ぼちぼち改正個人情報保護法を読む-36条(匿名加工情報の加工方法等の漏えい防止義務)
個人情報取扱事業者は、匿名加工情報を作成したときは、加工方法等情報の漏えいを防止するために、個人情報保護委員会の基準に従い、必要な措置を講じなければなりません。
Contents
改正法の条文
改正法で新設された条文は、次のように定めています。
第36条
2 個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。
漏えいしてはならない情報
漏えいしてはならない情報は、個人情報から削除した記述等、個人識別符号、加工の方法に関する情報です。
これらが漏えいすれば、個人情報を復元されるおそれがありますので、個人情報取扱事業者は、その防止のために、個人情報保護委員会の定める基準にしたがって、必要な安全管理措置を講じなければなりません。
個人情報保護委員会の規則・ガイドライン
個人情報保護委員会は、改正個人情報保護法施行規則20条で、安全管理措置として次の基準を設けています。
①加工方法等情報を取り扱う者の権限および責任を明確に定めること
②加工方法等情報の取扱いに関する規程類を整備すること、規程類に従って加工方法等情報を適切に取り扱うこと、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること
③加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置を講ずること
加工方法等情報とは、匿名加工情報の作成に用いた個人情報から削除した記述等、個人識別符号、加工の方法に関する情報のことです。
個人情報保護委員会のガイドラインは、具体的な措置として以下を列挙しています(個人情報の保護に関する法律についてのガイドライン〈匿名加工情報編〉17頁)。たとえば、上記の②について、具体例には次のようなものがあげられています。
- 加工方法等情報の取扱いに係る規程等の整備とこれに従った運用
- 従業員の教育
- 加工方法等情報の取扱状況を確認する手段の整備・加工方法等情報の取扱状況の把握、安全管理措置の評価、見直し及び改善
安全管理措置は、情報の量、性質等に応じた内容となります。情報が漏えいした場合の復元リスクの大きさが異なるからです(上記ガイドライン16頁)。