個人情報の氏名などを削除した「仮名加工情報」。個人情報より保護に厚いので使い勝手が良いと思ってないでしょうか? 民間企業においても、実は規制が難しいですが、公的機関における「仮名加工情報」はさらに規制が難しいので、今日は公的機関における仮名加工情報について解説します。
1.民間事業者における仮名加工情報
(1)仮名加工情報の作成
民間事業者においては、個人情報保護法41条1項・施行規則31条に沿って、仮名加工情報を作成します。すなわち、
①氏名等の削除等
②個人識別符号(マイナンバー等)の削除等
③不正利用されることにより財産的被害が生じるおそれがある記述等(クレジットカード番号等)の削除等
をすれば、「仮名加工情報」を作成することができます。
もっとも、「仮名加工情報」作成の法的考え方には課題もあります。その他詳細は、以下のブログをご覧ください。
ガイドラインはこちらhttps://www.ppc.go.jp/personalinfo/legal/guidelines_anonymous/#a2-2-2-1
〇法
(仮名加工情報の作成等)
第四十一条 個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。〇施行規則
(仮名加工情報の作成の方法に関する基準)
第三十一条 法第四十一条第一項の個人情報保護委員会規則で定める基準は、次のとおりとする。
一 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
三 個人情報に含まれる不正に利用されることにより財産的被害が生じるおそれがある記述等を削除すること(当該記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。〇法
(定義)
第二条 5 この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(2)仮名加工情報のルール
仮名加工情報であれば、事実上の目的外利用ができます(利用目的を制限なく変更でき、変更後の利用目的の通知等が必要です)し、漏えい等報告・本人通知、開示等も不要です。
但し、第三者提供はできません。
2.公的機関における仮名加工情報
上記民間事業者における仮名加工情報を、公的機関にそのまま当てはめることはできませんので、要注意です。
(1)仮名加工情報は個人情報該当の場合と非該当の場合双方がある
公的機関の場合、仮名加工情報に関する明示的規律(法73条)は、個人情報に該当しない仮名加工情報のみを対象としています。仮名加工情報は、個人情報でないものと個人情報であるものがあります。例えば、以下の情報があったとします。
【生データ】 宛名番号123 氏名水町雅子 23/5/1に公民館を予約
↓(仮名加工)
【仮名加工情報】宛名番号123 氏名(削除) 23/5/1に公民館を予約
【仮名加工情報】宛名番号123 氏名(削除) 23/5/1に公民館を予約
というデータは、これ単体を見ても誰の情報かわかりません。
しかし、削除した氏名情報を別に保持していたり、元の生データを別に保持していたり、宛名番号から氏名にさかのぼれる状態の場合、保持者として見たときは、誰の情報かがわかることになりますので、個人情報となります。つまり、仮名加工情報ではあるが、個人情報のママであるということです。
これに対して、元の生データを保持しておらず、削除した氏名情報を保持しておらず、宛名番号から氏名もさかのぼれないと、誰の情報かがわからないので、非個人情報となります。例えば、生データを保持していない主体で、仮名加工情報しかもらっていない主体(かつ、宛名番号から誰かわからない主体)の場合は、仮名加工情報をもらっても誰のことかわからないので、この場合、仮名加工情報は個人情報ではありません。
公的機関において、個人情報である仮名加工情報については、仮名加工情報に関する明示的規律である個人情報保護法73条の対象外となり、通常の(保有)個人情報の規律に服することになります。
〇個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け) 4-7-2-1
https://www.ppc.go.jp/files/pdf/202210_koutekibumon_jimutaiou_guide.pdf仮名加工情報については、仮名加工情報の作成の元となった個人情報や当該仮名加工情報に係る削除情報等(※)を保有している等により、当該仮名加工情報が「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」状態にある場合には、当該仮名加工情報は「個人情報」に該当するが、既に作成された仮名加工情報のみを取得した場合など、そのような状態にない場合には、当該仮名加工情報は「個人情報」に該当しない。法第73条は、仮名加工情報のうち、「個人情報」(法第2条第1項)に該当しないものを対象としている。
なお、仮名加工情報のうち、「個人情報」に該当するものについては、法第73条の対象とはならないが、個人情報に関する法の規律(法第61条から71条まで、法第5章第4節等)の適用を受ける。
〇法
(仮名加工情報の取扱いに係る義務)
関連
構造
第七十三条 行政機関の長等は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。以下この条及び第百二十六条において同じ。)を第三者(当該仮名加工情報の取扱いの委託を受けた者を除く。)に提供してはならない。
(2)個人情報非該当の仮名加工情報
個人情報ではない仮名加工情報を公的機関が取り扱う場合は、以下のルールとなります。
- 第三者提供禁止(法73条1項)
- 委託先への提供は可(法73条1項)。委託先も法73条のルールを遵守(法73条5項)
- 安全管理措置(法73条2項)
- 識別禁止(法73条3項)
- 電話をかけるため等の仮名加工情報の利用禁止(法73条4項)
3.公的機関と民間企業での仮名加工情報の授受
民間事業者と公的機関とで仮名加工情報を授受する場合、法的検討がやや複雑になります。
(1)民間→公的機関→再提供
民間事業者で個人情報保護法41条1項に沿って仮名加工情報を作成し、それを委託以外で公的機関に提供する場合、民間事業者は個人情報保護法41条(42条の場合も論理的にはありうるが、可能性は低い。)が適用され、公的機関は受領情報が個人情報でなければ個人情報保護法73条が適用され、個人情報であれば(保有)個人情報の規制が適用されることになります。
受領者である公的機関が仮名加工情報をさらに再提供したい場合は、個人情報でなければ個人情報保護法73条1項に従い、委託か法令に基づく場合以外は、再提供できません。個人情報であれば個人情報保護法69条に従いますので、法令の定める事務遂行に必要な限度で相当の理由をもって当該個人情報を利用する他の行政機関に提供する場合や、専ら統計の作成又は学術研究の目的のための提供などが可能です。
(2)公的機関→民間→再提供
公的機関が仮名加工情報を作成する場合は、実は悩ましいと言えます。公的機関である自治体が仮名加工情報を作成する場合は、どのような加工基準とするべきか、明確ではありません。
公的機関はもともと目的外利用が比較的容易にできるため、民間事業者におけるような仮名加工情報の制度は設けられず、民間事業者から仮名加工情報を受領した場合として個人情報保護法73条が新設されたとされています(一問一答P90)。
しかし、法律上はそのように読めず、公的機関も仮名加工情報を作成することはできるわけですし、公的機関が仮名化した情報を受領する民間側として、法41・42条が適用されるのか通常の個人情報規制が適用されるのか、仮名加工情報の定義条項だけでは判然としないように思います。公的機関が作成した仮名加工情報を民間が受領する場合、民間の個人情報保護法41条1項規制が適用されないので、仮名加工情報の法定加工基準は不明瞭であるにもかかわらず、民間側はその他の41条2項以下が適用されるとも考えられ、公的機関が作成する仮名加工情報の場合、どうするのかという解釈上の問題が残ります。
公的機関が作成する仮名加工情報も、基本的には、民間事業者に適用される個人情報保護法41条1項と同等かとは思いますが、公的機関に適用される加工基準にかかる明文の規定がない(2条5項だけではねぇ…)ため、公的機関が仮名化情報を民間提供する場合は、個人情報保護委員会照会等が必要です。
さらにいうと、法定の仮名加工基準を満たしている情報であっても、「仮名加工情報」ではないといえるのかという問題があります。民間事業者の場合は、個人情報の取扱いに係る規律が適用されるものとして取り扱う意図で加工された個人に関する情報については、仮名加工情報の取扱いに係る規律は適用されない旨、Q&A14-4で明らかになっていますが、公的機関もこの解釈を使うことができるのか、厳密にいうと不明瞭です。
長くなりましたが、公的機関で法律上の仮名加工情報を作成し、それを民間事業者に提供する場合は、仮名加工情報が提供者たる公的機関にとって個人情報でなければ個人情報保護法73条が適用され、個人情報であれば個人情報保護法69条が適用されます。つまり個人情報でなければ、委託か法令に基づく場合以外は提供不可です。個人情報であれば、法令の定める事務遂行に必要な限度で相当の理由をもって当該個人情報を利用する他の行政機関に提供する場合や、専ら統計の作成又は学術研究の目的のための提供などが可能です。
受領者である民間事業者が仮名加工情報をさらに再提供したい場合は、法令に基づく場合か、利用目的の範囲内で(個人情報保護法41条3項)第三者提供に該当しない提供であれば可能です(個人情報保護法41条6項)。