匿名加工情報は、特定の個人を識別できない情報に加工し、復元できないようにすることで、本人の同意なく第三者に提供することができるものです。これにより、データ取引やパーソナルデータの活用をすることができます。

第1 個人情報保護法に関する基礎知識

1 個人情報保護法とは

  個人情報保護法(正式名称:個人情報の保護に関する法律)は、平成15年に成立した法律です。

この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。

  平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。

2 個人情報とは(概要)

   個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。 

したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。

また、法人(企業や団体など)は生きている個人ではないため、法人情報も「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。

第2 匿名加工情報の基礎知識

1 匿名加工情報とは

   匿名加工情報の定義は、個人情報保護法第2条第6項に規定されています。

  【個人情報保護法第2条第6項】

この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

⑴ 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

⑵ 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

個人情報の区分に応じて定められている措置を講じて、特定の個人を識別することができないように加工して得られる個人に関する情報であって、復元して再識別することができないようにしたものが、匿名加工情報ということになります。

 2 匿名加工情報取扱事業者とは

   匿名加工情報を含む情報の集合物であって、

・特定の匿名加工情報を、電子計算機を用いて検索することができるように体系的に構成したもの

・匿名加工情報を一定の規則に従って整理することにより特定の匿名加工情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するもの

(これらを「匿名加工情報データベース等」といいます。)を事業の用に供している事業者は、「匿名加工情報取扱事業者」に該当することになります(個人情報保護法第16条第6項、同法政令第7条)。

第3 匿名加工情報に関して事業者が負う義務

1 匿名加工情報を作成する事業者が負う義務

匿名加工情報を作成する個人情報取扱事業者は、以下の義務を負います。

⑴ 匿名加工情報を作成するとき、適正な加工を行う。

(個人情報保護法第第43条第1項)

⑵ 匿名加工情報を作成したとき、加工方法等の情報の安全管理措置を講じる。

(個人情報保護法第43条第2項)

⑶ 匿名加工情報を作成したとき、当該情報に含まれる情報の項目を公表する。

(個人情報保護法第43条第3項)

⑷ 匿名加工情報を第三者提供するとき、提供する情報の項目及び提供方法について公表する。また、提供先に当該情報が匿名加工情報である旨を明示する。

(個人情報保護法第43条第4項)

⑸ 匿名加工情報を自ら利用するとき、元の個人情報の本人を識別する目的で、他の情報と照合してはならない。

(個人情報保護法第43条第5項)。

なお、匿名加工情報を作成したときには、匿名加工情報の適正な取扱いを確保するため、安全管理措置、苦情の処理などの措置を自主的に講じて、その内容を公表するよう努めることも求められます(個人情報保護法第43条第6項)。

2 匿名加工情報データベース等を事業の用に供している匿名加工情報取扱事業者が負う義務

匿名加工情報データベース等を事業の用に供している匿名加工情報取扱事業者は、以下の義務を負います。

⑴ 匿名加工情報を第三者提供するとき、提供する情報の項目及び提供方法について公表する。また、提供先に当該情報が匿名加工情報である旨を明示する。

(個人情報保護法第44条)

⑵ 匿名加工情報を利用するときは、元の個人情報の本人を識別する目的で、加工方法等の情報を取得し、又は他の情報と照合することを行わない。

(個人情報保護法第45条)

なお、匿名加工情報の適正な取扱いを確保するため、安全管理措置、苦情の処理などの措置を自主的に講じて、その内容を公表するよう努めることも求められます(個人情報保護法第46条)。

第4 事業者が行わなければならない具体的な内容

1 適切な加工

個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限ります。)を作成するときは、特定の個人を識別できず、かつ、個人情報を復元できないようにするために、個人情報保護法施行規則第34条各号に定める基準に沿って、個人情報を加工しなければなりません。

したがって、単に個人データにマスキングをしただけでは、法令に基づいた適切な加工がなされていませんので、匿名加工情報として取り扱うことはできません。

⑴ 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)(規則第34条第1号)

 個人情報には、氏名、住所、生年月日、性別などの個人に関する記述等が含まれています。このような特定の個人を識別できる記述等から、全部又はその一部を削除したり、他の記述等に置き換えることによって、特定の個人を識別することができないように加工しなければなりません。

⑵ 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)(規則第34条第2号)

 個人情報に個人識別符号が含まれている場合には、その個人識別符号だけで、特定の個人を識別できてしまいます。そのため、当該個人識別符号の全部を削除したり、他の記述等に置き換えて、特定の個人を識別できないようにしなければなりません。

⑶ 個人情報と当該個人情報に措置を講じて得られる情報を連結する符号を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)(規則第34条第3号)

 個人情報と他の情報とを連結する符号(例えば、IDなど)がある場合には、その符号についても削除したり、他の符号へ置き換えなければなりません。

⑷ 特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。(規則第34条第4号)

 珍しい事実や他者と著しい差異が認められる記述等については、特定の個人の識別又は元の個人情報の復元につながるおそれがあります。そのため、匿名加工情報を作成するときには、そのような特異な記述等について、削除したり、他の記述等に置き換えなければなりません。

⑸ 前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること(規則第34条第5号)

 上記⑴~⑷以外の場合についても、必要に応じて適切な措置を講じなければなりません。

2 安全管理措置

匿名加工情報を作成する個人情報取扱事業者は、匿名加工情報を作成したとき、加工方法等の情報の安全管理措置を講じなければなりません(個人情報保護法第43条第2項)。

具体的には、

・加工方法等情報を取り扱う者の権限及び責任を明確に定める(規則第35条第1号)

・加工方法等情報の取扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずる(規則第35条第2号)

・加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために、必要かつ適切な措置を講ずる(規則第35条第3号)

といった基準に従って、必要な措置を講じなければなりません。

また、匿名加工情報を作成したとき、匿名加工情報の適正な取扱いを確保するため、安全管理措置、苦情の処理などの措置を自主的に講じて、その内容を公表するよう努めなければなりません(個人情報保護法第43条第6項)。

匿名加工情報データベース等を事業の用に供している匿名加工情報取扱事業者も、匿名加工情報の適正な取扱いを確保するため、安全管理措置、苦情の処理などの措置を自主的に講じて、その内容を公表するよう努めなければなりません(個人情報保護法第46条)。

3 公表義務

  以下の場合には、事業者には一定の事項についての公表義務が課されます。

⑴ 匿名加工情報を作成したとき(個人情報保護法第43条第3項)

個人情報取扱事業者は、匿名加工情報を作成したときは、匿名加工情報の作成後に遅滞なく、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならなりません。

公表は、インターネットその他適切な方法により行います。

⑵ 匿名加工情報を第三者提供するとき(個人情報保護法第43条第4項、第44条)

 個人情報取扱事業者や匿名加工情報取扱事業者は、匿名加工情報を第三者に提供するときは、あらかじめ、インターネット等を利用して、次の事項を公表しなければなりません。

① 第三者に提供する匿名加工情報に含まれる個人に関する情報の項目

② 匿名加工情報の提供の方法

なお、第三者への提供の際には、当該第三者に対して、提供する情報が匿名加工情報である旨を、電子メールや書面等により明示する必要もあります。

4 識別行為の禁止

匿名加工情報については、元の個人情報の本人を識別する目的で、他の情報と照合する(個人情報保護法第43条第5項、第45条)、加工方法等の情報を取得する(個人情報保護法第45条)といった行為が禁止されています。

第5 まとめ

匿名加工情報は、うまく利活用することができれば、移動履歴や位置情報、購買データ等の取引を行い、新たなビジネスチャンスを創出したり、サービスを向上させる等の効果が期待できます。

一方で、匿名加工情報については、本人の同意が無くても第三者に個人データを提供できてしまうため、特定の個人の識別ができないようにするために、さまざまなルールが定められています。

したがって、法令の内容をきちんと理解しておく必要があります。

匿名加工情報を不適切に扱えば、法令違反になる恐れがあり、逆に企業にとっての危機を招きかねません。

匿名加工情報を含む個人情報についてのご相談がある場合は、ぜひ当事務所までお問い合わせください。

ご相談 ご質問
グリーンリーフ法律事務所は、設立以来30年以上の実績があり、17名の弁護士が所属する、埼玉県ではトップクラスの法律事務所です。 また、各分野について専門チームを設けており、ご依頼を受けた場合は、専門チームの弁護士が担当します。まずは、一度お気軽にご相談ください。

■この記事を書いた弁護士
弁護士法人グリーンリーフ法律事務所
弁護士 赤木 誠治
弁護士のプロフィールはこちら