昨日は、東大で「超セキュアシステム研究会」が行われた。
超セキュアシステム研究会
(代表 坂井 修一 東京大学大学院情報理工学系研究科長)
情報法部会
(主査 鈴木 正朝 新潟大学法学部 教授)日時:2016/03/24 17:00- 20:00
場所:東京大学工学部2号館12階 電気系会議室4報告1:「匿名加工情報」と個人情報における容易照合性概念の整合性(30分)
NTTセキュアプラットフォーム研究所 藤村 明子、間形 文彦
(意見交換:30分)報告2:「個人情報」の定義(30分)
国立研究開発法人産業技術総合研究所 高木 浩光
(意見交換:30分)
私は、1時〜5時半まで機械振興会館でJIS X 29100 プライバシー・フレームワークの審議を行ってから遅刻して駆けつけたので、藤村さんの発表はほとんど聞けずに、高木さんの発表を聞いた。
意見交換では、「ファイル単位の照合性」や「linkabilityとidentifiability」などについて、かなり熱い議論が続いた。正直、ついていけなかった。JISの審議を4時間半もしたあとで、疲れていたせいでついていけないのかとも思ったが、議論を聞いていて、発言者の間で前提知識の共有ができておらず、言葉の定義もすれ違っていて議論がかみ合っていなくてついていくのがさらに難しくなっているようにも見えたので、定義をまずちゃんとやってくれいうと発言したが、ほぼそこで時間切れで部屋を追い出される格好になった。
その後、恒例の懇親会で、家に戻って11時頃から高木さんといろいろ教えていただいた。日本の個人情報保護法の変遷とその逐条解説による本来の意味〜日本の場合は、一定のレコード構造を持ったものが積み重なっているデータベースが対象〜とか、また、EUにおいても、データ保護指令やデータ保護規則案などで、対象scopeは自動処理されるfiling systemに含まれるないしは、入れられることを意図されるstructuredな情報であるとも教えていただいて、ようやく研究会での高木さんの話とつながってきた1。
一方で、だとすると、EUでのGoogleに対する忘れられる権利がなぜデータ保護法にもとづいて認められたのかというのが分からず、(url, keyword)という構造と見たのだろうかというような話もしていた。
結局、おやすみなさいしたのは、朝の5時半、実に6時間半も話していたことになる。
ただ、EUの判決はやはり腑に落ちないので、おやすみなさいしてから、個人的にさらに勉強してみた。その結果分かったのは、どうもEU GDPRとかの対象は、上記の会話で想定していたのとちょっと違いそうかなということだ。この辺は有識者に再度確認して教えてほしいのだが…。
icoの出している文書、『What is personal data? – A quick reference guide Data Protection Act 1998』2や『Determining what information is ‘data’ for the purposes of the DPA 』3を見てみよう。すると、対象になる情報は、
(i) information processed, or intended to be processed, wholly or partly by automatic means (that is, information in electronic form usually on computer);
(ii) information processed in a non-automated manner which forms part of, or is intended to form part of, a
‘filing system’ (that is usually paper records in a filing system)(出所) ico『What is personal data? – A quick reference guide Data Protection Act 1998』
であって、Directiveの(27)や、それを引き継いでもっと読みやすくしている GDPRの
The protection of individuals should apply to processing of personal data by automated means as well as to manual processing, if the data are contained or are intended to be contained in a filing system.
Files or sets of files as well as their cover pages, which are not structured according to specific criteria, should not fall within the scope of this Regulation.
というのは、
(The protection of individuals should apply to processing of personal data) by
(automated means)
as well as
(to manual processing, if the data are contained or are intended to be contained in a filing system.)
と読むべき、つまり対象とするのは『パーソナルデータが(自動処理される場合)及び(手動処理だが、その対象がファイリング・システムに含まれるか含まれることを意図している場合)』で、「,」以降のif文は「manual processing」にかかっていることになっている。さらに、ここの「ファイリング・システム」とは情報システムではなく、通常、紙ファイル4のことである。またその次の文の
Files or sets of files as well as their cover pages, which are not structured according to specific criteria, should not fall within the scope of this Regulation.
でいう structured according to specific criteria というのは、「一定の基準で並べ替えられているなど検索性を有すること」であって、同じ形式の帳票とか、同じフォーマットのレコードという意味ではないということになる5。
そうすると、研究会やその後のお話とは違って、EUと日本で法の立て付けが違うことになり、EUでのGoogleに対する忘れられる権利がなぜデータ保護法にもとづいて認められたのかというのは、疑問の余地が無くなる。
しかし、前提知識が多くて難しい。
EUにおける対Googleの忘れられる権利の判決はデータ保護法にもとづくのに対して、東京地裁のは個人情報保護法にもとづくのではなく(←散在情報との建付けなり、個人情報保護法の規制の範囲外)不法行為法などの適用によるものとなって、外形的にはそっくりだけど、法的建付けが全く異なるなどということ、法律を専門にしている人以外に前提知識として求めるのは酷だと思う。超セキュア研究会のような学際的な場で建設的な議論をしようとしたら、こういうところも含めて、丁寧に積み重ねて土俵を作ってから議論して行かないと、なかなか議論が収束しないのではないかとの感を深めた徹夜明けの朝であった。
脚注
- その他、ISO/IEC 20889や29191、ISO/IEC 29100のPIIとPII2.0, Personal Dataの関係、FTC Staff Reportの建付けと考え方などの話もしたのだが、それはまた別途。
- https://ico.org.uk/media/for-organisations/documents/1549/determining_what_is_personal_data_quick_reference_guide.pdf
- https://ico.org.uk/media/for-organisations/documents/1609/what_is_data_for_the_purposes_of_the_dpa.pdf
- manila fileなどはもちろん、もっとざっくりキャビネに入れて、一定の基準で検索して取り出せるようにしたものも含む
- ただ、これはあくまで手動の場合の話なので、そもそもstructuredとかなんとかが、自動処理される情報システム内での処理を考える場合には無関係