ぼちぼち改正個人情報保護法を読む-2条(定義:個人識別符号)

個人識別符号とは、その情報単独で個人を識別することができる文字、番号、記号その他の符号をいいます。改正法で条文が新設されました。留意すべきなのは、改正前の個人情報保護法でも、解釈上個人識別符号は「個人情報」とされていました。保護される個人情報の範囲を明確化するために設けられた経緯があります。

改正法の条文

(定義)
第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
<略>
二 個人識別符号が含まれるもの
 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

改正前の条文の問題点

改正前の条文は、前の記事で説明したように、個人情報であるためには、特定の個人を識別することができる情報(いわゆる個人識別情報)であることが必要です。この識別には、当該情報だけでは個人を特定することができなくても、他の情報と照合することにより個人が識別される場合も含まれます。つまり、特定の個人を識別することができるかどうかという点と、第二に容易に照合することができるかどうかという点の2点が解釈に委ねられていたわけです。

しかし、個人情報保護法の制定から10年余の間に、情報通信技術の飛躍的な進展があり、ビッグデータの収集・分析が進む中、これまでの個人情報の定義のままでよいのかという疑問が提起されました。

その第1点は、個人情報に該当するか否かが不明なため、事業者が個人データの利活用に躊躇するという「利活用の壁」です。

第2点は、特定の個人が識別されない場合であっても、個人の権利利益が侵害されるおそれがある情報があるのではないか、現在の個人情報の定義はそれをカバーしているかという問いかけです。

個人情報の範囲の明確化

改正の背景として、ビッグデータの収集・分析が新しい産業やサービスの創出に貢献すると期待される一方、自由な利活用が許容されるのかが不明確な「グレーゾーン」が発生・拡大しているため、事業者の個人データの利活用に躊躇していることが指摘されました。この利活用の壁を取り払うため、保護される個人情報の範囲の明確化が目指されたわけです(以上、高度情報通信ネットワーク社会推進戦略本部「パーソナルデータの利活用に関する制度改正大綱」第2基本的な考え方Ⅰ制度改正の趣旨1背景参照)。

改正個人情報保護法は、個人情報の定義の中に「個人識別符号」という概念を設けて、個人識別符号にあたるものは、それ単体で個人情報とすることにしました。これは、個人情報の範囲を拡大するものではなく、事業者や消費者団体から明確化の要請の高かったものを個人情報として明確化したと説明されています(第189回国会衆議院内閣委員会議録第2号8頁・平成27年3月25日平将明副大臣答弁)。

そこで、個人識別符号にあたれば、それだけで個人情報となります。

一方、個人識別符号にあたらないものについては、これまで通り個人識別性を検討して個人情報の該当性を判断します。

どのようなものが個人識別符号にあたるのか

「個人識別符号」は、2条2項一号、二号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものがあたります。したがって、政令を読む必要がありますし、政令の中には、個人情報保護委員会規則に委ねている部分があるので、同規則も参照しなければなりません。条文を整理してみました。

まず2条2項一号は、「特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの」です。「パーソナルデータの利活用に関する制度改正大綱」でも指摘されていましたが、指紋認識データ、顔認識データなど個人の身体的特性に関するものがあたります(大綱11頁)。

特定の個人の身体の一部の特徴とは、改正個人情報保護法施行令1条(1)で次のように具体化されました。

イ 細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列ロ 顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌
ハ 虹彩の表面の起伏により形成される線状の模様
ニ 発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化
ホ 歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様
ヘ 手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状
ト 指紋又は掌紋

顔の特徴、声紋、手のひら静脈、指紋、掌紋は、生体(バイオメトリクス)認証と呼ばれる本人確認手段に利用されています。すでに携帯電話の認証に組み込まれているものがあるので、イメージの沸く方も多いと思います。

次に2条2項二号は、「個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しく は購入者又は発行を受ける者を識別することができるもの」です。

これも改正個人情報保護法施行令1条(2)から(8)までの規定と、個人情報保護委員会規則(改正個人情報保護法施行規則)4条で内容が明確化されました。主だったものを以下にあげました。

  • 旅券(パスポート等)の番号(日本政府、外国政府または権限のある国際機関の発行した旅券や難民旅行証明書その他当該旅券に代わる証明書の番号)
  • 国民年金の基礎年金番号(以前は異なる番号が付けられていた厚生年金・共済組合の番号も2007年1月から基礎年金番号で統一されています)
  • 免許証の番号
  • 住民票コード
  • マイナンバー
  • 国民健康保険の健康保険証の記号、番号、保険者番号
  • 高齢者受給証の番号、保険者番号
  • 介護保険証の番号、保険者番号
  • 国家公務員・地方公務員等共済組合の組合員証、組合員被扶養者証、高齢受給者証の記号、番号および保険者番号
  • 私立学校教職員共済組合の加入者証・被扶養者証・高齢受給者証の加入者番号
  • 雇用保険被保険者証の被保険者番号
  • 特別永住者証明書の番号

携帯電話番号や携帯電話の通信端末IDなどは?

それでは、携帯電話番号、携帯電話の通信端末ID、クレジットカード番号、メールアドレス、サービス提供のための会員IDは、個人識別符号にあたるのでしょうか。

国会では、次のように、これらの情報は、さまざまな契約形態や運用実態があることから、現時点では一概に個人識別符号に該当するとはいえないと説明されています(第189回国会衆議院内閣委員会議録第4号4頁、8頁、17頁・平成27年5月8日向井治紀政府参考人答弁、山口俊一国務大臣答弁、同会議録第6号14頁、18頁・平成27年5月15日山口俊国務大臣答弁)。

たとえば、携帯電話番号は変更可能で完全に一対一ではない、携帯電話の通信端末IDは、端末を識別するための情報で、機器に付番されるものなので、利用者ごとに異なるように割り当てられたものではないという理由があげられています(携帯電話番号については、国会審議で多数の質疑があります。たとえば第189回国会参議院内閣委員会議録第9号23頁・平成27年5月26日山本太郎委員・向井治紀政府参考人のやり取り)。

携帯電話番号は、実は2012年12月19日にIT総合戦略室パーソナルデータ関連制度担当室の「パーソナルデータの利活用に関する制度改正に係る法律案の骨子(案)」に、個人識別符号の例としてあげられていました。

すなわち、骨子案では、「個人情報の定義の拡充」という表題の下、次のように書かれていたのです。

生存する個人に関する情報であって、次のいずれかに該当する文字、番号、記号その他の符号のうち政令で定めるものが含まれるものを個人情報として新たに位置付けるものとする。
(1)特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した符号であって、当該個人を識別することができるもの(例:指紋データ及び顔認識データ)
(2)個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行される書類に付される符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は付されるもの(例:携帯電話番号、旅券番号及び運転免許証番号)

法案のまとめの最終段階で、条文の末尾に「特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの」という言葉が追加されています。個人を識別するが特定はしない情報は、個人識別符号に含めないとなったわけです。つまり最終段階で、個人情報の定義の「拡充」はなしになり、改正前の個人情報の定義を拡大するものではなく、明確化したものだという説明に変身してしまいました。この定義の変更は、産業界からの要望であるとの指摘があります(第189回国会衆議院内閣委員会議録第7号・平成27年5月20日塩川鉄也委員発言、同参議院内閣委員会議録第11号20頁・平成27年6月2日山本太郎委員発言)。

ただし、上記の答弁では、時代の流れや技術の進歩、諸外国の情勢等によりまして変わっていくので、今後、政令の制定、運用に当たって、諸外国における取扱いや技術動向も注視しつつ、社会実態を反映し、該当性が明確となるよう努めるとされていて、今後、上記の情報が個人識別符号として指定される含みを持たせています。

個人識別符号該当性の判断基準

どの情報が個人識別符号にあたるのかについては、パーソナルデータに関する検討会およびその下に設置された技術検討ワーキンググループで議論がなされた際に、次のような要素を総合的に考慮して判断する考え方が取られたと説明されています(第189回衆議院内閣委員会議録第5号12頁・平成27年5月13日宇賀克也参考人説明、同会議録第6号19頁・平成27年5月15日山口俊一国務大臣答弁)。

  • 本人の到達性:本人に直接アプローチできるかどうか
  • 情報の一意性:唯一無二で付番されているものかどうか、個人と情報の結びつきの程度
  • 変更の容易性:容易に変更できるようなものであるかどうか、情報の内容の変更が頻繁に行われていないか

なお、宇賀克也教授は、その著書『個人情報保護法の逐条解説[第5版]』で、「パーソナルデータの利活用に関する検討会」の下に設置された「技術検討ワーキンググループ」の報告書等を参照し、さらに、「その他、本人との密接関連性(指紋のように本人が生来的に有する特性は、本人と密接に関係があり、特定の個人を識別する情報といえる)、共用性(符号が複数の事業者によって、または複数のサービスに跨って使用されているか)等も考慮すべきであろう」と述べています。

冒頭でも述べましたが、個人識別符号に該当しない場合であっても、特定の個人が識別できる情報の場合(2条1項一号)には、「個人情報」に該当します。

あなたのネットの検索情報やお買い物情報は?

さて、それでは第2点目の特定の個人が識別されない場合であっても、個人の権利利益が侵害されるおそれがある情報があるのではないかという疑問に対しては、改正個人情報保護法はどう答えたのでしょうか。

「パーソナルデータの利活用に関する制度改正大綱」では、「継続的な検討課題」として、次のように述べ、明確な方向性は打ち出していませんでした。

2 いわゆるプロファイリング
多種多量な情報を、分野横断的に活用することによって生まれるイノ ベーションや、それによる新ビジネスの創出等が期待される中、プロファイリングの対象範囲、個人の権利利益の侵害を抑止するために必要な対応策等については、現状の被害実態、民間主導による自主的な取組の有効性及び諸外国の動向を勘案しつつ、継続して検討すべき課題とする。

また、国会審議では、ネット検索履歴、ウエブ閲覧履歴、位置情報などの行動情報も入るかどうかという質問に対して、基本的には入らないという説明がありました(第189回参議院内閣委員会・財政金融連合審査会会議録第1号4頁・平成27年6月2日向井治紀政府参考人答弁)。

○政府参考人(向井治紀君) お答えいたします。
委員御指摘のウエブ検索、閲覧の履歴や位置情報等の個人の行動に関する情報につきましては、情報に含まれる内容の詳細さ、特異さ、あるいは蓄積度の度合いによっては特定の個人を識別できる場合もあるものの、基本的には個人情報に該当しないものと考えております。
ただし、個人の行動に関する情報が個人情報に該当しない場合であっても、これを取り扱う事業者が氏名や顔写真その他の情報を保有しており、これと容易照合性が認められる場合や、今回の法案でお示しした個人識別符号とともに一つのデータセットとして保有されている場合であれば、これらも個人情報に該当することとなると考えております。

現在のところ、ウェブサイトの閲覧履歴や電子商取引サイト上での購買履歴などを蓄積して利用者の興味・嗜好の分析をする行動履歴情報については、例外的に個人情報に該当する場合があるとはいえ、原則としては個人情報保護法の「個人情報」の対象外となっていることになります。

なお、行動履歴情報を利用して広告を表示する行動ターゲティング広告は、業界の自主的な規制によって運用されています。たとえば、一般社団法人インターネット広告推進協議会は、「行動ターゲティング広告ガイドライン」を公表しています。

外国の法的規制

さて、外国の法律では、個人情報の定義はどうなっているでしょうか。

たとえば、2016年4月に制定され、2018年5月25日に適用(施行)されるEU一般データ保護規則は、次のように個人情報を定義しています。

‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

「個人データ」とは、識別されるまたは識別され得る自然人(「データ主体」)に関するあらゆる情報をいう。識別され得る自然人とは、氏名、識別番号、位置データ、オンライン識別子のような識別子、または当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的、社会的属性に特有な1つ以上の要素を、特に参照することにより、直接的または間接的に識別しうる者をいう。

この条文からも明らかなように、一般データ保護規則では、位置データやIPアドレスやクッキーのようなオンライン識別子も、個人データに入ることが分かります。

また、アメリカでは、オバマ政権時の2012年11月2日、大統領府は「Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy(ネットワーク社会における消費者データプライバシー:グローバルなデジタル経済におけるプライバシー保護とイノベーション促進のための枠組み)」という政策を提案しました。そこで、消費者プライバシー権利章典が提案され、個人データについて次のように記載しています(10頁、別添A)。

The Consumer Privacy Bill of Rights applies to personal data, which means any data, including aggregations of data, which is linkable to a specific individual. Personal data may include data that is linked to a specific computer or other device.

消費者プライバシー権利章典は、特定の個人と結び付き得る、データの集約を含むあらゆるデータを意味する個人データに適用される。個人データは、特定のコンピュータ又は他の装置と連結されるデータを含む。

つまり、消費者プライバシー権利章典の定義する「個人データ」には、家庭のスマートフォンやコンピュータの識別子が含まれているわけです。この定義は、企業が収集、利用、開示する消費者に関する多くの種類のデータをとらえるために必要な柔軟性を提供していると説明しています(104頁)。

そして、この定義は、連邦政府の「個人識別可能情報」の定義と類似しているとしています(10頁脚注)。その連邦政府の「個人識別可能情報」とは、Peter R. Orszag, Memorandum for the Heads of Executive Departments and Agencies, Guidance for Agency Use of Third-Party Websites and Applications, at 8 (Appendix)「行政府および行政機関の長のための覚書、行政機関による第三者のウエブサイトとアプリケーションの利用のためのガイダンス」8頁(別添)、2010年6月25日)に記載されています。

[I]nformation that can be used to distinguish or trace an individual’s identity, either alone or when combined with other personal or identifying information that is linked or linkable to a specific individual. The definition of PII is not anchored to any single category of information or technology. Rather, it requires a case-by-case assessment of the specific risk that an individual can be identified.

単独で、又は、特定の個人と結び付き若しくは結び付けられ得る他の個人情報若しくは識別情報と組み合わせた場合に、個人の属性を区別し又は追跡するために用いられ得る情報

消費者プライバシー権利章典で、注目すべきなのは、個人データについて「特定の個人」を対象にしながらも、消費者に関する情報を広く含めるような定義をしているところです。

消費者プライバシー権利章典は、トランプ政権後にどのように取り扱われるかは分かりませんが、個人データの保護を特定分野の法規制に限定し、民間企業の自主規制に委ねているアメリカで、保護すべき個人データを広く捉えていることは注目すべき点だと思います。

EUとアメリカのこうした個人データの定義と比較し、日本の個人情報、個人データの捉え方が望ましいものであるかは、適宜検討がなされなければならないと思われます。

弁護士(第二東京弁護士会所属・弁護士・NY州弁護士) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 法律事務所Legal i プラスを2021年設立 Information Law, Internet Law, Intellectual Property Lawなど、iから始まる法律を中心に業務を行っています。 このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。