« 浅井弘章「個人情報保護法と金融実務」 | Main | 「東京スタイルの総会決議取消訴訟判決と6月総会への影響」 »

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を読み始める

 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」が策定され、パブリックコメント手続が開始されている。まだ読み始めたばかりなのだが、冒頭から注目すべき規定が現れた。

※「他の情報と容易に照合することができ、」とは、例えば通常の作業範囲において、個人情報データベース等にアクセスし、照合することができる状態をいい、他の事業者への照会を要する場合、当該事業者内部でも取扱部門が異なる場合等であって照合が困難な状態を除く(ガイドライン2頁)。

 つまり「当該事業者内部でも取扱部門が異なる場合等であって照合が困難な状態」においては、容易照合性が否定される=個人情報に該当しないというのだ。
 このガイドラインによると、例えば「AAA12345」といった顧客ID(=それ自体に個人識別性はないが、他の情報(顧客個人情報データベース等)と照合することにより個人が識別できるものを想定する)のリストを、顧客個人情報データベースとは別の取扱部門で(適切に)保管・管理していた場合の「顧客IDリストを構成する個々の顧客ID」は、当該事業者内部で容易に照合できる部門以外においては「個人情報」に該当しないということになりそうだ。

 取扱事業者を単一に考えれば「同一の事業者の内部で『他の情報』がいかに分別保管されていようとも、当該事業者全体で見れば容易照合性は認められる」という解釈もあり得るところであったが、ガイドラインは、そうではなく、事業者内部においても部門ごとに相対的独立的に考える解釈を示したといえる。

 これは文字どおり「ガイドライン」であって、直ちに裁判規範性が認められるわけではない(このガイドラインに従ったからといって、将来の紛争を完全に予防したり、発生した紛争に必ず勝てるとは限らない)が、実務に与える影響は大きいと考えられる。

|

« 浅井弘章「個人情報保護法と金融実務」 | Main | 「東京スタイルの総会決議取消訴訟判決と6月総会への影響」 »

情報ネットワーク法」カテゴリの記事

Comments

鶴巻 先生

夏井です。

ご指摘はもっともだと思います。

基本的には,ガイドラインにおける容易照合性の解釈が明らかに間違っていると思われます。法は,事業者単位に問題をとらえるように構成されているし,主務大臣による監督も事業者単位になされることになっています。したがって,事業者という法人格主体にとって容易に照合可能なものであれば,個々の従業員にとって照合可能でないものであっても容易に照合可能だと判断すべきでしょう。
そうでなければ,たとえば,外部に業務委託をする場合の発注者の責任の解釈等にも大きな矛盾が発生してしまいます。
より以上に大きな問題は,いわば脱税のような感じで,大規模な脱法行為が堂々となされてしまうことを政府が推奨するような結果にもなってしまいます。
データベースに関しては,あくまでも事業者単位で容易に照合可能かどうかを判定すべきでしょう。

Posted by: 夏井高人 | 2004.06.22 at 23:57

鶴巻 先生

夏井です。

追加的なコメントです。

今回のガイドラインを通読してみると,ざっと読んだだけでも論理一貫性及び整合性を欠いている部分が散見されるので,根本部分からの改訂は必至ではないかと思います。

なお,データベースに関連する問題については,基本的には,非常に簡単な問題を非常に難しく考えているところに最大の問題点があるのではないかと思われます。

つまり,暗号化されていようがアクセス制限されていようが,個人情報取扱事業者が個人情報として扱う情報は個人情報なのであって,その属性に変化があるはずがない。暗号化やアクセス制限等の措置は,個人情報を適正に管理するための具体的手段なのであり,そのような適正に管理するための手段を講じたとたんに個人情報であったものが個人情報ではなくなってしまうというような解釈論は,そもそも大間違いなわけです。

木を見て森を見ないようなあまりにも馬鹿な解釈論が多すぎますね。

なお,外部の人間が当該データを新たに入手した際に,それが暗号化されていたりアクセス制限されていたりしていて,容易に他の情報と照合して個人情報だと認識することもできないようになっていることから,それが「個人情報ではない」と認識されるようなデータである場合には,当該外部の人間には「個人情報の取得」という認識がないわけですから,その取得に関する個人情報保護法の適用はないと考えます。
しかし,そのようなデータの取得の後に,当該外部の人間が復号鍵やパスワードを手に入れたりすることによって容易に個人識別情報と照合可能な状態になれば,その時点で,新たに「個人情報の取得」になるので,この時点で個人情報保護法が適用されることになるだろうと思います。

このように解釈するのが本当の相対説です。
法人である個人情報取扱事業者の内部でも相対化されることなど法理論上あり得ないことだと思いますし,裁判所でも決して認められることのない考え方だと思います。

Posted by: 夏井高人 | 2004.06.23 at 12:49

 夏井先生、コメントありがとうございます。
 ご指摘のように「適正に管理するための手段を講じたとたんに個人情報であったものが個人情報ではなくなってしまう」ということだとすると、そのような、もはや個人情報保護法の適用対象外となったデータを「適正に管理する」という場合の「適正」とは、個人情報保護法以外の何を基準とすることになるのか=どのように管理すれば「適正」といえるのか、といった問題も興味深いところです。
 個人情報該当性の議論には、引き続き注目していきたいと思います。

Posted by: 鶴巻 暁 | 2004.06.23 at 14:25

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/11972/815157

Listed below are links to weblogs that reference 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を読み始める:

« 浅井弘章「個人情報保護法と金融実務」 | Main | 「東京スタイルの総会決議取消訴訟判決と6月総会への影響」 »