改正個人情報保護法に基づく匿名加工情報取扱規程
(連載第2回)
弁護士法人三宅法律事務所
弁護士 渡 邉 雅 之
今回は、筆者が、平成28年10月24日に所属する弁護士法人三宅法律事務所のホームページにおいて公表した、改正法に基づく「匿名加工情報取扱規程」の雛形(「改正個人情報保護法:匿名加工情報等取扱規程など公開!」)についてその内容のポイントを紹介いたします。
【立て付けについて】
匿名加工情報の作成・加工、利用、提供に関しては、「個人情報取扱規程」(「改正個人情報保護法:個人情報保護指針・個人情報取扱規程など改正法に基づく規程をすべて公開!」において公表した雛型を参照)とは独立した規程といたしました。
個人情報取扱事業者が、「個人情報」から「匿名加工情報」を作成・加工する点に関しては、「個人情報取扱規程」の中で規定することも考えられますが、規定が分かり難くなる可能性があること、また、匿名加工情報取扱事業者として、他の個人情報取扱事業者が作成・加工した匿名加工情報の提供を受ける場合と同一の社内規程において定めた方が分かり易いと考えて独立の社内規程としたものです。
【安全管理措置について】
安全管理措置を講ずる必要があるのは、「加工方法等情報」と「匿名加工情報」です。
「匿名加工情報」とは、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものです。
「加工方法等情報」とは、匿名加工情報の作成に用いられた個人情報から削除した記述等及び個人識別符号並びに加工方法のこと(その情報を用いて当該個人情報を復元することができるものに限る。)です。
「加工方法等情報」に関しては、法令・ガイドライン上、個人データと同様の安全管理措置を講ずることが求められています。これに対して、「匿名加工情報」について安全管理措置を講ずることは法令上努力義務とされています。
作成した雛型では、「匿名加工情報」と「加工方法等情報」を併せて「匿名加工情報等」と定義して、個人データと同様の組織的・人的・物理的・技術的安全管理措置を求めるものとしました(第2章、3条~22条)。
もちろん、「匿名加工情報」に関しては「加工方法等情報」よりも軽い安全管理措置とすることも考えられますが、この場合はかなり規程が複雑化するでしょう。
なお、「匿名加工情報」や「加工方法等情報」が漏えい等した場合の対応も基本的には個人情報が漏えいした場合と同様の対応としております(「情報漏えい事案等対応手続」による。)。これらの情報が漏えい等した場合に当局への報告が必要かは現時点では明らかではありません。
【匿名加工情報の作成者としての義務】
匿名加工情報の加工方法に関しては、個人情報保護法ガイドライン(匿名加工情報編)に記載されている加工方法の具体例を規定する(23条)と共に、匿名加工情報の適正な加工についても同ガイドラインに記載されている「想定される加工の事例」をそのまま規定と共に記載いたしました(24条)。
同様に、「匿名加工情報の作成時の公表」(25条)、「匿名加工情報の第三者提供時の公表・明示義務」(26条)に関しても、同ガイドラインで示される「公表項目の事例」を記載しております。
【匿名加工情報保護指針】
法令上特に求められているものではありませんが、個人情報における「基本方針」に相当するものとして「匿名加工情報保護指針」を規定化しました。個人情報における「基本方針」と同様に、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「ご質問及びご苦情の窓口」を規定しています。
併せて、法令上、求められる匿名加工情報を作成した時の公表及び第三者提供をする匿名加工情報の公表も兼ねた内容としております。