2016年8月2日付で、個人情報保護委員会が個人情報保護法の施行令および施行規則の案を委員会のウェブサイトで示し、パブリックコメントを実施しています。
・「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集について|個人情報保護委員会
とくに平成27年改正で新設された個人識別符号(改正個人情報保護法2条2項)の細目が政令で定められるところ、二号個人識別符号(同2号)がどのように規定されるかには関心を持っていました。
ところが、8月2日にパブリックコメントで示された案は、想像の斜め上を行っていました。
2.二号個人識別符号
二号個人識別符号とは、個人がサービスを利用したり商品を購入したりする際に割り当てられ、又は個人に発行される書類等に付される符号(改正個人情報保護法2条2項2号)です。
今回の個人情報保護委員会のパブリックコメントの案をみると、二号個人識別符号については、旅券の番号、基礎年金番号、運転免許証の番号、住民票コード、個人番号(マイナンバー)、健康保険の被保険者番号等、後期高齢者医療費制度・介護保険の被保険者証の番号等などが規定されています(同施行令案1条2号から8号まで、同施行規則案4条1号から20号まで)。
ところが、個人情報保護法の改正の過程や、国会の審議の際に議論を呼んだ、携帯電話番号、メールアドレス、クレジットカード番号、SNS等のサービスIDなどはすべて、今回のパブリックコメントの案では、二号個人識別符号に含まれないとゼロ回答になっています。
これらの一律な判断が難しいものに関しては、場合分けをして個人識別符号に該当するか否かを示すのではないかと予想していたのですが、そうではありませんでした。委員会の案はまったく含まれないとしています。
3.これまでの経緯-「準個人情報」
欧州のEUデータ保護指令は、携帯電話番号、クレジットカード番号、メールアドレス、IPアドレス等を個人情報に含むものとしています。また、本年5月に成立したEUデータ保護規則4条も、これらを個人情報に含めるとしています。
このような流れを受けて、今回の平成27年の個人情報保護法改正にあたり、内閣府のIT総合戦略本部に設置された「パーソナルデータに関する検討会」では、このような様々な類型の情報があるなかで、個人情報保護法の保護対象の明確化について、一時期、事務局側から「(仮称)準個人情報」としてつぎのような3類型が示されたとのことです(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』113頁、125頁)。
準個人情報
①パスポート情報、免許証情報、IPアドレス、携帯端末ID等の個人または個人の情報通信端末(携帯電話端末、PC端末等)等に付番され、継続して共用されるもの
②顔認証データ、遺伝子情報、声紋並びに指紋等、個人の生体的・身体的特性に関する情報で普遍性を有するもの
③移動履歴、購買履歴等の特徴的な行動の履歴
①パスポート情報、免許証情報、IPアドレス、携帯端末ID等の個人または個人の情報通信端末(携帯電話端末、PC端末等)等に付番され、継続して共用されるもの
②顔認証データ、遺伝子情報、声紋並びに指紋等、個人の生体的・身体的特性に関する情報で普遍性を有するもの
③移動履歴、購買履歴等の特徴的な行動の履歴
(同検討会の第7回の資料1-2より)
結局、この「準個人情報」というスキームはそのままでは採用されませんでしたが、その後、「個人識別符号」として個人情報の明確化に部分に反映されています。
そして、この「準個人情報」の①のなかに、IPアドレス、携帯端末ID等が含まれていながら、これらが国会で政府・与党から消極的な意見が出され、今回、個人情報保護委員会から「ダメ出し」されたわけでありますが、この、IPアドレス、携帯端末ID等に関して、この「パーソナルデータに関する検討会」の委員であった佐々木亮弁護士は法律雑誌でつぎのようにインタビューで答えています。
『技術WG(パーソナルデータに関する検討会技術検討ワーキンググループ)において事務局案を検討した結果、新たに保護対象に含めるべきという結論になったのは、3類型のうち①と②です。ですから私は、大綱でも保護対象として①と②の両方が書かれると思っていました。(略)個人的には②だけでなく①も保護対象とされるべきだと思っていますし、最終的にはそういう方向になるのではないかと思っています。』
『たしかに①が保護対象に入ることで安全管理措置など負担が増す事業者は多いと思いますが、現代的なプライバシー保護の観点からは、情報通信端末に付番されたIDであって継続して共用されるものを保護対象のカテゴリとすることは不可欠です。そうしなければ今の時代に合わせた法制度を作ったとはいえないでしょう。』(森亮二「パーソナルデータ大綱の読み方」『Business Law Journal 』2014年9月号26頁)
つまり、佐々木弁護士のこのコメントによれば、IPアドレス、携帯端末ID等を個人識別符号に含めることに消極的であった政府・与党や、今回、それらを二号個人識別符号から排除した個人情報保護委員会は、個人情報保護法の改正の前提となった「パーソナルデータに関する検討会」の趣旨に反していることになります。
4.立法担当者の見解
また、平成27年の個人情報保護法の改正にあたった立法担当者の本においても、例えば、携帯電話番号に関して、「携帯電話番号は利用者を一意に識別するために持ちあられている(個人と情報の結びつき)、また、もとより、携帯電話番号は、直接利用する人間にアプローチできるという特徴がある(本人の到達性)。」としつつ、「携帯電話にはプリペイドカード式もあり」、「契約期間にも長短ある」ので、「一概に個人識別符号に該当するとはいえない」と説明されていますが(日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』38頁)、逆にいえば、「個人識別符号となりうる余地がある」と読め、立法担当者はそれを政令にゆだねていると思われます。
しかしこの点、今回の個人情報保護委員会のパブリックコメントが示した案では、携帯電話番号などもすべて二号個人識別情報から排除されてしまっているので、立法担当者すらも個人情報保護委員会から見捨てられていることになります。
5.まとめ
とはいえ、個人情報保護委員会がパブリックコメントで施行令や施行規則を出してしまったものはしかたありません。
なお、改正後の個人情報保護法においても、個人情報の定義のところの規定で、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」という一行は残っています(2条1項かっこ書き)。
したがって、この点を満たす情報は従来どおり個人情報に該当し、個人情報保護法の保護の対象となります。
たとえば、かりに携帯電話番号を大量にNTTドコモなどの携帯電話のキャリアが情報漏洩の事故を起こした場合、一般人がもしその携帯電話番号をふと目にして、それがただの数字の羅列にしかみえなかったとしても、キャリアの社内のデータベースでその携帯電話番号で照会をかければ、その携帯の持ち主の氏名・住所など照合し容易に特定の個人を識別することができるので、やはりその携帯電話番号はそのキャリアとの関係では個人情報そのものです。
とはいえ、「パーソナルデータに関する検討会」などがまともな法改正を目指していたのに、政府・与党に圧力をかけ、さらに今般は強い権限を持つはずの独立行政委員会たる個人情報保護委員会にすら圧力をかけて従わせてしまったらしい楽天やヤフージャパンなどのIT企業等の権力はすさまじいものがあります。
また、今回公表された施行令案1条1号ロは、
「(電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、)顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌」
と、顔認証データを定めています。つまり、現行法でも個人情報であった顔認証データが、改正法において個人識別符号に含まれ、つまり、個人情報の明確化でよりはっきりと個人情報であることになります。
この点、防犯カメラでこっそりと来店客の顔認証データを取っているという、某ジュンク堂書店などは、新聞記事等によると、そのシステムを全店に拡大して、やる気全開だそうですが、法令との整合性をどうするつもりなのだろうかと思います。
個人情報保護委員会は立入検査権などの強力な権限を有しているので、その活躍が望まれます(改正個人情報保護法40条)。
■関連するブログ記事
・携帯電話・スマホ等のIDやIPアドレスは個人情報に含まれない?/個人情報保護法改正法案
・【解説】EUデータ保護規則(GDPR)に対する日本企業の対応
・ジュンク堂書店が防犯カメラで来店者の顔認証データを撮っていることについて
法律・法学 ブログランキングへ
にほんブログ村