Q&A改正個人情報保護法⑤(仮名加工情報)

あたらしい法律の情報

Q5.個人情報保護法に「仮名加工情報」が新たに設けられますが、どのような情報で、どのような規律が適用されますか。

【実務上の影響】
〇 現在の個人情報保護法の下では、個人情報取扱事業者が自社内部で個人データを匿名化して活用しようとする場合、「匿名加工情報」の加工基準・加工方法を充たさない限りは、安全管理措置を講じた上で、個人の各種請求(開示・訂正等、利用停止等の請求)に応じなければなりません。これに対して、「仮名加工情報」の加工基準・加工方法を満たす場合においては個人の各種請求に応ずる義務がなくなります。
〇「仮名加工情報」の加工基準・加工方法が厳しく、「匿名加工情報」との差があまりなく、厳格であれば、「仮名加工情報」の利活用は進まない可能性があります。
〇個人情報に該当する「仮名加工情報」については、目的外利用が禁止され、取得にあたって利用目的について公表等が必要となるので、事業者内部で制限なく利用するためには、個人情報に該当しない「仮名加工情報」にする必要があります。
〇個人データ同様、第三者提供は制限されるので、ビックデータとして広く利用されることにはならないのではないかと考えられます。

1.改正法の規律
(1)仮名加工情報(法2条9項各号)
 「仮名加工情報」とは、「1号個人情報」(法2条1項1号:氏名、生年月日その他の記述等により特定の個人を識別することができるもの)と「2号個人情報」(法2条1項2号:個人識別符号が含まれるもの)の区分に応じて、以下の措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいいます(法2条9項本文)。

① 1号個人情報(法2条1項1号:氏名、生年月日その他の記述等により特定の個人を識別することができるもの)
 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含みます。)。
② 2号個人情報(法2条1項2号:個人識別符号が含まれるもの)
 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含みます。)。

 仮名加工情報は、その加工の程度に応じて、「個人情報である仮名加工情報」と「個人情報でない仮名加工情報」に分かれます。すなわち、仮名加工情報は、他の情報と照合しない限り特定の個人を識別することができないものでありますが、他の情報と容易に照合でき特定の個人が識別できるものは個人情報に該当するが、そうでないものは個人情報に該当しないことになります。

(2)仮名加工情報データベース等(法2条10項)
 「仮名加工情報データベース等」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいいます。

(3)仮名加工情報取扱事業者(法2条10項)
 「仮名加工情報取扱事業者」とは、仮名加工情報データベース等を事業の用に供している者をいいます。ただし、国の機関、地方公共団体、独立行政法人等、地方独立行政法人はこれに該当しません(法2条5項参照)。

(4)仮名加工情報の加工方法・加工基準(法35条の2第1項)
 個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限ります。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければなりません。
 仮名加工情報の具体的な加工方法や加工基準については、今後、個人情報保護委員会規則や個人情報保護委員会のガイドラインにおいて定められるものと考えられます。

(5)削除等情報の安全管理措置(法35条の2第2項)
 個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限ります。)を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る「削除情報等」を取得したときは、「削除情報等」の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければなりません。
 「削除等情報」とは、仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに法35条の2第1項(上記(4))により行われた加工の方法に関する情報をいいます。
 「削除等情報」の安全管理措置の基準については、今後、個人情報保護委員会規則や個人情報保護委員会のガイドラインにおいて定められるものと考えられます。

(6)個人情報である仮名加工情報の目的外利用の禁止(法35条の2第3項)
 仮名加工情報取扱事業者(個人情報取扱事業者である者に限ります。)は、第16条の規定にかかわらず、法令に基づく場合を除くほか、第15条第1項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。)を取り扱ってはなりません。
 すなわち、「個人情報取扱事業者である仮名加工情報取扱事業者」は、「個人情報である仮名加工情報」について、法15条1項において特定された利用目的の達成に必要な範囲を超えて取り扱ってはならず、以下の取扱いが認められません。
① 「個人情報である仮名加工情報」について本人の事前の同意を得て目的外利用をすること(法16条1項参照)
② 「法令に基づく場合」(法16条3項1号)以外の公益的理由による目的外利用をすること(以下参照)
• 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。(法16条3項2号)
• 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。(法16条3項3号)
• 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。(法16条3項4号)

 なお、反対解釈として、個人情報ではない仮名加工情報については、目的外利用の禁止の適用はないものと考えられます。

(7)個人情報である仮名加工情報の取得に際しての利用目的の公表等(法35条の2第4項の準用する法18条)
① 仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。)は、仮名加工情報(個人情報に限る。)を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を公表しなければなりません。(法35条の2第4項による法18条1項の準用・読み替え)
② 仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。)は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の仮名加工情報(個人情報に限る。)を取得する場合その他本人から直接書面に記載された当該本人の仮名加工情報(個人情報に限る。)を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければなりません。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りではありません。(法35条の2第4項による法18条2項の準用)
③ 仮名加工情報取扱事業者(個人情報取扱事業者である者に限ります。)は、利用目的を変更した場合は、変更された利用目的について公表しなければなりません。(法35条の2第4項による法18条3項の準用)
④ 上記の①利用目的の公表、②書面により直接取得する場合の利用目的の明示、③利用目的の変更に係る規定について、以下の場合は適用されない(法35条の4項による法18条4項の準用・読み替え)
(i) 利用目的を公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(ii) 利用目的を公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
(iii) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(iv) 取得の状況からみて利用目的が明らかであると認められる場合

 なお、反対解釈として、仮名加工情報取扱事業者は、個人情報ではない仮名加工情報を取得するにあたっての利用目的の公表等をする必要はないものと考えられる。


(8) 仮名加工情報である個人データ及び削除情報等の消去の努力義務(法35条の2第5項)
 仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。)は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。この場合においては、第19条の規定は、適用しない。

---------------------------------------------------------------------------------------

〇参考
(データ内容の正確性の確保等)
第19条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

----------------------------------------------------------------------------------------

(9)仮名加工情報である個人データの第三者提供の規律(法35条の2第6項)ア 第三者提供が認められる場合(法35条の2第6項が準用する法23条1項・2項、24条1項)
 仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。)は、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはなりません。
 すなわち、通常の個人データの第三者提供において認められる以下の方法による提供は認められません。
• 本人の事前の同意(法23条1項)
• 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。(法23条1項2号)
• 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。(法23条1項3号)
• 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。(法23条1項4号)
• オプトアウト手続(法23条2項)
• 外国にある第三者への提供を認める旨の同意(法24条1項)

 なお、仮名加工情報の原データ(保有個人データ)を本人の同意を得ること等により第三者に提供することは可能であると考えられます。
 また、あらかじめ本人の同意を得ること等により、仮名加工情報の原データのほか、原データを仮名加工情報としたものを、個人データとして、第三者に提供することも可能であると考えられます。(下記の制度改正大綱の記述参照)

---------------------------------------------------------------------------------------

〇制度改正大綱

第4節 データ利活用に関する施策の在り方
2.「仮名化情報(仮称)」の創設

〇 また、「仮名化情報(仮称)」は、事業者内部における分析のために用いられることに鑑み、「仮名化情報(仮称)」それ自体を第三者に提供することは許容しないこととする。その場合であっても、「仮名化情報(仮称)」の作成に用いられた原データ(保有個人データ)を、本人の同意を得ること等により第三者に提供することは可能である(脚注7)。
(脚注7)あらかじめ本人の同意を得ること等により、原データのほか、原データを仮名化したデータを、(現行法における)個人データとして、第三者に提供することも可能である。

---------------------------------------------------------------------------------------

イ 第三者に該当しない提供(法35条の2第6項が準用する法23条5項各号)
 仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。)は、以下の場合は、「第三者」に該当しないものとして、(本人の同意なしに)仮名加工情報である個人データの提供ができます。
 通常の個人データの提供と同様に、以下の場合が認められます。
① 仮名加工情報である個人データの取扱いの委託(法35条の2第6項が準用する法23条5項1号)
② 合併その他の事由による事業の承継に伴って仮名加工情報である個人データが提供される場合(法35条の2第6項が準用する法23条5項2号)
③ 仮名加工情報である個人データの共同利用の場合(法35条の2第6項が準用する法23条5項3号)

 「③仮名加工情報である個人データの共同利用」については、特定の者との間で共同して利用される仮名加工情報である個人データが当該特定の者に提供される場合で、その旨並びに共同して利用される仮名加工情報である個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該仮名加工情報である個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ公表している場合に共同利用が認められます。(法35条の2第6項が準用する法23条5項3号)
 個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について公表しなければなりません。(法35条の2第6項が準用する法23条6項)
 通常の個人データの共同利用の場合(変更の場合を含む)(法23条5項3号、6項)については、「本人に通知し、又は容易に知り得る状態に置く」ことが求められるが仮名加工情報である個人データの共同利用の場合(変更の場合を含む)については、「公表」のみが認められる。

ウ 仮名加工情報である個人データの第三者提供に係る記録の作成等(法35条の2第6項が準用する法25条1項)
 仮名加工情報取扱事業者(個人情報取扱事業者である者に限ります。)は、仮名加工情報である個人データを第三者(法2条5項各号に掲げる者を除きます。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該仮名加工情報である個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければなりません。
 ただし、仮名加工情報である個人データの提供が①法令に基づく場合又は②法23条5項各号のいずれかに該当する場合には、記録の作成義務はありません。
 通常の個人データの記録義務の例外は「法23条1項各号又は法23条5項各号」とされているところ、「法23条1項各号」の公益目的の例外のうち「法令に基づく場合」(法23条1項1号)のみ認められています。

エ 仮名加工情報である個人データの第三者提供を受ける際の確認等(法35条の2第6項が準用する法26条1項)
 仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。)は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければなりません。
①当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
②当該第三者による当該仮名加工情報である個人データの取得の経緯
ただし、当該個人データの提供が①法令に基づく場合又は②第23条第5項各号のいずれかに該当する場合は、確認義務を負わない。
 通常の個人データの確認義務の例外は「法23条1項各号又は法23条5項各号」とされているところ、「法23条1項各号」の公益目的の例外のうち「法令に基づく場合」(法23条1項1号)のみ認められています。

(10)個人情報である仮名加工情報の他の情報との照合禁止(法35条の2第7項)
 仮名加工情報取扱事業者(個人情報取扱事業者である者に限ります。)は、仮名加工情報(個人情報であるものに限ります。)を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはなりません。

(11)個人情報である仮名加工情報に含まれる情報の流用の禁止(法35条の2第8項)
 仮名加工情報取扱事業者(個人情報取扱事業者である者に限ります。)は、仮名加工情報(個人情報であるものに限ります。)を取り扱うに当たっては、電話をかけ、郵便若しくは一般信書便事業者若しくは特定信書便事業者による信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいいます。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはなりません。

(12)仮名加工情報(個人情報であるものに限る。)、仮名加工情報である個人データ及び仮名加工情報である保有個人データに適用がない規定(法35条の2第9項)
 以下の規定は、仮名加工情報(個人情報であるものに限る。)、仮名加工情報である個人データ及び仮名加工情報である保有個人データには適用されません。
〇第15条第2項(利用目的の変更の範囲)
〇第22条の2(漏えい等の報告等)
〇第27条(保有個人データに関する事項の公表等)
〇 第28条(開示)
〇 第29条(訂正等)
〇 第30条(利用停止等)
〇 第31条(理由の説明)
〇 第32条(開示等の請求手続等に応じる手続)
〇 第33条(手数料)
〇 第34条(事前の請求)

(13)個人情報でない仮名加工情報の第三者提供の制限(法35条の3第1項、同条2項の準用する法23条5項・6項)
ア 第三者への提供の制限(法35条の3第1項)
 仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。)を第三者に提供してはなりません。
 個人データでない仮名加工情報であるので、法23条1項の適用はありませんが、仮名加工情報である個人データの第三者提供の場合(35条の2第6項)の場合(上記(9)ア参照)の場合と平仄を合わせて、仮名加工情報の第三者提供の制限をしています。
 なお、仮名加工情報の原データ(保有個人データ)を本人の同意を得ること等により第三者に提供することは可能であると考えられます。
 また、あらかじめ本人の同意を得ること等により、仮名加工情報の原データのほか、原データを仮名加工情報としたものを、個人データとして、第三者に提供することも可能であると考えられます。(下記の制度改正大綱の記述参照)

---------------------------------------------------------------------------------------

第4節 データ利活用に関する施策の在り方
2.「仮名化情報(仮称)」の創設

〇 また、「仮名化情報(仮称)」は、事業者内部における分析のために用いられることに鑑み、「仮名化情報(仮称)」それ自体を第三者に提供することは許容しないこととする。その場合であっても、「仮名化情報(仮称)」の作成に用いられた原データ(保有個人データ)を、本人の同意を得ること等により第三者に提供することは可能である(脚注7)。
(脚注7)あらかじめ本人の同意を得ること等により、原データのほか、原データを仮名化したデータを、(現行法における)個人データとして、第三者に提供することも可能である。

---------------------------------------------------------------------------------------

イ 第三者に該当しない場合(法35条の3第2項の準用する法23条5項・6項)
 仮名加工情報取扱事業者は、仮名加工情報(個人情報であるものを除きます。)の提供をする場合においては、以下の各場合は第三者への提供には該当せず、(本人の同意なしに)提供することができます。(法35条の3第2項の準用する法23条5項各号)
① 仮名加工情報取扱事業者が利用目的の達成に必要な範囲内において仮名加工情報の取扱いの全部又は一部を委託することに伴って当該仮名加工情報が提供される場合
② 合併その他の事由による事業の承継に伴って仮名加工情報が提供される場合
③ 特定の者との間で共同して利用される仮名加工情報が当該特定の者に提供される場合であって、その旨並びに共同して利用される仮名加工情報の項目、共同して利用する者の範囲、利用する者の利用目的並びに当該仮名加工情報の管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ公表しているとき。(いわゆる共同利用)

 上記③の共同利用の場合、仮名加工情報取扱事業者は、仮名加工情報の管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について公表しなければなりません。(法35条の3第2項の準用する法23条6項)

 個人データでない仮名加工情報であるので、法23条1項の適用はありませんが、上記アのとおり、仮名加工情報である個人データの第三者提供の制限の例外として第三者に該当しない場合(法35条の2第6項が準用する法23条5項各号)(上記(9)イ参照)の場合と平仄を合わせて、第三者に該当しない場合を規定しています。

(14)個人情報ではない仮名加工情報への個人データに関する規定の準用(法35条の3第3項)
 個人情報ではない仮名加工情報にも、以下の個人データに関する規定が準用して適用されます。
〇 安全管理措置(法20条):漏えいの防止のみ問題となる(滅失・毀損の防止は問題とならない)。
〇 従業者の監督(法21条)
〇 委託先の監督(法22条)
〇 苦情の処理(法35条)
〇 削除情報等・仮名加工情報の他の情報との照合禁止(法35条の2第7項)
〇 仮名加工情報に含まれる情報の流用禁止(法35条の2第8項)
 
 なお、個人情報ではない仮名加工情報については、目的外利用の禁止の適用はなく、また、仮名加工情報取扱事業者は、個人情報ではない仮名加工情報を取得するにあたっての利用目的の公表等をする必要はないものと考えられます。(上記(6)・(7)参照)
 また、個人情報ではない仮名加工情報であるので、保有個人データに関する規律(法27条から法34条まで)の適用はありません(上記(12)参照)。

(15)施行期日
 本規定の改正は、公布の日から起算して2年を超えない範囲内で政令で定める日に施行されます。

この記事が気に入ったらサポートをしてみませんか?