« SIMロックフリーのiPad/iPhoneを香港で購入 | トップページ | facebookが2015年に導入した「プライバシーベーシック」について »

2014年3月27日 (木)

なぜ、法第23条第1項適用除外情報と名付けたのか

IT総合戦略本部パーソナルデータに関する検討会は、第6回会合(平成26年3月27日開催)で、「(仮称)匿名化データ」という新しいデータ類型の名称を提案した。

 検討会の開催日程と議事資料

これは、同検討会の下に設置された技術検討ワーキンググループが、パーソナルデータの利活用のために、個人に関する情報のうち本人の同意なく第三者に提供できる情報という類型を作ることを提案したことを受けたものである。しかし、それを「(仮称)法第23条第1項適用除外情報」としたが、なぜ、そのように名付けたのかについて経緯を理解しておく必要がある。

それを理解せずに、それを「匿名化データ」などに差し替えてはならないことに注意しなければならない。

情報の呼称についての話しになるため、提案された類型の情報をここでは「新カテゴリー情報」と呼ぶことにする。

その理由を端的に言えば、新カテゴリー情報が「匿名化情報」と呼ばれることで誤解を生じることを防ぐためだ。
つまり、たとえば、「政府は匿名化情報について、本人の同意なく第三者に提供できることにする方針」などという表現を避けるためだ。
なぜ、これを避けようとしたかというと、ワーキンググループは、個人情報の匿名化について「本人の同意なく第三者に提供しても安全になるような匿名化の加工方法や匿名性の水準の判定方法を汎用的に決めることはできない」とした。
つまり、匿名化の条件を一意に定められないとしたことに依っている。情報が匿名化されているかを一意に判断できないにもかかわらず、「匿名化情報」と称してしまえば、それが匿名化情報であるか否かは、事業者が自分で考えた匿名化加工方法と加工結果の匿名性の検証方法で判断してしまい、いわば、オレ様基準になってしまうのである。

そのため、新カテゴリー情報を「匿名化情報」と呼んだり、「匿名性を高めた情報」と呼んだり、それを逆の見方で「個人が特定される可能性を低減した情報」や「個人特定性低減情報」と呼んだりすることは、ワーキンググループが示唆した「匿名性を高めることや特定性を低減することについては、安全な水準を満たす加工方法も判定方法も汎用的には定められない」ということからすると、誤解を生じるだけの名称となるため、使うべきではない。

ワーキンググループは、従来使われていた「匿名化情報」という名称を否定したので、それに代わる名称を検討することにした。
そこでのポイントは、「匿名化情報」を否定したことからも、新カテゴリー情報の性質や状態を表す表現ではない名づけ方を探さないといけないということだ。

一方で、ワーキンググループは、新カテゴリー情報に対する要件としての検討材料として、以下の3つを参考として報告した。
(1)提供者が個人を特定できる可能性を低減した加工をしてから提供すること。
(2)提供者は受領者に個人を特定することを禁止して提供すること。
(3)受領者は個人を特定しないことを公に約束すること。
そして、加工条件である(1)の要件よりもむしろ、管理条件である(2)や(3)が新たに必要であることを示した。

これを使って、新カテゴリー情報を「個人再特定化禁止情報」などのように管理条件で表すことが考えられたが、どのような要件にするのかが決まっていない、すなわち、上記の(1)~(3)の要件で十分なのかが決まっていない時点で、それを名称にすることは時制として無理があるということになった。
(なお、この議論において禁止されるのは、再特定化だけではなく、特定化もあるのではないかという観点もあったが、いずれの名称も採用しなかったので、その観点の紹介は別の機会にすることにして、ここでは割愛する。)

最後に落ち着いたのは、新カテゴリー情報がどのように取り扱うことができるかということを表す名称である。
それであれば、そもそも、それが新カテゴリー情報を類型化する目的であるため、時制としての問題は生じない。

そこで、「(仮称)法第23条第1項適用除外情報」としたのである。
(個人情報保護法第23条第1項が、個人データを第三者に提供する場合に事前に本人からの同意を得ることを義務付けている)
なぜ、このように長くて法条文を見ないとわからない名称にしたかというと、そもそも「匿名化情報」という言葉が独り歩きして、事業者に誤解を与えたという反省に立って、この検討が始まったわけであり、このわかりにくい名称であれば、マスコミなどが、言葉だけを独り歩きさせにくい効果もあるだろうということで決めたものである。
また、普通は名称の先頭に「(仮称)」を付けるのは、最終的にそれを単にはずして、引き続く名称にすることを想定するものだが、この場合は、要件が定まるまでは名称が決まらないはずであるという意味での「(仮称)」なのである。

そのため、法改正での検討であれば、条文番号は未定であることから、より直接的な表現として、「(仮称)第三者提供時本人同意取得義務適用除外情報」などとすることが考えられ、検討が終了して、この新カテゴリー情報に対する要件が定まれば、たとえば「個人再特定化禁止情報」などのように、要件を表す名称にすることも考えられる。

まちがっても、検討段階で、たとえ仮称であっても「匿名化情報」などのように、加工条件だけを連想させてしまう名称を使ってはならない。
それでは「匿名化情報」が用語として独り歩きをして、勝手な又は安易な解釈をされて誤解を生じたことの反省を水泡に帰することになるからである。

なお、政府提案は「匿名化データ」で、ここでの説明は「匿名化情報」としたが、政府が「データ」としたのは、ここで問題となっている法第23条の第三者提供事前同意取得義務の対象が法律上は「個人情報」ではなく「個人データ」であるため、それに合わせたものと思う。
ここでの論点の意味合いとしては、それらに違いはない。

3月 27, 2014 |

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/66521/59363130

この記事へのトラックバック一覧です: なぜ、法第23条第1項適用除外情報と名付けたのか:

コメント

コメントを書く