編集長の佐藤(@akihirosato1975)です。
6/28に行われた第2回情報法制研究会について、鈴木正朝先生から直々に「レポートよろしく」と言われてしまったため(w、とりあえず簡単にレポートしてみます。
基調報告
プライバシー関連業界では重鎮の堀部政男先生(特定個人情報保護委員会委員長)が、今月Louis D. Brandeis Privacy Awardsなる賞を受賞されたそうで、その報告という趣旨。基本的には賞の概要と過去の受賞者、あと授賞式がどんな感じだったかなどのお話でしたので、詳細はここでは省略します。
ちなみに後の懇親会で話されていたところによると、授賞式はワシントンで行われたそうですが、日本が国会開会中ということで長期間の国外渡航ができず、2泊4日という強行スケジュールでの出席だったそうで。お年を考えると本当にお疲れ様です。
第1部
第1部は個人情報保護法の国会審議に関する話。本来であればこのイベントの時点ではとっくの昔に改正法が成立しているはずだったんですが、「年金機構がやらかしたせいで」(複数の先生のコメントによる)+「安保法制の審議の巻き添えを食らい」(高木氏)、まだ参議院での審議が続いている状態。というわけで、いろいろ国会でグダっている現状についての報告と相成りました。
板倉陽一郎弁護士
(資料はこちら)
まず登場したのは板倉陽一郎弁護士。例によって内容が盛りだくさんすぎて、全部を解説していたらとても書ききれないのでかいつまんで行きます。
個人的にまず気になったのは個人識別符号のくだり。国会答弁では「個人識別符号については保護対象を明確化したもの」「定義を拡大・拡充するものではない」と明言されたほか、個人識別性の評価基準について「社会通念上一般人の判断力や理解力を持って同一性を認めることができる」としていて、「つまり氏名到達性ではない」(板倉先生)。
あと保護対象となりうる符号については「携帯電話の端末IDは機器に付番されるもの(つまり個人に付番されるわけではない)なので該当しない」としつつ、マイナンバーや保険証番号などははっきり「該当する」との答弁。携帯電話番号については「現時点では一概には言えない」としていて、判断を政令に先送りしています。
ここで板倉先生が問題にしていたのが「条文上入れられるものしか政令には入れられない」という点。先生曰く「一般の実務上は政令に書かれたものを守っておけば問題ない」ものの、「法律上定められた委任範囲を超えた内容を政令に入れてしまうと、行政訴訟で負けてしまう場合がある」として、いわゆるケンコーコム事件を引き合いに出して問題視していました。
ちなみに政令で対象となる個人識別符号としては「個人と情報の結びつきの程度」「情報の不変性の程度」「本人の到達性」の3つが判断基準になる、という答弁がなされていて、「具体的な符号を列挙するか、あるいは情報の性質を規定するか、どちらの方法が良いか検討している」とのこと。ただ板倉先生曰く「全部性質だけ書くということは考えてないのでは」とのことで、一部の符号については具体列挙しつつも、それ以外の符号をカバーするための性質規定と二本立てになるのが有力なようです。
あと今回の改正のポイントの一つでもある「要配慮個人情報(いわゆるセンシティブデータ)」ですが、これについては意外にも国会ではあまり問題視されていない模様。
そしていろいろ問題が起きている「匿名加工情報」の話ですが、まず各論の話として「データの加工方法」については、「委員会規則では最小限度の規律を定める」「詳細なルールは認定個人情報保護団体のほうで定めて欲しい」とのこと。もちろん全ての業界で認定個人情報保護団体が設立されるかといえば難しいでしょうが「できるだけやってほしいらしい」(板倉先生)。あと「復元できないようにする」の基準は「通常の人の能力と技術を持ってして復元できない」だそうで、技術的に100%復元できないことを求めるものではない、という答弁が出ています。
それでここからが問題なんですが、「従来より社内で行っている安全管理措置等によってデータを加工したら、結果的に匿名加工情報相当のデータが出来てしまった場合などにも公表義務が生じるのか」という疑問については「その場合は匿名加工情報としての取扱を求めるものではない」(向井審議官)。では「何を持って『この情報は匿名加工情報か否か』を判断するのか」という話になるわけですが、その答えは何と「公表されたら匿名加工情報」というもの。これには会場内にも失笑が広がり、板倉先生も「まるでシュレディンガーの猫」とコメントされてます。
第三者提供時のトレーサビリティ義務については、さすがにあちこちから「記録義務の負担が大きすぎる」という意見が続出したせいか、国会でも「毎回記録しなくても包括的な記録で足りる」とするなど、記録の手間を減らす方法が検討されているようです。また「システムで自動的にデータが提供されるような場合はログで足りる」とする案もある模様。ただ先程の法律と政令の関係がここでも問題になる可能性があり、「そこまで規則で書けるのか?という疑問はある」(板倉先生)。
なお記録義務の対象が「データベース」ではなく「データ」となったのは、「個人情報は一人分でも保護の必要がある」「名簿屋などがデータを小出しにして脱法する可能性がある」ことを考慮したため、とのことでした。
ただSNS・ブログ等で第三者の個人情報を公表してしまう(一緒に写った写真のアップなど)ケースにも記録義務があるのか?という点は「ケースバイケース」(板倉先生)。
法の越境適用も厄介な問題で、特に外国事業者にデータを渡す場合はたとえ業務委託等の形であっても第三者提供の扱いとなり、事前にユーザ側の同意を要する、という難儀な条項が入っているわけですが、これについては「現在企業において行われている取扱を明確化しただけ」とのこと。実際のところは「同等性認定」(注:日本国内と同等以上の個人情報保護に関する体制が国レベルで整っていることの認定)を受けている場合は対象から除外されるわけですが、国会では「先生のご推測のような方向で行くと思います」(山口大臣)という答弁が飛び出し、「そこまで言っちゃって大丈夫なのか?」という状況。結局アメリカ・EUに対しては「同等性認定」を認めざるをえないのかな、という感触です。
外国クラウドへの委託については「国内と同等の安全管理措置を契約で結んでおけばOK」(向井審議官)という答弁も出ていますが、板倉先生は「外国の事業者が日本のコンプライアンスをどこまでやってくれるか疑問」「逆を考えると『EUの規制を日本側で守る』という話だが、それはすなわち『イギリス法やアイルランド法など、向こうの法律に詳しくないといけない』ということで、それができる日本の企業はほとんどない」として、現実的に外国の事業者側は日本のためにそこまで対応してくれるか怪しいと見ています。
「『APECのCBPR(Cross Border Privacy Rules)に入っていれば大丈夫』という意見もあるようだが、そもそもCBPRに参加している企業自体がほとんどないし、入っていない企業はどうすればいいのか」とも板倉先生は指摘していて、正直この問題はかなり厄介そうです。
最後に板倉先生が「なんだか香ばしい」として挙げていたのが、第15条2項の「利用目的変更」で「相当の」が削られた件。国会答弁で山口大臣が例として挙げた中に「電力会社が省エネ目的で家庭内の電力の使用状況を収集して使う」というものがあったんですが、その例の一つに「電力の使用状況を安否確認サービスに使う」というものがあった点を板倉先生は問題視。「大臣は『本人が通常予期しうる範囲での変更』に含まれるとしているが、ちょっと無理筋ではないか」「そもそもそういうサービスをするのであれば、電力会社は普通に契約者に対して申し込みをさせるだろうから、わざわざこの条文を使う必要がないのでは」として、大臣答弁にツッコミを入れていました。
高木浩光氏@産総研
(資料はこちら)
続いてはお馴染み高木浩光氏@産総研。この日は、参議院での審議が延びていることに関して「ならまだチャンスがあるかもしれない」「2点修正すべき点がある」として、今回の改正案の中でも特に問題視している点を挙げました。
一つはやはり第三者提供の記録義務の問題。これについて高木先生は「事業者への過剰規制になる」と反発していて、全然条文の修正の気配がないことから「(普段とは)逆向きの活動を行うことになった」。5月の連休明けには高木先生&鈴木先生の二人で総務省の担当官のところに行って話をしてきたそうですが「言い訳ばかりで話にならなかった」らしく、「八百屋が隣の魚屋にお客さんを紹介して、そこでその客の連絡先を教えたら、それは『第三者提供』だと言いはっている」「つじつまを合わせるためにどんな無理な理由も持ってくる」と総務省を批判します。
板倉先生のところでも出たSNS・ブログ絡みの問題についても「例えばFacebookで他人のプロフィール情報を見た場合、あれはアイルランド法に基づく『本人同意による第三者提供の扱い』なので、データの提供側(Facebook)だけでなく受領側(情報を見たユーザ)にも『情報を受領した』旨の記録義務が発生する可能性がある」という状況だそうで、国会でも答弁が二転三転している、と高木先生は指摘。
「散在情報まで規制しようとするからこうなる」「表現の自由や知る権利を侵害している」として、知り合いの議員に頼んで何とか修正に持ち込めないかロビー活動に動いたそうですが「とある理由でできないことになった」(高木先生)。
もう一つが匿名加工情報の問題。高木先生は「本来やりたかったのは『個人情報保護委員会基準の匿名加工情報なら第三者提供できる』ではないのか」「であれば、外部提供のために作成したものだけを規制すれば十分」として、安全管理措置のために加工した匿名化データまで公表義務を課せられる点を疑問視。前述の「公表したら匿名加工情報」という答弁についても「じゃ公表しなければ今まで通り使えるわけで、何のための改正か意味がわからない」とぶった斬ります。
他にもいろいろ問題点はあるとのことですが、上記以外の問題点(特に「個人情報」の定義)については「定性的な制限は(政令等では)むしろ入れないで、次回の法改正で対応して欲しい」と語ってました。
崎村夏彦氏@野村総研
第一部最後は崎村夏彦氏@野村総研が、実際にプライバシー関連規格の国際標準化に関わっている立場から、今回の法改正と諸外国の状況との比較について説明しました。
プライバシー関連の国際標準規格としては、既にISO/IEC 29100(プライバシーフレームワーク)などが成立していて、その下位規格も審議中のものが多数存在していますが、崎村氏はこれらの規格と日本の状況を比較して「結論から言うとずれてます」と指摘。「日本の産業界は『個人情報の範囲を狭める』要望が多いが、ISO/IECからはかけ離れている」「携帯の端末IDなども全てPII(Personally Identifiable Information)にあたる」「EU/米国はだいたいこれでコンセンサスがとれているので、日本の産業界が人を送り込んだとしても袋叩きされる」と、今回の法改正の問題点を語ります。
とはいえ「なぜ日本と国際標準がずれているのか」という点も考慮していて、崎村氏は「特にEUはリスクベースアプローチが明確である」「OECDのセキュリティガイドラインでもリスクベースアプローチを取っている」と語り、「日本(の現行法)でもおそらく本当はリスクベースアプローチでいいんだと思うが、残念ながらそこまで(法の条文が)読み込まれていない」と見ます。
またエコシステムという観点からは「リスクベースアプローチが機能するためには(リスクをカバー・低減するための)損害保険が必要だが、日本では部分的にしか保険が存在しないし、大規模な事故に対応していない」「大型の個人情報漏洩事故は低頻度・大規模という性質があるので、本来なら保険向き」という点も指摘して、「保険会社も(大規模事故に対応した)保険を作る代わり、きちんと(個人情報保護等の)ガイドラインを順守させる等の条件をつければよい」「企業はそうやってリスクを軽減した上で、それでも残る残存リスクを評価すべき」と、損害保険による企業リスクのカバーをもっと積極的に行うべきと主張していました。
他にも今ISO/IECで標準化作業を行っている規格についても簡単に解説されていましたが、それは省略します。
長くなってしまったので、第二部についてはまた別記事で。