見出し画像

【個人情報保護法】匿名加工情報の定義を確認する

Zumax

はじめに

はじめまして、私はスタートアップでデータプロダクトの、プロダクトマネージャーを担当しているものです。匿名加工について調べる機会があったので、あらためて整理します。

個人情報保護がますます重要になる中で、匿名加工情報はデータ活用とプライバシー保護のバランスを取る鍵となります。この記事では、匿名加工情報の基本的な定義について整理します。

対象読者

対象読者は、下記のような方を想定しています。

  • データエンジニア

  • データサイエンティスト

  • プライバシー担当者

  • ビジネスリーダー

本記事で分かること

本記事を読むことで下記のことが理解できると考えます。

  • 匿名加工情報の基本的な理解が深まる

注意事項・免責

  • 本記事は「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編))」を元に解釈した資料になります。詳細は本体の記事をご確認ください。

  • 掲載している内容は個人の見解であり、所属する組織を代表するものではありません。

  • 掲載されている内容は、可能な限り正確な情報を記載するように努めておりますが、100%を保証するものではありません。誤りが混在する場合や最新の情報ではない可能性があります。

  • 情報の最新性や正確性を考え、予告なしで情報の更新や削除を行うこともあります。

  • 本記事の利用や、参考は、ご自身のご判断と責任においてご利用頂ますようお願い致します。掲載した内容により何らかのトラブル・不利益・損害・損失等が発生しても一切の責任は負いかねます。

匿名加工情報とは?

定義と特徴

匿名加工情報とは何でしょうか?「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編))」には、下記のように記載されています。

法第2条(第6項)
この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

====
「匿名加工情報」とは、個人情報を個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものをいう。

個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編))


ここでのポイントは、匿名加工情報とは個人情報に対して下記の状態にしたものと読み取れます。

  • 特定の個人を識別できないよう加工された情報

  • 復元不可。または復元しても再識別が不可能

仮名加工情報との違い

類似している加工情報に仮名加工があります。個人情報保護委員会のページには、匿名加工と仮名加工の違いが載っています。

匿名加工情報は、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの(法第2条第6項)です。「個人情報」(法第2条第1項)に該当せず、本人の同意を得ずに第三者に提供することが可能です(匿名加工情報の取扱いに係る義務等については、ガイドライン(仮名加工情報・匿名加工情報編)3-2参照)。

これに対し、仮名加工情報は、他の情報と照合しない限り特定の個人を識別できないように加工した個人に関する情報(法第2条第5項)であり、仮名加工情報を作成した個人情報取扱事業者においては、通常、当該仮名加工情報の作成の元となった個人情報や当該仮名加工情報に係る削除情報等を保有していると考えられることから、原則として「個人情報」(法第2条第1項)に該当するものです。変更前の利用目的と関連性を有すると合理的に認められる範囲を超える利用目的の変更が可能ですが(法第41条第9項)、原則として第三者への提供が禁止されています(法第41条第6項)(仮名加工情報の取扱いに係る義務等については、ガイドライン(仮名加工情報・匿名加工情報編)2-2参照)。

個人情報保護委員会>お問合せ>FAQ索引>匿名加工情報と仮名加工情報の違いは何ですか

<仮名加工情報と匿名加工情報の加工基準の差異(概要)>

<仮名加工情報と匿名加工情報の加工基準の差異(概要)>

匿名加工情報取扱事業者等の義務とは?

匿名加工情報を作成する個人情報取扱事業者及び、匿名加工情報データベース等を提供している事業者は遵守すべき義務を規定している。

 匿名加工情報を作成する個人情報取扱事業者が遵守する義務等
(1)匿名加工情報を作成するときは、適正な加工を行わなければならない。(法第43条第1項)<3-2-2(匿名加工情報の適正な加工)参照>
(2)匿名加工情報を作成したときは、加工方法等の情報の安全管理措置を講じなければならない。(法第43条第2項)<3-2-3(匿名加工情報等の安全管理措置等)参照>
(3)匿名加工情報を作成したときは、当該情報に含まれる情報の項目を公表しなければならない。(法第43条第3項)<3-2-4(匿名加工情報の作成時の公表)参照>
(4)匿名加工情報を第三者提供するときは、提供する情報の項目及び提供方法について公表するとともに、提供先に当該情報が匿名加工情報である旨を明示しなければならない。(法第43条第4項)<3-2-5(匿名加工情報の第三者提供)参照>
(5)匿名加工情報を自ら利用するときは、元の個人情報に係る本人を識別する目的で他の情報と照合することを行ってはならない。(法第43条第5項)<3-2-6(識別行為の禁止)参照>
(6)匿名加工情報を作成したときは、匿名加工情報の適正な取扱いを確保するため、安全管理措置、苦情の処理などの措置を自主的に講じて、その内容を公表するよう努めなければならない。(法第43条第6項)<3-2-3(匿名加工情報等の安全管理措置等)参照>

匿名加工情報データベース等を事業の用に供している匿名加工情報取扱事業者が遵守する義務等
(1)匿名加工情報を第三者提供するときは、提供する情報の項目及び提供方法について公表するとともに、提供先に当該情報が匿名加工情報である旨を明示しなければならない。(法第44条)<3-2-5(匿名加工情報の第三者提供)参照>
(2)匿名加工情報を利用するときは、元の個人情報に係る本人を識別する目的で、加工方法等の情報を取得し、又は他の情報と照合することを行ってはならない。(法第45条)<3-2-6(識別行為の禁止)参照>
(3)匿名加工情報の適正な取扱いを確保するため、安全管理措置、苦情の処理などの措置を自主的に講じて、その内容を公表するよう努めなければならない。(法第46条)<3-2-3(匿名加工情報等の安全管理措置等)参照>

3-2 匿名加工情報取扱事業者等の義務

  • 匿名加工する事業者には2種類ある

  • それぞれ遵守するべき義務がある。

3-2-2 匿名加工情報の適正な加工(法第43条第1項関係)の定義

適正な加工の定義は、下記のとおりです。

法第43条(第1項)
1 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下この章及び第6章において同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。
規則第34条
法第43条第1項の個人情報保護委員会規則で定める基準は、次のとおりとする。
(1)個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(2)個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(3)個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。
(4)特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(5)前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。

3-2-2 匿名加工情報の適正な加工(法第43条第1項関係)

  • 匿名加工情報を作成する際には、規則第34条の各号に定める基準に従って当該個人情報を加工しなければならないようです。

3-2-2-1 特定の個人を識別することができる記述等の削除

規則第34条(第1号)
(1)個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
===
個人情報取扱事業者が取り扱う個人情報には、一般に、氏名、住所、生年月日、性別の他、様々な個人に関する記述等が含まれている。これらの記述等は、氏名のようにその情報単体で特定の個人を識別することができるもののほか、住所、生年月日など、これらの記述等が合わさることによって特定の個人を識別することができるものもある。このような特定の個人を識別できる記述等から全部又はその一部を削除するあるいは他の記述等に置き換えることによって、特定の個人を識別することができないよう加工しなければならない。

なお、他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法でなければならない(※)。例えば、生年月日の情報を生年の情報に置き換える場合のように、元の記述等をより抽象的な記述に置き換えることも考えられる。


(※)仮IDを付す場合には、元の記述を復元することのできる規則性を有しない方法でなければならない。

例えば、仮にハッシュ関数等を用いて氏名・住所・連絡先・クレジットカード番号のように個々人に固有の記述等から仮IDを生成しようとする際、元の記述に同じ関数を単純に用いると元となる記述等を復元することができる規則性を有することとなる可能性がある場合には、元の記述(例えば、氏名+連絡先)に乱数等の他の記述を加えた上でハッシュ関数等を用いるなどの手法を検討することが考えられる。なお、乱数等の他の記述等を加えた上でハッシュ関数等を用いるなどの手法を用いる場合、匿名加工情報の作成後に、仮IDへの置き換えに用いたハッシュ関数等と乱数等の他の記述等の組み合わせを保有し続けることは認められないことについて、3-2-3-1(加工方法等情報の安全管理措置)を参照のこと。

特定の個人を識別することができる記述等の削除

  • 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除することとは、下記の選択肢があり得る。

    • 削除

    • 置換

  • 置換する場合の注意点は、下記の通り

    • 規則性は有してはいけない。

      • ハッシュ関数など乱数を組み合わせる場合には、保有し続けてはいけない。

3-2-2-2 個人識別符号の削除

規則第34条(第2号)
(2) 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
====
加工対象となる個人情報が、個人識別符号を含む情報であるときは、当該個人識別符号単体で特定の個人を識別できるため、当該個人識別符号の全部を削除又は他の記述等へ置き換えて、特定の個人を識別できないようにしなければならない。

なお、他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法による必要がある。

(参考)個人識別符号の概要
個人識別符号とは、その情報単体から特定の個人を識別することができるものとして政令で定めるものをいい、次のいずれかに該当するものである(個人識別符号の定義の詳細については、通則ガイドライン「2-2(個人識別符号)」参照)。
(1)特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した符号
・生体情報(DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋)をデジタルデータに変換したもののうち、特定の個人を識別するに足りるものとして規則で定める基準に適合するもの(政令第1条第1号及び規則第2条)
(2)対象者ごとに異なるものとなるように役務の利用、商品の購入又は書類に付される符号
・旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証の番号等の公的機関が割り振る番号(政令第1条第2号から第8号まで、規則第3条及び第4条)

3-2-2-2 個人識別符号の削除

  • 個人識別符号も削除・置換しなければならない。

    • 置換の際には、上述した通り規則性は有してはいけない。

  • 個人識別符号の定義は、下記の通り

    • 生体情報(DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋)をデジタルデータに変換したもののうち、特定の個人を識別するに足りるものとして規則で定める基準

    • 旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証の番号等の公的機関が割り振る番号

3-2-2-3 情報を相互に連結する符号の削除

規則第34条(第3号)
(3) 個人情報と当該個人情報に措置を講じて得られる情報を連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。

===
個人情報取扱事業者が個人情報を取り扱う上で、例えば、安全管理の観点から取得した個人情報を分散管理等しようとするために、当該個人情報を分割あるいは全部又は一部を複製等した上で、当該個人情報に措置を講じて得られる情報を個人情報と相互に連結するための符号としてID等を付していることがある。このようなIDは、個人情報と当該個人情報に措置を講じて得られる情報を連結するために用いられるものであり、特定の個人の識別又は元の個人情報の復元につながり得ることから、加工対象となる個人情報から削除又は他の符号への置き換えを行わなければならない。

個人情報と当該個人情報に措置を講じて得られる情報を連結する符号のうち、「現に個人情報取扱事業者において取り扱う情報(※1)を相互に連結する符号」がここでの加工対象となる。具体的には、ここで対象となる符号は、匿名加工情報を作成しようとする時点において、実際に取り扱う情報を相互に連結するように利用されているものが該当する。例えば、分散管理のためのIDとして実際に使われているものであれば、管理用に附番されたIDあるいは電話番号等もこれに該当する。

なお、他の符号に置き換える場合は、元の符号を復元できる規則性を有しない方法でなければならない。

3-2-2-3 情報を相互に連結する符号の削除

  • RDB等のテーブルで結合に使用するキーが該当する。同様に削除か規則性がないキーで置換する必要がある。

3-2-2-4 特異な記述等の削除

規則第34条(第4号)
(4) 特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

===
一般的にみて、珍しい事実に関する記述等又は他の個人と著しい差異が認められる記述等については、特定の個人の識別又は元の個人情報の復元につながるおそれがあるものである。そのため、匿名加工情報を作成するに当たっては、特異な記述等について削除又は他の記述等への置き換えを行わなければならない。

ここでいう「特異な記述等」とは、特異であるがために特定の個人を識別できる記述等に至り得るものを指すものであり、他の個人と異なるものであっても特定の個人の識別にはつながり得ないものは該当しない。実際にどのような記述等が特異であるかどうかは、情報の性質等を勘案して、個別の事例ごとに客観的に判断する必要がある。

他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法による必要がある。例えば、特異な記述等をより一般的な記述等に置き換える方法もあり得る。

なお、規則第34条第4号の対象には、一般的なあらゆる場面において特異であると社会通念上認められる記述等が該当する。他方、加工対象となる個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等とで著しい差異がある場合など個人情報データベース等の性質によるものは同条第5号において必要な措置が求められることとなる。

3-2-2-4 特異な記述等の削除

  • 個人を識別する情報ではなくても、属性から推測できる場合が該当する。

    • 症例数が極めて少ない病歴

    • 年齢が116歳

3-2-2-5 個人情報データベース等の性質を踏まえたその他の措置

規則第34条(第5号)
(5) 前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。
====
匿名加工情報を作成する際には、規則第34条第1号から第4号までの措置をまず講ずることで、特定の個人を識別できず、かつ当該個人情報に復元できないものとする必要がある。

しかしながら、加工対象となる個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等とで著しい差異がある場合など、加工の元となる個人情報データベース等の性質によっては、同条第1号から第4号までの加工を施した情報であっても、一般的にみて、特定の個人を識別することが可能である状態あるいは元の個人情報を復元できる状態のままであるといえる場合もあり得る。そのような場合に対応するため、上記の措置のほかに必要となる措置がないかどうか勘案し、必要に応じて、別表2(匿名加工情報の加工に係る手法例)の手法などにより、適切な措置を講じなければならない。

なお、加工対象となる個人情報データベース等の性質によって加工の対象及び加工の程度は変わり得るため、どの情報をどの程度加工する必要があるかは、加工対象となる個人情報データベース等の性質も勘案して個別具体的に判断する必要がある。

特に、購買履歴、位置に関する情報などを含む個人情報データベース等において反復して行われる行動に関する情報が含まれる場合には、これが蓄積されることにより、個人の行動習慣が分かるような場合があり得る。そのような情報のうち、その情報単体では特定の個人が識別できるとは言えないものであっても、蓄積されたこと等によって特定の個人の識別又は元の個人情報の復元につながるおそれがある部分については、適切な加工を行わなければならない。

3-2-2-5 個人情報データベース等の性質を踏まえたその他の措置

  • 上記の3-2-2-4 特異な記述等の削除と似ている。

  • 3-2-2-1〜4を実施しても個人が特定される場合に実施する。

  • ありがちな場合として、行動履歴や位置情報などで特定される場合

    • 自宅や職場などの所在が推定できる位置情報(経度・緯度情報)が含まれており、特定の個人の識別又は元の個人情報の復元につながるおそれ

    • 当該小売店での購入者が極めて限定されている商品の購買履歴が含まれており、特定の個人の識別又は元の個人情報の復元につながるおそれがある

    • ある児童の身長が170㎝という他の児童と比べて差異が大きい情報があり、特定の個人の識別又は元の個人情報の復元につながるおそれがある

(別表2)匿名加工情報の加工に係る手法例(※)を下記に記載する。

(別表2)匿名加工情報の加工に係る手法例(※)

3-2-3 匿名加工情報等の安全管理措置等(法第43条第2項、第6項、第46条関係)

3-2-3-1 加工方法等情報の安全管理措置

法第43条(第2項)
2 個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。
規則第35条
法第43条第2項の個人情報保護委員会規則で定める基準は、次のとおりとする。
(1)加工方法等情報(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第43条第1項の規定により行った加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)をいう。以下この条において同じ。)を取り扱う者の権限及び責任を明確に定めること。
(2)加工方法等情報の取扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること。
(3)加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置を講ずること。
===
個人情報取扱事業者は、匿名加工情報を作成したときは、加工方法等情報(その作成に用いた個人情報から削除した記述等及び個人識別符号並びに加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。(※))をいう。以下同じ。)の漏えいを防止するために、規則で定める基準に従い、必要な措置を講じなければならない。

当該措置の内容は、対象となる加工方法等情報が漏えいした場合における復元リスクの大きさを考慮し、当該加工方法等情報の量、性質等に応じた内容としなければならないが、具体的に講じなければならない項目及び具体例については、別表3(加工方法等情報の安全管理で求められる措置の具体例)を参照のこと。

(※)「その情報を用いて当該個人情報を復元することができるもの」には、「年齢のデータを10歳刻みのデータに置き換えた」というような復元につながらない情報は該当しない。なお、氏名等を仮IDに置き換えた場合における氏名と仮IDの対応表は、匿名加工情報と容易に照合することができ、それにより匿名加工情報の作成の元となった個人情報の本人を識別することができるものであることから、匿名加工情報の作成後は破棄しなければならない。また、匿名加工情報を作成した個人情報取扱事業者が、氏名等の仮IDへの置き換えに用いた置き換えアルゴリズムと乱数等のパラメータの組み合わせを保有している場合には、当該置き換えアルゴリズム及び当該乱数等のパラメータを用いて再度同じ置き換えを行うことによって、匿名加工情報とその作成の元となった個人情報とを容易に照合でき、それにより匿名加工情報の作成の元となった個人情報の本人を識別することができることから、匿名加工情報の作成後は、氏名等の仮IDへの置き換えに用いた乱数等のパラメータを破棄しなければならない。

3-2-3-1 加工方法等情報の安全管理措置

  • 安全管理措置が必要。主に漏洩した場合のリスクを最小限にすることが書かれている。

    • 年齢を一般化により変換したものなどは対象外

    • 氏名を仮IDに置き換えた場合における対応表などがある場合は、削除しなければならない。

    • 仮IDへの置き換えに用いたアルゴリズムと乱数等のパラメタの組み合わせなどは、乱数等のパラメータは破棄しなければならない。

(別表3)加工方法等情報の安全管理で求められる措置の具体例を下記に記載する。

(別表3)加工方法等情報の安全管理で求められる措置の具体例

  • ①加工方法等情報を取り扱う者の権限及び責任の明確化 (規則第35条第1号)

    • 組織体制の整備が必要

  • ②加工方法等情報の取扱いに関する規程類の整備 及び当該規程類に従った加工方法等情報の適切な取扱い 並びに加工方法等情報の取扱状況の評価及びその結果に基づき改善を図るために必要な措置の実施 (規則第35条第2号)

    • 規定(ルール)を整備し運用する

    • 従業員の教育

    • 取り扱い状況を確認する手段の整備(手順化?)

    • 監査

  • ③加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置の実施 (規則第35条第3号)

    • 加工方法等情報を取り扱う権限を有しないものによる閲覧防止

    • 機器等の盗難防止策

    • アクセス制御(不正アクセス防止)

    • アクセスログの監査

    • 漏洩防止

3-2-3-2 匿名加工情報の安全管理措置等

法第43条(第6項)
 6 個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
法第46条
匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
===
個人情報取扱事業者又は匿名加工情報取扱事業者は、匿名加工情報の安全管理措置、苦情処理等の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

当該安全管理等の措置については、個人情報と同様の取扱いを求めるものではないが、例えば、法第23条から第25条までに定める個人データの安全管理、従業者の監督及び委託先の監督並びに法第40条に定める個人情報の取扱いに関する苦情の処理で求められる措置の例(※)を参考にすることも考えられる。具体的には、事業の性質、匿名加工情報の取扱状況、取り扱う匿名加工情報の性質、量等に応じて、合理的かつ適切な措置を講ずることが望ましい。

なお、匿名加工情報には識別行為の禁止義務が課されていることから、匿名加工情報を取り扱うに当たっては、それを取り扱う者が不適正な取扱いをすることがないよう、匿名加工情報に該当することを明確に認識できるようにしておくことが重要である。そのため、作成した匿名加工情報について、匿名加工情報を取り扱う者にとってその情報が匿名加工情報である旨が一見して明らかな状態にしておくことが望ましい。

3-2-3-2 匿名加工情報の安全管理措置等

  • 匿名加工の安全管理措置が行われている、苦情処理等の体制などを公表する

  • 匿名加工済み情報であることを明示しておく

  • 匿名加工には識別行為の禁止義務が課されている

3-2-4 匿名加工情報の作成時の公表(法第43条第3項関係)

法第43条(第3項)
3  個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
規則第36条
1    法第43条第3項の規定による公表は、匿名加工情報を作成した後、遅滞なく、インターネットの利用その他の適切な方法により行うものとする。
2    個人情報取扱事業者が他の個人情報取扱事業者の委託を受けて匿名加工情報を作成した場合は、当該他の個人情報取扱事業者が当該匿名加工情報に含まれる個人に関する情報の項目を前項に規定する方法により公表するものとする。この場合においては、当該公表をもって当該個人情報取扱事業者が当該項目を公表したものとみなす。

====
個人情報取扱事業者は、匿名加工情報を作成したとき(※1)は、匿名加工情報の作成後遅滞なく(※2)、インターネット等を利用し、当該匿名加工情報に含まれる個人に関する情報の項目を公表(※3)しなければならない。

また、個人に関する情報の項目が同じである匿名加工情報を同じ手法により反復・継続的に作成する場合には、最初の匿名加工情報を作成して個人に関する項目を公表する際に、作成期間又は継続的な作成を予定している旨を明記するなど継続的に作成されることとなる旨を明らかにしておくことにより、その後に作成される匿名加工情報に係る公表については先の公表により行われたものと解される。

なお、他の個人情報取扱事業者との委託契約により個人データの提供を受けて匿名加工情報を作成する場合など委託により匿名加工情報を作成する場合は、委託元において当該匿名加工情報に含まれる個人に関する情報の項目を公表するものとする。

3-2-4 匿名加工情報の作成時の公表(法第43条第3項関係)

  • 匿名加工した時点で個人情報の項目を公表しなければならない。

  • 永続的に行う場合は、その旨を表示する

3-2-5 匿名加工情報の第三者提供(法第43条第4項、第44条関係)

法第43条(第4項)
4 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
法第44条
 匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。以下この節について同じ。)を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
規則第37条
 法第43条第4項の規定による公表は、インターネットの利用その他の適切な方法により行うものとする。
法第43条第4項の規定による明示は、電子メールを送信する方法又は書面を交付する方法その他の適切な方法により行うものとする。
規則第38条
前条第1項の規定は、法第44条の規定による公表について準用する。
前条第2項の規定は、法第44条の規定による明示について準用する。

===
個人情報取扱事業者又は匿名加工情報取扱事業者は、匿名加工情報を第三者に提供(※1)するときは、提供に当たりあらかじめ(※2)、インターネット等を利用し、次の(1)及び(2)に掲げる事項を公表(※3)するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を電子メール又は書面等により明示(※4)しなければならない。

また、個人に関する情報の項目及び加工方法が同じである匿名加工情報を反復・継続的に第三者へ同じ方法により提供する場合には、最初に匿名加工情報を第三者提供するときに個人に関する項目を公表する際に、提供期間又は継続的な提供を予定している旨を明記するなど継続的に提供されることとなる旨を明らかにしておくことにより、その後に第三者に提供される匿名加工情報に係る公表については先の公表により行われたものと解される。

(1)第三者に提供する匿名加工情報に含まれる個人に関する情報の項目
事例)「氏名・性別・生年月日・購買履歴」のうち、氏名を削除した上で、生年月日の一般化、購買履歴から特異値等を削除する等加工して、「性別・生年・購買履歴」に関する匿名加工情報として作成して第三者提供する場合の公表項目は、「性別」、「生年」、「購買履歴」である。

(2)匿名加工情報の提供の方法
事例1)ハードコピーを郵送
事例2)第三者が匿名加工情報を利用できるようサーバにアップロード
(※1)「提供」とは、匿名加工情報を第三者が利用可能な状態に置くことをいう。匿名加工情報が物理的に提供されていない場合であっても、ネットワーク等を利用することにより、第三者が匿名加工情報を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。
(※2)「あらかじめ」の期間については、匿名加工情報を第三者に提供することを一般に十分に知らせるに足る期間を確保するものでなければならない。具体的な期間については、業種及びビジネスの様態によっても異なり得るため、個別具体的に判断する必要がある。
(※3)「公表」とは、広く一般に自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいう。詳細は、通則ガイドライン「2-15(公表)」を参照のこと。
(※4)「明示」とは、第三者に対し、提供する情報が匿名加工情報であることを明確に示すことをいう。明示の方法については、規則第37条第2項で定められているとおり、事業の性質、匿名加工情報の取扱状況等に応じ、電子メールを送信する方法又は書面を交付する方法など適切な方法により、その内容が当該第三者に認識されるものである必要がある。

3-2-5 匿名加工情報の第三者提供(法第43条第4項、第44条関係)

  • 匿名加工した情報を第三者提供する場合には、提供にあたり予め公表する。

  • 当該第三者に対しても、当該情報が匿名加工である旨を明示する。

  • また、永続的に行われる場合はその旨を記す。

3-2-6 識別行為の禁止(法第43条第5項、第45条関係)

法第43条(第5項)
5 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。
法第45条
匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第43条第1項若しくは第116条第1項(同条第2項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
===
匿名加工情報を取り扱う場合(※1)には、当該匿名加工情報の作成の元となった個人情報の本人を識別する目的で、それぞれ次の行為を行ってはならない。

(1)個人情報取扱事業者が自ら作成した匿名加工情報を取り扱う場合
自らが作成した匿名加工情報を、本人を識別するために他の情報(※2)と照合すること。
(2)匿名加工情報取扱事業者が他者の作成した匿名加工情報を取り扱う場合
受領した匿名加工情報又は行政機関等匿名加工情報(※3)の加工方法等情報を取得すること。
受領した匿名加工情報を、本人を識別するために他の情報(※2)と照合すること。

【識別行為に当たらない取扱いの事例】
事例1)複数の匿名加工情報を組み合わせて統計情報を作成すること。
事例2)匿名加工情報を個人と関係のない情報(例:気象情報、交通情報、金融商品等の取引高)とともに傾向を統計的に分析すること。

【識別行為に当たる取扱いの事例】
事例1)保有する個人情報と匿名加工情報について、共通する記述等を選別してこれらを照合すること。
事例2)自ら作成した匿名加工情報を、当該匿名加工情報の作成の元となった個人情報と照合すること。
(※1)匿名加工情報については、当該匿名加工情報の作成の元となった個人情報の本人を識別する目的のために他の情報と照合することが禁止されている。一方、個人情報として利用目的の範囲内で取り扱う場合に照合を禁止するものではない。
(※2)「他の情報」に限定はなく、本人を識別する目的をもって行う行為であれば、個人情報、個人関連情報、仮名加工情報及び匿名加工情報を含む情報全般と照合する行為が禁止される。また、具体的にどのような技術又は手法を用いて照合するかは問わない。
(※3)「行政機関等匿名加工情報」とは、法第60条第3項に定めるものを指す。なお、この情報は匿名加工情報に包含される概念であることから、この情報を取り扱う事業者は、匿名加工情報取扱事業者に係る規律の対象となるものである。  

3-2-6 識別行為の禁止(法第43条第5項、第45条関係)

  • 自ら作成した匿名加工情報は識別してはいけない。本人と識別するために他の情報と照合してはいけない。

  • 匿名加工情報を受領した事業者は、加工方法を取得すること。受領した匿名加工情報を、本人を識別するために他の情報と照合すること

最後に

今回は、個人情報保護法における匿名加工情報について整理しました。(整理とは書きましたが、ガイドラインを読み解いたメモ書きです。)
今後は、ここで得られた知見をもとにサマリを書きたいと思います。

この記事が気に入ったらサポートをしてみませんか?