個人情報:仮名加工情報、使いこなせてる!?
本稿のねらい
2023年9月12日、日本経済団体連合会(経団連)が「2023年度規制改革要望―日本経済にダイナミズムを取り戻す―」(本規制改革要望)を公表した(経団連ウェブサイト)。
本規制改革要望には、本稿で紹介する事項以外にも面白そうな事項はいくつかある(例えば、「No. 25. 自筆証書遺言の作成手段及び形式の追加的容認」、「No. 24. 死亡・相続に係る手続のデジタル完結」、「No. 47. 株式の無償交付の従業員等への拡大」など)。
本稿では、本規制改革要望のうち、「No. 34. 個人情報・仮名加工情報の第三者提供規制の緩和」(本規制改革要望事項)について紹介する。その過程で、そもそも仮名加工情報とは何か、どういうルールか、使い勝手はどうかなど基礎的な部分を振り返ることとする。
本規制改革要望事項
(1) 本規制改革要望事項の内容
本規制改革要望事項は、次のとおりである。
現行の個人情報保護法においては、個人情報の第三者提供にあたり、原則として本人同意を得ることが求められている。また、仮名加工情報(他の情報と照合しない限り特定の個人を識別できないように加工した個人に関する情報)については、第三者への提供が禁止されている。
他方、DXを推進するうえでは、個人の安心・安全の確保を前提としつつ、様々な主体間で個人情報を含むデータを連携・共有しながら新たな価値を創出することが欠かせない。
そこで、秘密計算技術等により個人識別性を排除したのちの統計処理やAIモデル作成等を目的とする場合や、研究開発や新たな価値創造などわが国が優先的に取り組むべき分野において必要とされる場合等については、第三者提供に関して異なる規律のあり方を検討すべきである。その際、セキュリティや個人の安心・安全を損なうことのないよう、第三者機関による調査等、適正な利用が行われていることを確認するための規律についても検討する必要がある。
これにより、経団連が提言「データ利活用・連携による新たな価値創造に向けて―日本型協創DXのリスタート―」(2023年5月)で提示したとおり、個別事例の特性を十分に踏まえデータを最大限利活用・連携することが可能となり、ひいては政府が掲げるDFFT(Data Free Flow with Trust)の実現にも寄与する。
(2) 誤っている点の修正
本題に入る前に、いくつか誤っている点を修正すると、まず、冒頭の「個人情報の第三者提供にあたり、原則として本人同意を得ることが求められている」とあるのは、正確には「個人データの第三者提供にあたり、原則として本人同意を得ることが求められている」である(個人情報保護法第27条第1項)。
個人情報(同法第2条第1項)と個人データ(同法第16条第3項)の区別は明確に!
(第三者提供の制限)
第27条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
また、「仮名加工情報(中略)については、第三者への提供が禁止されている。」とあるのは、正確には「仮名加工情報(中略)については、原則として、第三者への提供が禁止されている」である(同法第41条第6項、第42条第1項)。
[2023/09/17 一部修正:何を血迷ったか、個人情報である仮名加工情報についてのルールを失念していたため、修正と追記]
(仮名加工情報の第三者提供の制限等)
第42条
6 仮名加工情報取扱事業者は、第27条第1項及び第2項並びに第28条第1項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。
(仮名加工情報の第三者提供の制限等)
第42条 仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。中略)を第三者に提供してはならない。
なお、ここでは「第三者」への提供が原則として禁じられているのであり、委託・事業承継・共同利用のように提供先が「第三者」に当たらない場合、つまり個人情報保護法第27条第5項各号に基づく提供は許容されている点に注意(同法第42条第1項・第2項)。
(3) 本規制改革要望事項が目指す未来の障壁
本規制改革要望事項が目指す未来は、次のとおり、複数のエンティティの間で、個人データを連携・共有し、データを掛け合わせることで、さらなるデータの利活用・業務効率化を図るというものだろうと思われる。
DXを推進するうえでは、個人の安心・安全の確保を前提としつつ、様々な主体間で個人情報を含むデータを連携・共有しながら新たな価値を創出することが欠かせない
しかし、現行個人情報保護法の解釈をもとにすると、①複数のエンティティ間で個人データを連携・共有すること、あるいは②どこかの分析会社を介して複数のエンティティがもつ個人データを統合し統計処理等を行うことは、その適法性の根拠につき、いずれにも高い障壁がある。
┃ ①複数のエンティティ間でデータを連携・共有
まず、①複数のエンティティ間でデータを連携・共有するためには、原則として、個人データの本人の同意が必要である(個人情報保護法第27条第1項)。そのほか、本人の同意を得ないで行う方法として、共同利用によるか(同条第5項第3号)又は匿名加工情報(同法第2条第6項)として連携・共有するか(同法第44条)の2通りがあり得る。
しかし、共同利用については、一般に、共同利用をする旨等を、共同利用に先立ち本人へ通知するか公表等により容易に知り得る状態に置く必要があり(個人情報保護法第27条第5項第3号)、既に取得している個人データを他の事業者との間で共同利用することは想定されていない。なお、既に取得している個人データを他の事業者との間で共同利用することは不可能ではなく、「当該個人データの内容や性質等に応じて共同利用の是非を判断した上で、当該個人データを取得する際に当該事業者が法第17条第1項の規定により特定した利用目的の範囲内であることを確認」することにより可能とされている(個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」Q7-51〔59頁〕)。
また、匿名加工情報を作成するためには、法定の方法による匿名加工を施す必要があることはもちろん(同法第43条第1項)、所定の方法により匿名加工情報に含まれる情報の項目や第三者提供する情報の項目等を公表(同条第3項、第4項、第6項)したりする手間がある。
┃ ②どこかの分析会社を介して複数のエンティティがもつ個人データを統合し統計処理等を行う
次に、②どこかの分析会社を介して複数のエンティティがもつ個人データを統合し統計処理等を行う場合も、上記①同様、原則として、本人の同意を得る必要がある。その他の適法性の根拠も、上記①同様である。
この点、②の場合は、個人データをどこかの分析会社に提供し、そこで統計処理等を行ってもらうのだから、「委託に伴う提供」(個人情報保護法第27条第5項第1項)として本人の同意は不要ではないかという疑問があるかもしれない(さすがに最近はそういう疑問も聞かなくなったが)。
(第三者提供の制限)
第27条
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
仮に、どこか1つの事業者が自己が保有管理する個人データをどこかの分析会社に委託し、その個人データのみを使って統計処理等を行ってもらう場合であれば、個人情報保護法第27条第5項第1号により、本人の同意を得ずに、当該分析会社に個人データを提供することが可能である。
これは、個人情報保護法第27条第5項柱書きにあるように、「個人データの提供先は個人情報取扱事業者とは別の主体として形式的には第三者に該当するものの、本人との関係において提供主体である個人情報取扱事業者と一体のものとして取り扱うことに合理性があるため、第三者に該当しない」と考えるためである(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」3-6-3〔80頁〕)。
つまり、個人データの統計処理等を委託する場合、委託を行った事業者と委託を受けた分析会社の関係は、受託分析会社は委託事業者の "手足" として委託事業者の代わりに統計処理等の現業を行うわけであり、個人データの本人から見たときに、委託事業者も受託分析会社も同じである(一体である)ということで、この場合、受託分析会社は委託事業者から見て「第三者」ではないと整理するというのが法の建付けである。
他方、複数のエンティティがどこかの分析会社に対し、それぞれ保有する個人データを提供し、それらの個人データをごちゃ混ぜにした上で突合し、統計処理等を行う場合(上図参照)、個人情報保護法第27条第5項第1号の委託に伴う提供では処理できない。
なぜならば、どこかの分析会社がそれぞれの個人データを突合して統計処理等を行うとしても、一旦、複数のエンティティ間で個人データを連携・共有し、それをどこかの分析会社に委託して統計処理等を行ってもらうことと構造上同じであるためである。
下図の①の工程を端折って②の工程に進んでいると考えれば、問題点は明確になってくるだろう。
もしこういうことを実現しようとすれば、本来、複数のエンティティは、2段階の適法性の根拠を持たなければならない。
つまり、第1段階として複数のエンティティ間でそれぞれが保有する個人データを提供し合わなければならない(上図①)。その次に、第2段階として、集まった個人データを分析会社に対し提供して統計処理等を行ってもらうことになる(上図②)。
この1段階目の適法性の根拠は、本人の同意、共同利用、又は匿名加工しかない。このいずれの措置も講じずに、複数のエンティティがそれぞれ保有する個人データをごちゃ混ぜにした上で突合し統計処理等を行うということは、適法性の根拠なく、第1段階の個人データの提供を行っていることにほかならず(上図①を飛ばして②を行っていることになる)、違法な個人データの提供である。ここが問題なのである。
個人データの取扱いの委託(法第27条第5項第1号)において、複数の委託を受ける委託先は、各委託元から委託に伴って提供を受けた個人データを本人ごとに突合することはできません。
したがって、A社から委託に伴って提供を受けた個人データとB社から委託に伴って提供を受けた個人データを本人ごとに突合することはできず、突合して得られた個人データから統計情報を作成することもできません。
外部事業者に対する委託と整理した上で、委託先である当該外部事業者において提供を受けた個人データを本人ごとに突合して統計情報を作成する場合には、A社及びB社においてそれぞれに対する第三者提供に関する本人の同意を取得する等の対応を行う必要があります。
他方で、ここでの問題点は複数のエンティティ間の個人データを突合することであるため、突合せずに、単にサンプル数を増やすために複数のエンティティ間の個人データをそのまま合わせて1つの統計処理等を行うことは、委託に伴う提供として、本人の同意等の措置を講じなくとも、適法であるとされている。
A社から委託に伴って提供を受けた個人データとB社から委託に伴って提供を受けた個人データを本人ごとに突合していないため、委託先においてA社から委託に伴って提供を受けた個人データとB社から委託に伴って提供を受けた個人データをサンプルとなるデータ数を増やす目的で合わせて1つの統計情報を作成することができます。
(4) 提言されていること〜秘密計算・秘密計算技術の活用〜
そこで提言されているのは、次のような方法である。
機密性の高いデータを秘匿化したまま安全に連携、分析することが可能となれば、多様なステークホルダーによるデータ連携の可能性が広がる。
こうした観点から、秘密計算技術の活用は今後のデータ連携のカギを握る。
具体的には、「各社が保有する個人データを相互に開示することなく統計情報として集計する」「営業秘密に該当するデータや社外に開示したくないデータを集約し共同で分析する」といった用途で様々な分野における活用が見込まれる。
この提言のキーワードは「秘密計算」ないし「秘密計算技術」である。
┃ 「秘密計算」又は「秘密計算技術」とは
各種ウェブサイトによれば、概ね、次のようにまとめられる。
秘密計算とは、データを暗号化したまま計算できる技術です。一般的な暗号はデータの通信・保存を保護しますが、秘密計算はさらにデータの計算過程も保護することができます。秘密計算を使うことにより、個人のパーソナルデータや企業の営業秘密を用いる分析業務で、データを漏らさないだけでなく「データの中身を見ない」運用が可能になります。
これにより、より安全なデータ処理はもちろんのこと、今まで他組織に開示することが難しかったデータを持ち寄った、企業や業界の枠を越えた新しい統合分析が可能になります。
秘密計算又は秘密計算技術により可能なことうち、個人情報保護法との関係で最も重要な点は、「結合分析」(※)である。(上記障壁において説明した「突合」の論点再び)
※ 上図によれば「氏名で各レコードを結合」とあるため「突合」と同義であり、一定の「学術研究機関等」(個人情報保護法第16条第8項)が共同研究等「学術研究目的」(同法第18条第3項第5号)で第三者に提供する場合などを除き(同法第27条第1項第5号〜第7号)、同様に委託に伴う提供としては処理できない。
ここでは共同利用が特に注目を集めている。
国内は待望の仮名加工情報の共同利用で秘密計算活用を使うとよさそうだ。グローバルでプライバシーやCookieの課題が浮上し各国とも困ってはいるが、秘密計算だからそれらの課題をクリアしているという解釈には踏み込んでいない。欧州の最新追加措置では技術の意義を認めるものの、同意に代わるところまでは踏み込めない。
複数の共同利⽤者が、⾃ら作成した仮名加⼯情報を共同利⽤により相互に提供する場合、ある共同利⽤者において、提供を受けた仮名加⼯情報と⾃⼰が保有する仮名加⼯情報をそれぞれの仮名加⼯情報に共通して含まれる記述等を⽤いて特定の個⼈ごとに突合することが考えられる。
┃ 秘密計算又は秘密計算技術のユースケース
経団連の提言にもあるように、次のようなユースケースが考えられる。
各社が保有する個人データを相互に開示することなく統計情報として集計する
営業秘密に該当するデータや社外に開示したくないデータを集約し共同で分析する
ほかにも、次のような活用例が考えられている。
各EV⾞の充電残量や移動先の情報を集約し需要予測しEV設備や電⼒を最適化
サプライヤやメーカ間で機密情報を統合し、最適な⽣産・物流を最適化
ゲノムと投薬情報の統合・相関分析による、個別化医療の実現
銀⾏・決済データを秘匿しながら結合分析し不正送⾦を検知
テナント毎の電⼒消費量の開⽰が嫌がれるためビルやエリアで秘匿して集計
このように、秘密計算又は秘密計算技術により期待されるユースケースとしては、個人情報・個人データに限られず、営業秘密やそこまで行かなくとも第三者に開示することが躊躇われるような情報・データについての結合分析が行われることがあり得る。
(5) 小括
ここまで説明してきたように、本規制改革要望事項は、仮名加工情報の共同利用の方法により達成できそうな気がする。
本規制改革要望事項が求めていることは何なのか、わからなくなってきてしまった。
仮名加工情報
(1) 仮名加工情報の意義
個人情報保護法における「仮名加工情報」の定義は次のとおり。
(定義)
第2条
5 この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
一 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
下図は仮名加工及び仮名加工情報の例である。
このうち、氏名・住所・生年月日は、個人情報であり、それらの全部又は一部を削除することで特定の個人を識別できないよう加工したことになる。
住所については、このように市区町村までにとどめるなど、より詳細な情報を削除することが一般的であり、生年月日については、それ自体は削除し、年齢や◯◯代という情報に置き換えることが一般的である。
また、顔認証データは、それ自体が個人識別符号(個人情報保護法第2条第1項第2号・第2項、同法施行令第1条第1号ロ)であるため、全部削除が必要となる。
なお、購買情報や位置情報(※)については、それ自体又はそれらを組み合わせることにより特定の個人を識別できる場合には、一部を削除するか、より「丸めた」情報に置き換えることが必要となる。
(※位置情報については、総務省「位置情報プライバシーレポート ~位置情報に関するプライバシーの適切な保護と社会的利活用の両立に向けて~ 」も参照)
2015(平成27)年改正時に導入された「匿名加工情報」という制度があるにもかかわらず、2020(令和2)年改正時にこのような仮名加工情報の制度が導入されたのは、次の理由によるとされている(個人情報保護委員会事務局レポート 仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向けてー制度編ー4頁)。
仮名化された個⼈情報は、匿名加⼯情報と⽐べて、加⼯による抽象化の程度が低く、加⼯に要する技術も⾼度なものではない
他⽅、仮名化された個⼈情報は、本⼈と紐付いて利⽤されることがない限りは、個⼈の権利利益が侵害されるリスクが相当程度低下する
結局、データの安全性の確保と有用性の維持という一見アンビバレントな要請を満たすことが期待されたのである。
なお、匿名加工情報は、それ自体はもちろん他の情報と組み合わせても特定の個人を識別できなくなり利便性やデータとしての有用性が低下する反面、「第三者」に対しても提供が可能となるという利点もある。
┃ 個人情報・仮名加工情報・匿名加工情報・統計情報の規制比較
上図にあるとおり、匿名加工情報の場合、情報を相互に連結する符号を削除しなければならないことから(個人情報保護法施行規則第34条第3号)、例えば⽒名と⽣年⽉⽇の組合せを仮IDに置き換えるとして、⽒名・⽣年⽉⽇・仮IDの対応表や、⽒名等の仮IDへの置き換えに⽤いた置き換えアルゴリズムと乱数等のパラメータの組合せを保有している場合の乱数等のパラメータをその都度削除しなければならず、そのため、仮IDの⽣成に同⼀のパラメータを⽤いることはできないことから、同⼀の⽒名・⽣年⽉⽇を含む別の情報について同じ仮IDを付すること、すなわち匿名加工情報同士を突合することは実質的に不可能となる(個人情報保護委員会事務局レポート 仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向けてー制度編ー15頁)。
他方で、仮名加工情報の場合、情報を相互に連結する符号を削除する必要はないことから(個人情報保護法施行規則第31条参照)、氏名・生年月日・仮IDの対応表等を削除しなくても問題なく、そのため、同一人に対し同一仮IDを付し、それを用いて仮名加工情報の突合を行うことが可能となる。
┃ 個人情報である仮名加工情報/個人情報でない仮名加工情報
仮名加工情報には、個人情報である仮名加工情報と個人情報ではない仮名加工情報の2種類が存在する。
これは、仮名加工情報の「削除情報等」(個人情報保護法第41条第2項)が関係する。
つまり、「削除情報等」とは、仮名加工情報の作成に用いられた個人情報から削除された記述等(氏名や生年月日等)や個人識別符号(顔認証データ等)、又は「仮名加工の方法に関する情報」とされているところ、仮名加工情報が、それらと容易に照合することができ、それにより特定の個人を識別することができる状態(※)であれば、個人情報の定義(個人情報保護法第2条第1項)に該当し、当該仮名加工情報は個人情報となる。
※あくまで状態であり、実際に照合を行うことは禁止されている(個人情報保護法第41条第7項)。
なお、ここでいう「仮名加工の方法に関する情報」とは、その情報を用いて仮名加工情報の作成に用いられた個人情報を復元することができるものが該当し、例えば、「氏名等を仮IDに置き換えた場合における置き換えアルゴリズムに用いられる乱数等のパラメータ又は氏名と仮IDの対応表等のような加工の方法に関する情報」をいうとされている(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」12−13頁)。
他方、削除情報等を保有していないなど、仮名加工情報と削除情報等を容易に照合することができず、特定の個人を識別することができない状態であれば、当該仮名加工情報は個人情報ではない。
削除情報等を保有していないのは、2つの場合が想定される。
1つは、委託に伴う提供や共同利用等により仮名加工情報の提供を受けた事業者が、削除情報等の提供を受けなかった場合である。もう1つは、仮名加工情報を作成した事業者が、事後的に、削除情報等を消去した場合である。
(2) 仮名加工情報の作成
上記(1)で説明した仮名加工情報を作成する方法・基準は、次のとおり。
(仮名加工情報の作成等)
第41条 個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。中略)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。
個人情報保護委員会規則で定める基準とは、次の3つである(個人情報保護法施行規則第31条)。
特定の個人を識別することができる記述等の全部又は一部の削除・置換
個人識別符号の削除・置換
不正に利用されることにより財産的被害が生じるおそれのある記述等の削除・置換
┃ 特定の個人を識別することができる記述等の全部又は一部の削除・置換
情報単体で特定の個⼈を識別することができる記述等(⽒名、顔画像等)についてはその全部を削除するとともに、情報の組合せで特定の個⼈を識別することができる記述等についてはその組合せが特定の個⼈を識別することができる記述にならないように、記述等の全部⼜は⼀部を削除する必要がある(個人情報保護法施行規則第31条第1号)。
この(※1)の仮IDへの置換えについては、次のような方法が挙げられる。
┃ 個人識別符号の削除・置換
個人識別符号は、それ単体で特定の個⼈を識別できるため、その全部を削除⼜は他の記述等へ置き換えて、特定の個⼈を識別できないようにしなければならない(個人情報保護法施行規則第31条第2号)。
┃ 不正に利用されることにより財産的被害が生じるおそれのある記述等の削除・置換
不正に利用されることにより個人の財産的被害が生じるおそれが類型的に高い記述等については、それが漏えいした場合に個人の権利利益の侵害が生じる蓋然性が相対的に高く、仮名加工情報を作成するに当たっては、その記述等について削除又は他の記述等への置き換えを行わなければならない(個人情報保護法施行規則第31条第3号)。
この点、ある記述等について不正に利⽤されることにより財産的被害が⽣じる可能性が理論上は否定できない場合であっても、その可能性が相当程度低いものである場合には、ここでの加⼯は必要ない。
該 当:クレジットカード番号
ネットバンキングのログイン情報(ID/PW)
非該当:クレジットカード番号の下4桁
口座番号
なお、この点は、匿名加工情報の作成基準にはない、仮名加工情報独自の加工基準となっている(同第34条参照)。
┃ Column
個人情報保護法第41条や同法施行規則第31条の基準に従い加工する必要がある仮名加工情報は、仮名加工情報データベース等(同法第16条第5項)を構成するものに限るとされており、いわゆる散財情報である仮名加工情報は必ずしもこの基準によることを要しない。
また、個人情報保護法第41条第1項のルールの適用があるのは、仮名加工情報を「作成するとき」であるが、これは、仮名加工情報として取り扱い、仮名加工情報にかかるルールの適用を受ける目的(作成意図)をもって作成するときのことを指すとされている。
したがって、自社内での分析等のため又は委託先への提供に際し安全管理措置の一環として氏名や生年月日等の一部の個人情報を削除・置換し、引き続き個人情報として取り扱う場合、あるいは匿名加工情報や統計情報を作成するために個人情報を加工する場合などは、仮名加工情報を「作成するとき」には該当しないとされている。
(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」9頁参照)
(3) 仮名加工情報の作成・利用の留意点
仮名加工情報の取扱いに関するルールは個人情報保護法第41条・第42条に置かれており、個人情報の取扱いに関するルール(例えば同法第23条から第25条等)を準用する形で適用されることから、数が多い。
利用目的による制限・公表(個人情報保護法第41条第3項・第4項)
利用する必要がなくなった場合の消去(同条第5項)
第三者提供の禁止(同条第6項)
識別行為の禁止(同条第7項)
本人への連絡等の禁止(同条第8項)
個人情報・個人データに関するルールの適用除外(同条第9項)
その他個人情報・個人データに関するルール(※)
※個人情報である仮名加工情報についてのみ適用される
ここでは、そのうち特に重要と思う4点のみを紹介する。
┃ 第三者提供の禁止
個人情報かどうかにかかわらず仮名加工情報については、法令に基づく場合を除き、原則として、第三者に提供することができない(個人情報保護法第41条第6項〔個人情報である仮名加工情報〕、第42条第1項〔個人情報でない仮名加工情報〕)。
(仮名加工情報の作成等)
第41条
6 仮名加工情報取扱事業者は、第27条第1項及び第2項並びに第28条第1項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。
(仮名加工情報の第三者提供の制限等)
第42条 仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。中略)を第三者に提供してはならない。
個人データについては、本人同意があれば、それを第三者に対して提供することが可能であるが(個人情報保護法第27条第1項)、仮名加工情報については、本人の同意があっても、第三者に対して提供することが認められていない。
この意味不明なルールは、次のような考慮に基づくものと説明されている(「個人情報保護委員会事務局レポート 仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向けてー制度編ー」46頁)。
仮名加⼯情報を取得した悪意者により識別⾏為が⾏われるリスクがあり、個⼈の権利利益が侵害されるリスクを⾼めること
漏えい等発⽣時におけるリスクの低下を図るため、それ単体では特定の個⼈を識別することができないように加⼯しているにもかかわらず、第三者提供について本⼈に関与させるためには、あえて加⼯前の個⼈情報を復元し、特定の個⼈を識別することが必要となるため、むしろ漏えい等発⽣時におけるリスクを⾼めること
・・・説明を読んでもあまりよくわからない。どういうことだろうか??
1点目は、そもそも特定の個人を識別することができる個人データですら、本人の同意があれば第三者に対して提供できるとされていることと整合するのだろうか。
2点目は、例えばあらかじめ包括的に本人から同意を得ておけば、第三者提供時に改めて仮名加工情報を復元する手間はなく、漏えい等発生時のリスクは何ら高まらないのではないだろうか。
もしかすると、仮名加工情報については、保有個人データとしての規律(開示・訂正等・利用停止等)を受けないことから、その反面、通常の個人データよりも重い負荷を課しているということかもしれない。
よくわからないが、このようにルール化されている以上、当面は従わざるを得ない。
とはいえ、「第三者」への提供が原則として禁じられているのみであり、委託に伴う提供や共同利用による仮名加工情報の提供は可能である(※)。
以下では、本稿の本題でもある共同利用による仮名加工情報の提供についての留意点を紹介する。
(ユースケース)
複数の共同利⽤者が、⾃ら作成した仮名加⼯情報を共同利⽤により相互に提供する場合、ある共同利⽤者において、提供を受けた仮名加⼯情報と⾃⼰が保有する仮名加⼯情報をそれぞれの仮名加⼯情報に共通して含まれる記述等を⽤いて特定の個⼈ごとに突合することが考えられる。
(留意点)
共同利⽤により提供を受けた仮名加⼯情報と⾃⼰が保有する仮名加⼯情報に含まれる共通の記述等を選別して、仮名加⼯情報同⼠を特定の個⼈ごとに突合する場合、当該特定個⼈の情報が集積することで、それらを突合した仮名加⼯情報のみで特定の個⼈を識別できる状態となり、識別禁⽌義務に抵触する可能性があることに留意する必要がある(識別⾏為の禁⽌)
単⼀事業者内で複数の仮名加⼯情報を突合する場合とは異なり、仮名加⼯情報同⼠を突合した時に特定の個⼈を識別してしまうことのないよう作成元の個⼈情報のどの項⽬をどのようなレベルで加⼯するかについて予め統⼀した基準を定めておくことが容易でない場合があることに留意が必要である
⾃らが作成した仮名加⼯情報を共同利⽤により別の事業者に提供し、当該別の事業者において、当該仮名加⼯情報と当該別の事業者が作成した別の仮名加⼯情報とを突合した上で⽤いることを、利⽤⽬的から合理的に予測・想定できるようにしておくことが重要である
⽒名を仮IDに置き換えた場合における置き換えアルゴリズムと当該アルゴリズムに⽤いられる乱数等のパラメータの組合せ等の仮IDの作成⽅法に関する情報は、削除情報等に該当するため、安全管理措置の⼀環として、削除情報等を取り扱う権限を有しない者による取扱いを防⽌するために必要かつ適切な措置を講ずることが求められる
仮名加⼯情報の共同利⽤の場⾯において、その情報を⽤いて当該仮名加⼯情報の元となった個⼈情報を復元できるような仮IDの作成⽅法に関する情報を他の共同利⽤者と共有することは、原則として認められない
(以上「個人情報保護委員会事務局レポート 仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向けてー制度編ー」50頁から抜粋)
┃ 識別行為の禁止
仮名加⼯情報の取扱いにおいては、それが個⼈情報である場合であるか否かにかかわらず、仮名加⼯情報の作成に⽤いられた個⼈情報にかかる本⼈を識別する⽬的で他の情報と照合することが禁⽌される(個人情報保護法第41条第7項〔個人情報である仮名加工情報〕、第42条第3項〔個人情報でない仮名加工情報〕)。
(仮名加工情報の作成等)
第41条
7 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。
(仮名加工情報の第三者提供の制限等)
第42条
3 第23条から第25条まで、第40条並びに前条第7項及び第8項の規定は、仮名加工情報取扱事業者による仮名加工情報の取扱いについて準用する。
ここで【識別行為に当たる取扱いの事例】として挙げられている行為を行う場合、それにより特定の個人を識別できるかどうかは関係なく、その目的で他の情報と照合すること自体が禁止される。
一般に、この事例で挙げられている事例1・2はいずれも識別目的での照合と考えられるとされている(「個人情報保護委員会事務局レポート 仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向けてー制度編ー」33頁)。
┃ 本人への連絡等の禁止
仮名加⼯情報の取扱いにおいては、それが個⼈情報である場合であるか否かに関わらず、仮名加⼯情報に含まれる連絡先を利⽤して、本⼈に連絡等を⾏うことが禁⽌される(個人情報保護法第41条第8項〔個人情報である仮名加工情報〕、第42条第3項〔個人情報でない仮名加工情報〕)。
(仮名加工情報の作成等)
第41条
8 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(中略)第2条第6項に規定する一般信書便事業者若しくは同条第9項に規定する特定信書便事業者による同条第2項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
(仮名加工情報の第三者提供の制限等)
第42条
3 第23条から第25条まで、第40条並びに前条第7項及び第8項の規定は、仮名加工情報取扱事業者による仮名加工情報の取扱いについて準用する。
ここで禁止されている本人への連絡手段は、次のとおりである。
電話
郵便・信書便
電報
FAX
電磁的方法
電磁的方法には、SMS(Short Message Service)送信、電子メール送信、電子メール送信以外の受信者を特定して情報を伝達する方法(SNS等のメッセージ機能、広告識別子やCookie IDを用いたインターネット広告)が含まれる(個人情報保護法施行規則第33条)。
携帯電話番号や電⼦メールアドレス、SNS等のID、広告識別⼦やCookie ID等その他の本⼈到達性のある記述等は、当該情報⾃体を分析することは⼀般的に想定できず、本⼈への連絡等の禁⽌義務に抵触する取扱いを未然に防⽌する観点から、仮名加⼯情報の作成に当たって削除するか、連結符号として⽤いる際であっても置き換えをすることが望ましい
┃ 適用除外
個人情報である仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データの取扱いについては、①利用目的の変更(個人情報保護法第17条第2項)、②漏えい等の報告等(同法第26条)、そして③本人からの開示等の請求等(同法第32条から第39条)の規律が適用されない。
以上
この記事が気に入ったらサポートをしてみませんか?