メインメニューをとばして、このページの本文エリアへ

西村あさひのリーガル・アウトルック

データ保護と利活用のバランスをとる法改正

石川 智也(いしかわ・のりや)

 個人情報がデータ化されサーバーに蓄積されるビッグデータ時代。事業者側ではデータの更なる有効活用を主張する一方、データの利用拡大によるプライバシー侵害などを懸念する声も根強い。そうした中、政府のIT総合戦略本部が今年6月をめどに個人情報保護法改正に向け、大綱とりまとめの作業を急いでいる。パーソナルデータの保護と利活用のバランスをとる法制への転換が狙いで、来年にも改正法案を上程する予定だ。日本の法制度のもとでパーソナルデータの利用はどこまで可能か、また、今回の法改正で企業のパーソナルデータの利活用はどのように変わるのか、石川智也弁護士が詳細に論じる。

 

 

パーソナルデータの利活用はどこまで可能か
~ビッグデータの活用とわが国の法制度~

西村あさひ法律事務所
弁護士 石川 智也

拡大石川 智也(いしかわ・のりや)
 2005年東京大学法学部卒業、2006年弁護士登録(司法修習59期)、現在西村あさひ法律事務所。M&A案件、株式買取請求などM&Aに関する紛争案件、インターネットビジネスに対する法的アドバイスを含め、企業法務全般にわたる各社へのアドバイスに従事。

 1 はじめに

 近時、ビッグデータ、特にパーソナルデータの利活用をめぐる議論がかまびすしい。

 政府は、2013年6月14日に「世界最先端IT国家創造宣言」を閣議決定して「データの活用と個人情報及びプライバシーの保護との両立に配慮したデータ利活用ルールの策定等を年内できるだけ早期に進める」等と宣言し、これを受けて、内閣官房の高度情報通信ネットワーク社会推進戦略本部(以下「IT総合戦略本部」という)の下に設置された「パーソナルデータに関する検討会」において、パーソナルデータの取扱いルール整備に向けた検討がなされた。この検討結果を踏まえ、2013年12月20日には、IT総合戦略本部が「パーソナルデータの利活用に関する制度見直し方針」を決定し、2014(本年)6月までに法改正の内容を大綱として取りまとめ、平成27年春の通常国会への法案提出を目指すとされている。また、企業の側も、ビッグデータを利活用したビジネスについての検討を進めており、最近では、実際にビッグデータを利活用したビジネスが相次いで開始されている。

 他方で、こうした動きに対しては、個人情報保護法や、個人のプライバシー権との関係で問題があるのではないかとの指摘がなされることも少なくない。どんなにビジネス上の有用性があるとしても、ないしは個人の利便性の向上につながるとしても、個人のプライバシー権が不必要に侵害されることはあってはならないことである。もっとも、現行の法制度の下で、何が個人情報保護法違反となり、プライバシー権を侵害するのかは明らかでなく、その結果、どこまでパーソナルデータの利活用ができるのかについては、必ずしも明らかでないように思われる。

 本稿では、現行の法制度の下でどこまでパーソナルデータの利活用ができるのか、また、今後の法改正によりそれがどのように変わる可能性があるのかについて論じてみたい。なお、本稿記載の見解はあくまで当職の個人的見解に過ぎず、当職が所属する法律事務所の見解ではないことに留意されたい。

 2 個人情報とは

 パーソナルデータの利活用に当たってまず問題となる法律は、「個人情報保護法」である。また、パーソナルデータの利活用がプライバシー権を侵害する場合には、民法上の不法行為も問題になり得る。他にも、パーソナルデータの利活用に当たっては、電気通信事業者による行為については「電気通信事業法」が、海外に展開する企業については海外のプライバシー保護法制が、それぞれ問題になり得るが、本稿では、紙面の関係から、パーソナルデータの利活用と、個人情報保護法、及び、プライバシー権侵害に基づく民法上の不法行為との関係を中心に説明する。

 まず、全てのパーソナルデータについて個人情報保護法が適用されるわけではない。個人情報保護法が適用されるパーソナルデータは、同法2条に定める以下の「個人情報」の定義に該当するものについてのみである。

 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(ほかの情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)〔筆者注:下線は筆者による。以下同じ〕

 そして、この「個人情報」をデータとして扱う者は、その利用目的を特定するとともに、その利用目的の範囲でしか個人情報を取り扱うことができない。また、個人データの安全管理のための必要な管理措置を講じなければならないほか、原則として本人の同意なくして第三者に個人情報を提供することが禁止される。

 このうち、パーソナルデータの利活用との関係では、最後の第三者提供の制限が特に重要である。即ち、「個人情報」の定義に該当するパーソナルデータを第三者に提供するためには、個人情報保護法に基づき、原則として本人の事前同意が必要となる。他方で、この定義に該当しないパーソナルデータについては個人情報保護法が適用されないため、個人情報保護法との関係では、本人の同意を得ることなくして第三者に提供することが可能である。

 ここで、上記の「個人情報」の定義をみると、「個人情報」が含まれたパーソナルデータから氏名を削除するなどして特定の個人を識別できない状態に加工すれば、その加工後のパーソナルデータは「個人情報」に該当しなくなり、本人の同意を得ることなくして第三者に提供することもできそうである。そうだとすると、現行の個人情報保護法の下でも、パーソナルデータ(以下では、「個人情報」が含まれた情報を加工することによって生成された情報を広く「パーソナルデータ」と呼ぶことにする。)の利活用は容易なのであろうか。しかしながら、答えは必ずしも単純ではない。主に、以下の法的論点が問題となる。

 3 パーソナルデータの利活用に際して検討が必要な法的論点

 (1)提供者における容易照合性・識別可能性

 パーソナルデータの利活用に際して検討が必要な法的論点の第一は、パーソナルデータを、特定の個人を識別できない状態に加工できたとしても、そこでいう「特定の個人を識別できるか」は(第三者に提供する場合の)提供者を基準に判断するべきと考えられている点である(なお、この点に関しては、受領者を基準に判断するべきという見解も有力に存在するが、ここでは見解の当否には立ち入らない。)。

 この見解によれば、パーソナルデータを、特定の個人を識別できない状態に加工した上で第三者に提供し、当該第三者の下では特定の個人を識別できないとしても、当該提供者の下で加工前の情報と対照するなどして加工後の情報から特定の個人を識別できる場合には、依然として加工後の情報も特定の個人を識別できる「個人情報」に該当することになる。

 この点、個人情報保護法上は、「ほかの情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」も「個人情報」に該当するものとされている。そのため、本人の同意を得ることなくして情報を第三者に提供するに当たっては、提供者において「他の情報と容易に照合することができない」か、「照合しても特定の個人を識別することができない」ことが必要である。

 このうち、前者の「照合容易性」については、伝統的に「それ自体では識別性を欠く情報につき、事業者において、特別な手間や費用を掛けることなく、通常の業務における一般的な方法で、個人を識別する他の情報との照合が可能な状態をいい、事業者間又は内部組織の間において組織的・経常的に相互の情報交換が行われているような場合」には、他の情報との照合が容易である場合に該当するものと解されている(園部逸夫編・個人情報保護法制研究会『個人情報保護法の解説〔改訂版〕』(ぎょうせい、2005)49頁)。そして、かかる解釈を前提に、各種ガイドラインでその具体的内容が示されており、それらに基づいた対処が可能である。

 具体的には、①第三者に情報を提供する部門が、識別可能性を喪失した加工後のデータのみを保有するほか、②当該部門に他の部門のデータベースへのアクセスを規程上・運用上厳格に禁止する等の情報遮断措置(ファイヤーウォール)を講じること等を通じて、「照合容易性」を失わせることにより、第三者に提供する加工後のデータを「個人情報」に該当しないと整理することが十分可能であると考えられる。

 (2)どのように個人識別性を喪失させるか

 より解決が難しいのは、そもそもいかなる場合にパーソナルデータが「特定の個人を識別することができるもの」に該当しなくなるか(個人識別性を喪失させられるか)である。この点については、次元の異なる問題が混在しているので、議論を整理して論じることとしたい。

 ① 個人識別性の喪失可能性

 まず、現行の個人情報保護法上は、特定の個人を識別できない状態までパーソナルデータが加工されていれば、当該情報は、個人識別性が失われ、「個人情報」には該当しないものとされている。そのため、特定の個人を識別できない状態のパーソナルデータの第三者提供については、個人の同意は不要ということになると解される(但し、後述するように、いったん個人識別性が失われた情報であったとしても、再識別可能性が残されている場合については、別途検討が必要である)。

 この点、真に特定の個人を識別できない状態にパーソナルデータが加工されているかについては、技術面から慎重な検討が必要である。前述のパーソナルデータに関する検討会の下に設置された技術ワーキンググループの2013年12月10日付けの報告書によれば、いかなる個人情報に対しても個人識別性を欠く情報となるように加工できる汎用的な方法は存在せず、個人情報の種類・特性や利用の目的等に応じて技術・対象を適切に選ぶことにより個人識別性を欠く情報に加工する必要があるようである。

 ② 再識別可能性

 上記①のとおり、パーソナルデータにつき、いったん個人識別性を欠く情報に加工することは可能であったとしても、昨今の技術の発展に伴い、その後にその他の情報と容易に照合して特定の個人を識別することができる場合があるといわれている。著名な例としては、米国でコンテストの参加者に提供した匿名化済みのユーザーの視聴履歴データから、一部の個人が特定されたために、連邦取引委員会(FTC)が調査を行い、訴訟が提起されるに至るなど問題となった事案が存在する。

 この点、現行の個人情報保護法との関係では、仮に第三者がその他の情報と照合することによって特定の個人を識別できたとしても、提供者にとって当該第三者が照合に用いた情報が容易に照合できる情報でないのであれば、情報提供者が提供した加工後のデータは前述の「照合容易性」の要件を満たさないと整理することも十分可能であると考えられる。この場合には、加工後のデータは、個人情報保護法上の「個人情報」には該当せず、当該情報を提供する際に本人の同意は不要と整理されるであろう。

 もっとも、企業の側としては、加工後のデータに基づき特定の個人を識別することが容易でないか技術的な面から検証を行う必要があることはいうまでもない。

 (3)プライバシー権との関係

 パーソナルデータの利活用に際して検討が必要な法的論点の第三であるが、以上の検討により、個人情報保護法との関係では、本人の同意を得ることなくしてパーソナルデータを第三者に提供できるとしても、別途プライバシー権の侵害が問題となり得る点には留意が必要である。

 この点、近時の裁判例の傾向に照らせば、プライバシー権の侵害が問題となるのは特定の個人が識別される場合であることから、個人情報保護法の適用が問題とならないような、個人識別性を喪失したパーソナルデータを第三者に提供することは、基本的には、プライバシー権侵害の問題を生ぜしめないと考えられる。

 しかしながら、それでもなお、個人識別性を喪失したパーソナルデータを第三者に提供することが、プライバシー権侵害の問題を生ぜしめる可能性が全くない訳ではない。具体的には、提供者にとっては容易ではないにしても、第三者が他の情報と照合することにより、実際に、加工したパーソナルデータから特定の個人が識別されてしまった場合である。この場合には、当該識別された個人により、当該提供者に対して、不法行為に基づく損害賠償請求がなされ得る(但し、過去の情報漏えい事案における裁判例では、一人当たり数千円から数万円程度しか認められていない)。また、その事実が世に明らかになった場合には、情報の提供者に対して監督官庁等による調査がなされることがあり得るほか、情報提供者のブランド力・情報提供者のサービスに対する顧客からの信頼が著しく低下するなど、事業に対して悪影響が及ぶおそれがある。

 従って、パーソナルデータを第三者に提供するに当たっては、個人情報保護法との関係をクリアするのみならず、実際に再識別化が行われないための措置を講じることによって、プライバシー権侵害が生じないようにする必要があると思料される。具体的な実務上の対応策としては、例えば、再識別可能性を低減するべく、第三者に提供する加工データの範囲は、当該第三者が実施するサービスに必要な範囲に限定するのが慎重と考えられるほか、情報受領者に対して、再識別化の禁止や、自らが提供したデータ自体を第三者に譲渡することの禁止(情報の受領者は、およそ個人を識別できる可能性のない統計データのみを第三者に提供できる)等を契約で義務付けることなどが考えられる。

 4 現行の個人情報保護法の下でのパーソナルデータの利活用の可能性

 このように、現行法の下でパーソナルデータを第三者に提供するためには、①パーソナルデータの第三者への提供につき本人の同意を得るか、②上記3(2)で述べたファイアーウォール体制等を構築した上で、パーソナルデータを「特定の個人を識別できない」情報に加工して第三者に提供することが必要である。もっとも、個人情報を「特定の個人を識別できない」情報に加工する際には、容易に特定の個人を再識別化できない状態であるとともに、「実際に」第三者が再識別化を行わない状況を確保することが重要であるということになる。

 これらの論点との関係では、上記①の場合には、いかなるタイミングで、どのように本人の同意を取得するか(同意の取得に際してビジネスのフローを阻害しないことが望ましい一方で、本人に理解の上で同意してもらうためにはそれが犠牲になることもあり得る)を検討する必要がある。また、上記②の場合には、個人情報の第三者提供に当たらないことから法的には必須でないことが明らかであるが、実務的には、ユーザーからの信頼感を獲得することを重視するとの判断から、特に、個人情報の第三者提供に当たらないとしても、当該情報自体がプライバシー性の高い情報である場合には、本人の希望次第で当該パーソナルデータの第三者への提供を行わない取扱いとするオプト・アウトの機会を付与するなど、その取扱いには慎重を期すべき場合もあろう。

 そのほか、①②の場合ともに、加工前のパーソナルデータが個人情報である場合には、利用の目的をできる限り特定するとともに、予めその利用目的を公表しなければならないといった点にも留意が必要である。近時、アンケートの際に、「統計的に処理した上で第三者に提供することがあります」といった形で、パーソナルデータの利活用を意識したと思われる利用目的をよく目にする。

 5 今後の法改正の見通し

 IT総合戦略本部が2013年12月20日に公表した「パーソナルデータの利活用に関する制度見直し方針」には、今後の法改正の見通しについて記載されている。本稿では、特に以下の2点を指摘しておきたい。

 第一に、保護されるべきパーソナルデータの範囲の拡張である。すなわち、現行法の下では「個人情報」に該当しないパーソナルデータについても、「実質的に個人が識別される可能性を有するもの」については、保護されるパーソナルデータとして法的保護の網がかけられることになるようである。これは、現行法上、個人情報保護法では保護されていないが、プライバシー権の対象としては保護されているパーソナルデータについて、法律で正面から保護の対象にしようとするものと整理できると思われる。

 第二に、「一定の条件」の下で、個人が特定される可能性を低減させた個人データについては、個人の同意を得ることなくして、第三者に提供することができるようになるようである。この点、「一定の条件」の内容については引き続き検討を要するようであるが、過去には、総務省のパーソナルデータの利用・流通に関する研究会報告書において、米国での議論(FTC3要件)を参考に、①適切な匿名化措置を施していること、②匿名化したデータを再識別化しないことを約束・公表すること、③匿名化したデータを第三者に提供する場合は、提供先が再識別化することを契約で禁止すること、という3要件が示されている。この改正については、パーソナルデータの第三者提供につき、一定の範囲でお墨付きが得られる点で、パーソナルデータの利活用を円滑にするものとの評価が一般的なようである。しかしながら、上記②の約束・公表に実効性を持たせるための仕組みとしては、米国と同様の法執行の制度(第三者機関による制裁金)を課すような仕組みも議論されており、改正の内容によっては、各国の競争法や米国FCPA(Forein Corrupt Practices Act)や英国Bribery Act等の贈賄禁止規制法と同様の、企業のコンプライアンス上、特に留意が必要な事項の一つとなる可能性すらある(この点に関連して、海外に眼を転じると、2013年の10月21日に欧州議会において承認されたEUデータ保護規則案においては、同規則のEU域外への適用を認めるとともに、EUデータ保護規則に違反した管理者・処理者に対して、監督機関が、最高1億ユーロ又は全世界での年間売上高の最大5%まで課徴金として課すものとされており、我が国の事業者にとっても今後その動向については十分な注意が必要である)。今後の議論の推移を見守りたい。

 6 まとめ

 以上のとおり、現行法上、パーソナルデータの利活用がどこまで可能かという観点を中心に概観した。実際の検討に際しては、全体のビジネススキーム(第三者提供以外にも、第三者委託、共同利用の形態や、業務提携・ジョイントベンチャーでの情報共有など)や取り扱う情報の性質などに応じて検討するべき法的論点があるほか、それらの検討を踏まえて、契約の作成、社内規程・体制の整備など、実現に向けて取り組むべき論点は少なくない。

 もっとも、慎

この記事の続きをお読みいただくためには、法と経済のジャーナルのご購読手続きが必要です。

朝日新聞デジタル購読者(フルプラン)の方なら手続き不要

法と経済のジャーナル Asahi Judiciaryは朝日新聞デジタルの一部です。
有料(フルプラン)購読中の方は、ログインするだけでお読みいただけます。

朝日新聞デジタルのお申し込みはこちら

石川 智也(いしかわ・のりや)

 2005年に東京大学法学部第一類卒業、2006年に弁護士登録(司法修習59期)。2015年にバージニア大学ロースクール卒業(LL.M.)、2016年にミュンヘン知的財産法センター卒業(LL.M.)、同年にNoerr法律事務所ミュンヘンオフィス勤務。2017年に米国NY州弁護士登録。現在、西村あさひ法律事務所パートナー。
 データの保護と利活用に関する法制度を専門としており、日本の個人情報保護法・GDPRをはじめとするグローバルでのデータ規制への対応について多くの日本企業へのアドバイスに従事。
 近著に『個人情報保護法制と実務対応』(商事法務、共編著、2017年)、『資本・業務提携の実務〔第2版〕』(中央経済社、共編著、2016年)、『秘密保持契約の実務 作成・交渉から平成27年改正不競法まで』(中央経済社、共著、2016年)。

Facebookでコメントする

ご感想・ご意見などをお待ちしています。