個人情報保護法入門 ７

（５）他の情報と容易に照合することで特定個人を識別できるか？
　個人情報は、非常に広い概念なのですけれども、その外延は比較的明確で、個人情報該当性判断も楽といえば楽です。でも、一部に曖昧なところも残っており、個人情報に該当するか否かよくわからない。それは何かといいますと、今ハンドリングしている情報だけでは特定個人を識別できないけども一定の条件を充たせば個人情報になるという場合です。つまり、それだけでは特定個人を識別できない。しかし、あるデータベースがあって、これと照合すれば特定個人を識別できるような、いわばインデックス的機能を有した情報の場合です。典型的には顧客コードや社員コードのようなＩＤ情報です。断片的な情報といってもいいかもしれません。これが個人情報の該当性判断で非常に悩ましい存在なのです。
　その断片的なＩＤのような情報と他の情報、たとえばデータベースと照合することで特定の個人が識別できるものか、それは容易に照合できるのかということを法は聞いているわけです。これがＹＥＳであれば、ＩＤのようなインデックス的情報も個人情報に該当することになります。
　社員コードなどは果たして個人情報として保護に値するものなのでしょうか？氏名を伏せてハンドリングするために、外部に露出して流通させるためにコード化したということもあり、ある意味では匿名化情報ともいえますので、これが個人情報に該当するとなると、ＩＤの取得においても利用目的の特定や明示、公表などの義務に服することになり、ビジネスが過度に不自由になるようにも思います。
また、複数企業間の情報システムを連携して行き交うＩＰアドレスが個人情報に該当するとなった場合、われわれは本当に義務をきちんんと遵守していけるのだろうかと非常に不安にかられることになるのです。

（６）「他の情報」とは何か？
　ここで重要なのは、「他の情報」とは何かという法解釈です。たとえば、私がある社員コードの番号情報を持っているとします。これが個人情報に該当するためには、人事データベースが必要です。このデータベースが「他の情報」に該当します。「他の情報」が、自社が保有するデータベースのみを指すのであれば、比較的範囲は狭まり、個人情報該当性判断もなんとかしていくことが可能です。しかし、文言上一番広い解釈をしますと、この社員コード以外の世の中にあるすべての情報が「他の情報」に該当します。たとえば、google等の検索エンジンを使い、社員コードで検索して、「鈴木正朝」という名前とマッチングできてしまう状況があれば、私の社員コードは、「個人情報」に該当するということになる。いや、それは容易性が無いと説明すればいいという人がいるかもしれないですが。でも、googleに文字列等を記述しクリックするだけの行為を容易ではないと言い切れるのかというと、やや強弁に過ぎるようにも思います。
　私は、容易性判断基準で調整するのではなく、「他の情報」の解釈で、こうした問題を解決するべきではないかと思っています。ここで「他の情報」というのは、自社が保有する「個人情報データベース等」など限定的に解釈すべきだろうということです。そうでなければ、個人情報取扱事業者は、いつ何時、こうした断片的情報が個人情報になってしまうのか、予見できないことになります。規範に直面することができないのに、法的義務が課せられるかもしれないように解釈する必要があります。ガイドラインでは、実は、まだこのあたりの「他の情報」の解釈基準がクリアではないのです。これは、今後、法を運用する中で整理し、ガイドラインに反映していってもらわなければならない問題だろうと思います。