改正個人情報保護法の「匿名加工情報」とは!?個人情報の匿名化により活用を促進
IoTにおけるデータ流通に期待大!

2017年5月30日に「改正個人情報保護法」が完全施行されました。改正の大きな柱は、「1件でも個人情報を扱う場合には改正法が適用される」こと。この改正により、これまで法律の適用除外だった事業者や組織も安全管理措置義務や違反した際の罰則の対象となりました。

このため、その対策としては「いかに個人情報を守るか」といった点に焦点が当てられていたことから、小規模事業者や個人事業主にとって改正個人情報はやっかいなものというイメージが強いのではないでしょうか。

しかし、改正個人情報保護法には、もう1つのポイントとして「事業者などが持つ個人データをビッグデータなどとして使いやすくする」という目的があります。それが、新たに導入された「匿名加工情報」です。

個人情報保護法改正のきっかけ

今回の改正では、「個人情報の定義」が明確化され、それと共に匿名加工情報が新設されました。そのきっかけとなったのは、JR東日本によるICカード乗車券・電子マネーSuica乗降データの第三者提供でした。

2013年、JR東日本がSuicaの乗降履歴情報を第三者に販売していた事実が明らかとなりました。データは氏名や電話番号などは削除され、カードIDは別の認識IDに変換されるなど匿名化処理されており、特定個人を識別できないようになっていました。両社とも「個人情報には当たらないとの認識だった」としていましたが、批判が相次いだことからデータの提供は停止されました。

この問題は、有識者会議で議論されました。2014年2月にまとめられた中間報告では、「個人情報保護法に違反しているとはいえないが、事前の周知が十分ではなく利用者への配慮が足りなかった」と判断。当時の法律では個人情報の定義における特定個人の識別性に解釈の幅があることが問題視されました。

これを受けて、改正法では個人情報の定義が明確化されると共に、匿名化されたデータの活用は新事業や新サービスの創出につながることからデータを利用しやすくするための改正が行われたわけです。

●匿名加工情報の背景と課題。経済産業省の資料より引用

匿名加工情報とは

改正個人情報保護法において、匿名加工情報は「特定の個人を識別できないように加工し、かつ個人情報に復元することができないようにしたデータ」と定義されています。そして、匿名加工情報は本人の同意を得ることなく、情報取得時の目的外利用や第三者への提供が可能となります。

このため、大量に個人情報を持つ企業からは匿名加工情報の利用に期待が寄せられています。例えば、これからの活用が期待されるIoTでは、センサーを介して収集したデータを匿名加工情報に変換することにより、本人の同意を得ることなく複数事業者で共同利用するといったことも考えられるのではないでしょうか。

匿名加工情報では、個人情報を匿名化する「作成方法」について守らなければならない細かなルールが規定されています。個人情報保護委員会では、最低限の加工方法として以下のような基準を設けています。

・氏名や市町村より細かい住所など、特定の個人を識別できる記述の全部または一部を削除すること
 ・マイナンバーや運転免許番号などの個人識別符号の全部を削除すること
 ・IDなど、個人情報と他の情報とを連結する符号を削除すること
 ・個人の特定つながるリスクのある特異な記述を削除すること
 ・上記のほか、個人情報とデータベース内の他の個人情報との差異などの性質を考慮し、適切な措置を講ずること

とはいえ、匿名加工情報の具体的な作成方法については、見えていない部分も多く「実際に、どう扱えばよいのか分からない」といった声が聞かれます。

JIPDECが匿名加工情報の参考事例集を公表

そうした中、指針づくりの1つとして、認定個人情報保護団体(*1)である一般財団法人日本情報経済社会推進協会(JIPDEC)は、匿名加工情報の作成に関する事例集を公表しており、参考になりそうです。
(*1)個人情報保護委員会の認定を受けた業界団体などで、会員企業の個人情報の扱いに関する指針づくり、指導や勧告、消費者からの苦情処理などの役割を担う

とはいえ。匿名加工情報の作成方法が正しいかどうかは、「個人情報の性質や利用目的により一概に判断できない」といい、重要な点は「データから個人が特定されないかどうかをしっかりと分析すること」としています。特定されるリスクがあるかどうかは実際にデータを見ないと分からないため、JIPDECでは同団体が相談窓口となり、実費で匿名加工情報のリスク分析を行う体制を整えています。

また、改正個人情報保護法では、匿名加工情報について扱い方のルールも定められています。その概要は下記の通りです。

●作成する場合
 ・規則で定められた適正な加工(前述したような基準を満たすこと)
 ・加工方法の情報漏えいを防ぐための安全管理措置の実施
 ・匿名加工情報に含まれる情報項目の公表
 ・匿名加工情報を他の情報と照合することによる本人特定の禁止

●第三者へ提供する場合
 ・匿名加工情報に含まれる情報の項目と提供方法を公表
 ・提供先に対して匿名加工情報であることを明示

●第三者から提供を受けた場合
 ・加工方法の取得を禁止
 ・匿名加工情報を他の情報と照合するなど、本人特定の禁止

●匿名加工情報の作成、扱い方のルール。経済産業省の資料より引用

匿名加工情報の実際の活用は、まだまだこれからのことですが、実際の事例蓄積によりルールが一般化されて情報の流通環境が整備されれば、ビッグデータを使った新ビジネスの創出やサービス向上への取り組みが、いよいよ本格化していくのではないでしょうか。(長谷川丈一)