読者です 読者をやめる 読者になる 読者になる

第5回:個人情報保護法ガイドラインの解説(4)

1.はじめに

 全5回を予定している個人情報保護法ガイドラインの解説もいよいよ今回から後半戦に入り、今月の2回の更新で終了となる*1。その後は、本年5月30日の施行に向け、「個人データの漏えい等の事案が発生した場合等の対応について」*2や「金融分野における個人情報保護に関するガイドライン」*3などの解説を行っていく予定であるが、いましばらく、個人情報保護法ガイドラインの解説にお付き合い願いたい。

 4回目となる今回は、匿名加工情報を扱う。匿名加工情報とは「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」(法2条9項)である。では、具体的に、どのように加工することで個人情報は匿名加工情報になるのだろうか。

 法2条9項1号では従来型個人情報につき「当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)」、法2条9項2号では「当該個人情報に含まれる個人識別符号の全部*4を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)」という、個人を識別できないようにする措置が規定されているが、これはきわめて抽象的である。

 匿名加工情報に関する規律は政令・規則である程度具体化されたところ、今般、ガイドライン(匿名加工情報編〔各ガイドラインの名称については第1回を参照〕)がさらに具体的な情報を提供しているので、これが参考になると思われる*5

 以下では、匿名加工情報に関する総論的問題と、匿名加工情報の「加工」の程度に関する問題を中心に、匿名加工情報に関する重要トピックのいくつかを解説することとする。

【凡例】
    個人情報の保護に関する法律(平成 15 年法律第 57 号)
政令   個人情報の保護に関する法律施行令(平成 15 年政令第 507 号)
規則   個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第3号)
改正法  個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成 27 年法律第 65 号)
パブコメ 個人情報の保護に関する法律施行令の一部を改正する政令(案)」および「個人情報の保護に関する法律施行規則(案)」に関する意見募集の結果について(平成28年10月5日公示)

〇〇編パブコメ 「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)(案)」に関する意見募集の結果について(平成28年11月30日公示)

 

2.匿名加工情報の意義等

(1)非識別性要件および非復元性要件の解釈

 「匿名加工情報」の定義には、「特定の個人を識別することができない」ようにするという①非識別性要件および「当該個人情報を復元することができないようにしたもの」という②非復元性要件が含まれている。

非識別性要件

 非識別性要件、すなわち、「特定の個人を識別することができない」ようにするという要件は、あらゆる手法によって特定することができないよう技術的側面からすべての可能性を排除することまでを求めるものではなく、少なくとも、一般人および一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者または匿名加工情報取扱事業者が通常の方法により特定できないような状態 にすることを求めるものである(匿名加工情報ガイドライン21)。

非復元性要件

 非復元性要件は、通常の手法によっては、匿名加工情報から匿名加工情報の作成の元となった個人情報に含まれていた特定の個人を識別することとなる記述等または個人識別符号の内容を特定すること等の方法によって匿名加工情報を個人情報に戻す(復元する)ことができない状態にすることをいう(匿名加工情報ガイドライン21)。あらゆる手法によって復元することができないよう技術的側面からすべての可能性を排除することまでを求めるものではなく、少なくとも、一般人および一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者または匿名加工情報取扱事業者が通常の方法により復元できないような状態 にすることを求めるものである(同21)*6 。 

(2)匿名処理時の2つの対応

 さらに匿名加工情報の意義に関し、従前から解決すべきとされてきた問題がある。たとえば、安全管理措置の一環として、または統計等の目的で、個人情報取扱事業者が保有する個人データの一部を匿名化することがある。そしてその方法によっては、匿名加工情報の定義に形式的に該当してしまうように思われる場合がある。そのような場合に、たとえば公表(法36条)等の匿名加工情報に関する規律を遵守する必要があるのだろうか(具体的な義務の内容につき、匿名加工情報編31参照)。

 結論としては、統計情報についても、安全管理措置としての匿名化についてもいずれも匿名加工情報とはならず、匿名加工情報に関する規律の遵守は不要と解される。

 まず、統計情報*7については、特定の個人との対応関係が排斥されている限りにおいては、法における「個人に関する情報」に該当しない、すなわち、個人情報にも匿名加工情報にも該当せず、個人情報保護法の規律に服さないと解されている(匿名加工情報編2-1)。

 次に、ガイドラインは、安全管理措置の一貫として匿名化を行い、それを引き続き個人情報として利用することを認めている。すなわち、匿名加工情報として取り扱うために当該匿名加工情報を作成する場合にはじめて匿名加工情報の規律が適用されるのであって、引き続き個人情報として取り扱うつもりであれば、そもそも匿名加工情報が「作成」されたとはいえず、法36条の匿名加工情報を作成した場合の規律は適用されないのである(匿名加工情報編3-2*2)。
 ここで、国会審議において政府参考人は、公表されてはじめて匿名加工情報になり、匿名加工情報に関する規律が適用されるという趣旨を述べており、この見解によれば、統計情報や安全管理措置としての匿名化は、公表をしなければ匿名加工情報にならないという議論が可能だった*8。しかし、ガイドラインでは、「匿名加工情報を作成したとき」、すなわち(匿名加工情報として取り扱うために)個人情報を加工する作業が完了した場合には遅滞なき公表が必要との解釈が示されており(匿名加工情報編34)、統計情報・安全管理措置としての匿名化に匿名加工情報規制が適用されないという結論は変わらないとしても、個人情報保護委員会のとる理由づけは国会審議の段階の理由づけとは異なることに留意が必要である*9

(3)個人情報取扱事業者と匿名加工情報取扱事業者

 さらに、改正法による中小規模事業者の特例の廃止(現行法2条3項5号に該当する規定の削除)により、多くの事業者が個人情報取扱事業者になると思われることから、個人情報取扱事業者ではない匿名加工情報取扱事業者はかなり稀であると思われる。ここで、匿名加工情報編パブコメにおいては個人情報取扱事業者と匿名加工情報取扱事業者の概念の整理も行われた。

 すなわち、1つの法人・自然人が同時に個人情報取扱事業者と匿名加工情報取扱事業者の双方の地位を有しうることが確認された 。ある個人情報取扱事業者が「匿名加工情報データベース等」を事業の用に供する場合、個人情報取扱事業者と匿名加工情報取扱事業者の双方に該当する(匿名加工情報編パブコメ1003番)。たとえば、個人情報取扱事業者が第三者から匿名加工情報の提供を受けてこれを活用するという場合、当該事業者は個人情報取扱事業者と匿名加工情報取扱事業者の2つの地位を同時に有するので、その取り扱う個人情報については個人情報の取扱いに関する規律を、その取り扱う匿名加工情報については、匿名加工情報の取扱いに関する規律(法37条以下)を守らなければならない。
 なお、匿名加工情報取扱事業者は匿名加工情報データベース等について「事業の用に供している者」(法2条10項)と定義されているところ、この「事業」*10は自社の「事業」をも含むことから、自社内で匿名加工情報(匿名加工情報データベース等)を作成して自社内でこれを活用する業者も「匿名加工情報取扱事業者」である*11

 もっとも、自社における匿名加工情報(自社で活用する目的の場合を含む)の作成については36条が規律するが、37条以下の規律は、第三者から提供を受けた匿名加工情報についてしか適用されない(法37条括弧書参照)(匿名加工情報編パブコメ1006番)ことからは、(上記のとおりほとんどの企業が個人情報取扱事業者となることに鑑みれば)自社利用の場合でも匿名加工情報取扱事業者になると言っても、あまり重要な意味はないように思われる。

3.適切な加工

 上記のとおり、匿名加工情報については、「特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従」った適切な加工が必要である(法36条1項)。

 規則19条1〜5号は当該基準を示しているものの、かなり抽象度が高かった。今般公表された匿名加工情報編ガイドラインは、その基準が適用される具体例を明示することで、以下の①~⑤のとおり、その内容を具体化している(匿名加工情報編32以下)。

①特定の個人を識別することができる記述等の削除(規則19条1号)

 まず、「氏名のようにその情報単体で特定の個人を識別することができるもののほか、住所、生年月日など、これらの記述等が合わさることによって特定の個人を識別することができるもの」を削除または置き換える必要があるとされている(匿名加工情報編31)。第三者に加工した情報を提供する場合には実務上「仮ID」といわれる、自社が管理をするのに用いるIDと異なるIDを付すことがみられるところ、このような仮IDを付すこと自体は可能であるが、その場合には規則的な方法で仮IDに置き換えてはならず*12、元の記述を復元することのできるような規則性を有しない方法を採用すべき とされており、乱数等を加えたうえでハッシュ化する方法についても詳しい言及がある(匿名加工情報編31*参照)*13

②個人識別符号の削除(規則19条2号)

 当該個人情報が個人識別符号を含む場合、個人識別符号の全部*14を削除または他の記述等へ置き換えて、特定の個人を識別できないようにすべきとされている(匿名加工情報編32)。

③相互に連結する符号の削除(規則19条3号)

 規則案が公表された段階では、そもそもこの規則19条3号が削除すべきとする「相互に連結する符号」とは何かが問題となっていた。

 たとえば、顧客名簿テーブルと購買履歴テーブルといった複数のテーブル上で個人情報を管理し、それらの情報について、顧客IDといった特定の符号(キー値)を使って相互に連結することによって、購買履歴テーブル上には顧客の氏名や住所等を保管しないというデータベース構成をとる場合も少なくない。

 ガイドラインでは「個人情報取扱事業者が個人情報を取り扱う上で、例えば、安全管理の観点から取得した個人情報を分散管理等しようとするために、当該個人情報を分割あるいは全部又は一部を複製等した上で、当該個人情報に措置*15を講じて得られる情報を個人情報と相互に連結するための符号としてID等を付していることがある。このようなIDは、個人情報と当該個人情報に措置を講じて得られる情報を連結するために用いられるものであり、特定の個人の識別又は元の個人情報の復元につながり得ることから、加工対象となる個人情報から削除又は他の符号への置き換えを行わなければならない 」としており(匿名加工情報編33)、「相互に連結する符号」の削除とは、上記でいう顧客IDのようなものを削除すべきという趣旨であることが明らかになった。

④特異な記述の削除(規則19条4号)

 「特異であるがために特定の個人を識別できる記述等に至り得るもの」を削除すべき という趣旨も、ガイドラインにおいて明らかにされた(匿名加工情報編34)。具体例としては、「症例数の極めて少ない病歴」の削除や「年齢が『116歳』という情報」を「『90歳以上』に置き換えることなど」が挙げられている(匿名加工情報編34)。

 ここでたとえば、X小学校の6年1組の構成員に関するデータベースであれば、ほとんどが11歳か12歳で担任の先生のみが(たとえば)30歳といった状況になる。この「30歳」という情報は当該特定のデータベース上では「特異」といえるだろう。しかし、「規則第19条第4号の対象には、一般的なあらゆる場面において特異であると社会通念上認められる記述等が該当する」(匿名加工情報編34)とされており、この「30歳」という情報は少なくとも規則19条4号では削除が義務づけられない。むしろ規則19条5号の問題と整理されている*16

⑤個人情報でータベース等の性質を踏まえたその他の措置(規則19条5号)

 「規則第19条第1号から第4号までの加工を施した情報であっても、一般的にみて、特定の個人を識別することが可能である状態あるいは元の個人情報を復元できる状態のままであるといえる場合もあり得る」ことから、上記の措置のほかに必要となる措置がないかどうか勘案し、必要に応じて適切な措置を講じる必要があるとされている(匿名加工情報編35)。これは未だに具体的な判断が難しいが、ガイドラインでは3つの事例が提示されており、参考になる(匿名加工情報編35)*17。 

事例1 移動履歴を含む個人情報データベース等を加工の対象とする場合において、自宅や職場などの所在が推定できる位置情報(経度・緯度情報)が含まれており、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、推定につながり得る所定範囲の位置情報を削除する。(項目削除/レコード削除/セル削除)〔データセット内で著しい差異がある場合と反復して行われる行動に関する情報が蓄積される場合のどちらにも該当し得るものの例(匿名加工情報編パブコメ1044番)〕

事例2 ある小売店の購買履歴を含む個人情報データベース等を加工の対象とする場合において、当該小売店での購入者が極めて限定されている商品の購買履歴が含まれており、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、具体的な商品情報(品番・色)を一般的な商品カテゴリーに置き換える。(一般化)〔データセット内で著しい差異がある場合の例(匿名加工情報編パブコメ1044番)〕

事例3 小学校の身体検査の情報を含む個人情報データベース等を加工の対象とする場合において、ある児童の身長が170cmという他の児童と比べて差異が大きい情報があり、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、身長が150cm以上の情報について「150cm以上」という情報に置き換える。(トップコーティング)

  また、具体的な手法として、項目削除/レコード削除/セル削除、一般化、トップ(ボトム)コーティング、ミクロアグリゲーション、データ交換(スワップ)、ノイズ(誤差)の付加、疑似データ作成(匿名加工情報編35別表1)等も挙げられている。

 まだまだ不明確なところがあり、今後の認定個人情報保護団体の指針や事務局レポート等によるさらなる明確化が望まれるものの、規則の段階と比べれば格段に明確になったといえるだろう。

4.その他

 その他、匿名加工情報の第三者提供*18の際の規律(法36条4項、37条等)等についてもガイドラインが明確化を試みており(匿名加工情報編35)、実務の参考になるだろう。

(加藤伸樹・大島義則・松尾剛行)

*1:なお、あまり知られていないが、平成28年12月28日に改正された「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(平成28年12月28日厚生労働省・経済産業省告示第2号)」が公表されている(http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/161228shinkyu.pdf)。もっとも、改正の内容はおおむね個人データを取り扱う情報システムの脆弱性を突いた攻撃への対策に関するものに限られている。

*2:https://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000027&Mode=0

*3:https://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000028&Mode=0

*4:なお、「個人識別符号」を削除しても、それ以外の部分が従来型個人情報と整理される場合がある。たとえば、マイナンバーカードの情報のうち、個人番号(政令1条6号)を削除しても、氏名や住所等が残っていれば、依然として個人情報性を失わない。このような場合を想定して、ガイドラインでは個人識別符号削除等の「措置を講じた上で、まだなお法第2条第1項第1号に該当する個人情報であった場合には、同号に該当する個人情報としての加工を行う必要がある」とする(匿名加工情報編21)。

*5:なお、経済産業省の「匿名加工情報作成マニュアル」との関係は不明である(匿名加工情報編パブコメ990番参照)。

*6:匿名加工情報編パブコメ1017番参照。

*7:「複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に把握するもの」(匿名加工情報編21)

*8:平成27年5月28日参議院内閣委員会政府参考人向井治紀答弁「実際に、先生御指摘のとおり、どこでまさに匿名加工情報になるのかというのが明確化されるというのは、まさに公表されたときだというふうに考えております。」参照。

*9:匿名加工情報編パブコメ1008番。なお、匿名加工情報の作成作業が完了したときにおいて加工が不十分であれば、法36条1項違反となる(匿名加工情報編パブコメ1056番)。

*10:「ここでいう『事業の用に供している』の『事業』とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問わない。なお、法人格のない、権利能力のない社団(任意団体)又は個人であっても匿名加工情報データベース等を事業の用に供している場合は匿名加工情報取扱事業者に該当する。」(匿名加工情報編22)

*11:匿名加工情報編パブコメ1005番。匿名加工情報編3-4の「匿名加工情報の『利用』」は自社利用(自ら取り扱う場合)を意味する(匿名加工情報編パブコメ1065番)。

*12:たとえば、元のIDの番号に単純に1を足したものを仮IDとすることは認められない。

*13:なお、結果的にあるデータセットにおいて1人しか該当しない記述が含まれているからといって、それだけで規則19条の要件を満たさないとはいえないとされている。匿名加工情報編パブコメ1022番「加工対象となる個人情報に含まれる記述により加工対象となるデータセットに一人しか該当しない記述が含まれている場合であっても特定の個人の識別や元の個人情報の復元につながるものではない場合もあり得ますが、そのような場合について措置を求めるものではありません。」および同1017番「k-匿名性が、k=1の値を有する場合であっても、施行規則第19条各号に定める基準に従った加工を行うことにより匿名加工情報を作成することは可能です。」参照。

*14:たとえば、マイナンバーの下1桁を除いてすべて削除しても、本人識別性はなくなりそうだが、それでも法文に「全部」とある以上、全部削除せよというのが個人情報保護委員会の考えのようである(匿名加工情報編パブコメ1027番)。

*15:この「措置」は匿名加工情報の作成作業ではなく、上記事例でいうところの個人情報を「顧客名簿テーブルと購買履歴テーブルといった複数のテーブル」に分割し、その分割した情報を結合するために顧客ID等を利用するということをいうと理解される(匿名加工情報編パブコメ1031番)。

*16:類似事案として、匿名加工情報編パブコメ1037番も参照。

*17:ただし、これらはあくまでも例であり、ガイドラインの指示どおり作業をしたとしても、当該データセットの内容等によっては規則19条の要件を満たさない場合もあることに留意が必要である(匿名加工情報編パブコメ1020番参照)。

*18:なお、確認・記録義務編の記載は匿名加工情報の第三者提供について直ちに適用されるものではない(匿名加工情報編パブコメ1069番)。