個人情報保護法改正により個人情報の定義は下記のようになりました。
第2条 1項
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
1)当該情報に含まれる氏名、生年月日その他の記述等<中略>により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
2) 個人識別符号が含まれるもの
第2条 2項
この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
1) 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
2) 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
「個人識別符号」という概念の登場により、個人情報の定義が大きく変わった感があるのですが、政府筋の説明としては、個人情報の範囲については現行法から変更はなく、単に定義を明確にしただけだということです。まずは、現行法をベースにおこなわれてきた議論も含め個人情報の定義について考えてみたいと思います。個人情報の該当性については、3つの要件から考察することになります。
- 個人特定性
- 識別性
- 容易照合性
以下にこれらの要件や関連する論点について説明します。
1)個人特定性
分かりやすさのために少し乱暴な説明をすると、「名前を当てられるか?」ということになります。
個人に関する情報をデータベースとして管理する際に、必ず何らかの識別子によってデータベースが構成されます。
この識別子に名前が紐づいていれば即個人情報になります。
識別子に名前が紐づいていない場合に、別のデータベースと照合することで名前に辿りつけるとすれば、これも個人情報となる可能性が高まります。(詳しくは容易照合性の説明を参照)
また識別子そのものが名前と同等の意味を持つ場合があります。ソーシャルID、電話番号、メールアドレス、符号化した生体情報などなど。個人情報に該当するか否かを考える場合に、識別子そのものの性質を検討する必要があります。不可変性、汎用性、本人到達性などからプライバシー影響を分析しないと答えは出せません。改正個人情報保護法の「個人識別符号」の話につながっていきます。
2)個人識別性
個人に関する情報を記録したデータベースがあるとします。名前を含まない、つまりこの段階では、個人特定性がないデータベースだと考えてください。このデータベースは識別子に対して属性情報や履歴情報がぶら下がります。
仮にその情報が、「東京都在住+男性+30代」というレベルの場合は、「個人識別性がない」と考えます。
次に、以前話題になったSuicaの履歴情報の事案を例に「個人識別性がある」ケースについて考えてみます。日立に提供されたデータには、置換されたSuica IDをキーに数年に渡る乗降履歴が含まれていました。誰かは特定できないが(ここは議論があるのですが)、ユニークな個人を識別できるのは明らかです。このような情報は「個人識別性がある」と考えます。
3)容易照合性
個人識別性があるものの、名前を含まないため一見「個人特定性がない」とみなされる情報について、容易照合性の有無を検討します。容易照合性があれば、個人特定性があると判断します。
容易照合性は相対性があるとされています。例えば、携帯電話の個体識別番号が個人情報か否かという議論。個体識別番号は一般には機械を識別するために番号なので個人情報ではないということになっています。例えば、個体識別番号が道端に落ちていたとして誰かが拾ったとします。これだけでは「個人を特定することができない」と考えます。ところが携帯電話会社の社内に個体識別番号をキーにしたファイルが転がっていたとします。その場合に携帯電話会社の中の人であれば、検索等をおこなうことで「個人を特定できる可能性がある」と考えます(実際にはアクセス制限がおこなわれていて一般の社員には照合困難だと思われますが)。この場合に容易照合性があると考え、個体識別番号は携帯電話会社の中では「個人情報に該当する」となります。
4)第三者提供時の容易照合性
再びSuicaの事例となりますが、個人情報を匿名化して第三者に提供する場面を考えます。匿名化された情報からは当然名前が外されていますが、個人情報該当性の判断には容易照合性のチェックをおこなう必要があります。
その場合に容易照合性の基準を「提供元基準」で判断するか「提供先基準」で判断するかが論点になっています。
JR東日本が日立に提供した情報について、「個人情報に該当するか否か」が議論になりました。提供した情報は名前が抜かれ、SuicaIDも置換されている状態です(これを仮名化と言います。)。仮名化された情報が個人情報か否かを考える場合に容易照合性を考えるのですが、どこを基準に考えるかによって結論が異なります。提供元であるJR東日本側を基準にした場合には容易照合性が存在することになります(元のデータベースと突合したり、SuicaIDの置換ロジックが入手できれば容易に個人を特定できることになります)。提供先である日立を基準に考えると容易照合性はないという結論になります。
現段階では「提供元基準」を通説とする考えが一般的となっていますが、円グラフや棒グラフにまで加工しない限り容易照合性を有することになり、私見となりますが現実的な考えではないと思います。
5)個人識別符号の登場
遺伝子情報、顔情報、指紋情報などの生体情報が符号化されたものを1号識別符号、顧客番号やその他のIDを2号識別符号と呼んでいます。まず念頭におかないといけないのは、今回の改正は個人情報の範囲を拡張する目的がないということです。現行法の定義をより明確にするために追加された条項と考えるべきです。
1号識別符号の処理はそれほど難しくないのですが、2号識別符号については、ガイドライン等の策定による具体化を待つ必要があります。これについては別の機会に詳細な説明を致します。