さて、3/12に指摘した第三者提供記録義務[1]についてだが、その後4月1日に板倉弁護士にご紹介いただいた内閣官房IT室の方々にいろいろ教えていただいたのでそれを共有しておこうと思う。ちなみに、あくまで個人的に教えていただいたのであって、IT室の公式見解では無いので、あとでひっくり返るかもしれないことは十分有り得ることを念頭においてお読みいただきたい。

1. これは名簿屋対策で、本人同意がある場合は除外するはずではなかったか?

3/12の記事では、バグだろうと書いたが、どうもわたしが間違っていたようだ。お話を伺ったところ、本人同意がある場合が除外されていないのは意図的だそうだ。第三者提供全体にトレーサビリティが必要だと考えており、法案25条、26条の記録義務はこれを担保するためのものだから、同意がある場合も対象にすべく起草したとのことであった。

なので、やや驚きではあるが、バグではなかった。

2. だとすると、SNSの公開プロフィールページなども記録義務が提供元にかかるが、現実的ではないのではないか?

SNSの公開プロフィールページというのは、本人その他が書き込んだ情報を一旦データベースに記録して、そこから情報を抽出・加工してページを生成している。もちろん、表示事項は本人同意済みである。一旦検索可能な形でデータベースに記録したものを使っているので、表示されるものは個人データである。例として、筆者のGoogle+の公開ページのスクリーンキャプチャを図1に載せておく。

+NatSakimura/about
(図1)筆者のGoogle+のプロフィールページ

 

これを第三者が閲覧する形になる。閲覧者は第三者なので、提供元のSNSには提供記録の義務がか課せられる。これも先方に確認して、そうなるとのことであった。

これは諸外国では実施されていないたぐいの厳しい規制であり、産業抑制的に働くのではないかということでひとしきり検討した。

記録義務の項目は、新25条に定められているとおり、「当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項」である。

第二十五条 個人情報取扱事業者は、個人データを第三者(第二条第五項
 各号に掲げる者を除く。以下この条及び次条において同じ。)に提供し
 たときは、個人情報保護委員会規則で定めるところにより、当該個人デ
 ータを提供した年月日、当該第三者の氏名又は名称その他の個人情報保
 護委員会規則で定める事項に関する記録を作成しなければならない。た
 だし、当該個人データの提供が第二十三条第一項各号又は第五項各号の
 いずれか(前条の規定による個人データの提供にあっては、第二十三条
 第一項各号のいずれか)に該当する場合は、この限りでない。
 2 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個
 人情報保護委員会規則で定める期間保存しなければならない。

当日の論点は、氏名又は名称を取得することが現実的かということであった。先方は、普通にログを取っていれば良いとの考えで、ページを閲覧している人が誰かは記録を取っているだろうし「IPアドレスがあれば、参照者の氏名・名称もわかるだろう」とのお考えであったようだが、「公開プロフィールページやタイムラインの場合にはどのユーザかはわからないし、IPアドレスを見てもそれが誰のものか、どの社のものかわかるとは限らない。」と説明したところ、氏名や名称、住所などを記録することが現実的でないことはご理解いただけたようだ。

もっとも、当日はこの「氏名又は名称」というのが問題だと思っていたのだが、今日この記事を書くためによく読みなおしてみると「氏名又は名称その他の個人情報保護委員会規則で定める事項」であり、「氏名又は名称及びその他の個人情報保護委員会規則で定める事項」ではない。つまり、読み方としては「(氏名)又は(名称その他の個人情報保護委員会規則で定める事項)」であり、(名称その他の個人情報保護委員会規則で定める事項)が1単語である[2]。であれば、(名称その他の個人情報保護委員会規則で定める事項)として、たとえばIPアドレス単体を定める事項とすれば、ログにあるIPアドレスでも良さそうだ。ただし、ログに記録されるページのアドレスが、どの個人データを含んでいるかわかるようなものにする必要はあって、システム改変が必要になる場合はそれなりにありそうだが。


[1] 崎村夏彦『[個人情報保護法改正] 匿名加工情報と第三者提供記録について』http://www.sakimura.org/2015/03/2924/2/ (2015/3/12)

[2] 吉田 利宏 『元法制局キャリアが教える 法律を読む技術・学ぶ技術[第2版]』 による。この解釈について板倉弁護士(産総研高木先生経由)と鈴木教授(直接)にも確認してみた。板倉弁護士の見解は「『氏名 OR 規則で定める事項(∋名称)』、『規則で定める事項(∋氏名 OR 名称)』双方あり得る。『A又はBその他の規則で定めるC』というときに、AやBは例示であって入らない場合もある」。これに対して鈴木教授の見解は、「理論的に例示列挙だとしても、典型例として条文冒頭に掲げておいて、省略していいゎという運用は、は?という感じでありえんだろうと。」とのことで、悩ましい。

3. 更に、SNSの公開プロフィールページなどの取得記録義務が提供先にかかるが、現実的ではないのではないか?

一方、新26条では参照側が個人情報取扱事業者(個人情報データベース等を事業の用に供している者)だった場合の義務を記載している。

第二十六条 個人情報取扱事業者は、第三者から個人データの提供を受け
 るに際しては、個人情報保護委員会規則で定めるところにより、次に掲
 げる事項の確認を行わなければならない。ただし、当該個人データの提
 供が第二十三条第一項各号又は第五項各号のいずれかに該当する場合は
 、この限りでない。
 一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代
  表者(法人でない団体で代表者又は管理人の定めのあるものにあって
  は、その代表者又は管理人)の氏名
 二 当該第三者による当該個人データの取得の経緯
2 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う
 場合において、当該個人情報取扱事業者に対して、当該確認に係る事項
 を偽ってはならない。
3 個人情報取扱事業者は、第一項の規定による確認を行ったときは、個
 人情報保護委員会規則で定めるところにより、当該個人データの提供を
 受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で
 定める事項に関する記録を作成しなければならない。

これによると、個人情報取扱事業者の社員が業務でSNSのページなどを参照した場合、SNSの名称、代表者氏名及び個人データ取得の経緯調べ、「当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項」を記録しなければならないことになる。ここでも「当該確認に係る事項その他の個人情報保護委員会規則で定める事項」の解釈が問題になる。もしもこれに「誰の情報を取得したか」が入るとすると、かなり難しくなるケースが想定される。

APIでプロフィール情報などを取得している場合には恐らくログを残しているだろうのでまだ良い。だが、プロフィールページ閲覧の場合にログを残しているかは疑わしい。数週間分くらいであれば、ブラウザ履歴に残っているかもしれないが、シークレットモードで参照したら残らないし、そもそも保存期間は5年とかを考えているらしいので、通常のブラウザの履歴ではだめそうである。ブラウザにプラグインでも入れてやるのだろうか?[3]

また、取得の経緯というのは通常提供されないので、これををいかにして取得するかというのも問題になる。API経由での取得の場合、提供元が日本の事業者の場合は特別に項目を作って対応してくれる可能性もある[4]が、海外事業者だと難しかろう。(ちなみに、取得の経緯であるが、多くのSNSでは、本人に寄る直接入力以外に、機械によって自動的に記入されるものや、他事業者経由で取得するものもあるが、どこかで本人同意が入っていれば、これらはみな、「本人同意による」と記載すれば良いらしい。)また、ページを閲覧する時に、そのページの提供者の氏名+住所 or 名称+住所+代表者氏名を記録しているかというと、現状はまったくそんなことは無いわけで、自動化するには、サイト側がこうしたメタデータを標準化された形式で提供しない限り難しい。これらは、API経由の取得でも同じことが言える。動的に新しいサーバに接続して個人データを取得する場合はもちろん、最初に登録した時に記録したとしても、その後代表者が変わった時にそれを記録するためには、やはりプロトコル的に自動で提供されるようになっていないと厳しい[4]

4. 海外事業者はこんな対応はしないだろう。すると、日本の事業者だけが不利な状況に置かれるのではないか?

前述のとおり、このような規制は他国では類を見ないように思われる[5]。したがって、他国の事業者がこのような対応をするかは甚だ疑わしい。日本の事業者だけが追加コストを払うことになり、不利な状況に置かれるのではないかとの疑問が上がってくる。場合によっては海外に移転を事業者が考えたり、同意モデルを捨てて名簿やモデルに走るることもあり得る。現在は遵法精神をもって、第23条2項の抜け穴は使わずに、同意を取得して行っているわけであるが、この同意の取得というのは離脱率が2~3割程度もあるというかなりコストの高いものである。これに対して、名簿屋モデルだと委員会に届け出するだけで、脱落率は原理的にゼロである。コスト換算をすると、名簿屋モデルの方が望ましいとの判断をすることも想像にかたくない。

この点について質問したところ、もしも海外に移転させて日本向けのサービス提供を行う事業者が出た場合には、域外適用の対象となるだろうとのことであった。また、名簿屋として届け出した場合は、委員会の監視をずっと受けることになるのでそのコストをどう考えるかとのことであった[6]

5. 委員会規則がキモ

上記のことからわかることは、結局は委員会規則がキモだということであろう。委員会規則で「名称その他の個人情報保護委員会規則で定める事項」として、「事業者の名称+住所+代表者氏名」などとされたら、提供側は即死だし、逆に「IPアドレスでOK」となればまだ何とかなる。また、取得の経緯も、この日の話のように「本人同意と書けば良い」となればよいが、「直接の受領元と日時」のようになったら、恐らく死ぬ。

受領者側はもうちょっと厳しくて、上記のようにブラウザにプラグインでお入れない限り、法令遵守は難しそうだ。

そう考えると、交通法規のように、「大部分の人は違反しているが、その人達は捕まえない。事故を起こした人と、明らかに怪しい人だけを、この法文を使って捕まえる。」という運用でカバーするという対応になるのかもしれない。これはこれで、どうかと思うのだが…。


[3] その他にもやり方は考えられるだろうが、いずれにせよ現状に比べると負荷が上がる。

[4] オレオレガラパゴス仕様にするのか、それともIETF、OIDF、OASIS、W3Cなど各プロトコルを担当している標準化団体で標準化するのか?(冗談)

[5] EUの規則提案では、本人同意があったことを事業者の立証責任とするという規定があるそうで、逆に言うとそれ以上を求めていないようだ。(出所:産総研高木先生)

[6] 3割脱落するというのは、ヘタしたら売上の3割のコストということである。これに比べたら、監視されるコストなど、正直、大したコストでは無かろう。