個人情報保護のルールは2000個くらいあります
― 「2000個問題」といわれてもピンとこない人も多いと思います。まずは簡単に説明していただけますか?
鈴木 ええ。まず「個人情報保護法」っていうと、みなさん、「個人情報の保護に関する法律」を思い浮かべると思うんですよね。
― そうですね。違うんですか?
鈴木 まあ、民間企業では、ほとんどの人が、この「個人情報保護法」で仕事しています。ところが、個人情報保護法制全体を見渡すと2000個ぐらいあるんですよ。
― えっ。どういうことですか。
鈴木 まず法律が3個あります。
― 3個もありましたっけ……。
鈴木 まず「個人情報の保護に関する法律」(個人情報保護法)。これは民間部門を対象にしています。
― これが、私たちが「個人情報保護法」というときに思い浮かべる個人情報保護法ですね。日本全体を覆っている法律のように思っていましたが、対象となるのは民間部門だけなのですね。
鈴木 はい。公的部門については、総務省とか経済産業省といった行政機関を対象とする「行政機関の保有する個人情報の保護に関する法律」(行政機関個人情報保護法)と「独立行政法人等の保有する個人情報の保護に関する法律」(独立行政法人等個人情報保護法)があります。これは、独立行政法人と名称のついた法人が対象になりますが、そこには理化学研究所(理研)とか、産業技術総合研究所(産総研)とか、情報通信研究機構(NICT)などの国立研究開発法人なども入ります。
―「独立行政法人等」。「等」とは。
鈴木 法律によく登場する「等」ですが、ここで「等」というのは、独立行政法人のほかにも別表(第2条関係)に定める法人も含むことを示しています。例えば、今問題になっている日本年金機構、非公務員型の公法人(特殊法人)ですがこれも入ります。そのほかにも日本銀行や国立大学法人など全部で15ほど定められています。
― 民間企業用、行政機関用、独立行政法人等用、個人情報保護法だけで、すでに3個の法律があるんですね。
鈴木 ええ。そこに、1,912自治体の条例が加わります。47都道府県の個人情報保護条例と、786市・757町・184村の計1,727の個人情報保護条例と、東京の23特別区の個人情報保護条例があります。それに加えて115の広域連合等があって、個人情報を取り扱う場合には別途条例が制定されることになっています(平成22年4月現在)。
こうした諸々のルールを足し合わせると、ざっくり2000個くらいになるので、個人情報保護法制2000個問題と呼ぶことにしました。以前は1800個問題と呼んでいたんですけども、Twitterで立命館大学の上原先生が、いやいやもっとあるでしょうと。情報セキュリティ大学院大学の湯淺先生などからも広域連合等の条例や規則も入れないとといわれまして、じゃぁコンピュータの2000年問題もあったことだし、切りのいいところで、2000個問題と呼ぼうかということになりました。命名したのは3年ほど前でしたかね。
― ちょっと待ってください。都道府県、市区町村は行政機関個人情報保護法が適用されているんじゃないんですか?
鈴木 行政機関個人情報保護法は行政機関だけですから。地方議会ごとに、個人情報保護条例を定めていますのでその個人情報保護条例が適用されています。
行政機関個人情報保護法をモデルにするところが多いようですが、必ずしも同じではありません。結構ばらつきがあります。「個人情報」の定義からして、ざっくり6種類くらいあるかもしれません。特定個人の識別の判断基準や、照合の判断基準など解釈基準の違いまで考えるともっとバラバラなんだろうと思いますが。しかし、条例マターである以上、それぞれの自治体が決めることですから国がとやかく言える筋合いのものではありませんね。
立命館大学の上原哲太郎先生が、全地方自治体の条例を集めて比較検討されています。一部引用しますとこんな感じです。
― なるほど。自治体ごとに違うんですね、定義が。
鈴木 けっこうバラエティがあるでしょう。かつてはこの程度の定義の違いは誤差の範囲だと思っていたのですが、昨今はその誤差にあたるところでさまざまなデータ処理をしようという機運が高まっていますから、この違いは極めて重要な問題になってきています。
個人情報の定義が違えば、匿名化などの非個人情報化の考え方も異なってきます。個人情報を含むデータを匿名化して公開しようという時に地方自治体ごとにバラバラになっていいのか。また、地方自治体間の個人情報のやりとりに際してルールの不整合が邪魔をしたりするようになりました。
