デタラメだらけの個人情報保護
今回のエントリは最近の私の個人情報関連のエントリの総決算であり個人情報考察(準備編1) - へぼへぼプログラマ日記
の考察編というとらえ方をしていただいて結構です。
日本のインターネットが終了する日
高木浩光@自宅の日記 - 日本のインターネットが終了する日
しればいいのに*1で有名な高木先生(id:HiromitsuTakagi)が上記のエントリを7月10日に書かれた。このエントリはNTTドコモの携帯端末が公式サイト以外も含めたすべてのWebサーバに端末(電話番号?)に一意な「iモードID」を送信し始めたことを、世の「青少年保護」の声に後押しされたためではないかと推測し、その波が後に携帯以外のインターネットにも押し寄せるのではないかという警鐘を鳴らすものであり、それ自体はとても有意義なことだと思いました。
しかし、その中に気になる記事の引用があった。
ドコモがコンテンツ会社に情報提供するのは、携帯の電話番号ごとに付与される「iモードID」と呼ばれる識別番号。電話番号とは異なる英数字の組み合わせで構成。「氏名やメールアドレスは含まれておらず、個人情報開示には当たらない」(ドコモ)という。
日本経済新聞
「ご御冗談をドコモさん(笑)」と思い、高木さんも当然これを一笑に付しているものと記事を読み進めるとどうやらそうではなく、なんとなく腑に落ちていなかったこともあり下記のエントリを書く次第となった。
iモードIDは本当に個人情報ではないの? - へぼへぼプログラマ日記
続iモードIDは個人情報だよ - へぼへぼプログラマ日記
そして、上記のエントリに高木さんから下記のようなはてぶコメントがつけられたのでした。
[ID]私の主張は「共通ID化を避けるアーキテクチャを採用するべき(法律は担保してくれないのだから)」であるので何ら矛盾しない。
この発言には正直がっくりときた。法律は担保してくれないという発言は高木さんがこれまでも共通ID関連のエントリを書いてきたのに法律家に相手にされなかった(?)ことによる悲観なのかもしれないが、、、。以前高木さんは下記のようなエントリも書かれている。
彼らは、あるときは、「○○IDは個人情報ではない」としながら、別のときは「○○IDは(個人情報だから)法律で売買を禁止すればいい」と言うのだ。この両方を、同じグループの別の人が同じ場で言ったこともあるし、同じ人物が(違う時刻に)言ったことすらある。また、研究者は後者を主張し、広報担当者は前者を主張するということもあるだろう。彼らは、文脈や時刻や場や発言担当者が違っていれば、同時には成立しない主張でも矛盾はないと思い込むことができるらしい。
2003-08-03
高木さんの現在のスタンスは
共通IDは現行法制上の「個人情報」には(残念ながら)あたらないが「プライバシー上重要な情報」なので避けるべき
ということみたいなので矛盾しているとまでは思いませんが、
重要な情報であり、法的にも「個人情報」にあたり、であるから避けるべき
と、ぜひ言っていただきたいと思うのです。そしてそのほうが法根拠も発生し発言に説得力が増すのではないでしょうか。
では私はなぜiモードIDが「個人情報」にあたると考えるのでしょうか。今までの2つのエントリでもある程度示してきましたがiモードIDは本当に個人情報ではないの? - へぼへぼプログラマ日記のコメント欄においてのid:rnaさんとの議論の反映も含め、長ければいいってもんではないですが少し丁寧に説明をしてみたいと思います。
デタラメだらけの個人情報の定義解釈
私の考えを示す前に現在個人情報の定義の解釈がどのようなものがあるのかを紹介しておきましょう。
条文
なにはなくともまずは法律から。これをどう解釈するかってことですしね。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる 氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合 することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
http://www5.cao.go.jp/seikatsu/kojin/houritsu/index.html
立法過程(個人情報保護法制化専門委員会)
「個人情報保護システムの中核となる基本的な法制の確立に向けた法制的な観点からの専門的な検討を行うため」に設置されたらしい個人情報保護法制化専門委員会においては全28回の議事が行われなかな濃ゆい議論をしていたようです。その中から関係しそうな部分を(解釈以外も)抜粋。
個人情報の定義そのものは、御承知のように、総務庁所管の公的部門の電算処理に係る個人情報保護法、昭和63年、1988年法の2条2項に定義がありますし、近時の情報公開法における定義も同様のものであるといってよいと思います。一般的には同心円を書いてみて集合を示した場合に一番外側の円に個人情報が来る。その内側にプライバシー情報と呼ばれるものが来る。更に一番内側に人格の核となる機微なプライバシー情報が存在するという説明をもなされるところでありますけれども、ただ、ドイツの判例やアメリカの立法のように、情報の価値は利用形態との関係で決まるということを重くみる別の考え方もあるところであります。
‘æ‚Q‰ñŒÂlî•ñ•ÛŒì–@§‰»ê–åˆÏˆõ‰ï‹cŽ–˜^【藤原委員】発言
個人情報というのは何かというと、1つは氏名、生年月日その他識別可能情報と個人の属性に関する情報がドッキングしたものというようなイメージかと思います。それを個人情報と称しているということでございます。
‘æ‚S‰ñŒÂlî•ñ•ÛŒì–@§‰»ê–åˆÏˆõ‰ï‹cŽ–˜^【藤井総務庁長官官房審議官】発言
民間部門における保護すべき個人情報の定義でございますが、これは情報公開法の場合の定義とやはり似通ってくると思いますけれども、個人に関する情報であって当該情報から特定の個人が識別され、また識別され得るものという定義でよいのではないかと考えております。当該情報からというのを盛り込みましたのは、個人の識別性というのは情報公開条例のさまざまな判例を見ても外縁部分が非常にあいまいになっている部分がございますので、ある程度当該情報を中心として個人の識別性を判断するメルクマールにしていく絞り込みが必要ではないかと考えました。
‘æ‚U‰ñŒÂlî•ñ•ÛŒì–@§‰»ê–åˆÏˆõ‰ï‹cŽ–˜^【日本弁護士連合会 事務局長 三宅氏】発言
結局、特定の個人の識別というのは何らかの個人の属性というものがございまして、氏名、生年月日も紛れもなくそうでございますけれども、それ以外にもごく一般的な表現で個人の属性を示すということは状況によってはあると思います。それに基づいて個人の情報が一般化されましても、それが特定な個人と結び付かないということはそういう情報の扱いということは不可能ではありませんし、またそれを工夫するといいましょうか、試みる必要はあると思います。
‘æ‚V‰ñŒÂlî•ñ•ÛŒì–@§‰»ê–åˆÏˆõ‰ï‹cŽ–˜^【日本医師会 副会長 小泉氏】発言
個人識別のメルクマールというのを具体的にどのように整理するのかという点がひとつ問題にあるのではないかと思っております。
‘æ‚P‚W‰ñŒÂlî•ñ•ÛŒì–@§‰»ê–åˆÏˆõ‰ï‹cŽ–˜^【宮島厚生省大臣官房総務審議官】発言
メルクマールというのは指標という意味だそうだが、この点に関して結局のところ整理されなかったという印象を拭えない。
、個人情報についても、それから事業者についても少し絞れという御意見なのですが、そうしますと個人情報の方は当該情報から特定の個人が識別され、または識別され得るものという書き方でもって、例えば情報公開法の不開示情報でありますとモザイク効果を持つような情報も広く不開示にされるわけですけれども、この場合、個人情報の方はそれと比べて個人情報という定義というか、外延がかなり狭くなる。それはそれで構わないという、まずそれが出発点であるということですね。
‘æ‚Q‚Q‰ñŒÂlî•ñ•ÛŒì–@§‰»ê–åˆÏˆõ‰ï‹cŽ–˜^【三宅日弁連情報問題対策委員会事務局長】の発言を受けての【藤原委員】の発言
個人情報の定義のところですけれども、モザイク効果の情報を広く不開示にしている情報公開法の運用というのがありますが、あれは交際費に関する最高裁の第一小法廷の判決と、それから第三小法廷の食料費に関する園部委員長も関与されている判決は微妙に表現が違っていまして、第三小法廷の方は一般に入手が容易なという絞りがたしかかかっているのです。新聞等々の非常に容易に入手ができるということで、私は第一小法廷の判決と第三小法廷の判決はモザイク効果のところについて非常に限定的に第三小法廷はお考えになったという解釈をとっておるのですが、そうではないとモザイク効果の情報を広く広げるということになると非常に個人情報の範囲の外延が広がるので、実際の裁判をやっていても例えば知事の行動をどこまで見るのかといったとき、大体新聞で明日の予定とか昨日の予定とか出ていますね。新聞で大体ある程度見られるようなところは当該情報の外延の部分としてプラスしていいと思うのですが、ものすごく細かいことを図書館に行って調べたりする自治体の職員などもいらっしゃるのです。
それが個人に関する情報と関わるからというような主張をされるので、これは少し行き過ぎではないかと思っていまして、少なくとも当該情報を軸に当該情報からというようなニュアンスを入れた方が、そこのモザイク効果の情報が過度に広く非開示にされ過ぎないという限定を加えられるのではないかと考えているものですから、こういうところを個人情報のところできっちり定義していけば、情報公開法の運用とも絡みますけれども、少し個人情報という名目での非開示が広がり過ぎる弊害は避けられるのではないかという観点から、そういうところを検討しているところでございます。
‘æ‚Q‚Q‰ñŒÂlî•ñ•ÛŒì–@§‰»ê–åˆÏˆõ‰ï‹cŽ–˜^上記【藤原委員】の発言をうけての【三宅日弁連情報問題対策委員会事務局長】の発言
ここらへん重要ですね。個人情報保護法の「個人情報」は情報公開法の「不開示情報」と密接に関連するのです。
1ページの「定義」のところで書いてございますけれども、IPアドレスとかクッキーによるウェブサイトの訪問記録などというのは他の情報と照合しない限り個人を識別することはできないということですが、逆に読めばある一つの情報があってそれと何かとかをくっ付ければ個人が特定されていくということでもあるのですね。そういうものを一体対象外にするのかどうか。恐らくこれは「定義」の中には書き込めなくてガイドラインのようなところで処理されていくのだと思いますけれども、非常にクリティカルなポイントだと思います。ですから、そこを緩やかに、その情報だけでは個人を特定できないにしても、それを法律の対象外にしますとそれを利用していろいろなことができていくというものをどう考えていくかというのは非常に難しい。例えば、それが多用されて別の用途に使われたような場合にどうなっていくかというのは非常に難しい問題かと思いますが。
‘æ‚Q‚R‰ñŒÂlî•ñ•ÛŒì–@§‰»ê–åˆÏˆõ‰ï‹cŽ–˜^【遠山委員】発言
まさに今問題にしているのがこれですね。この遠山委員は非常に洞察力のある方だなぁと思いました。
立法過程(第156回国会 個人情報の保護に関する特別委員会)
実際に立法されたときの国会審議ですね。個人情報保護関連法案情報に審議議事録LINKがまとまっています。
○保坂委員 では、ちょっとここを押さえておきたいんですけれども、電話番号と住所だけじゃなくて、地図ですね。結局、個人情報は何かというところで、「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」、これも含むわけですよね。そうすると、例えば住所、氏名入りの地図なども販売されていますね。これと引き合わせれば識別できるわけじゃないですか。どうしてこれは個人情報じゃないんですか。
○藤井政府参考人 個人識別性についての御質問というふうに承りますが、これもちょうど午前中の議論にもあったんですが、識別可能であるかどうかという判断は、実は結構難しい判断ではございます。ただ、一言言えるのは、行政機関法は、容易にというのは、従来入っていたのを今回外したんですが、事業者の方は「容易に」としているということだけでもないんですが、やはり私どもは、個人を特定するための一番のポイントになる情報は氏名だと思っております。
したがいまして、氏名がそういうほかの属性情報と直接結びつくようなシステムになっているかどうかというのは、これは大きな決め手だと思っております。(保坂委員「ポイントは氏名」と呼ぶ)はい。
衆議院会議録情報 第156回国会 個人情報の保護に関する特別委員会 第8号
ここで氏名がポイントとしたことが後に大きな誤解釈を生む元凶になったんではないかと個人的には思います…。
逐条解説
ええ。買っちゃいましたよ。このエントリを書くためだけにwもうね。馬鹿かとあほかと。へぼへぼ法律解釈日記に改名したほうがいんじゃないかと。まぁそれはいいとして当該部分に関して引用します。
(a)「生存する個人に関する情報」
(中略)
「個人に関する情報」には、個人の属性・行動、個人に対する評価、個人が創作した表現等、当該個人と関係するすべての情報が含まれる。高知の情報であるか否かを問わないし、情報の存在形式も、文字情報に限られるわけではなく、音声、指紋、画像等を含む。
個人情報保護法の逐条解説―個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法,P31-32
「個人に関する情報」に関しては上記の解釈に異論はありませんし他の解釈をみても差異はないと思うのでこれ以降はとりあげません。
(b)「当該情報に含まれる 氏名、生年月日その他の記述等により特定の個人を識別することができるもの」
個人識別情報を広く対象としており、センシティブ情報のみを対象とするものではない。「氏名、生年月日その他の記述等」の「その他の記述等」とは、電話番号、会員番号等の番号も含まれる。また、映像、声、指紋、筆跡等により、本人を識別しうる場合も、「その他の記述等」に含まれる。
(後略)
個人情報保護法の逐条解説―個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法,P33
ふむふむ。ここらへんまではいいかんじですね。ところが次の段でとんでもない飛躍を遂げるのであった・・・。
(c)「他の情報と容易に照合 することができ、それにより特定の個人を識別することができることとなるものを含む」
ある情報を他の情報と組み合わせることによって、不開示規定により守られるべき不開示情報が認識されるかを判断することをアメリカではモザイク・アプローチ(中略)、イギリスではジグゾー・アプローチという。
(中略)
本項における「容易に」の要件をいかに解するかは解釈に委ねられることになるが、他の事業者に通常の業務では行っていない特別な照会をし、当該他の事業者において、相当な調査をしてはじめて回答が可能になるような場合、内部組織間でもシステムの差異のため技術的に照合が困難な場合、照合のため特別のソフトを購入してインストールする必要がある場合には、「容易に」の要件を満たさないであろう。個人識別の可否は、当該情報を取り扱う者ごとに異なりうる相対的なものである。たとえば、メールアドレスは、一般的には個人識別性を有しないが、当該本人が契約するプロバイダーにとっては他の情報と容易に照合して個人識別が可能な個人情報といえよう。同様に、秘匿機能を持たせるため、相手方の公開鍵で暗号化して個人に関する情報を送信した場合、一般的には個人識別性はないが、送信先の相手方は、自己の秘密鍵で容易に複合しうるから、送信先との関係では個人識別性が肯定されよう。
個人情報保護法の逐条解説―個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法,P33-34
…。言いたいことが山ほどあるのですがあとでまとめていいます。
内閣府解釈
Q2 −3 メールアドレスは、個人情報に該当しますか。
A 個人の氏名等を含んだリストがあり、その1項目としてメールアドレスが含まれている場合、リストは全体として、また、メールアドレスはその一部として、個人情報に該当します。
また、メールアドレスのみであって、ユーザー名及びドメイン名から特定の個人を識別することができる場合、そのメールアドレスは、それ自体が単独で、個人情報に該当します。
一方、記号や文字がランダムに並べられているものなど、特定の個人を識別することができない場合には、別に取り扱う名簿などとのマッチングにより個人を特定することができない限り、個人情報には該当しません。
個人情報保護法に関するよくある疑問と回答
その他
第20次 国民生活審議会 個人情報保護部会のパブリックコメント結果
Eメールアドレスについては、記号や数字等の文字列とISPのドメインだけからでは、「特定の個人を識別すること」ができないため、ガイドライン等では個人情報に該当しないとして扱われている。しかし、Eメールアドレスが漏えいして悪意ある者の手に渡った場合、スパムメールの被害やスパムをきっかけとしたワンクリック詐欺などの被害にあう恐れがある。さらに、属性情報とセットで漏えいした場合は、マーケティング情報として経済的価値も生じ、その反映として本人の被害も大きくなる。Eメールアドレスの漏えいにはこのようなリスクがあるため、実際には多くの事業者が実務上個人情報として扱っているものと思われる。また、アドレス表記の構成を分析して、特定の個人を識別できるか否かを解釈し分類管理することは合理的ではない。一方、インターネット上で提供されているサービスの多くは、氏名の提供を要求せずEメールアドレスを唯一の識別子として会員登録が行われている。同姓同名が数多く存在する「氏名」に比べ、全世界でもユニークであるEメールアドレスは、この意味においても保護に値する情報であるといえるのではないか。したがって、Eメールアドレスを法解釈上“個人情報”と位置付け、又は個人情報と同程度の保護が必要な情報であると規定することは、本人の権利保護と事業者における合理的管理の両面において意義がある。
「個人情報の保護に関する主な検討課題」に関する意見募集結果(pdf),9P【個人013】
この意見は検討もされず黙殺されているように見受けられる。自分のこのブログも結局のところそうなるのだろう。
デタラメな解釈によってもたらされる未来
国会答弁にあったように「氏名」が含まれるかどうかが識別性のポイントだったとしよう。そしてメールアドレスやiモードIDが識別性の無い情報だっとしよう。どのような未来が待ち受けているだろうか。ここらへんは高木さんがいろんなところで語っているとは思うが私からも1点提示したいと思う。
上述の医師会の副会長さんが特定な個人と結び付かない情報の扱いを工夫するという趣旨の発言をされていたと思う。これは要するに個人情報を統計情報として公開するということであると思う。さて、ドコモがそのうちこんな統計情報を公開するかもしれない。
(架空)iモード平均利用時間統計A
| 年代 | iモード平均利用時間 |
|---|---|
| 10代未満 | 0.5時間 |
| 10代 | 1.4時間 |
| 20代 | 1時間 |
| 30代 | 0.8時間 |
| 40代 | 0.5時間 |
| 50代以上 | 0.3時間 |
なるほどこれはたしかに個人の識別性はなさそうだ。年齢というものには(ましてや年代には)個人の識別性がないことには異論がないだろう。じゃあ、同様にメールアドレスに識別性がないと解釈した場合こうなるのであろうか?
(架空)iモード平均利用時間統計B(TOP5)
| メールアドレス | iモード平均利用時間 |
|---|---|
| *****1@docomo.ne.jp | 0.8時間 |
| *****2@docomo.ne.jp | 2.2時間 |
| *****3@docomo.ne.jp | 1.4時間 |
| *****4@docomo.ne.jp | 0.9時間 |
| *****5@docomo.ne.jp | 0.9時間 |
こんなことがあってたまるのだろうか。いややはりメールアドレスは識別制がある。既に物理的な私生活においても識別性を有しているわけで友達の斎藤君(架空)には*****2@docomo.ne.jpが私であることがバレバレだ。でもiモードIDは物理的な私生活において識別性が無いからいいんじゃない?という意見があったとしよう。ではこうなる。(iモードIDは適当である)
(架空)iモード平均利用時間統計C(TOP5)
| iモードID | iモード平均利用時間 |
|---|---|
| abcabcabc1a | 0.8時間 |
| abcabcabc2a | 2.2時間 |
| abcabcabc3a | 1.4時間 |
| abcabcabc4a | 0.9時間 |
| abcabcabc5a | 0.9時間 |
なるほどたしかにabcabcabc2aが私であることを友達の斎藤君はしらないから単なる統計情報としか捉えないかもしれない。ところがiモードを介したweb上ではそうではない。アクセスした先のwebサーバにおいてこの統計情報といわれているものと照合することにより私が平均2.2時間iモードを利用する人物であることがバレバレである。いやな世の中になったものである。
では一体「特定の個人を識別」とはなんなのか
ここから私の解釈を行っていく。立法過程においても「個人識別のメルクマール」を整理すべきだとの意見が出されながらも結局それがなされた気配がみえない。実際、個人情報の定義の解釈を行っている者達の「個人識別のメルクマール」はおそらくばらばらだ。あるものは「氏名」がポイントだという。しかし一方で氏名が含まれていない「遺伝子情報」に関してそれが個人情報であることを否定しない。曖昧な「個人識別のメルクマール」を元に「特定の個人を識別」するものを定義することなど不可能なのにそれをやろうとしているために矛盾が発生しているのだろう。
ならば私が示そう
「個人を識別する」情報というのは、特定の個人に付与されており一意性(他の個人には同一情報が付与されない)のある情報のことである。
ただこれだけである。これですべてが説明できるようになる。「氏名」は一意性が完全とはいえないがほぼあるといえるし、「住所」「遺伝子情報」もそうでしょう。もちろん「メールアドレス」「iモードID」は一意である。では「送信元IPアドレス」は一意であろうか。現在のところはそうではなさそうだしかし「タイムスタンプ」「送信元ポート番号(又は一連のシーケンス番号)」あたりがセットになると一意性がある情報といえると思われるしセットじゃなくても氏名ぐらいの一意性はあるんじゃないかとも思える。そして、「性別」「生年月日(年齢)」「血液型」「身長」「体重」等は一意性はなく識別情報とはいえないであろう。(いわゆる属性情報となる)だから統計情報に利用できるのである。
通信における一意性の話
上記の私の主張をdocomoが認めて「よしわかったiモードIDは同意なしに提供しないようにしよう」となったとしよう。ところがこんなことをいってきたらどうだろうか
「よろしいならば属性情報だ」
そんなことを言い放ち、iモードIDの代わりに「性別」「生年月日」を通信毎に送信するようになったとしよう。当然利用者は激怒するだろう。なに勝手に送ってんだと。ところが「性別」はそれ単体では識別性のある情報ではないからなにが悪いんだといってくるかもしれない。しかしよく考えてほしい。通信というのはそもそも送信元と送信先の一意性を確立して成り立っている。上述した「送信元IPアドレス」「タイムスタンプ」「送信元ポート番号(又は一連のシーケンス番号)」の組み合わせが送信されているわけだ。これ自体は正当業務行為なわけだが一意性のある情報を送っている以上それに付随する属性情報を送信することはやはり認められないのである。
でも属性情報って定義されてるの?
うん。でもそこなんだ問題は。今の個人情報保護法って属性情報を明確に定義してないようなんだよね。単体では識別するものではないわけだから。むしろ一緒くたに定義しようとして失敗している感があるのです。で、再度条文を引用してみます。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる 氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合 することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
http://www5.cao.go.jp/seikatsu/kojin/houritsu/index.html
ここのカッコ内の文は属性情報を定義しようとしているんじゃないかなぁと思うのですね。でも属性情報ってのはほとんどの場合において結局のところ「識別することができることと」はならない。だから正しく定義するのはこうなんじゃないかと。
他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。
↓
他の特定の個人を識別することができる情報と容易に組み合わせることができる生存する個人に関する情報を含む
まぁそもそも「個人情報」というくくりで一緒くたに定義するんではなくて「個人識別情報」「個人属性情報」とわけてその扱いについても分けるべきでしたよね。
というかそもそも他の情報と照合すると識別できるってどういう意味なんですかね。それって照合しなくても識別できてるんじゃないの?意味ないよねその条文。と思ってしまうのだけども。逐条解説の該当部分の説明も正直意味不明。ソフトをインストールってなんだよと。そもそも識別できる情報をもってるからして他の情報を照合できるのであってそれによりさらに他の情報が引き出せるってだけじゃないのか?と。
まとめ
世に蔓延る解釈のほとんどが(逐条解説でさえも)私の「個人を識別する」の解釈にたてば間違っていることが分かったでしょうか。またそれによりもたらされる未来が異常なことも。なぜこのような事態になってしまったのか正直腹立たしい気持ちです。しかしそんなことをいまさらいってもしょうがないので、どうやって軌道修正をするべきなのか。やはり地道に声をあげていくしかないのでしょうか。
あとなんか最後のほうになるにつれだんだんと口語体になってきてしまった。今は反省している。
それと、おきまりの文句ですが間違い指摘や反論は大歓迎です。どうぞ。
