報告書・提言・意見

「個人情報の保護に関する法律施行令及び個人情報保護委員会事務局組織令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則の一部を改正する規則(案)」に対する意見

PDF版

2021年1月25日
一般財団法人情報法制研究所 個人情報保護法研究TFパブコメ検討WG
(板倉陽一郎、江口清貴、加藤尚徳、鈴木正朝、高木浩光、長田三紀、丸橋透)

意見: 改正後法第35条の2第8項が「電話をかけ、郵便若しくは……信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法……を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない」として禁止する行為には、例えば、Webサイトがその閲覧者に対して当該閲覧者の仮名加工情報に基づいて表示内容を出し分ける行為も、「電磁的方法を用いて送信」に当たるものとして含まれると理解したが、その理解でよいか。

(該当箇所:改正後施行規則(案)第18条の9第3号)

理由

今般の改正で、仮名加工情報として取り扱えば法27条から34条の規定が適用外とされることになるのは、法目的の観点からして支障がないことによるものと理解している。すなわち、個人情報保護法が「個人の権利利益を保護することを目的」(法第1条)としている目的には、個人データに基づいて「個人を選別」(single out)する行為がもたらし得る個人の権利利益の侵害を未然に防止することが含まれると考える。それゆえに、本人には、自身の個人データがどのように処理されているかを確認し、不適正であれば是正を求めることができるように、法27条から34条までの開示等(開示の他に訂正等及び利用停止等が含まれる)の請求権が与えられているところ、仮名加工情報が「個人を選別」するために用いられないことが、法により禁止されて保証されるならば、仮名加工情報に対する訂正等や利用停止等を求める必要性がなく、これに伴い開示を求める必要性もないことになるからこそ、これらの規定が適用外とされているものと理解している。

ならば、例えば、Webサイトがその閲覧者に対して当該閲覧者の仮名加工情報に基づいて表示内容を出し分ける行為も、「個人を選別」する行為の一つであることから、改正後法第35条の2各項の規定のいずれかにより、そのような行為は禁止されていて然るべきである。

その点、同条第7項が、「当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。」と規定していることから、前記「Webサイトがその閲覧者に対して当該閲覧者の仮名加工情報に基づいて表示内容を出し分ける行為」が「本人を識別するために」行われる「照合」に当たると解されるのであれば、同項がそのような行為を禁止していることになる。

しかし、一般に、Webサイトがその閲覧者を区別する手段にはcookieに格納したランダム生成の識別子が用いられるのが通常であり、そのような手段による閲覧者の識別に伴って蓄積される閲覧者毎の閲覧履歴が、現行法の通常の解釈において氏名等が紐付けられていない限りは個人データに該当しないとされていることからすれば、前記の行為が「本人を識別するために」行われる「照合」に当たるとは言えないと解される余地がある。

同条第8項が、前記第7項とは別に、電話や郵送その他のために仮名加工情報に含まれる「連絡先その他の情報」を利用することを禁止しているのも、電話番号やメールアドレスが、改正後規則(案)第18条の7第1号の「特定の個人を識別することができる記述」に該当せず、それらを利用して電話をかけ、メールを送信する行為が直ちに「本人を識別するために」行われる「照合」を伴うものと言えないからこそであろう。

そうすると、前記「Webサイトがその閲覧者に対して当該閲覧者の仮名加工情報に基づいて表示内容を出し分ける行為」についても、前記第7項で禁止されていないことになるのであれば、第8項で禁止されて然るべきものと言える。

第8項は、利用を禁ずる場合として、「電話をかけ、郵便若しくは……信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(……)を用いて送信し、又は住居を訪問する」ことを列挙しており、そのうち「電磁的方法を用いて送信」の内容が、本件意見募集対象であるところの改正後施行規則(案)第18条の9に委任されているところ、同条第1号はSMS等の送信を、第2号は電子メールの送信を規定し、第3号で「前号に定めるもののほか、その受信をする者を特定して情報を伝達するために用いられる電気通信(…)を送信する方法」を規定しているわけであるが、この「送信」に、前記「Webサイトがその閲覧者に対して当該閲覧者の仮名加工情報に基づいて表示内容を出し分ける」ことが該当するのかが問題となる。

その点、Webサイトが閲覧者にコンテンツを表示することは、「電気通信」によりHTTPレスポンスを「送信する」ことに他ならず、cookieの識別子を用いてコンテンツを出し分けることは「受信をする者を特定して」行われるものであり、当該識別子が「連絡先その他の情報」に該当するものと解釈されるべきである。

以上