ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

【マイナンバーQ&A】個人情報ファイルの定義における個情法と行個法の違い

情報法 マイナンバー

1.はじめに

個人情報関連は、ご案内の通り、(1)個人情報保護法、(2)行政機関個人情報保護法、(3)独立行政法人個人情報保護法の3法があります*1個人情報保護法制の基本法は(1)個人情報保護法であり、(2)は行政機関に、(3)は独法等に適用される法律であることから、番号法個人情報保護法制の既存定義を引用する際は、行政機関や独法等以外、つまり民間企業や地方公共団体に対しては、(1)個人情報保護法の定義を引用しています。

(1)(2)(3)は定義が類似しており、いったいどこがどう違うのか、謎な部分もあります。また番号法を解釈するうえで、自分に適用になる定義がどちらで、どう違うのかを理解することは重要ですので、今日は、(1)個情法の「個人情報ファイル/個人情報データベース等」と(2)行個法の「個人情報ファイル」について考えたいと思います((3)独個法は(2)行個法とパラレルですので、検討を割愛します。)。


2.個人情報ファイルとは何か

個人情報ファイルとは、(1)個情法では「個人情報データベース等」と定義され、(2)行個法では「個人情報ファイル」と定義され、(4)番号法では「個人情報ファイル」と定義されているものです。

簡単に言うと、ただの個人情報に比べて、便利なものという趣旨です。便利に使えるものについては、もちろん便利に使ってもらうのはよいことなのですが、悪用されるとプライバシー権侵害のリスクも高まりますので、取扱いは丁寧にね、ということで、ただの個人情報よりも規制が強化されています。

ただの個人情報は、情報単体も含みますし、大量の情報の塊も含みますが、個人情報ファイルは、便利な個人情報の塊を指します。
名刺を例にとるとわかりやすいですが、1枚の名刺があったら、これは個人情報です。100枚あっても、私のように整理の悪い人間が保管している場合は、バラバラに無秩序に保管してありますので、これは個人情報です。
しかし、通常の方であれば、氏名のあいうえお順か、組織のあいうえお順などに整理して保管されているはずです。整理の悪い私ですら、通常は整理しています。ただまあ、名刺交換したばっかりのものがたまっていくと、整理せずに、そのまま無秩序に名刺入れの中に入っていて、名刺入れに入りきらなくなると、名刺保管ケースに整理せず入れてしまいますが…。

話がそれましたが、整理されて保管されている名刺の塊は、バラバラに無秩序に保管されている名刺の束よりも、便利で使い勝手が良いですね。これは、個人情報の活用にとって便利だけれども、悪用されたら、危ない可能性もあります。そこで、ただの個人情報とはジャンルを分けて、規制を強くしようというものです。

では、ただの個人情報か個人情報ファイルかは、何をもって区別されるのでしょうか*2。ここで出てくるキーワードが、「検索性」「体系的構成物性」です。検索できるようになっていて、体系的に構成されていると、個人情報ファイルに該当することになります。
上記の名刺の例は、「水町さんの電話番号はいくつだったかな?」と思ったときにさっと取り出せるように整理されているわけです。つまり水町の名刺を検索できるようになっていて、検索性を有しているわけです。また体系的に構成されているわけです。そこで、「検索性」と「体系的構成物性」を有している個人情報ファイルに該当するということになります。


3.個人情報データベース等と個人情報ファイル

2では、個人情報ファイルとはどういうものかをお話ししました。3は細かくなりますが、(1)個情法と(2)行個法の違いについて考えたいと思います。

(1)個情法では、個人情報ファイルという定義語は用いずに、個人情報データベース等という定義語を用いています。こういう風に、同様のものについて定義語を分けるのやめてほしいですよね。行個法が先にあったんだから、個情法を作るときに行個法に倣って作ってほしいものです。たぶん、内閣法制局の担当参事官の趣味だったのではないかと思うのですが。個情法って内閣官房立案ですかね。法制局2部ですかね。行個法の旧法は総務省立案で法制局3部ですかね。

話を戻しますが、(2)行個法では個人情報ファイルという定義語を用いています。

そして両者はちょっとずつ定義ぶりが違います。以下で見ていきましょう。

(1)個情法の個人情報データベース

個情法2条2項  この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。
一  特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二  前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

個情法施行令1条 個人情報の保護に関する法律 (以下「法」という。)第二条第二項第二号 の政令で定めるものは、これに含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。

(2)行個法の個人情報ファイル

行個法2条4項 この法律において「個人情報ファイル」とは、保有個人情報を含む情報の集合物であって、次に掲げるものをいう。
一  一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二  前号に掲げるもののほか、一定の事務の目的を達成するために氏名、生年月日、その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの

2つの違いは、次の通りであると考えます。
(あ)行個法は保有個人情報の集合物である
(い)行個法では「一定の事務の目的を達成するため」という限定が入る
(う)個情法では、「一定の規則に従って整理する」「目次、索引その他検索を容易にするためのものを有する」ことが要件だが、行個法では「氏名、生年月日、その他の記述等で検索を容易にする」

(あ)保有個人情報
行政機関では職員が私的に保有している個人情報を、一部、行個法の規制外とするために、保有個人情報概念を採用しています。職員の飲み会の清算リストなんかと、年金機構が保有している国民の年金保険料の情報なんかは、一緒の規制にする必要はないためですね。

で、この保有個人情報に該当するためには、「職務上作成・取得」「組織的利用」「行政文書に記録」という3つの要素が必要になってきます。

一方、個情法では、個人情報データベース等の定義には保有個人情報に相当する概念は入れていないものの、個人情報取扱事業者という概念に「個人情報データベース等を事業の用に供している者をいう」として、ある意味保有個人情報に相当する概念を入れています。

個人情報データベース等と個人情報ファイルの定義だけ見ると、保有個人情報の差異が出てきますが、個情法と行個法の規制という観点からは、個人情報取扱事業者に対する規制であるということを踏まえなければならず、問題となる規制によって、個情法と行個法で本当に差異があるのか否かを検討する必要があると考えられます。

(い)一定の事務目的
次に、行個法では一定の事務目的という要素が入りますが、個情法にはありません。でも個情法でも個人情報はそもそも利用目的を特定しているわけで、その利用目的が事務かそうでないかの違いに過ぎないように思います。行政機関は法令の定める所掌事務を遂行するため必要な場合に限り個人情報を保有しているため(行個3条1項)、行政機関の利用目的は事務目的であると言えますが、個情法の規制対象者は事務のためだけに個人情報を保有するわけではないためです。ここは、行政機関とそれ以外との遂行業務の差異のためでり、あまり実務上影響のある要素ではないと考えられます。

(う)規則性等
最後に規則性等の定義の違いですが、これは書きぶりが違いますので、差異があるようにも思いますが、行個法所管部署(総務省行政管理局)も個情法所管部署(消費者庁)も特に差異があるという解釈は取っていません。書きぶりは違うものの、行個法にいう「その他の記述等で検索を容易にする」とは、すなわち個情法にいう一定の規則に従って整理されたり、検索を容易にするためのものを有しているといえるからであると思われます。

それにしても、どうして定義ぶりを2法で変えたんですかね。私個人的にはこれも内閣法制局の意向のように思いますが。審査当局の都合だけでなく、法律を解釈する読み手の立場に立った立法をお願いしたいものです。

(え)まとめ
ということで、個情法の個人情報データベース等と行個法の個人情報ファイルは、一般論としてはほとんど違いがないということが言えるかと思います。ただ個別具体的なケースでは、上記に記したような若干の違いが効いてくる可能性がないとはいえないのですが。

このように類似法律の定義が違っていると、無駄に揉める原因になりますので、立法時はこのあたりの読み手のことを意識して、統一した書きぶりにしてほしいものです。個情法改正のパーソナルデータ検討会も、行個法は総務省所管だから、とかじゃなくて、こういう実務上の点をこつこつ詰めていったら良かったのではないかと思います。

政府の有識者会議を見ていて思うのですが、こういう細かい法律論は法律家や、立法に詳しい役人の議論に委ね、利用者側(消費者/事業者)は自分のニーズを主張するという風にした方がよいように思います。事業者だったら、こういう風に使いたい、こういう規制はこういう点で事業を阻害するという主張や、消費者だったら、こういうところが不安に感じる、こういう規制が入っても不安が解消されないとか、そういうことを主張していくとよいように、私個人としては思うのですが。餅は餅屋ではなく、今の有識者会議だと、利用者側が法律論を語って、法律家が事業者ニーズを語ったりしていて、もちろんそういうことも重要なのですが、まず、餅は餅屋をこつこつ詰めたうえで、自由闊達な討論、ジャンルを超えた討論というものがあったほうがより良いと思うのです。

なんだか、まとまらなくなりましたが、もう一度まとめを繰り返すと、個情法の個人情報データベース等と行個法の個人情報ファイルは、一般論としてはほとんど違いがないが、個別具体的なケースでは、上記に記した若干の違いが効いてくる可能性もあるので、要検討ということになるかと思います。

*1:これにさらに自治体で制定されている個人情報保護条例があるわけです。

*2:ただし、個人情報ファイルも個人情報の中に含まれる、つまり個人情報の方が広い概念ですので、個人情報ファイルに該当すれば同時に個人情報にも該当すると考えられます。条例の場合は死者情報などがあると、話は別ですが…。