読者です 読者をやめる 読者になる 読者になる

第1回 個人情報保護法ガイドライン案の解説(1):定義

1.はじめに:個人情報保護法ガイドライン(案)の位置付け

 平成27年9月3日、個人情報保護法施行後10年ぶりとなる大幅な改正が行われ、同月9日に公布された。そのうち個人情報保護委員会に関する部分等一部は平成28年1月1日に施行されており、本格施行は平成29年春に予定されている。この改正法については平成28年10月5日に公示された個人情報の保護に関する法律施行令の一部を改正する政令および個人情報の保護に関する法律施行規則において、その行政解釈・運用の基準が一定程度示されたところである。

 もっとも、政令・規則の制定を受けてもなお行政解釈・運用基準について不透明な部分が残っている。このような状況の中、平成28年10月4日、個人情報保護委員会は、以下の4つのガイドライン案を公表した。

①個人情報の保護に関する法律についてのガイドライン(通則編)(以下「通則編」という)
②個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(以下「外国にある第三者への提供編」」という)
③個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録編)(以下「第三者提供時の確認・記録編」という)
④個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)(以下「匿名加工情報編」という)

 ①通則編が約100頁、それ以外の②~④が各約30頁であり、合計約200頁にも及ぶ大部のものとなっている。

 改正前の個人情報保護法下においてはいわゆる主務大臣制のもとにおいて各省庁がその所掌範囲ごとに個人情報保護法のガイドラインを示していたが、改正個人情報保護法により個人情報保護委員会が設立されるに伴い、すべての分野に共通に適用される汎用的なガイドラインを一元的に策定する方針となった(もっとも、一定の分野については当該分野ごとの別途の規律がなされることも検討されている。パブコメ〔下記「凡例」参照〕958番、959番参照)。

 すなわち、今回公表されたガイドライン案は、いわば「実務コンメンタール」とでも呼ぶべき機能を果たしていくことと思われる。もっとも、個人情報・プライバシー分野を専門にする弁護士であればともかく、企業法務部門等で改正個人情報保護法対応を担当する担当者が、これらの内容をすべて熟読することはあまり現実的ではないだろう。

 そこで我々は、本連載の第1回から第5回の全5回にわたって、ガイドライン案の解説を行う。各回が取り扱う内容(予定)は次の通りである。

 ■第1回 定義
 ■第2回 個人情報の取得・第三者提供
 ■第3回 外国第三者提供
 ■第4回 匿名加工情報
 ■第5回 安全管理その他

 解説を行う際には、ガイドライン案の詳細な内容を解説していくのではなく、改正個人情報保護法、政令および規則レベルでは明確ではなかったところガイドライン案において初めてその行政解釈・運用基準が明らかになった部分を中心とする。また改正前個人情報保護法と行政解釈・運用基準に変化がみられない部分については、適宜割愛している。特に通則編に関しては、すべてを詳細に解説しているわけではないので、ご留意願いたい。

 なお、このような解説の前提となる、個人情報保護法の改正の概要、特に改正個人情報保護法施行令および施行規則の概要については、すでに大島のブログ上で私たち3名が公開している「個人情報保護法に関する政令案及び規則案の概要」を参照されたい。

【凡例】
法   個人情報の保護に関する法律(平成 15 年法律第 57 号)
政令  個人情報の保護に関する法律施行令(平成 15 年政令第 507 号)
規則  個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第3号)
改正法 個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成 27 年法律第 65 号)
パブコメ 個人情報の保護に関する法律施行令の一部を改正する政令(案)」および「個人情報の保護に関する法律施行規則(案)」に関する意見募集の結果について(平成28年10月5日公示)

 

2.通則編について

 通則編は、個人情報保護法の「定義」および「義務」について、項目ごとに、関連する法律・ 施行令・施行規則の条文を掲載したうえで、その基本的な解釈を記載する内容になっている。通則編はすべての行政解釈の基礎となるものであるが、その汎用性を維持するために、詳細な解説、事例等は必要に応じてQ&Aや事務局レポートその他の解説資料等において記載することを検討している状況であり、最終的には今後公表されるQ&A等も見ていく必要があろう。
 すでに述べた通り詳細な解説はできないものの、通則編において着目すべき点について、以下で解説を加える。

 

3.個人識別符号

 個人識別符号については、2点重要な点がある。

・民間の番号

 1つ目は、政令1条および規則2~4条が定めるものが個人識別符号であることが確認された点である(通則編2-2)。これは当然といえば当然であるが、特に改正法2条2項2号が「個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ……た文字、番号、記号その他の符号」という形で、法のレベルではいわゆる2号個人識別符号につき民間の番号が想定されている文言であったものの、政令1条2号以下ではいわゆる公的番号についてのみが規定されたという点に留意が必要である。

 政令1条および規則2~4条に限定列挙されたもののみが個人識別符号であることから、2号個人識別符号については公的番号のみとなり、民間の番号は個人識別符号にはならないことが確認された。

・個人識別符号

 2つ目は、いわゆる1号個人識別符号、それもDNAに関してはかなり詳細な規定を設けたことである。

 政令1条1号は、いわゆる1号個人識別符号である生体認証データについて、概ね、ゲノムデータ(イ)、容貌(ロ)、虹彩(ハ)、声紋(ニ)、歩行(ホ)、手の静脈(へ)、指紋または掌紋(ト)を定めたうえで、「特定の個人を識別することができる水準が確保されるよう、適切な範囲を適切な手法により電子計算機の用に供するために変換」(規則2条)した文字、番号、記号その他の符号のみが1号個人識別符号であるとする。このように、政令・規則レベルでは、ゲノムデータや容貌等のカテゴリはわかっても、何が「適切」な範囲で、何が「適切」な手法かがよくわからないところであった。

 この点ガイドライン案は、ゲノムデータについて「ゲノムデータ(細胞から採取されたデオキシリボ核酸(別名 DNA)を構成する塩基の配列を文字列で表記したもの)のうち、①全核ゲノムシークエンスデータ、②全エクソームシークエンスデータ、③全ゲノムSNP データ、④互いに独立な40か所以上のSNPから構成されるシークエンスデータ、⑤9座位以上の4塩基STR等の遺伝型情報により本人を認証することができるようにしたもの」(通則編2-2イ。囲み番号は筆者による)というかなり詳細な基準を規定している。

 この意味は、フルゲノムであることは必ずしも求められず(パブコメ55番参照)、①~⑤のどれかに当てはまるもので本人認証に用いるものあれば、個人識別符号となるということである。具体的な数字が記載されていることには賛否があろうが、実務的には、要件該当性が比較的明確になったといえるだろう。

 これに対し、容貌(ロ)、虹彩(ハ)、声紋(ニ)、歩行(ホ)、手の静脈(へ)、指紋または掌紋(ト)については、概ねこれらに関する身体の特徴から抽出した「特徴情報を、本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの」とされている(なお、施行令1条1項1号ニにおける声紋の定義方法についてパブコメ115番参照)。数値基準はなく、精度が悪く、他人なのに本人と混同する確率(他人受入率)や、本人なのに認証できない確率(本人拒否率)が高いものでも、理論的には個人識別符号になりうるということである。この点は、「本人を認証することができる」という以上は、本人認証方法としてある程度実用的なものであることが想定されているのではないかと思われるが、現時点では必ずしも明らかではない。

 

4.要配慮個人情報

 要配慮個人情報については、法2条3項、政令2条および規則5条がこれを定義するが、ガイドライン案ではその文言について解説がなされている(通則編2-3)。

・推知情報

 総論として「〔各要配慮個人〕情報を推知させる情報にすぎないもの(例:宗教に関する書籍の購買や貸出しにかかる情報等)」(推知情報)は、「要配慮個人情報には含まない」とする(通則編2-3)。推知情報については改正法案制定前から総論的に解釈論として要配慮個人情報から除外されるものと考えられてきたが、ガイドライン案において初めてその行政解釈が明示された。このような推知情報を要配慮個人情報に含まない趣旨は、無限定に要配慮個人情報を広げないためと理解される。

・人種

 人種(法2条3項)については「人種、世系又は民族的若しくは種族的出身を広く意味する」と定義されている(通則編2-3(1))。ここで、国籍、外国人であること、肌の色が人種に該当しないことが明らかにされた(通則編2-3(1))。国籍、外国人は「法的地位」にすぎないため、差別の要因にはならず、人種差別撤廃条約でも規律の対象外となっていることから「人種」該当性が否定される一方で、肌の色については推知情報と整理されたものと理解される。

・信条

 信条(法2条3項)については「個人の基本的なものの見方、考え方を意味し、思想と信仰の双方を含むものである」と定義されている(通則編2-3(2))。要配慮個人情報は憲法14条1項後段の平等原則を基礎に定められており、憲法14条1項の「信条」については広狭さまざまな学説が提案されているが、そのうち当該定義を提唱する解釈を採用したものと理解される。もっとも、この定義においても信条の範囲は必ずしも明らかではなく、実務上は、憲法学説も参考にしつつ、当該定義に該当する範囲を今後公表されるQ&A等も参照しながら確定していく作業が必要となる。

・社会的身分

 社会的身分(法2条3項)については「ある個人にその境遇として固着していて、一生の間、自らの力によって容易にそれから簡単に脱し得ないような地位」と定義されている(通則編2-3(3))。単なる職業的地位や学歴は含まないとされた(通則編2-3(3))。典型的には被差別部落出身であること、非嫡出子であることが挙げられるだろう。

・病歴

 病歴(法2条3項)については「病気に罹患した経歴を意味するもので、特定の病歴を示した部分」と定義されている(通則編2-3(4))。例としてガンに罹患していること、統合失調症を患っていること等が該当する(通則編2-3(3))。なお、風邪等の一般的かつ軽微な疾患については病歴から除外するよう求める見解も強かったが、病歴に含まれることになった(パブコメ156番)。

・犯罪の経歴

 犯罪の経歴(法2条3項)については「前科、すなわち有罪の判決を受けこれが確定した事実」と限定的な定義がされた(通則編2-3(5))。有罪判決確定に至るまでの情報は「犯罪の経歴」には該当しないものの、後述の「刑事事件手続」に該当するので留意が必要である。

・犯罪により害を被った事実

 犯罪により害を被った事実(法2条3項)については「身体的被害、精神的被害及び金銭的被害の別を問わず、犯罪の被害を受けた事実」とされた(通則編2-3(6))。この「犯罪」については、有罪判決等の限定はないものの、それが単なる不法行為等ではなく「犯罪」であることが相当程度以上明らかである必要があると思われる。

・心身の障害

 心身の機能の障害(政令2条1号)については、規則5条所定の心身の機能の障害があること、または過去にあったことを特定させる情報をいうとされた(通則編2-3(7))。医師等による診断の事実や障害者手帳等の所持等だけではなく、「本人の外見上明らかに」「障害があること」も要配慮個人情報に該当するが(通則編2-3(7))、このような「外形上明らかな要配慮個人情報」については、目視や撮影による取得の場合について特別な例外(政令7条1号)があることに留意が必要である。

・健康診断等の結果等

 健康診断等の結果(政令2条2号)については、疾病の予防や早期発見を目的として行われた健康診査、健康診断、特定健康診査、健康測定、ストレスチェック、遺伝子検査等、 受診者本人の健康状態が判明する検査の結果が該当する(通則編2-3(8))。異常値だけではなく、結果がたとえば「正常」だったり、数値が正常の範囲内にあっても、要配慮個人情報となる(パブコメ208番)。なお、健康診断等を受診したという事実は該当しない(通則編2-3(8))。また、身長、体重、血圧、脈拍、体温等の個人の健康に関する情報を、健康診断、 診療等の事業と無関係に取得しても、これに該当しない(通則編2-3(8))。

 健康診断等の結果に基づく指導・診療・調剤等(政令2条3号)のうち、指導については、医師または保健師が行う保健指導等を受けた事実やその内容が該当する(通則編2-3(9))。診療については、診療の過程で、患者の身体の状況、病状、治療状況等について医師等が知りえた情報すべてを指し、診療記録等が該当し、受診の事実も含まれる(通則編2-3(9))。調剤については、調剤の過程で患者の身体の状況、病状、治療状況等について、薬剤師が知りえた情報すべてを指し、調剤録、薬剤服用歴、お薬手帳に記載された情報等が該当し、調剤を受けたという事実も該当するとされる(通則編2-3(9))。

 なお、遺伝子検査の結果も健康診断等の結果(政令2条2号)に含まれることがある(通則編2-3(8))。

・刑事手続・少年保護事件手続

 刑事手続(政令2条4号)については、「本人を被疑者又は被告人として刑事事件に関する手続が行われたという事実」であるとされた(通則編2-3(10))。あくまでも、本人に対する刑事手続であり、たとえば、Aについての殺人被疑事件についてBが取調べを受けたり証人尋問を受けた事実は、Bに関する要配慮個人情報ではない(通則編2-3(10)参照)ことには留意が必要である。

 少年保護事件手続(政令2条5号)については「本人を非行少年又はその疑いのある者として、保護処分等の少年の保護事件に関する手続が行われた」事実とされた(通則編2-3(11))。

 

5.個人情報データベース等からの除外(個人データからの除外)

 経産省ガイドラインでは、電話帳等については、個人情報としての取扱いを不要とする旨の記載があった(経産省ガイドライン2-1-4は「その利用方法からみて個人の権利利益を侵害するおそれが少ないことから、個人情報取扱事業者の義務(2-2.個人情報取扱事業者の義務等)を課されないものと解釈する」とした)。

 政令3条1項は、法2条4項柱書を受け、適法に発行され、不特定多数に市販されていること等一定の要件を満たすものを利用方法からみて個人の権利利益を害するおそれが少ないものとして個人情報データベース等から除外し、その結果、そこに掲載される個人情報は個人データから除外される。

 ガイドラインでは具体的事例として「市販の電話帳、住宅地図、職員録、カーナビゲーションシステム等」(通則編2-4)を挙げている。あくまでも生存する個人に関する他の情報を加えることなくその本来の用途に供している(政令3条1項3号)ことが前提であるが、これらについては個人データとしての扱いは不要である。なお、電話帳は無償頒布されるが、住んでいる場所以外の地域については不特定かつ多数の者に対して広く有料で販売されているのでこの要件を満たす(パブコメ271番)。

 個人情報データベース等から除外されるためには、当該電話帳や住宅地図等が「販売」され、「購入」できることが要件とされていることにも留意が必要である。その理由として、無償で頒布されている名簿等は、市販されている名簿等に比べて作成、頒布した事業者が不明確であることが多く、意図せず漏えいした個人情報を利用したものである可能性もあることから、入手した事業者において安全管理措置等が講じられる必要があるものと考えられるとの点が挙げられている(パブコメ268番)。

 

6.その他

 これ以外の定義に関する問題、たとえば匿名加工情報の定義等については、通則編ではなく匿名加工情報編に詳細が記載されていることから、第4回で検討する予定である。

(加藤伸樹・大島義則・松尾剛行)