報告書・提言・意見

「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルールの一部を改正する告示(案)」に対する意見

PDF版

2023年1月27日
一般財団法人情報法制研究所 個人情報保護法研究TFパブコメ検討WG
(鈴木正朝、高木浩光)

意見1: 補完的ルール(4)「仮名加工情報」の後段「統計目的のためにのみ取り扱われることとする」以下は、日本法はその求められる要件を充足しているので、加えるべきでない。

新設される補完的ルール(4)の後段が求めていることは、「……加えて、当該仮名加工情報は統計目的のためにのみ取り扱われることとする。この場合、統計目的とは、……を意味し、それにより作成された統計結果は集計データであり、特定の個人に関する措置又は決定を裏付けるために利用してはならない。」というものであるが、日本法は、41条7項で再識別禁止義務(「作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない」との規定)を設けており、このことは、「特定の個人に関する措置又は決定を裏付けるために利用してはならない」ことと等価であるから、補完的ルールで繰り返す必要がないと考える。

もっとも、日本法に関する従前の議論では、「本人を識別する」の意味するところが、いわゆる氏名到達説で解釈され、氏名との照合がなければ「本人を識別する」ことにならないとの見解もあり得るところであるから、そのような解釈をとる場合には、EUが求める「特定の個人に関する措置又は決定を裏付けるために利用してはならない」との補完的ルールが必要となる(氏名がない限り「措置又は決定」ができないというわけではないから)のは理解できる。しかし、そのような氏名到達説は誤った解釈であることを、この際、確認するべきである。「特定の個人に関する措置又は決定を裏付けるために利用」することは「本人を識別する」ことに他ならない(本人を識別することなしに「措置又は決定」することはできない)と解釈するべきである。

このような「措置又は決定」の概念は、日本法に関する従前の解釈論ではほとんど語られることのなかったものであるが、令和2年改正法による仮名加工情報の導入に際して、「本人への連絡等の禁止」(法41条8項)の規定の中でその概念は反映されており、ガイドライン仮名加工情報・匿名加工情報編2-2-3-5の事例2)に「Cookie IDを用いて受信する者を特定した上で、当該受信者に対して固有の内容のインターネット広告を表示する方法」が挙げられているのは、氏名到達説を否定しているのであって、「固有の内容のインターネット広告を表示する」ことは、個人を選別する行為であって、個人に対する「措置又は決定」に当たるものである。

このように、日本法の仮名加工情報の規定も「特定の個人に関する措置又は決定を裏付けるために利用してはならない」ことを含意していると解するべきであって、EU側にこのことを理解させるべきである。

その上で、補完的ルールは少ないほど適切と考えられることから、補完的ルール(5)の後段「統計目的のためにのみ取り扱われることとする」以下を加えないよう、改めるべきである。また、これを加えることは、日本法の解釈について、「EU及び英国域内から十分性認定により移転を受けた」場合でなければ、仮名加工情報を特定の個人に関する措置又は決定を裏付けるために利用することが適法であるかのように誤解させることになるのであるから、やはり、これを加えないよう、改めるべきである。

意見2: 補完的ルール(4)「仮名加工情報」の後段「統計目的のためにのみ取り扱われることとする」の「統計目的」には、機械学習の学習データとしての入力に用いることも該当するものと理解してよいか。

一般に、機械学習の学習データとしての入力に用いることそれ自体は、入力となる仮名加工情報の元となった個人情報の本人に対して「措置又は決定」を行うことにはならないのであるから、補完的ルール(4)の後段「統計目的のためにのみ取り扱われることとする。この場合、統計目的とは、……を意味し、それにより作成された統計結果は集計データであり、特定の個人に関する措置又は決定を裏付けるために利用してはならない。」が求めていることに反しないはずである。しかし、機械学習の学習処理を「統計目的」と呼ぶことが一般的かと言えば、必ずしもそうではないため、このような補完的ルールを加えることは、仮名加工情報を機械学習の学習データとしての入力に用いることが禁止されると誤解されることになると予想される。したがって、「統計目的のためにのみ取り扱われることとする。この場合、統計目的とは、……を意味し、それにより作成された統計結果は集計データであり、」との文を削除し、「当該仮名加工情報は、特定の個人に関する措置又は決定を裏付けるために利用してはならない。」の文のみ残すようにするべきである。

意見3: 補完的ルール(4)「仮名加工情報」の冒頭「提供を受けた個人情報を加工して得られた仮名加工情報は」との語句は、文言上2つの解釈が可能であり曖昧である。また、続く「法第41条に基づき取り扱われることとする」の趣旨は、法第42条ではなく法第41条が適用されるという意味か。

新設される補完的ルール(4)は、冒頭で「EU又は英国域内から十分性認定に基づき提供を受けた個人情報を加工して得られた仮名加工情報は、……」としているが、この文を、「(EU又は英国域内で)個人情報を加工して得られた仮名加工情報」を(EU又は英国域内から)「提供を受けた」場合と読むべきか、それとも、「(EU又は英国域内から)提供を受けた個人情報」を(日本国内で)「加工して得られた仮名加工情報は」と読むべきか、判然としない。後者だとすると、日本国内で加工して得られた仮名加工情報に法第41条が適用されるのは元より自明であるので補完的ルールが意味をなさないから、それ以外の趣旨があるはずである。その趣旨が明らかとなるよう文を改めるべきである。

また、日本法では、仮名加工情報が個人情報でもある場合には法第41条が適用され、個人情報でない仮名加工情報の場合には法第42条が適用されることになっているので、補完的ルール(4)は、上記のどちらの場合にも法第42条ではなく法第41条を適用するということを意味しているとも考えられる。そうであれば、その趣旨が理解できるような文に改めるべきである。

なお、そもそも、日本法において、仮名加工情報が個人情報に該当する場合と該当しない場合とで区別したことは無益であって、どちらにも共通のルールが適用されるよう設計されるべきであったと考える。次の3年毎見直しの際には、このEU法との差異を解消するべきである。

意見4: 補完的ルール(5)「匿名加工情報」は、令和2年改正法に伴うガイドライン改正で対処されており、不要となったので、削除するべきである。

改正前から存在していた補完的ルール(5)(改正前では(4))が求めていることは、「……提供を受けた個人情報については、個人情報取扱事業者が、加工方法等情報(……及び……並びに……加工の方法に関する情報(……)をいう。)を削除することにより、匿名化された個人を再識別することを何人にとっても不可能とした場合に限り、法第2条第6項に定める匿名加工情報とみなすこととする。」というものであるが、このような補完的ルールが必要となっていたのは、平成27年改正法の施行当時では、匿名加工情報を作成した事業者が「加工の方法に関する情報」を削除しないでいても、加工された情報が匿名加工情報の該当要件を満たすものとして解釈されていたため、このことが、EU法のanonymous information(GDPR前文26)の該当要件と相反するものとなっていたからである。

そのような解釈は、「個人情報保護委員会事務局レポート 匿名加工情報 パーソナルデータ利活用推進と消費者の信頼性確保の両立に向けて」(2017年2月)の「仮IDへの置き換えについて」の記述(20〜21頁)に現れていた。「加工の方法に関する情報」には、「氏名等を仮IDに置き換えた場合における氏名と仮IDの対応表」や「置き換えアルゴリズムと乱数等のパラメータの組み合わせ等」が該当する(ガイドライン通則編3-2-3-1)ところ、事務局レポートの「仮IDへの置き換えについて」の記述は、これらを削除しないことを前提とした仮IDの利用方法について説明していた。

しかし、令和2年改正法に伴うガイドライン通則編の改正(令和3年10月一部改正)で、「氏名等を仮IDに置き換えた場合における氏名と仮IDの対応表は、匿名加工情報と容易に照合することができ、それにより匿名加工情報の作成の元となった個人情報の本人を識別することができるものであることから、匿名加工情報の作成後は破棄しなければならない。」(3-2-3-1注※尚書き)と明記された。これに合わせて事務局レポートも第2版(2022年3月)で修正され、「後述の4.3.1のとおり氏名等を仮IDに置き換えた場合における氏名と仮IDの対応表や氏名等の仮IDへの置き換えに用いた乱数等のパラメータは、匿名加工情報の作成後は破棄しなければならないことから、同一人物に係る匿名加工情報を複数回にわたり作成する場合、同じ仮IDを付与することは基本的に想定されない。」との記載に改められた。これにより、日本法の匿名加工情報とEU法のanonymous informationの相違点は解消されている。

したがって、もはや補完的ルール(5)は不要となったはずであり、補完的ルールは少ないほど適切と考えられることから、EU側に日本のこの対処を伝えるとともに、補完的ルール(5)を削除するべきである。

以上