「なぜ、単なる十数ケタの数字の羅列が、個人情報として保護の対象になるのか、そこがさっぱり分からないんですよ。企業ごとの自主的な規制ではダメなんでしょうか…」

 2015年3月10日に閣議決定した個人情報保護法の改正案(ITpro関連記事:個人情報保護法改正案を閣議決定、個人情報の定義は骨子案を踏襲)を巡り、企業や経済団体の担当者から、取材の場でこうした疑問をぶつけられた。

 担当者を困惑させているのが、個人情報の定義を明確化するという名目で新たに導入される「個人識別符号」という概念だ。個人の氏名だけでなく、政府や民間企業が個人に割り当てた符号(数字や文字)を含む情報も、個人情報として保護の対象になる。

 企業や経済団体は、個人情報保護法改正案のどこに、違和感を覚えているのか。経済団体への取材を基に、改めて「符号を法的保護の対象にする」ことの意味について考えてみたい。

国会審議で明らかになった個人識別符号の範囲

 まず、そもそも新たに保護対象として明確化された個人識別符号とは何か、議論のあらましを簡単に振り返ってみよう。

 2015年3月10日に公開された改正法案では、次の(1)(2)に該当する符号のうち、政令で定めるものを「個人識別符号」と定め、個人識別符号を含む情報を「個人情報」として扱うとしている。

(1)身体の一部の特徴を変換した符号で、当該特定の個人を識別できるもの
(2)個人向けサービスの利用や商品の購入に際して割り当てられる符号、又は個人に発行されるカード等に記載・記録される符号で、特定の利用者や購入者等を識別できるもの

(正確な条文は新旧対照表:PDFの10ページを参照)

 このうち(1)が指しているものは、比較的分かりやすい。指紋認証や顔認証などの生体認証データがこれに該当する。

 一方、企業の担当者を大いに困惑させているのが(2)である。

 多くの企業が共用可能なIDは、ある個人についてパーソナルデータを名寄せするのに使えるほか、IDから個人を特定するのも比較的容易になる。なので、氏名同様に保護対象にした方がいい…これが、符号を保護対象にする基本的ロジックである。

 (2)の条文を素直に読むと、運転免許証番号やパスポート番号のほか、携帯電話番号やクレジットカード番号、ポイントカードの会員IDなどが含まれる可能性がある。改めて政令で定めるとは言え、この条文だけでは、どこまで個人識別符号の範囲が広がるか、予測しづらい。

 改正法が閣議決定された後、予算委員会第1分科会(2015年3月10日)や内閣委員会(2015年3月25日)での審議を通じ、政令を起草する内閣官房の担当室が考える個人識別符号の姿が少しずつ明らかになってきた。答弁を基にいくつか項目を拾ってみると、

●含まれるとして例示されたもの
・運転免許証番号
・パスポート番号

●民間企業への聞き取りなどを通じ、政令で決めるとしたもの
・携帯電話番号

●含まれないとしたもの
・携帯端末のID
・IPアドレス
(いずれも個人でなく機械にひも付く符号のため)

 などがある。

 この個人識別符号を巡る論争の象徴ともいえるのが、上に挙げた「携帯電話番号」の扱いだ。