ぼちぼち改正個人情報保護法を読む-2条・37条・38条・39条(定義:匿名加工情報取扱事業者とその義務)
「匿名加工情報取扱事業者」とは、匿名加工情報データベース等を事業の用に供している者をいいます。匿名加工情報に合わせて改正法で定められました。匿名加工情報取扱事業者は、匿名加工情報の提供時の公表・明示義務、識別行為の禁止の義務および安全管理措置等の努力義務を負います
Contents
匿名加工情報取扱事業者とは
改正法の条文
改正により、以下の条文が新設されました。
(定義)
第2条
10 この法律において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第36条第1項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第5項各号に掲げる者を除く。
匿名加工情報の取扱いに対する規制
ビッグデータの利活用として、個人情報取扱事業者は作成した匿名加工情報を自ら取り扱うのではなく、第三者に提供し分析等を依頼し、事業に役立てたり、新しいサービスを生み出したりします。さらに匿名加工情報を売却することもあるでしょう。
それでは、こうした匿名加工情報の提供を受けた第三者は何らの義務も負わないのでしょうか。
いいえ、改正個人情報保護法は一定の規制をしています。
匿名加工情報は、特定の個人を識別することができないもので、かつ復元することができない情報ですが、この2つの要件を満たしているかどうかは、あくまで通常人の能力では特定の個人の識別や元の個人情報の復元ができないことを基準としています。つまり、高度な技術を用いれば、特定の個人が識別されたり、復元がなされたりすることもありうる情報なのです。したがって、匿名加工情報の取扱いについても一定の規制をしておかなければ、個人の権利利益の侵害の可能性を払拭できないのです。
すでに数回の記事で分けて書きましたが、その一つが匿名加工情報を作成する場合の個人情報取扱事業者の義務です。もう一つが、匿名加工情報取扱事業者の義務となります。
匿名加工情報取扱事業者とは
さて、「匿名加工情報取扱事業者」とは、匿名加工情報データベース等を事業のために用いる事業者のことです。
匿名加工情報データベース等とは、
①特定の匿名加工情報をコンピュータを用いて検索することができるように体系的に構成したデータベース
②目次や索引などで特定の匿名加工情報を容易に検索することができるように体系的に構成した情報の集合物
をいいます。
匿名加工情報取扱事業者から、国、地方公共団体、独立行政法人等、地方独立行政法人等は除かれます。
匿名加工情報取扱事業者の義務
匿名加工情報取扱事業者は、以下の義務を負います。
| 事業者の義務の内容 | 匿名加工情報取扱事業者 |
| 第三者提供時の公表・明示義務 | 法37条、規則23条 |
| 識別行為の禁止義務 | 法38条 |
| 安全管理措置等の努力義務 | 法39条 |
第三者提供時の公表・明示義務
改正法の条文
改正法は、匿名加工情報取扱事業者が、他者から提供を受けた匿名加工情報をさらに第三者に提供する場合に、以下のように公表・明示義務を定めています。
(匿名加工情報の提供)
第37条 匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。以下この節において同じ。)を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
匿名加工情報が二次流通する際の規制です。
個人情報取扱事業者から匿名加工情報を受領した匿名加工情報取扱事業者は、さらにその匿名加工情報を第三者に提供するときに、あらかじめ個人に関する情報の項目を公表し、その第三者に匿名加工情報であることを明示しなければなりません。
提供の方法
「提供」とは、匿名加工情報を第三者が利用可能な状態に置くことをいいます。ハードコピーを郵送するなど匿名加工情報が物理的に提供されている場合のほか、サーバにアップロードするなど、ネットワーク等を利用することにより、第三者が匿名加工情報を利用できる状態にあれば、提供にあたります(個人情報の保護に関する法律についてのガイドライン〈匿名加工情報編〉21頁)。
公表項目
公表義務のある個人に関する情報の項目は、個人情報取扱事業者が負う公表義務の項目と同様です。すべて削除したものは公表する必要はなく、一部削除したり置き換えたりした項目を公表しなければなりません。
公表の方法
公表とは、不特定多数の人々が知ることができるように発表することをいいますので(個人情報の保護に関する法律についてのガイドライン〈通則編〉23頁)、インターネット上の利用(改正個人情報保護規則23条1項)、パンフレットの備置き・配布、ポスター等の掲示・備付けなどが含まれます。
明示の方法
明示とは、第三者に対し、提供する情報が匿名加工情報であることを明確に示すことをいいます(個人情報の保護に関する法律についてのガイドライン〈匿名加工情報編〉22頁)。
明示の方法は、電子メールを送信する方法または書面を交付する方法その他の適切な方法により行います(改正個人情報保護法施行規則23条2項)。
識別行為の禁止
改正法の条文
改正法は、個人情報取扱事業者と同様に、匿名加工情報取扱事業者にも、匿名加工情報の識別行為を禁止しています。
(識別行為の禁止)
第38条 匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第36条第1項、行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号)第44条の10第1項(同条第2項において準用する場合を含む。)若しくは独立行政法人等の保有する個人情報の保護に関する法律第44条の10第1項(同条第2項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
匿名加工情報は、通常の方法では特定の個人を識別できないようにし復元できないようにすることによって自由な利活用を認める新しい類型の情報です。高度な技術によって特定の個人が識別できる可能性は残されています。
個人情報取扱事業者が提供した先の匿名加工情報取扱事業者が、保有している情報と照合するなどして、元の個人情報を復元すれば、第三者提供について本人の同意を要件とした規定が、いったん匿名加工情報としのちに個人情報に復元することにより、容易に潜脱できてしまうことになります。これでは、個人の権利利益は保護されません。
そこで、改正法は、匿名加工情報取扱事業者の個人情報の復元を禁止して、こうした事態を防止しています。
取得が禁止される情報
匿名加工情報取扱事業者は本人を識別するために、復元することができる可能性の高い以下の情報を取得してはなりません。
①匿名加工情報の元となった個人情報から削除された記述等
②個人識別符号
③加工の方法に関する情報
また、本人を識別するために他の情報と照合してはなりません。他の情報には特に限定はありません。
安全管理措置・苦情処理・その他
改正法の条文
改正法は、以下のように、匿名加工情報取扱事業者に、安全管理措置、苦情処理、その他適正な取扱いを確保するために必要な措置を講じる努力義務を課しました。
(安全管理措置等)
第39条 匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
安全管理措置
匿名加工情報取扱事業者にも安全管理措置の義務があります。ただし、努力義務にとどまります。これは、匿名加工情報が特定の個人を識別することができず、たとえ漏えいしても個人の権利利益を侵害するおそれが低いためです。ここが個人情報取扱事業者の安全管理措置の義務と違う点です。
とはいえ、匿名加工情報の元となった情報が要配慮個人情報である場合など、匿名加工情報が不正に入手され個人情報が復元された場合には、個人の権利利益の侵害のおそれが高まることは否定できないと思われます。情報の質によっては、安全管理措置を講じておく必要があるでしょう。
苦情処理その他
また、匿名加工情報取扱事業者は、苦情処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、それを公表するよう努める義務があります。
この 作品 は クリエイティブ・コモンズ 表示 – 非営利 – 改変禁止 4.0 国際 ライセンスの下に提供されています。
