ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

匿名加工情報と仮名加工情報の違い

情報法

※1(2)ウを2021.9.29追記、1(5)を2021.10.19追記

※今、法律雑誌に寄稿する個人情報保護法2020年改正の論文を執筆中です。書いてみたところ、大幅に字数オーバーしそうなので、寄稿論文からは削除せざるをえなそうです。せっかく書いた文章ですので、削除する前に、ブログに貼っておきたいと思います。ちょっと尻切れトンボかもしれませんし、また見直ししていない状態なので不正確な点があったら申し訳ありません…。

 

はじめに

 2020年改正個人情報保護法では、「仮名加工情報」「個人関連情報」という新しいカテゴリが設けられた。「仮名加工情報」とは、個人情報に一定の加工を加えて作成するもので、通常の個人情報よりも内部利用等が容易になるという規制緩和の一環で新設されたカテゴリである。「個人関連情報」は、提供元にとっては個人データに当たらないものでも提供先において個人データとなる場合に提供規制が強化されるもので、リクナビ事案等を踏まえて新設された。以下それぞれについて詳述する。

 

1 仮名加工情報

(1)目的・背景

 個人情報を取り扱う際は、本人のプライバシー権その他の権利利益を保護するために、個人情報保護法等に基づく各種規制に服さなければならない。他方で、現代社会においては個人情報利活用のニーズも高まっており、プライバシー権等の保護と個人情報利活用の両立を図るための制度が模索されてきた。

2017年改正個人情報保護法(現行法)は、この観点から「匿名加工情報」というカテゴリを設け、個人情報を法定の加工基準で匿名加工した場合に、規制が大幅に緩和され、内部利活用や外部提供が容易にした。しかし、「匿名加工」は一般の想像よりもはるかに基準が厳しく、法定の加工基準を満たすことが難しい場合も散見された。また個人情報に対する法規制が厳格なEUにおいても、「仮名化」を行うと若干緩やかな取扱いが認められ、国際的にもその活用が進みつつある[1]

そこで、2020年改正個人情報保護法では、個人情報と匿名加工情報の中間形態ともいえる「仮名加工情報」を新設し、通常の個人情報よりも規制を緩和した。

 

(2)加工基準

ア 3つの観点からの加工

仮名加工情報を作成するためには、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準を遵守する必要がある(35条の2第2項)。具体的には、①氏名等の削除、②マイナンバー等の個人識別符号の削除、③不正利用により財産的被害が生じるおそれがある記述等の削除の3点を行えばよい(個人情報保護法施行規則18条の7)。

①は氏名だけではなく、住所、生年月日、性別等のほか、その情報単体や組み合わせることで特定の個人を識別できる記述等を全て削除する必要がある。

②の個人識別符号は、個人情報保護法2条2項で定義されており、身体特徴系符号(DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋をデジタルデータに変換したもののうち、特定の個人を識別するに足りるものとして施行規則で定める基準に適合するもの)と番号系符号(マイナンバー、旅券番号、基礎年金番号、免許証番号、住民票コード、各種保険証の番号等の公的機関が割り振る番号)を指す。

③の例としては、クレジットカード番号や送金や決済機能のあるウェブサービスのログイン ID・パスワード等[2]が挙げられる。これに対し、口座番号やクレジットカード番号の下4桁は、不正利用されても直ちに財産的被害が生じるおそれがあるとはいえないため、削除しなくても必ずしも違法とはいえないとされている[3]

なお、①②③とも、削除ではなく置き換えでも良いが、元の記述等を復元できる規則性を有しない方法で置き換えなければならない。例えば②について、マイナンバーを元の記述に1を足した数とするなどの規則性のある方法で置き換えることは許されない。

 

イ 匿名加工情報との差異

仮名加工情報の加工基準は上記の通り比較的容易なものである。これに対し、匿名加工情報の加工基準は厳格で、加工の難易度が高い。具体的に述べると、①氏名等の削除、②個人識別符号の削除は仮名加工情報と匿名加工情報で共通であるが、それ以外の加工基準が異なる(図表1参照)。仮名加工情報の場合、①②以外には、③不正利用により財産的被害が生じるおそれがある記述等の削除のみが求められるが、匿名加工情報の場合は、仮名加工情報で求められる③不正利用により財産的被害が生じるおそれがある記述等の削除は不要である代わりに、③‘情報を相互に連結する符号の削除、④特異な記述等の削除、⑤適切な措置が求められる。特に④特異な記述等の削除、⑤適切な措置が難しい場合が多い。  

④は、特異な情報が存在すると誰の情報かわかる場合があるため、設けられた加工基準である。例えば、カルテ情報を匿名加工するとした場合、患者の年齢が116才のカルテがあった場合、「116才」を「90才以上」などと特定できないように加工することが必要となる。もっとも年齢116才が特異であることはわかりやすいし、「116才」を「90才以上」などに加工することも容易である。これに対し、「難病のため首相を辞任」等の情報は特異で誰の情報かわかりうる記述だが、機械的にこのような特異な記述を検索することも難しく、機会による加工に向きづらい。

⑤は、「個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること」(施行規則19条5号)が求められるが、何をもって適切な措置であるのかが極めて難しい。

このように匿名加工情報の加工基準は非常に厳格であり、ある意味曖昧な基準であり、企業が適法に匿名加工情報を作成するのは難しい場合も散見された。これに対し仮名加工情報の加工基準は明瞭であり、どのような技術力の企業でも、比較的容易に作成できるものと考えられる。

 

図表1 仮名加工情報と匿名加工情報の加工基準の差異

f:id:cyberlawissues:20210927141938p:plain

 

ウ 仮名加工情報作成の課題

もっとも、仮名加工情報の作成に当たって法的な課題もある。仮名加工情報を作成するためには、個人情報保護委員会規則で定める基準を遵守する必要がある(35条の2第2項)が、この基準を遵守しても、「誰の情報かわかる」=他の情報と照合しなくても特定の個人を識別することができる場合があるのではないかという点である。

この点、「他の情報」とは何か、「照合」とは何かも論点となってくる。

 

すなわち、上記基準では、①氏名等の削除、②マイナンバー等の個人識別符号の削除、③不正利用により財産的被害が生じるおそれがある記述等の削除の3点を行えばよいとされている(個人情報保護法施行規則18条の7)が、この3点を行っても、他の情報と照合しなくても特定の個人を識別することができる場合があるのではないかということである。

 

例えば、カルテ情報を仮名加工するとした場合、「難病のため首相を辞任した」という記述や、「東京ドームで試合中に、時速150キロのボールが頭部に直撃」といった記述は削除しなくてよいのかという問題が考えられる。

これは匿名加工基準で言えば、①特定の個人を識別することができる記述等の削除、ではなく、④特異な記述等の削除で対応していたのではないかと考えられるが、匿名加工基準と違い、仮名加工基準では④特異な記述等の削除が求められない。

しかし、「難病のため首相を退陣した」という事実や、「東京ドームで試合中に時速150キロのボールが頭部に直撃」といった事実(私が考えた仮の設定だが…)だけでも、誰の情報かわかるのではないかと思われる。

 

この点、仮名加工情報は、「他の情報と照合しない限り特定の個人を識別することができな」ければ良いので、照合すれば誰の情報かわかっても、照合しなければわからない状態であれば、法2条9項の法律上の要件を満たす。

「他の情報」とは何か、「照合」とは何かも論点となってくると思われる。

 

「難病のため首相を退陣した」という事実は、

・「記憶」という「他の情報」と「照合」すれば、誰の情報かわかると考えるのか、

・それとも「記憶」は「他の情報」ではない又は仮に「他の情報」に該当したとしても頭の中で瞬時にわかってしまうものは「照合」とはいえないとして、「難病のため首相を退陣した」という情報単体でもって、誰の情報かわかると考えるのか、である。

 

「新聞報道」などの他の情報と照合しなければ誰の情報か分からない場合は、これは、「他の情報」と「照合」することで、特定の個人を識別することができなくなっていると言えるだろう。しかし別にわざわざ新聞報道などと照合することもなくわかってしまう場合、それはその人の「記憶」と「照合」しているといえるのか。「記憶」は「他の情報」として取り扱うのか、「照合」とは何をいうのかという問題をはらんでいると思われる。

また、このような「難病のため首相を退陣した」という記述は、匿名加工記述の④特異な記述等ではなく、①特定の個人を識別することができる記述等に当たり、匿名加工情報の加工基準であるだけではなく仮名加工情報の加工基準でもあるので、施行規則18条の7第1号に基づき対応せよという論も取れなくはないだろう。しかし、もしその論を取るとすると、では、①特定の個人を識別することができる記述等と④特異な記述等の差異は何かという問題が新たに勃発するとともに、仮名加工情報も匿名加工情報と同じ程度とまではいわないにしても、加工がとても難しくなるだろう。

 

なお、「記憶」についても「合理的通常の一般人」であれば覚えている記憶と、特定の人のみ覚えている記憶で変わってくるとは思われるが、「難病のため首相を退陣した」という記述は少なくとも、今は、「合理的通常の一般人」であれば覚えている記憶と言えると思われる。

 

匿名加工情報のガイドラインでは、特異な記述等について、以下のような説明を設けており、このガイドラインに沿うと、やはり「難病のため首相を退陣した」という事実や「東京ドームで試合中に時速150キロのボールが頭部に直撃」といった事実は、特異な記述等に当たりそうである。

https://www.ppc.go.jp/personalinfo/legal/guidelines_anonymous/#a3-2-4

一般的にみて、珍しい事実に関する記述等又は他の個人と著しい差異が認められる記述等については、特定の個人の識別又は元の個人情報の復元につながるおそれがあるものである。そのため、匿名加工情報を作成するに当たっては、特異な記述等について削除又は他の記述等への置き換えを行わなければならない。

ここでいう「特異な記述等」とは、特異であるがために特定の個人を識別できる記述等に至り得るものを指すものであり、他の個人と異なるものであっても特定の個人の識別にはつながり得ないものは該当しない。実際にどのような記述等が特異であるかどうかは、情報の性質等を勘案して、個別の事例ごとに客観的に判断する必要がある。

 

(3)仮名加工情報による規制緩和

仮名加工情報で規制緩和される点は3点ある。すなわち、①利用目的の変更が自由に行える、②漏えい報告義務がない、③開示請求、訂正等請求、利用停止請求等の対応が不要になる点である。

①について、個人情報の場合、予め特定した利用目的の範囲内で目的内利用することが法律の原則である(個人情報保護法16条)。利用目的の変更も可能ではあるものの、変更範囲に制約があり(個人情報保護法15条2項)、現実的には変更がしにくい状況が続いていた。この点、仮名加工情報であれば、利用目的の変更に制限がないため(個人情報保護法35条の2第9項にて15条2項が適用除外)、あらかじめ特定した利用目的の範囲外でも自由に内部利用できる。もっとも、利用目的の変更を行った上で、変更後の利用目的を公表することが必要である(個人情報保護法35条の2第4項にて読み替えて適用される18条3項)。なお、利用目的の変更に制約はないものの、仮名加工情報に含まれる情報を使って、電話、郵便、FAX、電報、電子メール、SMS、住居訪問等をすることは禁止されている(個人情報保護法35条の2第8項)。

 ②については別稿の通り、2020年個人情報保護法改正により、個人データの漏えい等時には当局報告・本人通知が義務付けられたが、仮名加工情報の場合は漏えい等しても仮名化されているため、当局報告も本人通知も不要である(個人情報保護法35条の2第9項にて22条の2が適用除外)。

 ③についても別稿の通り、本人の権利を保障するため、本人から一定の請求があれば保有個人データについて開示・訂正・利用停止に対応する法的義務がある。しかし仮名加工情報の場合は、これらの義務が課されていない(個人情報保護法35条の2第9項にて27条から34条までが適用除外)。

 

(4)仮名加工情報に対する規制

 仮名加工情報は、個人情報に該当する場合と該当しない場合がある。もっとも仮名加工情報作成者は、仮名加工情報だけでなく、仮名加工情報の作成の元となった個人情報や削除情報等を保有し続ける場合が多く、その場合は当該仮名加工情報が「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」状態にある場合が多く、個人情報に該当する場合が多いものと考えられる。以下は、個人情報に該当する仮名加工情報に対する規制について述べ、紙幅の都合上、個人情報に該当しない仮名加工情報については割愛する。

仮名加工情報は原則として第三者提供が禁止されている。外部提供できるのは、①法令に基づく場合、②委託、③合併等の事業承継、④共同利用の場合のみである(個人情報保護法35条の2第6項)。この点が匿名加工情報との明確な差異であるので、十分注意する必要がある。

 また、仮名加工情報は対象者(本人)を識別するために他の情報と照合することも禁止されている(個人情報保護法35条の2第7項)。この照合禁止義務は匿名加工情報と同様である。

 また仮名加工情報であっても、不適正利用の禁止(個人情報保護法16条の2)、適正取得(個人情報保護法17条1項)、安全管理措置(個人情報保護法20条)、従業者監督(個人情報保護法21条)、委託先監督(個人情報保護法22条)は引き続き適用されるし、利用する必要が亡くなった場合の消去(個人情報保護法35条の2第5項)及び苦情処理個人情報保護法35条)の努力義務も適用される。

(5)個人情報、匿名加工情報、仮名加工情報に対する規制の差異

個人情報(個人データ/保有個人データ)の場合は、個人情報保護法の規制がそのまま適用されるが、匿名加工情報、仮名加工情報になると原則として規制が緩和される。匿名加工情報は加工が難しいものの、内部利用も第三者提供も安全管理も簡便に行える。仮名加工情報は加工が比較的簡易であり、内部利用も簡便に行えるが、安全管理は概して個人情報並みのものが求められ得るし、第三者提供は個人情報よりも難しい(以下の図参照)。

f:id:cyberlawissues:20211019113136p:plain

f:id:cyberlawissues:20211019113147p:plain

f:id:cyberlawissues:20211019113155p:plain

2 個人関連情報

 個人データの外部提供は規制されているが、提供情報が個人データかどうかを巡って、現行法及び当局解釈では規制に穴が生じ得る場合が存在した。提供情報が個人データかどうかは、提供元を基準に判断される(提供元基準説)。そのため、図表2の場合は提供情報が提供先にとっては個人情報でなくても、個人データの提供に該当し規制に服することになる。これに対し図表3の場合は、提供情報が提供先にとっては個人情報であっても、個人データの提供に服さないとも考えられる。実際にリクナビ事案では、図表3に類似するスキームが採用されていた[1]

 そこで2020年改正個人情報保護法では、「個人関連情報」というカテゴリを新設し、提供元にとって個人情報でなくても提供先において個人データとして取得することが想定されるときは、法令に基づく場合等の個人情報保護法23条1項で認められた場合を除き、提供元に、本人の同意が得られていること等を確認する義務が課せられた(個人情報保護法26条の2第1項)。

 

図表2 提供元基準説

f:id:cyberlawissues:20210927150512p:plain

図表3 提供元基準説の問題点

f:id:cyberlawissues:20210927150520p:plain



[1]   https://www.recruit.co.jp/r-dmpf/05/

[1] 個人情報保護委員会個人情報保護法いわゆる3年ごと見直し制度改正大綱」(令和元年12月13日)21ページ https://www.ppc.go.jp/files/pdf/200110_seidokaiseitaiko.pdf

[2]個人情報の保護に関する法律についてのガイドライン令和3年8月2日(仮名加工情報・匿名加工情報編)11ページ https://www.ppc.go.jp/files/pdf/210802_guidelines04.pdf

[3]個人情報の保護に関する法律についてのガイドライン」に関するQ&A令和3年9月 10 日更新 Q14-8  https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf