平成27年改正個人情報保護法の全面施行日が平成29年5月30日とすることが決まった。施行まで半年を切っており,各事業者の対応が急がれる。
そんな中で,残念ながら本エントリは特に有益な情報を提供するものではない。単に,プライバシーポリシーや個人情報管理規程などと,改正法の関係についての相談をいくつか受けている中で気づいたことを。
個人情報を取り扱う事業者の多くは,個人情報管理規程を定めている*1。その中には,たいてい「個人情報」の定義条項が入れられているが,これをどのように書くのは意外に悩ましいところでもある。
法律上の義務を適切に遵守するための規程にするためには,「個人情報」の定義は,法律上の定義に揃える必要がある。法律上の定義に揃える方法としては,
第●条(定義)
1 「個人情報」とは,個人情報の保護に関する法律(平成15年法律第57号)(以下「法」という。)が定めるものをいう。
というように,法律上の定義を引用する方法が確実である。そうすることによって,仮に今回のような法改正があった場合でも,規程を修正する必要がなくなる(あくまで定義部分について,であるが)。
他方で,社内規程の場合,それを読む人は,内部の従業員であるため,いちいち法律上の定義を確認しなければならないとなると,使い勝手が悪い。そこで,法律上の定義を転記(書き下す)方法が考えられる。現行法の場合でいえば,
第●条(定義)
1 「個人情報」とは,生存する個人に関する情報であって,当該情報に含まれる氏名,生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ,それにより特定の個人を識別することができることとなるものを含む。)をいう。
としておくことが考えられる。このパターンで定められている社内規程,プライバシーポリシーはよく見られる。しかし,今回のような法改正があると,それに合わせて修正しなければギャップが生じてしまう*2。
では,改正法に対応するためにこれを修正しようと思ったら・・・
第●条(定義)
1 「個人情報」とは、生存する個人に関する情報であって,次の各号のいずれかに該当するものをいう。
(1) 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
(2) 個人識別符号が含まれるもの
2 「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、次項各号で定めるものをいう。
(1) 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
(2) 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
3 前項に定める文字、番号、記号その他の符号は、次に掲げるものとする。
(1)次に掲げる身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の個人を識別するに足りるものとして次項で定める基準に適合するもの
イ 細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列
ロ 顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌
ハ 虹彩の表面の起伏により形成される線状の模様
ニ 発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化
ホ 歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様
ヘ 手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状
ト 指紋又は掌紋
(2)旅券法(昭和二十六年法律第二百六十七号)第六条第一項第一号の旅券の番号
(3)国民年金法(昭和三十四年法律第百四十一号)第十四条に規定する基礎年金番号
(4)道路交通法(昭和三十五年法律第百五号)第九十三条第一項第一号の免許証の番号
(5)住民基本台帳法(昭和四十二年法律第八十一号)第七条第十三号に規定する住民票コード
(6)行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)第二条第五項に規定する個人番号
(7)次に掲げる証明書にその発行を受ける者ごとに異なるものとなるように記載された5項で定める文字、番号、記号その他の符号
イ 国民健康保険法(昭和三十三年法律第百九十二号)第九条第二項の被保険者証
ロ 高齢者の医療の確保に関する法律(昭和五十七年法律第八十号)第五十四条第三項の被保険者証
ハ 介護保険法(平成九年法律第百二十三号)第十二条第三項の被保険者証
(8)その他前各号に準ずるものとして6項で定める文字、番号、記号その他の符号
4 前項1号に定める基準とは特定の個人を識別することができる水準が確保されるよう、適切な範囲を適切な手法により電子計算機の用に供するために変換することとする。
5 3項7号で定める文字、番号、記号その他の符号は、次の各号に掲げる証明書ごとに、それぞれ当該各号に定めるものとする
(1) 3項7号イに掲げる証明書 同号イに掲げる証明書の記号、番号及び保険者番号
(2) 3項7号ロ及びハに掲げる証明書 同号ロ及びハに掲げる証明書の番号及び保険者番号
6 3項8号で定める文字、番号、記号その他の符号は、次に掲げるものとする。
(1)健康保険法施行規則(大正十五年内務省令第三十六号)第四十七条第二項の被保険者証の記号、番号及び保険者番号
(2)健康保険法施行規則第五十二条第一項の高齢受給者証の記号、番号及び保険者番号
(3)船員保険法施行規則(昭和十五年厚生省令第五号)第三十五条第一項の被保険者証の記号、番号及び保険者番号
(4)船員保険法施行規則第四十一条第一項の高齢受給者証の記号、番号及び保険者番号
(5)出入国管理及び難民認定法(昭和二十六年政令第三百十九号)第二条第五号に規定する旅券(日本国政府の発行したものを除く。)の番号
(6)出入国管理及び難民認定法第十九条の四第一項第五号の在留カードの番号
(7)私立学校教職員共済法施行規則(昭和二十八年文部省令第二十八号)第一条の七の加入者証の加入者番号
(8)私立学校教職員共済法施行規則第三条第一項の加入者被扶養者証の加入者番号
(9)私立学校教職員共済法施行規則第三条の二第一項の高齢受給者証の加入者番号
(10)国民健康保険法施行規則(昭和三十三年厚生省令第五十三号)第七条の四第一項に規定する高齢受給者証の記号、番号及び保険者番号
(11)国家公務員共済組合法施行規則(昭和三十三年大蔵省令第五十四号)第八十九条の組合員証の記号、番号及び保険者番号
(12)国家公務員共済組合法施行規則第九十五条第一項の組合員被扶養者証の記号、番号及び保険者番号
(13)国家公務員共済組合法施行規則第九十五条の二第一項の高齢受給者証の記号、番号及び保険者番号
(14)国家公務員共済組合法施行規則第百二十七条の二第一項の船員組合員証及び船員組合員被扶養者証の記号、番号及び保険者番号
(15)地方公務員等共済組合法規程(昭和三十七年総理府・文部省・自治省令第一号)第九十三条第二項の組合員証の記号、番号及び保険者番号
(16)地方公務員等共済組合法規程第百条第一項の組合員被扶養者証の記号、番号及び保険者番号
(17)地方公務員等共済組合法規程第百条の二第一項の高齢受給者証の記号、番号及び保険者番号
(18)地方公務員等共済組合法規程第百七十六条第二項の船員組合員証及び船員組合員被扶養者証の記号、番号及び保険者番号
(19)雇用保険法施行規則(昭和五十年労働省令第三号)第十条第一項の雇用保険被保険者証の被保険番号
(20)日本国との平和条約に基づき日本の国籍を離脱した者等の出入国管理に関する特例法(平成三年法律第七十一号)第八条第一項第三号の特別永住者証明書の番号
・・・。定義だけで2700字ほどになる。これは,改正法では「個人識別符号」が創設され,その具体的内容は政令が定めることとなっており(法2条2項),さらに政令から委員会規則に委任されている個所が随所に存在するため,そこをすべて展開しなければならないことによる。
さらに言えば,敢えて触れなかったが,上記の定義には,個人情報保護法以外の法令が登場しているが,そこは展開してない。そこを展開するのは,もはや不可能。
「うちは,地方公務員共済組合とか関係ないから,その部分は定義から削除してもいい。」などと考えるかもしれないが,どこを残し,どこを削るのかも,きちんと理解しておかないと,政令,規則の改変のたびにチェックしなければならない。そう考えると,もはや,「書き下し方式」は改正法のもとでの規程では事実上不可能ではないかと思われる*3。
余談になるが,現行法の定義でも一般人からするとわかりにくいので,「当社なりにわかりやすい定義に書き換えたのですけれど」という規程のレビューを依頼されたことがある。そこには,具体例が列挙されてあるなど,確かにわかりやすくするなどの工夫がなされていたが,「位置情報」「履歴情報」など,何がどこまで含まれるのかが明確ではない上に,「その他法令上の定める個人情報」などのバスケット条項がないために,法律上の範囲と過不足があるような例もあった。法律上の定義よりも保護対象を広くするのであれば,実質的な不都合はないが,逆(法律上の定義に該当するものが漏れてしまう)の場合は,法律上の保護対象が保護されなかったりする危険がある。
*1:最近公表された「個人情報の保護に関する法律についてのガイドライン(通則編)」 http://www.ppc.go.jp/files/pdf/guidelines01.pdf の「講ずべき安全管理措置の内容」(86頁以下)でも,法20条に定める安全管理措置の具体的内容の筆頭に「個人データの取扱規程を策定する」ことが挙げられている。
*2:今回の改正は,個人情報の範囲を拡張するのではなく,あくまで明確化だとされているが。
*3:渡辺雅之弁護士が公開する「個人情報取扱規程」では,書き下し方式を採用している。ただし,個人識別符号の部分は,別紙として切り出している。http://www.miyake.gr.jp/topics/201610/%E6%94%B9%E6%AD%A3%E5%80%8B%E4%BA%BA%E6%83%85%E5%A0%B1%E4%BF%9D%E8%AD%B7%E6%B3%95%EF%BC%9A%E5%80%8B%E4%BA%BA%E6%83%85%E5%A0%B1%E4%BF%9D%E8%AD%B7%E6%8C%87%E9%87%9D%E3%83%BB%E5%80%8B%E4%BA%BA%E6%83%85%E5%A0%B1%E5%8F%96%E6%89%B1%E8%A6%8F%E7%A8%8B%E3%81%AA%E3%81%A9%E6%94%B9%E6%AD%A3%E6%B3%95%E3%81%AB%E5%9F%BA%E3%81%A5%E3%81%8F%E8%A6%8F%E7%A8%8B%E3%82%92%E3%81%99%E3%81%B9%E3%81%A6%E5%85%AC%E9%96%8B%EF%BC%81
