連載
» 2020年03月06日 05時00分 公開

実はゆるゆるだった「Pマーク」:プライバシーフリーク、リクナビ問題後初の個人情報保護法改正の問題点にかみつく!――プライバシーフリーク・カフェ(PFC)個人情報保護法改正編01 #イベントレポート #完全版 (2/5)

[鈴木正朝, 高木浩光, 山本一郎, 板倉陽一郎,@IT]

提供元か、提供先か、それが問題だ(問題じゃない)

鈴木正朝(以降、鈴木) 昭和63年(1988年)法の「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」のときから、汎用(はんよう)機のオンライン結合でも提供元のデータと別組織のデータとの間で照合性を見ていましたから、ピンク本の解釈が通説であり、政府解釈として続いていたわけです。

 リクナビ事件はCookieを用いていたので、ちょっと迷ったのかもしれませんが、考え方の基本は、従前からの政府解釈である提供元基準説として説明できるのだろうと私は理解しています。

山本 「提供先基準」というと岡村久道先生ですが、分かっていてわざとミスリードしたのでしょうか。それともガチでそう信じていたということでしょうか。

鈴木 提供元基準説、提供先基準説、どちらの内容も曖昧で、ケースごとに論者の提供先基準の意味がぶれているようですが、元はといえば、2013年のSuica履歴データ無断提供事件で注目された論点です。

 第三者提供では、提供先でリスクが発現するのだから、当該提供データと提供先事業者の保有する個人情報データベース等との間で、容易に照合できるかによって個人情報該当性を判断すればいいというのが、提供先基準説の考え方のようです。

 提供先基準的な考え方を個人情報取扱事業者の義務全てに適用するとどうなるか、20条から22条の個人データの安全管理義務で考えてみましょう。

 例えばパスワードだけ漏えいした場合、提供先に相当する漏えい先を見るならば、大半が個人情報に該当しないことになってしまいます。でも、パスワード単体の漏えいを個人データの漏えいではないとした解釈はしてきませんでしたよね。

 提供元では、顧客IDやその他本人の特定個人の識別情報とパスワードがセットでデータベースに記録されているわけですから、当然「個人情報」および「個人データ」に該当します。漏えい時の個人情報該当性は、いわば提供元基準と同様に原データと漏えいデータとの関係で考えていたわけでしょう。

 2条の定義は、第4章以下の全ての義務規定で同様に解釈するのが基本でしょう。もちろん義務規定の趣旨に応じて個人データなどの定義の解釈が異なることを絶対に許さないということではありませんけれど、23条の第三者提供の論点だけ提供先で考えるのはご都合主義的かなぁと。匿名加工情報も仮名化も提供元の原データとの関係において決まりますよね。基本は提供元基準で法律は出来上がっているんですよ。

山本 委員会資料ではどうなっていますか。

高木 今回の骨子では「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな場合」とあるのですが、提供元で「個人データに該当しない」というのが、現行法での法的評価なのか、やらかした事業者の主張にすぎないのかが読み取れません。先ほどのピンク本では、そういうときは提供元で個人データに該当するという意味のはずです。先週の委員会の資料(図1)では、ちゃんとそう書かれています。「提供先で個人情報となることを知りながら、提供元では特定できないとして提供する事例が存在」とあります。

 「できないとして提供」と書いてあるように、「誤った解釈でそう主張している事例が存在している」とはいっていますが、「現行法で該当しない」とはいっていないんです。

山本 注意喚起ですよね。リクナビ事案では「提供元か、提供先か」という基準の話はほぼ意味のない議論で、これらも全部、個人情報として扱えますということですよね。

高木 そうですね。本当は、一人一人のレコードとなっている以上は該当するのだと言うべきです。

 Suica事案のとき、提供先基準を主張された岡村先生の趣旨は、「提供元は関係ないんだ、提供先だけで評価するのだ」でした。政府見解がそれを否定したのは、「提供元も関係ある」ということで、「提供先が関係ない」とは誰も言っていないのですね。

 前回改正の際に議論になったのは、「提供先が何をするのか提供元は分からない」場合が前提でした。今回はそれとは違います。今回のようなケースは、ピンク本に元から書いてあっただけに、前回改正の際に誰も論点にしていなかっただけかなと思います。

山本 その辺は日本経済新聞の報道でざわついたいきさつがありましたね。

高木 先に日本経済新聞に出たことで、「Cookieは全部該当することになるのか、そりゃ大変だ」という反応が見られました。EUのePrivacy指令みたいに「Cookie発行時に同意が要る」ことになるのかとざわざわしているのですが、そういうわけではありません。骨子でお分かりのように、最初から個人データとなっているところに持っていく場合に限って、まずはやるということです。そこに反対意見は少ないのではないかと思われます。

 佐藤一郎さんがこんなツイートをされていました。

高木 前回改正時の「準個人情報」の議論に戻ってしまうのでは? というご懸念のようです。当時の技術ワーキンググループの報告書でCookieのところを書いて大変だった、また同じ議論になるのでは、と心配されているようです。

 しかしそうはならないでしょう。どう違うかというと、前回改正時は匿名加工情報の議論をしていましたから、「データを提供したときに相手方が何をするか分からない」という前提で、「情報から特定の個人を識別されるおそれがあるのか」に着目していました。それ故に、IDの共用性や不変性などを基準に対象を絞ろうとして、混迷したのだと思いますが。

 しかし今回の事案対応は、そういうことではありません。「もともと相手方の個人データのデータセットがあって、そこに突合させることが予定されている」場合の話です。準個人情報の議論を繰り返すことにはならないです。

鈴木 リクナビ事件は「A社とB社がセットで1つ」のビジネスモデルです。内定辞退率予測を一緒にやろうという全体スキームの中で、ビジネスモデルを構築してデータベースを設計するなど、システムがその業務を支えているわけです。A社とB社が通謀結託して本人を追って、内定辞退率を予測しています。

 技術的、技巧的に分断する法律構成で、「われわれの領分では個人が識別できない」などというのは、明らかに法の潜脱ですよね。ガイドラインの文字ベースでパズルを解いているようなもので、法解釈ではない。それにこれは、法規制をしても事業者を過剰に萎縮させるものでもない。

山本 まあ、分かってやっていたということですよね。

鈴木 そういうことです。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。