個人情報の定義ふたたび

twitter一景

個人情報保護法改正へ向けた期待 - 雑種路線でいこう
このid:mkusunok氏によるエントリに端を発してtwitter上で@tekusuke氏と個人情報の定義にまつわる議論になった。

元をたどると

パーソナルデータを狭く解釈するのが保護法の精神でござる。 RT @masanork 判例法理に於けるプライバシーと保護すべきパーソナルデータの区別は重要だけど、個人情報保護法の実運用がパーソナルデータを狭く解釈し過ぎているというのが @nihen のブコメでの指摘では?

http://twitter.com/tekusuke/status/5534236324

という@tekusuke氏の発言に

それは無いと思います!法制化専門委員会の議事録読んでみてくださいです。RT @tekusuke パーソナルデータを狭く解釈するのが保護法の精神でござる。

http://twitter.com/nihen/status/5534283322

と返したところがスタートになっていました。その後プライバシー権や自己情報コントロール権の話などにも広がってしまっていて議論の焦点も定まっていないまま@tekusuke氏に辟易とされて終了という感じになっています。

twitterは気軽に他人とコミュニケーションができるという点で便利ですが、議論の継続性や140文字という文字数ゆえの議論の成立自体に問題があるんじゃないかなぁと思ったのですがそれはまた別のお話。

ここでは、最初の議論の焦点であった「パーソナルデータを狭く解釈するのが保護法の精神」かどうかという点について私の見解を詳細に述べたいと思います。

見解

第二条  この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

http://law.e-gov.go.jp/htmldata/H15/H15HO057.html

もうこのブログでは何度何度も引用してきたお馴染みの条文ですが、基本的には「生存する特定の個人を識別することができるもの」が含まれる情報が「個人情報」ということでこれはかなり広い範囲を対象にしているなということが分ると思います。

さらに特筆すべきなのはこの法律においてはセンシティブ情報に関する規定が無いことです。センシティブ情報に関しては個人情報保護条例を持つ自治体のおよそ六割が条例に明記(http://www.shugiin.go.jp/itdb_kaigiroku.nsf/html/kaigiroku/000115620030408021.htm今野東氏発言より)していることから鑑みてもある意味特殊性が際立っています。

ちなみに自治体条例の具体例としては東京都個人情報の保護に関する条例の第四条2項に

2 実施機関は、思想、信教及び信条に関する個人情報並びに社会的差別の原因となる個人情報については、収集してはならない。ただし、法令又は条例 (以下「法令等」という。)に定めがある場合及び個人情報を取り扱う事務の目的を達成するために当該個人情報が必要かつ欠くことができない場合は、この限りでない。

とあります。
さて、ここで絶対に読み間違ってはいけないのは、では「個人情報の保護に関する法律」の「個人情報」にセンシティブ情報は含まれないかというとまったくもってそうではないということです。これに関しては以下の国会答弁からも明らかと思います。

 さらに、センシティブ情報の本人の同意なき取り扱いの禁止についてお尋ねがありました。
 すべての個人情報は、情報の内容や性質にかかわらず、その利用目的・方法、利用環境によっては、個人の権利利益に深刻な侵害が生ずる可能性があるものであります。このため、何がセンシティブ情報であるかをあらかじめ類型的に定義することは極めて困難であります。
 このため、政府案におきましては、「基本理念」として、すべての個人情報について、個人の人格尊重の理念のもとに慎重に取り扱われるべきことを明記し、その上で、特定の分野において特に厳格な規律を要する場合には、官民を問わず、個別の法制度や施策ごとにきめ細かく措置することを義務づけております。

http://www.shugiin.go.jp/itdb_kaigiroku.nsf/html/kaigiroku/000115620030408021.htm

現在は個別法ではなく各省のガイドラインにおいて個別のセンシティブ情報についての取り扱いについて(原則収集禁止も含め)定めているようです。しかし「個人情報の保護に関する法律」において広く「個人情報」の扱いの最低限のルールを定めていることに疑いはありません。

さて、そもそも「狭く」という曖昧な文言が問題になっていました。確かに狭いのか広いのかというのは個人の価値観で違ってくるのでしょう。しかし具体的に狭くしている要因が何なのか分らないといまいち有効な議論ができません@tekusuke氏はこの点を明確にされていないようなのですが若干ヒントになり得るであろうtweetがありました。

読んでおります。その上で、プライバシー概念への具体的な言及は慎重に回避されていると理解しております。OECD8原則が"privacy"という言葉を回避していることと、不法行為に関する判例の有効性を維持することが理由と考えられます。 RT @nihen それは無いと思います!

http://twitter.com/tekusuke/status/5534347950

これを「プライバシー情報については対象外になっている」という主張と解釈します。これについてはid:mkusunok氏のエントリのコメントにも書きましたが

 個人情報の定義そのものは、御承知のように、総務庁所管の公的部門の電算処理に係る個人情報保護法、昭和63年、1988年法の2条2項に定義がありますし、近時の情報公開法における定義も同様のものであるといってよいと思います。一般的には同心円を書いてみて集合を示した場合に一番外側の円に個人情報が来る。その内側にプライバシー情報と呼ばれるものが来る。更に一番内側に人格の核となる機微なプライバシー情報が存在するという説明をもなされるところでありますけれども、ただ、ドイツの判例アメリカの立法のように、情報の価値は利用形態との関係で決まるということを重くみる別の考え方もあるところであります。

第2回個人情報保護法制化専門委員会 藤原委員発言

との発言があるように当然ながら個人情報の中にプライバシー情報が存在すると解釈するのが妥当でしょう。他にも第6回個人情報保護法制化専門委員会においても

個人情報保護の対象となる「個人情報」は、プライバシーの権利の対象となる「プライバシー」に比べ、より範囲の広い概念である。

第6回個人情報保護法制化専門委員会 日本新聞協会秋吉氏発言

といった発言もあるように「プライバシー情報」が「個人情報」に含まれるのは周知の事実ではないでしょうか。

さて、もうひとつヒントになるtweetがありました。

英国のデータ保護法(data protection act 1998)と対照しながら読むと、見えてくるのではないかと思います。 RT @masanork 法文をどう読めばそう解釈できるのか、僕の勉強不足もあるだろうから調べてみます。コメンタールとか読めばいいのかなあ

http://twitter.com/tekusuke/status/5534382219

とのことです。原文にあたるとここらへんでしょうか。

“personal data” means data which relate to a living individual who can be identified―
(a)from those data, or
(b)from those data and other information which is in the possession of, or is likely to come into the possession of, the data controller,
and includes any expression of opinion about the individual and any indication of the intentions of the data controller or any other person in respect of the individual;

Data Protection Act 1998

との定義のようです。(あぁなるほど他の情報と照合可能というのはここでも入ってるのねなんてことを思ったりも)
なおこの部分に関しては、高橋郁夫氏が「英国データ保護法からの個人情報保護法への示唆」という論文にて訳文を提示されているので引用させていただくと

『個人データ』は、
(a)それらのデータから
または、
(b)それらのデータおよびデータ管理者の保有する、または、その保有することになるであろう他の情報から生活する個人を特定することができるのに関連するデータを意味し、個人の意見の表現および個人の観点からするデータ管理者または他の者の何らかの意図の表現を包含する

http://ci.nii.ac.jp/naid/110002675762/

となるようです。日本法と比べて確かに具体的に記述情報について言及してある(日本法では識別情報に関しては具体的言及があるが記述情報については無い)なぁとは思うのですが、それらが日本の法では含まれないという根拠はないと思います。それについてはここまでの私の記述を読んでいただけていれば分るとは思いますが、個人情報保護検討部会の第12回での発言を引用してみたいと思います。

個人に関する情報、識別可能な情報であれば個人に関する情報で一切を対象としております。個人の秘密とか個人情報の性質といったものに着目せず、個人に関する情報であれば全部対象としている

第12回個人情報保護検討部会 藤井昭夫内閣審議官発言

さて、しかしこの藤井昭夫内閣審議官が後に国会審議においてポイントは氏名と言う問題発言をされ、「氏名到達性」をもつ情報が「個人情報」という解釈がガイドライン等に広まっていきます。この点をもって「狭い」とするのであればまさしくその通りであると言えるのですが、しかしそれが「個人情報の保護に関する法律」の精神であるかというと私は疑問符を投げかけざるをえません。それについては
デタラメだらけの個人情報保護 - へぼへぼプログラマ日記「個人情報」の定義解釈についての素晴らしい論文 - へぼへぼプログラマ日記において論じていますので興味のある方はどうぞご覧ください。

まとめ

追記(2009/11/10 03:02)

そういえば「個人情報の保護に関する法律」が「生存する個人」に限っていて死者を除外している部分は狭いと言えるかもしれない。