編集長の佐藤(@akihirosato1975)です。
昨年の情報ネットワーク法学会のレポートが途中で止まったままですが、あの後本業の開発業務が多忙になっている間に、個人情報保護法改正案の動きが二転三転していて、今さらレポートを書いても変更点が多すぎてお話にならない状況となってしまいました…(汗
だからというわけでもないですが、代わりに今週月曜日(3/16)に開催された「第4回プライバシーフリークカフェ」のレポートを。
ちなみに以下の資料も参考。
Togetterのまとめ
国会提出法案(第189回通常国会)(内閣官房)
Administration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015 ※後で出てくるアメリカ版個人情報保護法改正案
エンジニア的結論
法律屋的視点でのレポートは以下でタップリするとして、まずは本ブログの主な読者であろうエンジニアの方々向けの結論を書くと、正直なところほとんど何も決まってません。
法律的にはいろいろ議論はあるんですが、実際のところ「具体的にどの情報が同法の保護対象でどれがそうでないのか」「保護対象の情報をどのようなロジックで処理すべきなのか」については
ほとんどが政令、もしくは個人情報保護委員会(今回の法改正で設置される予定の行政委員会)規則で定めることとして、結論が先送りされてます。現時点ではっきりしてるのは
・現行法での零細事業者除外規定(5000件以下なら義務免除)は撤廃される
・個人情報の中に新たに「要配慮個人情報」というカテゴリーが設けられる
・「匿名加工情報」なるカテゴリーが新設される
・個人情報を第三者提供する場合は、提供する側・受ける側が共にその記録を作成・保存する義務が課される
ぐらいのもので、「匿名加工情報」の定義やその運用なんかは(詳しくは後で述べますが)はっきり言ってグダグダ状態なので。あと我々のようなレコメンドASP業者にとって重要な「『個人を特定はできないが識別可能なハッシュ値』が同法上の個人情報に当たるか」という点も、国会の議論でどうなるかが全く未知数です。
ということを踏まえた上で、以後は主に法律屋的観点からのレポートをどうぞ。
本編
今回は山本一郎氏が遅刻(結局開始から40分ほどして到着)。なので最初は高木浩光氏と鈴木正朝先生のお二人で議論が進みます。
自民党提言
まずは2/12に自民党から出た個人情報保護法改正に関する提言について。
この提言で大きかったのは「オプトアウトによる利用目的の変更は行うべきではない」と明記されたこと。ただ高木氏曰く「オプトアウト規定削除のバーターで『個人情報の定義拡大は行わない』という話になった」そうで。
また今回の改正では、マイナンバー法で設置された「特定個人情報保護委員会」を「個人情報保護委員会」に改組するという点も大きなポイントですが、これに関して「マイナンバー法の方で意見のある先生がいた模様」(鈴木先生)とのことで、それで改正案の閣議決定が3/10までずれ込んだそうな。
一部では委員会を「個人情報委員会」(『保護』がない)という名称にして、個人情報の利活用についても所管させるという案も出たそうですが、鈴木先生によれば「委員会に(個人情報利活用の)アクセル・ブレーキ役の両方をやらせるのはガバナンス上問題がある」ということで元に戻った模様。あとは匿名加工情報が原案の届出制から「公表すれば足りる」となった点も大きい(高木氏)。
個人情報の定義
ここから具体的な改正案の内容に入っていきます。まずは第2条の個人情報の定義の話。
大きな改正のポイントとしては、個人情報に新たに「個人識別符号」「要配慮個人情報」が増えたという点。「個人識別符号」については今回の改正で入ることが前々から話題に上がってましたが、具体的にどのようなものが「識別符号」とされるかは「政令で定める」とされてしまったので「現段階での解説は時期尚早」(鈴木先生)として飛ばされました。
で、前半の最大のテーマとも言える「『特定の』問題」に突入します。要は先ほどの自民党提言の影響で、「『特定の』利用者若しくは購入者又は発行を受ける者を識別することができるもの」(第2条2項2号)というように、原案では存在しなかった「特定の」の3文字が「個人識別符号」の条件として入ってきたという話なんですが、このせいで保護対象となる情報が「現行法と変わらないことになってしまっているかも」(高木氏)。
今までも個人を識別する「識別子」的なものは、それが個人名などと紐付いて個人を「特定」できると個人情報とされていたわけですが、それは「(他の情報との)照合性を前提としていた」(鈴木先生)。
ところがマイナンバー法でマイナンバーが「番号単体で個人情報」とされているのに、実は「わざわざ条文には書かれていない」そうで、「現行法の2条1項で既に(マイナンバーが個人情報であると)解釈ができる前提と考えてもおかしくない」(鈴木先生)。
ここから一度話は「データベース情報と散財情報」の話に飛びます。このへんの議論はこちらの繰り返しなのでここでは省略しますが、行政機関の情報公開法に基づいた審査会の審査例では「基礎年金番号でも単独で個人を識別できない」とされているそうで(高木氏)。
なので「複数のデータを掛けあわせて特定個人を識別出来る場合は個人情報だと言ってるに過ぎないと理解すると理解はできるが、だとすると現行法と全く変わらない」(高木氏)。
高木氏は「政令でどうなるかが見もの」とも語ってます。
高木氏はアメリカの改正案にも言及して「アメリカの法案と日本の法案(筆者注:ここでは自民党修正前の原案)を照合すると非常によく似ている」「正直ゾゾッとした」とも。厳密には電話番号の扱いなど一部異なる点はあるそうですが(アメリカでは明確に個人情報扱いだが、日本では経団連が「電話番号は解約したら変わるから外せ」と言って外されたそうな)。ただこれも「『特定の』が入ったせいで全部水の泡」(高木氏)。
という話をしているところに山本氏が到着。早速この「『特定の』問題」について「日本の業者だけが日本の規制で不利な状況に陥るのを防ぎたい、ということらしい」と新経済連盟側の意図を解説します。「なるたけ外国と同条件にしたいが、amazon等いろんな国とビジネスしている企業との対抗どうするか」「連盟内でもかなり議論があったが、(自民党に)言ってみたら入りました」ということだそう。
これについて山本氏は「三木谷さんは『EUについては考えが違うので、アメリカの方向性を先取りする』と言っている」「『リアルビジネスに適合した運用体系ができることが一番重要』」「『こうじゃなきゃいけないと圧力かけたつもりはない』らしい」とも語られてます。さらに2月頃の三木谷さんの発言を引用しつつ「匿名加工情報について事前届出制とされるのが一番嫌だ」「それと個人情報の定義拡大さえ何とかしてもらえれば、あとは運用で配慮してもらえればいい、という立場」とその意見を解説します。
話は対EUの問題に移り、鈴木先生が「誰もEUのルールをそのまま入れろなんてことは言ってない」「(某Y社は)架空の人と戦っている」と発言。山本氏は(某Y社について)「中長期的に見て規制がEU寄りになることを危惧しているらしい」と指摘しますが、高木氏は「(今回の原案が)アメリカ案とぴったりで、むしろEUの方があいまいなくらい」と発言。
ここで山本氏から「経済団体も一枚岩ではないので、ここまで刺さるとも思ってなかったのではないか」「『特定の』が入るとは思ってなかったかもしれない」との名言が飛び出します。
また対アメリカという点で、鈴木先生は「アメリカのPII(Personality Identifiable Information)は、(広い意味での)個人情報が全部入る」「まず土俵には乗っけるけど、法律上の形式判断でふるいにかけて、残ったものについてプライバシーリスクを具体的に判断する」のに対し、日本は「形式判断だけでいきなり規制が始まる」という違いがあることを指摘して、「定義を狭めて欲しいという理屈はわかる」「むしろ我々は実質判断を導入していきませんかという立場」と語り、むやみやたらに保護対象を広げる気はないことをアピールします。
一方で高木氏は「今回の問題はプロファイリング」「アメリカ案では『一般公開情報は(プライバシーリスクから)除く』とされているが、むしろ公開情報を組み合わせてプロファイリングすることが危惧されている」として、「アメリカはプロファイリングをどうする気なのか」と疑問を提示。これには鈴木先生から「プライバシーと個人情報の概念は離れている」「特定個人の識別情報に含まれないプライバシー侵害があり得る」として、例として「がんの発症率が高いと(プロファイリングにより)判明したら、さすがに保険に入れてくれないということはないだろうが、がん関係の薬の広告が出なくなるといったことは考えうる」という意見が出ました。山本氏からは「アドテク業界におけるブラウザフィンガープリント問題とも関係してくるのでは?」との疑問も出ましたが、高木氏は「あれは単に識別子を作るための技術」として議論を切り離すべき、と回答。
要配慮個人情報
続いては第2条3項の「要配慮個人情報」の話。
鈴木先生は「本当は『機微情報』としたかったが、内閣法制局から『機微はやめろ』と言われた」「過去にOECDでも議論になって『何が機微かわからない』として使わなかったが、EUは使い始めた」などと早速裏話をばらしつつ解説を開始。原則「取得してはいけない」とされている同情報ですが、17条2項の除外規定について「(2号で)『財産の保護』が入ってるせいでやたら(除外規定の)範囲が広い」と指摘。この他にも5号(鈴木先生曰く「報道機関の例外規定」)、6号(政令で定める場合)の存在もあるため「かなり柔軟(に取得できる)」ということの模様。
この他第三者提供のオプトアウト規定(現行法の第23条2項)がこちらにはないなど、一般的な個人情報よりは厳しい扱い。とはいえEUも「この点については悩んでいる」「ネットでいくらでも組み合わせられる情報がいつ機微情報に転化するかわからない」という状況だそうで、「運用はちゃんとしなくても、EU相手に『sensitive data規定がある』といえば通ることを狙ったかも」(鈴木先生)。
現実的には日本でもテロの可能性が増してきていることで、顔認証情報をどういう扱いにするか、という点が具体的な問題だそうですが、「誤認逮捕はまずいから他の生体情報と組み合わせる必要がある」(鈴木先生)。
ところが現実には全国万引犯罪防止機構のように「犯罪防止名目で個人情報を必要以上に共有する」組織が出てきてしまっているわけで、「万引ごときで全店舗で顔認証情報を共有するのは過剰反応で、憲法上も絶対に問題だが、テクニカル的にはOKになってる」(鈴木先生)。高木氏も「金融庁のガイドラインに『犯罪者情報の共有をしてもよい』と書いてあるせいで、どのような運用をしていようが例外に当てはまることになってしまった」「要配慮個人情報に犯歴が入っていても『防犯のため』といえば使えてしまう」と語り、「結局は程度問題だが、どこまで許されるかは条文上に範囲が定められていない」として、犯罪防止名目での個人情報の過剰利用を警戒していました。
利用目的変更
前半最後は「利用目的変更」の話。原案では「個人情報取得後にオプトアウトで利用目的を変更してもよい」なんて話が出ていたためあちこちで話題になりましたが、最終的にこれがなくなったことで「結果的にはよかった」(山本氏)。
高木氏は「そもそも利用目的変更なんていらないでしょう」と前置きして、いわゆるビッグデータの世界で想定されるデータ利用の形態を6つに分類したうえで(分類についてはこちらを参照)、このうち法改正が必要なのは5.の「細かな利用目的をいちいち書きたくない」だけ、とぶった斬ります。データの統計化の問題についても「医療カルテのように統計化しちゃまずい分野もあるけど、ショッピング履歴ぐらいなら統計化しても問題ない」として、元々現行法でも原則OKだったと指摘。
鈴木先生も「B2Cのサービスの場合は約款もあるし、下手すりゃ(オプトアウトでの利用目的変更が)消費者契約法違反で訴えられる」「一本の法律を緩めるだけで何とか出来ると思うのが常識としておかしい」と口撃を緩めず、しまいには「元の案(が法律として成立して)六法全書に載せることになったらそれこそ日本の恥」「こんなのに4ヶ月も議論かけたのが馬鹿らしい」との厳しいお言葉。
高木氏からは、一部の企業が最近言い出している「EUのlegitimate interests規定(筆者注:正当な理由があると利用者が合理的に予期できる場合は、細かい利用目的を明記しなくても個人情報を利用できるという例外規定)を導入すべき」という意見については一定の評価をしつつも「役所は『日本の法律にはなじまない』という見解」だとして、日本への導入は現実的ではない、とまとめて前半を締めくくりました。
というわけで休憩を挟んでの後半戦はまた後ほど(今回はきちんと後半もレポートします)。