フリークス、コロナ接触確認アプリ適法性を精査する――プライバシーフリーク・カフェ（PFC）リモート大作戦！03 #イベントレポート #完全版：これ、個人データですよね（3/5 ページ）

個人情報です、と言っちゃえばいいのに

プライバシーフリークの会 板倉陽一郎

板倉　法的なことをいうと、幾つかはっきりしていることがあります。

　まず氏名到達性ではないということ。どこどこの何さんかが分かる必要がない、また連絡ができるかどうかもあまり関係ない。

　では「特定の個人を識別できる」とは何かというと、「社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物と情報との間に同一性を認めるに至ることができる」――つまり、「ある人との同一性が分かればいい」というもやもやとした基準です。しかし、令和2年改正の個人情報保護法（以下、令和2年改正法）で参考になる規定が入ります。

　個人関連情報の第三者提供の規定です。これはリクナビ事件の反省を機に、個人関連情報（個人に関する情報から個人情報、匿名加工情報、仮名加工情報を除いたもの）、つまり寸止めの情報が提供先で個人データとして取得される場合は、提供先で取得の同意を取っていることを個人関連情報の提供元で確認しておいてくださいという義務を課すものです。

　テックチームのアプリにも共通するところがあって、違うのは組織から提供されるのではなくて、個人からアプリにためたデータという点です。「感染者だ」ということになったら、「個人データ」（行政機関では「保有個人情報」）として取得されるわけです。

　そのときに「行政機関が取得するまでの間は個人情報ではない」とわざわざ言う意味があるのかどうかが問題になるわけです。全体として見たら、そのうち個人データ（行政機関では保有個人情報）になるかもしれないものとして設計されているというべきであって、それなのに「行政機関に取得されるまでは個人情報ではないから自由だ」とわざわざ言うことで、一体何を得るのかと。

　令和2年改正の個人関連情報で、全体として見たら個人情報として扱うことになるものは該当とするギリギリのところまで来ました。高木さんが言っているように、そしてGDPR（EU一般データ保護規則）が採用しているように、最初から個人情報だと考えた方がすっきりすると思います。提供先である行政機関では保有個人情報として取得されることが予定されているものを、「個人情報ではない」とわざわざ強調する必要はないなと思います。

山本　要は目的がきちんとあって、そのために集めている情報について、政府がきちんと説明できていない、しないというのはどうなのかなと思います。別に問題のあることをやっているわけではないので、はっきりと言えばいいのに、と。

高木　そのためには、個人情報ですと言っちゃう方がいいんですよ。でも言えない。事情は分かるんですよ、国民が個人情報の定義を誤解していますから。個人情報というと「名前を取るの？」とか「電話番号を取るの？」「連絡してくるの？」と思うじゃないですか。だから、そういうのは取りませんよと言いたいのは分かる。だけどそれに使える言葉がないんですよ。「連絡先情報は取りません」と言えばいいのですが、つい「個人情報」と言ってしまう。

山本　デリケートですよね。この場合では、適切な語句ではないですし。

高木　これが日本の失われた個人情報保護法制15年です。それをずっとやってきたわけです。

山本　混乱が混乱を呼ぶような展開ですよね。

高木　「個人データ」という別の言葉もあるので、そちらで言えばいいと思います。「個人データは処理しますよ。でも、こうなっているので大丈夫ですよ」と言えばいいわけです。

山本　その場合、個人情報の該当性というか、いかなる概念、どの法律で制限を決めていくべきなのかはかなり論点として大きくなっていると思いますが。