個人データ保護とは何？ ⑤

続き：

 

◉ 誤解される「容易照合性」概念

　実は、ここ数年、国内では、DMPを称する一部のウェブ閲覧履歴収集事業者が、この不文律を破って、提供先で氏名等に紐付く顧客データに突合して結合されるのを予定したビジネスを展開し、アドテク業界の危機感をよそに一部の大手企業でその利用が横行していた。

　このようなケースは、法開始を待つまでもなく、現行法で個人データに該当し、個人データの第三者提供に当たると解釈できるはずである。法の個人情報の定義には、「（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む）」と括弧書き（「容易照合性」と呼ばれる）があるが、本来、この解釈は、個人情報保護法立法時の立案担当者らが執筆した逐条解読書において「事業者……の間で組織的・経常的に相互に情報交換が行われている場合等は、『容易に照合することができ』る場合に当たると考えられる」と説明されてきたように、提供先での照合を予定して提供する事業者においては、個人データの提供に当たると解釈すべきものである。

　この「容易照合性」の解釈をめぐっては、2013年7月に問題となったJR東日本によるSuica乗降履歴の日立製作所への無断販売の事案においても論争になった。提供先で照合できる場合に限り個人データの提供に該当するとする説（提供先基準説）、提供元で照合できる場合も該当するとする説（提供元基準説）が対立した。政府の検討会でも取り上げられ、2015年の国会（前回改正時）の答弁で政府は、法の制定当初より提供元基準説を想定している旨を明らかにした。その経緯を知ってか、リクナビは、提供元であるリクルートにおいて氏名等と照合できないから容易照合性は否定されると理解したのかもしれない。

　しかし、この国会答弁は、提供先基準説を主張する論者が提供元基準説を否定していたことに対してそうではないと言っただけであり、提供先で照合できる場合に該当しないと言ったわけではない。提供元で照合できないなら、容易照合性が否定されると理解するのは、誤解である。

　また、「提供元で照合」といっても、データを提供する際に、提供先がどのように用いるのか不明なまま提供する場合と、提供先の用途を承知で連携して提供する事業とでは前提が異なる。前回改正の際に議論されたのは前者の場合についてであり、「提供先がもしかするとデータの一部について特定の個人を識別するために照合するかもしれないという程度の懸念があっても、容易照合性があるとは解釈しない」という結論であった。

　後者の場合は、そもそも、照合が行なわれることを提供元が認識しているわけで、提供元基準の一部であるとも言える。こちらは前回改正で論点となっていないが、前に書いた逐条解説書に記載されていた解釈なので、そもそも当然に容易照合性がある場合に当たると考えられていたからであろう。今回のリクナビ事案はこちらのケースに当たる。

　個情委が、旧スキームについて不問としたのは、こうした容易照合性の提供元基準整理を誤解した結果ではないかと疑われる。逐条解説書にも前記のとおり記載されているのに、このような判断のブレは看過しがたい。ここ数年で横行するようになった前記のアドテク業界の不文律を破ったDMP事業（後）について、個情委がこれまで取り締まらず放置してきたことが、誤った法解釈を蔓延させ、リクナビ事案の発生至らしめたとも言えよう。

 

　　※　読売新聞「解説スペシャル　個人情報保護法見直し検証　端末の識別情報　規制なし　閲覧履歴　知らずに拡散　顧客情報と紐付け　企業が利用」　　2019年3月20日