個人情報保護法改正案の検討２０１５年３月２３日弁護士牧野二郎はじめに今回、個人情報保護法が平成 15 年に施行されてから、初めての大幅改正ということができます。最も重要な改正点は、「匿名情報」の設定と、本人同意なしでの利用、第三者提供などを幅広く認めた点でしょう。平成 26 年に発表された政府基本政策である「世界最先端 I T 国家創造宣言」が、その根底にあると考えられます。この中では、わが国の経済力の相対的低下と、国際的地位の後退という事実が明記され、その上で、「IT を経済成長のエンジンとして位置づけて、わが国の経済再生」に貢献させるという決意が表明されています。これまでのＩＴ化は、過去の社会を前提にしており、時代の変化に即応していないと指摘し、ＩＴ化の阻害要因を明確にして「一点突破の精神」でこれを打破する事を決意しているのです。その手始めが、平成 27 年度税制改正大綱（平成 27 年 1 月 14 日閣議決定）に盛り込まれた税務関係書類の保存に関するＩＴ化の促進対策としてのスキャナ保存でしょう。これまで 3 万円以上の書類のデジタル化は認められず、各種の厳しい規制が、経理関係、税務関係書類の IT 化を拒んできたのですが、今回その障壁を取り払い、スキャナ保存を全面的に解禁して、関係書類のデジタル化を徹底する事としました。その結果、企業のすべての経理、会計、税務関連書類のデジタル化、データベース化が進み経理処理効率化が進むとともに、監査業務、調査業務の効率化も一気に進むことになります。今回の個人情報保護法の改正も、このような流れと軌を一にしているということができます。１個人情報保護法改正の基本的視点（第一条の改正）今回の改正のポイントは、第一条の改正に表れています。これまでも、個人情報は権利保護と個人情報の活用をともに考慮するというものでしたが、今回はさらに次の文章が盛り込まれました。「個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。」との改正になります。この目的の改正は、極めて重要な意味をもちます。法律の作り方として、前文、あるいは第一条がその法律の目的意味、機能を明確にするためのものとなりますので、ここに基本方針が明確化されたということができます。ここで個人情報の活用で「新たな産業の創出」をするというのですから、匿名加工情報の活用に牧野総合法律事務所弁護士法人より新しい産業、具体的にはビックデータの活用、解析などによる新たな需要の喚起、新しいサービス事業の開始、ソフトウエア開発、データアナリストによる新たな価値の創造など、さまざまな場面が考えられるでしょう。また、「活力ある経済社会」の実現という目的からは、現在の停滞した事業の足かせを取り払って、活力が出てくる仕組みを構築する事も読み取れます。従来の事業活動も活性化させる、という決意が明示されたということです。２個人情報の定義（第 2 条）関係個人情報の内容は、 ① 個人識別符号特定の個人を識別することができる文字、番号、記号その他の符号 ② 要配慮個人情報本人の人種、信条、病歴、犯歴など差別偏見のきっかけになるような記述の含まれた個人情報 ①この定義が追加されたのは、従来の個人情報の定義に加えて、番号や記号で個人が識別できるケースがあることに対応したものと思われ、②については「ヘイトスピーチ」をはじめとして、権利侵害、不利益対応が起きないように配慮した結果と考えられます。 ③ 匿名加工情報、匿名加工情報取扱事業者今回の改正の重要なポイントの一つが、この匿名情報の活用という制度を採用したことです。この概念は、もとの個人情報を加工した結果、その加工後の情報そのものからは、特定の個人を識別できないということ、さらにその情報からは当該個人を復元できないこと、が必要な条件となっています。特定の個人を識別できる識別符号、識別情報を削除するなど、一定の基準（個人情報保護委員会があらかじめ定めたもの）を満たす加工が行われることが予定されています。その結果、特定の個人が識別できなくなるわけです。また、加工方法によっては、何らかの情報が付加され、其の情報を活用することで元の情報が復元される場合が考えられることから、そうした復元ができないもの、との条件も付されています。暗号化などの場合、確かに識別性がなくなりますが、ある鍵があれば復元できるため、そもそも加工が無いのと同じに扱われてきましたが、今回その点も含めて整理され、復元できるようなものは匿名加工情報とは言わないということになったのでしょう。次に、匿名加工情報取扱事業者という定義を確立し、その者に対しては識別行為を禁止するなど、一定の義務を課すことにしました。この事業者とは、匿名加工情報をデータベース化して、これを自らの事業の用に供する、利用する事業者としました。３個人情報取扱事業者が匿名加工した場合従来の個人情報取り扱い事業者であって、今、保有している個人情報から、匿名加工情報を取りだし、第三者提供を行おうとする企業は、以下の定めを守りながら、これを提供する事が認めら牧野総合法律事務所弁護士法人れています。（１）匿名加工情報の作成（36 条 1 項）まず、作成するに当たっては、個人情報保護委員会規則で定める基準に従って、加工することが必要です。（２）安全管理措置（同法２項）事業者は、削除した識別情報や、加工方法が漏えいしないように安全管理措置をとらなければならないとされています。（３）情報項目の公表（同法３項）事業者は、情報を加工した場合には、匿名加工情報としてできあがった情報について、個人に関する情報項目（たとえば年齢、職業、乗降駅名、出身大学など）を公表することが必要です。なお、生年月日や住所などは、職業や乗降駅情報などの他の情報との組み合わせでは、特定の個人が識別できる可能性もあるでしょうから、今後書かれる規則には、そうした詳細情報を残す事を制限する事項があげられるでしょう。（４）第三者提供（同法４項）事業者は、保護委員会規則の定めに従って作成した匿名加工情報を、本人の同意を得ることなく、第三者に販売、頒布、提供、移転する事ができることになりました。その際に必要なのは、第三者提供を明記するとともに、第三者に提供する匿名加工情報に含まれる個人に関する情報項目（３項と同様）と、第三者への提供方法を、公表しておくことが必要となります。（提供の相手方への告知義務）事業者は、匿名加工情報を第三者に提供する場合には、その第三者に対し、提供にかかる当該情報が匿名加工情報であること、すなわち、もともとが個人情報ではない抽象情報として保有しているものではなく、提供者の手元においては加工前には個人情報であったものを、提供者が加工したものであること、もともとは個人情報であったものであるから、復元のリスクがあり、従って、復元、識別作業をしてはならない、という義務を課すことを目的としたものです。（５）事業者が、匿名加工情報を利用する場合（同法５項）個人情報取り扱い事業者が、自ら保有する個人情報を加工して、匿名情報とした場合に、それを自ら利用しようとする場合には、その匿名加工情報の元となった情報の個人を識別するために他の情報などと照合してはならない、とされています。分かりにくい表現ですが、一旦匿名加工情報とした場合は、それを元へ戻してはならず、また、それを識別情報化してはならない、ということです。ただ、実際には、元の個人情報を保有し、利用目的に従って利用しているはずですから、その必要性には乏しいと考えられま牧野総合法律事務所弁護士法人す。むしろ、問題は、匿名加工情報を他の情報と照合してはならない、ということを注意したものといえます。（６）適正取扱措置の公表（同法６項）個人情報取扱事業者は、これまで利用してきた個人情報を基礎に、匿名加工して利用する場合には、安全管理措置をとっていること、さらに匿名加工にかかる適正措置をとり、苦情処理などの手続きについて公表しなければならない、としました。４匿名加工情報の転売（同法３７条）匿名情報を取り扱い事業者が、他から取得した匿名加工情報を第三者に転売する場合には、自ら作成して販売するのと同様に、加工後のデータに残る個人にかかる項目、提供方法について公表しておくこと、及び転売先に対して、その情報が匿名加工情報であることを示しておく必要があります。これは、自ら加工して販売する場合の同法３６条４項と同じ趣旨を示したものといえます。５識別行為の禁止（同法３８条）匿名情報をデータベースにして利用するもの（匿名加工情報取扱事業者）は、元の個人情報を復元したり、その本人を特定することを目的として、その匿名加工データの加工方法にかかる情報を取得してはならず、また、他の情報と照合してはならない、としています。ここで禁止されるのは、あくまでも個人を特定する目的で復元や照合をすることです。従って、一般的なデータ解析の手法を駆使して、匿名加工情報のデータを解析したり、匿名加工情報相互の突き合せを行い、あるいは比較検討するなどして、データから「類型的」な人の行動パターンを読み取るといった作業は自由に行うことができます。６安全管理措置（同法３９条）匿名加工データベースを利用するものは、安全管理措置を実施し、適正取り扱いの措置を講じて、その内容を公表する必要があります。７罰則今回の改正で注意すべき点に、罰則の変更があります。（１）データベース等を持ち出し、処分した場合１年以下の懲役、５０万円以下の罰金の規定が新設されました（同法８３条）。これまで、持ち出しなどに対する直罰制度はありませんでしたから、持ち出した者は主に民事事件で処罰されるか、例外として刑事事件として業務妨害、不正競争防止法違反として捕らえられる可能性がありました。なお、不正競争防止法、同営業秘密管理指針の改定により、同牧野総合法律事務所弁護士法人法による処罰可能な範囲が広がりましたので、注意が必要です。（２）従来の行政命令違反行為の拡大（同法８５条）これまで、命令に対して違反したものに対し、罰則がありましたが今回の改正では、その範囲を拡大し、報告せず、虚偽報告をしたものに加えて、質問に対して答弁せず、虚偽答弁を行い、検査を拒み、妨げ、軽視した場合にも同様に処罰があるとしました。まとめ今回の個人情報保護法の改正は、多岐にわたりますが、最大のポイントは、匿名加工情報の徹底した利活用が可能になったことでしょう。個人情報の利用変更に対しては、本人の同意が必要とし、かつ、匿名化行為自体に対しても、匿名後の情報売買に対しても、利用目的の縛りと、本人同意の必要性を堅持してきたこれまでの見解を１８０度変更し、一定の要件、個人情報保護委員会規則の基準を満たすことで、また、匿名加工情報の取り扱いについての公表を行うことで、本人の同意なく、情報を利活用できることになったのです。果たして、この改正で「新産業の創出」になるか、また、「活力ある経済社会」が出来上がるか、まだまだ未知数が多く分かりませんが、大きな第一歩が踏み出されたことは間違いないでしょう。以上このサイトのトップへ牧野総合法律事務所弁護士法人