高木浩光＠自宅の日記

■ 緊急起稿 パーソナルデータ保護法制の行方 その1

昨年7月からブログには書かないことにしていた*1が、緊急事態であるので、政府のパーソナルデータ保護法制（個人情報保護法改正）の議論の状況についてに書いておきたい。本当は論文や講演の形で示していくつもりだったが、それでは間に合わない状況が発生中であるので、周知の目的で取り急ぎかいつまんで書く。副政府CIOの向井治紀内閣審議官とお話ししたところ、「ブログに書いたらエエやないですか。どんどん書いてください。」とのことであったので、それ自体書くことを含めて許可を得たところで書くものである。

先週、IT総合戦略本部の「パーソナルデータに関する検討会」の第7回会合が開かれ、「定義と義務」についての事務局案が示された。資料が公開されている。事務局案は、これまでの「個人情報」についての定義と義務は変更しないものとし、新たに「準個人情報」と「個人特定性低減データ」の概念を追加し、「準個人情報データベース等」「準個人データ」「準個人情報取扱事業者」、「個人特定性低減データ取扱事業者」といった用語を定義しようというものであった。この案に対し、会合では委員から次々と異論が噴出し、「もっと他の案はないのか」といった大元からひっくり返す意見をはっきり言う委員もいらした。この様子は、日経IT Proの記事「「準個人情報」など類型示す事務局案に異論相次ぐ、パーソナルデータ検討会」で報じられている。

こうした政府の検討において一般的にそうであるように、事務局は事前に有識者らにヒアリングをし、事務局案をその有識者らに直前にレク*2するものである。今回は私もその一人であるので、事務局案の問題点は直接事務局に言えばいいし、実際それができる立場にあるので、本来はこういうブログに書いて自説を主張する必要はない。しかし、個人情報保護法改正は、将来に大きな影響を残す重大な局面であり、多くの人々の意見を集約して決めて行く必要があるところ、あまりにも難解であるため、誰も本筋に迫る意見を出せない状況になっていることが懸念される。その上、今回の事務局案は、非常に詳細なところまで既に詰めたものが示されたため、世間の眼にはこれが既定路線と映り、意見が出てこない状態に陥る恐れがあるように思われる。実際には、先週の会合で最後に向井副政府CIOから発言があったように、そもそも6月予定の大綱自体ここまで詳細に決めてしまうものではないとのことであり、どんどん対案を出して欲しいとのことなので、まず事務局案を皆で理解するため、その材料を提供すべく私の理解を以下に示す。

事務局案は、まず大前提として、

1. 個人情報の取扱いを現行のままとする
2. 本人に係る事業者の義務は特定の個人を識別できる場合に限られる

ことを置いている。そこに見直し方針にあった「実質的個人識別性」の実現として「準個人情報」を導入し、FTC3要件に基づく提供の実現として「個人特定性低減データ」を導入するとどうなるか、それを演繹的に解いていった案となっている。その結論として導かれた義務は、事務局案資料の以下の図で表されている。

図1：「「個人情報」等の定義と「個人情報取扱事業者」等の義務について（事務局案）＜詳細編＞」25頁より

「本人を特定しないため義務なし」という記述があちこちにある。これの意味するところは、前記2.の「本人に係る事業者の義務は特定の個人を識別できる場合に限られる」という理屈から導かれている*3。一番下にある「§25-27」（開示・訂正・利用の停止の求め）が、「本人を特定しないため義務なし」となっているのは、特定の個人を識別する情報がないと（つまり「個人情報」がないと）、本人を特定することができないため、本人の求めに応じることは不可能であるという理屈*4である。確かに、現行法において「本人」は定義された用語であり、2条6項で「この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。」と定義されているのだから、そもそも個人情報に対してしか「本人」は観念し得ない。

同様の理屈でもって、「本人」が出てくる現行法の義務のすべてについて、「本人を特定しないため義務なし」とバッサリ切っている*5。「本人」が出てくるのは、「本人の同意を得る」、「本人の求めに応じて停止」（オプトアウト）、「本人に通知」、「本人からの請求」（開示・訂正・利用の停止）である。

このようにバッサリ切った結果、重大な矛盾が生じている。図1の「§23 オプトアウト」のところの「準個人情報」についての義務が、「本人を特定して個人情報として同意を得るまたは個人が特定される可能性を低減する措置を施す」となっている。これはどういうことかというと、要するに、オプトアウトに応じる前提でもデータを元のまま提供するのは禁止ということである。

現行法では、特定の個人が識別されるもの、つまり個人情報であっても、本人からのオプトアウトに応じるのを条件に、本人の同意なく生データを提供できる（正確には、「提供してはならない」という義務が解除される）とされている（これ自体、ザル法と言われる所以であり問題だが）ところ、それよりもリスクが小さいはずの「準個人情報」について、同じルールでの生データ提供は認められず、「個人が特定される可能性を低減する措置を施す」つまり、「個人特定性低減データ」に変換して提供する義務があるというのである。具体的には、一つには、グローバルIDをローカルIDに変換*6することである。リスクの軽いデータの方が強い義務という逆転が起きている。

この規制が現実となると、現に行われつつある行動ターゲティング広告に障害をもたらすことになる。ここ1年ちょっとの動きとして、スマートフォンOSでは、広告識別子（Advertising Identifier）の仕組みが普及しつつある。元々はAppleが（UDIDを廃止する代わりに）iOS 6から導入したもので、GoogleもAndroidに同じ機能を盛り込んだことから、急速に普及しそうな情勢にある。この広告識別子は、グローバルIDであり、複数の事業者で共用されるものであるが、利用目的を広告に限らなければならず、利用者のオプトアウト（Do Not Track）に応じなければならないというものである。このルールは、Appleではアプリ審査によって実効性が担保されると思われ、Googleは審査するつもりがあるかは不明であるが、規約で明確に目的外利用を禁じている。ルールに違反があれば、米国の場合は連邦取引委員会（FTC）がFTC法5条に基づいて権限を行使することもあり得そうであり、言わば、技術方式と法制度が協調して問題解決を図る方向である。それが、日本では、個人情報保護法が改正され、事務局案の「準個人情報」が導入されたとすれば、広告識別子を用いた履歴の集約が法的に禁止されることになってしまう。

しかもこれは、同意があれば禁止が解除されるわけでもない。図1をよく見ると「本人を特定して個人情報として同意を得るまたは…」とある。つまり、広告識別子を使うには、氏名などを取得して個人情報化し、個人情報取扱事業者となって、本人の同意を得よというのである。

これは明らかに業界が期待している方向性ではないわけだが、なぜこうなっているかというのは、単純に、最初に「本人に係る事業者の義務は特定の個人を識別できる場合に限られる」という大前提を置いて、演繹的に義務を導出したからである。

こういうときは最初の前提から見直すべきである。「本人」の定義が「個人情報によって識別される特定の個人」となっているのが原因なら、別途、「準個人情報」向けの「準個人」を定義してもよかろう（冗談だが）し、同意やオプトアウトはそもそもどういう方法で可能なのかから検討するべきであろう。例えば、総務省消費者行政課の諸問題研で、第二次提言以来継続的に検討されているところでは、個人情報がない状況での本人同意は当然に可能なものとして想定されている。実際、Webサイトでのサービスや、スマホアプリによるサービスでは、利用開始時に同意をとることができるし、利用者のアカウントが作成されていれば、それを通じて利用の停止を求めることができるし、通知も利用者に対して当然にできる。そうした本人関与の方法を、現行法の見直しも含めて法定することを模索すればよいところ、事務局案はそうした可能性を最初からバッサリと切っているのである。

事務局案がこれでよしとなってしまうのは、巷で現に行われている（また、これから行われるであろう）パーソナルデータ利活用の事業モデルを網羅する作業が行われていないからである。事務局案が想定する利活用の事例は、概要編の14頁（【事例�　曄砲�15頁（【事例�◆曄砲�2つだけである。

図2：「「個人情報」等の定義と「個人情報取扱事業者」等の義務について（事務局案）＜概要編＞」14頁より

そして、図2の事例�，鬚茲�見ると、事業者Aが購買履歴の一部を事業者Bに提供しているが、これは商品単位でバラバラの販売履歴であって、一人についての連なった履歴を提供するものではないから、現行法でも適法なもの*7であり、「準個人情報」や「個人特定性低減データ」の扱いに何ら関係しない利活用モデルである。

また、図中に「プリンをリコメンド」とあるが、これは行動ターゲティングではない。「都内40代男性は鮭弁とプリンを購入しがち」という統計情報に基づいて、鮭弁を買おうとした人にプリンを勧めているだけなので、買おうとしている人についてのプロファイリングは行われないケースである。

個人情報保護法を改正する（実質的個人識別性を盛り込むために）からには、最低限、行動ターゲティングについては想定しなければならない。行動ターゲティングは、パーソナルデータ利活用の一丁目一番地であるし、歴史も長く、米国の主導で作法も完成しつつある。法改正によって行動ターゲティングがどのように規律される結果となるのか、シミュレーションして改正案の妥当性を検証しなくてはならない。事務局案ではそれが行われていないように見える。

私は、今度の改正は、米国で普及が進んでいる自主規制ルールに大体合うようにすればよいし、そこから大きく外れないようにしないといけないと考えている。そういう意味で、そのような改正を見越した動きが国内であった。JIAA（一般社団法人インターネット広告推進協議会）は、先月3月24日に「行動ターゲティング広告ガイドライン」の改定をしている。この改定で、JIAAのガイドラインは、「個人情報」に該当しない履歴情報等を「個人関連情報」と呼び、第三者提供時のオプトアウト等について、個人情報保護法の個人情報と同等の扱いをするとした。個人関連情報について米国での自主規制ルールに合わせるようにしたものだろう。

JIAAのガイドラインが、「個人関連情報」も「個人情報」と同等に扱うとすることができたのは、現行の個人情報保護法が元々ザルであり、オプトアウト手段さえ用意しておけば第三者提供できてしまうものだったからだ。そのため、個人情報保護法の保護対象範囲を個人に関する情報全域まで（ただし散在情報は除く）広げたとしても、誰も困らないのではないかと思われる。少なくともJIAAは、3月下旬というこの時期に「準備OKです」という意思表示をしたように見える。JIAAとしては、むしろ、インターネット広告業界の健全性のために、個人情報保護法による規律を望んでいるとさえ言えるのではないか。私は、今度の改正で法の目的に「利活用に対する社会的信頼の確保」を入れてはどうかと提案している*8ように、弱く規制する規律は業界にとっても長期的に見て好都合なはずだと推察している。

今回の事務局案は、JIAAガイドラインとは一致するところがない。事務局案の「準個人情報」は（単純に言うと）グローバルIDと位置データの規制なので、単一のアドネットワークが扱う情報は「準個人情報」に当たらないことになる。業界の政策担当者は、事務局案を見て規制が緩そうに見えればそれで満足してしまうかもしれないが、中身をよく見ないといけない。業界の技術動向を見極め、健全な発展のための長期的展望に立って、必要な規律がどういうものか把握して、事務局案がそれに沿っているか調べて、必要があれば意見を出していかなければならないだろう。

見直し方針にあった「実質的個人識別性」が、このような「準個人情報」に至ったのには、「準個人情報」を新たな保護対象とするに当たり、何を回避すべきリスクとして想定するかが、事務局案では次の2点とされている（事務局案詳細編3頁）ことから導かれたものだ。

1. 「特定の個人を識別する蓋然性が一事業者内における場合より高くなる」
2. 「多種多様な情報が漏えいした際、個人の権利利益侵害の危険性が容易に惹起される」

つまり、特定されることの危険性と、漏えいの危険性である。また漏えいか。またもやここでプロファイリングによる評価を受けない権利のことが蔑ろにされている。番号法のときも、「漏えいだけじゃない」ことはしつこく主張し、「社会保障・税番号大綱」には、ちゃんと、想定される懸念として「集積・集約された個人情報によって、本人が意図しない形の個人像が構築されたり、特定の個人が選別されて差別的に取り扱われたりするのではないかといった懸念」との記述が盛り込まれた。国家により付番される個人識別番号ほど強力なものではないにしても、単一事業者の識別子を用いたプロファイリングも同様の効果をもたらし得るのであるから、弱い規制であってもよいので、理論的には規律する対象となり得るものだろう。

米国やEUで、行動ターゲティング広告に一定の規律がかかっているのが、プロファイリングをリスクとして想定しているためであることに鑑みれば、日本で実質的個人識別性を実現するに際して想定するリスクにもそれを盛り込むべきである。

さらに言えば、図1にあるように、今回の事務局案には「機微情報」（前科等）についても案が示されており、「個人情報」のうち「機微情報」に当たるものは、オプトアウトによる第三者提供を禁止し、取得時に本人同意を要するものになっているのだが、図の通り、「準個人情報」に「機微情報」は定義されていない。つまり、特定の個人が識別できない情報であれば、「準個人情報」のような特定性の高い情報であっても、機微情報は普通の情報と同じに扱うというのである。これは、保護の理由として、特定されたときや漏えいしたときのリスクしか想定していないために到達した結論であろう。プロファイリングによる差別的扱いをリスクと想定していれば、当然に、「準個人情報」においても「機微情報」は定義され、さらには「準個人情報」に当たらない単一事業者が用いる識別子で集積されるデータも（本人に何らかの形で結び付けて「再識別化」されるならば）対象となるものであろう。

もう一つ。見直し方針では「オプトアウト等第三者提供の例外措置の要件の明確化」とあったので、悪質な名簿屋への対策として、「個人情報」についての「オプトアウトによる第三者提供」の原則撤廃がようやく盛り込まれると期待していたのだが、「個人情報の取扱いを現行のままとする」という大前提があるためか、図1の通り、それは盛り込まれていない。このため、肝心なところを規制できておらず、全体としてザルなままとなっており、また、対象情報によって義務の強弱を付けようにも、特定性が最高の「個人情報」ですらオプトアウトで第三者提供できてしまうため、それより弱い義務を設定できなくなってしまっている。まずは、電話帳や住宅地図、それ相当の「無味乾燥な」名簿は例外として現行通りとした上で、「○○の購入者リスト」といった個人データの提供（同意なしの）は禁止にすべきだろう。そのことに反対する世論など存在しないと思う。

検討会は、本来、まずそうした想定リスクや前提、何を達成するのかについて、委員で議論をするところから始めるべきであるところ、いきなり、特定の想定と前提の下で、詳細まで完成して理由付けされた事務局案が出てきたため、根本からの議論が不可能な状態に陥ったように見えた。

「定義と義務」の検討は検討会の次の会合（4月24日）でも行われることになっている。そこでは、ローカルミニマムに陥ることなく最適な全体設計ができるような議論がなされることを切に願う。*9