匿名加工情報の利活用に向けて

2018年1月1日 日本データ通信協会 セキュリティ 0


弁護士法人英知法律事務所
弁護士 森 亮二 氏

2017年11月25日に開催された「第6回情報法制研究会」(主催:日本データ通信協会 情報法制研究会事務局)では、改正個人情報保護法完全施行をテーマにした興味深いディスカッションが行われた。
本稿は、その中から、森 亮二氏(モデレーター)、高木 浩光氏、高橋 克巳氏によるパネルディスカッション「匿名加工情報の利活用に向けて」において森亮二氏が行った基調報告の内容をとりまとめたものである。

匿名加工情報について議論するにあたってまず知っておくべき概念

 今日のメンバーから明らかなようにかなりマニアックな話になるのではないかというように恐れており、ある程度仕方ないかと思いますが、まず、私から後から出てくる用語について話をします。

個人情報とは

 「個人情報」とは、生存する個人に関する情報で特定の個人が識別できる情報という事です。
 その情報自体で特定の個人が識別できる、その情報自体で特定の個人が識別できなくても他の容易に照合できる情報により特定の個人が識別できるということです。

個人情報の相対性

 ABC商事では社員名簿を持っているから、どこの誰かわかるけれども、ほかの会社から見たらどこの誰かわからない。こういう場合には相対的に判断する、ABC商事にとっては個人情報、他の会社にとっては個人情報でない、という事になります。

個人識別符号

 「個人識別符号」というものが改正法で入りました。
 旧法は、「生存する個人に関する情報であって」、「その情報に含まれる氏名等の記述により特定の個人が識別できるもの」と書かれていました。改正法では二つに分かれ、前半では「その情報に含まれる氏名等の記述(個人識別符号を除く)により特定の個人が識別できるもの」、後半で、または「個人識別符号により特定の個人が識別できるもの」、ということにしているので、改正法も、前半と後半を足すと旧法に戻る、という関係になっています。

 「個人識別符号」とは、次のいずれかの符号のうち、政令で定めるものをいいます。

 この「政令で定める」というところが重要です。パターンⅠとパターンⅡがあります。
 パターンⅠは指紋認識データや顔画像データ等の身体の一部の特徴をコンピュータ処理用に変換した符号、という事で、身体特徴データ型です。
 パターンⅡは、旅券番号、免許証番号等のサービスの利用、購入、カードその他の書類に記載記録された符号、という事で、サービス番号型です。
 こちらは先ほどと違い、A社ではわかるが、B社ではわからないからOKという事はありません。これは、ある種定性的な個人情報なので、相対的な判断ではなく、絶対的な判断をする、だれがみても個人情報である、ということになります。

個人識別符号の選択は?

 どのような情報が「特定の個人を識別することができるもの」なのか、そして「個人識別符号」として選ばれて政令に定められたのかの説明が立法担当官によってなされています。

  1. 情報の機能、取扱い実態等を含めた社会的意味合い。これは少々抽象的です。
  2. 情報が一意であるか等、個人と情報との結びつきの程度。本人と一対一の関係にあるか、ということです。
  3. 情報の内容の変更が頻繁に行われていないか等、情報の不変性の程度。変更がないほうがより特定の個人を識別します。
  4. 本人到達性。直接本人にアプローチすることができるか、例えば、メールアドレスは本人到達性があるわけです。

 これらを総合的に勘案するということです。

「準個人情報に関する技術検討WGの考え方」

 法改正のプロセスでは、同じような議論があり、その時は「準個人情報」という考え方をしていました。特定の個人を識別するとまでは言えない、しかし特定の個人を識別するおそれのあるものを選び出して新たに規制する必要があるのではないか検討しました。
 パーソナルデータ検討会の技術検討WGに照会する形で検討しましたが、特定の個人を識別するおそれのある要素とはどんなものなのか、回答を得ました。

  1. 本人との密接性がある。
  2. 一意性(一対一)
  3. 共用性(多くの事業者が同じものを利用する状態)、メールアドレスがまさにそうで、いろいろなサービスで登録するのでいろいろな事業者が我々のメールアドレスを持っている、ということになります。
  4. 不変性。本人が容易に変更できない。

 基本的には先ほどの識別符号の選択とやや近いことが改正の時には検討されていたということです。

第三者提供と個人識別性

 次に、匿名加工情報のルーツに関わる問題として、第三者提供と個人識別性の議論があります。

第三者提供の制限

 第三者提供の場面でどうなのか。第三者提供は本人の同意が原則です。いろいろな例外はありますが、原則として本人から同意を取らないと提供できません、ということです。

提供元基準・提供先基準

 JR東日本が2013年に乗客の乗降履歴を「匿名化」して販売することを公表し、「個人情報でないので本人の同意不要」という前提で行われましたけれども、「本当に個人情報でなくなっているか?」、という事に疑問があった、ということです。

提供元基準・提供先基準

 ここで問題になったのが、提供元では個人識別性はあるけれども、提供先、渡す先では個人識別性がないような場合をどう考えるか、ですが、これは相対的に考えられるものは相対的に判断されるということです。
 先ほどお話ししたように、同じ情報でも、Aにおいては個人情報だがBにおいては個人情報でないということがあり得たのでした。

提供元基準・提供先基準

 もう少し具体的に「匿名化」してどうなっていくのか、みていきます。
 左側がオリジナルなユーザーの名簿です、これを匿名化し、会社名がそのままだとまずいので商社にする、趣味はそのまま、性別はそのまま、年齢は50歳台である、と丸め、これを提供するとします。

提供元基準・提供先基準

 加工している提供元をA社としますと、A社の中ではこんな感じになります。左側にオリジナルの元データ、右側に加工しているデータ、それから氏名とIDの対応テーブルみたいなものがある、右側を渡せばだれのものかわからないから個人情報ではなくなるか、という話になるわけですが、先ほどお話したように、相対的に判断できるときは相対的に判断するという事です。そうすると、この右の図はA社の中で見れば、誰のものかということはすぐにわかり、対応テーブルもあります。そういう意味では、これは提供元では個人情報だろうという事です。

提供元基準・提供先基準

 提供先でわからないような場合には第三者提供の規定を適用しない、という考え方もありますが、通説は提供元で判断する、ということになっています。そうすると、この対応テーブルがいけないのではないか、という事になり、これを消せばよいのではないか、という話になります。

提供元基準・提供先基準

 ところが対応テーブルがなくとも、情報それ自体から照合される、という事があるわけです。例えば、乗降履歴ですと、11/1、11:30に新宿駅で乗車、その日の13:05にさいたま新都心で降車、それから16:12にさいたま新都心で乗車、というものを考えてみると、最初はたくさんの人が一緒に乗る、次にさいたま新都心で降りた時もそこそこの人が一緒に降りる、しかし、その次に乗るとき、ここまで同じ人というのはかなり少ない、もしかしたら一人かもしれません。その次どこかで乗りましたとか、どこかで降りましたとか、あっという間に一人になります。そうしますと、対応テーブルがなくとも社内では誰のものかわかる、こういう問題があるわけです。

提供元基準・提供先基準

 どうすればいいかですが、一つはデータを丸めて一行一行区別がつかなくする、例えば時間を取り日付だけにすれば、何人かいるかもしれません。ただ、これがどんどん伸びていくと、一人になってしまいます。さらに丸めすぎるとデータの価値が低くなるという事で、安全に匿名化して第三者提供する方法がないものか、という話になりました。

匿名加工情報とは何か

匿名加工情報とは

 それが匿名加工情報という事です。匿名加工情報は、パーソナルデータの利活用を目指す法改正の目玉というようにされていましたが、基本的には匿名化した状態で、パーソナルデータを流通させようというものです。

 定義をごく簡単に紹介していますけれども、これはあとから何回も出てきます。

  • 特定の個人を識別することができないように個人情報を加工した情報で
  • その個人情報を復元することができないようにしたもの

 前半部分は個人を識別することができない、後半部分は復元することができない、です。
 匿名加工情報は個人情報でないとされています。個人情報に関する義務規定の適用はありませんが、その代わり匿名加工情報に固有の義務がある、ということです。

「匿名加工情報」作成者の義務

 固有の義務という事ですが、作成者の義務を書いていますが、今日出てくるのは、このうちの⑤<識別行為禁止>義務です。
 「匿名加工情報を作成して自ら取扱う際には、匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、匿名加工情報を他の情報と照合してはならない」ということです。

「匿名加工情報」作成者以外の義務

 匿名加工情報を作った後では、一回作ってしまったら、これは誰のものか元データと照合してはいけません。他のデータと照合してはいけない、本人を識別するためにやってはいけない、作成者はやってはいけない、作成者以外の匿名加工情報取扱事業者、これについても同じ<識別行為禁止>義務がかかっています。これをちょっとご記憶頂けたらと思います。

「匿名加工情報」の加工の基準

「匿名加工情報」の加工の基準

 それから、今日のメインテーマは匿名加工情報の加工の基準、という事になりますけれども、これを簡単に書いたのがこの表になります。委員会規則の19条1号から5号です。

 1号で特定の個人を識別できる情報を削除または置き換える、具体的には氏名、顔画像を削除、置き換える、住所生年月日を丸めるそういうことが求められています。
 2号で個人識別符号を削除または置き換える。
 1号が一般の個人情報の削除・置き換え、2号が個人識別符号の削除・置き換え、3号が連結IDの削除・置き換え、社内連結IDの削除・置き換え、4号は特異な記述です。116歳という例がよく使われますが、今、日本に一人しかいないと聞いていますが、それを90歳以上にする。一般的にみて特異な例です。
 5号がデータベース内で特異なものの削除・置き換え、それに加えてその他データベースの性質に応じた措置というもので、その他必要な措置ということになっています。

 ここが本日の胆の部分でして、これをこれからは説明なくどんどん使います。ですので、1号は普通の個人情報、2号は個人識別符号、3号は連結符号、4号は116歳、特殊なもの、5号はその他、ということをどこかにいれながらお二人の説明を聞いていただくとスムーズにいくのではないかと思います。

 本稿は森 亮二氏の講演内容を、講演者監修の下、情報法制研究会事務局で取りまとめたものである。(編集部)