見出し画像

秘密計算の個人情報保護法上の扱い

A&A法律事務所

企業活動の様々な分野でのデジタルトランスフォーメーション(DX)が進み、各企業の持つデータの利活用の需要は増すばかりです。
一方で、プライバシー情報を利活用する側においては、プライバシー侵害の懸念等から、収集・蓄積したデータをどのように保護し、活用していくかが課題となっています。また、世界を見ると、GDPRをはじめとするプライバシー保護規制の厳格化の動きがますます進んでいます。

こうした課題やプライバシー保護規制厳格化に対して、技術的に解決することを目指す技術の1つが、秘密計算(英語では、Multi-Party ComputationやSecure Computation)です。
後述するように、秘密計算は、データを暗号化したまま取り扱うことができるため、技術的にはプライバシー侵害を避けつつ、データの活用が可能であるとされています。

データを保護しながら活用できる技術として、医療分野などですでに各所での導入が始まっている秘密計算ですが、日本におけるデータ保護法制の代表的存在である個人情報保護法上はどのように取り扱われているのでしょうか。

結論を先に述べますと、個人情報保護法上、秘密計算技術による処理を施して、個人が特定できないデータとなったとしても、当該データの個人情報該当性が否定されません。ですので、例えば第三者提供時の同意取得義務(個人情報保護法27条1項)が免除されることはありません。また、仮に当該データが漏洩した場合に、個人情報保護委員会への報告や本人への通知(同法26条)が免除されるかどうかも、法令やガイドライン上明確ではありません。
しかし、個人情報保護法上の手続きが簡略化されなかったとしても、秘密計算技術を利用することで、データを秘匿化しながら、必要な計算ができるというメリットが得られます。企業が守りたいデータは、個人情報だけではなく、実験データやノウハウなど多岐に渡り、このようなデータの内容を他企業に開示することなく、暗号化したまま、しかし開示したと同等の計算結果を得られるというメリットがあるため、既に述べたように、実際の導入は進んでいるのです。

本記事では、秘密計算とは何かを簡単に解説した上で、個人情報保護法(以下「法」)上の取り扱いを解説し、上記で結論的に述べた部分を詳しく見ていきます。

秘密計算とは何か

現時点で、秘密計算(秘匿計算とも呼ばれます)の法令用語はありません。
一般的には、データを暗号化したまま、元のデータに戻さず処理が可能な暗号技術として説明されます。この技術により、例えば複数の組織のデータの結合分析を暗号化したまますることが可能となります。
概念的には、以下のような図になります。


筆者作成

例として、A社がECサイトを運営し、同サイト上での顧客の購入履歴等のデータ(以下「購入データ」)を持ち、B社がWeb広告事業を運営し、様々なユーザーによるWebページの閲覧履歴(以下「閲覧データ」)を保有しているとします。

もし、購入データと閲覧データを結合し、特定のWebページを閲覧する人物が頻繁に購入する物品をリストアップすることができれば、そのWebページの閲覧者にその物品のWeb広告を出すことで、高いクリック率が期待できます。

しかし、両者とも自社顧客のプライバシー保護や、データセキュリティの観点、さらには自社ノウハウの保護などの様々な観点から、自身のデータをそのまま相手方に公開することにはハードルがあります。

このような場合に、購入データと閲覧データを暗号化したまま、「特定のWebページを閲覧する人物が頻繁に購入するリスト」を作成できるのが、秘密計算です。

しかし、秘密計算技術で暗号化されたA社データやB社データは、個人情報保護法上どのような取り扱いを受けるのでしょうか?
秘密計算で取り扱われるA社データ、B社データには、それぞれの顧客の個人情報に該当する情報が含まれる可能性がありますので、法令を遵守したデータ利活用をするためには、同法上の取り扱いを明らかにする必要があります。

秘密計算を使ったデータ利活用の際に押さえておきたいポイント

個人情報が企業内で取り扱われる際の流れを下記に図式しました。

筆者作成

この流れの中では、個人情報は、本人から企業に提供される段階(①)、個人情報を取り扱う企業(個人情報取扱事業者)によって、利用され(②)、保管される段階(③)、そして自社以外の第三者に提供する場合(④)、個人情報が漏洩してしまった場合の報告等(⑤)などに、個人情報保護法の規制を受けます。

秘密計算技術によるデータ利活用においては、特に、暗号化されている個人情報を第三者である他社に提供することがあるため「④個人情報の第三者提供」が問題になります。

また、秘密計算による暗号化がなされたデータが流出した場合には、個人情報が漏洩したとして、「⑤漏洩時の報告」が必要になるかが問題になります。

そもそも、秘密計算によって暗号化されたデータの個人情報該当性は否定されるのでしょうか?

個人情報保護法上の取り扱い

個人情報該当性

個人情報該当性の要件の1つは、「個人に関する情報」(法2条1項柱書)であることです。「個人に関する情報」といえないレベルまで加工されていれば、個人情報該当性が否定されることになります。典型例としては統計情報が挙げられます。

では、秘密計算の技術により暗号化された情報の個人情報該当性は否定されるのでしょうか?

筆者作成

この点、個人情報保護委員会の個人情報の保護に関する法律についてのガイドライン(通則編)(以下「GL通則編」)では、以下のように、暗号化によっては個人情報該当性は左右されないとしています。

「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない

GL通則編5頁

したがって、秘密計算技術により暗号化されたとしても、当該データは個人情報該当性を否定されず、個人情報保護法の適用を受けます

なお、法には、個人情報の利活用活性化を目的として、仮名加工情報(法2条5項)、匿名加工情報(法2条6項)概念がありますが、秘密計算技術により暗号化された情報がこれらに該当するとの解釈は、個人情報保護委員会から示されていません。

第三者提供該当性


筆者作成


個人データ(個人情報をデータベース化した場合、その構成要素である個人情報)に該当する情報を第三者に提供する場合には、法27条の適用を受けるため、原則として、データ主体である本人の同意が必要になります。

(第三者提供の制限)
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない
一〜七(略)

個人情報保護法

しかし、現実的には、改めて本人から当該提供について同意取得が難いことが多くあります。同意が得られない場合には、個人情報保護法上の同意が得られないために、企業が望む第三者提供ができないこととなっていまいます。

漏洩時の報告義務の有無

筆者作成

個人データが漏洩した場合、発生した事態についての報告等の義務が発生します(法26条1項)。

(漏えい等の報告等)
第二十六条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。

個人情報保護法

しかし、以下のように、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合には、報告が不要とされます。

漏えい等が発生し、又は発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合等、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合については、報告を要しない。

GL通則編60頁

では、秘密計算技術で暗号化することが、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」に該当し、情報漏洩時の報告義務等が免除されるのでしょうか?

この点、「個人情報の保護に関する法律についてのガイドライン」に関するQ&Aでは、「必要な措置」を「第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置」とし、技術の具体的な判断基準例として電子政府推奨暗号リストや、ISO/IEC 19592等への掲載が示されています(A6-16)。

第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置としては、適切な評価機関等により安全性が確認されている電子政府推奨暗号リストや ISO/IEC 18033 等に掲載されている暗号技術が用いられ、それが適切に実装されていることが考えられます。

「個人情報の保護に関する法律についてのガイドライン」に関するQ&A A6-16

上記のリストへの掲載は、例として記載されているので、リストに掲載されていない技術が、「第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置」として認められるか否かは、Q&Aの記述からは必ずしも明らかではありません。しかし、何らかの方法で「適切な評価機関等により安全性が確認され」た暗号技術であることが必要とされていることは読み取れます。

2022年3月10日には、NEC、株式会社デジタルガレージ、株式会社イエラエセキュリティ、NTTが、様々なデータの安全な流通・利活用に貢献できる秘密計算の安全性が秘密計算の提供者と利用者で相互に理解され、誰もが安心し秘密計算が利用できることを目的として、秘密計算の提供者向けの安全性基準を作成しました。このような基準がより発展し、「適切な評価機関等により安全性が確認された」と認められれば、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」に該当し、情報漏洩時の報告義務等が免除される技術であることが明確になります。

以上のように、この記事の執筆時点では、秘密計算技術による暗号化は、高度な暗号化その他の個人の権利利益を保護するために必要な措置」に該当するか否かは明確ではありません。したがって、保守的には原則通り法26条所定の報告等をすべきと言えます。


まとめ

今回の記事では、秘密計算の個人情報保護法上の取り扱いを解説しました。

秘密計算技術の成り立ちからして、データ保護を目的として開発されてきた技術であるにも関わらず、現行法においては、その評価が十分とは言えないことがお分かりいただけたかと思います。

適切に法令を遵守してデータ主体を保護し、データの利活用をより一層進めるためには、より一層の技術の進歩だけでなく、法改正も見据えた議論が必要かもしれません。




この記事が気に入ったらサポートをしてみませんか?