トピックス

2019.12.17
NEWS

個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第2回「「仮名化情報(仮称)」の創設」~


令和2年( 2020 年) 3月 10 日、「 個人情報の保護に関する法律等の一部を改正する法律案 」 が閣議決定され、 国会 に提出されました 。
※個人情報保護委員会の「「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について」において、法律案、新旧対照表、概要資料等が公表されています。

下記の本ニュースレターでは、改正個人情報保護法の重要論点についてQ&A形式で解説いたします。

Q&A改正個人情報保護法

※こちらもご覧ください。
【改正個人情報保護法】個人関連情報の第三者提供の制限等(改正法26条の2):クッキー(Cookie)などの端末識別子を個人データとして取得する場合は本人の同意が必要に

【改正個人情報保護法】仮名加工情報の創設

令和元年(2019年)12月13日、個人情報保護委員会は、「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(以下「制度改正大綱」という。)を公表し、パブリックコメントとして意見募集を開始した(意見締切:2020年1月14日)[1]。制度改正大綱に基づく内容について、令和2年(2020年)通常国会に個人情報の保護に関する法律(以下「個人情報保護法」という。)の改正法案が提出される予定である。本稿では、制度改正大綱のうち、民間事業者に影響を与える内容を中心に分かりやすく解説する。第2回は、「「仮名化情報(仮称)」の創設」について解説する。

(制度改正大綱)
個人情報保護法 いわゆる3年ごと見直し 制度改正大綱
(全体取りまとめ版)
Q&A個人情報保護法改正の方向性(制度改正大綱を読み解く)
(ニュースレター形式)

個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第1回「端末識別子等の取扱い」~
 個人情報保護法改正の方向性(第2回:仮名化情報)
個人情報保護法改正の方向性(第3回:開示請求・利用停止請求等)
個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第4回「漏えい等報告及び本人通知の義務化」~
個人情報保護法改正の方向性(第5回:適正な利用義務の明確化)
個人情報保護法改正の方向性(第6回:オプトアウト制度の強化)
個人情報保護法改正の方向性(第7回:ペナルティの強化・課徴金制度の導入見送り)
個人情報保護法改正の方向性(第8回:公益目的による個人情報の取扱いに係る例外規定の運用の明確化)
個人情報保護法改正の方向性(第9回:域外適用と越境データ移転に関する改正の方向性)
(その他)
個人情報保護法ニュースNo.1:リクナビ事件と個人情報保護法の改正
個人情報保護法ニュースNo.2:個人情報保護法改正の方向性(第1回:端末識別子等の取扱い)
(関連ニュースレター)
Q&A『デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方』

執筆者:渡邉雅之
* 本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email m-watanabe@miyake.gr.jp
 
第1.端末識別子等の取扱い(制度改正大綱第4節「データ利活用に関する施策の在り方」・2「「仮名化情報(仮称)」の創設」)(21頁~22頁)
 
【改正の方向性】
〇個人情報保護法に、「個人情報(個人データ)[2]」と「匿名加工情報」とは別に、①追加的な情報が分離して保管されており、②その個人情報が識別された自然人又は識別可能な自然人に属することを示さないことを確保するための技術的・組織的安全管理措置を条件として、他の情報と照合しなければ特定の個人を識別することができないように加工された個人情報の類型として「仮名化情報(仮称)」を設ける。(※「仮名化情報(仮称)」の要件や「匿名加工情報」との違いは今後検討され、改正法案で明らかにされる。)
〇「仮名化情報(仮称)」については、本人を識別する利用を伴わない、事業者内部における分析に限定するための一定の行為規制を緩和し、様々な分析に活用できるようにする。
〇「仮名化情報(仮称)」に係る利用目的の特定・公表を前提に、個人の各種請求(開示・訂正等、利用停止等の請求)への対応義務を緩和する。
「仮名化情報(仮称)」は、事業者内部における分析のために用いられることに鑑み、「仮名化情報(仮称)」それ自体を第三者に提供することは原則として禁止される。
〇ただし、「仮名化情報(仮称)」の作成に用いられた原データ(保有個人データ)を、本人の同意を得ること等により第三者に提供することは可能である。また、あらかじめ本人の同意を得ること等により、原データのほか、原データを仮名化したデータを、(現行法における)個人データとして、第三者に提供することも可能である。

【実務上の影響】
〇現在の個人情報保護法の下では、個人情報取扱事業者が自社内部で個人データを匿名化して活用しようとする場合、「匿名加工情報」の要件を充たさない限りは、安全管理措置を講じた上で、個人の各種請求(開示・訂正等、利用停止等の請求)に応じなければならない。「仮名化情報(仮称)」はそれ自体が十分な安全管理措置であり、追加の安全管理措置を要しない。また、個人の各種請求に応ずる義務がなくなる。
〇「仮名化情報(仮称)」の要件が厳しく、「匿名加工情報」との差があまりなければ、利用が進まない可能性がある。個人情報保護法の規制の対象とならない「統計情報」との差異も問題となる。
〇仮に、「利用目的の特定・公表」(個人情報保護法15条、18条参照)が必要であるとすれば、「利用目的による制限」(同法16条)を受けることになり、事業者内部での利活用は進まないのではないか。
〇個人データ同様、本人の事前の同意がなければ第三者提供は制限されるので、ビックデータとして広く利用されることにはならないのではないか。
 
【「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」[3]の内容】
第4節 データ利活用に関する施策の在り方
1.匿名加工情報制度
(3)EUのGDPRにおける匿名化及び仮名化との比較
〇 我が国の匿名加工情報については、「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」(個人情報保護法第2条第9項)と定義されており、作成・提供に関する義務や再識別の禁止が規定されている。
〇 一方、GDPRでは、匿名化(Anonymisation)については、前文に関連した記載はあるものの、定義は条文自体には規定されていない。運用上の規律としては、元の個人データを本人が特定されないように加工するとともに、加工手法等に関する情報を削除することが匿名化の条件とされている。
〇 また、GDPRの仮名化(Pseudonymisation)については、「追加的な情報が分離して保管されており、かつ、その個人データが識別された自然人又は識別可能な自然人に属することを示さないことを確保するための技術上及び組織上の措置の下にあることを条件として、その追加的な情報の利用なしには、その個人データが特定のデータ主体に属することを示すことができないようにする態様で行われる個人データの取扱いを意味する。」(第4条(5))とされている。運用上の規律としては、第25条のデータ保護バイデザインや第32条の取扱いの安全性において、適切な技術的及び組織的な措置の例として挙げられている。また、個人データよりも負荷の軽い規律となっており、第11条(2)には、データ主体が、自己の権利の行使の目的のために、自身の識別ができるようにする付加的な情報を提供する場合を除き、第15条から第20条までの規定(※)は適用されないとされている。
※ 第15条(データ主体によるアクセスの権利)、第16条(訂正の権利)、第17条(消去の権利(「忘れられる権利」))、第18条(取扱いの制限の権利)、第19条(個人データの訂正若しくは消去又は取扱いの制限に関する通知義務)、第20条(データポータビリティの権利)
 
【中間整理に寄せられた意見】[4]
〇定義等の明確化を求める意見(17件)
  • 匿名加工情報との違いも含め、基準・要件等を明確に示していただきたい。(全国銀行協会、経営法友会 他)
  • 混乱が生じないよう、定義等を明確化すべき(Fintech協会)
〇利用目的による制限の適用除外等、義務の軽減を求める意見(14件)
  • GDPR15条から20条のデータ主体の権利が制限されるといった効果を超えて、個人情報の第三者提供よりも緩やかな規制が設けられることを期待する。(日本広告業協会)
  • 仮名化による個人情報保護上の事業者の義務の軽減について、十分検討いただきたい。(電子情報技術産業協会個人データ保護専門委員会)
  • 開示請求や利用停止等の個人の権利利益の対象外とすることや、利用目的の制限や外国にある第三者へのデータ提供時の制限を緩和すること等、情報の利活用を促進する趣旨に沿った検討を行うべき。(生命保険協会)
〇その他(10件)
  • 事業者等が意見を述べる機会を設けてほしい(メルカリ、日本広告業協会)
  • 具体的なニーズの有無等を踏まえた上で、広く活用される仕組み等について十分に検討してほしい。(日本経済団体連合会 他)
 
【有識者、事業者ヒアリングにおける関連する意見】
○「仮名化」は一定の有用性があるという旨の意見
  • EUのGDPR「仮名化(Pseudonymisation)」制度と同様の制度を少なくとも第三者提供について、我が国も導入すべき。(英知法律事務所弁護士岡村久道氏)
  • 技術的な議論は必要であるが、GDPRにおける仮名化に類似した枠組みは我が国においても一定の有用性がある。(国立情報学研究所教授/所長補佐佐藤一郎氏)
  • 利用停止の請求から除外されることに加え、開示・訂正請求からも除外されるのであれば、仮名化情報は新たな規制緩和になるため良いアイデアである。 (産業技術総合研究所主任研究員高木浩光氏)
  • 仮名データを個人情報として、安全管理措置の一環として位置づけ、仮名データをどう取り扱うかという端緒を作るという意味では、本改正で仮名データの定義を入れることは極めて重要である。 (新潟大学教授 鈴木正朝氏)
○匿名加工情報の活用を進めるべきという旨の意見
  • 仮名化データについて特別な取扱いを認めるとなると、「安全な仮名化データとはどのようなものか」「仮名化データの取扱いについてどのような義務を課すべきか」という議論が必要となるが、これは匿名加工情報の在り方の議論と同じものではないか。十分な安全措置が施されることによって、本人の権利への配慮がなされていれば、現在は匿名加工と言われている技術等を活用することで、利用の範囲を広げることを許容する制度の方が現実的なのではないか。(英知法律事務所弁護士森亮二氏)
【制度改正大綱の内容】
第4節 データ利活用に関する施策の在り方
2.「仮名化情報(仮称)」の創設
〇 事業者の中には、自らの組織内部でパーソナルデータを取り扱うにあたり、安全管理措置の一環として、データ内の氏名等特定の個人を直接識別できる記述を他の記述に置き換える又は削除することで、加工後のデータ単体からは特定の個人を識別できないようにするといった、いわゆる「仮名化」と呼ばれる加工を施した上で利活用を行う例がみられる。
〇 こうした実務の広がりや、情報技術の発展を背景として、個人情報取扱事業者においては、仮名化された個人情報について、一定の安全性を確保しつつ、データとしての有用性を、加工前の個人情報と同等程度に保つことにより、匿名加工情報よりも詳細な分析を比較的簡便な加工方法で実施し得るものとして、利活用しようとするニーズが高まっている。
〇 EUにおいても、個人情報としての取扱いを前提としつつ、若干緩やかな取扱いを認める「仮名化」が規定され、国際的にもその活用が進みつつある。我が国においても、「仮名化」のように、個人情報と匿名加工情報の中間的規律について、従前から経済界から要望があり、中間整理の意見募集でも、匿名加工情報等との関係を整理した上で、「仮名化」制度の導入を支持する意見が多く寄せられた。
〇 特に、こうした、仮名化された個人情報について、加工前の個人情報を復元して特定の個人を識別しないことを条件とすれば、本人と紐付いて利用されることはなく、個人の権利利益が侵害されるリスクが相当程度低下することとなる。一方で、こうした情報を企業の内部で分析・活用することは、我が国企業の競争力を確保する上でも重要である。
〇 したがって、一定の安全性を確保しつつ、イノベーションを促進する観点から、他の情報と照合しなければ特定の個人を識別することができないように加工された個人情報の類型として「仮名化情報(仮称)」を導入することとする。この「仮名化情報(仮称)」については、本人を識別する利用を伴わない、事業者内部における分析に限定するための一定の行為規制や、「仮名化情報(仮称)」に係る利用目的の特定・公表を前提に、個人の各種請求(開示・訂正等、利用停止等の請求)への対応義務を緩和し、また、様々な分析に活用できるようにする。
〇 なお、一般に、「仮名化情報(仮称)」を作成した事業者は、「仮名化情報(仮称)」の作成に用いられた原データも保有していることが想定される。したがって、本人は、それ単体では特定の個人を識別することができない「仮名化情報(仮称)」に対しては各種請求を行うことができないものの、当然のことながら、その原データ(保有個人データ)に対しては、各種請求を行うことができることとなる。
〇 また、「仮名化情報(仮称)」は、事業者内部における分析のために用いられることに鑑み、「仮名化情報(仮称)」それ自体を第三者に提供することは許容しないこととする。その場合であっても、「仮名化情報(仮称)」の作成に用いられた原データ(保有個人データ)を、本人の同意を得ること等により第三者に提供することは可能である(脚注7)。
(脚注7)あらかじめ本人の同意を得ること等により、原データのほか、原データを仮名化したデータを、(現行法における)個人データとして、第三者に提供することも可能である。
 
 
第2 解説
1 仮名化とは
 「仮名化」(Pseudonymisation)とは、GDPR(General Data Protection Regulations:EU一般データ保護規則)において認められている個人データの取り扱いである。
 「仮名化」とは、追加的な情報が分離して保管されており、かつ、その個人データが識別された自然人又は識別可能な自然人に属することを示さないことを確保するための技術上及び組織上の措置の下にあることを条件として、その追加的な情報の利用なしには、その個人データが特定のデータ主体に属することを示すことができないようにする態様で行われる個人データの処理をいう(GDPR4条5項)。
 
【仮名化の要件】
  • 追加的な情報が分離して保管されていること
  • その個人データが識別された自然人又は識別可能な自然人に属することを示さないことを確保するための技術上及び組織上の措置の下にあること
  • ①の追加的な情報の利用なしには、その個人データが特定のデータ主体に属することを示すことができないようにする態様で行われること
 
 GDPR上、個人データについて特定の個人が識別可能な追加の情報が削除された「匿名化」(Anonymization)情報については、GDPR自体の適用を受けないが、「仮名化された個人データ」は追加の情報を使用することにより、自然人が識別可能であるので、依然として「個人データ」としてGDPRの規制を受けることになる(前文26項)。
 もっとも、管理者(Controller:事業者)が、「仮名化」によって、データ主体(個人)を識別する立場にないことを証明できる場合で、データ主体にそれを通知した場合には、GDPR上、管理者が個人データについて適用の受ける以下の規制が免除される(GDPR11条2項)。
第15条 データ主体によるアクセスの権利
第16条 訂正の権利
第17条 消去の権利(「忘れられる権利」)
第18条 処理の制限の権利
第19条 個人データの訂正若しくは消去又は処理の制限に関する通知義務
第20条 データポータビリティの権利
 
 また、GDPR上、「仮名化」は、適切な技術的・組織的な安全管理措置として位置づけられている(GDPR25条1項、32条1項(a))。
 
 
【GDPR(EU一般データ保護規則)の規定(翻訳)】[5]
前文26項
データ保護の基本原則は、識別された自然人又は識別可能な自然人に関する全ての情報に対して適用されなければならない。追加情報を使用しての利用によって自然人に属することを示しうる、仮名化を経た個人データは、識別可能な自然人に関する情報として考えられなければならない。ある自然人が識別可能であるかどうかを判断するためには、選別のような、自然人を直接又は間接に識別するために管理者又はそれ以外の者によって用いられる合理的な可能性のある全ての手段を考慮に入れなければならない。自然人を識別するために手段が用いられる合理的な可能性があるか否かを確認するためには、取扱いの時点において利用可能な技術及び技術の発展を考慮に入れた上で、識別のために要する費用及び時間量のような、全ての客観的な要素を考慮に入れなければならない。それゆえ、データ保護の基本原則は、匿名情報、すなわち、識別された自然人又は識別可能な自然人との関係をもたない情報、又は、データ主体を識別できないように匿名化された個人データに対しては、適用されない。本規則は、それゆえ、統計の目的又は調査研究の目的を含め、そのような匿名情報の取扱いに関するものではない。
前文28項
個人データに仮名化を適用することは、関係するデータ主体に対するリスクを低減させうるものであり、また、管理者及び処理者がそのデータ保護上の義務を遵守することを助けるものである。本規則における「仮名化」の明示的な導入は、データ保護のためのそれ以外の手段を排除することを意図するものではない。
前文第29項
個人データを処理する際に仮名化を適用するインセンティブをつくり出すために、一般的な分析を認めることとは別に、関係する処理について、本規則が実装されること、及び、特定のデータ主体に対して個人データを割り当てるための追加情報が別個に保管されることを確保するために必要となる技術上の措置及び組織上の措置を管理者が講じたときは、同一管理者内において、仮名化の手段を利用できるものとしなければならない。個人データを処理する管理者は、同一管理者内で権限を与えられた者を表示しなければならない。
 
第4条 定義
(1)~(4)(略)
(5) 「仮名化」とは、追加的な情報が分離して保管されており、かつ、その個人データが識別された自然人又は識別可能な自然人に属することを示さないことを確保するための技術上及び組織上の措置の下にあることを条件として、その追加的な情報の利用なしには、その個人データが特定のデータ主体に属することを示すことができないようにする態様で行われる個人データの処理を意味する。
(6)~(26)(略)
 
第6条 処理の適法性
1~3(略)
4.個人データが収集された目的以外の目的のための処理が、データ主体の同意に基づくものではなく、又は、第23 条第1 項に定める対象を保護するために民主主義の社会において必要かつ比例的な手段を構成するEU法若しくは加盟国の国内法に基づくものではない場合、管理者は、別の目的のための処理が、その個人データが当初に収集された目的と適合するか否かを確認するため、特に、以下を考慮に入れる。
(a)~(d)(略)
(e) 適切な保護措置の存在。これには、暗号化又は仮名化を含むことができる。
 
第11条 識別を要しない処理
  1. 管理者が個人データを処理するための目的が管理者によるデータ主体の識別を要しない場合、又は、その識別を要しなくなった場合、その管理者は、本規則を遵守するという目的のみのために、データ主体を識別するための付加的な情報を維持管理し、取得し、又は、処理することを義務付けられない。
  2. 本条第1項に定める場合において、管理者がデータ主体を識別する立場にないことを証明できるときは、その管理者は、それが可能であるならば、データ主体に対し、しかるべく通知する。そのような場合、データ主体が、それらの条項に基づく自己の権利の行使の目的のために、自身の識別ができるようにする付加的な情報を提供する場合を除き、第15 条から第20 条は、適用されない。
 
  • 第15条 データ主体によるアクセスの権利
  • 第16条 訂正の権利
  • 第17条 消去の権利(「忘れられる権利」)
  • 第18条 処理の制限の権利
  • 第19条 個人データの訂正若しくは消去又は処理の制限に関する通知義務
  • 第20条 データポータビリティの権利
 
第25 条 データ保護バイデザイン及びデータ保護バイデフォルト
  1. 技術水準、実装費用、取扱いの性質、範囲、過程及び目的並びに取扱いによって引きこされる自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、管理者は、本規則の要件に適合するものとし、かつ、データ主体の権利を保護するため、処理の方法を決定する時点及び処理それ自体の時点の両時点において、データの最小化のようなデータ保護の基本原則を効果的な態様で実装し、その取扱いの中に必要な保護措置を統合するために設計された、仮名化のような、適切な技術的措置及び組織的措置を実装する。
2・3(略)
 
第32 条 処理の安全性
1. 最新技術、実装費用、取扱いの性質、範囲、過程及び目的並びに自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、管理者及び処理者は、リスクに適切に対応する一定のレベルの安全性を確保するために、特に、以下のものを含め、適切な技術上及び組織上の措置をしかるべく実装する。
 (a)個人データの仮名化又は暗号化
 (b)~(d)(略)
2~4(略)
〇個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール(平成30年9月個人情報保護委員会)
(5) 匿名加工情報(法第2 条第9 項・法第36 条第1 項・第2 項関係)
EU域内から十分性認定に基づき提供を受けた個人情報については、個人情報取扱事業者が、加工方法等情報(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第36 条第1 項の規定により行った加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)をいう。)を削除することにより、匿名化された個人を再識別することを何人にとっても不可能とした場合に限り、法第2 条第9 項に定める匿名加工情報とみなすこととする。
 
2 個人情報保護法上の「匿名加工情報」は「仮名化」情報に該当
(1)匿名加工情報に関する規律
平成29年5月30日施行の改正により、個人情報保護法に「匿名加工情報」の規律が設けられた。
「匿名加工情報」は、特定の個人を識別できないように加工して得られる個人に関する情報で、当該個人情報を復元できないようにしたものである(個人情報保護法2条9項)。
「匿名加工情報」に該当する場合には、GDPRの「匿名化情報」と同様に事業者は自由に利用できるわけではなく、匿名加工情報を第三者提供する場合には、当該情報に係る本人の同意を得る必要はありませんが、一定の安全管理措置などが課される。
まず、作成者である個人情報取扱事業者には、①一定の基準に基づいて加工しなければならないという適正加工義務(同法36条1項)、②加工方法およびその作成に用いられた個人情報から削除した記述等(併せて「加工方法等情報」という。)に係る漏えい防止措置(同法36条2項)、③匿名加工情報の作成時の公表義務(同法36条3項)、④匿名加工情報の第三者提供時の公表・明示義務(同法36条4項)、⑤他の情報との識別行為の禁止義務(同法36条5項)、⑥匿名加工情報自体の安全管理措置等の努力義務(同法36条6項)が課される。
また、匿名加工情報の提供を受けた事業者(匿名加工情報処理事業者)には、①匿名加工情報の第三者提供時の公表・明示義務(同法37条)、②加工方法等情報を取得し、又は当該匿名加工情報を他の情報と照合することの禁止義務(同法38条)、③匿名加工情報自体の安全管理措置等の努力義務(同法39条)が課される。
(2)補完的ルール
 GDPRにおいては、加工方法等情報が残存している場合、安全に分離保管されていても再識別の可能性があるとして「匿名化」とはみなされない。
 すなわち、個人情報保護法上の「匿名加工情報」に該当し、「加工方法等情報」について別途漏えい防止措置を講じている場合には、GDPRの「匿名化情報」には該当しないことになり、GDPR上は「仮名化」情報として依然として「個人データ」として扱われることになる。
 個人情報保護委員会が公布した「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(以下「補完的ルール」という。)においては、EU域内から十分性認定に基づき提供を受けた個人情報については、個人情報取扱事業者が、加工方法等情報(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第36条第1項の規定により行った加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)をいう。)を削除することにより、匿名化された個人を再識別することを何人にとっても不可能とした場合に限り、法2条9項に定める匿名加工情報とみなすこととされている。
 「何人にとっても不可能とした場合」とは、加工 方法等情報を削除することにより匿名化された個人 を再識別することが、その時点においては、何人に とっても不可能である場合を指す。
 
〇個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール(平成30年9月個人情報保護委員会)
(5) 匿名加工情報(法第2 条第9 項・法第36 条第1 項・第2 項関係)
EU域内から十分性認定に基づき提供を受けた個人情報については、個人情報取扱事業者が、加工方法等情報(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第36 条第1 項の規定により行った加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)をいう。)を削除することにより、匿名化された個人を再識別することを何人にとっても不可能とした場合に限り、法第2 条第9 項に定める匿名加工情報とみなすこととする。
3 仮名化情報(仮称)の創設
(1)改正の内容
 制度改正大綱によれば、個人情報保護法上、新たに「仮名化情報(仮称)」の累計が創設され、以下の規制が設けられる。

〇個人情報保護法に、「個人情報(個人データ)[6]」と「匿名加工情報」とは別に、①追加的な情報が分離して保管されており、②その個人情報が識別された自然人又は識別可能な自然人に属することを示さないことを確保するための技術的・組織的安全管理措置を条件として、他の情報と照合しなければ特定の個人を識別することができないように加工された個人情報の類型として「仮名化情報(仮称)」を設ける。(※「仮名化情報(仮称)」の要件や「匿名加工情報」との違いは今後検討され、改正法案で明らかにされる。)
〇「仮名化情報(仮称)」については、本人を識別する利用を伴わない、事業者内部における分析に限定するための一定の行為規制を緩和し、様々な分析に活用できるようにする。
〇「仮名化情報(仮称)」に係る利用目的の特定・公表を前提に、個人の各種請求(開示・訂正等、利用停止等の請求)への対応義務を緩和する。
〇「仮名化情報(仮称)」は、事業者内部における分析のために用いられることに鑑み、「仮名化情報(仮称)」それ自体を第三者に提供することは原則として禁止される。
〇ただし、「仮名化情報(仮称)」の作成に用いられた原データ(保有個人データ)を、本人の同意を得ること等により第三者に提供することは可能である。また、あらかじめ本人の同意を得ること等により、原データのほか、原データを仮名化したデータを、(現行法における)個人データとして、第三者に提供することも可能である。

(2)実務上の影響
〇現在の個人情報保護法の下では、個人情報取扱事業者が自社内部で個人データを匿名化して活用しようとする場合、「匿名加工情報」の要件を充たさない限りは、安全管理措置を講じた上で、個人の各種請求(開示・訂正等、利用停止等の請求)に応じなければならない。「仮名化情報(仮称)」はそれ自体が十分な安全管理措置であり、追加の安全管理措置を要しない。また、個人の各種請求に応ずる義務がなくなる。
〇「仮名化情報(仮称)」の要件が厳しく、「匿名加工情報」との差があまりなければ、利用が進まない可能性がある。個人情報保護法の規制の対象とならない「統計情報」との差異も問題となる。
〇仮に、「利用目的の特定・公表」(個人情報保護法15条、18条参照)が必要であるとすれば、「利用目的による制限」(同法16条)を受けることになり、事業者内部での利活用は進まないのではないか。
〇個人データ同様、本人の事前の同意がなければ第三者提供は制限されるので、ビックデータとして広く利用されることにはならないのではないか。

以 上

[1]https://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000058&Mode=0
[2]個人情報取扱事業者の「個人情報データベース等」(個人情報保護法2条4項)を構成する「個人情報」(同条1項各号)が「個人データ」である(同条6項)。厳密には第三者提供の制限(同法23条)は、「個人データ」について適用され、「個人情報」には適用されないが、リクナビサービスにおける「個人情報」は事業者(リクルートキャリアやリクルートコミュニケーションズおよび契約企業)の個人情報データベース等を構成し、「個人データ」に該当すると考えられるので、本ニュースレターにおいては「個人情報」と「個人データ」を特に区別しない。
[3]https://www.ppc.go.jp/files/pdf/press_betten1.pdf
[4]第127回個人情報保護委員会「資料1 個人情報保護を巡る国内外の動向」(https://www.ppc.go.jp/files/pdf/191125_shiryou1.pdf)
[5]個人情報保護委員会作成の仮訳を参照。仮訳と異なり、Processingの翻訳を「取扱い」ではなく「処理」としている。
[6]個人情報取扱事業者の「個人情報データベース等」(個人情報保護法2条4項)を構成する「個人情報」(同条1項各号)が「個人データ」である(同条6項)。厳密には第三者提供の制限(同法23条)は、「個人データ」について適用され、「個人情報」には適用されないが、リクナビサービスにおける「個人情報」は事業者(リクルートキャリアやリクルートコミュニケーションズおよび契約企業)の個人情報データベース等を構成し、「個人データ」に該当すると考えられるので、本ニュースレターにおいては「個人情報」と「個人データ」を特に区別しない。