる。」というものが加わることになるだろうか。


個人の特定,識別という話については,種々のサイトや,雑誌にて書かれているので,そちらに譲る*2

*1:同研究会の技術ワーキンググループの報告書(http://www.kantei.go.jp/jp/singi/it2/pd/dai5/siryou2-1.pdf)では「いかなる個人情報に対しても,識別非特定情報や非識別非特定情報となるように加工できる汎用的な方法は存在しない。」と断言している

*2:読むべきは,前述の技術WGの報告書だが,日経コンピュータ2014.6.26号の30頁以下の解説「カギは『個人特定性低減』」も非法律家向けに書かれているのでわかりやすい。