2014年末に出された骨子(案)をベースに、各消費者団体・業界団体・行政間での水面下の調整が行われていた個人情報・パーソナルデータ論議の嵐も、政府与党から「個人情報保護法改正に関する提言」が出されたこともあって、この2月半ばになってようやくおさまってきた感じがします。
▼個人情報保護法とマイナンバー法改正案の概要を公表、マイナンバー等分科会(ITpro)
IT総合戦略本部のマイナンバー等分科会は2015年2月16日、開会中の通常国会に提出する個人情報保護法と行政手続き番号法(マイナンバー制度)の改正案の概要を公表した。個人情報保護法改正では「個人情報の定義の拡充」や「利用目的の制限の緩和」という文言が消え、マイナンバー制度では預貯金口座への付番や医療分野での利用範囲の拡大などを盛り込む。
個人情報保護法改正案の概要では、2014年12月のパーソナルデータ検討会で示された骨子案の「個人情報の定義の拡充」が、「個人情報の定義の明確化(身体的特徴や個人に発行される符号などが該当)」となった。
ソースはこちらですね。
▼個⼈情報の保護に関する法律 及び ⾏政⼿続における特定の個⼈を識別するための番号の利⽤等に関する法律の⼀部を改正する法律案(概要)
数年後にEUの十分性認定を取ろうとするには、4の個人情報保護委員会の権限が弱すぎるのでは・・・という将来への懸念もありますが、目先の立法論として残る大きな論点としては1の「個人情報の定義の明確化」がどのようになされるのか、という点に絞られてきたように思います。
この点につき、個人情報の定義は広げないとする報道が散見されるものの、報道後とあるご高名な先生を囲んだ勉強会で伺ったところでは、
- 具体的な定義は保護法本体に書かれるのではなく、政令に委任される
- その政令の定義の粒度としては、身体的特徴=「指紋データ」や個人に発行される符号=「パスポート番号」のほか、「携帯電話番号」が列挙される程度には具体的なものになる
4. 個人情報の定義(範囲)の拡大は行わないこと。現状においては、個人情報か否かを明確に線引きすることが困難であり、新たなグレーゾーンと萎縮効果を拡大しかねないものである。他方、個人情報とは言えないものの、メールアドレスや携帯電話番号のように、それ単体が本人の意思に反して提供・流通することにより、個人のプライバシーへの影響が小さくないものがあることから、委員会が規定するこのような情報の第三者提供ついては、取扱事業者が自主ルールを定めるなどの対応とすること。
と、メールアドレスや携帯電話番号は「(それ単体では)個人情報とは言えない」「自主ルールで対応」とする立場ですから、まだまだ見解の相違と調整の必要がありそう。
このような中で、改正保護法+政令で個人情報として列挙するもの/しないもののボーダーラインをどういう基準で仕切るべきか?内閣府の方もいまごろ頭を悩ませている部分だと思います。たとえば、事務局案と政府与党提言とで取り扱いが食い違う「携帯電話番号」ひとつにしても、これを個人情報として政令に明記することは、市民感情としては理解できなくもありませんが、一抹の不安と違和感を感じています。この違和感はどこからきているのかを探るべく、今の私の頭の中の基準を表してみたものが、以下のマトリックスです。
▼変更困難性 × 容易照合性マトリックス
以前「識別・特定 × 容易照合性マトリックス」というのを書いてツッコミを多数頂いたにもかかわらず、また懲りずに同じようなものを作ってしまいました。容易照合性のヨコ軸はそのままに、当該情報と特定個人との紐付きの強さ/切り離しやすさをボーダーラインの一つの基準にしてみてはどうかというアイデアです。列挙している情報項目は、骨子(案)等で例示されていたものから拾ってみました。
生体情報は逆立ちしても変更しようがないので、トッププライオリティになるのは異論がないところでしょう。これに対して、行政から付与される番号なんかは、手続きとコストさえ踏めば変更できるようにすればいいのにという気がします。また、争点の携帯電話番号などは、2年に一度の機種変更のタイミングを少し前倒してついでにMNPもお断りすれば変更できる情報、という見方もできるかもしれません。このように、特定個人との紐付きが解除可能なものについて、どこまで個人情報として法で保護すべきか、という問いになります。
そういえば勉強会では、「いちばん大事な部分を法律に定めずに政令に委任してしまうのは、憲法上問題ないのか?」という議論もありました。私は、ある程度のフレキシビリティを法令に持たせるためにその一部を政令に委任するのはしょうがないにしても、保護法の条文上に、政令委任にあたっての考え方・趣旨・委任の範囲を限定する文言は入れていただく必要はあるんじゃないかな、と思います。
