Footprints

弁護士・伊藤雅浩による仕事・趣味・その他雑多なことを綴るブログ(2005年3月開設)

個人情報・パーソナルデータに関すること(10)経産省Q&Aの改訂

法律

12月12日に個人情報保護法の経済産業分野を対象とするガイドラインが改訂された。そのガイドラインに対するQ&Aも一部改訂されたので,ガイドライン本体ではなくQ&Aについて紹介する。


なお,本日(16日)時点において,消費者庁ガイドライン一覧(27分野39本もある)に張られているリンクは,古いガイドライン(平成21年版)のままである。
http://www.caa.go.jp/planning/kojin/gaidorainkentou.html


それはさておき,最新の経産省ガイドラインの本体は,
http://www.meti.go.jp/policy/it_policy/privacy/

から辿ることができる。

http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/1212guideline.pdf


英語版もあるが,2009年(平成21年)版である。
http://www.meti.go.jp/policy/it_policy/privacy/0910english.pdf


ここで紹介するのは,そのガイドラインに付随するQ&Aの改訂である。


最新のQ&Aは以下のリンク先にある。
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/1212qa.pdf


このうち,今回改定されたのはQ14と,Q113。Q14は,個人情報保護法2条1項,個人情報の定義のカッコ内「容易照合性」に関するもので,これがあまり評判がよくなかった。


この点に関し,森亮二「パーソナルデータの匿名化を巡る議論」ジュリスト2014年3月号の26頁脚注2で,Q14について,

No14.は「社内のだれもが規程上・運用上,双方のデータベースへのアクセスを厳格に禁止されている状態であれば,『容易に照合することができ』るとはいえないものと考えられます」とする。この回答に対しては,その前提となる状況が現実にありうるのかとの疑問,すなわち,データベースへのアクセスを厳格に禁止した場合であっても,当該禁止を決定した機関がその禁止を解除できないということは考えられないのではないかとの疑問がある。

と述べられている。また,高木浩光氏もこの点を問題視し,「経産Q14問題」とまで呼ばれていた*1。特定企業の内部的な事情,取り決めで容易に「容易に照合できない」状況が作出し得ると解釈できる内容であった。


改正後は,


事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合において、ある取扱部門のデータベースと他の取扱部門のデータベースへのアクセスが、規程上・運用上厳格に禁止されているときには、「容易に照合することができ」(法第2条第1項)ないといえますか。


他の取扱部門のデータベースへのアクセスが規程上・運用上厳格に禁止されている場合であっても、双方の取扱部門を統括すべき立場の者等が双方のデータベースにアクセス可能なときには、当該事業者にとって「容易に照合することができ」る状態にあると考えられます。ただし、経営者、データベースのシステム担当者などを含め社内の誰もが規程
上・運用上、双方のデータベースへのアクセスを厳格に禁止されている状態であれば、「容易に照合することができ」るとはいえないものと考えられます。

である。アクセスの限定がさらに厳しい場合に限って,容易照合可能だというように改められている。あくまで,法の解釈指針を示しただけであるが,個人情報保護法の改正を前に,現行法ベースにおいても,個人情報の範囲,特に容易照合可能な範囲を広げるような解釈がなされた。


もう一つ,Q113は,Tポイントカードの例を念頭に置いたものと考えられる。最近,第三者提供のスキームに変更してしまっているが,当初の同カードに関する規約では法24条4項3号に基づく共同利用のスキームを採用していた。どんどん加盟店が増えてくる場合でも,増えた加盟店は自動的に共同利用の傘下に入ることとなり,問題視されていた。


この点に関し,Q113では次のように述べている。


共同利用開始後、途中から新たな事業者が共同利用に参入することはできますか。


共同利用開始後に新たな事業者が共同利用に参入しようとする場合には、原則として、共同して利用する者の範囲(法第23条第4項第3号)を変更することができず(同条第5項)、改めて共同利用手続を採る必要があります。ただし、本人がどの事業者まで利用されるか判断できる程度に共同利用者の範囲が明確にされている場合には、個別列挙が必要でない場合もあると考えられますので、その場合には、引き続き共同利用を行うことができるものと考えます。

新たな事業者を共同利用に含めようとする場合には改めて手続を取ることが強調されている。

*1:http://takagi-hiromitsu.jp/diary/20141112.html でもQ14問題に言及されている。