「個人に関する情報」って何?
この記事は、「裏 法務系 Advent Calendar 2023」の20日目の記事として投稿します。おけいさんの「走り続けること」からバトンを引き継ぎました。
自身が所属する法律事務所のブログには何度か投稿しているのですが、個人ブログという形で投稿するのは今回がはじめてです。せっかくなので、ちょっと事務所のブログには書きにくい、明確な答えが無さそうに思える個人情報保護法の論点について書こうと思います。もちろん、以下の記載は全て個人の私見に過ぎません。
個人情報分野の仕事をしていると、基本的だけど、何やかや難しいのが、「どこまでが個人情報なの?」という質問だと思います。個人情報保護法上の「個人情報」の定義は次のとおりですが、私が特に悩ましいと感じるのが要件Aの「個人に関する情報」という要件です。
「個人情報」
= 下記の要件A・Bの双方を満たすもの
要件A 生存する個人に関する情報であること |
|
要件B 次のいずれかを満たすこと |
|
|
(a) 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) |
|
(b) 個人識別符号が含まれるもの |
しかも、この「個人に関する情報」という要件を満たすと、仮に要件Bを満たさず「個人情報」にはならなかったとしても、「個人関連情報」に該当してしまいます。この「個人関連情報」については、第三者への提供を一部制限する規制が令和2年改正で導入されました。個人情報保護法の規制が及ぶ情報として、他に「匿名加工情報」や「仮名加工情報」が存在しますが、これらも「個人に関する情報」であることが前提となっています。
他方で、「個人に関する情報」でなければ、個人情報保護法の規制対象ではありません。このように「個人に関する情報」か否かは、個人情報保護法の規制の内外を決める、とても重要な概念です。
「個人に関する情報」の範囲について、「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下「通則GL」)では、次のように説明されています。
「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。 |
〔出典:通則GL2-1〕
これを見ると、「個人に関する情報」の範囲はかなり広いことが分かります。公知であるか否かを問わず、またプライバシー性の有無も問わないものとされています。例えば、甲乙太郎という人が仮にいたとして、その氏名や住所、経歴といった事実関係は勿論のこと、「勤務態度:A」といった評価を表す情報や、持ち物から推測した「この人は多分、お金持ちだろうなぁ」という判断を表す情報まで、全て「個人に関する情報」に該当します。通則GLでは、次のような情報が「個人に関する情報」の例として挙げられています。
事例1)Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴 事例2)メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等 事例3)ある個人の商品購買履歴・サービス利用履歴 事例4)ある個人の位置情報 事例5)ある個人の興味・関心を示す情報 |
〔出典:通則GL2-8〕
他方で、あくまでも「個人の身体、財産、職種、肩書等の属性に関」する情報に限られるため、法人や団体に関する情報は含まれません。
法人その他の団体は『個人』に該当しないため、法人等の団体そのものに関する情報は『個人情報』に該当しない(ただし、役員、従業員等に関する情報は個人情報に該当する。)。 |
〔出典:通則GL2-1〕
例えば、甲乙商事株式会社という法人が仮に存在したとして、「甲乙商事の2023年度の売上高は1億円である」といった情報や、「甲乙商事の従業員数は123名である」といった情報は、「個人の身体、財産、職種、肩書等の属性に関」する情報ではないため、「個人に関する情報」ではありません。
このような事例であれば判断に迷うことはありませんが、次のような情報についてはどうでしょうか。
事例① |
「甲乙商事の法務部長は○×大学出身である」という情報 |
事例② |
「甲乙商事の監査役は1名のみである」という情報 |
事例③ |
「甲乙商事は2024年4月1日付けで新たな法務部長を任命した」という情報 |
事例④ |
「甲乙商事の2024年の定時総会で新たな社外監査役を選任した」という情報 |
事例⑤ |
「ある人が、2024年4月1日付けで甲乙商事の新たな法務部長に任命された」という情報 |
事例⑥ |
事例①については、法務部長(個人)の学歴(属性)に関する情報ですので、「個人に関する情報」に該当することは間違いなさそうです。逆に、事例②については、甲乙商事の監査役が1名という会社の機関構成に関する話に過ぎず、個人の属性に関する情報ではないため、「個人に関する情報」には該当しないでしょう。
では、事例③についてはどうでしょうか。これも、甲乙商事という会社が法務部長を任命したという会社の行為に関する情報に過ぎず、個人の属性に関する情報ではなさそうな気がします。事例④も同様で、会社の機関としての社外監査役を選任したという話であり、個人の属性に関する情報ではないように感じます。
他方で事例⑤や⑥についてはどうでしょう。情報の内容としては結局のところ事例③や④と変わらなそうですが、主語が個人(「ある人」や「新たな監査役」)になっているせいもあり、少し違う印象を受けます。考えてみれば、事例⑤は、ある個人の法務部長という「職種、肩書等の属性」に関して、事実を表した情報と言える気もしてきました。事例⑥も、ある個人が会社の社外監査役であるという事実は、その個人が、過去10年間において当該会社の使用人ではなかったことや、当該会社の取締役等の配偶者又は二親等内の親族ではないことなどの社外監査役の要件を満たすことを示すものであり、やはりその個人の属性に関する情報であるような気もします。
そうだとすると、情報の内容が変わらない事例③や事例④も、実は「個人に関する情報」では無いかという疑問が生じてきます。情報の内容が変わらないのに、文章のつくりだけで「個人に関する情報」に該当したり、該当しなかったりするのは不合理でしょう。しかし、他方で、事例③や事例④が「個人に関する情報」である(=つまり、容易照合性の要件(要件B)を満たせば個人情報になる)というのは、どうも常識に反するような気もします。
この問題について明確な答えは無いように思いますが、ひとつの仮説として、その情報が取り扱われているコンテクスト(文脈・背景)によって「個人に関する情報」であるか否かが異なるのだという考え方はあり得るように思います。すなわち、情報内容としては同一であったとしても、客観的な状況を踏まえて、ある情報が個人の属性に関する事実等を表す情報として取り扱われていると評価される場合には「個人に関する情報」であり、そうでない場合には「個人に関する情報」ではない、という区別を許容する考え方です。
これに関連して興味深いと思ったのが、英国のデータ保護当局(ICO)のウェブサイト上での以下のような解説です。
For example, an individual’s data about their phone or electricity account clearly determines what the individual will be charged. However, data about a house is not, by itself, personal data.
Context is important here. Information about a house is often linked to an owner or resident and consequently the data about the house will be personal data about that individual.
Example Information about the market value of a particular house may be used for statistical purposes to identify trends in the house values in a geographical area. The house is not selected because the data controller wishes to know anything about the occupants, but because it is a four bedroom detached house in a medium-sized town. As soon as data about a house is either:
then that data will be personal data. |
〔出展:ICO - What is the meaning of 'relates to'?〕
これによれば、家屋の情報が “personal data” となるかはコンテクスト次第であるとされています。例えば、ある家屋が、その居住者を調査するためではなく、「中規模の町の4つのベッドルームを持つ家屋である」という理由で選択されたに過ぎない場合には、当該家屋に関する情報は “personal data” ではないものとされています。他方で、当該情報が個人に紐づけられた場合や、個人に関する決定等に用いられた場合には、“personal data”に該当するとされています。
日本の個人情報保護法の「個人に関する情報」の該当性判断においても、情報の内容のみならず、コンテクストを考慮することになるのか、中々に悩ましい論点であると思います。