RFIDをめぐる各国の法整備とわが国の課題 ■第5回■

■ 日本国の電子タグの利用に関するガイドライン（続き）

●個人識別性のない情報の取り扱い

　政府ガイドライン第6（電子計算機に保存された個人情報データベース等と電子タグの情報を連係して用いる場合における取扱い）は、「事業者が、電子タグに記録された情報のみでは特定の個人を識別できない場合においても、電子計算機に保存された個人情報データベース等と電子タグに記録された情報を容易に連係して用いることができるときであって、特定の個人を識別できるときにあっては、当該電子タグに記録された情報は個人情報保護法上の個人情報としての取扱いを受けることとなる。」と定めている。

　これは、個人情報保護法第2条第1項が「個人情報」の定義として、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう」と定めていることに対応するものである。

　つまり、RFIDタグの中に何らかの情報が記録されている場合、その情報が個人に関連する情報であったとしてもその情報それ自体だけでは個人識別性がない場合には、その記録された情報は「個人情報」ではない。例えば、単なる数字と符号を組み合わせたIDだけが記録されているような場合がそれに該当する。しかし、そのようなIDであっても、RFIDタグの外にある情報と組み合わせることによって個人識別可能なものとなるときは、「個人情報」に転化してしまうことがある。例えば、受信機で読み取られたIDがデータベースシステムに転送され、個人情報データベース内に記録されている他の情報と照合され、その結果として個人識別や課金がなされるような場合がそれに該当する。政府ガイドライン第6は、このような場合を想定し、RFIDタグ内の情報が個人情報データベース内に記録された情報と連係して個人識別情報として機能する場合には個人情報保護法の適用があるということを注意的に示しているのである。

　もちろん、RFIDタグの内部に個人識別情報が記録される場合には、当然に個人情報保護法の適用がある。また、個人情報データベースと連係する場合でなくても、RFIDタグ内の情報とRFIDタグ外の（個人情報データベース以外の）データベースや機器などを連係させて個人識別可能な状態とする場合であっても、それらの機器等との連係によって個人誌識別可能になる場合には、当然に個人情報保護法の適用がある。すなわち、RFIDタグ内の情報が「個人情報データベース」と連係する場合にのみ個人情報保護法が適用されるわけではないということに留意すべきである。

＜参考サイト及び関連報告書＞
岡村久道『個人情報保護法』（商事法務、2004）395頁〜400頁

経済産業省：経済産業省・総務省の協同による「電子タグ（ICタグ）に関するプライバシー保護ガイドライン」の公表について
http://www.meti.go.jp/policy/consumer/press/0005294/0/040608denshitagu.pdf

情報化社会に忍び寄る危険 - 産総研・高木浩光氏に聞く(3) 配慮のない応用とそのほかの危険性（2005/1/1）
http://pcweb.mycom.co.jp/articles/2005/01/01/takagi/003.html

グローバルな情報社会に関する沖縄憲章（仮訳）
http://www.mofa.go.jp/mofaj/gaiko/summit/ko_2000/documents/it1.html

【執筆：明治大学法学部教授・弁護士　夏井高人】

この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd