日本の個人情報保護法が、プライバシー保護型へ移行する可能性

今回は、「日本の個人情報保護法が、プライバシー保護型へ移行する可能性」について、考えてみたいと思います。

プライバシー・インパクトを基準に制度設計することは、日本でも「あり」だと思いますが、もう少し将来の話かなとも思います。

日本の情報公開法では、個人に関する情報の非開示の範囲を「プライバシー」という概念で線引き(プライバシー情報型)せず、「個人識別情報」という概念で線引き(個人識別情報型)しています。

これは、プライバシーという概念が明確性に欠けていて、個人の考え方や価値観によって捉え方にも差があるので、制度の安定的な運用を考えた場合、プライバシーよりは明確であろう「個人識別情報」を基準とする「個人識別情報型」を採用したとされます。

個人情報保護法も、この流れを受けており、プライバシー保護法ではなく個人情報保護法となっています。つまり、「個人情報(個人識別情報)=個人の権利利益に影響を及ぼす(侵害する)可能性が高い」という原則の下で、個人情報の利用等に制限を課すことを通じて、個人の権利利益に及ぼす影響をコントロールしようとしているわけです。

プライバシー保護法としてしまうと、プライバシー以外の個人権利利益が保護しにくくなり、個人情報の適切な利用・流通が進まない可能性も出てきます。

個人情報保護法の目的は、個人情報の保護ではなく、(個人情報の有用性にも配慮した)「個人の権利利益」の保護ですが、「個人の権利利益」には人格権としてのプライバシー以外のものも含まれます。もちろん、プライバシーがその中心的存在ではありますが、生存権、財産権、自由権などもあります。

例えば、個人情報である年金記録が正確に記録・保存・利用されなければ、もらえるはずの年金がもらえなくなり、財産権や生存権が脅かされる恐れがあります。

関連>>法務省:主な人権課題
http://www.moj.go.jp/JINKEN/kadai.html

プライバシーを中心に考えて、プライバシー影響評価(PIA)を行う場合も、「評価の実施が義務付けられる主体は誰なのか」を決める必要があり、マイナンバー制度の特定個人情報保護評価では「特定個人情報ファイルを保有しようとする又は保有する国の行政機関や地方公共団体等」となっています。じゃあ「特定個人情報ファイル」って何?となり、結局は個人情報の定義が求められて、「個人識別情報型」と変わらなくなってしまいます。

「個人識別情報型」のデメリットは、個人情報として認識されてしまうと、それが個人の権利利益にたいした影響を及ぼさないものであっても、一律で利用制限が課されてしまうことです。このデメリットを避けるために、制限を免除されるもの、利用制限が課されるもの、特に厳しく制限を課すもの、というように個人情報の種類を2-3タイプに分ける場合があります。

しかし、このように個人情報を分類した場合であっても、特定の個人を識別できる情報でさえなければ、プライバシー等の個人の権利利益を侵害する可能性がそこそこ高い情報であっても、利用制限から漏れてしまうことになります。「パーソナルデータに関する検討会」で事務局が提案した「準個人情報」は、まさに「個人識別情報型」のデメリットを補おうとした苦肉の策だったわけです。

個人情報保護法における「個人情報」の定義は、例示列挙で解釈の余地が大きいことを考えると、匿名化情報であっても特定の個人が識別された時点で「個人情報」となり、法律上の利用制限が課されると考えます。

一つひとつの情報の個人識別性が低くても、それらが集積されていくと、ある時点で情報集合体全体として特定の個人を識別できるようになり、そうした情報集合体はもはや個人情報保護法における「個人情報」に他ならないということです。

個々の情報が単体として「個人情報であるか否か」と考えることに囚われてしまうと、「クッキーは個人情報じゃないから大丈夫」みたいな誤解が出てきます。他の情報との組み合わせ次第で、クッキーを含む情報の集合体が「個人情報」に該当するかもしれないのです。

より大切なのは、「情報集合体として、特定の個人を識別することができるか否か」であり、「個人に関する情報」は全て法律上の「個人情報」の要素になり得る、と考えた方が良いのです。

個人情報は通常は集合体であるので、その組合せは無限に近いです。個々の個人情報について、プライバシー等の個人の権利利益を侵害するリスクを判定することはできたとしても、実際に利用・流通している集合体としての個人情報のリスクを判定するのは、まさにケースバイケースにならざるを得ません。

政府が保有する個人情報については、個人情報ファイル簿が公開されており、個人情報ファイル(個人情報のデータベース)ごとに、名称、利用目的、記録項目などが決まっているので、集合体としての個人情報のリスクを判定することは比較的容易です。

関連>>電子政府の総合窓口 -個人情報ファイル簿の検索-
http://gkjh.e-gov.go.jp/servlet/Ksearch?CLASSNAME=KJNMSTSEARCH

他方、民間企業の場合、どのような個人情報ファイル簿を保有して、どんな記録項目があるのか決まっていませんし、公開もされていません。ですから、集合体としての個人情報のリスクを判定するのは、ケースバイケースにならざるを得ません。

しかし、業種・業界ごとに、利用・流通している個人情報の種類はだいたい決まっているので、業界として標準の個人情報ファイル簿(あるいは個人関連情報ファイル簿)を決めておけば、集合体としての個人情報のリスクを判定しやすくなります。

例えば、「生存する個人に関する情報だけど、個々の情報としては特定の個人を識別できない情報」がA、B、C、D、Eと5種類あったとします。業界としては、「A、B、C、D、E」の集合体として使うことが多いので、この組合せを業界標準と定めて、各企業やサービスのプライバシーポリシーに反映させます。

この業界標準については、事前に第三者機関に判定してもらいます。第三者機関から「A、B、C、D、E」の組合せが「個人情報ではない」とお墨付きをもらえば、業界として「A、B、C、D、E」を自由に流通させることができますが、勝手にFを加えて「A、B、C、D、E、F」の組合せで(本人同意の無いまま)利用・流通させたり、他の情報と照合して特定個人の識別化をしたりすると、業界の自主規制やルールに反することになり、何らかのペナルティが課されるという方法が考えられます。

省庁ごとにガイドラインや省令を定めても良いのですが、省庁間の縦割りの弊害や柔軟・迅速な対応が難しいことを考えると、業界主導で決めたルールに対して、第三者機関がお墨付きお与えるという方法が適していると思います。

ビッグデータへの対応も必要でしょう。

現在の個人情報保護法は、高度情報通信社会の進展に配慮したものですが、「個人情報データベース」といった用語が見られるように、構造化・正規化されたデータベース等を前提にしています。

しかし、インターネット等を通じて広く一般に公開されている、多種多量の相互に関係性の無い構造化・正規化されていないデータについては、個人情報保護法は対応していないので、そこから生まれる個人の権利利益に及ぼす影響をコントロールすることはできません。

もちろん、こうした問題に対しては、個人情報保護法以外の法律等で、ある程度カバーしていますが、個人情報保護制度の中で検討することも必要と思います。

2015-2016年頃を予定する個人情報保護制度の見直しは、これまでの議論を踏まえると、プライバシー保護法へ移行することなく、あくまでも個人情報保護法としての見直しにとどまりそうです。

今後、日本の中で、プライバシーの議論が高まり、その概念が法律で明確に定義されるようになれば、プライバシー保護法へと移行するかもしれません。