匿名加工情報に関して、個人情報取扱事業者は、基準に従った適正な加工義務、加工方法等情報の漏えい防止義務、作成時の情報項目の公表義務、第三者提供時の公表・明示義務、識別行為の禁止義務、安全管理措置等の努力義務を負います。
改正法による6つの義務
匿名加工情報に関して個人情報取扱事業者が負うべき6つの義務が改正法で次のように追加されました。匿名加工情報は個人情報保護法が規定する「個人情報」ではありませんので、個人情報取扱事業者は、匿名加工情報の取扱いに際し第15条から第35条までの義務は負いません。
個人情報取扱事業者は自らも匿名加工情報を利用できる?
匿名加工情報を作成した個人情報取扱事業者は、別の事業者に匿名加工情報を提供するだけではなく、自らも匿名加工情報を取り扱うことができます。
改正法36条は、第4項を除き自社利用の場合にも適用されます。自社利用の場合、匿名加工情報のもととなった個人情報の利用目的にとらわれることはなく、別の目的で利用することができます(以上、第156回国会衆議院内閣委員会議録第2号18頁・平成27年3月25日向井治紀政府参考人答弁)。
匿名加工情報が個人情報保護法の規定する「個人情報」ではないため、個人情報を対象とする義務を負担することはないからです。
個人情報取扱事業者の内部で、個人情報を匿名化して保有して利用する場合、別のIDと容易に照合することにより個人情報になり得る場合には、いまだその情報は「個人情報」であり、匿名加工情報になっているわけではありません(同向井治紀政府参考人答弁)。
匿名加工情報は、元の個人情報に復元することができないように加工し、かつ本人を識別することが禁止されている特別の類型の情報であることに留意が必要です。
参考記事
それでは、個人情報取扱事業者が負う義務を一つひとつ確認していきましょう。本記事では、加工義務の遵守を取り上げます。他の義務について書いた記事は、上記の表に記事のリンクを貼ってありますので、参考にしてください。
加工義務の遵守
個人情報取扱事業者が、匿名加工情報を作成するときは、個人情報保護委員会の定める基準にしたがって、特定の個人を識別することができないように個人情報を加工し、かつ、当該個人情報を復元することができないようにしなければなりません。
改正法の条文
改正法で新設された条文は、次のように定めています。
第2節 匿名加工情報取扱事業者等の義務
(匿名加工情報の作成等)
第36条 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。
匿名加工情報は、本人の同意を不要とし自由な利活用を認める情報ですから、匿名加工情報がきちんと作成されなければなりません。加工が不十分で特定の個人が識別されるような状態で利活用されれば、個人の権利利益の侵害につながります。出発点として適正に加工することが求められています。
しかし法律の条文は分かりにくいものです。
要は、個人情報取扱事業者が匿名加工情報を作成するためには、
①特定の個人を識別することができなくなるように個人情報の全部または一部を削除し、
②その個人情報を復元することができないようにし、
③①と②を行うためには、個人情報保護委員会の定める基準にしたがう
義務があるということです。
個人情報保護委員会の定める基準
基本的には、個人情報保護委員会の定める基準にしたがって、個人情報を加工すれば、①と②を満たした匿名加工情報が作成できることになります。
加工の程度が高くなると、一般に匿名加工情報の有用性は低下すると考えられ、加工の程度と加工後の情報の有用性はトレード・オフの関係(注:交換、両立し得ない関係性という意味)にあるといわれています(第189回国会衆議院内閣委員会議録第4号4頁・平成27年5月8日/同参議院内閣委員会議録第10号山口俊一国務大臣答弁/同参議院内閣委員会議録第9号向井治紀政府参考人答弁)。
このため、個人情報保護委員会の定める基準やガイドラインは、本人の権利利益を適切に保護しながら情報の有用性に配慮するというふうな観点から、消費者、産業界、専門委員などの意見を幅広く聴取し、反映することとされました(同答弁)。
そこで定められた個人情報保護委員会の基準は、改正個人情報保護法規則19条1項です。
次の5つの基準があげられています。
- 特定の個人を識別することができる記述等の全部または一部の削除・置き換え
- 個人識別符号の全部の削除・置き換え
- 個人情報を相互に連結する符号の削除・置き換え
- 特異な記述等の削除・置き換え
- 個人情報データベース等の性質を踏まえたその他の措置
①特定の個人を識別することができる記述等の削除・置き換え
氏名、住所、生年月日その他の記述等により、特定の個人を識別することができる場合には、そうした記述等の全部または一部について削除・置き換え(当該全部または一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えること)を行わなければなりません(改正個人情報保護法規則19条1項)。
②個人識別符号の削除・置き換え
個人識別符号については、その全部を削除するか、または当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えなければなりません(改正個人情報保護法規則19条2号)。個人識別符号は、その情報単体だけで、特定の個人が識別することができるからです。
参考記事
③情報を相互に連結する符号の削除・置き換え
管理IDをつけて個人情報を取り扱っている場合には、管理用IDの連結により、特定の個人の識別または元の個人情報の復元することが可能です。たとえば氏名などの基本情報とその他の情報を分けた2つのファイルは、管理用IDで連結すれば特定の個人が識別されます。いつでも復元可能となっている限り、「個人情報」として取り扱わなければなりません。
匿名加工情報とするためには、個人情報から、情報を相互に連結している符号を削除するかまたは他の符号に置き換えなければなりません(改正個人情報保護法規則19条3号)。
個人情報保護委員会のガイドラインでは、他の符号に置き換える例として、元の記述を復元することのできる規則性を有しない仮IDを付すことがあげられています(個人情報の保護に関する法律についてのガイドライン〈匿名加工情報編〉12頁)。
④特異な記述等の削除・置き換え
個人情報の中には、特異な記述、すなわち珍しい事実に関する記述等又は他の個人と著しい差異が認められる記述により特定の個人を識別する可能性があるものが存在します。たとえば、個人情報保護委員会のガイドラインでは、症例数の極めて少ない病歴や、年齢が「116歳」という情報があげられています(個人情報の保護に関する法律についてのガイドライン〈匿名加工情報編〉13頁)。
この場合には、その特異な記述等を削除するか他の符号に置き換える必要があります(改正個人情報保護法規則19条4号)。病歴については削除し、年齢については「90歳以上」に置き換えるなどです、
どのような記述が特異であるかは、情報の性質等を勘案して、個別の事例ごとに客観的に判断するとされています(個人情報の保護に関する法律についてのガイドライン〈匿名加工情報編〉12頁)。
⑤個人情報データベース等の性質を踏まえたその他の措置
上記の4つの削除・置き換えをしても、なお特定の個人を識別することが可能であったり、元の個人情報を復元できたりすることができる場合もあります。
想定される事例として、自宅や職場などの所在が推定できる位置情報、ある小売店で購入者が極めて限定されている商品の購買履歴、小学校の身体検査で1人の児童の情報が他の児童とは異なる場合などがあげられています(個人情報の保護に関する法律についてのガイドライン〈匿名加工情報編〉13頁)。
こうした場合には、必要に応じて適切な措置を講じることになります(改正個人情報保護法規則19条5号)。
個人情報保護委員会のガイドラインのほか、個人情報保護委員会の事務局が「匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」というリポートを公表しています。
この中で、情報の項目と想定されるリスクおよび加工例が表になっています(33頁)。この表は大変見やすく参考になります。
事業者の自主的ルール
個人情報保護委員会の規則は、最低限のルールを定めたものとされています。事業の特性や取り扱いデータの内容に応じた詳細なルールについては、事業者の自主的なルールに委ねられています。別の記事で説明しましたので、参考にしてください。
参考記事