様々なモノがインターネットにつながり、大量のデータが収集される今後の事業においては、事業の発展のためにそれらを分析することがますます重要となっています。
しかし、それらがパーソナルデータを含む場合は個人情報保護法が適用されるため、その取扱ルールについて知っておくことは必要かつ重要となります。
そこで、今回は、個人情報をデータ流通に向けて、個人が特定できないよう加工した、「匿名加工情報」のルールについて詳しく解説します。
なお、個人情報保護法の基本と改正内容については、以下の記事を参照ください
匿名加工情報とは(定義)
匿名加工情報は、法の定義によれば、「個人情報の区分に応じて、当該個人情報に含まれる記述等の一部を削除すること等の措置を講じて、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」(法2条9項)とされています。
匿名加工情報は、個人情報(データ)に係るルールは受けず、匿名加工情報に係るルールのみを受けることとなる。
匿名加工情報の取扱ルール
(1)適正加工義務
匿名加工情報を作成するときは、規則で定める基準に従い、当該個人情報を加工しなければならないとされています(法36条1項、規則19条)。
具体的には、以下の5つのルールに従う必要がある。
| 加工基準 | 想定される加工の事例 |
| ①特定の個人を識別することができる記述等の削除 | 氏名の削除 |
| ②個人識別符号の削除 | 旅券番号の削除 |
| ③ 情報を相互に連結する 符号の削除 | 会員の情報について、氏名等の基本的な情報と購買履歴を分散管理し、それらを管理用 ID を付すことにより連結している場合、その管理用 ID を削除 |
| ④特異な記述の削除 | 症例数の極めて少ない病歴を削除 |
| ⑤個人情報データベース等 の性質を踏まえた その他の措置 | 移動履歴を含む個人情報データベース等を加工の対象とする場合において、自宅や職場などの所在が推定できる位置情報(経度・緯度情報)が含まれており、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、推定につながり得る所定範囲の位置情報を削除 |
(2)加工方法等の情報に係る安全管理措置義務
事業者は、匿名加工情報を作成したときは、加工方法等情報(その作成に用いた個人情報から削除した記述等及び個人識別符号並びに加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)をいう)の漏えいを防止するために、規則で定める基準に従い、必要な措置を講じなければならないとされています(法36条2項、規則20条)。
当該措置の内容は、対象となる加工方法等情報が漏えいした場合における復元リスクの大きさを考慮し、当該加工方法等情報の量、性質等に応じた内容としなければならないとされており、具体的に講じなければならない項目及び具体例については、個人情報保護委員会作成のガイドライン(匿名加工情報編)3-3-1(別表2)に詳しく記載されています。
(3)匿名加工情報を作成したときの公表義務
事業者は、匿名加工情報を作成したとき、遅滞なく、インターネットの活用その他適切な方法により、匿名加工情報に含まれる個人に関する情報の項目を公表しなければなりません(法36条3項、規則21条)。
「氏名・性別・生年月日・購買履歴」のうち、氏名を削除した上で、生年月日の一般化、購買履歴から特異値等を削除する等加工して、「性別・生年・購買履歴」に関する匿名加工情報として作成して三者提供する場合の公表項目は、「性別」、「生年」、「購買履歴」である
なお、個人に関する情報の項目が同じである匿名加工情報を同じ手法により反復・継続的に作成する場合には、最初の匿名加工情報を作成して個人に関する項目を公表する際に、作成期間又は継続的な作成を予定している旨を明記するなど継続的に作成される旨を明らかにしておくことで、その後に作成された匿名加工情報について新たな公表は不要とされています。
(4)第三者提供における事前公表・明示義務
匿名加工情報を作成した事業者又は第三者から匿名加工情報を取得した事業者は、匿名加工情報を第三者に提供するときは、提供に当たりあらかじめ、インターネット等を利用し、「①第三者に提供する匿名加工情報に含まれる個人に関する情報の項目」および「②匿名加工情報の提供の方法」(例えば、「ハードコピーを郵送」等)を公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を電子メール又は書面等により明示しなければなりません(法36条4項、法37条)。
なお、個人に関する情報の項目及び加工方法が同じである匿名加工情報を反復・継続的に第三者へ同じ方法により提供する場合には、最初に匿名加工情報を第三者提供するときに個人に関する項目を公表する際に、提供期間又は継続的な提供を予定している旨を明記するなど継続的に提供されることとなる旨を明らかにしておくことにより、その後の第三者に提供について新たな公表は不要となります。
なお、匿名加工情報をインターネット等で公開する行為についても不特定多数への第三者提供に当たるため、上記義務を履行する必要があります。
(5)識別行為の禁止・安全管理措置等
匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、匿名加工情報を他の情報と照合してはなりません(法36条5項、法38条)。
ただし、あくまでも「匿名加工情報として取り扱うに当たっては」なので、個人情報の利用目的の範囲内で個人情報として取り扱うことは許容されています。
また、事業者は、匿名加工情報の安全管理措置、苦情処理等の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければなりません(法36条6項、39条)。
当該安全管理等の措置については、個人情報と同様の取扱いを求めるものではないが、個人データの安全管理、従業者の監督及び委託先の監督並びに個人情報の取扱いに関する苦情の処理で求められる措置の例を参考にすることも考えられるとされています。
具体的には、事業の性質、匿名加工情報の取扱状況、取り扱う匿名加工情報の性質、量等に応じて、合理的かつ適切な措置を講ずることが望ましいとされており、 匿名加工情報には上述の識別行為の禁止義務が課されていることから、匿名加工情報を取り扱うに当たっては、それを取り扱う者が不適正な取扱いをすることがないよう、匿名加工情報に該当することを明確に認識できるようにしておくことが重要です。
いかがでしたか、他の事業者のデータ等を活用する場合は、上記の「匿名加工情報」のルールを知っておくと、取引の交渉がスムーズとなりますので、ぜひ押さえておいて下さい。
