ひろみちゅせんせとジュンコ

TAKAGI, Hiromitsu @TakagiHiromitsu

さて、今日は17:30から、パーソナルデータ検討会の第7回会合です。今日の議題は「定義と義務」についてですので、個人情報保護法改正に向けた本丸の議論となるでしょう。 http://t.co/9H6YguH0u0

TAKAGI, Hiromitsu @TakagiHiromitsu

パーソナルデータ検討会第7回会合の傍聴に来ています。傍聴席配布資料を見ますと、「「個人情報」等の定義と「個人情報取扱事業者」等の義務について（事務局案）」の概要編と詳細編が配布されています。

TAKAGI, Hiromitsu @TakagiHiromitsu

資料によると、現行法の「個人情報」「個人情報データベース等」「個人データ」「個人情報取扱事業者」の概念を変更しないで、新たに「準個人情報」「準個人情報データベース」「準個人データ」「準個人情報取扱事業者」を定義して追加するというのが、事務局案のようです。

TAKAGI, Hiromitsu @TakagiHiromitsu

さらに、「個人特定性低減データ」「個人特定性低減データ取扱事業者」なる概念も追加という案のようです。

TAKAGI, Hiromitsu @TakagiHiromitsu

「準個人情報」のみを取り扱う事業者が「準個人情報取扱事業者」だそうですが、ならば、準個人情報と個人情報の両方を扱う事業者は、個人情報取扱事業者のみに該当するのか、それとも両方の事業者に該当するということになるのか？など、疑問が尽きない感じです。

TAKAGI, Hiromitsu @TakagiHiromitsu

機微情報が定義されていますが、準個人情報の場合は機微情報に当たらないと事務局は説明しています。その理由は「特定されていないから」と。 なお、この特定するの概念は、英語圏の identify とは別もの（情報公開法で蓄積された個人情報が伊藤整判断の基準に沿う）なので要注意です。

TAKAGI, Hiromitsu @TakagiHiromitsu

私の考えでは、ある人物の履歴を継続的に取得できる状況にあるときは、その人が identify されているということだと思うのですが、日本法では、取得する者にとってその人が氏名などで具体的に誰だとわかっていなければ「特定されていない」というのです。

TAKAGI, Hiromitsu @TakagiHiromitsu

日本法でそうだというのは、もうそういものだとして扱うしかないでしょうが、FTC3要件を参考に制度を作るときに、「re-identify」がどちらの意味を指すのかは重要な違いであり、安直に日本法の「再特定する」の概念だと決め込むのはたいへん危ないと思います。

TAKAGI, Hiromitsu @TakagiHiromitsu

先ほど、事務局の説明で、個人特定性低減データについて「再特定化」は禁止するが、他の情報と突合することは禁止しないとのこと。それは再識別化（re-identify）をしていることになるのではないですかね。

TAKAGI, Hiromitsu @TakagiHiromitsu

森委員「パーソナルデータが6種類もあるというのは、国際的調和の観点から、海外とわかり合えないのではないかと心配だ。」

TAKAGI, Hiromitsu @TakagiHiromitsu

安岡委員「「容易に」の意味が曖昧だが明確化しないのか。」 事務局「「容易に」の曖昧さは第三者機関が判断基準をガイドライン等で示していくのがよいのではないか。技術は変わっていくものなので、基準も時代とともに変わっていくものだと考える。」

TAKAGI, Hiromitsu @TakagiHiromitsu

新保委員「準個人情報を取り入れるのは、日本の個人情報保護法のこれからをどうするかの根幹に関わるので、質問ではなく意見を述べておきたい。この案は複雑で難解だと受け止められる恐れがある。できるだけ単純で明快なルールにするべきだ。」（その他いくつもの意見あり。）

TAKAGI, Hiromitsu @TakagiHiromitsu

佐藤委員「法律家でない自分が言うのはなんだが、準個人情報を追加するよりも、個人情報の定義を変更して改正する方が理想的だと思う。そうはいっても難しいから、外付けで準個人情報が追加される案になっているのだろうが。」（要約）

TAKAGI, Hiromitsu @TakagiHiromitsu

山本委員「新保先生の意見に賛成だ。準個人情報の定義にメールアドレスが入っていたりして、グレーゾーンが二つになるだけのように見える。準個人情報という概念は、わからないではないが、程度の問題となると違いはないのではないか。それよりも利活用の方法を追求した方がよい。」（要約）

TAKAGI, Hiromitsu @TakagiHiromitsu

コメント：事務局の「準個人情報」パラレル案に、複雑すぎるとの否定的な意見が続出しています。

TAKAGI, Hiromitsu @TakagiHiromitsu

鈴木委員「現行法の個人情報定義の2条1項は基本法部分にある。通則性のあるところに規定されているが、内容的には明らかに第4章の個人情報取扱事業者の義務にかかっている。今回の個人情報の定義は通則的な意味で扱うのか。準個人情報もやがては行政機関にも適用するつもりなのかどうか。（要約）

TAKAGI, Hiromitsu @TakagiHiromitsu

とても忠実にツイートできる状況ではない（真剣に聞かないといけない）ので、ツイートは休止します。

TAKAGI, Hiromitsu @TakagiHiromitsu

準個人情報の定義ですが、 ①免許証番号、携帯端末ID等の個人またはお個人の情報通信端末等に付番され、継続して共用されるもの ②顔認識データ、遺伝子情報、指紋など個人の生体的・身体的特製に関する情報で普遍性を有するもの ③移動履歴、購買履歴等の特徴的な行動の履歴 となっています。

TAKAGI, Hiromitsu @TakagiHiromitsu

昨日書きかけのままとなったツイートを放出します。

TAKAGI, Hiromitsu @TakagiHiromitsu

①は、RFIDもケータイIDもUDIDも入るわけで、10年間問題提起してきた私からすれば、願ったり叶ったりであるかのように見えるかもしれません。実際、2011年の消費者委員会のヒアリングのときは、そういった共通IDの問題を日本の保護法がカバーしていないことを訴えたわけであり、…

TAKAGI, Hiromitsu @TakagiHiromitsu

…あり、その際、どう改正すればいいか書いてくれと委員会の法律家の先生方に言われ、私にできるはずもないではないかと思ったのでありました。さすがに、共通IDの類いを対象として準個人情報と定義する案は、一度は頭をよぎることはあっても、それは通らないよな、と思うものでありました。それが…

TAKAGI, Hiromitsu @TakagiHiromitsu

…それが今、政府の案として本当に出たのであります。しかし実は私、昨年から共通IDの問題のことはあまり言わなくなっていました。番号法も成立し、日本法にもそれ単体で個人情報であるとされる番号が誕生し、番号による識別の概念のくさびは打ち込まれました。技術論としても、UDIDが廃止と…

TAKAGI, Hiromitsu @TakagiHiromitsu

…廃止となり、広告識別子が誕生するなど、新しい展開に移りつつあります。技術者向けの啓発は既に完了した感があります。米国の状況を見ると、これからは、技術方式と法制度が協調して問題解決を図る方向へ進んでいるようです。iOSの広告識別子は、UDIDと同様に共通IDでありますが、…

TAKAGI, Hiromitsu @TakagiHiromitsu

…ますが、アプリはOS利用者がオプトアウト設定していないのを確認して使用するようコーディングしなければなりません。アプリストアによる審査があってこそ成立し得る仕組みですが、さらにはFTC（連邦取引委員会）が関与する余地もあるでしょう。そしてAndroidも同じ方式を採用しました。

TAKAGI, Hiromitsu @TakagiHiromitsu

このような技術方式が世界標準となるとなると、同様の法制度を持たない国は車輪の片方がないまま走ることになります。一方で総務省は、2010年の諸問題研第二次提言、2012年のスマートフォン・プライバシー・イニシアティブ等、保護法に先行して米国同様の規律を業界に推奨してきました。それ…