ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

匿名加工情報事務局レポート

情報法

個人情報保護委員会事務局レポート「匿 名 加 工 情 報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」2017 年 2 月から、気になった点の抜粋。今更ですが。

  • 匿名加工情報から元の個人情報を全て復元することだけではなく、一部ではあっても元の個人情報の本人を特定し得る情報が復元されることも「復元」に該当する。
    一方、特定の個人の識別につながらないような部分の情報の復元については、ここでいう「復元」には当たらない。例えば、匿名加工情報の作成の際に、元の個人情報から「電話番号」の情報の項目が全部削除されている場合に、匿名加工情報に含まれている郵便番号や居住エリア(市町村名)の情報に基づいて、電話番号の市外局番を復元することも想定し得る。但し、その市外局番を復元できたことをもって特定の個人の識別ができる程度に復元されたりするものでなければ、「当該個人情報を復元」には該当しないと考えられる。
  • 「復元することのできる規則性を有しない方法」とは、あくまで、置換え後の記述等から元の個人情報の記述等への変換の規則性を有しない方法を意味し、記述等を置き換えるための規則性を有しないことまで求めるものではない。
  • 個人情報と匿名加工情報は、それぞれ法第 2 条第 1 項及び第 9 項の定義にあるように、「個人に関する情報」である。一方、「統計情報」は、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質等を数量的に把握するものである。ガイドラインでは「統計情報は、特定の個人との対応関係が排斥されている限りにおいては、法における「個人に関する情報」に該当するものではないため、改正前の法においても規制の対象外と整理されており、従来同様に規制の対
    象外とされている。」と記載している。したがって、適切に加工された統計情報は、個人情報にも匿名加工情報にも該当しないものである 。
    ただし、例えば、統計情報の作成において、ある項目の値を所定範囲ごとに区切る場合、その範囲の設定の仕方によってはサンプルが著しく少ない領域(高齢者、高額利用者、過疎地における位置情報等)が生じる可能性がある。このような場合については、誰の情報であるか特定されやすくなることもあり得る。統計情報という形になっていればよいというものではなく、個人との対応関係が十分に排斥できるような形で統計化されていることが重要であるといえる。
  • 匿名加工情報を作成した事業者は、その作成に用いた個人情報を保有しており、また、当該個人情報を匿名加工する方法に関する情報として匿名加工情報と元の個人情報との対応関係を示す対応表等を保有し得るが、この個人情報や対応表について法第2条第1項第1号括弧書のいわゆる「容易照合性」
    があるとして、作成した匿名加工情報は個人情報に該当し、個人情報の取扱いに関する各義務(法第 4章第 1 節)を守らなければならないのではないか、との懸念が想定される。
    匿名加工情報は、特定の個人を識別することができず、作成の元となった個人情報を復元することができないように加工したものであり、さらに、個人情報に係る本人を識別することを禁止する等の制度的な担保がなされていることから、作成の元となった個人情報を通常の業務における一般的な方法で照合することができる状態にある(すなわち容易照合性がある)とはいえず、個人情報に該当しないとされるものである。
    したがって、匿名加工情報を作成した事業者がこれを当該事業者内部で取り扱うに当たっても、匿名加工情報の取扱いに関する義務(法第 36 条)を守ることにより自由な利活用が認められることとなる。
  • 匿名加工情報を作成する意図がなく、かつ、個人情報として取り扱うことを前提にしたデータの加工については、法律上の「匿名加工情報の作成」に該当するものではないのであり、このようなデータの加工に対して、匿名加工情報に係る義務が発生するものではない。
    例1)社内での安全管理上、氏名等を削除して扱うデータ
    例2) 統計情報を作成するために個人情報を加工したデータ
    例3)匿名加工情報を作成する途上で発生するデータ
  • マサチューセッツ州は医療データから氏名等を削除したデータセットを公開しており、そのデータセットには、性別、生年月日、郵便番号が含まれていた。これに対し、既に公開されている投票者名簿とマッチングしたところ、州知事と同じ生年月日のレコードが 6人おり、うち 3 人が男性で、郵便番号から 1 人に特定された。
  • 法第 36 条第 5 項や法第 38 条の義務は、識別目的の照合行為に限られるため、加工が不十分であったことにより偶発的に特定の個人を識別してしまった場合は、これらの義務違反として直ちに罰せられることにはならないが、再度同じような形で個人を識別することがないようにする必要がある。さらに、識別してしまった情報については、個人情報として適切な取扱いを行う必要がある。
  • 具体的な加工例の例示あり
  • FTC“Protecting Consumer Privacy in an Era of Rapid Change” 2012 年に発行、この中で個人データの匿名加工( de-identification )について触れているほか、国立標準技術研究所( NIST)が、“ Deidentification of Personal Information” という個人データの匿名加工に関するレポート(NIST レポー
    ト)を 2015 年 10 月に公表。また、上記の医療分野に特化した例として、“Guidance Regarding Methods of De-identification of
    Protected Health Information in Accordance with the Health Insurance Portability and Accountability Act”
  • 第 29 条作業部会 によるオピニオン“Opinion 05/2014 on Anonymisation Techniques ”  と、英国の情報コミッショナー事務局(ICO)によるレポート“Anonymisation : managing data protection risk code of practice”がある
  • 2014 年 4 月には、オーストラリア情報コミッショナー事務局により、“Privacy business resource 4: De-identification of data and information”というレポートが公表
  • 韓国では、2016 年 6 月に、6 機関 の合同で個人データの匿名加工(de-identification)に関するガイドライン を公表