RFIDをめぐる各国の法整備とわが国の課題(5) 〜日本国の電子タグの利用に関するガイドライン(続き) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.11.21(水)

RFIDをめぐる各国の法整備とわが国の課題(5) 〜日本国の電子タグの利用に関するガイドライン(続き)

●個人識別性のない情報の取り扱い

特集 特集
●個人識別性のない情報の取り扱い

 政府ガイドライン第6(電子計算機に保存された個人情報データベース等と電子タグの情報を連係して用いる場合における取扱い)は、「事業者が、電子タグに記録された情報のみでは特定の個人を識別できない場合においても、電子計算機に保存された個人情報データベース等と電子タグに記録された情報を容易に連係して用いることができるときであって、特定の個人を識別できるときにあっては、当該電子タグに記録された情報は個人情報保護法上の個人情報としての取扱いを受けることとなる。」と定めている。

 これは、個人情報保護法第2条第1項が「個人情報」の定義として、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう」と定めていることに対応するものである。

 つまり、RFIDタグの中に何らかの情報が記録されている場合、その情報が個人に関連する情報であったとしてもその情報それ自体だけでは個人識別性がない場合には、その記録された情報は「個人情報」ではない。例えば、単なる数字と符号を組み合わせたIDだけが記録されているような場合がそれに該当する。しかし、そのようなIDであっても、RFIDタグの外にある情報と組み合わせることによって個人識別可能なものとなるときは、「個人情報」に転化してしまうことがある。例えば、受信機で読み取られたIDがデータベースシステムに転送され、個人情報データベース内に記録されている他の情報と照合され、その結果として個人識別や課金がなされるような場合がそれに該当する。政府ガイドライン第6は、このような場合を想定し、RFIDタグ内の情報が個人情報データベース内に記録された情報と連係して個人識別情報として機能する場合には個人情報保護法の適用があるということを注意的に示しているのである。

 もちろん、RFIDタグの内部に個人識別情報が記録される場合には、当然に個人情報保護法の適用がある。また、個人情報データベースと連係する場合でなくても、RFIDタグ内の情報とRFIDタグ外の(個人情報データベース以外の)データベースや機器などを連係させて個人識別可能な状態とする場合であっても、それらの機器等との連係によって個人誌識別可能になる場合には、当然に個人情報保護法の適用がある。すなわち、RFIDタグ内の情報が「個人情報データベース」と連係する場合にのみ個人情報保護法が適用されるわけではないということに留意すべきである。

 そして、これらいずれかの場合に該当するときは、当該RFIDタグを運用する個人情報取扱事業者は、個人情報を取得する目的を本人に通知または公表しなければならないし(個人情報保護法第18条)、本人の同意がない限り、通知または公表された目的以外の目的のために当該情報を使用してはならず(同法第16条)、RFIDタグを用いて取得される個人情報について安全管理措置を講じなければならず(同法第20条)、あるいは、個人情報保護法に定める個人情報取扱事業者としてのその他の義務を履行できるようにしながらRFIDタグを運用しなければならない。


●個人情報保護法が適用されない場合の義務

 政府ガイドライン第6は、個人情報保護法の適用のある個人情報取扱事業者に対する義務を定めるものである。しかし、個人情報取扱事業者とならない程度の少ない件数しか扱わない場合でも、個人情報を取得・利用する者が個人情報を保護すべき必要性があることは当然のことである(個人情報保護法第3条)。

 そこで、政府ガイドライン第7(電子タグ内に個人情報を記録する場合における情報収集及び利用の制限)は、「電子タグ内に個人情報を記録して取り扱う事業者は、当該事業者が取り扱う個人情報の件数にかかわらず、個人情報を収集又は利用する場合は、当該電子タグ内に記録された個人情報に関して、利用目的を本人に通知し、又は公表するように努める必要がある。また、当該情報を利用目的以外に利用する場合には、消費者本人の同意を得るよう努める必要がある。」と定めている。

 これは、個人情報保護法第16条及び第18条等に対応するものであるが、個人情報保護法が直接に適用されるという趣旨ではない。

 なお、政府ガイドライン第7は、RFIDタグ内に個人に関する情報が記録される場合のみを定めているが、政府ガイドライン第6と同様に、RFIDタグ内に記録された情報がそれ自体としては個人識別性のないものであったとしても外部のデータベース等と連係することによって個人識別情報として処理可能な場合には、このガイドライン第7を類推して適用すべきであろう。


<参考サイト及び関連報告書>
岡村久道『個人情報保護法』(商事法務、2004)395頁〜400頁

経済産業省:経済産業省・総務省の協同による「電子タグ(ICタグ)に関するプライバシー保護ガイドライン」の公表について
http://www.meti.go.jp/policy/consumer/press/0005294/0/040608denshitagu.pdf
情報化社会に忍び寄る危険 - 産総研・高木浩光氏に聞く
(3) 配慮のない応用とそのほかの危険性(2005/1/1)
http://pcweb.mycom.co.jp/articles/2005/01/01/takagi/003.html

グローバルな情報社会に関する沖縄憲章(仮訳)
http://www.mofa.go.jp/mofaj/gaiko/summit/ko_2000/documents/it1.html


【執筆:明治大学法学部教授・弁護士 夏井高人】

(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

(。・ω・)ゞ !!11月末迄 ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。現在通常料金半額以下!!
(。・ω・)ゞ !!11月末迄 ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。現在通常料金半額以下!!

サイバーセキュリティの専門誌 ScanNetSecurity は 1998年の創刊から20周年を迎え、感謝を込めた特別キャンペーンを実施中。創刊以来史上最大割引率。次は30周年が来るまでこの価格はもうありません!

×