個人データを第三者提供する際、一見、個人情報っぽくなく加工すれば、個人情報保護法の問題なくOKになるのですか？

 

※2020.4.8の元記事を2020.4.9に整理して改訂しました。

※コロナと年度初めということで会議がほぼなくなり、席にいる時間が増え、ブログ投稿が頻回になっています（笑）

 

• １．個人データを提供する場合の考え方
  •  （１）論点（全体の個人データ該当性）
  • （２）提供元基準説
  • （３）提供先基準説
  • （４）当局見解
  • （５）水町感想
• ２．しかしそんな単純な話ではない（個人データ該当性）
  •  （１）論点（提供データ単体での個人データ該当性）
  •  （２）特異なデータ
  •  （３）長期間・多種多様なデータ等
  •  （４）提供データ単体で個人データの場合、ではどうするのか
• ３．どういう法制が適切なのかはまだ検討中…
  •  （１）個人データの保護の観点
  •  （２）公益性の観点
  •  （３）どうあるべきなのか考え中
  •  （４）とはいえ、この規制を知っている人は少ないのでは
  •  （５）その他の過剰とも考えられる規制（公開情報）
  •  （６）雑感想 

 

１．個人データを提供する場合の考え方

 （１）論点（全体の個人データ該当性）

個人データを外部提供する際に、本人の同意を取るか、オプトアウトするか、委託構成とするか、など、個人情報保護法２３条を遵守する必要があります。

しかし、この時、渡すデータが、「個人データ」でなければ、個人情報保護法の問題でないのでは、と思う人が多いと思います。今日はその点を考えます。

 

上の図を見てみて下さい。

提供元では、データをIDで管理しているとします。通常の企業は、こういう管理だと思います。なぜならITシステム上で、名前をキーにして情報管理するというのは、あまりあり得ないからです。もっとも、IDと名前の対照表も、持っているのが通例と思われます。

で、外部提供に当たり、提供先では別に具体的な氏名などは必要ないので、氏名などは渡さず、IDとデータの、上の図でいうと薄いクリーム色になっている表だけを渡すとします。

この場合、「個人データ」の提供として個人情報保護法の対象になるでしょうか。

 

（２）提供元基準説

 これは、「提供元基準」「提供先基準」などと呼ばれている問題と思われます。

「提供元基準」説とは、「個人データ」かどうかは、提供「元」で考えるという見解です。渡す側で個人データなら、それは個人情報保護法２３条の適用だよね、という見解です。

こういう風に文章で説明すると、そりゃそうだろう、提供「元」で考えるだろうというような説得力があるように思います。

また提供元基準説の長所として、提供元が自分で判断できるという点があります。自分にとって個人データかどうかは、自分でわかるので、個人データの提供なら個人情報保護法２３条を満たさないといけないというのが、わかりやすいというメリットです。

（３）提供先基準説

 「提供先基準」説とは、「個人データ」かどうかは、提供「先」で考えるという見解です。もらった側で個人データなら、それは個人情報保護法２３条の適用だよね、という見解です。

提供先基準説の長所というか根拠としては、その情報をもらった先で誰の情報かわからなければ、それは別に規制とかいらないんじゃない？という考え方があるかと思います。守るべき情報でもないのに、過度な規制・保護はいらないんじゃないかという考え方かと思われます。

ただ提供先基準説の短所としては、予測可能性に欠けるという点が挙げられます。提供元としては、渡した相手にとって個人データかどうかはわからない場合が多いと思われ、自分で判断できないということです。

提供先に「あなたにとって個人データに当たりますか？」と聞いて、提供先が「当たりません」といえば、個人情報保護法２３条は適用されないと考えられるのかというと、提供先が法律をきちんと理解していない可能性もあるし、提供先が嘘を言う可能性もあります。

提供元と提供先で契約書等で、「提供先は、提供先において当該情報が個人データに該当しないことを表明保証する」などと約束しておけば、提供先に法的な保証をしてもらえますが、そうはいっても、そういう契約をしたとしても、提供先が法律をきちんと理解していないで契約をしていたり、意図的に嘘を言う場合、提供元としては提供先に損害賠償請求はできるとしても、個人情報保護法違反の責任を免れることは難しいし（提供規制は提供元にかかるので、結局違法行為は提供元がしていることになってしまう。但し取得規制も提供先にかかってはいる。）、「あの提供元って個人データを提供しているくせに、個人データじゃないからって個人情報保護法を守ってなかったんだって。最低だね。」などと言われるリスクも十分あり得ます（レピュテーションリスク）。

（４）当局見解

 当局はどのような見解を取っているかというと、基本的には、提供「元」基準説だと考えられています。

（ご参考）http://www.shugiin.go.jp/internet/itdb_shitsumon.nsf/html/shitsumon/a196470.htm

 

これに対し、岡村先生は、以前より、提供「先」基準説を唱えていらっしゃると思います。

http://hougakunikki.air-nifty.com/hougakunikki/2014/04/post-8a14.html

（５）水町感想

 水町としては、これまではあまり、この問題について深く考える機会はありませんでした。多くの識者の方々が深くご検討されているので、私ごときが別に考えなくても、既に論点として深く提示されているし、考え方も提示されているしと思っていたのです。

で、あまり考えない状態で、とりあえず、これまでは、提供元基準って、そりゃそうだろう、提供元基準だろうと思っていました。事業者の予測可能性の点からですね。まあ役人的発想だと、提供元基準説になる気がしますね。事業者が予測できないって事業者側から怒られるのが目に見えていますからね。

しかし、個人情報保護法2020年改正の資料を作るために、提供元基準説の解説スライドを作りまして、で、上の図を作ったのですが、よく考えると、保護の目的から考えれば、提供元基準って変な気がしてきました。

そして、この辺りはよく実際にご相談いただきます。結局、情報公開とか、オープンデータとかのためにも、上の図みたいにして、個人情報っぽくなく加工すれば公開できるんじゃないか、みたいなご相談をいただくことがあります。社会的に非常に有用なデータは実は様々あり、それをどの程度加工すれば、公開できるのか、外部提供できるのかという話は、度々ご相談いただくことがあります。

よく考えてみると、やはり提供元基準説だと、規制が強すぎるように思います。だって守るべきなのは、「人」であって、個人情報保護法は、その人にとって勝手に自分の情報を流通させられたり外部に知らせられたり、意図しないやり方で情報を使われたらいやなので、それをやめさせるっていう法律だと思うのです（目的規定に沿わないものすごい意訳ですが）。

誰の情報かわからない情報が外部提供されたとしても、それはそこまで保護すべきものなのかどうか、提供元基準で、提供元で容易照合できたとしても、提供情報自体は個人データではないのに、なぜバリバリの個人データと同様の保護をかけないといけないのかといわれると、謎な気がしてきました。

だって、上の図の提供を、普通の個人データの提供と同様に規制対象にする必要があるかって言われると、そうじゃないんじゃないかとも思いませんか？　渡った先にとってはだれの情報かわかんないんだし、提供元にとっても、バリバリの個人データとは切り離して提供するわけだから。

 ただ、まあ個人情報保護法２３条が比較的緩くて、結局本人同意なく外部提供できる場合が広く認められていますので、提供元基準説は規制としては強すぎるように思いますが、結局提供元基準説でも、かけられる規制が２３条で緩いので、結論としては、まあ２３条を満たした提供で、提供可能だよねってことで、今まではやってきたとも思います。

本来は、匿名加工情報を、提供元基準では保護が強すぎな、提供元で容易照合できるけれども提供情報としては非個人データみたいなものにすれば、良かったのかなとも思いますが、でも、どうせ個人データのままでもオプトアウトで個人情報保護法２３条を満たせます。要配慮個人情報とか令和２年改正でオプトアウト不可のものについては、提供元基準だと困るという声も出そうなものですが、オプトアウトできるものについては、オプトアウトで拒否対応すればいいんじゃないかっていう話になる気もします。

 

たとえるなら、最初のトラップ（提供情報が個人データかどうかについて提供元基準説を取る）はかなり厳しくて、多くの場合、このトラップにひっかかりますが、このトラップにひっかかったとしても、その次の２番目のトラップ（個人情報保護法２３条を満たすかどうか）がかなり緩くて、結局、１番目のトラップにひっかかったとしても、２番目のトラップにはひっかからずにそのまま先に進める、みたいな感じでしょうか。

２．しかしそんな単純な話ではない（個人データ該当性）

 （１）論点（提供データ単体での個人データ該当性）

 しかし、現実は、上の１に書いたみたいに単純カンタンな話でもありません。

上の図だと、あくまで、提供情報は、非個人データであることが前提になっています。提供情報自体は非個人データなんだけど、提供「元」では、氏名とIDの対照表を持っているから、「容易照合性」の問題で、結局、提供「元」では「個人データ」に該当するので、それを提供しているので、個人情報保護法２３条の提供規制を満たす必要があるねという話に単純化しています。

そうではなく、上の図のような状態でも、提供情報自体が、やはりまだ「個人データ」に当たることは、現実問題としては多いと思います。

 （２）特異なデータ

 IDと何らかのデータだけにしても、それ単体で個人情報になり得る可能性があるということです。氏名とIDの対照表を仮に削除したとして、IDと点数だけだとしても、特異な点数（例えば、難易度の高い試験を１０回連続１００点とか、簡単な試験を１０回連続０点とか）があれば、誰かわかる場合があります。あとは背景情報があれば、さらにわかりやすいでしょう（A学校１組の試験とかであれば、１０回連続１００点の人はだれかわかるでしょう）。

 （３）長期間・多種多様なデータ等

 また、一見特異ではないように見えても、長期間のデータを取ったり、多種多様なデータが含まれていると、IDと情報だけでも、誰の情報かわかる場合があります。

例えば、１０年間の成績データがあるとして、１年生のときは優秀だったけど、３年生では非常に落ち込み、５年生でまた成績優秀になるも、６年生・中１で落ち込み、しかし中２で特に優秀になるみたいな経過データがあると、それだけで、誰の情報かわかる場合があります（経過として特異な場合等）。

この場合、１００点とか０点とかの特異値っていうか、正規分布で見たときの上位５％と下位５％とかを丸め処理したとしても、経過として特異みたいなものは、なかなか一律丸め処理の対象から漏れてしまう場合があり得ます。

また、点数自体は特異な点数ではないんだけど、そのほか、身長体重、性格、家庭環境など、様々な項目が一緒にあると、それらの組み合わせで、誰かわかる場合があります。こういう家庭のこういう身長の子で成績が７０点の子は、あの子だよね、みたいな感じです。

 （４）提供データ単体で個人データの場合、ではどうするのか

 こういう場合は、結局、匿名加工情報にも非識別加工情報にも当たらないと思われ、結局、個人データとして、個人情報保護法２３条を満たすようにしなければ、外部提供できないと考えられます。そうすると、このような状態だと基本的にオープンデータ化は難しいと考えられます*1。

個人情報保護法２３条がどうしても満たせないという場合は、「統計情報」にして提供するという方法もあります。それならば、統計情報ならば個人情報ではないので、もう個人情報保護法の対象ではないからです。

ただ、統計情報だとデータ価値が乏しいという意見もあることは事実です。

３．どういう法制が適切なのかはまだ検討中…

 （１）個人データの保護の観点

 ５年、１０年くらい前は、氏名さえ含まれていなければ個人情報じゃないという風な誤解が蔓延していました。しかし最近はそういう風潮はあまり見られず、個人情報該当性についてはおおむね正しく理解されているように見受けられます。

しかし、上のような問題までは、あまり広く周知されておらず、そこまでいうなら、何にも外部提供・公表なんてできないじゃないか、みたいな意見もあります。

しかし、誰の情報かわかってしまって、それが社会的にもプライバシー性のあるものであれば、やはり外部提供や公表は規制されるべきであると思うのです。

テストの成績、年収、こういったものが、良い成績でも悪い成績でも一般公表されるとしたら、嫌に思う方も多いのではないでしょうか。それに対して、統計情報みたいに、「平均点数〇点」みたいなものが公表されていても、嫌に思う人は少ないと思います*2。

ただ、この辺りは、国民意識にもよるようで、外国だと年収とかが公開されている国もあるようです。私からすると、詐欺とか強盗とか大丈夫なのかなと思いますが。

 （２）公益性の観点

 しかし、上のような考え方をとると、匿名加工情報や非識別加工情報の基準も、結局満たせない場合が多く、情報公開とか情報による価値の創造とかっていうのは、厳しくなるのも事実だと思います。

そうすると、政策として、法律としては、どうあるべきなのか。

 

 （３）どうあるべきなのか考え中

 個人情報保護法の場合は、２３条が緩いので、結局、同意なく外部提供や公表はできちゃうんですよね。本人が拒否すればやめるという方法で（オプトアウト）。でも、これでいいのかという問題があります。

一方で、個人情報保護法適用じゃない場合、公的機関等の場合ですね。これは困ります。オプトアウトができませんから。「目的内提供」や「公益のための目的外提供」で行くという考え方もありますが。

考えていくと、すごく難しい、どうあるべきかは。とりあえずの今の私の考えとしては、個人情報保護条例であるように、「公益その他特に必要がある場合で、第三者機関の審議を経て適切と認められる場合」みたいな条項を一個つけておいて、第三者機関で審議するっていうのが、まあ、個別具体的な判断ができるので、良いのかなあとも思いますが、なんとも。

あとはあれですね、提供相手を制限するっていうのも現実的ですね。一般公開だとリスクが高いところ、提供相手を限定して、その人に守らせる事項を決めて、誓約書なり契約書を巻く。

うーん、でもなんか、もうちょっと、パリっとする解決案が見つかればいいのですが…。１０年ぐらいのスパンをかけて、考えていきたいと思っています。

 （４）とはいえ、この規制を知っている人は少ないのでは

 といいながらも思うのが、この提供元基準みたいな話は、個人情報が相当好きな人じゃないと知らない可能性も高いのではないかということ。上の図のような提供が、個人情報保護法の対象と理解している方は、日本でどれぐらいいるのだろうか。個人情報保護法上問題ないとして、何も対応していない実務も、あり得るんじゃないだろうか（ただの憶測ですが）。だって、一般人の感覚からいったら、これは大丈夫じゃないかってなる気が。

 

 （５）その他の過剰とも考えられる規制（公開情報）

あと、上の図の話とはずれますが、個人情報とか個人データって、公表情報であっても該当するんですね。「安倍晋三は日本の総理大臣である」も個人情報に当たるんです。個人データではないですが。

そうすると、公表情報を外部提供する場合も、個人情報保護法の対象になるんですよね。これは、過剰規制な気がします。

ただ公表情報であっても正当に公表されているものばかりではなく、不正・違法に公表されているものもあるので、そこは規制しないといけないと思います。その趣旨で、不適正取得規制と不適正利用利用が効いてくると思います。この二つがあれば、提供規制とか利用目的明示義務については、公表情報は、規制対象から外してもいいんじゃないかとも思います。

 （６）雑感想 

このように、個人情報って考えれば考えるほど、論点が尽きません。どういう規制が正しいのか、非常に難しい話です。

あと、令和２年個人情報保護法改正の資料を作っていて、個人関連情報の資料を作る際に、提供元基準の元説明文書に当たろうと思ったんですが、なんか提供元基準説の元資料が見当りません。経産省のQ&Aだったかと思ったんだけど。個人情報保護委員会ガイドラインとQ&Aも見たけど記載がない気が。探し方が悪いのでしょうか？？

仕方がないので、令和２年法改正大綱の文を引っ張ってきたところ。