匿名化された個人情報の扱い(1)
~個人情報? 匿名加工情報? 統計情報? 非個人情報?~
弁護士法人三宅法律事務所
弁護士 渡 邉 雅 之
個人情報の保護に関する法律(以下「個人情報保護法」又は「法」といいます。)の全面改正が、平成29年5月30日に施行されました。
この改正では、要配慮個人情報についての同意取得、個人データの第三者提供における確認・記録義務、オプトアウトの厳格化、外国にある第三者への提供への規律、匿名加工情報の規律など新たな規律が設けられます。
もっとも、事業者にとって最も影響があると考えられるのは、個人情報の匿名化に関する扱いの変更です。これは後記3で説明するとおり、解釈上の変更(あるいは明確化)によるものですが、匿名加工情報の規律の導入に伴い、事業者を最も悩ませている問題です。
以下では、個人情報を匿名化した場合にはどのように扱われるのか、事業者としてどのように対処すべきかについて詳細に説明いたします。
1 匿名化された情報に関する従来の考え方
A社が保有する個人データ(個人情報)から特定の個人を識別することができる氏名や住所等の情報を削除した上で、B社に提供した場合、当該匿名化された情報は個人情報に該当するでしょうか。
もし、A社が個人情報を匿名化しても依然として個人情報に該当するのであれば、B社への提供は個人データの第三者提供に該当し、当該個人情報に係る本人の同意を得る(法23条1項)か、または、オプトアウト手続(同条2項)に基づき提供をする必要があります。
「個人情報」とは、①生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)及び②個人識別符号をいいます(個人情報保護法2条1項)。
個人情報の匿名化においては、このうち、上記①の「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」(いわゆる「容易照合性」)かどうかが問題となります。
この容易照合性があるか否かについては、匿名化された個人情報の提供元において判断する「提供元判断説」と提供先において「提供先判断説」という2つの考え方があります。
「提供元判断説」においては、容易照合性があるか否かについて提供元で判断されます。上記の具体例においては、A社(提供元)において容易に照合できる限りは、A社による匿名化された情報の提供は「個人データ(個人情報)」の提供に該当し、匿名化された情報に係る本人の同意を取得するか、または、オプトアウト手続により提供する必要があります。
他方、「提供先判断説」においては、容易照合性は提供先で判断されます。B社(提供先)において容易に照合できない限りは、A社による情報提供は、「個人データ(個人情報)」の提供には該当せず、匿名化された情報に係る本人の同意の取得、または、オプトアウト手続による提供は不要になります。
今般の個人情報保護法の全面改正前までは、どちらかというと「提供先判断説」が有力な考え方でした。
たとえば、岡村久道弁護士の『個人情報保護法〔新訂版〕』(商事法務、2009)76頁においては、「Aにとって識別性を具備する情報を、これを具備しないBに提供する場合には、第三者提供の制限(法23条1項)違反とならないものと考えるべきである。Bにとどまらず通常人からみても誰の情報なのか識別できない以上、その提供によって、本法が想定する権利利益侵害のおそれが通常発生すると認められないからである。また、かく解さなければ、本人の権利利益を図るため、特定の個人を識別しうる部分を番号・符号に置き換える方法を用いて匿名化したデータを第三者に提供することすら許容されなくなりかねない。」とされています。
なお、「個人情報の匿名化」と似て非なるものとして、「個人情報の暗号化」があります。暗号化については、『個人情報の保護に関する法律ついてガイドラン(通則編)』において、個人情報に該当するか否かについては、「暗号化等によって秘匿化されているかどうかを問わない」と記載しているとおり、特定の個人を識別することができる情報は、暗号化等されていても個人情報に該当することとされています(同ガイドライン2-1)。すなわち、暗号化は、安全管理措置の一つとして考慮されるべき要素であり、個人情報該当性に影響するものではありません。
2 改正前にも行われていた提供元判断説に基づく実務
もっとも、改正前においても「提供元判断説」に基づく取扱いの実務がありました。
平成25年6月、東日本旅客株式会社(以下「JR東日本」といいます。)は、Suicaの購買履歴のデータから氏名、電話番号、物販情報等を除外し、生年月日を生年月に変換した上、さらに、SuicaID 番号を不可逆の別異の番号に変換したデータを株式会社日立製作所に提供(提供は7月に実施)することが明らかになり、多くの利用者から、個人情報の保護、プライバシーの保護や消費者意識に対する配慮に欠けているのではないかとして批判や不安視する声があがりました。
この事件の後、JR東日本は、Suicaの購買履歴データの第三者提供について、オプトアウト手続を設けましたが、これはJR東日本内部では依然として容易照合性があり個人情報(個人データ)に該当することを前提としたもの、すなわち、「提供元判断説」に基づく取扱いをしたものとも考えられます。
つづく