匿名化された個人情報の扱い(5)
~個人情報? 匿名加工情報? 統計情報? 非個人情報?~
弁護士法人三宅法律事務所
弁護士 渡 邉 雅 之
7 匿名化された情報の管理方法と適用される規律
以上を前提とすると、匿名化された情報の管理方法と適用される規律は以下のとおり整理できます。
|
管理方法 |
適用される規律 |
-
個人情報(個人データ)としての管理する場合
-
① 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの
-
② 他の情報と容易に照合することができ、それにより特定の個人を識別することができるもの
-
* 匿名化情報の作成者(提供元)においては匿名化をしても、通常、他の情報と容易に照合でき、それにより特定の個人を識別できるので、ほとんどの場合、個人情報に該当する。
|
-
✓ 個人データとしての規律の適用。
-
✓ 個人データとしての安全管理措置
-
✓ 第三者提供について本人の同意・オプトアウト必要(オプトアウト厳格化)。記録の作成・保存義務あり。
|
-
匿名加工情報として管理する場合
-
① 個人識別符号以外の個人情報
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
-
② 個人識別符号
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
|
-
✓ 匿名加工情報としての規律の適用
-
✓ 適正加工義務や加工方法等情報について安全管理措置あり。
-
✓ 匿名加工情報の安全管理措置は努力義務だが個人データの安全管理措置を参考にすることとされている。
-
✓ 第三者提供に本人の同意不要(公表・明示義務あり)
|
-
統計情報を作成する場合
-
(複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に把握するもの)
|
-
✓ 個人データ・匿名加工情報の規律のいずれの適用も受けない。
-
✓ 安全管理措置不要。
-
✓ 本人の同意なく第三者提供可能。
|
-
非個人情報に該当する場合
-
* 他の情報と容易に照合して特定の個人を識別できない場合には、非個人情報として扱うことが考えられる。匿名化情報の作成者(提供元)であっても、対応表がない場合はこのような扱い可能か。
-
* 容易照合性ができないように安全管理措置が取られている場合(極めて例外的)
|
-
✓ 個人データ・匿名加工情報の規律のいずれの適用も受けない。
-
✓ 安全管理措置不要。
-
✓ 本人の同意なく第三者提供可能。
|
8 その他の問題(匿名化情報に関する個人情報該当の相対性?)
匿名化された情報について、「提供元判断説」による場合、A社がB社にX(個人)の情報を提供する場合には、A社において容易照合性がある場合は「個人データ(個人情報)」に該当するものとして、本人(X)の事前の同意またはオプトアウト方式による提供が必要です。
しかしながら、B社がC社に同情報を提供する場合においては、容易照合性について「提供元判断説」によるとしても、容易照合性は、A社ではなく、B社において判断をし、個人情報ではないものを提供するものとして、本人(X)の事前の同意・オプトアウト方式による提供は不要と考えてよいのではないかと考えられます。
