まるちゃんの情報セキュリティ気まぐれ日記

丸山　様

夏井です。

「収集」も「取得」も，英語のcollectionの訳語だろうと思われます。一般に個人データの収集は，collection of personal dataとして表現されます。

もともと個人情報の収集（取得）が法律上何か問題があるとはまったく考えられていなかった国に新しい概念を持ち込んだわけですので，混乱があるということなんでしょうね。

訳語としては，「収集」のほうが適切だろうと思います。個人情報保護法で用いられている「取得」は適切でないので，可能な限り早く改正されるべきでしょう。

もし「取得」を英訳するとすれば，obtainになるだろうと思います。

仕事の関係もあって個人情報保護法の関連書籍などをたくさん読みましたが，EUの個人データ保護指令（2002年の改正指令も含む。）やOECDのガイドラインなどについて，誰かの和訳を参照しているのは良いのだけれど，原文を見てよく考えた上で書かれたと推定できるものが少ないのは，とても残念なことです。

夏井先生、コメントありがとうございます。
collection of personal dataの訳語であれば、「収集」のほうが正しいですね。ここで、obtainとしていないのは、所有するというニュアンスが入ってくるのを避けたのかなぁ・・・とか思っていたんです。
実は、法案の段階で政府の方から「収集でしょうか？取得でしょうか？」と尋ねられたことがあります。私は、まさに夏井先生の話と同じで「英語ではcollectionなので素直に訳せば収集ですよね・・・。でも、取得でもよいのではないですか？」と軽く答えてしまった記憶があります。で、ちょっと引っかかってたんです。先日、お客さんと雑談している時にそういう話になって、また気になってブログに書いてみました。まぁ、個人情報保護法の対応に追われている人にとっては、のん気な議論かもしれませんが・・・

夏井先生、おかげでなんとなくすっきりした感じです。ありがとうございます。

鈴木正朝です。
　日本国内でも「収集」collectionが広く普及していた中で起草された法律ですから、あえて「取得」という用語選択をされたのだろうと推測されます。
　公定訳というか内閣府の英語資料が公表されていないのでわかりませんが、英訳では、たぶんobtainがあてられるのではないでしょうか。

　英語・日本語ともにそのニュアンスの違いはよくわかりませんが、事業者が主体的かつ自覚的に集めるという意味の「収集」ではなくて、サーバなどにいつの間にか格納されて管理下にあるものも入るんだぞ！という趣旨を込めているかもしれませんね。

　ＥＵのpersonal dataの保護でもなく、米国のprivacyの保護でもなく、第三の道を模索しようという考えもあったのだろうと思います。
　各国法制の調査も行い、かつ欧州駐在経験のある担当官がいたことを考えると、あえて確信犯的に「取得」という用語選択をしているかもしれませんね。そこにはＥＵ型とは違う道を模索するという姿勢を示すという意味も込められているのかなと、私はそういうメッセージを読みとりました。
　日頃ＥＵ型、米国型の法制に疑問を呈されている某米国ロースクールの某教授も、日本型に興味をもたれているようであります。
　日本型も荒削りで問題が多いのでしょうが、さりとて、ＥＵ型、米国型の法制に最適解があるわけでもないとなると、今後はますます日米欧の比較法をたんねんにやって、立法政策論を緻密にやるべきということになるんでしょうね。

　ＨＰの佐藤さんのように国際的ネットワークで仕事をされている方々は、日米欧のハーモナイゼーションも考えてくれよという感じなんでしょうし。

　情報ネットワーク時代において情報をどう国が規律していくべきか、ということは、最近はじまったばかりですから、いきなりいいもんはできないかなぁと。
　国家無謬の信仰に自縛されることなく、自由闊達に産官学の意見交換、内外の意見交換がなされる融通性、柔軟性を期待したいところです。
　ということで、建設的な対案を伴う立法政策論は重要ではないかと思います。

鈴木　様

夏井です。

コンピュータによって自動的に個人情報が集められる結果，コンピュータが勝手に集めているように見える場合，つまり，人間の主体的意思によって自覚的に集めているのではないように見える場合であっても，そのようなシステムを構築または導入したという点にシステムを運用する者の主体性・自覚的な関与が認められるので，やはり，主体的・自覚的に集めていることには変わりがないということになると思います。

EUの個人データ保護指令は，まさにこのような事実認識を前提に構築されているので，電子処理される個人データのcollectionとは，人間の主体的・自覚的な行為であることになりますね。

やはり，「取得」という別の言葉を用いる意味はあまりないように思います。混乱を避けるために，「収集」に統一するための法改正をしたほうが良いでしょう。

丸山です。皆さんコメントありがとうございます。どっちつかずの丸山ですが、collectionという用語でひっかかるのが、委託先のデータセンタが、個人情報を取得？収集？する場合で、それをcollectionというとちょっと違うのかなぁ・・・と思ったんです。
　内閣府はまだ、英語訳を出していないわけですが・・・でてきたら解決するのでしょうかね・・・

丸山　様

夏井です。

委託の場合には，法的には，本人との関係では，委託者が個人情報を取得しているのであり，受託者（委託先）であるデータセンターは委託者である個人情報取扱事業者の手足と同じになるので，collectionしてるのは委託者である個人情報取扱事業者であり，依託された処理は取得した個人情報の利用そのものにほかならないことになると解されます。
したがって，このディメンションでは，本人との関係では，受託者のcollectionを特に観念する必要がないことになります。

他方，委託者と受託者との間では，実質的には第三者提供と同じでありながら，受託という特殊な関係にあることから，第三者移転としては扱わないというのが法の趣旨だと考えられます。
この場合，受託者は，委託者との関係ではcollectionしていることになります。ただ，受託であるがゆえに第三者提供に際しての本人の同意等の要件が排除されているだけだと理解すべきだと思います。

なお，第三者提供の場合には，個人データの提供を受けた第三者は，新たに個人情報を取得することになるのは当然のことなので，個人情報の取得の際の諸要件を満たさないといけないことになりますね。

夏井先生

　結論として、収集と取得の用語選択自体に実質的に明確な違いはないと思いますので、議論の実益があまりないというかなんというか・・・。馴染んでいる用語でいいのだろうと思います。
　でも、今となっては、法令用語として御名御璽まで頂いてしまっておりますから、国民たる事業者は、できる限り法令用語を用いるのが望ましいという程度でしょうか。やはり今後の通用性の程度が違いますし。
　私も馴染んでいた用語から変えるときはずいぶん違和感がありましたが、またまた変えるのも面倒だなぁ（笑）・・・。
　いや改正する都度、つきあって暗記しますが。

　第三者提供と委託先提供の理解は、私も夏井先生と同じです。
　それゆえに、受託によって個人情報を取得する場合も、利用目的を公表しなければならないという原則論が妥当することになるのかなぁとも思います。
　誰から受託しているかを示さないで利用目的を公表しても、本人にはまったくわかるわけもないので、個人の権利利益の保護という観点から評価してもほとんど意味のない義務なんでしょうが・・・（ＴＴ）。

　もしかしたら法律のバグなのかもしれませんが、義務はとりあえず義務ですから、おつきあいしつつ、その上で文句を言ってみるということでいいと思いますけども・・・・。
　３月31日までに１回法定公表事項にはってしまえば、後はずーと使えるし（って、いったいわれわれは何をやっているのでしょうか？）

　そういえば、平成１２年に下記のような意見を言っておりました。
http://www.jisa.or.jp/pdata/opnion/000602-28-j.htm

　今読み返すといろいろ言っていたし、考え方にも変遷があるなぁと思います。

「２．定義」について（１ページ）

（３）基本概念の整理を行うべきである。

　基本法大綱案中に示されている「利用」（OECD理事会勧告に出てくる用語）と「処理等」（EU指令に用いられている用語）との関係が不明確なように思われる。その他、「取得」、「作成」、「加工」、「蓄積」、「維持管理」、「提供」、「流通」、「取扱い」などの概念、関係を整理し、統一的に用いるべきである。

取得の英語訳はAcquir でしたね。