トピックス

2017.08.30
NEWS

匿名加工情報への対応(第3回):匿名加工情報取扱規程・匿名加工情報取扱方針(規程付)

【執筆者:渡邉雅之
本連載では、2017年5月30日に施行された個人情報保護法の改正のうち、匿名加工情報の取扱いについて説明いたします。
第3回では、匿名加工情報取扱規程と匿名加工情報取扱方針について解説いたします。


*「個人情報保護法・マイナンバー法対応規程集」もご覧ください。

匿名加工情報への対応(第1回):匿名化された個人情報の取扱いについて
1 匿名加工情報取扱規程
匿名加工情報の作成・加工、利用、提供に関しては「個人情報取扱規程」とは独立した規程としました。

個人情報取扱事業者が、「個人情報」から「匿名加工情報」を作成・加工する点に関しては、「個人情報取扱規程」の中で規定することも考えられますが、規定が分かり難くなる可能性があること、また、匿名加工情報取扱事業者として、他の個人情報取扱事業者が作成・加工した匿名加工情報の提供を受ける場合と同一の社内規程において定めた方が分かり易いと考えて独立の社内規程としました。

匿名加工情報に関して安全管理措置を講ずる必要があるのは、「加工方法等情報」と「匿名加工情報」です。
「匿名加工情報」とは、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものです(法2条9項)。
これに対して、「加工方法等情報」とは、匿名加工情報の作成に用いられた個人情報から削除した記述等及び個人識別符号並びに加工方法のことです(その情報を用いて当該個人情報を復元することができるものに限ります。)(法36条2項、規則20条)。
「加工方法等情報」に関しては、以下のとおり、法令・ガイドライン上、個人データと同様の安全管理措置を講ずることが求められています(改正保護法36条2項、規則20条、GL(匿名加工情報編)3-3-1)
  
講じなければならない措置 具体例
①加工方法等情報を取り扱う者の権限及び責任の明確化
(規則20条1号)
・加工方法等情報の安全管理措置を講ずるための組織体制の整備
②加工方法等情報の取扱いに関する規程類の整備及び当該規程類に従った加工方法等情報の適切な取扱い並びに加工方法等情報の取扱状況の評価及びその結果に基づき改善を図るために必要な措置の実施
(規則20条2号)
・加工方法等情報の取扱いに係る規程等の整備とこれに従った運用
・従業員の教育
・加工方法等情報の取扱状況を確認する手段の整備
・加工情報等情報の取扱状況の把握、安全管理措置の評価、見直し及び改善
③加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置
(規則20条3号)
・加工方法等情報を取り扱う権限を有しない者による閲覧等の防止
・機器、電子媒体等の盗難等の防止
・電子媒体等を持ち運ぶ場合の漏えい等の防止
・加工方法等情報の削除並びに機器、電子媒体等の廃棄
・加工方法等情報へのアクセス制御
・加工方法等情報へのアクセス者の識別と認証
・外部からの不正アクセス等の防止
・情報システムの使用に伴う加工方法等情報の漏えい等の防止
 
これに対して、「匿名加工情報」について安全管理措置を講ずることは法令上努力義務とされています(法36条6項、GL(匿名加工情報編)3-3-2)。
当該安全管理等の措置については、個人情報と同様の取扱いを求めるものではありませんが、例えば、法20条から22条までに定める個人データの安全管理、従業者の監督及び委託先の監督並びに法35条に定める個人情報の取扱いに関する苦情の処理で求められる措置の例を参考にすることも考えられます。具体的には、事業の性質、匿名加工情報の取扱状況、取り扱う匿名加工情報の性質、量等に応じて、合理的かつ適切な措置を講ずることが望ましいです。

そこで、「加工方法等情報」に関しては、個人データの安全管理措置と同等の安全管理措置の規定を置き(3条~16条)、匿名加工情報の安全管理措置については、17条において、「当社は、個人情報取扱規程における個人データの安全管理措置及び苦情処理の対応を参考にしつつ、匿名加工情報の性質を考慮して安全管理措置及び苦情処理の措置を講ずるものとする。」と規定しています。

匿名加工情報の加工方法に関しては、個人情報保護法ガイドライン(匿名加工情報編)に記載されている加工方法の具体例を規定する(18条)と共に、匿名加工情報の適正な加工についても同ガイドラインに記載されている「想定される加工の事例」をそのまま規定と共に記載しています(19条)。
19条2項においては、個人情報保護委員会「個人情報保護委員会事務局レポート:匿名加工情報~パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」33頁に記載された「個人情報の項目」に関する「想定されるリスク」及び「望ましい加工例」も掲載しています。

同様に、「匿名加工情報の作成時の公表」(20条)、「匿名加工情報の第三者提供時の公表・明示義務」(22条)に関しても、同ガイドラインで示される「公表項目の事例」を記載しています。

2 匿名加工情報保護指針
法令上特に求められているものではありませんが、個人情報における「基本方針」に相当するものとして「匿名加工情報保護指針」を規定化しました。個人情報における「基本方針」と同様に、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「ご質問及びご苦情の窓口」を規定しています。

「作成した匿名加工情報に含まれる「個人情報の項目」の公表」(法36条3項、規則21条、GL(匿名加工情報編)3-4)および「第三者提供をする匿名加工情報に関する公表」(法36条4項、法37条、規則22条、GL(匿名加工情報編)3-5)に関しては、「作成したとき」又は「提供したとき」に行うことが求められるものであり、実際に匿名加工情報に含まれる個人に関する情報の項目が分かるようにする必要があります。したがって、事前にプライバシーポリシーに包括的な記載を掲載するだけでは当該義務を履行したものとは考えらません。(Q&A 11-14)

そこで、『4 当社の作成した匿名加工情報に含まれる「個人に関する情報の項目」当社の作成した匿名個人情報に含まれる「個人に関する情報の項目」は別途ホームページに掲載いたします。』、『5 第三者提供をする匿名加工情報に関する事項 当社が第三者に提供する匿名加工情報に含まれる「個人に関する情報の項目」及びその「提供の方法」は別途ホームページに掲載いたします。』としています。