経緯
(ぼかして書いてます、ご了承ください)
私「うちの会社で新規リリースするXXサービスで扱う、ユーザーから集める○○(とある生体由来のデータ)って個人情報になるんでしょうか?
あたらしい分野だから、前例なくてこまってるんですよ。
もし個人情報に該当するんだったら利用規約とか見直したいんですよね。」
社外のアドバイザー的な人「それだったら個情委に相談するといいよ」
・・・こじょうい??
社外のアドバイザー的な人「個人情報保護委員会のことだよ。わりとフランクに話聞いてくれるよ」
私「うーん。ほかに頼れるとこもないし、聞いてみるか」
とりあえず書面で聞いてみた
個人情報委員会では「PPCビジネスサポートデスク」というサービスをされており
1. 個社が検討中の新ビジネスモデルにおける個人情報、仮名加工情報、匿名加工情報等の適正かつ効果的な活用に関する相談
2. 業界又は複数事業者が共通に抱える個人情報、仮名加工情報、匿名加工情報等の適正かつ効果的な活用に関する相談
について相談できます。
「新ビジネスモデル」に該当しそうなので、こちらの窓口に該当しそうです!
応募フォームに具体的な新ビジネスモデルの内容を書きながら
そしてフォームのエラーに苦戦しながら(※1)、格闘しながらなんとか送信すると
翌日電話がかかってきました
担当者「うちの担当ではありませんので、こちらの電話にかけてください」
おおぅ。マジか。了解やで。
※1 ... ヤレバワカル
こちらの窓口に電凸
こちらの窓口とはこちらです。
・・・どう見ても、一般の問い合わせ先なんですが。
一抹の不安を感じながらも「個人情報保護法の解釈」について回答してくれるらしいので電凸してみました!
私「うちの会社で新サービスで扱う、ユーザーから集める○○って生体データ、弊社の考えとしてはこれこれこういう理由(法律の解釈)で、個人情報に該当しないと考えているが、お間違いないでしょうか?(※2)」
担当者「わたくし共では、法解釈はできかねます」
・・・ほらみたことか!
※2 法解釈の見解を聞くときは、自分の考えを明確にした上で、yesかnoで答えられる形式で聞けってばっちゃが言ってた。
電凸後半戦。
ここで「なんの成果も得られませんでした!」では、進撃の巨人が始まってしまうので(※3)
だいぶ食い下がって根掘り葉掘り聞いてみました(※4)ところによれば
どうやら以下のようなボーダーというかしきい値があるようでした。
- 個人情報に該当するかどうかは、やはり個人を特定できるかどうかが争点となる
- 「特定」のイメージは、「不特定多数の人間の情報が格納されたDBから、当該情報を使って特定の1人を探しだせるかどうか」というニュアンスでした。
- その新規サービスのユーザーを全員集めて、当該の生体データを使って誰のものかを特定できるなら、まあ個人情報じゃないの? くらいなフランクな回答をいただきました。
- 補足として、その生体データが仮に単体で個人情報ではなかったとしても、「容易に参照できる他の情報(たとえば同じDBに格納されている情報)」と組み合わせると個人を特定できる場合で、そのデータの集合は個人情報となります。情報単体で個人情報であるかどうかは、システム全体ではあまり意味がないのです。
※3 1巻のオープニングの名ゼリフ
※4 担当者の方、その説はご対応ありがとうございました。
そんなこんなで電話でいろいろヒアリングした体験談でした。
なかなか法解釈って一意に解釈できなくて
事件→裁判→前例がおきないと線引きできないの(これ仕様バグだと思ってます)
なんですが、
そんななかご対応頂いた個情委の皆様、ありがとうございました。