(執筆者:渡邉雅之)
【前回までのニュース】
改正個人情報保護法ニュース�@:改正の概要とスケジュール
改正個人情報保護法ニュース�A:要配慮個人情報の取得制限と本人確認書類の取得に際しての実務上の影響
改正個人情報保護法ニュース�B:EUのデータ保護指令の要請による改正
近時、企業が、保有する個人データから特定の個人の識別性を低減した情報(ビックデータ)を利活用することが進んできております。
反面、ビックデータには個人情報保護法のようなルールが適用されないため、その利活用の方法について顧客やマスメディアに問題視されることがあります。
東日本旅客 鉄道株式会社(以下「JR 東日本」という。)が 2013 年 6 月に、Suica 利用データから氏名、 電話番号、物販情報等を除外し、生年月日を生年月に変換した上、さらに、SuicaID 番号を 不可逆の別異の番号に変換したデータを外部の会社に提供していたことが明らかになり、多くの利用者から、個人情報の保護、プライバシーの保護 や消費者意識に対する配慮に欠けているのではないかとして批判や不安視する声があがりました。
JR東日本では、「Suica に関するデータの社外への提供についての有識者会議 」の「中間とりまとめ」で利活用の方法について整理し、現在は、社外への提供を希望しない者については、除外を申請する手続を設けております(Suicaに関するデータの社外への提供)。
政府においては、以下のとおり、パーソナルデータの利活用という形で検討が進められ、改正個人情報保護法の中で匿名個人情報に関するルールが新たに設けられました。
□ パーソナルデータの利活用に関する制度見直し方針
_ _ _ _ _平成25年12月20日 高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)決定_
□ パーソナルデータの利活用に関する制度改正大綱
平成26年6月24日 高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)決定
□ パーソナルデータに関する検討会(平成25年 9月 2日〜平成26年12月19日)
事務局:内閣官房IT総合戦略室パーソナルデータ関連制度担当室
個人情報保護法では、目的外利用や第三者提供にあたっての本人の同意(法16条1項、法23条1項1号)は、パーソナルデータの「利活用の壁」とされています。
「本人の同意」の趣旨は、個人の権利利益の侵害を未然防止することですが、「本人の同意」がなくてもがなくてもデータの利活用を可能とする枠組みを設けました。
「匿名加工情報」(改正個人情報保護法2条9項)においては、個人データ等から「個人の特定性を低減したデータ」への加工を、本人の同意の代わりとしております。
EUなどにもない日本独特のローカルルールと言えるでしょう。
「匿名加工情報」(改正個人情報保護法2条9項)の定義
次に掲げる個人情報の区分に応じて当該各号に定められる措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元できないようにしたものです。
�@個人識別符号以外の個人情報
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
�A個人識別符号
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
「匿名加工情報データベース等」の定義
匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
_
「匿名加工情報取扱事業者」(改正個人情報保護法2条10項)の定義
「匿名加工情報データベース等」を事業の用に供しているもの
匿名加工情報の「加工」の例としては以下のものがあります(「逐条解説改正個人情報保護法」(商事法務)参照)
〇特定の個人を識別することとなる項目を削除すること(例:氏名の削除、住所の市町村以下の削除)
〇詳細な項目を一定のまとまりや区分に置き換えること(グルーピング。例:生年月日の年代への置き換え)
〇作成の元となる個人情報と個別に関連付けられるID等の識別子を削除すること。
〇匿名加工情報データベース等に含まれる複数社間のデータの値を入れ替えること
〇分析対象のデータに一定の誤差(ノイズ)を付加すること
〇分析対象のデータの平均から大きく乖離するデータ群をまとめること(トップコーティング)
匿名加工情報の作成者に適用されるルール(改正個人情報保護法36条)
匿名加工情報の作成者には以下のルールが適用されます(別添図の事業者A)。
�@個人情報取扱事業者は、匿名加工情報を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。(適正加工義務)
�A 個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに上記�@により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。(漏えい防止措置義務)
�B 個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。(公表義務)
�C 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。(公表義務・明示義務)
�D 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。(照合禁止義務)
�E個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。(苦情処理・安全管理措置の努力義務)
匿名加工情報の提供を受けた匿名加工情報取扱事業者に適用されるルール
匿名加工情報取扱事業者は、自ら個人情報を作成したもの以外の匿名加工情報(提供を受けた匿名加工情報)について以下の義務を負います(別添図の事業者B・事業者C)。
�@匿名加工情報の提供(公表義務・明示義務)(保護法37条)
匿名加工情報取扱事業者は、匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
�A識別行為の禁止(保護法38条)
匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは匿名加工情報の作成において行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
�B安全管理措置等(保護法39条)
匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
*********************
改正個人情報保護法につきましてご相談等につきましては、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士 渡邉 雅之
(東京事務所)〒100-0006
東京都千代田区有楽町1丁目7番1号
有楽町電気ビルヂング北館9階
TEL : 03-5288-1021
FAX :03-5288-1025
Email:m-watanabe@miyake.gr.jp