高木浩光＠自宅の日記

■ 個人情報定義は新経連の意向で米国定義から乖離しガラパゴスへ（パーソナルデータ保護法制の行方 その16）

今回の国会提出法案で、個人情報の定義を拡充するとされていた点は、次の条文となった。

（定義）
第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。）で作られる記録をいう。第十八条第二項において同じ。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）

二 個人識別符号が含まれるもの

2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。

一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの

二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

黄色で強調した部分は、現行法の定義そのままのところである。背景灰色の部分は、「記述等」を明確化するための補足であり、現行法解釈の通説を踏襲したもの*1なので気にする必要のないところである。

残る部分が今回追加されるところであるが、赤で強調した「特定の」の部分が問題となる。自民党の「個人情報保護法改正に関する提言」では「4. 個人情報の定義（範囲）の拡大は行わないこと。」とされ、報道によれば、自民党修正によって「特定の」が挿入され、「「特定の個人を識別できるもの」に限定」されたとされている。

• 保護法改正案 個人情報定義 振り出し 端末ID 対象見送り - 解説スペシャル, 読売新聞2015年2月24日朝刊, p.7

  どんでん返しが起きたのは、検討会の手を離れた今月中旬。原案では個人情報の定義に「特定の」の文字が挿入され、現行法と実質的に同じ内容に戻されていたのだ。利活用を唱える自民党の反対で押し戻された形だ。

  

いろいろ得た情報*2によると、個人識別符号の定義の条文（新2条2項）は、元の案では以下のものだったようで、次の赤の強調部分が挿入されたようである。

• 元の案

  一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該個人を識別することができるもの

  二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されるもの

• 修正され国会に提出された法案

  一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの

  二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

この変更は何を意味することになるのか。読売新聞の解説記事の通り、この2条2項の「個人識別符号」は、1号も2号も、「特定の個人を識別することができるもの」に限定される。したがって、2条1項2号の「個人識別符号が含まれるもの」も、「特定の個人を識別することができるもの」に限定される。

となると、2条1項2号の「個人識別符号が含まれるもの」は、同項1号の個人情報（現行法の個人情報と同じ）とどう違うのか？

この1号（現行法の個人情報と同じ）は、「生存する個人に関する情報」のうち、あらゆる情報について、その内容から「特定の個人を識別することができるもの」は全部が該当するものである。そのため、2号の「個人識別符号が含まれるもの」は、それが定義からして「特定の個人を識別することができるもの」に限定されているならば、追加されてもされなくても、どのみち1号の方で該当するものである。

つまり、今回のこの改正は、冗長な条文に変更するだけ*3のものとなってしまった。「特定の」が挿入される前の元の案ではそんなことはなかったのに、だ。

どうしてこんなことになったかというと、新経済連盟の三木谷浩史氏の意向によるものらしい。たしかに、新経連は、以前から個人情報の定義を拡張してはならないとする意見書を繰り返し出していた*4し、今回も、自民党の修正に際して、同党の「内閣部会・IT戦略特命委員会合同会議」の席で以下の資料を用いたプレゼンテーションをしたらしい。

• 三木谷浩史, 個人情報保護法改正案の問題点, 2015年2月4日

  

このように、三木谷氏は、「ガラパゴスな規制」「定義拡大による広範は規制は社会混乱」「日本企業だけ規制される」と主張されたようである。

ところで、そのような自民党修正が加えられ、閣議決定を待つばかりとなっていた2月28日（現地時間では2月27日）、米国は、連邦法「Consumer Privacy Bill of Rights Act of 2015」の案（administration discussion draft）を発表した。

• Administration Discussion Draft : Consumer Privacy Bill of Rights Act of 2015, the White House, 2015年2月27日

これを見て私はびっくりした。この連邦法案の「personal data」の定義は、日本法の個人情報定義とそっくりだったからだ。

そっくりなのは、今回の個人情報保護法改正案の、自民党修正前の、元の案の定義とである。両者を共通部分を比較すると以下のようになる。共通する文に同じ色を付けておいた。

SEC. 4. Definitions.

(a) “Personal data”

(1) In General.―“Personal data” means any data that are under the control of a covered entity, not otherwise generally available to the public through lawful means, and are linked, or as a practical matter linkable by the covered entity, to a specific individual, or linked to a device that is associated with or routinely used by an individual, including but not limited to―

(A) the first name (or initial) and last name;

（略）

(E) any biometric identifier, such as a fingerprint or voice print;

（略）

(F) any unique persistent identifier, including a number or alphanumeric string that uniquely identifies a networked device; commercially issued identification numbers and service account numbers, such as a financial account number, credit card or debit card number, health care account number, retail account number; unique vehicle identifiers, including Vehicle Identification Numbers or license plate numbers; or any required security code, access code, or password that is necessary to access an individual’s service account;

(G) unique identifiers or other uniquely assigned or descriptive information about personal computing or communication devices; or

（略）

（定義）
第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等（略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）

二 個人識別符号が含まれるもの

2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。

一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該個人を識別することができるもの

二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されるもの

まず注目すべきは、黄色で強調した部分。「any data that are linked to a specific individual」というのは、日本法の「個人に関する情報であって、特定の個人を識別することができるもの」にちょうど対応している。「個人に関する情報であって」が、氏名等の「特定の個人の識別を可能にする情報」だけを指すのではなくそれに紐付いた情報の全体を表しているとされている点が、「any data that are linked」で表されているし、「特定の個人を識別することができる」が、「that are linked to a specific individual」で表されている。

ここで特に「a specific individual」に注目したい。日本法の「特定の個人を識別する」の「特定の」は如何なる意味なのか、そもそも意味などあるのか、「特定の個人を識別する」も「個人を識別する」も同じ意味ではないかという意見もあるところ、米国法もまた「a specific individual」と、「specific」の語を使っている*5。しかも、後段の青で強調した部分では、「used by an individual」と、こちらには「specific」の語がなく、区別して書かれていることがわかる。

次に、緑で強調した部分。先ほどの「any data that are linked」に並ぶものとして「or」でつないで、「as a practical matter linkable by the covered entity」とある。これは、ちょうど「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」に対応している。この「linkable」は（先のlinkedとは違って）「照合することができ、それにより……できるもの」に対応しており、「as a practical matter」が「容易に」にちょうど対応している。しかも、「by the covered entity」とあるではないか！

「covered entity」は対象事業者のことであり、日本法では第4章の名宛人「個人情報取扱事業者」のことである。「linkable by the covered entity」とは、「当該個人情報取扱事業者によって照合することができ、それにより……できるもの」ということになる。かつて、日本法の定義の解釈において、「提供元基準説」と「提供先基準説」の争点（「行方 その2」「3. 第三者提供時の照合の主体」参照）があったが、米国法案は、「linkable by the covered entity」と、提供元基準であることを明文で規定してきたと言える。

これはすごい！ まるで日米が申し合わせたかのようだ。日本法の解釈を真似たのかそれとも、これが当然に行き着くべき真理であるということなのか。*6

次に注目するのは青で強調した部分。ここは、日本法が今回の改正で追加しようとした部分に当たる。「個人識別符号」に相当するのは、米国法案で「linked to a device that is associated with or routinely used by an individual」となっている。例示の(F)からわかるように、これは、日本法の言う「個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号」とほぼ同じものを指している。

ここで大注目なのが、赤で強調した部分。黄色の部分に付随したところでは、各々「a specific individual」、「特定の個人」と規定されているのに対し、青の部分に付随したところでは、各々「a device」「an individual」、「個人に」「利用者ごとに」「購入者ごとに」「者ごとに」と書かれていて、ここには「specific」「特定の」という限定が付いていない。

つまり、ここでも日本法改正案と米国法案は有意に一致していると言え、本当にまるで日米が申し合わせたかのようである。

いや、ただし、それは、自民党修正前の、元の改正案についての話である。

自民党修正後の法案、つまり今国会に提出されている改正法案では、「特定の」が挿入されたのだから、米国法案とは明らかに異なるものになってしまった。米国法案には青の部分に「specific」の語が書かれていない。

要するにこういうことが言える。日本政府は、米国大統領府が連邦法の案として示した「Consumer Privacy Bill of Rights Act of 2015」に合わせる（もしくは結果的に合う）形で、日本の個人情報保護法をほぼ同一の個人情報定義にすべく改正を試みていたが、新経連三木谷浩史氏の意向によって、米国とは違うものにされてしまった。三木谷氏自身が「駄目だ」と拒否する「ガラパゴスな規制」に自ら押し込めてしまったのである。

残念ながら誰もこれを止めることはできなかった。

もっとも、三木谷氏の言い分にも理解できるところがある。新経連は、2月4日の資料で、個人情報定義を拡張するとどのような問題が生じるのかの具体的な理由を、初めて明らかにした。

• 三木谷浩史, 個人情報保護法改正案の問題点, 2015年2月4日

  

なるほど、確かに、アカウントのIDがそれ単体で個人情報に該当し、その利用目的をあらかじめ特定して通知又は公表しなくてはならないとなると、指摘されている例②のように*7面倒なことになる。また、例①のご指摘もその通りだろう。

米国法案では、上記で灰色で強調した部分のように、「not otherwise generally available to the public through lawful means」（合法的手段を通じて一般に公開されているものを除く）とされていることから、これらの心配がないことになる。日本法は、元々、公開情報も規律の対象としてきた経緯があり、ここの折り合いをどうつけるかという課題がある。公開情報も、プロファイリングの目的で使用される場合には保護の必要性がある（正確性の確保、開示・訂正等）ので、米国法案のこの除外を真似ればいいとは思わない。

私の意見としては、一昨年11月から主張してきた*8ように、第4章の民間事業者を名宛人とした義務規定の全てを、「個人情報」ではなく「個人データ」対象とする（散在情報を対象から外す）よう改正するべきだ*9と考えている（「行方 その3」「行方 その6」に書く予定）。新経連の指摘する例①②は、まさに、散在情報の取り扱いに規制がかかることを問題視しているものであるから、私と同意見ということになる。

個人情報定義を拡張して、米国法案に合わせ、世界に合わせていくためには、同時にその改正も必要なのだ*10と思う。そのためには、そもそも何のための保護法なのか、単なる漏洩防止法ではなく、プロファイリングの問題への対処としての法律なのだという、目的の確認から始めなくてはならないだろう。今回の「パーソナルデータ検討会」は、その整理を初めからすっ飛ばして、ただ外国の定義に合わせようとしたから、このような結果に陥ったのだと思う。

次の改正に向けて、引き続き論点整理をしていきたいと思う。

参考文献

• [園部編2005] 園部逸夫/編集, 藤原静雄+個人情報保護法制研究会/著, 個人情報保護法の解説《改訂版》, ぎょうせい, 2005年
• [内閣官房2002] 内閣官房, 個人情報の保護に関する法律案 逐条解説
• [NICT2014] 映像センサー使用大規模実証実験検討委員会, 調査報告書