消費者と事業者の信頼の中心に
2022年10月13日
当機構では、日々、事業者の皆様の個人情報保護管理について助言を行っております。
そうした中で、「匿名加工情報」と、2022年4月の法改正で新設された「仮名加工情報」との違いに
ついてご質問をいただく場合が多々ございます。また稀に、そもそも「個人情報」について誤った
理解をされている方もいらっしゃいます。
本ブログでは、それらの違いについて概説いたします。
※本ブログ中では、個人情報の保護に関する法律についてのガイドラインを「ガイドライン」、
ガイドラインに関するQ&Aを「Q&A」と略記しております。
個人情報保護法では、第二条において、個人情報を以下のように定義しています。
生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することが
できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができる
こととなるものを含む。)
二 個人識別符号が含まれるもの
この定義からあらためて確認しておくべきポイントは以下になります。
稀に、「個人情報とは氏名や生年月日、住所等のことだ」と誤解されている方がいらっしゃいますが、
氏名、生年月日等はあくまで例示にすぎません。記述等されている情報により特定の個人を識別することが
できるものが、個人情報となります。
カッコ書きの中に記載されている通り、他の情報と容易に照合することができ、特定の個人を識別する
ことができることとなるものも含みます。
つまり、単体では個人を識別することができない情報であっても、他の情報との組み合わせによって
個人を識別することができれば、組み合わせによって個人情報となるということです。例としては以下の
ような情報の組み合わせが考えられます。
・本人の氏名と組み合わさった、会社における職位といった属性情報
・初回登録時の会員情報に後から追加された、その会員の購買商品の情報
・自宅と勤務地等が分かり、そこから個人が特定できる位置情報の組み合わせ
なお、「他の情報と容易に照合することができ」るとは、「通常の業務における一般的な方法で、他の
情報と容易に照合することができる状態」をいいます。(ガイドライン(通則編)2-1 個人情報)
匿名加工情報は2017年の個人情報保護法改正時に、事業者間におけるデータ取引等、パーソナルデータの
利活用の促進を目的として導入されました。
事業者間での第三者提供を想定しているものであり、一定のルールの下で、第三者提供の際に本人同意の
取得が不要であることが大きな特徴です。
個人情報保護法では、第二条において、匿名加工情報を以下のように定義しています。
(前略)特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、
当該個人情報を復元することができないようにしたもの
個人情報を復元することができないようにするために、加工において高い基準が設けられています。
※画像出典:個人情報保護委員会 匿名加工情報制度について
以下のような情報は匿名加工情報と混同されやすいため、注意が必要です。
統計情報は一般に特定の個人との対応関係が排斥されていますが、匿名加工情報はあくまで個人単位の
個人に関する情報です。(Q&A Q15-2)
匿名加工情報へ加工する際は加工基準が定められており、適切に加工を行う必要があります。氏名等を
単にマスキングしただけでは加工基準を満たしたことにはなりません。(Q&A Q15-6)
氏名等が分からない状態であっても、当該情報に含まれる他の情報、及び他の情報の組み合わせによって、
個人が再度識別される恐れがあります。
個人情報を匿名加工情報へ加工する際は、次の 5つの加工基準を全て満たす必要があります。
(ガイドライン(仮名加工情報・匿名加工情報編)3-2-2 匿名加工情報の適正な加工)
1. 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(例:氏名、生年月日、住所等)
2. 個人情報に含まれる個人識別符号の全部を削除すること
3. 個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号を削除すること(例:会員ID、管理用ID等)
4. 特異な記述等を削除すること
5. 前各号に掲げる措置のほか個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する
他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて
適切な措置を講ずること
上記基準中の「削除」ですが、復元のできる規則性を有しない方法により他の記述等に置き換えることを含みます。
4番目の基準ですが、一般的に、珍しい事実に関する記述等や、他の個人と著しい差異が認められる記述等については、
特定個人の識別につながるおそれがあるため、削除等が求められています。ガイドラインには以下の加工事例があげられています。
1. 症例数の極めて少ない病歴を削除する。
2. 年齢が「116歳」という情報を「90歳以上」に置き換える。
実務的に対応のハードルが高いのは、5番目の加工基準になるかと思います。データベースを構成する他の個人情報に
含まれる記述との差違、その他、データベースの性質を勘案して適切な措置を講ずることとなりますが、以下に
ガイドラインに記載されている加工の事例をご紹介します。
1. 移動履歴を含む個人情報データベース等を加工の対象とする場合において、自宅や職場などの所在が推定できる
位置情報(経度・緯度情報)が含まれており、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、
推定につながり得る所定範囲の位置情報を削除する。(項目削除/レコード削除/セル削除)
2. ある小売店の購買履歴を含む個人情報データベース等を加工の対象とする場合において、当該小売店での購入者が
極めて限定されている商品の購買履歴が含まれており、特定の個人の識別又は元の個人情報の復元につながるおそれが
ある場合に、具体的な商品情報(品番・色)を一般的な商品カテゴリーに置き換える。(一般化)
3. 小学校の身体検査の情報を含む個人情報データベース等を加工の対象とする場合において、ある児童の身長が170㎝と
いう他の児童と比べて差異が大きい情報があり、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、
身長が150cm以上の情報について「150㎝以上」という情報に置き換える。(トップコーディング)
この加工基準については、個々のデータベース等の性質によって、加工するべき情報や加工の程度が変わるため、
どの情報をどの程度加工する必要があるかを、個別具体的に判断する必要があります。
定型的な対応が難しく、データベース全体のデータ量が増えればそれだけ確認するべき情報も増えることから、
ややハードルが高い加工基準になるかと思われます。
当機構にて作成した匿名加工情報への加工例が以下の画像になります。元の個人情報のデータベースは、小売店チェーンでの
購買履歴に紐づく個人情報を簡素化したものを想定しております。
ポイントは加工基準の 4番目、5番目への対応が必要な情報です。
年齢の中に101歳という記述がありましたが、加工基準 4の「特異な記述等」に該当すると判断し、80代以上に置き換えています。
購入商品の中に超特大屋内ビニールプールという記述がありましたが、加工基準 5の事例にあるように、商品の特性上、購入者が
非常に限られており特定個人の識別につながるおそれがあると判断し、一般的な商品カテゴリに置き換えています。
仮名加工情報は2022年4月施行の改正で新たに新設されました。匿名加工情報と同様、
パーソナルデータの利活用の促進のために創設されたものです。
すでに2017年に匿名加工情報が導入されていましたが、匿名加工情報は加工のハードルが
やや高く、また、加工によってデータの具体性が低減されるものでした。
仮名加工情報は、加工のハードルが比較的低く、また、データとしての有用性を保つことが可能です。
ただし仮名加工情報は匿名加工情報とは異なり、社内でのデータ分析等が想定されており、
第三者提供は禁止されています(委託、共同利用は可能)。
利用目的の公表は必要ですが、個人情報と異なり、利用目的を変更することが可能です。
そのため、もともとデータ分析を目的として取得していなかった個人情報であっても、
仮名加工情報に加工すれば、本人の同意なくデータ分析に活用することが可能です。
また、本人識別のための照合、本人への連絡等が禁止されています。
個人情報保護法では、第二条において、仮名加工情報を以下のように定義しています。
(前略)他の情報と照合しない限り特定の個人を識別することができないように
個人情報を加工して得られる個人に関する情報
匿名加工情報は加工後に個人情報の復元ができないものでしたが、
仮名加工情報は他の情報と照合して個人情報が復元できても問題ありません。
そのため、匿名加工情報と比べて加工のハードルが低くなっています。
個人情報を仮名加工情報へ加工する際は、次の 3つの加工基準を全て満たす必要があります。
(ガイドライン(仮名加工情報・匿名加工情報編)2-2-2-1 仮名加工情報の適正な加工)
1. 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること
2. 個人情報に含まれる個人識別符号の全部を削除すること
3. 個人情報に含まれる不正に利用されることにより財産的被害が生じるおそれがある記述等を削除すること
上記基準中の「削除」ですが、復元のできる規則性を有しない方法により他の記述等に置き換えることを含みます。
1と2の基準は、匿名加工情報と同様です。匿名加工情報における3,4,5の加工基準は求められませんが、
3番目の基準として「不正に利用されることにより財産的被害が生じるおそれがある記述等」の削除が
求められます(例:クレジットカード番号、送金や決済機能のあるウェブサービスのログインID・パスワード)。
匿名加工情報への加工の際にややハードルが高かった 5番目の基準や 4番目の基準に対応する必要がありませんので、
加工が行いやすくなっています。
当機構にて作成した仮名加工情報への加工例が以下の画像になります。
元の個人情報のデータベースは、小売店チェーンでの購買履歴に紐づく個人情報を簡素化したものを
想定しております。匿名加工情報の際と同じものです。
匿名加工情報へ加工した際は、削除等をしなければならなかった会員IDや、101歳という年齢の記述、
超特大屋内ビニールプールという購入商品の記述をそのまま残すことが可能となっています。
匿名加工情報と比べて加工のハードルがかなり低くなっているのと同時に、データとしての具体性を
残すことが可能です。
このように仮名加工情報は加工が容易ですが、他の情報と照合して個人を特定することが可能な
ものです。特に会員ID等、元の個人情報と連結する符号を残せるため、元の個人情報等を保有して
いる場合は簡単に個人の特定ができる状態となります。
作成の元となった個人情報や加工時に削除された情報等を保有している等して
「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」状態に
ある場合、その仮名加工情報は「個人情報」に該当します(個人情報である仮名加工情報)。
これに対して、作成の元となった個人情報や加工時に削除された情報等を保有していない等、
「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」状態に
ない場合、その仮名加工情報は個人情報には該当しません(個人情報でない仮名加工情報)。
仮名加工情報の取扱いにおける義務を考える際には、
「個人情報である仮名加工情報」「個人情報でない仮名加工情報」に分けて考える必要があります。
(ガイドライン(仮名加工情報・匿名加工情報編)2-2-1 仮名加工情報の取扱いに係る義務の考え方)
ただ実際には、仮名加工情報を作成した際は、多くの場合、元となった個人情報も同時に保有して
おり「個人情報である仮名加工情報」に該当することになるかと思います。一方で仮名加工情報は
第三者提供が禁止されている(委託、共同利用は可能)ため、個人情報でない仮名加工情報に該当
する状態は多くはないと考えられます。
仮名加工情報と匿名加工情報の義務の詳細については当機構動画等をご参照いただければと思います。
▶動画ご視聴お申込みフォームはこちら
主な規律の差違(概要)は以下画像になります。(ガイドライン(仮名加工情報・匿名加工情報編)付録より作成)
データの利活用を行う際は、基本的には第三者提供を行う場合は匿名加工情報、
自組織内での分析のみを行う場合は仮名加工情報という使い分けになるかと思いますが、
課せられる義務が異なるため、しっかりと把握した上で使い分けする必要があります。
個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。