はじめに
とうとう改正個人情報保護法が施行されました。今回の改正では、匿名加工情報の概念が組み込まれ、これから新たなビジネスの形が発展していくことが予測されます。今回は匿名加工情報についての概要をみていきたいと思います。
匿名加工情報とは
●匿名加工情報とは
匿名加工情報とは、「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、個人情報を復元することができないようにしたもの」(法2条9項)を言います。
●関連するルールについて
匿名加工情報については、個人情報保護法、政令、規則、個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)で規律が定められています。以下、ガイドラインについては「GL」と記載します。
●個人情報から匿名加工情報へ
匿名加工情報は個人情報を加工し、①特定個人を識別することができず、②個人情報を復元することができないようにしたものを言います。①、②の該当性の判断は、あらゆる手法によって復元することができないよう技術的側面から全ての可能性を排除することまでを求めるものではなく、少なくとも、一般人及び一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者又は匿名加工情報取扱事業者が通常の方法により特定、復元できないような状態にあるかどうかによります。
●統計情報は含まれない
統計処理した結果データは、元々の個人情報の復元自体が不可能であるため、匿名加工情報には該当しません。改正前と同様に規制の対象にはなりません。
●匿名加工情報データベース(法2条10項、GL6頁)
匿名加工情報が整理されて検索性が高められると、情報は「匿名加工情報データベース等」として扱われます(2条10項)。匿名加工情報についての規律は36条以下に定められていますが、36条1項で「匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)」とされています。つまり、規律を受けるのはこの匿名加工情報データベースを構成する匿名加工情報のみです。ばらばらの形で整理されていない匿名加工情報は規律を受けません(GL9頁)。
●匿名加工情報データベースはどんなもの?
匿名加工情報データベースとは「匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を遠視計算機を用いて検索することができるように体系的に構成したもの」をいいます(法2条10項、政令6条)。情報が整理・分類され、他人によって容易に検索可能な状態におかれている状態であればデータベース化されたといえます。コンピューターを用いている場合だけでなく、紙媒体でデータベース化する場合も含まれます(GL6頁)。
加工義務
匿名加工情報を作成する際には36条1項の規律に従う必要があります。
●どんなときに法36条1項の義務が生じるか
「匿名加工情報・・・を作成するとき」に法36条1項の加工義務が生じます。「作成するとき」とは、匿名加工情報として取り扱うために匿名加工情報を作成するときを指します。加工後も個人情報として取り扱う場合や統計情報を作成するために、個人情報を加工する場合には義務は生じません(GL9頁)。
●加工義務の内容
匿名加工情報を作成する際には、「個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない」とされています(法36条1項)。そして、これを受けて規則19条が加工義務の内容を詳細に定めています。
・どうやって加工するのか:削除、置き換え
加工方法としては、削除、置き換えが考えられます。削除は、一部の削除で足りるのか、全部の削除まで求められるのか確認が必要です。また、削除に代えて、元の情報が復元できる規則性を有しない方法で記述を置き換えることも可能です。例えば生年月日の情報を生年の情報に置き換えるて抽象性を高める方法が考えられます。
・特定個人を識別可能な記述等(規則19条2号、GL9頁参考)
氏名のように情報単体で特定の個人を識別ことができるもののほか、住所・生年月日などのように記述が合わさることによって特定の個人を識別することができるものもあります。
例えば、住所情報を加工する場合には、住所情報を削除したり、抽象性を高めて「○○県△△市」というように作り変える方法が考えられます。
・個人識別符号の全削除
個人識別符号は、全て削除、もしくは置換えを行わねばなりません。例えば、生態情報(DNA、顔、虹彩、正門)や、住民票コード、マイナンバーなどです。
・連結符号(規則19条3号、GL11頁)
連結符号は、情報を分散管理している場合に、情報どうしをつなぐ符号です。例えば、サービス会員の情報について、氏名等の基本的な情報と購入履歴を分散管理し、管理用IDを付して連結している場合にはIDが連結符号に当たります。この場合は、IDを削除したり、仮IDに置き換えることが考えられます。
・特異記述(19条4号、GL12頁)
他の個人と著しい差異が認められる事実で、特定個人の識別に至りうるものは削除ないし置換えが必要です。例えば、症例数が極めて少ない病歴、年齢が116歳である事実等です。
・その他の適切な措置(19条5号、GL13頁)
1号~4号の措置をとっても、データベースの性質によっては、個人情報を復元できる状態がある場合のためにおかれた規定です。加工対象となる個人情報データベース等の性質によって加工の対象及び加工の程度は変わり得るため、どの情報をどの程度加工する必要があるかは、加工対象となる個人情報データベース等の性質も勘案して個別具体的に判断する必要があります。例えば、商品の購入履歴について、購入者が極めて限定されている商品の購入履歴が含まれている場合には、個人の識別につながるおそれがあります。そのため、商品情報を一般的な商品カテゴリーに置き換える等の加工が必要です。そのほかにも、GLでは、項目削除、一般化、トップコーディング、ミクロアグリゲーション、データ変換(スワップ)、ノイズ(誤差)付加、擬似データ生成等の措置を挙げています(GL15頁)。
匿名加工情報に関する規律
●36条と37条以下の区別
36条2項~は個人情報取扱事業者が主体、37条~は匿名加工情報取扱事業者が主体として規律されています。また、重要なのは36条2項~が匿名加工情報を自ら作成した場合における規律、37条~が既に作成された匿名加工情報を第三者から取得する場合の規律という点です(法37条括弧書参照)。
●安全管理措置(法36条2項、規則20条、GL16頁)
加工方法に関する情報が漏れると、個人情報の復元のおそれが出てきます。そのため、加工方法が漏洩しないように安全管理措置をとることが求められています(法36条2項、規則20条)。
・権限や責任の明確化(規則20条1号)
加工方法等の情報を取り扱う者の権限・責任を明確に定め、組織体制を整備する必要があります。
・規定整備等(規則2号)
規定の整備と運用、従業員の教育、加工方法等情報の取扱状況を確認する手段の整備、加工方法等情報の取扱状況の把握、安全管理措置の評価、見直し及び改善等を行っていきます。
・他人による情報の取扱防止措置(規則20条3号)
例えば、機器、電子媒体等の盗難等の防止、電子媒体等を持ち運ぶ場合の漏洩等の防止、加工方法等情報へのアクセス制御、アクセス者の識別・認証等を行います。
●作成時の公表義務(36条3項、規則21条、GL19頁)
匿名加工情報を作成したときは、加工情報に含まれる個人に関する情報の項目を公表しなければなりません。公表方法はインターネットその他適切な方法により行われます(規則21条1項)。加工を委託して作成された場合は委託元において公表します(規則21条2項)。
●第三者提供時の公表・明示義務(36条4項、37条、GL20頁)
匿名加工情報を第三者に提供するときは、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければなりません(36条4項、37条)。規則は22条で定められています。具体的な方法としては、公表の方法はネットその他の適切な方法により行われます(規則22条1項、23条1項)。明示の方法は、電子メールを送信する方法又は書面を交付する方法その他適切な方法により明示します(規則22条2項、23条2項)。
●情報取扱い時識別行為の禁止(36条5項、38条、GL22頁)
匿名加工情報を取り扱うにあたっては、他の情報と照合することは許されません。個人情報の復元をする行為を禁止するものです。
●安全管理措置、苦情処理その他取扱い措置の確立と公表(36条6項、39条)
匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければなりません。
個人情報の保護に関する法律(全面施行版、PDF)
個人情報の保護に関する法律施行規則(平成28年10月5日個 人情報保護委員会規則第3号)PDF
個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)