Footprints

弁護士・伊藤雅浩による仕事・趣味・その他雑多なことを綴るブログ(2005年3月開設)

個人情報・パーソナルデータに関すること(21)簡単にみなしていいの?

法律

昨年12月にJR東日本Suica事件に関する報告書について書いたとき*1から4か月も経ってしまった。


実はその間にも,匿名加工情報のこととか,クラウドサービスと委託(現23条4項3号)との関係などを書いていたのだけれど,前者については,高木浩光さんのブログのほうがはるかに先の議論をされていたり*2,行政機関法での新たな議論が出てきたり*3,後者については自分の考えがうまくまとまらなかったりして,作業が停滞していた。


なので,今回はちょっと違う話でお茶を濁すことにする。


今年の1月から改正個人情報保護法の一部が施行され,個人情報保護委員会が活動を開始した。委員会の開催状況は,ウェブでも公開されている*4


最近では第4回個人情報保護委員会が3月29日に開催されたようで,そのときの資料がアップされている*5。その内容にえぇっ?と思わせるものがあったので,ここで取り上げる。


まだ柔らかい概括的な資料しかない中で,資料2−3「改正個人情報保護法第 25 条・第 26 条の確認・記録義務の方向性について」<PDF>は注目。ベネッセ事件を受けて創設された,いわゆるトレーサビリティ義務に関する資料だ。


トレーサビリティ義務については,当ブログでも取り上げたが,様々な問題点があると指摘されていた。
http://d.hatena.ne.jp/redips/20150719/1437308739


委員会でも,事業者からの不安,懸念に応える形で「方向性」について議論を行ったようである。


ちょうどその中で,上記拙ブログでも指摘した問題点「本人の同意がある場合でも義務が生じること」「1レコード単位の提供でも義務が生じること」に関連する「事例」が取り上げられていた。

【事例3】
団体Aが、あらかじめ同意を得た上で、地域の税理士等の氏名・連絡先等を記載した名簿を作成し、団体加盟企業に配布する場合、団体Aは、その都度、配付した年月日等の記録作成を行わなければならないか。

【対応案3】
本人の同意に基づき個人データを提供する場合の記録事項は緩和する。

・・・・。
法は同意の有無によって義務の内容,程度を区別するような立てつけになっていなかったと思われるが,規則で同意がある場合には骨抜きにしようということかな。だとすれば,最初から同意がある場合の記録義務など課さなければよいのに。

【事例5】
電力会社Aが、利用者Bからの申込により振替口座として指定されている銀行Cに対し、口座振替のために必要な情報(氏名、口座番号、金額等)を通知する場合に、電力会社A及び銀行Cは、別途、記録作成を行わなければならないか。

【対応案5】
本人(利用者B)が当事者である契約等(口座振替による支払委託契約等)に基づき、電力会社A・銀行C間で個人データが授受される際は、当該契約等を証する書類(預金口座振替依頼書等)の記録をもって記録義務に代え得るものと整理する。

・・・・。
これも個別のレコード単位で,本人同意のもとでの提供だから,従来まったく問題になっていなかった類型だったはず。無理やり振替依頼書等の記録があればよい,などという整理をしてしまうと,そのような手続書類がない業務については,やはり新たな記録作成義務が生じてしまうのだろうか。

【事例6】
事業者Aの営業担当が、取引先を紹介する目的で、データベースとして管理しているファイルから名刺 1 枚を取り出してそのコピーを事業者Bの営業担当に渡す場合、Bは「個人データ」を受け取ったものとして、確認・記録作成を行わなければならないか。

【対応案6】
事業者Bは、「個人データ」の提供を受けていないとみなし、確認・記録義務は適用されないものと整理する。

・・・・・・・。
これが最も解せない。まさに高木浩光さんが問題視していた魚屋八百屋問題*6の事例だと言えるが,明らかに個人データを提供しているというケースにおいて,「『個人データ』の提供を受けていないとみなし」という擬制をしている。


法律家ならば「みなす」という用語が特別な意味を有することを知っている。性質の異なる事柄を,別の法律関係が適用できるように,同等に取り扱うことをいう。つまり,Aとは違う事象Bを,Aと同じように扱うということだ。代表例としては,民法753条の成年擬制で,

未成年者が婚姻をしたときは、これによって成年に達したものとみなす

というように,未成年であっても,民法上の規定では成年だとする(これによって未成年者の保護規定が適用されなくなる。)というものだ。上記の「みなす」が法律用語としての擬制という意味で用いているとすると,名刺を他社の営業担当に渡す行為は,個人データの第三者提供であるところ,そうではないと「みなし」ているということになる。いったいいかなる根拠に基づいて,それが可能になるのだろうか。


「みなす」は,上記のように強力な効果を有する。みなせる範囲や要件が明らかでない中で,事業者からの懸念が生じたからと言って,ガイドラインなどで安易に「みなす」とやって「安心してください。適用されませんよ。」としてしまうのはとても危険な香りがする。


というか,そもそもここで挙げられている事例は,名簿屋には全く絡まないもので,すべて1レコード単位での提供(提供とすらいえないようなもの)ばかり。こういう事例を取り上げて,「第三者提供にあたらないと整理する」とか「個人データの提供を受けていないとみなす」などと法の文言から懸け離れた規則やガイドラインを作成するのでは,事業者を含む国民に混乱を生じさせないだろうか。

*1:http://d.hatena.ne.jp/redips/20151203/1449153140

*2:前編 https://takagi-hiromitsu.jp/diary/20151206.html 。前編の2 https://takagi-hiromitsu.jp/diary/20160205.html 。中編 https://takagi-hiromitsu.jp/diary/20160131.html 。

*3:やはり同じく高木先生のブログ 行政機関法 https://takagi-hiromitsu.jp/diary/20160306.html 。

*4:http://www.ppc.go.jp/enforcement/

*5:http://www.ppc.go.jp/enforcement/minutes/2015/20160329/

*6:http://d.hatena.ne.jp/redips/20150719/1437308739#20150719f1