個人情報保護委員会、匿名加工情報に関する事務局レポートを公表
岩田合同法律事務所
弁護士 田 中 貴 士
1 はじめに
本年2月27日、個人情報保護法委員会は、匿名加工情報に関する事務局レポート「パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」を公表した。
周知のとおり、平成27年9月に「個人情報の保護に関する法律」(個人情報保護法、平成15年法律第57号)の改正法[1]が公布、昨年1月にその一部が施行され、本年5月30日に全面施行される。事業者間におけるデータ取引やパーソナルデータ[2]の利活用を促進する観点から、改正項目の一つとして「匿名加工情報」の制度が新設され、個人情報を加工して特定の個人を識別できないようにした情報については、一定のルール[3]の下で本人の同意を得ることなく目的外利用や第三者提供を行うことが可能となる。この匿名加工情報の加工基準については、施行規則[4]19条に規定され、ガイドライン[5]によりその解説がなされているが、一方、これらに従って事業者が具体的にどのような加工を行うかについては、認定団体が取り扱う個人情報の性質や取扱いの実態に応じて作成する個人情報保護指針等の自主規制ルールに委ねられている。
本レポートでは、主に匿名加工情報を作成するための考え方や手法(法36条1項関連)に焦点を当てて、認定団体等がルールを策定したり、事業者が実際に匿名加工情報を作成する際に参考となる事項や考え方が示されている[6]。
2 匿名加工情報の加工基準
「匿名加工情報」とは、個人情報を特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう(法2条9項)。その加工基準は、施行規則19条1~5号に規定されており、概要は以下のとおりである。本レポートでは、施行規則19条に規定される各措置措置について、その具体的な手法が検討されている。
-
① 特定の個人を識別することができる記述等
施行規則19条1号は、法2条1項1号に該当する個人情報(氏名、生年月日、住所等)について、法2条9項1号の規定に基づき、特定の個人を識別することができる記述等の全部又は一部を削除すること(置換を含む、以下同じ)を定める。
なお、電話番号、電子メールアドレス、SNS等のID、クレジットカード番号等[7]は、多数の事業者においてそれぞれユーザーから取得されており、部分的な削除では、残った情報を起点として個人の特定につながる可能性もあるため、全部削除することが望ましいとされている[8]。 -
② 個人識別符号
施行規則19条2号は、法2条1項2号の個人識別符号について、法2条9項2号に規定される措置を定める。「個人識別符号」としては、施行令[9]1条及び施行規則2条~4条に、DNA・指紋等の生体情報や運転免許証番号・マイナンバー等の公的付番の符号が規定されている。個人識別符号は、それ単体で特定の個人を識別できるものであるため、全部削除することが求められる。 -
③ 情報を相互に連結する符号
施行規則19条3号は、顧客IDのように、事業者が事業者内で複数のデータベース等を相互に連結するために割り当てているID等の符号を削除することを定める。ID でなくとも、電話番号や電子メールアドレス等の情報を連結の目的で使用している場合には、当該情報も同号の「連結する符号」とみなされる。 -
④ 特異な記述等
施行規則19条4号は、珍しい事実に関する記述や他の個人と著しい差異が認められる記述等の特異な記述等(例えば、超高年齢・超高収入等)を削除することを定める。 -
⑤ 個人情報データベース等の性質を踏まえたその他の措置
施行規則19条5号は、加工対象となる個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等で著しい差異がある場合等に、必要に応じて適切な措置を講じることを定める。同条4号が個人の基本的な属性に関する一般的な記述等を対象としているのに対し、本号は、自宅や職場が推定できる位置情報を含む移動履歴や、購入者が極めて限定されている商品の購買履歴のように、データベース内において顕著な記述等を対象としている。
3 匿名加工情報の加工例
特定の個人を識別できるリスクは情報の性質によって異なり、一方、匿名加工情報をどのような目的で利用するかによって、必要とされる項目やその情報の精度も異なりうる。そのため、匿名加工情報を作成するに際しては、安全性と有用性の両立を図る加工方法を検討することが望ましい。本レポートには、加工対象となる個人情報に含まれうる各情報の項目に対する一般的な加工例が示されている(後記表)[10]。
そのほか、本レポートでは、想定されうるユースケースを念頭に、情報の項目に応じて考慮すべき事項とリスクに対応した具体的な加工方法を紹介している。そこでは、小売事業者が保有する購買履歴(ID-POSデータ)、クレジットカード事業者が保有するカード利用情報、鉄道会社が保有する乗降履歴情報、自動車会社が保有する移動履歴情報、HEMS[11]管理事業者が保有する電力利用量情報の各事例において、含まれうる情報の種類に応じて、それらの情報をどのように加工すべきかが示されており、事業者が実際に匿名加工情報を作成するに際して参考となると思われる。
(情報の項目と想定されるリスク及び加工例)
| 項目 | 想定されるリスク |
加工例 (「削除」は置き換えも含む) |
|
|
個 人 属 性 情 報 |
氏名 | ・それ自体で個人を特定できる | 全部削除 |
| 生年月日 | ・住所(郵便番号)、性別との組合せにより、個人の特定につながる可能性がある |
・原則として、年か日の何れかを削除する。必要に応じて生年月、年齢、年代等に置き換える。 (丸め) ・超高齢であることが分かる生年月日や年齢を削除する。(セル削除/トップコーディング) |
|
| 性別 | ・住所(郵便番号)、生年月日との組み合わせにより、個人の特定につながる可能性がある。 | ・他の情報との組合せによって必要がある場合は削除する。 (項目削除) | |
| 住所 |
・生年月日、性別との組合せにより、個人の特定につながる可能性がある。 ・本人にアクセスすることができる。 |
・原則として、町名、番地、マンション名等の詳細を削除する。 (丸め) ・レコード総数等に応じて、県単位や市町村単位へ置き換える。 (丸め) |
|
| 郵便番号 | 生年月日、性別等の組合せにより個人の特定に結び付く可能性がある。 | 下4桁を削除する。(丸め) | |
| マイナンバー | それ自体で個人情報とされている。 (個人識別符号) | 全部削除する。(項目削除) | |
| パスポート番号 | それ自体で個人情報とされている。 (個人識別符号) | 全部削除する。(項目削除) | |
| 顔認証データ | それ自体で個人情報とされている。 (個人識別符号) | 全部削除する。(項目削除) | |
| 固定電話番号 |
・多くの事業者が収集しており、異なるデータセット間で個人を特定するための識別子として機能し得る。 ・本人にアクセスすることができる。 |
原則として、加入者番号(下4桁)を削除。(丸め) | |
| 携帯電話番号 |
・多くの事業者が収集しており、異なるデータセット間で個人を特定するための識別子として機能し得る。 ・本人にアクセスすることができる。 |
全部削除する。(項目削除) | |
| クレジットカード番号 |
・多くの事業者が収集しており、異なるデータセット間で個人を特定するための識別子として機能し得る。 ・本人に直接被害を与え得る。 |
全部削除する。(項目削除) | |
| サービスID、 アカウントID | 多くの事業者で共用されるIDの場合は、個人を特定するための識別子として機能する。 | 全部削除する。(項目削除) | |
| 電子メール アドレス |
・多くの事業者が収集しており、異なるデータセット間で個人を特定するための識別子として機能し得る。 ・本人にアクセスすることができる。 |
全部削除する。(項目削除) | |
| 端末ID | 多くの事業者で共用される端末IDの場合は、個人を特定するための識別子として機能する。 | 全部削除する。(項目削除) | |
| 職業 | ・住所や年収等との組み合わせにより、個人の特定につながる可能性がある。 | ・勤務先名を職種等のカテゴリーに置き換える。(一般化) | |
| 年収 |
・職業や住所等との組合せにより、個人の特定につながる可能性がある。 ・超高年収の場合、それ自体から個人を特定できる可能性がある |
・具体的な年収を収入区分へ置き換える。(丸め) ・超高収入の値を削除する。(セル削除/トップコーディング) |
|
| 家族構成 | ・住所等との組合せにより、個人の特定につながる可能性が高くなる。 |
・具体的な家族人数を人数区分へ置き換える(丸め) ・詳細な家族構成を世帯構成区分(単身、親子、三世帯等)へ置き換える。(丸め) |
|
|
履 歴 情 報 |
購買履歴 |
・購入店舗や購買時刻に関する情報と他のデータセットに含まれる位置情報等との組合せにより、個人の特定につながる可能性がある。 ・特異な物品の購買実績と居住エリア等との組合せにより、個人の特定につながる可能性がある。 |
・購買店舗や購買時刻の詳細な情報を削除する。(丸め) ・特異な購買情報(超高額な利用金額や超高頻度の利用回数等)を削除する。 (セル削除/トップコーディング) |
| 乗降履歴 |
・乗降実績の極めて少ない駅や時間帯の履歴から、個人の特定につながる可能性がある。 ・定期区間としての利用がきわめて少ない駅の情報から、個人の特定につながる可能性がある。 |
・利用が極めて少ない駅や時間帯の情報を削除する。時刻情報を時間帯に置き換える。 (セル削除/丸め)。 ・定期区間に極めて少ない利用駅が含まれるものを削除 (セル削除) |
|
| 位置情報 (移動履歴) |
・夜間や昼間の滞在地点から自宅や勤務先等を推定できる可能性あり。 ・詳細な位置情報と時刻情報の組合せが異なるデータセット間で識別子として機能し得る。 ・所定エリア内の位置情報が極めて少ない場合に、個人の特定に結びつく可能性がある。 |
・自宅や勤務地点等の推定につながる始点・終点を削除する。 (丸め) ・位置情報若しくは時刻情報の詳細部分を削除する。(丸め) ・位置情報が少ないエリアの値にノイズを加える。(ノイズ付加) ・所定数以上の位置情報になるようエリアを区切る。(丸め) |
|
| 電力利用履歴 |
・特異な電力使用量と他の情報との組合せにより、個人の特定につながる可能性がある。 ・生活スタイルや家族構成を推定できる可能性がある。 |
・極めて大きい電力使用量の情報を削除する。(セル削除/トップコーディング) | |
(個人情報保護委員会事務局「パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」から転載)
[1] 「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」(平成27年法律第65号)
[2] パーソナルデータとは、個人情報保護法の規定する「個人情報」に限らず、広く個人に関する情報を指し、GPSを利用した位置情報、インターネットショッピングでの購買履歴、交通機関のICカードから割り出される乗降履歴などがこれに該当する。
[3] 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベースを構成するものに限る)を作成し、それを取り扱うときには、加工方法等の情報漏えいを防止するための安全管理措置、匿名加工情報を作成した場合や第三者提供を行う場合の公表、識別行為の禁止等の義務を順守する必要がある(法36条)。また、他の事業者が個人情報を加工して作成した匿名加工情報の提供を受けてこれを事業の用に供している匿名加工情報取扱事業者は、識別行為の禁止、さらなる第三者提供を行う場合の公表等の義務を順守する必要がある(法37条~39条)。
[4] 「個人情報の保護に関する法律施行規則」(平成28年個人情報保護委員会規則第3号)
[5] 「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」(平成28年個人情報保護委員会告示第9号)
[6] そのほか、本レポートでは、識別行為の禁止(法36条5項、38条関連)、加工方法等情報や匿名加工情報の安全管理措置 (法第36条2項、6項、39条)についても解説がなされている。
[7] これらの符号は、法2条1項2号の個人識別符号からは除外されているものの、単体またはその他の情報と組み合わせられることにより法2条1項1号の個人情報に該当する場合がある。
[8] 本レポート4.1.1
[9] 「個人情報の保護に関する法律施行令」(平成28年政令第507号)
[10] 本レポートは、当該加工例について、このとおりに加工すれば十分であることを意味するものでもなければ、これに縛られるものでもなく、実際にどの情報の項目をどこまで加工するかということについては、業種やビジネスの業態、需要者のニーズ等を踏まえつつ、データベースに含まれる情報の項目やレコードの数等に応じて判断することが適当である、としている。
[11] Home Energy Management System