1. 大学にとっては学籍番号も個人情報である。
2. 学籍番号は、外部の人たちからみると、特定個人を識別できないから個人情報にはあたらない。
3. 学籍番号は、外部の人たちからみると、容易に氏名等と照合できないので、個人情報にはあたらない。
【答え】
1. ○
2. ×
3. ×
【解説】
1.個人情報の定義
はじめに個人情報保護法第2条第1項に定める「個人情報」の定義を確認します。何度もくどいくらい登場しますが、基本中の基本ですので暗記するくらい読んでおきましょう。
しかし、いくら読んでも、今回の疑問は解消できませんね。特定個人が識別できるか否か、いったい「誰」を基準に判断すべきなのか、条文には明確に書いていないからです。
2.「個人情報」の定義に関する論点
実は、個人情報保護法における「個人情報」の定義、保護の対象に関する極めて重要な概念に次のような論点が残されているのです。主務大臣の作成したガイドライン(告示)を見ても、主要な基本書を見てもよくわからないのです。
(1)識別性判断の主体
特定個人の識別性は誰を基準として判断するのか?ということです。以下の3つの基準が考えられます。
1. 当該情報を取り扱っている「個人情報取扱事業者」を基準として判断する。
2. 当該情報を取り扱っている個人情報取扱事業者の「従業者」を基準として判断する。
3. 一般的な「個人」(通常人)を基準として判断する。
(2)容易照合性の主体
他の情報と容易に照合可能であるか否か誰を基準として判断するのか?ということです。これも以下の3つの基準が考えられます。
1. 当該情報を取り扱っている「個人情報取扱事業者」を基準として判断する。
2. 当該情報を取り扱っている個人情報取扱事業者の「従業者」を基準として判断する。
3. 一般的な「個人」(通常人)を基準として判断する。
(3)問題文にあてはめてみましょう
「大学にとっては学籍番号も個人情報である」というのは、1の説に従った考え方を採用しているということになります。
「学籍番号は、外部の人たちからみると、特定個人を識別できないから個人情報にはあたらない」「学籍番号は、外部の人たちからみると、容易に氏名等と照合できないので、個人情報にはあたらない」というのは、3の説に従った考え方を採用しているということになります。プライバシーの権利が侵害されているかどうかを考えるときは、一般人を基準に評価することが多いわけですから、3のように考えるというのも無理からぬところはありますね。
たとえば、新潟大学法学部の掲示板の張り紙は、学籍番号のみを表記して氏名を伏せています。一方、数ヶ月前に中央大学法科大学院に行ったときには、従前通り学生の氏名を張り出しておりました。実態は結構ばらばらのようです。統一された解釈があるのかどうか、あったとしても一般に浸透していないようにも見受けられますね。
経済産業省等各役所の解釈運用などをみていると、事業者規制という性質から事業者においてどうかということに着目して判断している。要するに説1が行政の第一次的判断ということがいえるだろうと思います。「第一次的」判断というのは、最終的には司法判断(最高裁の判決)で決まるということを言っています。それまでは、一般的に権限を有する行政の判断にそって運用されることになります。
したがって、1を正解としました。
(4)その他の問題
このように、基本中の基本であるべき「個人情報」の定義が、意外にもぐらぐらしているところがあるのですね。ある人にとっては自明のことでも、世の中を見渡すと意外と混乱したままの状態であったりします。
この他にも、容易照合性の判断における、「他の情報」の範囲はどこまでか、「他の情報」とは、今取り扱っている情報以外の全ての情報のことを言うのか、ではインターネットで検索して照合できる範囲も入ってしまうのか、それとも自社で管理している範囲での「他の情報」なのか、一定の範囲に限定されると解するのか。
また、「照合」とは何か、リレーショナル・データベースは内部構造が常に照合です。ここではデータベース相互間の結合、特に組織を超えた照合に着目して規制しているのか、さらには、電子割符や暗号のケースも、この容易照合性判断の問題として解釈していくのか否かなど、個人情報の定義1つだけでも悩ましい問題はたくさん残っています。ここでの迷いは、法の義務規定すべてにわたって影響します。
しかも、ここで指摘したことは、けしてレアケースではありません。普通の会社で日常的に起きているありきたりのことばかりなのです。
(5)過剰反応ばかりが混乱の原因ではない
いわゆる過剰反応にみられる個人情報保護法の混乱は、国民の法への無理解によるものだとされましたが、実は法の混乱は、それだけが原因ではないということが、このことからもわかってくると思います。
国民への啓発ということを言う前に、こうした基本的な論点についてその解釈を明らかにしていくことが必要です。
それから、法解釈にあたっても、単なる決めの問題として割り切るだけではなく、なぜそう考えるのか、その哲学を明らかにしなければなりません。多種多様な事業者が多種多様な個人情報を多種多様な局面で取り扱っています。包括的に規制するのもいいのですが、そこでは基本となる考え方をしっかりと訴えるものでないといけません。
起草者がそう考えたからそうなのだ、では説得にもなりません。法解釈とはいえないのですが、意外と専門家の中ではそれを容認してしまうところもあるようです。
個人情報保護法は、いわばプライバシー情報を守るための手段、手続を定めたものだという説明をしていた先生もおりましたが、それにしてはプライバシーの権利の考え方と齟齬するところが多すぎはしないか、素人が素人なりに迷うのは、何も法を知らないからという理由だけによるものではなくて、そもそも考え方がぶれているからではないか。そう思わずにはいられません。
さて、今回の解答に納得できたでしょうか?
鈴木 正朝(すずき・まさとも)
新潟大学法科大学院 教授
1962年4月生まれ。
中央大学大学院法学研究科博士前期課程修了 修士(法学)、情報セキュリティ大学院大学博士後期課程修了 博士(情報学)。専門は情報法。
ニフティ(株)を経て、現職。この間,山口大学,京都女子大学等の非常勤講師、(独)メディア教育開発センター客員教授を兼任。学外活動として、情報ネットワーク法学会理事、経済産業分野個人情報保護ガイドラインやJISQ15001の作成やプライバシーマーク制度の創設にかかわる。
主著は『個人情報保護法とコンプライアンス・プログラム』(商事法務)岡村久道弁護士との共著『これだけは知っておきたい個人情報保護』(日本経済新聞社)は、 2005年のベストセラーとなる。その他著書論文多数。
ホームページ:http://www.rompal.com/
鈴木氏執筆の過去掲載コラムはこちら
『どんと来い、個人情報保護法』
[イラスト]
加藤 豪(かとう ごう)
大阪府出身。ユーモアを含んだ勢いとコントラストの強いカラーのイラスト、人の心理をテーマにしたちょっとシュールな4コマ漫画、短編等を制作しています。
■ホームページ : http://www.occn.zaq.ne.jp/kato5/