パーソナルデータ 論点メモ（5月8日）

産業技術総合研究所セキュアシステム研究部門

高木 浩光

目次•事務局案の問題点 •事務局案はなぜこうなったか

•何を検討していないことが問題か

•個別の問題点（省略）

•鈴木委員提出の対案について •鈴木対案の背景

•散在情報と処理情報

•処理情報と識別非特定/識別特定情報

•情報公開法・表現の自由との関係

•取得の委託（アドネットワークの解釈）

•準個人情報との関係

•義務の強弱をどうするか

事務局案

事務局案が置いた前提•大前提 •個人情報の取扱いを現行のままとする •理由：「11年、現行法で事業者が取扱っていることに配慮」 •本人関与に係る義務は特定の個人を識別できる場合に限られる •理由：本人の求めに対してだから、本人への通知だから •「本人」の定義から（2条6項「この法律において個人情報について「本

人」とは、個人情報によって識別される特定の個人をいう。」

•中前提（準識別子を保護する理由） •「特定の個人を識別する蓋然性が一事業者内における場合より

高くなる」

•「多種多様な情報が漏えいした際、個人の権利利益侵害の危険性が容易に惹起される」

前提の否定 その1•本人関与に係る義務（現行法） •取扱事業者から本人へ到達できなければ履行できない？

•特定個人識別性の「氏名到達性」説が前提？ •ならば、映像、音声により識別される個人に対してはどうするのか？ •逐条解説に「映像、音声もそれによって個人の識別に至る限りは「等」 に

含まれる。」とある •映像や音声から本人を探して通知するのか？ •よって、現行法はそれを前提としていないと言える

•取扱事業者から本人へ到達できない場合にどうするか •直接取得時に同意を得る・オプトアウトを受付ける・通知する •取得が継続的に行われる場合には可能 •継続的に行われている場合こそ、保護すべき今日的リスクがある •継続的な取得をしない（本人との接点が切れた）場合は？ •本人関与できない場合がある（現行の個人情報についても）

準個人情報と本人関与•取得が継続的に行われる場合 •識別子（類型①②③）によって「準本人」を識別できる •「この法律において準個人情報について「準本人」とは……」 •この識別は識別子が共用されるものか否かに関わらず可能

•本人確認は必要なのか •個人情報についての「本人」も、本人確認を求めてはいない

•なりすましの問題 •オプトアウト、通知、利用停止については程度問題 •開示・訂正の求めは本人確認が必要といえるが、方法次第 •準個人情報については •本人確認が必要な義務（開示・訂正の求め）は履行不可能とする(?)

•履行不可能な場合は現行の個人情報においても存在

取得の制限と本人関与•サービス利用開始時の同意 •取得の段階で同意をとることができる •第三者提供についても

•サービス利用者の本人性 •当該サービスにおいては本人とみなしてよい

•オプトアウト、利用停止の求め、通知が可能

•無断で取得が開始される場合は？ •例 •顔識別による履歴取得 •Wi-Fi（MACアドレス）で人を識別して履歴取得 •同意を原則とするべきでは •それで困る場合はどういう場合？

前提の否定 その2•準識別子を保護する理由 •プロファイリングの評価を受けない権利の想定が欠如 •事務局案が示す保護理由 •「特定の個人を識別する蓋然性が一事業者内における場合より高くなる」

•「多種多様な情報が漏えいした際、個人の権利利益侵害の危険性が容易に惹起される」 •事務局案の小前提 •2事業者以上で共有される場合にこれらが問題となる •プロファイリングの問題は単一事業者で生ずる •Webの行動ターゲティング広告のサードパーティcookie •通常、単一事業者が発行・利用するIDであるため準個人情報に該当しない •参照：取得の委託モデル •識別子が共用されるものか否かに関わらず保護の理由がある

•そもそも何をどうしたいのかが整理されていない

そもそも何を？ ������#"$!

���A� ���B���� �� ���

���C����

���A� ���B����

���A�

���C����A� ���B�

&�!�%��

&�!�%��re'iden+fy'����(!'��������(�

(1)!

(2)!

(3)!

(4)!

��"& �

��"& � ��"& �

��"& � ��"& �

��� ���

これはアリなのか？

� �A����

� �D�� �B� � �C�

���

(5)( ���

��� �����

��������(re+iden/fy����� ��!(���������� �

���

���

行動ターゲティングと準個人情報

�������

40;A�

40;B�

40;C�

40;D�

40;E�

<7;5?7>�

3rd=A9/cookie-� #.����)��.

1st=A9/cookie-� #.��)����.

Cookie&.���

3@9@8�

����

����

2>;.1;%��.B��:A6-+ �-�!C�

��'�(�$!&.*'",�

識別子の性質か事業者の行為か

����'Y�

HDM"N"

HDMM�

HDML�

HDM"K�

HDMB�

����'X�

HDMA�

HDMB�

HDMC�

HDMD�

HDME�

-CookieSync.#=� A"08"BNOJMRSG*:=����=�"

BNOJMRSGX� BNOJMRSGY�

3rdPSKC"cookie�

3rdPSKC"cookie�

X;Y=��<� 7@BA�69"X"cookie=;Y"cookie=A$�4"@5;1:2@,"!���=)��1/@��;%�>�#":>V"

FQMBEM:(�"T�&LSIA�?��A+3U�

鈴木委員提出の対案�!��

%�!!��

o:�.�!�p�

●]knejID!�&N�*8��J�'GQP:��oPp!@���)NA-�bn_B0�!●�7!��

(�N1OLDKFRJAhkgTWil]BE9SQP�>ECP:��o�s^ndfnaV\`[np!

●knZjID!q�*8M<HI/DOQP:��!

o$,pA�bn_B!

o5r4�bn_p�

� �!�3�

+ !��

'�bn_!(=26N�;)�

o:�?.�!�p�

o5q4�bn_p�

��m#�s�t(��"��u�

��m#�s�tYhcUXcu�

鈴木委員提出の対案

�W����XT�

�UUUU")W��ehdXT

F�

UUW�#���UUUUehdXT

F��LN%G�#��ehd]BZ`�E^�<6HF�LO%GA4HF�LP%G=)6HF�LQ%G�,�(6H�LRIMJ%i+-V�86j�

UKS%Gehd��^)3�^3�H�ULJ%G�7+ 9HF�ULK%G�&:^/1HF�ULL%G�>^/1H�ULM%G5�:!�^�CHF�

KQ%G@)\��HF�MK%G;�^ +HF�

KO%G�,0.^*�HF�KP%G�,0.]_`�CH�KR%G��]DY[^�,0.^?26H�UUUG��]DY[^$�����H�UUUG��]DY[^cgfabf�8H�'

����

3月24日メモより

「実質的個人識別性」の具体化方法•前提:「個人情報」の定義は変更できない •情報公開法など国内の他の法令と共通する用語であるため

•案A:「準個人情報」を定義して追加する •散在情報の準個人情報まで保護するのは過剰規制になるのでボツ

•案B:「個人データ」定義を拡張して現行法に合わせる •まず、散在情報を対象外とする •元々本来、現行法民間部門は散在情報を保護対象としたつもりがない（後述） •旧法案にあった散在情報に対する努力規定「基本原則」が削除されている •この際、現行法民間部門の保護対象から散在情報を明確に除いたものにする •過剰反応の一部がこれにより解消する •利用目的の特定・制限・明示・公表から散在情報が除かれ、事業者の負担（これまで過

剰規制だった部分）が解消する •次に、「個人データ」を再定義して識別非特定情報も含むようにする •そして、識別特定情報と識別非特定情報で義務に強弱を付ける

散在情報

処理情報個人データ「個人情報データベース等」の要素

A B C D E F G H I L M N O P

個人データでない個人情報

散在情報と処理情報•「散在情報」 •宇賀先生の逐条解説p.225（第4版） •行政機関法について「個人情報ファイルに記録されていない保有個人情報（以下「散在情報」とい

う）」と定義。行政機関法に関して6か所で使用。p.20図2で民間部門についても記載。

•「処理情報」 •昭和63年法（廃止）2条1項5号の定義 •五　処理情報　個人情報ファイルに記録されている個人情報をいう。

四　個人情報ファイル　一定の事務の目的を達成するために体系的に構成された個人情報の集合物であつて、電子計算機処理を行うため磁気テープ（略）に記録されたものをいう。 •現行法の「個人データ」「個人情報データベース等」もこれに相似 •４　（略）「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

２　（略）「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。一 　特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの二 　前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

電算処理情報

マニュアル処理情報

•テキストを入力してください保護対象の変化

散在情報

処理情報

電算処理情報

マニュアル処理情報

個人情報

昭和63年法の対象

平成15年の個人情報保護法・行政機関法で追加

主に行政機関法の対象

保護対象の変化•昭和63年法 •「行政機関の保有する電子計算機処理に係る個人情報の保護に関す

る法律」（廃止）

•処理情報が義務の対象（ほぼ全部が）

•現行の行政機関個人情報保護法 •散在情報も義務の対象（ただし保有個人情報（行政文書）に限る）

•旧法案（廃案）の民間部門規定 •処理情報を義務の対象としつつ、「基本原則」として、散在情報に

ついて努力規定を設けていた

•現行の個人情報保護法の民間部門規定 •3党合意で「基本原則」が削除され、ほぼ処理情報だけが対象に

昭和63年法 行政機関法 現行民間部門

利用目的の特定 個人情報ファイル4条

個人情報3条

個人情報15条

保有の制限 個人情報ファイル4条

個人情報3条 ̶

利用目的による制限/目的外利用の制限

処理情報9条

保有個人情報8条

個人情報16条

適正な取得/職権乱用目的外収集への直接罰 ̶ 個人の秘密に属する事項

55条8条

個人情報17条

（取得の制限） ̶ ̶ ̶

利用目的の公表 個人情報ファイル6～8条 ※

個人情報ファイル10～11条 ※

個人情報18条

直接書面取得における利用目的の明示 ̶ 個人情報

4条個人情報 18条

正確性の確保 ̶ 保有個人情報5条

個人データ19条

安全管理/確保措置 個人情報5、11条

保有個人情報6条

個人データ 20～22条

従事者の義務 個人情報 12条

個人情報 7条 ̶

提供の制限 処理情報9条

保有個人情報8条

個人データ 23条

受領者に対する措置要求 処理情報10条

保有個人情報9条 ̶

保有事項の公表 個人情報ファイル6～8条

個人情報ファイル10～11条

保有個人データ24条

開示・訂正等 処理情報13～17条

保有個人情報12～44条

保有個人データ25～30条

苦情の処理 処理情報20条

個人情報48条

個人情報31条

従事者義務違反への直接罰 ̶ 個人情報ファイル・保有個人情報 53～54条 ̶

処理情報に限られる個人情報

処理情報に限られず散在情報も含む個人情報

保護対象の比較

用語の再定義•「処理情報」 •「個人情報」に該当するか否かに関わらず、「DB情報」であっ

て、保護対象であるものを指す用語とする

•「DB情報」 •保護対象か否かに関わらず、情報が「散在情報」でなく「処理

情報」である要件に対応する用語とする •「個人情報データベース等」（個人情報保護法2条2項）「個人情報ファ

イル」（行政機関法2条4項）の定義に沿いつつ、その構成要素が「個人情報」であるとする要件を外したもの（の構成要素） •「情報の集合物であって、特定の情報を検索することができる

ように体系的に構成したもの」（現行法条文の改変） •体系的に構成した：「利用目的、記録目的の内容が共通する個人情報

が一定の基準に基づいて配列されていることをいう。」（宇賀p.224）

技術WGの「識別/非識別」の区分•散在情報に対してこの区分は無理がある •散在情報の場合は •「特定情報」なら「識別情報」でもあることは自明だが •「非特定情報」だと「識別情報」か否か不明（定義不可）

•散在情報は、他の散在情報との関係が不明であるので

•DB情報に対してこの区分は明確 •DB情報であって、要素が一人ひとりの情報であるもの（仮） •識別情報の定義:「一人ひとりは識別されるが…」「それが誰か一人の

情報であることがわかるが…」 •識別情報＝処理情報 としてよいのではないか •非識別情報に当たり得るもの •統計化されたデータ、k-匿名化されたデータ

改正私案の保護対象（案1）•個人データを識別非特定情報まで拡張

散在情報

個人情報

個人データ（改）

電算処理情報

マニュアル処理情報

識別非特定情報識別特定情報

改正私案の保護対象（案2）•個人データを電算処理情報の識別非特定情報まで拡大

散在情報 マニュアル処理情報

識別特定情報

個人情報

個人データ（改）

識別非特定情報電算処理情報

昭和63年法 行政機関法 現行民間部門 改正私案民間部門

利用目的の特定 個人情報ファイル4条

個人情報3条

個人情報15条 個人データ（改）

保有の制限 個人情報ファイル4条

個人情報3条 ̶ ̶

利用目的による制限/目的外利用の制限

処理情報9条

保有個人情報8条

個人情報16条 個人データ（改）

適正な取得/職権乱用目的外収集への直接罰 ̶ 個人の秘密に属する

事項 55条8条

個人情報17条 個人データ（改）

（取得の制限） ̶ ̶ ̶ 個人データ（改）

利用目的の公表 個人情報ファイル6～8条 ※

個人情報ファイル10～11条 ※

個人情報18条 個人データ（改）

直接書面取得における利用目的の明示 ̶ 個人情報

4条個人情報 18条 個人データ（改）

正確性の確保 ̶ 保有個人情報5条

個人データ19条 個人データ（改）

安全管理/確保措置 個人情報5、11条

保有個人情報6条

個人データ 20～22条 個人データ（改）

従事者の義務 個人情報 12条

個人情報 7条 ̶ ̶

提供の制限 処理情報9条

保有個人情報8条

個人データ 23条 個人データ（改）

受領者に対する措置要求 処理情報10条

保有個人情報9条 ̶ ̶

保有事項の公表 個人情報ファイル6～8条

個人情報ファイル10～11条

保有個人データ24条

保有個人データ（改）

開示・訂正等 処理情報13～17条

保有個人情報12～44条

保有個人データ25～30条

保有個人データ（改）

苦情の処理 処理情報20条

個人情報48条

個人情報31条

個人情報及び個人データ（改）

従事者義務違反への直接罰 ̶ 個人情報ファイル・保有個人情報 53～54条 ̶ ̶

処理情報に限られる個人情報

処理情報に限られず散在情報も含む個人情報

処理情報に限られる識別非特定情報及び識別特定情報

保護対象の比較（改正私案）

「個人データ」対象である理由•現行法（法案時点）の逐条解説 •「なお、この法律においては、基本理念や、個人情報取扱事業者の義務

のうち、利用目的の特定や適正な取得等の規定（具体的には第15条から第18条まで）においては、データベース化されるか否かを問わず「個人情報」を広く対象としているのに対し、個人情報取扱事業者の義務のうち、安全管理措置や第三者提供の制限、開示、訂正等の透明性確保のための措置等の規定（具体的には第19条から第27条）においては、他の情報と結合されることにより本人に与える影響が大きい状態にあると考えられるものとして、個人情報のうちデータベース化された「個人データ」に限って適用することとしている（第19条【解説】参照)。」

なぜ18条までは「個人情報」対象か•現行法（法案時点）の逐条解説 •第19条【解説】より「※対象を個人データに限らない理由 第24条においては「保有個人デー

タ」について利用目的を本人の知り得る状態に置くべき旨を規定している一方、本条では、「個人情報」の利用目的について、通知・公表する旨の規定としているが、これは、取得の段階では、その個人情報がデータベースの形態に構成されるものか否かは明らかでないことから、本条の趣旨にかんがみ、「保有個人データ」のみならず「個人情報」について、その取得の際(第1項、第2項)及び利用目的の変更の際(第3項)の本人に対する通知・公表等を義務付けるものである。」

•園田編逐条解説p.177 •なお、取り扱う対象を「個人情報」とし「個人データ」としていないのは、いずれ個人情報

データベースに記録され「個人データ」となるものであっても、取得段階では「個人情報」の状態であることによる。本条から第18条までの規定は、個人情報の取得段階を含む個人情報の取扱い全般を規律するものであることから、「個人データ」（第2条第4項）ではなく「個人情報」（第2条第1項）を規律の対象としている。

•理由がそれだけであるなら個人データに変更してよいはず •個人データの定義を変更して（取得段階でも該当するように）

•条文に落とし込むのが難しい？ •「（個人情報データベース等を構成することとなるものを含む）」とか？

旧法案にあった基本原則（削除）•第二章　基本原則第三条　個人情報が個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、個人情報を取り扱う者は、次条から第八条までに規定する基本原則にのっとり、個人情報の適正な取扱いに努めなければならない。（利用目的による制限）第四条　個人情報は、その利用の目的が明確にされるとともに、当該目的の達成に必要な範囲内で取り扱われなければならない。（適正な取得）第五条　個人情報は、適法かつ適正な方法で取得されなければならない。（正確性の確保）第六条　個人情報は、その利用の目的の達成に必要な範囲内で正確かつ最新の内容に保たれなければならない。（安全性の確保）第七条　個人情報の取扱いに当たっては、漏えい、滅失又はき損の防止その他の安全管理のために必要かつ適切な措置が講じられるよう配慮されなければならない。（透明性の確保）第八条　個人情報の取扱いに当たっては、本人が適切に関与し得るよう配慮されなければならない。

国会で基本原則が削除される経緯•衆 - 内閣委員会 - 11号 平成14年12月04日○達増委員（略）そういう各国の取り組みの成果、OECD勧告でありますとか欧米諸国の法律と比較した場合に、今私たちの目の前に出ている個人情報保護法案というのは一種異様なものであります。どこが異様かといいますと、問題になっているのは、情報通信技術の発達の中でいかにして個人のプライバシー、人格を守るか、テクノロジーからいかにして個人の人格を守るか、プライバシーを守るかということであります。当然、問題になるのはデータとしての個人情報であります。コンピューターで高速処理され得るような、データファイルでありますとかデータベースでありますとか、そういう個人データをどうやって守るか、乱用を防ぐか、プライバシーや人格を傷つけることを防ぐかということがテーマでありまして、諸外国の法律のタイトルあるいはその目的、原則等々の中でも、あくまで対象はデータとしての個人情報、守るべきはテクノロジーから個人の人格やプライバシーを守るというふうな趣旨がはっきりあらわれるような法律になっておりますが、この個人情報保護法は、第二章、基本原則というところで、広く個人情報を取り扱う者全体を対象に基本原則を定めている。これはデータに限らずあらゆる個人情報が対象であります。コンピューター処理されるもの以外のものも含めあらゆる個人情報が対象、そしてすべての個人、団体、法人、機関が対象、個人もまた対象になっている。なぜこのように諸外国に例を見ないような広範な基本原則を持つこういう法案を提案されたのでしょうか。

識別/特定に類似の概念•Future of Privacy Forum の「Mobile Location Analytics Code of Conduct」に以下の記述 •De-personalized Data ‒ data that is not reasonably used to infer information about a particular consumer, but that may be associated

with a particular computer or device. Data is treated as de-personalized if a MLA company: •(1) takes measures to ensure that the data cannot reasonably be linked to an

individual (for instance, hashing a MAC address or deleting personally identifiable fields); •(2) publicly commits to maintain the data as de-personalized; and •(3) contractually prohibits downstream recipients from attempting to use the data to identify a particular individual. •De-identified Data ‒ data that is not reasonably used to infer information about or otherwise be linked to a particular consumer,

computer, or other device. Measures such as aggregating data, adding noise to data, or statistical sampling are considered to be measures that de-identify data under this Code if a MLA Company: •(1) takes reasonable measures to ensure that the data is de-identified; •(2) publicly commits not to try to re-identify the data; and •(3) contractually prohibits downstream recipients from trying to re-identify the data.

その後

情報公開法との対比!

!

!

!

!

!!!

!•判断例「基礎年金番号及び年金コードは，その性質等からみて，法5条1号

の特定の個人を識別することはできないが，なお個人の権利利益を害するおそれがある情報に該当する」（審査会答申15-231）

A B C

個人に関する情報であって、情報公開法における開示 行政機関個人情報保護法

における提供個人情報保護法における提供データの第三者提供

1提供元で特定個人識別できるものを、

提供先で特定個人識別できる形で

5条1号前段不開示情報となる 提供元基準で制限される 提供元基準（容易照合）

で制限される

2 提供先で特定個人識別できない形で

5条1号前段不開示情報だが、6条2項部分開示となる（場合がある）

提供元基準で制限される提供元基準で制限されるが、k-匿名性があれば制限されない

3提供元で特定個人識別できないものを、

提供先で特定個人識別できる形で

5条1号後段不開示情報となる

制限されない（ただし行政文書の利用目的に拘束される）

制限されない

4 提供先で特定個人識別できない形で

5条1号後段不開示情報となる（場合がある）

制限されない（ただし行政文書の利用目的に拘束される）

制限されない

取得の委託•代理店を通じた個人情報の取得（保険・携帯電話の契約等） •委託先の監督義務（現行法21条） •「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する

場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」

•取得の委託では「個人データ」に該当しない！？ •個人情報データベース等に入る前（入力帳票は散在情報）なので

•広告媒体を通じた利用履歴の取得（ターゲティング広告等） •委託先の監督義務（改正私案）の対象とすべき •個人情報データベース等に入れることを予定した入力帳票（電磁的記録含

む）を「個人データ（改）」に含めるよう再定義

•取得事実・利用目的等の表示を、委託先の監督義務に含めるよう改正 •諸問題研第2次提言やJIAAガイドラインはこれに一致する

•共通ポイント運営会社とドラッグストアの関係もこれに該当

義務の強弱をどうするか

散在情報

個人情報

識別特定情報

個人データ（改）

準個人情報

識別非特定情報第一種個人データ 第二種

？

開示等取得・提供 オプトイン

取得・提供 オプトアウト安全管理措置？

？