【執筆者:渡邉雅之】
本連載では、2017年5月30日に施行された個人情報保護法の改正のうち、匿名加工情報の取扱いについて説明いたします。
第2回では、匿名加工情報について解説いたします。
*「個人情報保護法・マイナンバー法対応規程集」もご覧ください。
匿名加工情報への対応(第1回):匿名化された個人情報の取扱いについて
*『個人情報の保護に関する法律についてのガイドライン (匿名加工情報編)』のことを『GL(匿名加工情報編)』といいます。
1 改正の背景
近時、企業が、保有する個人データから特定の個人の識別性を低減した情報(ビックデータ)を利活用することが進んできております。
反面、ビックデータには個人情報保護法のようなルールが適用されないため、その利活用の方法について顧客やマスメディアに問題視されることがあります。
平成25年6月、東日本旅客株式会社(以下「JR東日本」といいます。)は、Suicaの購買履歴のデータから氏名、電話番号、物販情報等を除外し、生年月日を生年月に変換した上、さらに、SuicaID 番号を不可逆の別異の番号に変換したデータを株式会社日立製作所に提供(提供は7月に実施)することが明らかになり、多くの利用者から、個人情報の保護、プライバシーの保護や消費者意識に対する配慮に欠けているのではないかとして批判や不安視する声があがりました。
その批判の主な原因は、Suicaの購買履歴のデータの販売について、JR東日本が利用者にほとんど事前説明をしていなかったことによるものです。利用規約にはSuicaの購買履歴データの販売、譲渡について記載はなく、規約の変更も行いませんでした。また、文書などによる利用者への告知もありませんでした。
また、JR東日本が本人の申し立てで履歴の販売、譲渡を止められるオプトアウトの窓口を告知していなかった点も問題でした。JR東日本は個人情報保護の問い合わせ窓口で申請があれば、個別に対応していたと主張していましたが、オプトアウトが可能とは周知していませんでした。
政府においては、以下のとおり、パーソナルデータの利活用という形で検討が進められ、改正個人情報保護法の中で「匿名個人情報」に関するルールが新たに設けられました。
_
○パーソナルデータの利活用に関する制度見直し方針(平成25年12月20日 高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)決定)
○パーソナルデータの利活用に関する制度改正大綱(平成26年6月24日 高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)決定)
○パーソナルデータに関する検討会(平成25年9月2日〜平成26年12月19日)
事務局:内閣官房IT総合戦略室パーソナルデータ関連制度担当室
_
個人情報保護法では、目的外利用や第三者提供にあたっての本人の同意(法16条1項、法23条1項1号)は、パーソナルデータの「利活用の壁」とされています。
「本人の同意」の趣旨は、個人の権利利益の侵害を未然防止することですが、「本人の同意」がなくてもがなくてもデータの利活用を可能とする枠組みを設けました。
「匿名加工情報」(保護法2条9項)においては、個人データ等から「個人の特定性を低減したデータ」への加工を、本人の同意の代わりとしております。
ビックデータに関する規律は、プライバシー法制の先進国であるEUなどにもないものであり、日本独特のローカルルールと言えるでしょう。
_
2 定義
(1)匿名加工情報(保護法2条9項、GL(匿名加工情報編)2−1)
「匿名加工情報」とは、次に掲げる個人情報の区分に応じて当該各号に定められる措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元できないようにしたものです。
_
�@個人識別符号以外の個人情報(法2条1項1号)
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
�A個人識別符号(法2条1項2号)が含まれる個人情報
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
_
「個人識別符号以外の個人情報」における「特定の個人を識別することができないように個人情報を加工」とは、特定の個人を識別することができなくなるように当該個人情報に含まれる氏名、生年月日その他の記述等を削除することを意味します。
「個人識別符号が含まれる個人情報」における「特定の個人を識別することができないように個人情報を加工」とは、当該個人情報に含まれる個人識別符号の全部を特定の個人を識別することができなくなるように削除することを意味します(この措置を講じた上で、まだなお個人識別符号以外の個人情報に該当する場合には、同号に該当する個人情報としての加工を行う必要があります。)。
「削除すること」には、「当該一部の記述等」又は「当該個人識別符号」を「復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む」とされています。
「復元することのできる規則性を有しない方法」とは置き換えた記述から、置き換える前の特定の個人を識別することとなる記述等又は個人識別符号の内容を復元することができない方法です。
「特定の個人を識別することができる」とは、情報単体又は複数の情報を組み合わせて保存されているものから社会通念上そのように判断できるものをいい、一般人の判断力又は理解力をもって生存する具体的な人物と情報の間に同一性を認めるに至ることができるかどうかによるものです。匿名加工情報に求められる「特定の個人を識別することができない」という要件は、あらゆる手法によって特定することができないよう技術的側面から全ての可能性を排除することまでを求めるものではなく、少なくとも、一般人及び一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者又は匿名加工情報取扱事業者が通常の方法により特定できないような状態にすることを求めるものです。
「当該個人情報を復元することができないようにしたもの」とは、通常の手法では匿名加工情報から匿名加工情報の作成の元となった個人情報に含まれていた特定の個人を識別することとなる記述等又は個人識別符号の内容を特定すること等により、匿名加工情報を個人情報に戻すことができない状態にすることをいいます。この要件は、あらゆる手法によって復元することができないよう技術的側面から全ての可能性を排除することまでを求めるものではなく、少なくとも、一般人及び一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者又は匿名加工情報取扱事業者が通常の方法により復元できないような状態にすることを求めるものです。
なお、「統計情報」は、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に把握するものです。したがって、統計情報は、特定の個人との対応関係が排斥されている限りにおいては、法における「個人に関する情報」に該当するものではないため、改正前の法においても規制の対象となりません。
また、「安全管理措置の一環として氏名等の一部の個人情報を削除(又は他の記述等に置き換え)した上で引き続き個人情報として取り扱う場合」、「匿名加工情報を作成するために個人情報の作成作業が完了しておらず加工が不十分である可能性がある場合に引き続き個人情報として取り扱う場合」、「統計情報を作成するために個人情報を加工する場合」等については、匿名加工情報を「作成するとき」(改正保護法36条1項)には該当しませんので、匿名加工情報として扱う必要はありません(PC886)。
なお、要配慮個人情報(保護法2条3項)についても特定の個人を識別することができないようにした場合には「匿名加工情報」とすることができます。ただし、数百万人に一人の難病のような特異な情報に該当する場合については、匿名加工基準(下記4(1))に従って排除することになると考えられます。要配慮個人情報から作成した匿名加工情報についても、改正保護法36条から39条の規定に基づき適切に取り扱われる必要があります。
_
(2)匿名加工情報データベース等(保護法2条10項、令案6条)
「匿名加工情報データベース等」とは、これに含まれる匿名加工情報を一定の規則に従って整理することにより特定の匿名加工情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいいます。
「個人情報」における「個人情報データベース等」(保護法)とパラレルの概念です。
「匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの」とは、特定の匿名加工情報をコンピュータを用いて検索することができるように体系的に構成した、匿名加工情報を含む情報の集合物をいいます。また、コンピュータを用いていない場合であっても、紙媒体の匿名加工情報を一定の規則に従って整理・分類し、特定の匿名加工情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものも該当します。
_
(3)匿名加工情報取扱事業者(保護法2条10項)
「匿名加工情報取扱事業者」とは、匿名加工情報データベース等を事業の用に供しているものをいいます。
「個人情報」における「個人情報取扱事業者」とパラレルの概念です。
ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問いません。なお、法人格のない、権利能力のない社団(任意団体)又は個人であっても匿名加工情報データベース等を事業の用に供している場合は匿名加工情報取扱事業者に該当します。
_
3 匿名加工情報における加工の手法例
匿名加工情報の「加工」の例としては以下のものがあります(GB(匿名加工情報編)(別表1)を基に修正)。これらは、匿名加工情報の作成に当たっての一般的な加工手法を例示したものであり、その他の手法を用いて適切に加工することを妨げるものではありません。
_
手法名
解説
項目削除/レコード削除/セル削除
加工対象となる個人情報データベース等に含まれる個人情報の記述等を削除するもの。
例えば、年齢のデータを全ての個人情報から削除すること(項目削除)、特定の個人の情報を全て削除すること(レコード削除)、又は特定の個人の年齢のデータを削除すること(セル削除)。
一般化
加工対象となる情報に含まれる記述等について、上位概念若しくは数値に置き換えること又は数値を四捨五入などして丸めることとするもの。
例えば、『購買履歴のデータで「きゅうり」を「野菜」に置き換えること』や『生年月日を年代に置き換えること』
トップ(ボトム)コーディング
加工対象となる個人情報データベース等に含まれる数値に対して、特に大きい又は小さい数値をまとめることとするもの。
例えば、年齢に関するデータで、80歳以上の数値データを「80歳以上」というデータにまとめること
ミクロアグリゲーション
加工対象となる個人情報データベース等を構成する個人情報をグループ化した後、グループの代表的な記述等に置き換えることとするもの。
データ交換(スワップ)
加工対象となる個人情報データベース等を構成する個人情報相互に含まれる記述等を(確率的に)入れ替えることとするもの。
ノイズ(誤差)の付加
一定の分布に従った乱数的な数値を付加することにより、他の任意の数値へと置き換えることとするもの。
疑似データ生成
人工的な合成データを作成し、これを加工対象となる個人情報データベース等に含ませることとするもの。
_
平成29年2月に「個人情報保護委員会事務局レポート:匿名加工情報〜パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」においては、以下のとおり個人情報の項目と想定されるリスク及び加工例が示されています。
_
〇情報の項目と想定されるリスク及び加工例
項目
想定されるリスク
望ましい加工方法
�@個人属性情報
氏名
それ自体個人を特定できる。
全部削除(項目削除)
生年月日
住所(郵便番号)、性別との組合せにより、個人の特定につながる可能性がある。
・原則として、年か日の何れかを削除する。必要に応じて生年月、年齢、年代等に置き換える。(丸め)
・超高齢であることが分かる生年月日や年齢を削除する。(セル削除/トップコーディング)
性別
住所(郵便番号)、生年月日との組合せにより、個人の特定につながる可能性がある。
他の情報との組合せによって必要がある場合は削除する。(項目削除)
住所
・生年月日、性別との組合せにより、個人の特定につながる可能性がある。
・本人にアクセスすることができる。
・原則として、町名、番地、マンション名等の詳細を削除する。(丸め)
・レコード総数等に応じて、県単位や市町村単位へ置き換える。(丸め)
郵便番号
生年月日、性別等との組合せにより個人の特定に結びつく可能性がある。
下四桁を削除する。(丸め)
マイナンバー
それ自体で個人情報とされている。
(個人識別符号)
全部削除する。(項目削除)
パスポート番号
それ自体で個人情報とされている。
(個人識別符号)
全部削除する。(項目削除)
顔認証データ
それ自体で個人情報とされている。
(個人識別符号)
全部削除する。(項目削除)
固定電話番号
・多くの事業者が収集しており、異なるデータセット間で個人を特定するための識別子として機能し得る。
・本人にアクセスすることができる。
原則として、加入者番号(下4桁)を削除。(丸め)
携帯電話番号
・多くの事業者が収集しており、異なるデータセット間で個人を特定するための識別子として機能し得る。
・本人にアクセスすることができる。
全部削除する。(項目削除)
�@個人属性情報
クレジットカード番号
・多くの事業者が収集しており、異なるデータセット間で個人を特定するための識別子として機能し得る。
・本人に直接被害を与え得る。
全部削除する。(項目削除)
サービスID、アカウントID
多くの事業者で共用されるID の場合は、個人を特定するための識別子として機能する。
全部削除する。(項目削除)
電子メールアドレス
・多くの事業者が収集しており、異なるデータセット間で個人を特定するための識別子として機能し得る。
・本人にアクセスすることができる。
全部削除する。(項目削除)
端末ID
多くの事業者で共用される端末ID の場合は、個人を特定するための識別子として機能する。
全部削除する。(項目削除)
職業
・住所や年収等との組合せにより、個人の特定につながる可能性がある
・勤務先名を職種等のカテゴリーに置き換える。(一般化)
年収
・職業や住所等との組合せにより、個人の特定につながる可能性がある。
・超高年収の場合、それ自体から個人を特定できる可能性がある。
・具体的な年収を収入区分へ置き換える。(丸め)
・超高収入の値を削除する。(セル削除/トップコーディング)
家族構成
・住所等との組合せにより、個人の特定につながる可能性が高くなる。
・具体的な家族人数を人数区分へ置き換える。(丸め)
・詳細な家族構成を世帯構成区分(単身、親子、三世帯等)へ置き換える。(丸め)
�A履歴情報
購買履歴
・購入店舗や購買時刻に関する情報と他のデータセットに含まれる位置情報等との組合せにより、個人の特定につながる可能性がある。
・特異な物品の購買実績と居住エリア等との組合せにより、個人の特定につながる可能性がある。
・購入店舗や購買時刻の詳細な情報を削除する。(丸め)
・特異な購買情報(超高額な利用金額や超高頻度の利用回数等)を削除する。(セル削除/トップコーディング)
乗降履歴
・乗降実績の極めて少ない駅や時間帯の履歴から、個人の特定につながる可能性がある。
・定期区間としての利用が極めて少ない駅の情報から、個人の特定につながる可能性がある。
・利用が極めて少ない駅や時間帯の情報を削除する。時刻情報を時間帯に置き換える。(セル削除/丸め)
・定期区間に極めて少ない利用駅が含まれるものを削除(セル削除)
位置情報(移動履歴)
・夜間や昼間の滞在地点から自宅や勤務先等を推定できる可能性あり。
・詳細な位置情報と時刻情報の組合せが異なるデータセット間で識別子として機能し得る。
・所定エリア内の位置情報が極めて少ない場合に、個人の特定に結びつく可能性がある。
・自宅や勤務地点等の推定につながる始点・終点を削除する。(丸め)
・位置情報若しくは時刻情報の詳細部分を削除する。(丸め)
・位置情報が少ないエリアの値にノイズを加える。(ノイズ付加)
・所定数以上の位置情報になるようエリアを区切る。(丸め)
電力利用履歴
・特異な電力使用量と他の情報との組合せにより、個人の特定につながる可能性がある。
・生活スタイルや家族構成を推定できる可能性がある。
・極めて大きい電力使用量の情報を削除する。(セル削除/トップコーディング)
(出典)個人情報保護委員会「個人情報保護委員会事務局レポート:匿名加工情報〜パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」
4 匿名加工情報の作成者に適用されるルール(保護法36条)
匿名加工情報の作成者には以下のルールが適用されます。
(1)適正加工義務(改正保護法36条1項、規則19条、GL(匿名加工情報編)3−2)
個人情報取扱事業者は、匿名加工情報を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければなりません(保護法36条1項)。
「作成するとき」は、匿名加工情報として取り扱うために、当該匿名加工情報を作成するときのことを指します。したがって、例えば、「安全管理措置の一環として氏名等の一部の個人情報を削除(又は他の記述等に置き換え)した上で引き続き個人情報として取り扱う場合」、あるいは「統計情報を作成するために個人情報を加工する場合」等については、匿名加工情報を「作成するとき」には該当しません。
「個人情報保護委員会規則で定める基準」(いわゆる「匿名加工基準」)については以下のとおり定められています(規則19条各号)。
_
ア 特定の個人を識別することができる記述等の削除(規則19条1号、GL(匿名加工情報編)3−2−1)
個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
_
個人情報取扱事業者が取り扱う個人情報には、一般に、氏名、住所、生年月日、性別の他、様々な個人に関する記述等が含まれています。これらの記述等は、氏名のようにその情報単体で特定の個人を識別することができるもののほか、住所、生年月日など、これらの記述等が合わさることによって特定の個人を識別することができるものもあります。このような特定の個人を識別できる記述等から全部又はその一部を削除するあるいは他の記述等に置き換えることによって、特定の個人を識別することができないよう加工しなければならなりません。
なお、他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法でなければなりません。例えば、生年月日の情報を生年の情報に置き換える場合のように、元の記述等をより抽象的な記述に置き換えることも考えられます。
仮IDを付す場合には、元の記述を復元することのできる規則性を有しない方法でなければなりません。例えば、仮にハッシュ関数等を用いて氏名・住所・連絡先・クレジットカード番号のように個々人に固有の記述等から仮IDを生成しようとする際、元の記述に同じ関数を単純に用いると元となる記述等を復元することができる規則性を有することとなる可能性がある場合には、元の記述(例えば、氏名+連絡先)に乱数等の他の記述を加えた上でハッシュ関数等を用いるなどの手法を検討することが考えられます。なお、同じ乱数等の他の記述等を加えた上でハッシュ関数等を用いるなどの手法を用いる場合には、乱数等の他の記述等を通じて復元することができる規則性を有することとならないように、提供事業者ごとに組み合わせる記述等を変更し、定期的に変更するなどの措置を講ずることが望ましいです。
_
【想定される加工の事例】
事例1)氏名、住所、生年月日が含まれる個人情報を加工する場合に次の1から3までの措置を講ずる。
1)氏名を削除する。
2)住所を削除する。又は、○○県△△市に置き換える。
3)生年月日を削除する。又は、日を削除し、生年月に置き換える。
事例2)会員ID、氏名、住所、電話番号が含まれる個人情報を加工する場合に次の1、2の措置を講ずる。
1)会員ID、氏名、電話番号を削除する。
2)住所を削除する。又は、○○県△△市に置き換える。
_
イ 個人識別符号の削除(規則19条2号、GL(匿名加工情報編)3−2−2)
個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。(同条2号)
加工対象となる個人情報が、個人識別符号を含む情報であるときは、当該個人識別符号単体で特定の個人を識別できるため、当該個人識別符号の全部を削除又は他の記述等へ置き換えて、特定の個人を識別できないようにしなければなりません。
なお、他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法による必要があります。
_
ウ 情報を相互に連結する符号の削除(規則19条3号、GL(匿名加工情報編)3−2−3)
個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。
個人情報取扱事業者が個人情報を取り扱う上で、例えば、安全管理の観点から取得した個人情報を分散管理等しようとするために、当該個人情報を分割あるいは全部又は一部を複製等した上で、当該個人情報に措置を講じて得られる情報を個人情報と相互に連結するための符号としてID等を付していることがあります。このようなIDは、個人情報と当該個人情報に措置を講じて得られる情報を連結するために用いられるものであり、特定の個人の識別又は元の個人情報の復元につながり得ることから、加工対象となる個人情報から削除又は他の符号への置き換えを行わなければならりません。
個人情報と当該個人情報に措置を講じて得られる情報を連結する符号のうち、「現に個人情報取扱事業者において取り扱う情報を相互に連結する符号」がここでの加工対象となります(「現に個人情報取扱事業者において取り扱う情報」とは、匿名加工情報を作成する時点において取り扱われている情報のことを指し、これから作成する匿名加工情報は含まれません。)。具体的には、ここで対象となる符号は、匿名加工情報を作成しようとする時点において、実際に取り扱う情報を相互に連結するように利用されているものが該当します。例えば、分散管理のためのIDとして実際に使われているものであれば、管理用に附番されたIDあるいは電話番号等もこれに該当します。
なお、他の符号に置き換える場合は、元の符号を復元できる規則性を有しない方法でなければなりません。
【想定される加工の事例】
事例1)サービス会員の情報について、氏名等の基本的な情報と購買履歴を分散管理し、それらを管理用IDを付すことにより連結している場合、その管理用IDを削除する。
事例2)委託先へ個人情報の一部を提供する際に利用するために、管理用IDを付すことにより元の個人情報と提供用に作成した情報を連結している場合、当該管理用IDを仮ID(※)に置き換える。
(※)仮IDを付す際の注意点については、上記ア(特定の個人を識別することができる記述等の削除)を参照のこと。
_
エ 特異な記述の削除(規則19条4号、GL(匿名加工情報編)3−2−4)
特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
一般的にみて、珍しい事実に関する記述等又は他の個人と著しい差異が認められる記述等については、特定の個人の識別又は元の個人情報の復元につながるおそれがあるものです。そのため、匿名加工情報を作成するに当たっては、特異な記述等について削除又は他の記述等への置き換えを行わなければなりません。
ここでいう「特異な記述等」とは、特異であるがために特定の個人を識別できる記述等に至り得るものを指すものであり、他の個人と異なるものであっても特定の個人の識別にはつながり得ないものは該当しません。実際にどのような記述等が特異であるかどうかは、情報の性質等を勘案して、個別の事例ごとに客観的に判断する必要があります。
他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法による必要があります。例えば、特異な記述等をより一般的な記述等に置き換える方法もあり得ます。
なお、規則19条4号の対象には、一般的なあらゆる場面において特異であると社会通念上認められる記述等が該当します。他方、加工対象となる個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等とで著しい差異がある場合など個人情報データベース等の性質によるものは同第5号において必要な措置が求められます。
要配慮個人情報(法2条3項)も特定の個人を識別することができないようにした場合には匿名加工情報とすることができますが、例えば、数百万人に一人の難病のような特異な情報に該当する場合については、本号に基づいて排除することになると考えられます。
【想定される加工の事例】
事例1)症例数の極めて少ない病歴を削除する。
事例2)年齢が「116歳」という情報を「90歳以上」に置き換える。
_
オ 個人情報データベース等の性質を踏まえたその他の措置(規則19条5号、GL(匿名加工情報編)3-2-5)
個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。
匿名加工情報を作成する際には、規則第19条第1号から第4号までの措置をまず講ずることで、特定の個人を識別できず、かつ当該個人情報に復元できないものとする必要があります。
しかしながら、加工対象となる個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等とで著しい差異がある場合など、加工の元となる個人情報データベース等の性質によっては、規則第19条第1号から第4号までの加工を施した情報であっても、一般的にみて、特定の個人を識別することが可能である状態あるいは元の個人情報を復元できる状態のままであるといえる場合もあり得ます。そのような場合に対応するため、上記の措置のほかに必要となる措置がないかどうか勘案し、必要に応じて、上記3(匿名加工情報の加工に係る手法例)の手法などにより、適切な措置を講じなければなりません。
なお、加工対象となる個人情報データベース等の性質によって加工の対象及び加工の程度は変わり得るため、どの情報をどの程度加工する必要があるかは、加工対象となる個人情報データベース等の性質も勘案して個別具体的に判断する必要があります。
特に、購買履歴、位置に関する情報などを含む個人情報データベース等において反復して行われる行動に関する情報が含まれる場合には、これが蓄積されることにより、個人の行動習慣が分かるような場合があり得ます。そのような情報のうち、その情報単体では特定の個人が識別できるとは言えないものであっても、蓄積されたこと等によって特定の個人の識別又は元の個人情報の復元につながるおそれがある部分については、適切な加工を行わなければなりません。
【想定される加工の事例】
事例1)移動履歴を含む個人情報データベース等を加工の対象とする場合において、自宅や職場などの所在が推定できる位置情報(経度・緯度情報)が含まれており、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、推定につながり得る所定範囲の位置情報を削除する。(項目削除/レコード削除/セル削除)
事例2)ある小売店の購買履歴を含む個人情報データベース等を加工の対象とする場合において、当該小売店での購入者が極めて限定されている商品の購買履歴が含まれており、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、具体的な商品情報(品番・色)を一般的な商品カテゴリーに置き換える。(一般化)
事例3)小学校の身体検査の情報を含む個人情報データベース等を加工の対象とする場合において、ある児童の身長が170�Bという他の児童と比べて差異が大きい情報があり、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、身長が150cm以上の情報について「150�B以上」という情報に置き換える。(トップコーディング)
_
オ 適正加工義務に関するQ&A
適正加工基準に従い加工が行われていない場合は、匿名加工情報に該当しないと考えられます。(Q&A11-4)
匿名加工情報を作成するためには、法36 条1項に基づき、施行規則19 条各号で定める基準に従い加工する必要がありますが、各号に定める措置を選択的に講ずればよいものではなく、各号全ての措置を行う必要があります(ただし、該当する情報がない場合は当該措置を講じる必要はない)。なお、プライバシー保護等の観点から追加的に措置を講じていただくことを妨げるものではありません。(Q&A11-5)
匿名加工情報は個人情報を加工して作成するものであり、匿名加工情報を再加工することは新たな別の匿名加工情報の作成には当たるものではないと考えられます。なお、一般的には、加工をした情報と元の匿名加工情報との対応関係が一定程度認められる場合には、同一の匿名加工情報として扱うことが適当であると考えられます。また、匿名加工情報としての取扱いが引き続き求められる場合には、第三者への提供時には当該匿名加工情報に含まれる個人に関する情報の項目及び提供方法を公表する必要があります。(Q&A11-6)
法2条3項に定める要配慮個人情報を含む個人情報を加工して匿名加工情報を作成することも可能です。(Q&A11-7)
氏名のようにそれ単体で特定の個人を識別できるものについては措置が必要となりますが、住所、年齢、性別などのその組合せにより特定の個人を識別できるような記述については、その一部を削除等することにより特定の個人を識別できないようにすることも可能であると考えられます。(Q&A11-8)
氏名と仮ID 等の対応表は加工方法等情報に該当すると考えられます。したがって、当該対応表の破棄までは求められないが、加工方法等情報として施行規則第20 条各号の基準に従って安全管理措置を講ずる必要があります。また、匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、他の情報と照合してはならないとされていることから、当該目的で対応表を利用することはできませんが、匿名加工情報の安全性の検証作業などで利用することもあり得ると考えられます。(Q&A11-10)
_
(2)加工方法等情報に係る安全管理措置(改正保護法36条2項、規則20条、GL(匿名加工情報編)3-3-1)
個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに上記(1)により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければなりません(保護法36条2項)。
「個人情報保護委員会規則で定める基準」については以下のとおり定められています(規則20条)。
�@加工方法等情報(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)をいう。)を取り扱う者の権限及び責任を明確に定めること。
�A加工方法等情報の取扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること。
�B加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置を講ずること。
_
「加工方法等情報」とは、匿名加工情報の作成に用いられた個人情報から削除した記述等及び個人識別符号並びに加工方法のこと(その情報を用いて当該個人情報を復元することができるものに限る。)です。
「その情報を用いて当該個人情報を復元することができるもの」には、例えば、氏名等を仮IDに置き換えた場合における置き換えアルゴリズムに用いられる乱数等のパラメータ又は氏名と仮IDの対応表等のような加工の方法に関する情報が該当し、「年齢のデータを10歳刻みのデータに置き換えた」というような復元につながらない情報は該当しません。
個人情報取扱事業者は、匿名加工情報を作成したときは、3つの安全管理措置を講ずることが求められます。
まず、加工方法等情報を取り扱う者の権限及び責任を明確に定めることです(�@)。これは、個人情報取扱規程等の社内規程の中で加工方法等情報を取り扱う者を定め、その権限と責任を規定することになります。
次に、加工方法等情報の取扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずることです(�A)。加工方法等情報に係る安全管理措置についてPDCAサイクルで管理することを求めております。
1 個人情報取扱規程等の社内規程の中で加工方法等情報の取扱いについて規定化する(Plan)。
2 その社内規程に基づき加工方法等情報を適切に取り扱う(Do)。
3 その取扱いの状況について検証・監査により評価を行う(Check)。
4 その結果に基づき改善する(See)。
_
さらに、加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置を講ずることが求められます(�B)。
これらの安全管理措置の内容は、対象となる加工方法等情報が漏えいした場合における復元リスクの大きさを考慮し、当該加工方法等情報の量、性質等に応じた内容としなければなりませんが、具体的に講じなければならない項目及び具体例については、下記表(加工方法等情報の安全管理で求められる措置の具体例)をご参照ください(GL(匿名加工情報編)3-3-1(別表2))。
_
講じなければならない措置
具体例
�@加工方法等情報を取り扱う者の権限及び責任の明確化
(規則20条1号)
・加工方法等情報の安全管理措置を講ずるための組織体制の整備
�A加工方法等情報の取扱いに関する規程類の整備及び当該規程類に従った加工方法等情報の適切な取扱い並びに加工方法等情報の取扱状況の評価及びその結果に基づき改善を図るために必要な措置の実施
(規則20条2号)
・加工方法等情報の取扱いに係る規程等の整備とこれに従った運用
・従業員の教育
・加工方法等情報の取扱状況を確認する手段の整備
・加工情報等情報の取扱状況の把握、安全管理措置の評価、見直し及び改善
�B加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置
(規則20条3号)
・加工方法等情報を取り扱う権限を有しない者による閲覧等の防止
・機器、電子媒体等の盗難等の防止
・電子媒体等を持ち運ぶ場合の漏えい等の防止
・加工方法等情報の削除並びに機器、電子媒体等の廃棄
・加工方法等情報へのアクセス制御
・加工方法等情報へのアクセス者の識別と認証
・外部からの不正アクセス等の防止
・情報システムの使用に伴う加工方法等情報の漏えい等の防止
_
安全管理措置については、個人情報保護委員会が定める個人情報保護ガイドラインにおいて、規則で定める事項の解説や、講ずべき措置の例示等を記載されています。また、個人情報保護委員会は、実際に匿名加工情報を活用したいと考えている事業者が円滑に制度を利用できるよう平成29年2月に「個人情報保護委員会事務局レポート:匿名加工情報〜パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」を公表しました。
_
(3)匿名加工情報の作成時の公表(改正保護法36条3項、規則21条、GL(匿名加工情報編)3-2)
個人情報取扱事業者は、匿名加工情報を作成したとき、遅滞なく、インターネットの利用その他の適切な方法により、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければなりません(規則21条1項)。
この公表を確認することにより、本人は、自分の個人情報を取り扱っている個人情報取扱事業者が匿名加工情報を作成しているか、及び適正な加工を行っているか確認する端緒となります。
「匿名加工情報を作成したとき」とは、匿名加工情報として取り扱うために、個人情報を加工する作業が完了した場合のことを意味します。すなわち、あくまで個人情報の安全管理措置の一環として一部の情報を削除しあるいは分割して保存・管理する等の加工をする場合又は個人情報から統計情報を作成するために個人情報を加工する場合等を含むものではありません。また、匿名加工情報を作成するために個人情報の加工をする作業を行っている途上であるものの作成作業が完了していない場合には、加工が不十分であること等から匿名加工情報として取り扱うことが適切ではない可能性もあるため「匿名加工情報を作成したとき」とは位置付けられません。
「公表」とは、広く一般に自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいいます。
「遅滞なく」とは、正当かつ合理的な期間であれば公表が匿名加工情報を作成した直後でなくても認められることを意味します。ただし、少なくとも匿名加工情報の利用又は第三者提供をする前に匿名加工情報を作成したことを一般に十分に知らせるに足る期間を確保するものでなければなりません。許容される具体的な期間は、業種及びビジネスの態様によっても異なり得るため、個別具体的に判断する必要があります。
「個人に関する情報の項目」が同じである匿名加工情報を同じ手法により反復・継続的に作成する場合には、最初の匿名加工情報を作成して個人に関する項目を公表する際に、作成期間又は継続的な作成を予定している旨を明記するなど継続的に作成されることとなる旨を明らかにしておくことにより、その後に作成される匿名加工情報に係る公表については先の公表により行われたものと解されます。
なお、他の個人情報取扱事業者との委託契約により個人データの提供を受けて匿名加工情報を作成する場合など委託により匿名加工情報を作成する場合は、委託元において当該匿名加工情報に含まれる個人に関する情報の項目を公表するものとします。この場合は、委託元の個人情報取扱事業者による公表により委託先の個人情報取扱事業者が当該公表をしたものとみなされます(規則21条2項)。
【個人に関する情報の項目の事例】
事例)「氏名・性別・生年月日・購買履歴」のうち、氏名を削除した上で、生年月日の一般化、購買履歴から特異値等を削除する等加工して、「性別・生年・購買履歴」に関する匿名加工情報として作成した場合の公表項目は、「性別」、「生年」、「購買履歴」である。
_
匿名加工情報に含まれる個人に関する情報の項目の公表は、「作成したとき」又は「提供したとき」に行うことが求められるものであり、実際に匿名加工情報に含まれる個人に関する情報の項目が分かるようにする必要があります。したがって、事前にプライバシーポリシーに包括的な記載を掲載するだけでは当該義務を履行したものとは考えられません。(Q&A 11-14)
匿名加工情報に購買履歴が含まれる場合において、当該匿名加工情報の作成時の公表や第三者提供時の公表については、具体的な商品名の公表まで必要はなく、ガイドライン(匿名加工情報編)3−4、3−5にあるように、「購買履歴」等の情報の項目を公表することで足ります。(Q&A11-15)
法36 条3項においては、匿名加工情報を作成したときは、個人に関する情報の項目を公表しなければならないとされていますが、利用目的の公表は求められていません。(Q&A11-16)
_
(4)匿名加工情報の第三者提供時の公表・明示義務(改正保護法36条4項、規則22条、GL(匿名加工情報編)3-5)
ア 第三者提供時の公表
個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、インターネットの利用その他の適切な方法により、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表しなければなりません。
これにより、�@本人との関係で透明性を担保し、本人が苦情を申し出る等の本人関与の機会を提供するとともに、�A個人情報保護委員会が違反を捉えて適切な監督を行う端緒となります。
「提供」とは、匿名加工情報を第三者が利用可能な状態に置くことをいう。匿名加工情報が物理的に提供されていない場合であっても、ネットワーク等を利用することにより、第三者が匿名加工情報を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たります。
「あらかじめ」の期間については、匿名加工情報を第三者に提供することを一般に十分に知らせるに足る期間を確保するものでなければなりません。具体的な期間については、業種及びビジネスの様態によっても異なり得るため、個別具体的に判断する必要があります。
「公表」とは、広く一般に自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいいます。
【公表項目】
(1)第三者に提供する匿名加工情報に含まれる個人に関する情報の項目
事例)「氏名・性別・生年月日・購買履歴」のうち、氏名を削除した上で、生年月日の一般化、購買履歴から特異値等を削除する等加工して、「性別・生年・購買履歴」に関する匿名加工情報として作成して第三者提供する場合の公表項目は、「性別」、「生年」、「購買履歴」である。
(2)匿名加工情報の提供の方法
事例1)ハードコピーを郵送
事例2)第三者が匿名加工情報を利用できるようサーバにアップロード
_
個人に関する情報の項目及び加工方法が同じである匿名加工情報を反復・継続的に第三者へ同じ方法により提供する場合には、最初に匿名加工情報を第三者提供するときに個人に関する項目を公表する際に、提供期間又は継続的な提供を予定している旨を明記するなど継続的に提供されることとなる旨を明らかにしておくことにより、その後に第三者に提供される匿名加工情報に係る公表については先の公表により行われたものと解されます。
なお、匿名加工情報をインターネット等で公開する行為についても不特定多数への第三者提供に当たるため、上記義務を履行する必要があります。
法第36 条第4項及び第37 条における第三者提供時の公表に関しては、提供先名及び利用目的の公表は求められていません。(Q&A11-17)
匿名加工情報の作成時の公表については、匿名加工情報を作成した後、遅滞なく行うこととされており、また第三者提供時の公表については提供に当たってあらかじめ公表することとされています。したがって、個人情報取扱事業者が、匿名加工情報を第三者に提供することを前提として当該情報を作成し直ちに第三者提供をしようとする場合には、匿名加工情報の作成時の公表と第三者提供時の公表が結果的に同時に行われる場合もあり得ると考えられます。(Q&A11-18)
個人情報を提供して匿名加工情報の作成を委託した場合には、匿名加工情報の作成は委託先事業者において行われることになりますが、匿名加工情報の作成は委託元事業者と委託先事業者が共同で行っているものと解されるので、法第36 条の規定は委託元事業者と委託先事業者の双方に課せられると考えられます。ただし、匿名加工情報の作成時の公表については、施行規則第21 条第2項により委託元事業者において行うものとされ、委託先においての公表は必要ありません。(Q&A11-19)
_
イ 第三者提供時の明示
個人情報取扱事業者は、作成した匿名加工情報を第三者に提供するときは、当該第三者に対して、電子メールを送信する方法又は書面を交付する方法その他の適切な方法により、当該提供に係る情報が匿名加工情報である旨を明示しなければなりません。
これにより、当該第三者に匿名加工情報取扱事業者として識別行為の禁止(保護法38条)等の匿名加工情報を取り扱うにあたっての義務を履行することを認識させることになります。
「明示」とは、第三者に対し、提供する情報が匿名加工情報であることを明確に示すことをいいます。明示の方法については、事業の性質、匿名加工情報の取扱状況等に応じ、電子メールを送信する方法又は書面を交付する方法など適切な方法により、その内容が当該第三者に認識されるものである必要があります。
_
(5)識別行為の禁止(保護法36条5項、GL(匿名加工情報編)3-6)
個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならないこととされています。
この識別行為の禁止義務は、匿名加工情報を作成した個人情報取扱事業者自体が、保護法36条各号の義務を遵守することにより、自ら本人の同意なく、自由に作成した匿名加工情報(ビックデータ)を利用できることを前提としています。
匿名加工情報を作成した事業者は、その作成に用いた個人情報を保有しており、「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」(保護法2条1項1号)のではないかと懸念されます。そこで、識別行為の禁止義務(保護法36条5項)により、作成の元になった個人情報に戻すことを禁止しています。
なお、匿名加工情報を作成した個人情報取扱事業者は、作成の元になった個人情報と作成した匿名加工情報を照合することは禁止されていますが、「匿名加工情報を作成する際に個人情報から削除した記述等又は個人識別符号」を保有し続けることは許容されています。
「他の情報」に限定はなく、本人を識別する目的をもって行う行為であれば、個人情報及び匿名加工情報を含む情報全般と照合する行為が禁止されます。また、具体的にどのような技術又は手法を用いて照合するかは問いません。
匿名加工情報を個人情報として利用目的の範囲内で取り扱う場合には、照合は禁止されません。
_
【識別行為に当たらない取扱いの事例】
事例1)複数の匿名加工情報を組み合わせて統計情報を作成すること。
事例2)匿名加工情報を個人と関係のない情報(例:気象情報、交通情報、金融商品等の取引高)とともに傾向を統計的に分析すること。
【識別行為に当たる取扱いの事例】
事例1)保有する個人情報と匿名加工情報について、共通する記述等を選別してこれらを照合すること。
事例2)自ら作成した匿名加工情報を、当該匿名加工情報の作成の元となった個人情報と照合すること。
_
法36 条5項又は38 条に定めるように、(匿名加工情報を取り扱っていたところ、偶然に当該匿名加工情報の作成の元となった個人情報の本人を識別してしまった場合など)匿名加工情報の作成の元となった個人情報の本人を識別するために他の情報と照合しているとはいえない場合は、直ちに識別行為の禁止義務に違反するものではないと考えられます。もっとも、取り扱う匿名加工情報に記述等を付加して特定の個人を識別する状態となった場合には、個人情報の不適正な取得となるので、当該情報を速やかに削除することが望ましいと考えられます。(Q&A 11-21)
匿名加工情報に関しては、法第36 条第5項及び第38 条において、元となった個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならないとされている。匿名加工情報や加工に関する方法の安全性の検証のために他の情報と照合する行為は「当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために・・・照合」という要件に該当するかどうかという観点から個別に判断されるべきものと考えられますが、仮にこの要件に該当しない範囲において法第36 条第6項に定める匿名加工情報の安全管理措置の一環等で適切に行われる場合があれば同項に違反しないものとなり得ると考えられます。(Q&A 11-22)
_
(6)匿名加工情報の安全管理措置等(保護法36条6項、GL(匿名加工情報編)3-3-2)
個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければなりません。
当該安全管理等の措置については、個人情報と同様の取扱いを求めるものではありませんが、例えば、法20条から22条までに定める個人データの安全管理、従業者の監督及び委託先の監督並びに法35条に定める個人情報の取扱いに関する苦情の処理で求められる措置の例を参考にすることも考えられます。具体的には、事業の性質、匿名加工情報の取扱状況、取り扱う匿名加工情報の性質、量等に応じて、合理的かつ適切な措置を講ずることが望ましいです。
なお、匿名加工情報には識別行為の禁止義務が課されている(上記(5)参照)ことから、匿名加工情報を取り扱うに当たっては、それを取り扱う者が不適正な取扱いをすることがないよう、匿名加工情報に該当することを明確に認識できるようにしておくことが重要です。そのため、作成した匿名加工情報について、匿名加工情報を取り扱う者にとってその情報が匿名加工情報である旨が一見して明らかな状態にしておくことが望ましいです。
_
5 匿名加工情報の提供を受けた匿名加工情報取扱事業者に適用されるルール
匿名加工情報取扱事業者は、自ら個人情報を作成したもの以外の匿名加工情報(すなわち、第三者提供を受けた匿名加工情報)について以下の義務を負います(保護法37条〜39条)。
_
(1)匿名加工情報の第三者提供時の公表・明示義務(改正保護法37条、規則23条、GL(匿名加工情報編)3-5)
匿名加工情報取扱事業者は、匿名加工情報を第三者に提供するときは、インターネットの利用その他の適切な方法により、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表しなければなりません。
また、当該第三者に対して、電子メールを送信する方法又は書面を交付する方法その他の適切な方法により、当該提供に係る情報が匿名加工情報である旨を明示しなければなりません。
これは、匿名加工情報を作成した個人情報取扱事業者が当該匿名加工情報を第三者提供をする時の公表・明示義務(改正保護法36条4項、規則22条)と同じ内容です(上記4(4)参照)。
_
(2)識別行為の禁止(改正保護法38条、GL(匿名加工情報編)3-6)
匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは匿名加工情報の作成において行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはなりません。
上記4(5)の匿名加工情報を作成した個人情報取扱事業者に課される識別行為の禁止義務と比較すると、「当該個人情報から削除された記述等若しくは個人識別符号若しくは匿名加工情報の作成において行われた加工の方法に関する情報を取得」することが禁止されている点が厳しいものです。
_
(3)匿名加工情報の安全管理措置等(改正保護法39条、GL(匿名加工情報編)3-3-2)
匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければなりません。
これは、上記4(6)の匿名加工情報を作成した個人情報取扱事業者に課される義務と同一です。