Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
最新 追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 716   昨日: 2178

2022年04月01日

個人情報取扱事業者の個人情報に係る義務の対象は当該個人情報データベース等に係る個人情報と解される

先日ようやく公開した「Cafe JILIS」のインタビュー記事は、9万字ほどの長文にも関わらず、おかげさまで、想定を超えて多くの読者に刺さったようだ。未だ研究当事者界隈からの反応は薄いものの、役所の偉い方々や業界の職業人の方々には届いている様子で、一般の方からも「目から滝のように鱗が」といった感想を頂くなど、一回読切の構成にした思惑通りであった。早速マスコミからも問い合わせが来ているので、これから大々的にこの方向性を打ち出していくことになるだろう。なぜ今「緊急で」だったのかは最後で述べている。情報公開学派・プライバシー学派との訣別の時来たれりなのである。

内容はこれで完結しているので、改めて加えることはほとんどないが、何箇所か、「既に書いたことなので」として省略したところがあった。そのうちの一つである以下のところ、……

なお、この達増の質問に、政府参考人の藤井昭夫内閣官房内閣審議官は次のように答弁しています。「あくまで基本原則の部分については、そういった効果というのは努力義務でございますし、5章の方は、先ほど来御指摘のような、IT処理される個人データということでございます。」と。「5章」というのは旧法案の5章で、現行法の4章のことです。つまり、個人情報取扱事業者の義務は全て「IT処理される個人データ」が対象と言っていますね。ここ、重要なところです。ちゃんと「処理」の言葉を用いていますね。

—— おや?現行法4章は、15条から18条までは「個人データ」ではなく「個人情報」が対象なんじゃないんですか?

高木: そこですよ問題は。話が長くなるので今日はその話は省略します。内閣法制局の横槍でおかしくなったんだろうと推察していますが、詳しくは前出の「法とコンピュータ」34号69頁あたりから書いてあります。いずれにせよ、立案当局の政府参考人が4章の義務は「IT処理される個人データ」だと答弁して成立した法律なんですから、そう解釈すべきですよ。あ、マニュアル処理情報が「IT」かは疑問ですが、そこは目を瞑りましょう(笑)。

……この件について、実は、現行法のままでもそのように解釈できるという独自の新解釈がある。まだチラッとしか公言していなかった*1のだが、このところ、本気でその通りだと思えてきたので、4月1日という改正個人情報保護法施行日の今日を記念して書き留めておくこととしたい。

***

まず、平成27年改正と令和2年改正で、「〇〇情報取扱事業者」という用語が増えた。全部で4つになった。これが令和3年改正で、用語定義が一箇所に集められ、見通しが良くなった。そこを抜粋すると以下である。


(定義)
第16条 この章及び第8章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(……)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

2 この章及び第6章から第8章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
(略)

5 この章、第6章及び第7章において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第41条第1項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。

6 この章、第6章及び第7章において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第43条第1項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。

7 この章、第6章及び第7章において「個人関連情報取扱事業者」とは、個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第31条第1項において「個人関連情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。


これら4つは同じ構造をしていることがわかる。すなわち、「X情報」なる概念があって、それを含む情報の集合物であって特定のそれを電子計算機を用いて検索することができるように体系的に構成したものその他政令で定めるものを「X情報データベース等」と呼び、「X情報データベース等」を事業の用に供している者が「X情報取扱事業者」である。

「〇〇情報取扱事業者」の種別がこうも増えてくると、「当社は〇〇情報取扱事業者であろうか?」といった問いはほとんど意味をなさなくなってくる。平成27年改正より前では、5000件要件があったため、自社が個人情報取扱事業者であるか否かという問いには大きな意味があったが、平成27年改正でその要件もなくなり、今やどんな事業を行う者も個人情報取扱事業者であるから、そこを問う意味はなくなった。

となると、この用語は何のためにあるのか。それは単に、義務規定の「名宛人」にすぎない。日本法は、「X情報取扱事業者は、X情報を、Pしてはならない。」とか、「X情報取扱事業者は、X情報を、Qするときは、Rしなければならない。」といったスタイルの規定の羅列で成り立っている。

つまり、「Pしてはならない」という禁止規定を設けようとすると、義務対象の客体が「X情報」であれば、自動的に「X情報取扱事業者」が義務対象の主体として名宛人となるわけである。*2

したがって、「当社は仮名加工情報取扱事業者であろうか?」とか「当社は個人関連情報取扱事業者であろうか?」ということを気にする意味はほとんどない。気にすべきは、「仮名加工情報(仮名加工情報データベース等を構成するものに限る)」を取り扱うことがあるか否かであり、取り扱うことがあるならば、取り扱う際に義務規定において「仮名加工情報取扱事業者」に該当することになるというだけの話である。

さて、ここで興味深いのが、令和2年改正後に初めて現れることとなった「仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。以下この条において同じ。)」(41条3項)というフレーズである。「ガイドライン(仮名加工情報・匿名加工情報編)」では、「個人情報取扱事業者である仮名加工情報取扱事業者」というフレーズになっている。これはどのような意味であろうか?

おそらく、これまでの通説的解釈をしている人からすれば、ほとんどの事業者は(何かしらの個人情報データベース等を事業の用に供しているので)「個人情報取扱事業者」に該当するのであるから、したがって「個人情報取扱事業者である仮名加工情報取扱事業者」なる概念は単に「仮名加工情報取扱事業者」と違わないものだ(A解釈)と解釈するはずである。

しかし、これはそういう意味ではない。「個人情報取扱事業者である仮名加工情報取扱事業者」が名宛人になっている義務規定では、客体が必ず「個人情報である仮名加工情報」となっており、それに連動して名宛人が自動的に決まっているだけなのだ。

ここで「え?そんなバカな!」とプログラマーなら思うはずだ。一般に「法律のコードとコンピュータプログラムのコードは似ている」などと言われるが、このような捻れは、コンピュータプログラムではあり得ないことだ。概念の定義に失敗しており、意図したものとは別物になっている。それが法律の世界では、このような捻れが平然と許され、パブコメ回答や国会答弁は「一般的に現状の記述で御理解いただけるものと考えます。」となるわけである。

いや、ところが、そうでもないのである。私はこの規定ぶりを見た2年ほど前から、「いや、おかしくないぞ?」という理解に達した。それはどういうことなのか、というのが本題であり、以下である。

この「X情報取扱事業者」なる概念は、通説的解釈で言われるような「任意の『X情報データベース等』を事業の用に供している場合に該当することとなる事業者の区分」という概念(A解釈)なのではなく、ある一つの「X情報データベース等」に従属して観念される概念なのであり、当該「X情報データベース等」を事業の用に供している事業者を指す概念(B解釈)なのである。

したがって、「X情報データベース等a」を事業の用に供する「X情報取扱事業者a」と、別の「X情報データベース等b」を事業の用に供する「X情報取扱事業者b」とは区別されるのであり、「X情報取扱事業者は、X情報について、Rしなければならない」という規定は、「X情報取扱事業者aは、X情報a1,2,3,…(X情報データベース等aの要素)について、Rしなければならない」とは解されるが、「X情報取扱事業者bは、X情報a1,2,3,…について、Rしなければならない」とまでは言っていないと解する(B解釈)ことになる。(実際、このように解釈しないと、仮名加工や匿名加工の規定を破綻なく説明できない*3。)

そうすると、このように解するならば、「個人情報取扱事業者である仮名加工情報取扱事業者は、個人情報である仮名加工情報について、Rしなければならない」という規定は、次のように解することになる。

すなわち、まず、「個人情報である仮名加工情報」とのフレーズは、ある一つの要素について、それが個人情報に該当するし仮名加工情報にも該当するという状況を前提としているのだから、同一の客体である「個人情報データベース等a」兼「仮名加工情報データベース等a」の各要素である「個人情報a1,2,3,…」兼「仮名加工情報a1,2,3,…」のことを指している。したがって、「個人情報取扱事業者である仮名加工情報取扱事業者」とのフレーズも、「個人情報取扱事業者aである仮名加工情報取扱事業者a」と解することになる。それゆえ、これは「個人情報取扱事業者bである仮名加工情報取扱事業者a」を指すわけではない。なので前記のA解釈は誤りである——ということになるのである。

このような解釈(B解釈)は、平成27年改正の前では不可能だった。なぜなら、5000件要件は、ある一つの「個人情報データベース等」の本人の数を指しているのではなく、当該事業者が保有している全「個人情報データベース等」の本人の数の合計値であり、すなわち、個々の「個人情報データベース等」毎に個別に規制の有無を線引きする要件なのではなく、事業者が扱う全体の規模で線引きするものだった。それゆえ、例えば、作業服小売業の会社が、顔識別カメラで顧客データベースを構築し始めた際に、5000件を超えない「個人情報データベース等」であるから個人情報保護法の適用外だと主張しても、その会社の従業員数が5000人を超えていれば個人情報取扱事業者に該当し、5000件に満たない小さな顧客データベースにも個人情報保護法の義務は適用されると解されていた。(すなわち、従業員DBである「個人情報データベース等b」の存在によって、顧客DBに係る義務規定の名宛人である「個人情報取扱事業者a」の該当性が左右される解釈(A解釈)がなされていた。)

それが、平成27年改正で5000件要件が撤廃されたことから、そのような解釈(A解釈)を採る必要がなくなった。それと同時に、匿名加工情報の制度が創設されたことで、A解釈では説明がつかなくなり、B解釈を前提としていると解することで合理的に説明できる状況が生まれた。それがさらに、令和2年改正で「X情報取扱事業者」が4つに増えたことで、そのような合理的解釈が前提であることの確からしさが高まった。*4

そして、このようなB解釈を採ると、「個人情報取扱事業者は、個人情報を、Qするときは、Rしなければならない」という規定は、「個人情報取扱事業者aは、個人情報a1,2,3,…を、Qするときは、Rしなければならない」と解することになるのであるから、「個人情報a1,2,3,…」は「個人情報データベース等a」の要素ということになるのである。すなわち、どの「個人情報データベース等x」にも関係しない裸の「個人情報」は義務の対象となり得ないのである。

このように解釈すると、前掲の、2002年の国会で藤井昭夫内閣官房内閣審議官が「個人情報取扱事業者の義務は全て「IT処理される個人データ」が対象」である旨の答弁をしたことは、現行法の条文上も辻褄が合っているのである。これが立法時から意図してのことなのかは定かでない*5が、少なくとも結果として、現在ではそうなっていると言えよう*6

「個人情報取扱事業者a」の義務対象の客体が、22条(令和3年改正後)以降では「個人データa1,2,3,…」であるのに対して、17条乃至21条(令和3年改正後)では「個人情報a1,2,3,…」となっていることの理由は、「個人情報a1,2,3,…」以外の「個人情報」までもを対象とする意図があるわけではなく、上の4つ目のtweetで引用した部分の記載にある通り、単に、「いずれ個人情報データベースに記録され「個人データ」となるものであっても、取得段階では「個人情報」の状態であることによる。」という、法制執務上の法技術的な法制局の拘りにすぎない。(法目的の観点から言えばこのように区別する理由は立たない。)

つまり、個人情報取扱事業者aの義務対象であるところの(「個人データ」でない)「個人情報a1,2,3,…」とは、「いずれ個人情報データベース等aに記録され個人データa1,2,3,…となるもの」を言うのである。これは、EU法における「This Regulation applies to the processing of … personal data which form part of a filing system or are intended to form part of a filing system」(GDPR 2条1項)と同じことである。

***

いかがでしたか? おわかりいただけただろうか。

*1 去年か一昨年の、PFCだったか、JILISのTFミーティングだったかで、少し述べて、板倉先生から「そこまで言いますか」とツッコミを受けた記憶がある。意図は伝わったのだろうとは思った。それから昨年9月に一度、この説をtweetしている。

*2 これとは対照的に、公的部門では、名宛人は全て「行政機関等」又は「行政機関の長等」であり、客体の種別毎に名宛人を合わせるという規定スタイルを採っていない。なぜこの違いが生じているのだろうか。

*3 例えば、匿名加工情報の加工基準を示す施行規則34条(令和3年改正後)は、「個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し」としているが、これは、「個人情報aiに含まれる記述等と当該個人情報aiを含む個人情報データベース等aを構成する他の個人情報aj(j≠i)に含まれる記述等との差異その他の当該個人情報データベース等aの性質を勘案し」と解釈するほかなく、個人情報b1,2,3,…はこの規定に関係しないし、どの「個人情報データベース等x」にも関係しない裸の「個人情報」も関係しない。

*4 「X情報データベース等」の単位についても、解釈の変遷がある。平成27年改正前では、「個人情報データベース等」は事業者に1個と観念されるものと解されていた。それは5000件要件の数え方とも連動していたが、別の理由として、公的部門のように「個人情報ファイル」単位で利用目的を特定する義務を課すのは、民間においては酷だとの理由で、どんぶり勘定を許す緩い規制とするための配慮があった。それが平成27年改正で「匿名加工情報データベース等」が導入されると、「事業者に1個」と解することはできなくなった。匿名加工情報は、その加工方法の基準からしても、1つのテーブル(すなわち、公的部門の「個人情報ファイル」に相当する)を加工元として前提とするしか考えられないわけで、平成27年改正前までの「どんぶり勘定」の「X情報データベース等」の解釈には無理が生じた。平成27年改正で、「匿名加工情報データベース等」ではなく「匿名加工情報ファイル」と規定する道はあっただろうが、民間部門での統一性を重視してなのか、どのような理由かは定かでないが、「匿名加工情報データベース等」と規定された。そうすると、もはや平成27年改正後では、「X情報データベース等」の単位は「事業者で1個」ではなくなっているのであり、「個人情報ファイル」と同一概念となっているのか、あるいは、「個人情報ファイル」と同一概念と解することもできれば「事業者で1個」と解することもできるという概念に変遷しているのかもしれない。さらには、単純に「「X情報データベース等」は「X情報ファイル」の集合物である」という解釈が妥当となっているのかもしれない。

*5 そのように意図したところがあったとしても、他方では「どんぶり勘定」や5000件要件のための「事業者で1個」概念とする必要があって、混乱していたということであろう。その混乱を知っていて平成27年改正でその解決を図ったのか、それとも単に結果的にそうなったにすぎないのか、この点は未解明である。

*6 もっとも、これに矛盾した規定やガイドライン解説が多々ある。例えばこのtweetで示したもの。それは主に平成27年改正時に生じた。平成27年改正に際しては有識者も立案担当者も法制局も大いに混乱したということであろう。今ではその混乱は収まりつつあるものと信じたいところだが、平成27年改正までにそのような混乱に陥っていた原因は、それまでの識者がこのような図を解説書に載せ、多くの人がそれに引きずられた結果であろう。


最新 追記

最近のタイトル

2024年12月28日

2024年12月22日

2024年12月07日

2024年12月02日

2024年11月24日

2024年11月11日

2024年07月28日

2024年07月27日

2024年07月07日

2024年04月07日

2024年04月01日

2024年03月23日

2024年03月19日

2024年03月16日

2024年03月13日

2024年03月11日

2023年03月27日

2022年12月30日

2022年12月25日

2022年06月09日

2022年04月01日

2022年01月19日

2021年12月26日

2021年10月06日

2021年08月23日

2021年07月12日

2020年09月14日

2020年08月01日

2019年10月05日

2019年08月03日

2019年07月08日

2019年06月25日

2019年06月09日

2019年05月19日

2019年05月12日

2019年03月19日

2019年03月16日

2019年03月09日

2019年03月07日

2019年02月19日

2019年02月11日

2018年12月26日

2018年10月31日

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|10|12|
2019|02|03|05|06|07|08|10|
2020|08|09|
2021|07|08|10|12|
2022|01|04|06|12|
2023|03|
2024|03|04|07|11|12|
最新 追記