報告書・提言・意見

「「情報銀行」認定申請ガイドブックVer2.0(案)」に対する意見

日本IT団体連盟の「「情報銀行」認定申請ガイドブックVer2.0(案)にについて、本日よりご意見を募集します。」に対し、JILIS個人情報保護法研究タスクフォースから、以下の意見を提出しました。(なお、意見募集がプレインテキストでのみ受け付けられていたため、以下に含まれる図面は、提出時には含まれていないものです。)


PDF版

2020年3月17日
一般財団法人情報法制研究所 個人情報保護法研究タスクフォース
(板倉陽一郎、江口清貴、鈴木正朝、高木浩光、丸橋透)

意見1: 「提供先」の「委託先」に直接に情報銀行から個人データを渡して「提供先」が当該個人データにアクセスできないようにすれば「提供先に個人データを提供したことにならない」とする法解釈は誤りである。

26頁脚注26(39頁脚注32も同じ):本文中の「情報銀行の監督下で、提供先からPマークまたはISMS認証を取得している者に個人情報の取扱いを全て委託させる」との記述への注として、「「個人情報の取扱いを全て委託させる」場合、提供した個人データに対して提供先が全くアクセス権限を持たない状態となっているのは、IT連盟の認定基準においては個人データの提供を受けたのは委託先になり、提供先に個人データを提供したことにならない。」と記載されているが、個人情報保護法の解釈を誤っており、この記載は削除するべきである。

この文が述べていることは要するに、情報銀行(A)が「提供先」(B)に何かしらを「提供」するときに、Bが「委託先」(C)に「個人情報の取扱いを全て委託させる」場合について、Aが個人データをCに直接渡すようにし、Bが当該個人データにアクセスしないのであれば、AはBに個人データを提供したことにならない(Bは個人データの提供を受けていないことになる)と主張している。

しかし、CがBから個人データ取扱いを委託されて行う業務は、Bの業務の一部としてBと一体的にデータを取り扱うことに他ならないのであるし、何より、Cが当該業務で取扱中のデータはBの管理下にある(そもそもそのような状況を「委託」と言う)のであるから、Bがいくら物理的にデータを受け取らず、Bが(Aの監督の下で)Cのデータにアクセスしないようにしていようとも、論理的にはBがAから個人データの提供を受けるのであり、「提供を受けたのはC」「Bに提供したことにならない」などと主張するのは、法の趣旨を潜脱しようとするもの……という以前に、単に誤った法解釈である。

図

もし、Bが個人データの提供を受けていないとするなら、個人情報保護法上の「委託先の監督義務」(22条)がBに課されないこととなり、Cは同法上、独自に個人データを取扱う主体となる(processorではなくcontrollerとなる)のだから、情報銀行AはCに個人データを第三者提供したことになる。その点、注は「IT連盟の認定基準においては個人データの提供を受けたのは委託先になり」と記載しているが、それならば、そもそもBを「提供先」、Cを「委託先」とするのが誤りであって、注の参照元の本文「提供先から……に個人情報の取扱いを全て委託させる」との記述と矛盾している。

Bに「個人データを提供したことにならない」ようにしたいのであれば、情報銀行AがCに委託して、統計量への集計等を行なって、その結果をAがBに提供すればよい話であるし、それが情報銀行の業務としてできないのであれば、Cを「個人データの第三者提供先」として個人データの本人に示すのが本筋であろう。Bに渡るものが統計量(非個人データとなるまで集約された統計量)であれば、Bを「提供先」として本人に伝える必要がない。

図

あるいは、利用目的が、統計量をBに渡す話ではなく、Bにクーポン発行を行わせる話であるのなら、たとえ、クーポン発行先とする個人を選別する処理をCに行わせるようBがCにその個人データ処理を「全て委託」し、Bが個人データを持たずアクセスもしないようにしていようとも、Bが個人データ取扱いの主体(controller)であって、Bがその管理責任(データで個人の選別を行うことにより起こり得る個人の権利利益侵害から保護する責任)を逃れることはできない。Bが管理責任を負わないのならば、Cがクーポン発行事業を主体的に展開するようにする(Cがcontrollerになる)ほかなく、その旨(C社のサービスである旨)が本人に説明されなければならず、この場合は、CはBの「委託先」ではなく、BはCのサービス利用者にすぎない。

図

そもそも、情報銀行は、本人の同意を得て個人データの第三者提供を行うビジネスなのだから、このような法の潜脱を謀ろうとするまでもなく、本人同意の下でBに第三者提供すればよい話のはずである。その場合に、Bがデータに直接触れることなく、AからCに直接データを渡す方法で取り扱うのは、Bにおける適切な安全管理措置の一つであって、本文が言うところの、Bが「PマークまたはISMS認証等を取得していない場合」にまさに相応しい措置なのであるから、BがAから個人データの提供を受けるという事実を認めて何ら困ることはないはずである。したがって、脚注26のこの記載は無用なのであり、法解釈を誤っているから削除されて然るべきである。

意見2: 「暗号化処理」とあるのは「仮名化」の誤記ではないか。

26頁:「提供先がPマークまたはISMS認証等を取得していない場合」にも提供できるようにする条件として挙げられている3つの「いずれかの対策」に、2つ目として、「提供先において特定の個人を識別できないよう、個人情報の暗号化処理または個人情報の一部の置き換え等の処理を行い、復元に必要な情報を除いた形で提供先に提供する」とあるが、「暗号化処理」を行ったら提供先で何ら利用できないのではないか。「暗号化処理」という概念を誤って理解しているのではないか。仮名化のことを指しているのなら、そのように書けばよい。なお、仮名化に際してハッシュ化が用いられることがあるが、ハッシュ化は暗号化処理ではない。

意見3: フッタに「禁無断転用・引用」とあるが、公表された著作物の引用は自由に行えることであり、無断引用を禁止される謂れはない。

(見出しの通り)

以上