匿名化された個人情報の扱い(2)
~個人情報? 匿名加工情報? 統計情報? 非個人情報?~
弁護士法人三宅法律事務所
弁護士 渡 邉 雅 之
3 提供元判断説に立つ重要なパブリックコメント回答
個人情報保護法の全面改正にかかる法令やガイドラインにおいては、容易照合性について「提供元判断説」、「提供先判断説」のいずれに立つのかは明らかにされていません。
しかしながら、ガイドラインのパブリックコメント回答において、『ある情報を第三者に提供する場合、当該情報が(個人情報の定義の一つである)「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかで判断します。』(『「個人情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意見募集結果』19番参照)とされ、「提供元判断説」によることが明らかにされました。
4 提供元判断説の実務上の影響
(1) 匿名化情報しても個人情報
「提供元判断説」に立つことによる実務上の最大の影響は、個人情報を匿名化しても提供元においては依然として容易照合性が認められる限り、個人データ(個人情報)として扱わなければならないということです。
個人データとして扱われる限り、安全管理措置を講じなければならないし、第三者提供については本人の同意を得るか、または、オプトアウト手続によらなければなりません。
特に、本人の同意が必要ということは、匿名化した情報の第三者提供にとって大きな支障となります。また、個人情報保護法の全面改正により、個人情報保護委員会への届出などオプトアウト手続が厳格化するので安易にこれによるわけにはいきません。
そこで、第三者提供に本人の同意が不要である匿名加工情報の規律によることになりますが、匿名加工情報以外の情報(非個人情報)として本人の同意なく第三者提供ができないかについては後記6において検討します。
(2) 解釈により受領者に確認・記録義務が適用されない場合
個人情報保護法の改正により、個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、確認及び記録を行い、記録を一定期間保存しなければなりません(法26条)。
匿名化された情報が提供元において容易照合性がある限りは、当該情報の受領者は個人データを受領したことになるので、確認義務及び記録の作成・保存義務を負うことになりそうです。しかしながら、提供先においては特定の個人を識別できないにもかかわらずかかる義務を負わせるのは無理があります。記録事項の一つとして、「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」を記録することとされているが、匿名化された情報についてはこれができません。
「個人情報の保護に関する法律ついてガイドラン( 第三者提供時の確認・記録義務 編)」においては、このような問題点を考慮し、「受領者にとって「個人情報」に該当しない場合」には、解釈により受領者に確認・記録義務が適用されないこととしております(同ガイドライン2-2-2)。具体的な事例としては、「提供者が氏名を削除するなどして個人を特定できないようにした個人データの提供を受けた場合」や「提供者で管理しているID番号のみが付された個人データの提供を受けた場合」が掲げられています。
(3) 外国にある第三者への匿名化情報の委託
個人情報保護法の改正により、個人情報取扱事業者が外国にある第三者に個人データを提供する場合は、法23条(第三者提供の制限)ではなく、法24条(外国にある第三者への提供の制限)が適用されることになります。これに伴い、外国にある第三者が「個人データの取扱いの委託先」の場合には、第三者に該当せず本人の同意が不要(法23条5項1号)という例外が使えなくなります。
では、個人データを匿名化した上で外国にある第三者に委託した場合は個人データの提供ではなく、法24条は適用されないことになるでしょうか。
この点については、個人情報保護委員会の『「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A』[1]において以下のとおり記載されています。
|
Q9-11 外国にある第三者に対して、氏名を削除するなどして個人を特定できないようにして当該者にとっては個人情報に該当しないデータの取扱いを委託し、当該者が 個人情報に復元することがないような場合においても、法第 24 条は適用されますか。 A9-11 法第 24 条は適用されます。受領者たる「外国にある第三者」にとって個人情報 に該当しないデータを提供する場合において、当該者が個人情報を復元することがない こととなっているときは、結果として、施行規則第 11 条で定める基準に適合する体制を整備しているものと解されます。ただし、この場合であっても、委託者たる個人情報取扱 事業者は法第 22 条に基づき委託先に対する監督義務があることに留意が必要です。 |
この回答は、容易照合性について「提供元判断説」を取ることが前提としたものです。匿名化をしても委託元では容易照合性があり、個人データに該当することを前提とした回答です。
もっとも、この回答では、個人情報保護法施行規則11条で定める基準に適合する体制整備がなされているとみなされることにより、法24条ではなく法23条が適用されることになり、「個人データの取扱いの委託」(法23条5項1号)が適用され、結論的には本人の同意なく提供が可能となります。