匿名化情報の管理手法
(個人データ・匿名加工情報のいずれの規律も受けない管理は可能か?)
連載第5回
弁護士法人三宅法律事務所
弁護士 渡 邉 雅 之
本年5月30日に施行される個人情報の保護に関する法律(以下「個人情報保護法」または「法」といいます。)においては、特定の個人の識別性を低減した個人情報(いわゆるビックデータ)に関しての規律が設けられることになります。
匿名加工情報に該当することになると、①匿名加工情報の適正加工義務、②匿名加工情報を作成したことの公表義務、③加工方法等情報の安全管理措置、④匿名加工情報に関する安全管理措置(努力義務)、⑤識別行為の禁止義務、⑥第三者提供をすることの明示・公表義務を負うことになります(改正保護法36条~39条)。
ビックデータに関しては、これまで何らの規律も設けられていなかったので、事業者としては個人データについて匿名化の処理をすることにより加重な義務を負うことになります。
そこで、匿名加工情報の上記の規律の適用を受けない方法がないか問題となります。
この点、「個人情報の保護に関する法律ついてガイドラン(匿名加工情報編)」においては、①安全管理措置の一環として氏名等の一部の個人情報を削除(又は他の記述等に置き換え)した上で引き続き個人情報として取り扱う場合、および、②統計情報を作成するために個人情報を加工する場合には、匿名加工情報としての規律を受けないこととされています。
同ガイドラインにおいて、「統計情報」とは、「複数人の情報から共通要素に 係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に把握するもの」であり、「特定の個人との対応関係が排斥されている限りにおいては、法における「個人に関する情報」に該当するものではないため、改正前の法においても規制の対象外と整理されており、従来同様に規制の対象外となる。」とされています。
したがって、個人データまたは匿名加工情報としてのいずれの規律も受けないためには、「統計情報」を作成する場合である必要があります。ガイドラインには記載されていませんが、統計情報に該当する場合には、本人の同意なく第三者提供も可能ですし、第三者提供先においても個人データまたは匿名加工情報としての管理は不要であるものと考えられます。
なお、統計情報に該当しない匿名加工情報であっても、「匿名加工情報データベース等」(匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの等)を構成しないものについては匿名加工情報の規律の適用を受けません。たとえば、社員が自らは独自に検索することは可能であるものの当該社員以外のものには検索できないような場合には匿名加工情報データベース等を構成する匿名加工情報とは言えません。
なお、個人情報の「匿名化」と類似するものとして個人情報の「暗号化」がありますが、「暗号化」は、安全管理措置の一つとして考慮されるべき要素であり、個人情報該当性に影響するものではありません。
| 管理方法 | 適用される規律 |
|
個人情報として管理をする場合 |
|
|
統計情報を作成する場合 データベースを構成しない場合 |
|
|
匿名加工情報として管理する場合 |
|