Action(活動) 週刊 経団連タイムス 2017年2月2日 No.3302  改正個人情報保護法の全面施行に向けて<第7回> -データ利活用と匿名加工情報/内田・鮫島法律事務所弁護士 日置巴美

1.利活用するデータは個人情報か

氏名、住所、生年月日、連絡先、性別といった基本的な情報と、その氏名を持つ人物の行動履歴(購買、位置・移動、ウェブ閲覧等の履歴)等の情報を取り扱う場合、氏名が含まれるものが個人情報に該当することに異論はない。それでは、個人情報の一部を削除し行動履歴のみとしたものは、なお個人情報に当たるか、それとも法の規律に拘束されない自由な取り扱いが許される情報か。また、少しでも加工をすれば、匿名加工情報となるのか。

図表のとおり、個人情報を加工したものが当然に法の対象外の情報となるものではない。また、加工すればすべからく匿名加工情報になるということもない。注意すべきは、(1)加工後の情報であっても個人情報に当たるものがあること(2)匿名加工情報とは、個人情報を加工して、特定の個人を識別することができず、個人情報を復元することができないものであることである。これらの点を意識して、取り扱う情報が個人情報保護法上のいずれの類型に当てはまるのか判断することとなる。そのうえで、類型ごとに定められる適切な取り扱いをしなければならない。

個人情報への加工と個人情報・匿名加工情報該当性

2.匿名加工情報制度

個人情報の適切な取り扱いのうち、今回は、匿名加工情報制度について解説する。

匿名加工情報の取り扱いであるが、個人情報保護委員会規則(施行規則19条―23条)に基づく、(1)適正な加工(2)加工方法等情報の安全管理(3)作成した匿名加工情報の項目公表(4)提供時の公表・提供先への明示がなされなければならない。また、(5)誰(加工前の個人情報の本人)の情報であるかを明らかとするために、他の情報と照合することが禁止されている(受領者が加工方法等情報を取得することも認められない)。

特に注意すべきは(1)と(5)である。(1)では、氏名等や個人識別符号を削除すること、加工前の個人情報に含まれるID(情報間の連携に用いるもの)を削除すること、特異値を削除すること等が求められる(なお、削除に代えて不可逆的な方法で、別の記述に置き換えることは認められる)。加工が不十分であれば、依然として個人情報に該当する場合があり、これによって利用目的規制(法15条、16条等)や第三者提供の制限(法23条1項)に違反することとなり得る。また、規則に従わない場合には、適正加工義務違反となる。

(5)は、一定の制約はあるものの、特定の個人を識別できないことによって自由な利活用が認められる匿名加工情報が、再び個人を識別することがないよう求められるが、利活用のために匿名加工情報を含む大量のデータが取り扱われるに際して、網羅的に情報同士の照合が認められないものではない。また、意図的な再識別がない限り、違反を問われるものではない。ただ、個人情報となった場合には個人情報として求められる適切な取り扱いをしなければならないのみである。

匿名加工情報の利活用にあたっては、その他、個人情報保護委員会による「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」や今後発出されるというレポートを参考にしてほしい。

3.ビジネスニーズと匿名加工情報の利活用

さて、匿名加工情報の取り扱い規律については2に記したが、個人情報、匿名加工情報、またはそれ以外の対象外の情報、いずれの類型の情報を利活用すべきなのか。主な判断基準として、(1)利活用目的・態様(2)個人情報保護法の規律が挙げられる(本人同意等のコスト、適正加工し得るか等)。

例えば、匿名加工情報は、識別行為が禁止され、加工前の個人情報の本人に対して直接的なアプローチをすることは難しいが、特に本人を意識せず、複数の企業から匿名加工情報の提供を受けてクラスター分析を行う場合等に有用ではないかと思われる。さらに加工して個人に関するものとはいえないようにした統計情報等は、法の規制対象外である。(1)(2)を踏まえつつ、自社のニーズに合った態様でデータ利活用を行ってほしい。

連載「改正個人情報保護法の全面施行に向けて」はこちら