「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ（前編）

プライバシーフリークカフェが本になります！

「プライバシーフリークカフェの記事にはとても重要そうなことが書いてありそうだな…」とわかってはいても、あまりの長さに辟易し、「あとで読む」「長い」「くどい」などと思っていた方、この機会にあらためて、じっくりねっとり、プライバシーフリークの世界を体験してみませんか？

書籍では、各章ごとに訳注、参考URLを記載。また紙の書籍には特別付録「プライバシーフリークの会会員証」がもれなくついてきます。

この1冊で現在、日本で行われている最先端のプライバシー議論がだいたい、把握できます！

→ご購入はこちらからどうぞ！

　山本　第1回「プライバシーフリークカフェ」ということで、産総研の高木浩光さん。新潟大学の鈴木正朝先生とやっていきたいと思います。私、司会の山本一郎でございます。よろしくお願いいたします。

　「個人情報」と言われたときに、「名前や住所が入っていなければ個人情報ではないのである」という不思議な解釈でプライバシーポリシーを運用してしまっている企業もけっこうございまして、今回のセッションではまず総論として、企業、サービスとプライバシー、個人情報のあり方について議論してまいりたいと思います。今回の「プライバシーフリークカフェ」の冒頭に、高木さんから「個人情報ってそもそも何でしたっけ？」という基本のところから皆さんに聞いていただきたいと思いますがいかがでしょうか。

個人情報ってそもそもなんでしたっけ？

　高木　了解です。では早速、「個人情報って何？」というときに本当によくある誤解についてです。皆さんも「氏名、生年月日、連絡先が個人情報である」と理解されているのではないでしょうか。これは間違いです。この「氏名、生年月日、連絡先」というものは強いて言えば「特定の個人を識別するために用いられる情報」と言うことはできます。この「特定の個人を識別する」というフレーズは個人情報保護法の条文にありますが、これが個人情報というわけではありません。

　個人情報保護法の定義は、このように「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものをいう。」となっています。

　山本　誤解する人は、この個人情報の定義をよく理解しておらず、個人情報の概念を勝手に分類してしまっているのですね。

　高木　先程の住所、氏名、連絡先が個人情報であると思っている人は、要するに、ここ（生存する個人に関する情報であって、当該情報に含まれる……）を飛ばしてみている。そのため「『氏名、生年月日、その他の記述等』の『特定の個人を識別することができるもの』」が個人情報であると読んでしまっていると思うのです。この飛ばしてしまった部分が大事でして、「個人に関する情報であって、当該情報に含まれる氏名、生年月日……」ということですね。図にしてみましたが、このように「個人に関する情報」のところ、文章みたいなものがいろいろ書かれている。例えば、「この人はどの大学を出て、どの会社で何年働いた。こんなレンタルビデオを借りている。図書館でこんな本を借りている」という事実が書いてある。これ全体を「個人に関する情報」と法律では呼んでいるのですね。「当該情報」とはこれ全体のことであり、全体のところに含まれる氏名その他の記述、それでもって「特定の個人を識別できる」場合に個人情報に該当するわけですが、ここの「もの」とは、これ全体を指していますから、この赤いところを指しているのではなく、これ全体を指していて、それが個人情報だというわけです。

　山本　非常に重要なところですよね。実際、「氏名、連絡先さえ抜いておけば個人情報ではないのである」という誤解が非常に広がっているという状態だと思います。プライバシーポリシーのあり方を考える上でこの辺の話をきちんと普及・啓蒙するための活動がどのようなものがあるのか？　という議論があると思うのですね。

　高木　もし、単に氏名、連絡先を分離しただけで個人情報でなくなるのであれば、法律の条文は最初から「特定の個人を識別する情報」と定義すればよかったはずです。しかし、そうはしないで、このような持って回った定義の仕方をしているのは、「特定の個人を識別する情報」という意味ではないという意図が感じられますよね。

　山本　おそらく、「匿名化措置」の問題もこの誤読の中で起きていると思うのですね。「個人の氏名や連絡先などを除外すれば匿名化である」という、かなり間違った見解を出している人もけっこういるのですが、グレーゾーンですらないのにもかかわらず、彼らにはグレーゾーンであるとみえている。

　高木　ただ、医療の分野では匿名化という措置は昔からあって、氏名、顔写真などを外してというのはありましたから、それが全ての場合に同じように適用できるかというのは議論があると思います。実際、立法当時の内閣官房の逐条解説を手に入れたのですが、このように書かれています。「個人に関する情報というのは、個人を識別する情報に限らず属性に関して全て」。よく、「何を守らなくてはいけないのですか？　センシティブな情報だけじゃないのですか？」と言いますが、人によって何を隠したいかは違いますから、分けられないので、立法の趣旨としては全部が個人情報です。

　山本　個人を特定、識別する情報以外の属性情報も個人情報の中に含まれているということですね。

　高木　いま政府が検討している「パーソナルデータ」という言い方はまさに「個人に関する情報」を言い換えているものですね。ちなみに、ここで、Yahoo! JAPAN、日本を代表するネットサービスの、プライバシーポリシーを見てみましょう。

　山本　素敵なお話、ありがとうございます。

　高木　ここを観ていただきたいのですが、「プライバシー情報のうち『個人情報』とは」とか、「プライバシー情報のうち『履歴情報及び特性情報』とは」とか書かれています。Yahooさんの場合は「個人情報」と「履歴情報および特性情報」を分けている。それぞれに利用目的や取得する情報が書かれているのです。

　高木　これはある意味よくやっていらっしゃると言えるのですが、しかしこの分け方は現行法の個人情報の定義とは違うのです。

　山本　違いますね。

　高木　購入履歴や利用日時の情報も、氏名等により特定の個人が識別されるデータとして存在すれば、法律上の個人情報なんですけどね。ここを読んでいただくと、「『個人情報』とは、個人情報保護法にいう『個人情報』を指すものとし……」と条文をそのまま引いてあるのに、この食い違いはおかしいですね。

　山本　なぜそれを冒頭で掲げているのだ、ということですよね。

　高木　そうです。「履歴および特性情報」は、それ以外の「購入された商品」、「ご覧になったページ」、それから「検索キーワード」などとなっています。これらは個人情報ではないと言いたいようです。

　山本　類例として最近よく話題になります武雄市の図書館でも、よく指摘される内容ではありますが、個人情報とは実は貸し出し履歴も含まれるというところ、これを踏まえても、「そもそも何を見たのか？」という情報を含めて本当は個人情報ですよね。個人に関する情報なので。ところが、それを「個人情報」と「履歴情報と特性情報」という形で分離するので、妙なプライバシーポリシーになりますよね。要は、「その人が何の本を読んだのか？」ということに対して、彼らは、「氏名、生年月日、連絡先」と分離して「『その人が何の本を読んだか』は個人情報とは違うものだ」と定義してしまっているので、法律上齟齬が出ているのだと僕は思います。

　高木　なぜそう間違えたかは、先程の「定義の読み方を間違っているからだ」という分析なのです。