RFIDをめぐる各国の法整備とわが国の課題(5) 〜日本国の電子タグの利用に関するガイドライン(続き) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.11(月)

RFIDをめぐる各国の法整備とわが国の課題(5) 〜日本国の電子タグの利用に関するガイドライン(続き)

特集 特集

●個人識別性のない情報の取り扱い

 政府ガイドライン第6(電子計算機に保存された個人情報データベース等と電子タグの情報を連係して用いる場合における取扱い)は、「事業者が、電子タグに記録された情報のみでは特定の個人を識別できない場合においても、電子計算機に保存された個人情報データベース等と電子タグに記録された情報を容易に連係して用いることができるときであって、特定の個人を識別できるときにあっては、当該電子タグに記録された情報は個人情報保護法上の個人情報としての取扱いを受けることとなる。」と定めている。

 これは、個人情報保護法第2条第1項が「個人情報」の定義として、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう」と定めていることに対応するものである。

 つまり、RFIDタグの中に何らかの情報が記録されている場合、その情報が個人に関連する情報であったとしてもその情報それ自体だけでは個人識別性がない場合には、その記録された情報は「個人情報」ではない。例えば、単なる数字と符号を組み合わせたIDだけが記録されているような場合がそれに該当する。しかし、そのようなIDであっても、RFIDタグの外にある情報と組み合わせることによって個人識別可能なものとなるときは、「個人情報」に転化してしまうことがある。例えば、受信機で読み取られたIDがデータベースシステムに転送され、個人情報データベース内に記録されている他の情報と照合され、その結果として個人識別や課金がなされるような場合がそれに該当する。政府ガイドライン第6は、このような場合を想定し、RFIDタグ内の情報が個人情報データベース内に記録された情報と連係して個人識別情報として機能する場合には個人情報保護法の適用があるということを注意的に示しているのである。

 もちろん、RFIDタグの内部に個人識別情報が記録される場合には、当然に個人情報保護法の適用がある。また、個人情報データベースと連係する場合でなくても、RFIDタグ内の情報とRFIDタグ外の(個人情報データベース以外の)データベースや機器などを連係させて個人識別可能な状態とする場合であっても、それらの機器等との連係によって個人誌識別可能になる場合には、当然に個人情報保護法の適用がある。すなわち、RFIDタグ内の情報が「個人情報データベース」と連係する場合にのみ個人情報保護法が適用されるわけではないということに留意すべきである。

 そして、これらいずれかの場合に該当するときは、当該RFIDタグを運用する個人情報取扱事業者は、個人情報を取得する目的を本人に通知または公表しなければならないし(個人情報保護法第18条)、本人の同意がない限り、通知または公表された目的以外の目的のために当該情報を使用してはならず(同法第16条)、RFIDタグを用いて取得される個人情報について安全管理措置を講じなければならず(同法第20条)、あるいは、個人情報保護法に定める個人情報取扱事業者としてのその他の義務を履行できるようにしながらRFIDタグを運用しなければならない。


●個人情報保護法が適用されない場合の義務

 政府ガイドライン第6は、個人情報保護法の適用のある個人情報取扱事業者に対する義務を定めるものである。しかし、個人情報取扱事業者とならない程度の少ない件数しか扱わない場合でも、個人情報を取得・利用する者が個人情報を保護すべき必要性があることは当然のことである(個人情報保護法第3条)。

 そこで、政府ガイドライン第7(電子タグ内に個人情報を記録する場合における情報収集及び利用の制限)は、「電子タグ内に個人情報を記録して取り扱う事業者は、当該事業者が取り扱う個人情報の件数にかかわらず、個人情報を収集又は利用する場合は、当該電子タグ内に記録された個人情報に関して、利用目的を本人に通知し、又は公表するように努める必要がある。また、当該情報を利用目的以外に利用する場合には、消費者本人の同意を得るよう努める必要がある。」と定めている。

 これは、個人情報保護法第16条及び第18条等に対応するものであるが、個人情報保護法が直接に適用されるという趣旨ではない。

 なお、政府ガイドライン第7は、RFIDタグ内に個人に関する情報が記録される場合のみを定めているが、政府ガイドライン第6と同様に、RFIDタグ内に記録された情報がそれ自体としては個人識別性のないものであったとしても外部のデータベース等と連係することによって個人識別情報として処理可能な場合には、このガイドライン第7を類推して適用すべきであろう。


<参考サイト及び関連報告書>
岡村久道『個人情報保護法』(商事法務、2004)395頁〜400頁

経済産業省:経済産業省・総務省の協同による「電子タグ(ICタグ)に関するプライバシー保護ガイドライン」の公表について
http://www.meti.go.jp/policy/consumer/press/0005294/0/040608denshitagu.pdf
情報化社会に忍び寄る危険 - 産総研・高木浩光氏に聞く
(3) 配慮のない応用とそのほかの危険性(2005/1/1)
http://pcweb.mycom.co.jp/articles/2005/01/01/takagi/003.html

グローバルな情報社会に関する沖縄憲章(仮訳)
http://www.mofa.go.jp/mofaj/gaiko/summit/ko_2000/documents/it1.html


【執筆:明治大学法学部教授・弁護士 夏井高人】

(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×