番号法案を読めば個人番号がどのように扱われるのかはわかるのだが、それに伴って住民票コードの利用方法がどのように変わるのか不明なため、「行政手続における特定の個人を識別するための番号の利用等に関する法律案の施行に伴う関係法律の整備等に関する法律案」(以下「整備法」という。)から住民票コードの利用に関わる主な規定を時系列に抜き出してみた。
政府提供の新旧対照表で削除新設とされている条項も新旧比較の対象としているので、より実態に近い形で改正内容が把握できるようにしている。
2013年5月11日土曜日
2013年3月20日水曜日
番号法案第16条(本人確認の措置)の階層表示と真正性確認の義務について
第180回国会提出マイナンバー法案
(本人確認の措置)
第十二条 個人番号利用事務等実施者は、前条第一項の規定により本人から個人番号の提供を受けるときは、当該提供をする者から第五十六条第一項に規定する個人番号カードの提示を受けることその他その者が本人であることを確認するための措置として政令で定める措置をとらなければならない。
第183回国会提出番号法案
(本人確認の措置)
第十六条 個人番号利用事務等実施者は、第十四条第一項の規定により本人から個人番号の提供を受けるときは、当該提供をする者から個人番号カード若しくは通知カード及び当該通知カードに記載された事項がその者に係るものであることを証するものとして主務省令で定める書類の提示を受けること又はこれらに代わるべきその者が本人であることを確認するための措置として政令で定める措置をとらなければならない。
これらを階層的に表現すると、以下のようになる。
第183回国会提出番号法案第16条の階層的表示(第1の理解)
- 個人番号利用事務等実施者は、
- 第十四条第一項の規定により本人から個人番号の提供を受けるときは、
- [当該提供をする者から
- {個人番号カード若しくは通知カード}及び
- {当該通知カードに記載された事項がその者に係るものであることを証するものとして主務省令で定める書類}
- の提示を受けること]又は
- [これらに代わるべきその者が本人であることを確認するための措置として政令で定める措置]
- をとらなければならない。
第183回国会提出番号法案第16条の階層的表示(第2の理解)
- 個人番号利用事務等実施者は、
- 第十四条第一項の規定により本人から個人番号の提供を受けるときは、
- [当該提供をする者から
- {個人番号カード}若しくは
- {通知カード及び当該通知カードに記載された事項がその者に係るものであることを証するものとして主務省令で定める書類}
- の提示を受けること]又は
- [これらに代わるべきその者が本人であることを確認するための措置として政令で定める措置]
- をとらなければならない。
第180回国会提出マイナンバー法案第12条の階層的表示
- 個人番号利用事務等実施者は、
- 前条第一項の規定により本人から個人番号の提供を受けるときは、
- [当該提供をする者から第五十六条第一項に規定する個人番号カードの提示を受けること](又は)or(及び)
- [その他その者が本人であることを確認するための措置として政令で定める措置]
- をとらなければならない。
第180回国会提出マイナンバー法案では、「その他」の前に「及び」及び「又は」は記載しない慣例であることから、不明確なところがあったが、第183回国会提出番号法案では「又は」となっており、後半は「本人であることを確認するための措置」であり、個人番号の真正性を確認するための措置の記載はないことから、番号の真正性の確認が必須ではないことがより明確になったといえよう。
※上記のようにいったん思ったが、「当該通知カードに記載された事項がその者に係るものであることを証するものとして」の記載があることから、第1の理解はありえないと思われる。
2013年3月17日日曜日
新しいマイナンバー法案の変更点
遅ればせながら、新しいマイナンバー法案をパラパラ見たので、変更点を抜き出してみた。
抜けはあると思うし、保護委員会まわりはあんまり関心ないので、そもそも見ていない。
(定義)
第2条
7 この法律において「個人番号カード」とは、氏名、住所、生年月日、性別、個人番号その他政令で定める事項が記載され、本人の写真が表示され、かつ、これらの事項その他総務省令で定める事項(以下「カード記録事項」という。)が電磁的方法(電子的方法、磁気的方法その他の人の知覚によって認識することができない方法をいう。第十八条において同じ。)により記録されたカードであって、この法律又はこの法律に基づく命令で定めるところによりカード記録事項を閲覧し、又は改変する権限を有する者以外の者による閲覧又は改変を防止するために必要なものとして総務省令で定める措置が講じられたものをいう。
(基本理念)
第3条
第1項
(旧)当該事務の対象となる者を特定する簡易な手続を設けることによって、行政運営の効率化及び国民の利便性の向上に資する
(新)当該事務の対象となる者を特定する簡易な手続を設けることによって、行政運営の効率化を図り、もって国民の利便性の向上に資する
第2項
(旧)その他これに準ずる仕組みを利用して
(新)その他これに準ずる情報システムを利用して
第3条
2 個人番号及び法人番号の利用に関する施策の推進は、個人情報の保護に十分配慮しつつ、行政運営の効率化を通じた国民の利便性の向上に資することを旨として、社会保障制度、税制及び災害対策に関する分野における利用の促進を図るとともに、他の行政分野及び行政分野以外の国民の利便性の向上に資する分野における利用の可能性を考慮して行われなければならない。
3 個人番号の利用に関する施策の推進は、個人番号カードが第一項第一号に掲げる事項を実現するために必要であることに鑑み、行政事務の処理における本人確認の簡易な手段としての個人番号カードの利用の促進を図るとともに、カード記録事項が不正な手段により収集されることがないよう配慮しつつ、行政事務以外の事務の処理において個人番号カードの活用が図られるように行われなければならない。
4 個人番号の利用に関する施策の推進は、情報提供ネットワークシステムが第一項第二号及び第三号に掲げる事項を実現するために必要であることに鑑み、個人情報の保護に十分配慮しつつ、社会保障制度、税制、災害対策その他の行政分野において、行政機関、地方公共団体その他の行政事務を処理する者が迅速に特定個人情報の授受を行うための手段としての情報提供ネットワークシステムの利用の促進を図るとともに、これらの者が行う特定個人情報以外の情報の授受に情報提供ネットワークシステムの用途を拡大する可能性を考慮して行われなければならない。
(国の責務)
第四条 国は、前条に定める基本理念(以下「基本理念」という。)にのっとり、個人番号その他の特定個人情報の取扱いの適正を確保するために必要な措置を講ずるとともに、個人番号及び法人番号の利用を促進するための施策を実施するものとする。
2 国は、教育活動、広報活動その他の活動を通じて、個人番号及び法人番号の利用に関する国民の理解を深めるよう努めるものとする。
(地方公共団体の責務)
第五条 地方公共団体は、基本理念にのっとり、個人番号その他の特定個人情報の取扱いの適正を確保するために必要な措置を講ずるとともに、個人番号及び法人番号の利用に関し、国との連携を図りながら、自主的かつ主体的に、その地域の特性に応じた施策を実施するものとする。
(事業者の努力)
第六条 個人番号及び法人番号を利用する事業者は、基本理念にのっとり、国及び地方公共団体が個人番号及び法人番号の利用に関し実施する施策に協力するよう努めるものとする。
(指定及び通知)
第4条
第1項
(旧)当該個人番号を書面により通知しなければならない。
(新)当該個人番号を通知カード(氏名、住所、生年月日、性別、個人番号その他総務省令で定める事項が記載されたカードをいう。以下同じ。)により通知しなければならない。
第2項
(旧)書面により通知しなければならない。
(新)通知カードにより通知しなければならない。
第3項以降追加
3 市町村長は、前二項の規定による通知をするときは、当該通知を受ける者が個人番号カードの交付を円滑に受けることができるよう、当該交付の手続に関する情報の提供その他の必要な措置を講ずるものとする。
4 通知カードの交付を受けている者は、住民基本台帳法第二十二条第一項の規定による届出をする場合には、当該届出と同時に、当該通知カードを市町村長に提出しなければならない。この場合において、市町村長は、総務省令で定めるところにより、当該通知カードに係る記載事項の変更その他の総務省令で定める措置を講じなければならない。
5 前項の場合を除くほか、通知カードの交付を受けている者は、当該通知カードに係る記載事項に変更があったときは、その変更があった日から十四日以内に、その旨をその者が記録されている住民基本台帳を備える市町村の長(以下「住所地市町村長」という。)に届け出るとともに、当該通知カードを提出しなければならない。この場合においては、同項後段の規定を準用する。
6 通知カードの交付を受けている者は、当該通知カードを紛失したときは、直ちに、その旨を住所地市町村長に届け出なければならない。
7 通知カードの交付を受けている者は、第十七条第一項の規定による個人番号カードの交付を受けようとする場合その他政令で定める場合には、政令で定めるところにより、当該通知カードを住所地市町村長に返納しなければならない。
8 前各項に定めるもののほか、通知カードの様式その他通知カードに関し必要な事項は、総務省令で定める。
(本人確認の措置)
第16条
(旧)個人番号カードの提示を受けることその他その者が本人であることを確認するための措置として政令で定める措置
(新)個人番号カード若しくは通知カード及び当該通知カードに記載された事項がその者に係るものであることを証するものとして主務省令で定める書類の提示を受けること又はこれらに代わるべきその者が本人であることを確認するための措置として政令で定める措置
(個人番号カードの利用)
第十八条 個人番号カードは、第十六条の規定による本人確認の措置において利用するほか、次の各号に掲げる者が、条例(第二号の場合にあっては、政令)で定めるところにより、個人番号カードのカード記録事項が記録された部分と区分された部分に、当該各号に定める事務を処理するために必要な事項を電磁的方法により記録して利用することができる。この場合において、これらの者は、カード記録事項の漏えい、滅失又は毀損の防止その他のカード記録事項の安全管理を図るため必要なものとして総務大臣が定める基準に従って個人番号カードを取り扱わなければならない。
一市町村の機関地域住民の利便性の向上に資するものとして条例で定める事務
二特定の個人を識別して行う事務を処理する行政機関、地方公共団体、民間事業者その他の者であって政令で定めるもの 当該事務
(特定個人情報の提供の制限)
第19条
十 社債、株式等の振替に関する法律(平成十三年法律第七十五号)第二条第五項に規定する振替機関等(以下この号において単に「振替機関等」という。)が同条第一項に規定する社債等(以下この号において単に「社債等」という。)の発行者(これに準ずる者として政令で定めるものを含む。)又は他の振替機関等に対し、これらの者の使用に係る電子計算機を相互に電気通信回線で接続した電子情報処理組織であって、社債等の振替を行うための口座が記録されるものを利用して、同法又は同法に基づく命令の規定により、社債等の振替を行うための口座の開設を受ける者が第九条第三項に規定する書面(所得税法第二百二十五条第一項(第一号、第二号、第八号又は第十号から第十二号までに係る部分に限る。)の規定により税務署長に提出されるものに限る。)に記載されるべき個人番号として当該口座を開設する振替機関等に告知した個人番号を含む特定個人情報を提供する場合において、当該特定個人情報の安全を確保するために必要な措置として政令で定める措置を講じているとき。
(秘密の管理)
第24条
(旧)必要な措置
(新)情報提供ネットワークシステム並びに情報照会者及び情報提供者が情報提供等事務に使用する電子計算機の安全性及び信頼性を確保することその他の必要な措置
(検討等)
附則第6条
(旧)政府は、この法律の施行後五年を目途として、この法律の施行の状況等を勘案し、この法律の規定について検討を加え、必要があると認めるときは、その結果に応じて所要の措置を講ずるものとする。
(新)政府は、この法律の施行後三年を目途として、この法律の施行の状況等を勘案し、個人番号の利用及び情報提供ネットワークシステムを使用した特定個人情報の提供の範囲を拡大すること並びに特定個人情報以外の情報の提供に情報提供ネットワークシステムを活用することができるようにすることその他この法律の規定について検討を加え、必要があると認めるときは、その結果に基づいて、国民の理解を得つつ、所要の措置を講ずるものとする。
第2項以降追加
2 政府は、この法律の施行後一年を目途として、この法律の施行の状況、個人情報の保護に関する国際的動向等を勘案し、特定個人情報以外の個人情報の取扱いに関する監視又は監督に関する事務を委員会の所掌事務とすることについて検討を加え、その結果に基づいて所要の措置を講ずるものとする。
3 政府は、委員会の行う特定個人情報(前項の規定により講ずる措置その他の措置により委員会が特定個人情報以外の個人情報の取扱いに関する監視又は監督に関する事務をつかさどることとされた場合にあっては、委員会の所掌事務に係る個人情報)の取扱いに関する監視又は監督について、これを実効的に行うために必要な人的体制の整備、財源の確保その他の措置の状況を勘案し、適時にその改善について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。
4 政府は、第十四条第一項の規定により本人から個人番号の提供を受ける者が、当該提供をする者が本人であることを確認するための措置として選択することができる措置の内容を拡充するため、適時に必要な技術的事項について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。
5 政府は、この法律の施行後一年を目途として、情報提供等記録開示システム(総務大臣の使用に係る電子計算機と第二十三条第三項に規定する記録に記録された特定個人情報について総務大臣に対して第三十条第二項の規定により読み替えられた行政機関個人情報保護法第十二条の規定による開示の請求を行う者の使用に係る電子計算機とを電気通信回線で接続した電子情報処理組織であって、その者が当該開示の請求を行い、及び総務大臣がその者に対して行政機関個人情報保護法第十八条の規定による通知を行うために設置し、及び運用されるものをいう。以下この項及び次項において同じ。)を設置するとともに、年齢、身体的な条件その他の情報提供等記録開示システムの利用を制約する要因にも配慮した上で、その活用を図るために必要な措置を講ずるものとする。
6 政府は、情報提供等記録開示システムの設置後、適時に、国民の利便性の向上を図る観点から、民間における活用を視野に入れて、情報提供等記録開示システムを利用して次に掲げる手続又は行為を行うこと及び当該手続又は行為を行うために現に情報提供等記録開示システムに電気通信回線で接続した電子計算機を使用する者が当該手続又は行為を行うべき者であることを確認するための措置を当該手続又は行為に応じて簡易なものとすることについて検討を加え、その結果に基づいて所要の措置を講ずるものとする。
一法律又は条例の規定による個人情報の開示に関する手続(前項に規定するものを除く。)
二個人番号利用事務実施者が、本人に対し、個人番号利用事務に関して本人が希望し、又は本人の利益になると認められる情報を提供すること。
三同一の事項が記載された複数の書面を一又は複数の個人番号利用事務実施者に提出すべき場合において、一の書面への記載事項が他の書面に複写され、かつ、これらの書面があらかじめ選択された一又は複数の個人番号利用事務実施者に対し一の手続により提出されること。
7 政府は、適時に、地方公共団体における行政運営の効率化を通じた住民の利便性の向上に資する観点から、地域の実情を勘案して必要があると認める場合には、地方公共団体に対し、複数の地方公共団体の情報システムの共同化又は集約の推進について必要な情報の提供、助言その他の協力を行うものとする。
抜けはあると思うし、保護委員会まわりはあんまり関心ないので、そもそも見ていない。
(定義)
第2条
7 この法律において「個人番号カード」とは、氏名、住所、生年月日、性別、個人番号その他政令で定める事項が記載され、本人の写真が表示され、かつ、これらの事項その他総務省令で定める事項(以下「カード記録事項」という。)が電磁的方法(電子的方法、磁気的方法その他の人の知覚によって認識することができない方法をいう。第十八条において同じ。)により記録されたカードであって、この法律又はこの法律に基づく命令で定めるところによりカード記録事項を閲覧し、又は改変する権限を有する者以外の者による閲覧又は改変を防止するために必要なものとして総務省令で定める措置が講じられたものをいう。
(基本理念)
第3条
第1項
(旧)当該事務の対象となる者を特定する簡易な手続を設けることによって、行政運営の効率化及び国民の利便性の向上に資する
(新)当該事務の対象となる者を特定する簡易な手続を設けることによって、行政運営の効率化を図り、もって国民の利便性の向上に資する
第2項
(旧)その他これに準ずる仕組みを利用して
(新)その他これに準ずる情報システムを利用して
第3条
2 個人番号及び法人番号の利用に関する施策の推進は、個人情報の保護に十分配慮しつつ、行政運営の効率化を通じた国民の利便性の向上に資することを旨として、社会保障制度、税制及び災害対策に関する分野における利用の促進を図るとともに、他の行政分野及び行政分野以外の国民の利便性の向上に資する分野における利用の可能性を考慮して行われなければならない。
3 個人番号の利用に関する施策の推進は、個人番号カードが第一項第一号に掲げる事項を実現するために必要であることに鑑み、行政事務の処理における本人確認の簡易な手段としての個人番号カードの利用の促進を図るとともに、カード記録事項が不正な手段により収集されることがないよう配慮しつつ、行政事務以外の事務の処理において個人番号カードの活用が図られるように行われなければならない。
4 個人番号の利用に関する施策の推進は、情報提供ネットワークシステムが第一項第二号及び第三号に掲げる事項を実現するために必要であることに鑑み、個人情報の保護に十分配慮しつつ、社会保障制度、税制、災害対策その他の行政分野において、行政機関、地方公共団体その他の行政事務を処理する者が迅速に特定個人情報の授受を行うための手段としての情報提供ネットワークシステムの利用の促進を図るとともに、これらの者が行う特定個人情報以外の情報の授受に情報提供ネットワークシステムの用途を拡大する可能性を考慮して行われなければならない。
(国の責務)
第四条 国は、前条に定める基本理念(以下「基本理念」という。)にのっとり、個人番号その他の特定個人情報の取扱いの適正を確保するために必要な措置を講ずるとともに、個人番号及び法人番号の利用を促進するための施策を実施するものとする。
2 国は、教育活動、広報活動その他の活動を通じて、個人番号及び法人番号の利用に関する国民の理解を深めるよう努めるものとする。
(地方公共団体の責務)
第五条 地方公共団体は、基本理念にのっとり、個人番号その他の特定個人情報の取扱いの適正を確保するために必要な措置を講ずるとともに、個人番号及び法人番号の利用に関し、国との連携を図りながら、自主的かつ主体的に、その地域の特性に応じた施策を実施するものとする。
(事業者の努力)
第六条 個人番号及び法人番号を利用する事業者は、基本理念にのっとり、国及び地方公共団体が個人番号及び法人番号の利用に関し実施する施策に協力するよう努めるものとする。
(指定及び通知)
第4条
第1項
(旧)当該個人番号を書面により通知しなければならない。
(新)当該個人番号を通知カード(氏名、住所、生年月日、性別、個人番号その他総務省令で定める事項が記載されたカードをいう。以下同じ。)により通知しなければならない。
第2項
(旧)書面により通知しなければならない。
(新)通知カードにより通知しなければならない。
第3項以降追加
3 市町村長は、前二項の規定による通知をするときは、当該通知を受ける者が個人番号カードの交付を円滑に受けることができるよう、当該交付の手続に関する情報の提供その他の必要な措置を講ずるものとする。
4 通知カードの交付を受けている者は、住民基本台帳法第二十二条第一項の規定による届出をする場合には、当該届出と同時に、当該通知カードを市町村長に提出しなければならない。この場合において、市町村長は、総務省令で定めるところにより、当該通知カードに係る記載事項の変更その他の総務省令で定める措置を講じなければならない。
5 前項の場合を除くほか、通知カードの交付を受けている者は、当該通知カードに係る記載事項に変更があったときは、その変更があった日から十四日以内に、その旨をその者が記録されている住民基本台帳を備える市町村の長(以下「住所地市町村長」という。)に届け出るとともに、当該通知カードを提出しなければならない。この場合においては、同項後段の規定を準用する。
6 通知カードの交付を受けている者は、当該通知カードを紛失したときは、直ちに、その旨を住所地市町村長に届け出なければならない。
7 通知カードの交付を受けている者は、第十七条第一項の規定による個人番号カードの交付を受けようとする場合その他政令で定める場合には、政令で定めるところにより、当該通知カードを住所地市町村長に返納しなければならない。
8 前各項に定めるもののほか、通知カードの様式その他通知カードに関し必要な事項は、総務省令で定める。
(本人確認の措置)
第16条
(旧)個人番号カードの提示を受けることその他その者が本人であることを確認するための措置として政令で定める措置
(新)個人番号カード若しくは通知カード及び当該通知カードに記載された事項がその者に係るものであることを証するものとして主務省令で定める書類の提示を受けること又はこれらに代わるべきその者が本人であることを確認するための措置として政令で定める措置
(個人番号カードの利用)
第十八条 個人番号カードは、第十六条の規定による本人確認の措置において利用するほか、次の各号に掲げる者が、条例(第二号の場合にあっては、政令)で定めるところにより、個人番号カードのカード記録事項が記録された部分と区分された部分に、当該各号に定める事務を処理するために必要な事項を電磁的方法により記録して利用することができる。この場合において、これらの者は、カード記録事項の漏えい、滅失又は毀損の防止その他のカード記録事項の安全管理を図るため必要なものとして総務大臣が定める基準に従って個人番号カードを取り扱わなければならない。
一市町村の機関地域住民の利便性の向上に資するものとして条例で定める事務
二特定の個人を識別して行う事務を処理する行政機関、地方公共団体、民間事業者その他の者であって政令で定めるもの 当該事務
(特定個人情報の提供の制限)
第19条
十 社債、株式等の振替に関する法律(平成十三年法律第七十五号)第二条第五項に規定する振替機関等(以下この号において単に「振替機関等」という。)が同条第一項に規定する社債等(以下この号において単に「社債等」という。)の発行者(これに準ずる者として政令で定めるものを含む。)又は他の振替機関等に対し、これらの者の使用に係る電子計算機を相互に電気通信回線で接続した電子情報処理組織であって、社債等の振替を行うための口座が記録されるものを利用して、同法又は同法に基づく命令の規定により、社債等の振替を行うための口座の開設を受ける者が第九条第三項に規定する書面(所得税法第二百二十五条第一項(第一号、第二号、第八号又は第十号から第十二号までに係る部分に限る。)の規定により税務署長に提出されるものに限る。)に記載されるべき個人番号として当該口座を開設する振替機関等に告知した個人番号を含む特定個人情報を提供する場合において、当該特定個人情報の安全を確保するために必要な措置として政令で定める措置を講じているとき。
(秘密の管理)
第24条
(旧)必要な措置
(新)情報提供ネットワークシステム並びに情報照会者及び情報提供者が情報提供等事務に使用する電子計算機の安全性及び信頼性を確保することその他の必要な措置
(検討等)
附則第6条
(旧)政府は、この法律の施行後五年を目途として、この法律の施行の状況等を勘案し、この法律の規定について検討を加え、必要があると認めるときは、その結果に応じて所要の措置を講ずるものとする。
(新)政府は、この法律の施行後三年を目途として、この法律の施行の状況等を勘案し、個人番号の利用及び情報提供ネットワークシステムを使用した特定個人情報の提供の範囲を拡大すること並びに特定個人情報以外の情報の提供に情報提供ネットワークシステムを活用することができるようにすることその他この法律の規定について検討を加え、必要があると認めるときは、その結果に基づいて、国民の理解を得つつ、所要の措置を講ずるものとする。
第2項以降追加
2 政府は、この法律の施行後一年を目途として、この法律の施行の状況、個人情報の保護に関する国際的動向等を勘案し、特定個人情報以外の個人情報の取扱いに関する監視又は監督に関する事務を委員会の所掌事務とすることについて検討を加え、その結果に基づいて所要の措置を講ずるものとする。
3 政府は、委員会の行う特定個人情報(前項の規定により講ずる措置その他の措置により委員会が特定個人情報以外の個人情報の取扱いに関する監視又は監督に関する事務をつかさどることとされた場合にあっては、委員会の所掌事務に係る個人情報)の取扱いに関する監視又は監督について、これを実効的に行うために必要な人的体制の整備、財源の確保その他の措置の状況を勘案し、適時にその改善について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。
4 政府は、第十四条第一項の規定により本人から個人番号の提供を受ける者が、当該提供をする者が本人であることを確認するための措置として選択することができる措置の内容を拡充するため、適時に必要な技術的事項について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。
5 政府は、この法律の施行後一年を目途として、情報提供等記録開示システム(総務大臣の使用に係る電子計算機と第二十三条第三項に規定する記録に記録された特定個人情報について総務大臣に対して第三十条第二項の規定により読み替えられた行政機関個人情報保護法第十二条の規定による開示の請求を行う者の使用に係る電子計算機とを電気通信回線で接続した電子情報処理組織であって、その者が当該開示の請求を行い、及び総務大臣がその者に対して行政機関個人情報保護法第十八条の規定による通知を行うために設置し、及び運用されるものをいう。以下この項及び次項において同じ。)を設置するとともに、年齢、身体的な条件その他の情報提供等記録開示システムの利用を制約する要因にも配慮した上で、その活用を図るために必要な措置を講ずるものとする。
6 政府は、情報提供等記録開示システムの設置後、適時に、国民の利便性の向上を図る観点から、民間における活用を視野に入れて、情報提供等記録開示システムを利用して次に掲げる手続又は行為を行うこと及び当該手続又は行為を行うために現に情報提供等記録開示システムに電気通信回線で接続した電子計算機を使用する者が当該手続又は行為を行うべき者であることを確認するための措置を当該手続又は行為に応じて簡易なものとすることについて検討を加え、その結果に基づいて所要の措置を講ずるものとする。
一法律又は条例の規定による個人情報の開示に関する手続(前項に規定するものを除く。)
二個人番号利用事務実施者が、本人に対し、個人番号利用事務に関して本人が希望し、又は本人の利益になると認められる情報を提供すること。
三同一の事項が記載された複数の書面を一又は複数の個人番号利用事務実施者に提出すべき場合において、一の書面への記載事項が他の書面に複写され、かつ、これらの書面があらかじめ選択された一又は複数の個人番号利用事務実施者に対し一の手続により提出されること。
7 政府は、適時に、地方公共団体における行政運営の効率化を通じた住民の利便性の向上に資する観点から、地域の実情を勘案して必要があると認める場合には、地方公共団体に対し、複数の地方公共団体の情報システムの共同化又は集約の推進について必要な情報の提供、助言その他の協力を行うものとする。
2013年2月24日日曜日
個人情報保護法連結可能匿名化と共同利用に係るガイドラインの状況
個人情報保護法における連結可能匿名化(第2条第1項の『他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む』の規定に係るもの)と共同利用についての各府省のガイドラインの状況を抜き出してみた。
■厚生労働省の例
●容易に照合
事業者内で医療・介護関係個人情報を利用する場合は、事業者内で得られる他の情報や匿名化に際して付された符号又は番号と個人情報との対応表等と照合することで特定の患者・利用者等が識別されることも考えられる。法においては、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」についても個人情報に含まれるものとされており、匿名化に当たっては、当該情報の利用目的や利用者等を勘案した処理を行う必要があり、あわせて、本人の同意を得るなどの対応も考慮する必要がある。
●共同利用
(ア)共同して利用される個人データの項目、(イ)共同利用者の範囲(個別列挙されているか、本人から見てその範囲が明確となるように特定されている必要がある)、(ウ)利用する者の利用目的、(エ)当該個人データの管理について責任を有する者の氏名又は名称、をあらかじめ本人に通知し、又は本人が容易に知り得る状態においておくとともに、共同して利用することを明らかにしている場合には、当該共同利用者は第三者に該当しない。
この場合、(ア)、(イ)については変更することができず、(ウ)、(エ)については、本人が想定することが困難でない範囲内で変更することができ、変更する場合は、本人に通知又は本人の容易に知り得る状態におかなければならない。
■金融庁の例
●容易に照合
(特になし)
●共同利用
事業者による「共同して利用する者の範囲」の通知等については、共同して利用する者を個別に列挙することが望ましい。また、共同して利用する者の外延を示すこと により本人に通知等する場合には、本人が容易に理解できるよう共同して利用する者 を具体的に特定しなければならない。外延を示す具体例としては、
・ 当社及び有価証券報告書等に記載されている、当社の子会社
・ 当社及び有価証券報告書等に記載されている、連結対象会社及び持分法適用会社
といった方法が適切である。
同号に定める「個人データの管理について責任を有する者」(以下「管理責任者」という。)は、共同して利用する者において、第一次的に苦情を受け付け、その処理を行うとともに、開示、訂正等及び利用停止等の決定を行い、安全管理に責任を有する者をいう。なお、同号は、管理責任者以外の共同して利用する者における安全管理責任等を免除する趣旨ではないことに留意する。
■総務省の例
●容易に照合
(特になし)
●共同利用
(特になし)
■経済産業省の例
●容易に照合
「他の情報と容易に照合することができ、…」とは、例えば通常の作業範囲において、個人情報データベース等にアクセスし、照合することができる状態をいい、他の事業者への照会を要する場合等であって照合が困難な状態を除く。
●共同利用
①共同して利用される個人データの項目
②共同利用者の範囲(本人からみてその範囲が明確であることを要するが、範囲が明確である限りは、必ずしも個別列挙が必要ない場合もある。)
事例)最新の共同利用者のリストを本人が容易に知り得る状態に置いているとき
③利用する者の取得時の利用目的(共同して利用する個人データのすべての利用目的)
④開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者の氏名又は名称(共同利用者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する事業者を、「責任を有する者」といい、共同利用者の内部の担当責任者をいうのではない。)
上記③及び④については、社会通念上、本人が想定することが困難でないと認められる範囲内で変更することができ、変更する前に、本人に通知又は本人が容易に知り得る状態に置かなければならない。
また、上記①及び②については原則として変更は認められないが、次の場合、引き続き共同利用を行うことができる。
【引き続き共同利用を行うことができる事例】
事例1)共同利用を行う事業者や個人データの項目の変更につき、あらかじめ本人の同意を得た場合
事例2)共同利用を行う事業者の名称に変更があるが、当該事業者の事業内容に変更がない場合
事例3)共同利用を行う事業者について事業の承継が行われた場合
■国家公安委員会の例
●容易に照合
(5) 特定の個人を識別できる情報が記述されていなくても、周知の情報を補って認識することにより特定の個人を識別できる情報
(7) 個人情報の取得後に当該個人情報に付加された個人に関する情報(取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、又は照合された結果、生存する特定の個人を識別できることとなったときは、その時点で「個人情報」となる。)
●共同利用
ア 共同利用をする旨
イ 共同して利用される個人データの項目(例えば、氏名、住所、電話番号、商品購入履歴等)
ウ 共同して利用する者の範囲
エ 利用する者の利用目的
オ 開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用の停止等の権限を有し、個人データの安全管理等について共同利用者の中で第一次的に責任を有する事業者の氏名又は名称
ただし、イ又はウの規定に掲げる事項を変更する場合は、あらかじめ本人の同意を得なければならない。
また、エ又はオの規定に掲げる事項を変更する場合は、変更する内容について、変更前にあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
■法務省の例
●容易に照合
(特になし)
●共同利用
ア 共同利用をする旨
イ 共同して利用される個人データの項目
ウ 共同して利用する者の範囲
エ 利用する者の利用目的
オ 開示等の求め及び苦情を受け付け,その処理に尽力するとともに,個人データの内容等について,開示,訂正,利用停止等の権限を有し,個人データの安全管理等について共同利用者の中で第一次的に責任を有する事業者の氏名又は名称
ただし,イ又はウの規定に掲げる事項を変更する場合は,あらかじめ本人の同意を得なければならない。
また,エ又はオの規定に掲げる事項を変更する場合は,変更する内容について,変更前にあらかじめ,本人に通知し,又は本人が容易に知り得る状態に置かなければならない。
■外務省の例
●容易に照合
(特になし)
●共同利用
(特になし)
■財務省の例
●容易に照合
(特になし)
●共同利用
イ 共同利用をする旨
ロ 共同して利用される個人データの項目
ハ 共同して利用する者の範囲
ニ 利用する者の利用目的
ホ 当該個人データの管理について責任を有する者の氏名又は名称
財務省関係事業者は、ロ又はハの規定に掲げる事項を変更する場合は、あらかじめ本人の同意を得なければならない。
財務省関係事業者は、ニ又はホの規定に掲げる内容を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
■農林水産省の例
●容易に照合
(特になし)
●共同利用
イ又はウの規定に掲げる事項を変更する場合は、あらかじめ本人の同意を得なければならない。また、エ又はオの規定に掲げる事項を変更する場合は、変更する内容について、変更前にあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
ア 共同利用をする旨
イ 共同して利用される個人データの項目
ウ 共同して利用する者の範囲
エ 利用する者の利用目的
オ 開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、個人データの安全管理等について共同利用者の中で第一次的に責任を有する事業者の氏名又は名称
■環境省の例
●容易に照合
(特になし)
●共同利用
ア 共同利用をする旨
イ 共同して利用される個人データの項目
ウ 共同して利用する者の範囲
エ 利用する者の利用目的
オ 開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、個人データの安全管理等について共同利用者の中で第一次的に責任を有する事業者の氏名又は名称
ただし、イ又はウの規定に掲げる事項を変更する場合は、あらかじめ本人の同意を得なければならない。
また、エ又はオの規定に掲げる事項を変更する場合は、変更する内容について、変更前にあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
■防衛省の例
●容易に照合
(特になし)
●共同利用
(特になし)
■国土交通省の例
●容易に照合
(特になし)
●共同利用
国土交通省関係事業者は、共同して利用される個人データの項目又は共同して利用する者の範囲を変更する場合は、あらかじめ本人の同意を得なければならない。
国土交通省関係事業者は、利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
■文部科学省の例(学校における生徒等)
●容易に照合
(特になし)
●共同利用
(特になし)
■厚生労働省の例
●容易に照合
事業者内で医療・介護関係個人情報を利用する場合は、事業者内で得られる他の情報や匿名化に際して付された符号又は番号と個人情報との対応表等と照合することで特定の患者・利用者等が識別されることも考えられる。法においては、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」についても個人情報に含まれるものとされており、匿名化に当たっては、当該情報の利用目的や利用者等を勘案した処理を行う必要があり、あわせて、本人の同意を得るなどの対応も考慮する必要がある。
●共同利用
(ア)共同して利用される個人データの項目、(イ)共同利用者の範囲(個別列挙されているか、本人から見てその範囲が明確となるように特定されている必要がある)、(ウ)利用する者の利用目的、(エ)当該個人データの管理について責任を有する者の氏名又は名称、をあらかじめ本人に通知し、又は本人が容易に知り得る状態においておくとともに、共同して利用することを明らかにしている場合には、当該共同利用者は第三者に該当しない。
この場合、(ア)、(イ)については変更することができず、(ウ)、(エ)については、本人が想定することが困難でない範囲内で変更することができ、変更する場合は、本人に通知又は本人の容易に知り得る状態におかなければならない。
■金融庁の例
●容易に照合
(特になし)
●共同利用
事業者による「共同して利用する者の範囲」の通知等については、共同して利用する者を個別に列挙することが望ましい。また、共同して利用する者の外延を示すこと により本人に通知等する場合には、本人が容易に理解できるよう共同して利用する者 を具体的に特定しなければならない。外延を示す具体例としては、
・ 当社及び有価証券報告書等に記載されている、当社の子会社
・ 当社及び有価証券報告書等に記載されている、連結対象会社及び持分法適用会社
といった方法が適切である。
同号に定める「個人データの管理について責任を有する者」(以下「管理責任者」という。)は、共同して利用する者において、第一次的に苦情を受け付け、その処理を行うとともに、開示、訂正等及び利用停止等の決定を行い、安全管理に責任を有する者をいう。なお、同号は、管理責任者以外の共同して利用する者における安全管理責任等を免除する趣旨ではないことに留意する。
■総務省の例
●容易に照合
(特になし)
●共同利用
(特になし)
■経済産業省の例
●容易に照合
「他の情報と容易に照合することができ、…」とは、例えば通常の作業範囲において、個人情報データベース等にアクセスし、照合することができる状態をいい、他の事業者への照会を要する場合等であって照合が困難な状態を除く。
●共同利用
①共同して利用される個人データの項目
②共同利用者の範囲(本人からみてその範囲が明確であることを要するが、範囲が明確である限りは、必ずしも個別列挙が必要ない場合もある。)
事例)最新の共同利用者のリストを本人が容易に知り得る状態に置いているとき
③利用する者の取得時の利用目的(共同して利用する個人データのすべての利用目的)
④開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者の氏名又は名称(共同利用者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する事業者を、「責任を有する者」といい、共同利用者の内部の担当責任者をいうのではない。)
上記③及び④については、社会通念上、本人が想定することが困難でないと認められる範囲内で変更することができ、変更する前に、本人に通知又は本人が容易に知り得る状態に置かなければならない。
また、上記①及び②については原則として変更は認められないが、次の場合、引き続き共同利用を行うことができる。
【引き続き共同利用を行うことができる事例】
事例1)共同利用を行う事業者や個人データの項目の変更につき、あらかじめ本人の同意を得た場合
事例2)共同利用を行う事業者の名称に変更があるが、当該事業者の事業内容に変更がない場合
事例3)共同利用を行う事業者について事業の承継が行われた場合
■国家公安委員会の例
●容易に照合
(5) 特定の個人を識別できる情報が記述されていなくても、周知の情報を補って認識することにより特定の個人を識別できる情報
(7) 個人情報の取得後に当該個人情報に付加された個人に関する情報(取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、又は照合された結果、生存する特定の個人を識別できることとなったときは、その時点で「個人情報」となる。)
●共同利用
ア 共同利用をする旨
イ 共同して利用される個人データの項目(例えば、氏名、住所、電話番号、商品購入履歴等)
ウ 共同して利用する者の範囲
エ 利用する者の利用目的
オ 開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用の停止等の権限を有し、個人データの安全管理等について共同利用者の中で第一次的に責任を有する事業者の氏名又は名称
ただし、イ又はウの規定に掲げる事項を変更する場合は、あらかじめ本人の同意を得なければならない。
また、エ又はオの規定に掲げる事項を変更する場合は、変更する内容について、変更前にあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
■法務省の例
●容易に照合
(特になし)
●共同利用
ア 共同利用をする旨
イ 共同して利用される個人データの項目
ウ 共同して利用する者の範囲
エ 利用する者の利用目的
オ 開示等の求め及び苦情を受け付け,その処理に尽力するとともに,個人データの内容等について,開示,訂正,利用停止等の権限を有し,個人データの安全管理等について共同利用者の中で第一次的に責任を有する事業者の氏名又は名称
ただし,イ又はウの規定に掲げる事項を変更する場合は,あらかじめ本人の同意を得なければならない。
また,エ又はオの規定に掲げる事項を変更する場合は,変更する内容について,変更前にあらかじめ,本人に通知し,又は本人が容易に知り得る状態に置かなければならない。
■外務省の例
●容易に照合
(特になし)
●共同利用
(特になし)
■財務省の例
●容易に照合
(特になし)
●共同利用
イ 共同利用をする旨
ロ 共同して利用される個人データの項目
ハ 共同して利用する者の範囲
ニ 利用する者の利用目的
ホ 当該個人データの管理について責任を有する者の氏名又は名称
財務省関係事業者は、ロ又はハの規定に掲げる事項を変更する場合は、あらかじめ本人の同意を得なければならない。
財務省関係事業者は、ニ又はホの規定に掲げる内容を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
■農林水産省の例
●容易に照合
(特になし)
●共同利用
イ又はウの規定に掲げる事項を変更する場合は、あらかじめ本人の同意を得なければならない。また、エ又はオの規定に掲げる事項を変更する場合は、変更する内容について、変更前にあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
ア 共同利用をする旨
イ 共同して利用される個人データの項目
ウ 共同して利用する者の範囲
エ 利用する者の利用目的
オ 開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、個人データの安全管理等について共同利用者の中で第一次的に責任を有する事業者の氏名又は名称
■環境省の例
●容易に照合
(特になし)
●共同利用
ア 共同利用をする旨
イ 共同して利用される個人データの項目
ウ 共同して利用する者の範囲
エ 利用する者の利用目的
オ 開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、個人データの安全管理等について共同利用者の中で第一次的に責任を有する事業者の氏名又は名称
ただし、イ又はウの規定に掲げる事項を変更する場合は、あらかじめ本人の同意を得なければならない。
また、エ又はオの規定に掲げる事項を変更する場合は、変更する内容について、変更前にあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
■防衛省の例
●容易に照合
(特になし)
●共同利用
(特になし)
■国土交通省の例
●容易に照合
(特になし)
●共同利用
国土交通省関係事業者は、共同して利用される個人データの項目又は共同して利用する者の範囲を変更する場合は、あらかじめ本人の同意を得なければならない。
国土交通省関係事業者は、利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
■文部科学省の例(学校における生徒等)
●容易に照合
(特になし)
●共同利用
(特になし)
自民党によるマイナンバー法案の改正内容への雑感
毎日新聞の報道によると、第3条の基本理念に、
- 必要に応じ、他の行政分野及び行政分野以外の利用が可能となるように行われなければならない
- 行政事務以外の事務の処理において個人番号カードの活用が図られるように行われなければならない
- 情報提供ネットワークシステムの利用の促進を図るとともに、特定個人情報(法律で明記された事務にかかわる個人情報)以外の情報の授受に情報ネットの用途を拡大することが可能となるように行われなければならない
付則第6条に、
- 「法律の施行後3年を目途として(略)検討を加え所要の措置を講ずる」
政治家があの難解な中身を変えることはないのかな。
2013年2月10日日曜日
ポイントサービス事業者と加盟店間の個人情報の流れの整理と委託構成の可否に ついての素朴な考察
先週の投稿に対して、鈴木先生から、
『「第三者提供の制限」の例外と「第三者」に該当しないという条文の構造、構成の差異が本件解釈に反映されているか?この2点について、じっくり検討してみるといいのではないでしょうか。CCCは委託構成でいけるのでは?共同利用で穴を空ける実益あるの?』
という返事をもらい、また、別途
『Tポイント制度はCCCが主宰するビジネスモデルでありそれを支えるのが同社の情報システムである。加盟店だけを分解的に取り上げればPOSデータ+αとT番号だけ。彼らに特定個人の識別性はない。しかし個人情報の取扱いという視点ではCCCの委託先であり、CCCの個人情報の取得である。』
◆C.サービス事業者→加盟店の個人情報の流れの事実認識について
「C.サービス事業者→加盟店の個人情報の流れ」については、高木先生による『Tポイントは本当は何をやっているのか』が非常に詳しい。本稿の文脈で必要なことを抽出すると、サービス事業者の主張としては、「履歴は統計的にしか使っていないし、B社の情報はB社に提供しているだけだ」とのことなので、現状では第3者への法定個人情報の提供は行われていない。また、「POSクーポンの発券システムは、収集した情報を弊社で一元的に管理しており、弊社から各加盟店企業に提供するわけではなく、POSの発券システムに情報を組み込ませているだけであるので、一方のアライアンス加盟店の情報を他方のアライアンス加盟店に提供することはしていない」とのことなので、第3者への法定個人情報の提供は行われていない。良くあるご質問への回答でも『お客さまの個人情報や購買履歴を一般企業はもちろんのこと、Tポイント提携企業であっても相互に提供することはありません。』としている。
一方、営業資料によると、DBターゲティングメールにおいては、電子メールアドレスが提供されるように思われる。これは、法定個人情報の提供にあたる場合もあるかもしれないが、一般的なメールアドレスであれば、ガイドラインでは法定個人情報にはあたらないとされている。TSUTAYAの購入情報に限定すれば、DB WATCHにおいて第3者提供が行われているようである。ただし、何の情報が開示されているかは記載されておらず、特定の個人を識別できる情報は含まれていない可能性もある。このように、現在明らかとなっている情報からは、加盟店への法定個人情報の提供が行われているという確たる証拠はない。サービス事業者の主張を信じればサービス事業者→加盟店の法定個人情報の提供はなく、信じなければあるかもしれないということになる。
●加盟店・サービス事業者による個人情報保護法上の建付けについての考察
サービス事業者規約においては、加盟店と共同利用するとしており、法第23条第4項第3号に基づき、加盟店への法定個人情報の提供は可能とサービス事業者及び加盟店は認識していると想像される。これは、現在は行っていないとしても、将来行う可能性があることから、その際に本人の同意を再取得しなくても加盟店への法定個人情報の提供が可能となるように規定しているものと想像される。
なお、サービス事業者規定には、『会員がポイントサービスの利用のためにポイントプログラム参加企業においてT-IDを入力又はTカードを提示した場合、当社とポイントプログラム参加企業との間において当該会員の個人情報が相互に提供されることについて、当該会員は同意したとみなされることとさせていただきます。かかる個人情報の提供にご同意いただけない場合には、ポイントプログラム参加企業におけるポイントサービス(ポイントの付与及び使用を含みます)をご利用いただくことはできません』との規定があるが、これは、A加盟店からサービス事業者が受け取った法定個人情報をB加盟店に提供できるとの規定ではなく、あくまでA加盟店とサービス事業者間の法定個人情報の相互提供について規定しようとしているものと想像される。
一方共同利用の規定は、A加盟店から提供をうけ法定個人情報となった情報をB加盟店に提供することを可能にするために規定しているものと想像される。
●委託構成についての考察
加盟店がサービス事業者から法定個人情報を入手するのは、加盟店にとって有用な(マーケティングターゲットとして有望な)個人の取捨選択と当該個人の法定個人情報の提供を加盟店がサービス事業者に委託しているものと考えられる。
△法第22条への該当性
法第22条に規定される「個人データの取扱いの全部又は一部を委託する場合」 に該当するのかは、私には判断する根拠がわからない。素直に言葉どおりに読むならば、取り扱いを委託しているというよりも、提供を委託しているのであるから、法第22条にはあたらないように思える。
△法第23条第4項第1号への該当性
■まとめと感想
鈴木先生は、『CCCの共同利用はCCCと加盟店の双方向の個人データの提供を包括的に適法化するための方便として経産省ガイドライン上の文言から形式的に導いた手法』と指摘しているが、本稿で述べたように、加盟店→ポイントサービス事業者の個人情報の流れについては、共同利用以外の方法で法の趣旨を僭脱しており、共同利用方式を用いるまでもなく本人同意が不要な状況となっているというのが私の認識である。共同利用方式の是非(違法性の検討)の前に、連結可能匿名化情報による法第23条第1項の回避、書面の宛名を変更・追加することによる法第23条第1項の回避の適法性についての検討の方が、より法を回避する意図が明らかという面では優先順位が先ではないだろうか(影響の大きさという面では確かに加盟店を自由に増加できる方が懸念が大きいが)。また、違法性を指摘している法学者も寡聞にして知らない。ガイドラインではこの点についてほとんど明確となっておらず、その点では、各主務大臣は法第8条に規定する『国は、(中略)事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定(中略)措置を講ずるものとする』との義務を満たしていない違法状態にあるのではないだろうか(訓示的な意味しかないといえばないのではあろうが)。個人情報保護法の範囲内においてすら、何年も前から連結可能匿名化の議論を深めておく必要が、抽象的な意味だけでなく、ポイント制度という具体例が存在するレベルにおいてそうだったのではないだろうか。
委託構成での規約の可能性については、法解釈としてどうあるべきかはよくわからないものの、素朴な消費者感情としては、何としても避けてもらいたいと思う。なぜならば、個人情報の実質的な販売が委託として認められそうな感じがするからである。これが大いなる誤解であれば、ありがたい。
『「第三者提供の制限」の例外と「第三者」に該当しないという条文の構造、構成の差異が本件解釈に反映されているか?この2点について、じっくり検討してみるといいのではないでしょうか。CCCは委託構成でいけるのでは?共同利用で穴を空ける実益あるの?』
という返事をもらい、また、別途
『Tポイント制度はCCCが主宰するビジネスモデルでありそれを支えるのが同社の情報システムである。加盟店だけを分解的に取り上げればPOSデータ+αとT番号だけ。彼らに特定個人の識別性はない。しかし個人情報の取扱いという視点ではCCCの委託先であり、CCCの個人情報の取得である。』
というわけで、ポイントサービス事業者→加盟店の個人情報の流れだけでなく、加盟店→ポイントサービス事業者の個人情報の流れも検討に含めないといけないというわけで、それら全体の認識を今日は整理しておきたいと思う(3月2日に更新)。委託構成で可能かどうかについては、私の知識レベルではほとんど対応できないが、素朴に思ったことも記載してみた。
※NPO法人 消費者支援ネット北海道(ホクネット)からの質問への回答では、加盟店→ポイントサービス事業者の個人情報の流れも共同利用と回答されており、下記の論考については、修正が必要な状況である(3月17日)。
※NPO法人 消費者支援ネット北海道(ホクネット)からの質問への回答では、加盟店→ポイントサービス事業者の個人情報の流れも共同利用と回答されており、下記の論考については、修正が必要な状況である(3月17日)。
◆用語の定義等
カルチュア・コンビニエンス・クラブ株式会社又は株式会社Tポイント・ジャパンをサービス事業者、ポイントプログラム参加企業を加盟店という。加盟店については、すべてを調査することは難しいため、株式会社ファミリーマートを代表的な加盟店と想定し、株式会社ファミリーマートの場合に該当することは、全加盟店について該当するとして記載する(当然、間違っていることがありえる)。また、T会員規約等のサービス事業者による規約をサービス事業者規約と総称し、ファミマTカード会員規約等の加盟店の規約を加盟店規約と総称する。
個人情報保護法における個人情報か否かに関わらず、本人(正確には私)が個人情報と思う情報を「個人情報」といい、個人情報保護法における個人情報を「法定個人情報」という。
◆個人情報が渡っているタイミングについて
サービス事業者と加盟店間の個人情報の交換の主なタイミングには、
A.会員登録申し込み時の加盟店→サービス事業者の個人情報の流れ
B.加盟店において購入等を行った場合の加盟店→サービス事業者の個人情報の流れ
C.サービス事業者→加盟店の個人情報の流れ
の3種類が存在する。
◆A.会員登録申し込み時の加盟店→サービス事業者の個人情報の流れの事実認識について
「A.会員登録申し込み時の加盟店→サービス事業者の個人情報の流れ」においては、『★の項目については、お客様からサービス事業者が直接取得させていただき、サービス事業者規約に従って管理・利用させていただきます』と入会申込書に記載されており、また、申込書の宛名は加盟店とサービス事業者の連盟となっている。★の項目とは、氏名、フリガナ、性別、生年月日、自宅の固定電話、携帯電話番号、自宅住所であり、法定個人情報はサービス事業者が直接取得するとされている。加盟店は申込書の取り次ぎを行っているという形式になっているものと思われる(法的な位置づけについては、私には知識不足でわからない)。
一方で、加盟店規約には、『カルチュア・コンビニエンス・クラブ社により取得される個人情報〔入会申込書★印の情報(氏名、住所、性別、生年月日、電話番号)、その更新情報およびその他T会員規約により定められた情報〕』と記載されている一方で『以下の個人情報を取得、保有します。(1) 入会の申込時、変更届出時にお届けいただいた氏名、生年月日、住所、電話番号、職業、勤務先・学校、Eメールアドレスなどの情報。』と記載されており、みずから取得するようにも記載されている。
矛盾なく理解しようとすると、★以外の項目は加盟店が直接取得し、★の項目はサービス事業者が直接取得し、それを加盟店に提供することになっていると考えざるをえない。
しかしながら、加盟店はサービス事業者規約に記載されている目的の範囲内でのみ法定個人情報を利用するしかなく、その場合加盟店におけるクレジットカード発行等の目的に氏名、住所等を利用できなくなる。したがって、加盟店も法定個人情報を直接取得していると考えざるをえない。したがって、『★の項目については、加盟店が取得するとともに、お客様からサービス事業者が直接取得させていただき、サービス事業者規約に従って管理・利用させていただきます』を省略して記載しているものと考えられる。
●加盟店・サービス事業者による個人情報保護法上の建付けについての考察
上記から、加盟店及びサービス事業者においては、「A.会員登録申し込み時の加盟店→サービス事業者の個人情報の流れ」においては、法定個人情報の第3者提供(法第23条に規定する法定個人情報の提供をいう。)は行われておらず、宛名が加盟店及びサービス事業者となっていることから、加盟店及びサービス事業者が各々本人から直接取得していると考えているものと想像される。
●第3者提供の有無についての考察
申込書の取り次ぎを行う際に、当該書面に記載されている法定個人情報の第3者提供を行っていると考えるべきか、それとも単に申込書を引き渡しているだけと考えるべきかについて、私は判断根拠を持っていない。第3者提供を行っているとした方が紳士的であることは間違いない。
●委託構成についての考察
鈴木先生が指摘するように、実態としてサービス事業者は法定個人情報の取得を加盟店に委託していることは間違いないと考えられる。個人情報保護法における委託に該当するかどうかについては、下記に記すように私にはよくわからない。共同利用方式の代わりに委託構成にするということが法第23条第4項第1号に該当するということであれば、否定的である。
△法第22条への該当性
上記のことから、少なくともサービス事業者は申込書の取り次ぎを加盟店に委託しているものと考えられる。これが、単なる書面の取り次ぎ委託なのか、法第22条に規定される「個人データの取扱いの全部又は一部を委託する場合」 に該当するのかは、私には判断する根拠がわからない。第22条に該当するとした方が、紳士的であることは間違いない。
上記のことから、少なくともサービス事業者は申込書の取り次ぎを加盟店に委託しているものと考えられる。これが、単なる書面の取り次ぎ委託なのか、法第22条に規定される「個人データの取扱いの全部又は一部を委託する場合」 に該当するのかは、私には判断する根拠がわからない。第22条に該当するとした方が、紳士的であることは間違いない。
△法第23条第4項第1号への該当性
法第23条第4項第1号への該当性については、前述したように結局否定することになったサービス事業者が一旦取得し、それを加盟店に提供しているという建付けであれば、該当する可能性があると考えられる。しかしながら、前述したように、少なくともサービス事業者と加盟店が各々法定個人情報を本人から直接取得していると考えられ、サービス事業者→加盟店の法定個人情報の提供はないと考えられることから、法第23条4項第1号に該当することはないと考えられる。また、最も紳士的と思われる加盟店がサービス事業者に法定個人情報を提供しているという建付けにおいては、当然該当することはないと思われる。なぜならば、法第23条第4項第1号は、委託の方向と法定個人情報の流れが同一の場合のみ(お金が流れる方向と法定個人情報が流れる方向が同一の場合のみ)規定しているとしか読めないからである。委託に基づいて個人情報を提供するのは(お金が流れる方向と法定個人情報が流れる方向が逆の場合は)消費者からみれば個人情報の販売であり、最も認めがたい(最も本人の同意が必要とされる)形態であり、それが「第三者に該当」しないとして認められることは絶対にないものと消費者としては信じたい(ポイント制度の場合は全体として加盟店がサービス事業者にポイントの運用を委託しているので、委託金額の減額という形になるものの、購入情報に限れば、ポイント購入料金の減額という形で氏名、住所等が加盟店からサービス事業者に販売されていると考えられる)。
◆B.加盟店において購入等を行った場合の加盟店→サービス事業者の流れの事実認識について
「B.加盟店において購入等を行った場合の加盟店→サービス事業者の個人情報の流れ」については、サービス事業者の良くあるご質問への回答によると、T会員番号、日時、店名、金額、ポイント数、商品コードである。武田先生の報告でも、JIPDECによりこのことは確認されている。サービス事業者規約の表現では、
- ポイントプログラム参加企業における利用の履歴(以下「購入品情報」という。)<日時、店名、金額、ポイント数、商品コード>
- サービスご利用内容(以下「購入サービス情報」という。)<日時、店名、金額、ポイント数、商品コード>
- ポイントの付与又は使用等に関する情報(以下「ポイント情報」という。)<ポイント数>
- その他の記述または個人別に付与された番号・記号その他の符号(以下「T番号」という。)<T会員番号>
が加盟店からサービス事業者に渡されているものと思われる(商品コードという名前であっても、サービスも含まれていると想定しているが、そうではない可能性もある。)。
●用語の定義
「購入品情報」及び「購入サービス情報」を合わせて、「購入情報」と総称する。
「購入情報」、「ポイント情報」及び「T番号」を合わせて、「連結可能匿名化情報」と総称する。これは、「購入情報」、「ポイント情報」及び「T番号」のみでは誰の情報か特定できないものの、サービス事業者及び加盟店が保有する他の情報と組み合わせれば誰の情報かを特定できるためである。
第二に、法定個人情報だとすると、その提供について、加盟店が本人同意を取得するか、法第23条第4項第3号に基づいて、加盟店が共同利用する旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の名称について、あらかじめ、本人が容易に知り得る状態に置いていなければならないが、加盟店はサービス事業者と共同利用する旨を本人が容易に知りえる状態に置いているのみで、共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の名称につちえは本人が容易に知りえる状態に置いていないからである(もしかしたら、この認識が間違っていて、サービス事業者規約を引用していれば、それでたりるということかもしれない。その場合は、鈴木先生の指摘のように、共同利用に基づいて法定個人情報としての連結可能匿名化情報が加盟店からサービス事業者に提供されることになる。しかしながら、前述の第一の理由から、そうした認識をサービス事事業者が持っている可能性は低いと思われる)。このように、加盟店保有連結可能匿名化情報は法定個人情報ではないので、加盟店が連結可能匿名化情報をサービス提供事業者に提供することは、法第23条第1項に規定される提供にあたらず、個人情報保護法の規制を受けない。
●加盟店・サービス事業者による個人情報保護法上の建付けについての考察
サービス事業者規約には、『会員がポイントサービスの利用のためにポイントプログラム参加企業においてT-IDを入力又はTカードを提示した場合、当社とポイントプログラム参加企業との間において当該会員の個人情報が相互に提供されることについて、当該会員は同意したとみなされることとさせていただきます。かかる個人情報の提供にご同意いただけない場合には、ポイントプログラム参加企業におけるポイントサービス(ポイントの付与及び使用を含みます)をご利用いただくことはできません』と記載されており、規約上は加盟店及びサービス事業者は連結可能匿名化情報を法定個人情報と認識している、又は法定個人情報とみなされる可能性を踏まえて規約を作成していると考えられるものの、現時点ではサービス事業者は「連結可能匿名化情報」を法定個人情報ではないとしている(法定個人情報ではないと言っている)というのが私の認識である。例えば、サービス事業者の良くあるご質問への回答には、『T会員規約に基づき、Tポイント提携企業の店舗でTカードを提示してお買いものをされた情報は、当社へ提供されます。その際に提供される情報は、T会員番号、日時、店名、金額、ポイント数、商品コードとなり、お客さま個人を特定できる情報は含まれていません。』と記載されている。個人を特定できる情報が含まれていないと記載しているということは、法定個人情報ではないということである。加盟店とサービス事業者を結ぶネットワーク上を流れている「連結可能匿名化情報」については、この認識は間違ってもいないと考えられる。一方で、サービス事業者が受け取った後の連結可能匿名化情報(以下「サービス事業者保有連結可能匿名化情報」という。)は、サービス事業者規約に個人情報と記載されているため、法定個人情報とサービス事業者は認識しているものと考えられる(ただし前述の良くあるご質問への回答では、『お客さまの個人情報を購買履歴や利用履歴と分けて、厳重に管理を行っています。』としており、法定個人情報ではないと説明を行っており、矛盾が生じている。正確に解釈しようとすると、現時点でのサービス事業者の業務内容、業務体制のもとでは購入情報は法定個人情報ではないが、業務内容、業務体制を変更すれば法定個人情報となり、その可能性も含めてサービス事業者規約は作成されているものと考えられる。)。もっとも微妙なのは、加盟店が保有している「連結可能匿名化情報」(以下、「加盟店保有連結可能匿名化情報」という。)であり、加盟店及びサービス提供事業者はこれを法定個人情報ではないと考えていると想像される。
その理由の第一は、前述したように「A.会員登録申し込み時の加盟店→サービス事業者の個人情報の流れ」において氏名、住所等の法定個人情報をサービス事業者が直接取得するとしていることにある。これは、暗に、ポイント事業に関しては、加盟店は、氏名、住所等を保有していないことを意味している。クレジットカード事業のために氏名、住所等を保有していたとしても、それは用途が異なるため、システムや担当者を十分に分け、職務分掌やアクセス権の管理を行っていれば、経済産業省のガイドラインに基づけば、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」にはあたらないと考えられる。クレジットカード事業等のために氏名、住所等が必要ない場合には、氏名、住所等を加盟店は保有していない場合もあると考えられる。その場合は、明らかに個人を識別することはできず、法定個人情報には当たらない。第二に、法定個人情報だとすると、その提供について、加盟店が本人同意を取得するか、法第23条第4項第3号に基づいて、加盟店が共同利用する旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の名称について、あらかじめ、本人が容易に知り得る状態に置いていなければならないが、加盟店はサービス事業者と共同利用する旨を本人が容易に知りえる状態に置いているのみで、共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の名称につちえは本人が容易に知りえる状態に置いていないからである(もしかしたら、この認識が間違っていて、サービス事業者規約を引用していれば、それでたりるということかもしれない。その場合は、鈴木先生の指摘のように、共同利用に基づいて法定個人情報としての連結可能匿名化情報が加盟店からサービス事業者に提供されることになる。しかしながら、前述の第一の理由から、そうした認識をサービス事事業者が持っている可能性は低いと思われる)。このように、加盟店保有連結可能匿名化情報は法定個人情報ではないので、加盟店が連結可能匿名化情報をサービス提供事業者に提供することは、法第23条第1項に規定される提供にあたらず、個人情報保護法の規制を受けない。
以上が、加盟店及びサービス事業者の建付けであると想像する。
●第3者提供の有無についての考察
●第3者提供の有無についての考察
連結可能匿名化情報の加盟店からサービス事業者への提供が法第23条第1項に規定される提供にあたるか否かについては、十分な判断材料を私は有していない。しかしながら、提供にあたるとした方が紳士的であることは間違いないだろう。提供にあたらないとした場合、明らかに法の規定を回避しようという意図が感じられるからである。
また、以下のようにも考えられる。連結可能匿名化情報を連結することができない者に提供する場合は確かに法第23条第1項に規定される提供にあたらないとしてもよいかもしれない。しかしながら、連結することができる者に提供する場合、特に連結できることを知っている場合は、法第23条第1項に規定される提供にあたると解するのが相当ではないかと思われる。それは、実質的な法定個人情報の提供に他ならないからである。
●委託構成についての考察
鈴木先生が指摘するように、実態としてサービス事業者は法定個人情報の取得を加盟店に委託していることは間違いないと考えられる。T番号及びポイント情報はポイントプログラムの実施に必要な情報であり、加盟店がサービス事業者にその取扱いを委託していると考えられる。一方で、購入情報はポイントプログラムに必須の情報ではなく、サービス事業者が加盟店にその提供を委託しているものと考えられる。
個人情報保護法における委託に該当するかどうかについては、第3者提供にあたらないのであれば、そもそも委託構成について検討する必要はないので、ここでは法第23条第1項に規定される提供にあたるとして考えてみたい。結論としては、下記に記すように私にはよくわからない。共同利用方式の代わりに委託構成にするということが法第23条第4項第1号に該当するということであれば、否定的である。
△法第22条への該当性
法第22条に規定される「個人データの取扱いの全部又は一部を委託する場合」 に該当するのか否かは、私には判断する根拠がわからない。素直に言葉どおりに読むならば、取り扱いを委託しているというよりも、提供を委託しているのであるから、法第22条にはあたらないように思える。
法第22条に規定される「個人データの取扱いの全部又は一部を委託する場合」 に該当するのか否かは、私には判断する根拠がわからない。素直に言葉どおりに読むならば、取り扱いを委託しているというよりも、提供を委託しているのであるから、法第22条にはあたらないように思える。
△法第23条第4項第1号への該当性
法第23条第4項第1号への該当性については、該当することはないと考えられる。なぜならば、前述したように、法第23条第4項第1号は、委託の方向と法定個人情報の流れが同一の場合のみ(お金が流れる方向と法定個人情報が流れる方向が同一の場合のみ)規定しているとしか読めないからである。委託に基づいて個人情報を提供するのは(お金が流れる方向と法定個人情報が流れる方向が逆の場合は)消費者からみれば個人情報の販売であり、最も認めがたい(最も本人の同意が必要とされる)形態であり、それが「第三者に該当」しないとして認められることは絶対にないものと消費者としては信じたい(ポイント制度の場合は全体として加盟店がサービス事業者にポイントの運用を委託しているので、委託金額の減額という形になるものの、購入情報に限れば、ポイント購入料金の減額という形で購入情報が加盟店からサービス事業者に販売されていると考えられる)。◆C.サービス事業者→加盟店の個人情報の流れの事実認識について
「C.サービス事業者→加盟店の個人情報の流れ」については、高木先生による『Tポイントは本当は何をやっているのか』が非常に詳しい。本稿の文脈で必要なことを抽出すると、サービス事業者の主張としては、「履歴は統計的にしか使っていないし、B社の情報はB社に提供しているだけだ」とのことなので、現状では第3者への法定個人情報の提供は行われていない。また、「POSクーポンの発券システムは、収集した情報を弊社で一元的に管理しており、弊社から各加盟店企業に提供するわけではなく、POSの発券システムに情報を組み込ませているだけであるので、一方のアライアンス加盟店の情報を他方のアライアンス加盟店に提供することはしていない」とのことなので、第3者への法定個人情報の提供は行われていない。良くあるご質問への回答でも『お客さまの個人情報や購買履歴を一般企業はもちろんのこと、Tポイント提携企業であっても相互に提供することはありません。』としている。
一方、営業資料によると、DBターゲティングメールにおいては、電子メールアドレスが提供されるように思われる。これは、法定個人情報の提供にあたる場合もあるかもしれないが、一般的なメールアドレスであれば、ガイドラインでは法定個人情報にはあたらないとされている。TSUTAYAの購入情報に限定すれば、DB WATCHにおいて第3者提供が行われているようである。ただし、何の情報が開示されているかは記載されておらず、特定の個人を識別できる情報は含まれていない可能性もある。このように、現在明らかとなっている情報からは、加盟店への法定個人情報の提供が行われているという確たる証拠はない。サービス事業者の主張を信じればサービス事業者→加盟店の法定個人情報の提供はなく、信じなければあるかもしれないということになる。
●加盟店・サービス事業者による個人情報保護法上の建付けについての考察
サービス事業者規約においては、加盟店と共同利用するとしており、法第23条第4項第3号に基づき、加盟店への法定個人情報の提供は可能とサービス事業者及び加盟店は認識していると想像される。これは、現在は行っていないとしても、将来行う可能性があることから、その際に本人の同意を再取得しなくても加盟店への法定個人情報の提供が可能となるように規定しているものと想像される。
なお、サービス事業者規定には、『会員がポイントサービスの利用のためにポイントプログラム参加企業においてT-IDを入力又はTカードを提示した場合、当社とポイントプログラム参加企業との間において当該会員の個人情報が相互に提供されることについて、当該会員は同意したとみなされることとさせていただきます。かかる個人情報の提供にご同意いただけない場合には、ポイントプログラム参加企業におけるポイントサービス(ポイントの付与及び使用を含みます)をご利用いただくことはできません』との規定があるが、これは、A加盟店からサービス事業者が受け取った法定個人情報をB加盟店に提供できるとの規定ではなく、あくまでA加盟店とサービス事業者間の法定個人情報の相互提供について規定しようとしているものと想像される。
一方共同利用の規定は、A加盟店から提供をうけ法定個人情報となった情報をB加盟店に提供することを可能にするために規定しているものと想像される。
●委託構成についての考察
加盟店がサービス事業者から法定個人情報を入手するのは、加盟店にとって有用な(マーケティングターゲットとして有望な)個人の取捨選択と当該個人の法定個人情報の提供を加盟店がサービス事業者に委託しているものと考えられる。
△法第22条への該当性
法第22条に規定される「個人データの取扱いの全部又は一部を委託する場合」 に該当するのかは、私には判断する根拠がわからない。素直に言葉どおりに読むならば、取り扱いを委託しているというよりも、提供を委託しているのであるから、法第22条にはあたらないように思える。
△法第23条第4項第1号への該当性
法第23条第4項第1号への該当性については、該当することはないと考えられる。なぜならば、前述したように、法第23条第4項第1号は、委託の方向と法定個人情報の流れが同一の場合のみ(お金が流れる方向と法定個人情報が流れる方向が同一の場合のみ)規定しているとしか読めないからである。委託に基づいて個人情報を提供するのは(お金が流れる方向と法定個人情報が流れる方向が逆の場合は)消費者からみれば個人情報の販売であり、最も認めがたい(最も本人の同意が必要とされる)形態であり、それが「第三者に該当」しないとして認められることは絶対にないものと消費者としては信じたい。
■まとめと感想
鈴木先生は、『CCCの共同利用はCCCと加盟店の双方向の個人データの提供を包括的に適法化するための方便として経産省ガイドライン上の文言から形式的に導いた手法』と指摘しているが、本稿で述べたように、加盟店→ポイントサービス事業者の個人情報の流れについては、共同利用以外の方法で法の趣旨を僭脱しており、共同利用方式を用いるまでもなく本人同意が不要な状況となっているというのが私の認識である。共同利用方式の是非(違法性の検討)の前に、連結可能匿名化情報による法第23条第1項の回避、書面の宛名を変更・追加することによる法第23条第1項の回避の適法性についての検討の方が、より法を回避する意図が明らかという面では優先順位が先ではないだろうか(影響の大きさという面では確かに加盟店を自由に増加できる方が懸念が大きいが)。また、違法性を指摘している法学者も寡聞にして知らない。ガイドラインではこの点についてほとんど明確となっておらず、その点では、各主務大臣は法第8条に規定する『国は、(中略)事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定(中略)措置を講ずるものとする』との義務を満たしていない違法状態にあるのではないだろうか(訓示的な意味しかないといえばないのではあろうが)。個人情報保護法の範囲内においてすら、何年も前から連結可能匿名化の議論を深めておく必要が、抽象的な意味だけでなく、ポイント制度という具体例が存在するレベルにおいてそうだったのではないだろうか。
委託構成での規約の可能性については、法解釈としてどうあるべきかはよくわからないものの、素朴な消費者感情としては、何としても避けてもらいたいと思う。なぜならば、個人情報の実質的な販売が委託として認められそうな感じがするからである。これが大いなる誤解であれば、ありがたい。
2013年2月3日日曜日
ポイントカード事業における共同利用方式の違法性について(個人情報保護法 第 23条第4項第3号部分)
総務省第4回パーソナルデータの利用・流通に関する研究会におけるプレゼンテーション『わが国の個人情報保護法制の立法課題』において、新潟大学大学院実務法学研究科鈴木正朝教授が、ポイントカード事業の「約款の共同利用条項は、公序良俗に反する不当条項であり無効であるというべきである。」との指摘を行っていた。鈴木教授も指摘しているように、「国家権力による公的個人番号(マイナンバー)と社会的権力による民間個人番号(Tカード、Googleアカウント、ケータイ・スマホのID等)は同じ」懸念を抱えており、今日はマイナンバーを離れて、民間個人番号の問題、具体的には上記の「ポイントカード事業における共同利用方式の違法性」について、つらつら考えてみたい。
(本投稿は、法律の素人が個人的な関心から考えたことを記載したものであり、個人情報保護法の解釈について情報提供を行うことを目的にしたものではありません。個人情報保護法の解釈についての情報を必要としている方は、弁護士にご相談ください。)
共同利用方式の適法性を検討するに当たっては、まず、下記の個人情報保護法第23条第4項第3号の解釈から始めることとする。
『個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。』
■個人データ
個人データは、「個人情報データベース等を構成する個人情報をいう。」と第2条第4項で定義されており、「個人情報データベース等」とは、個人情報を含む情報の集合物であって、「特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの」及び「前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの」と第2条第2項で定義されている。
■特定の者との間で
特定の者という表記は、個人情報保護法では、第23条第4項第3号以外には出てこない。「特定の者との間で」との表記は、信託法において、『特定の者との間で、当該特定の者に対し財産の譲渡、担保権の設定その他の財産の処分をする旨並びに当該特定の者が一定の目的に従い財産の管理又は処分及びその他の当該目的の達成のために必要な行為をすべき旨の契約(以下「信託契約」という。)を締結する方法』という規定がある。「特定の者との間」という表記は、個人情報保護法を除くと、前記の信託法を含め、わが国の法令では21の条項において用いられており、すべて契約を締結している場合についての規定である。したがって、個人情報保護法においても、明文化されていないが、立法過程において内閣法制局等は契約を締結することにより共同して利用することとした者という意味において検討したものと思われる。
■共同して利用
「共同して利用」との表記は、わが国の法令では、個人情報保護法以外に、5つの条項で使用されている。しかしながら、特に個人情報保護法の解釈に有用な例は存在しない。第23条第4項の「次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。」との規定から、個人データの提供を受けることが前提となっていることから、「共同して利用」は、「特定の者に契約に基づいて個人データを提供し、提供を受けた者が当該個人データを利用」する場合を含んでいると解される。
ただし、あくまで共同して利用するのであり、その技術的態様として個人データの提供が行われるものであるから、共同利用を停止した場合には、提供を受けた個人データを削除し、保有し続けてはならないことは自明である。
■個人データの管理
個人情報保護法において、「管理」という用語が用いられているのは、第23条第4項第3号のみである。管理という言葉を含む用語で、「個人データの管理」の解釈に有用と思われる用語は、第20条に規定される「安全管理」である。「個人データの管理」には、当然「個人データの安全管理」が含まれると解される。それでは、「個人データの管理」に含まれるのは、「個人データの安全管理」のみであろうか。そうであれば、第23条第4項第3号においても「当該個人データの安全管理に責任を有する」と規定すれば良いことから、「個人データの管理」には「個人データの安全管理」以外が含まれると解される。具体的には、第19条に定める(データ内容の正確性の確保)、第25条に定める(開示)、第26条に定める(訂正等)、第27条に定める(利用停止等)、第28条に定める(理由の説明)、第29条に定める(開示等の求めに応じる手続)等を含む可能性がある。このうち、第19条に定める(データ内容の正確性の確保)については、確実に個人データの管理に含まれると考えられる。それは、個人データ以外の分野においても一般に、正確性の確保はデータの管理の一要素であるからである。権限と責任は表裏一体であることを鑑みると、第2条第5項において「開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ」との規定があることから、開示、利用の停止等も管理に含まれると解される。
■個人データの管理について責任を有する
「個人データの管理について責任を有する」とは、本人に対して、少なくとも安全管理、正確性の確保及び利用の停止等について責任(以下「共同利用代表者の責任」という。)を有するものと考えられる。立法者の意図は、それに加えて、開示、理由の説明、開示等の求めに応じる手続きを定めること等について責任を有しているということである可能性がある。
共同利用代表者の責任は、責任を有する者(以下「共同利用代表者」という。)が保有する個人データについてのみでなく、共同利用代表者以外の共同して利用する者(以下「非代表共同利用者」という。)が保有する個人データの管理についても責任を有していると解される。自ら保有する保有個人データについて管理の責任を有しているのは当然であり、規定が置かれていることは、非代表共同利用者が保有する個人データについて共同利用代表者が本人に対して管理責任を有しているからに他ならない。したがって、共同利用代表者は、例えば第26条に基づいて訂正等が求められた場合には、非代表共同利用者が保有する個人データについても遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行うことについて責任を持たなければならない。共同利用代表者が自ら遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行う必要はないが、契約等に基づき非代表共同利用者が行うことを担保することはもちろん、第22条に定める(委託先の監督)同様に、共同利用者の監督を行う必要がある。明文規定はないものの、第22条が類推適用されるべきと解するのが相当である。そうした契約や監督の実施が無く、単に共同利用者代表者の氏名又は名称について、本人に通知し、又は本人が容易に知り得る状態に置いているだけでは、第3者に該当しないとすることはできない。これは、第3条の「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。」との理念からも明らかといえよう。また、責任を担える実態無く責任を有する者として名称を公表しているとしたら、個人情報を提供した本人を欺罔するものといえる。
また、前述したように非代表共同利用者で無くなった者は、個人データの保有を継続してはならないのであるから、非代表共同利用者と共同利用代表者間の契約においては、契約終了時の個人データの破棄等についての規定が必要である。
■あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき」とは、「あらかじめ本人に通知しているとき、又はあらかじめ本人が容易に知り得る状態に置いているとき」と解される。これは、「あらかじめ本人に通知しているとき又は本人が容易に知り得る状態に置いているとき」という意味であれば、「あらかじめ」の後の読点は不要であるからである。
「あらかじめ」とは、「前もって」の意味であり、「当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。」との項の中の号における規定であるから、文言上は、「共同利用代表者から非代表共同利用者に個人データの提供を行う前に、非代表共同利用者から共同利用代表者に個人データの提供を行う前に、又は非代表共同利用者から別の非代表共同利用者に個人データの提供を行う前に」の意と解される。しかしながら、「個人データの提供を行う前に本人が容易に知り得る状態に置いて」おけば良いだけであれば、本人がそれに気が付く機会はほぼないと考えられる。情報を提供する際には、その後の個人情報の利用について本人も「知りえる状態に置かれた情報」を確認することが可能であるが、一度提供した情報について本人がその利用について「知りえる状態に置かれた情報」を定期的に確認する必要があると規定することは、第3条の「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない」との理念に反する。したがって、「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき」とは「共同利用代表者又は非代表共同利用者が個人情報の提供を本人から受ける前に本人に通知し、又は本人が容易に知り得る状態に置いているとき」の意と解される。
■まとめ
以上の第23条第4項第3号の構成要素毎の検討を踏まえ、改めて第23条第4項第3号の規定の全体解釈を試みると、共同利用について、共同利用者代表者が法第4章第1節に規定する個人情報取扱事業者の義務について代表して責任をとる(義務の実施を確保する)ことから、第3者提供とみなす必要がないとの規定と解される。こうした点では、第15条第2項の「個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない」、第16条第1項の「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない」等の規定の担保についても、非代表共同利用者の利用を含めて、共同利用代表者は責任を本人に対して有していると解される。
■濫用的手法の判断基準について
総務省第4回パーソナルデータの利用・流通に関する研究会『わが国の個人情報保護法制の立法課題』(新潟大学 大学院実務法学研究科 教授 鈴木 正朝)においては、「個人データ管理者が自由に決定し、業種を問わず増減できるよう約款で定める共同利用」を濫用的手法としているが、上記の第23条第4項第3号の解釈によれば、共同利用代表者が非代表共同利用者を自由に決定し、業種を問わず増減できるようにしているからといって直ちに濫用的手法ということはできず、非代表共同利用者の追加に伴い、契約及び監督体制の整備を行うことにより共同利用責任者としての責任を担えているのであれば適法と考えられる。
同プレゼンテーションにある「特に、共同利用者の範囲が日々拡大し、その範囲が本人にまったく予見できないところで、これを認めるときは、本人から見て「特定の者」(23条4項3号)ということはできない。」との指摘については、「■特定の者との間で」の項で示したように、わが国の法令においては、特定の者との記載を契約関係の有無の文脈においてこれまで用いており、個人情報保護法においてのみ本人から見て特定の者であることを指していると解釈することに十分な根拠があるとはいえない。
同プレゼンテーションにある「ポイント加盟事業者に共同利用のための個人情報データベース等へのアクセス権を付与するなどの共同利用の実態がなく」との指摘については、前述したように、共同利用としての実態の有無は、契約関係及び監督体制によって共同利用代表者としての責任を担える実態があるかどうかにより判断されるべきものであり、情報システムの仕組みによりその判断が左右されるとは解されない。電子媒体によってデータを提供している場合であっても、契約解消に伴い提供した情報の破棄が監査により担保されている等々の場合には、共同利用の実態があると解するのが相当である。
ただし、共同利用者の範囲が日々拡大し、その範囲が本人にまったく予見できないところで、これを認めるときに、「本人に著しい不利益を与えかねない」との懸念があることは言をまたない。また、第3条の理念上も、適正な取り扱いが行われているとは言えない。「共同利用者の範囲が日々拡大し、その範囲が本人にまったく予見できないところで、これを認めるときに、本人に著しい不利益を与えかねない」という問題を解消するための個人情報保護法の法解釈が、第23条第4項第3号を『本人から見て「特定の者」』と解釈するしかないのであれば、当該解釈を是とすべきと考えられる。しかしながら、第23条第4項第3号以外の条項により、「共同利用者の範囲が日々拡大し、その範囲が本人にまったく予見できないところで、これを認めるときに、本人に著しい不利益を与えかねない」状況を防ぐことができるのであれば、そうした解釈を採用することは法的安定性の面から望ましくないと考えられる。
現時点では、「共同利用者の範囲が日々拡大し、その範囲が本人にまったく予見できないところで、これを認めるときに、本人に著しい不利益を与えかねない」との懸念の防止は、第15条第1項、第15条第2項及び第16条第1項の規定の解釈により担保できるのではないかと考えている。このため、ポイントカード事業における共同利用方式の違法性についての結論は、第15条第1項、第15条第2項及び第16条第1項の解釈及びそれへの適合性に基づくことになる。この点については、現時点で十分に考察できていないことから、別稿に譲りたいと思う。その解釈が成立しない場合には、改めて第23条第4項第3号の解釈変更を試みてみたい。
■今後の予定
繰り返しとなるが、今後、更に以下の検討が必要と思われる(検討を試みてみたい)。
第一に、共同利用は個人情報の利用の一様態であるから、共同利用の場合の第15条第1項、第15条第2項及び第16条第1項の規定の解釈の文書化を試みる。
第二に、上記解釈により「共同利用者の範囲が日々拡大し、その範囲が本人にまったく予見できないところで、これを認めるときに、本人に著しい不利益を与えかねない」との懸念をどの程度払拭できるかを明確にする。
第三に、法的安定性、一般性(他の懸念に対しても幅広く同じ解釈で対応できるかどうか)等の面から、共同利用方式の濫用の防止策として第15条等の解釈によるものと第23条第4項第3号の解釈によるものといずれが望ましいかを検討する。
第四に、事業者にとっていずれの解釈が望まれるものであるかを推察する。
最後に、上記の検討を総合的にとらえ、「ポイントカード事業における共同利用方式の違法性」について結論を導くと同時にその理由を明確にする。
○補足
素で解釈してみたかったので、産業省のガイドラインは読まずに(以前読んだのははるか昔なのでほぼ忘れている状況で)本稿を書いてみたが、書いた後にガイドラインを読んでみると、かなり近い感じであった。
(本投稿にパロディ的要素はありません)
登録:
投稿 (Atom)