匿名加工情報への対応(第1回):匿名化された個人情報の取扱いについて
2017/08/28
【執筆者:渡邉雅之】
本連載では、2017年5月30日に施行された個人情報保護法の改正のうち、匿名加工情報の取扱いについて説明いたします。
第1回では、匿名化された個人情報の取扱いについて解説いたします。
*「個人情報保護法・マイナンバー法対応規程集」もご覧ください。
1 個人情報の匿名化に関する従来の考え方
個人情報の保護に関する法律(以下「個人情報保護法」又は「法」といいます。)の全面改正が、平成29年5月30日に施行されました。
この改正において、事業者にとって最も影響があると考えられるのは、個人情報の匿名化に関する扱いの変更です。これは下記3で説明するとおり、解釈上の変更(あるいは明確化)によるものですが、匿名加工情報の規律の導入に伴い、事業者を最も悩ませている問題です。
A社が保有する個人データ(個人情報)から特定の個人を識別することができる氏名や住所等の情報を削除した上で、B社に提供した場合、当該匿名化された情報は個人情報に該当するでしょうか。
もし、A社が個人情報を匿名化しても依然として個人情報に該当するのであれば、B社への提供は個人データの第三者提供に該当し、当該個人情報に係る本人の同意を得る(法23条1項)か、または、オプトアウト手続(同条2項)に基づき提供をする必要があります。
「個人情報」とは、�@生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)及び�A個人識別符号をいいます(個人情報保護法2条1項)。
個人情報の匿名化においては、このうち、上記�@の「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」(いわゆる「容易照合性」)かどうかが問題となります。
この容易照合性があるか否かについては、匿名化された個人情報の提供元において判断する「提供元判断説」と提供先において「提供先判断説」という2つの考え方があります。
「提供元判断説」においては、容易照合性があるか否かについて提供元で判断されます。上記の具体例においては、A社(提供元)において容易に照合できる限りは、A社による匿名化された情報の提供は「個人データ(個人情報)」の提供に該当し、匿名化された情報に係る本人の同意を取得するか、または、オプトアウト手続により提供する必要があります。
他方、「提供先判断説」においては、容易照合性は提供先で判断されます。B社(提供先)において容易に照合できない限りは、A社による情報提供は、「個人データ(個人情報)」の提供には該当せず、匿名化された情報に係る本人の同意の取得、または、オプトアウト手続による提供は不要になります。
今般の個人情報保護法の全面改正前までは、どちらかというと「提供先判断説」が有力な考え方でした。
たとえば、岡村久道弁護士の「個人情報保護法(新訂版)」(商事法務・2009年)76頁においては、「Aにとって識別性を具備する情報を、これを具備しないBに提供する場合には、第三者提供の制限(法23条1項)違反とならないものと考えるべきである。Bにとどまらず通常人からみても誰の情報なのか識別できない以上、その提供によって、本法が想定する権利利益侵害のおそれが通常発生すると認められないからである。また、かく解さなければ、本人の権利利益を図るため、特定の個人を識別しうる部分を番号・符号に置き換える方法を用いて匿名化したデータを第三者に提供することすら許容されなくなりかねない。」とされています。
2 改正前にも行われていた提供元判断説に基づく実務
もっとも、改正前においても「提供元判断説」に基づく取扱いの実務がありました。
平成25年6月、東日本旅客株式会社(以下「JR東日本」といいます。)は、Suicaの購買履歴のデータから氏名、電話番号、物販情報等を除外し、生年月日を生年月に変換した上、さらに、SuicaID 番号を不可逆の別異の番号に変換したデータを株式会社日立製作所に提供(提供は7月に実施)することが明らかになり、多くの利用者から、個人情報の保護、プライバシーの保護や消費者意識に対する配慮に欠けているのではないかとして批判や不安視する声があがりました。
この事件の後、JR東日本は、Suicaの購買履歴データの第三者提供について、オプトアウト手続を設けましたが、これはJR東日本内部では依然として容易照合性があり個人情報(個人データ)に該当することを前提としたもの、すなわち、「提供元判断説」に基づく取扱いをしたものとも考えられます。
3 提供元判断説に立つ重要なパブリックコメント回答
個人情報保護法の全面改正にかかる法令やガイドラインにおいては、容易照合性について「提供元判断説」、「提供先判断説」のいずれに立つのかは明らかにされていません。
しかしながら、ガイドラインのパブリックコメント回答において、『ある情報を第三者に提供する場合、当該情報が(個人情報の定義の一つである)「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかで判断します。』(『「個人情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意見募集結果』19番参照)とされ、「提供元判断説」によることが明らかにされました。
4 提供元判断説の実務上の影響
(1)匿名化情報しても個人情報
「提供元判断説」に立つことによる実務上の最大の影響は、個人情報を匿名化しても提供元においては依然として容易照合性が認められる限り、個人データ(個人情報)として扱わなければならないということです。
個人データとして扱われる限り、安全管理措置を講じなければならないし、第三者提供については本人の同意を得るか、または、オプトアウト手続によらなければなりません。
特に、本人の同意が必要ということは、匿名化した情報の第三者提供にとって大きな支障となります。また、個人情報保護法の全面改正により、個人情報保護委員会への届出などオプトアウト手続が厳格化するので安易にこれによるわけにはいきません。
そこで、第三者提供に本人の同意が不要である匿名加工情報の規律によることになりますが、匿名加工情報以外の情報(非個人情報)として本人の同意なく第三者提供ができないかについては下記6において検討します。
(2)解釈により受領者に確認・記録義務が適用されない場合
個人情報保護法の改正により、個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、確認及び記録を行い、記録を一定期間保存しなければなりません(法26条)。
匿名化された情報が提供元において容易照合性がある限りは、当該情報の受領者は個人データを受領したことになるので、確認義務及び記録の作成・保存義務を負うことになりそうです。しかしながら、提供先においては特定の個人を識別できないにもかかわらずかかる義務を負わせるのは無理があります。記録事項の一つとして、「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」を記録することとされているが、匿名化された情報についてはこれができません。
「個人情報の保護に関する法律ついてガイドラン( 第三者提供時の確認・記録義務 編)」においては、このような問題点を考慮し、「受領者にとって「個人情報」に該当しない場合」には、解釈により受領者に確認・記録義務が適用されないこととしております(同ガイドライン2−2−2)。具体的な事例としては、「提供者が氏名を削除するなどして個人を特定できないようにした個人データの提供を受けた場合」や「提供者で管理しているID番号のみが付された個人データの提供を受けた場合」が掲げられています。
(3)外国にある第三者への匿名化情報の委託
個人情報保護法の改正により、個人情報取扱事業者が外国にある第三者に個人データを提供する場合は、法23条(第三者提供の制限)ではなく、法24条(外国にある第三者への提供の制限)が適用されることになります。これに伴い、外国にある第三者が「個人データの取扱いの委託先」の場合には、第三者に該当せず本人の同意が不要(法23条5項1号)という例外が使えなくなります。
では、個人データを匿名化した上で外国にある第三者に委託した場合は個人データの提供ではなく、法24条は適用されないことになるでしょうか。
この点については、個人情報保護委員会の『「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A』(以下「委員会Q&A」といいます。)において以下のとおり記載されています。
Q9−11 外国にある第三者に対して、氏名を削除するなどして個人を特定できないようにして当該者にとっては個人情報に該当しないデータの取扱いを委託し、当該者が 個人情報に復元することがないような場合においても、法第24 条は適用されますか。
A9−11 法第24 条は適用されます。受領者たる「外国にある第三者」にとって個人情報 に該当しないデータを提供する場合において、当該者が個人情報を復元することがない こととなっているときは、結果として、施行規則第11 条で定める基準に適合する体制を整備しているものと解されます。ただし、この場合であっても、委託者たる個人情報取扱 事業者は法第22 条に基づき委託先に対する監督義務があることに留意が必要です。
この回答は、容易照合性について「提供元判断説」を取ることが前提としたものです。匿名化をしても委託元では容易照合性があり、個人データに該当することを前提とした回答です。
もっとも、この回答では、個人情報保護法施行規則11条で定める基準に適合する体制整備がなされているとみなされることにより、法24条ではなく法23条が適用されることになり、「個人データの取扱いの委託」(法23条5項1号)が適用され、結論的には本人の同意なく提供が可能となります。
5 匿名加工情報の取扱い
匿名化した情報の第三者提供については、個人データ(個人情報)としての扱いを受けると、上記で説明したとおり、匿名化した情報に係る本人の同意を得るか、または、オプトアウト手続によらなければならなくなります。
このような場合、匿名加工情報の規律に従えば本人の同意やオプトアウト手続による必要はなくなります。
(1)匿名加工情報の定義_______________________________________________
「匿名加工情報」とは、次に掲げる個人情報の区分に応じて当該各号に定められる措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元できないようにしたものです。
_
�@個人識別符号以外の個人情報(法2条1項1号)
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
�A個人識別符号(法2条1項2号)が含まれる個人情報____
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
_
(2)匿名加工情報の規律
匿名加工情報については、作成者である個人情報取扱事業者に対して、�@適正加工義務、�A加工方法等情報について安全管理措置、�B作成した匿名加工情報に関する公表義務、�C自ら取り扱う場合の識別行為の禁止、�D匿名加工情報の安全管理措置等(努力義務)が課されますが、匿名加工情報の第三者提供には本人の同意が必要ありません。その代わり、�E匿名加工情報を第三者提供することを明示・公表する義務があります。(法36条)
匿名加工情報の提供を受けた匿名加工情報取扱事業者は、(a)識別行為の禁止(法38条)、(b)匿名加工情報の安全管理措置等(努力義務)(法39条)を負いますが、匿名加工情報の第三者提供については本人の同意は必要ありません。その代わりに(c) 匿名加工情報を第三者提供することを明示・公表する義務があります(法37条)。
(3)容易照合性と匿名加工情報
容易照合性と匿名加工情報の関係については、『個人情報保護委員会事務局レポート:匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて』(以下「委員会レポート」といいます。)において、以下のとおり記載されています(下線は筆者によるもの)。
匿名加工情報は、特定の個人を識別することができず、作成の元となった個人情報を復元することができないように加工したものであり、さらに、個人情報に係る本人を識別することを禁止する等の制度的な担保がなされていることから、作成の元となった個人情報を通常の業務における一般的な方法で照合することができる状態にある(すなわち容易照合性がある)とはいえず、個人情報に該当しないとされるものである。(同レポート14頁)
6 個人情報・匿名加工情報以外の扱い
(1)匿名加工情報として扱わなくてもよい場合
「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」においては、以下の場合は匿名加工情報を「作成するとき」(改正保護法36条1項)には該当しないので、匿名加工情報として扱う必要はないとしています(同ガイドライン2−1)。
�@_____ 安全管理措置の一環として氏名等の一部の個人情報を削除(又は他の記述等に置き換え)した上で引き続き個人情報として取り扱う場合
�A_____ 匿名加工情報を作成するために個人情報の作成作業が完了しておらず加工が不十分である可能性がある場合に引き続き個人情報として取り扱う場合
�B_____ 統計情報を作成するために個人情報を加工する場合
このうち、上記�Aは、匿名加工情報の作成過程のものを引き続き個人情報として取り扱うというものであるので、極めて例外的な場合の取扱いです。
このガイドラインでは、匿名化情報について匿名加工情報として扱わなくてよいのは、「�@個人情報」か「�B統計情報」として取り扱う場合であるとしているように読めます。
(2)統計情報
上記(1)のガイドラインにおいて、「統計情報」とは、「複数人の情報から共通要素に 係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に把握するもの」と定義されています。
統計情報に該当する場合には、個人データ(個人情報)および匿名加工情報の規律のいずれの適用も受けないことになります。また、個人データや匿名加工情報としての安全管理措置も不要となります。また、本人の同意なく第三者提供も可能となります。
ただし、例えば、統計情報の作成において、ある項目の値を所定範囲ごとに区切る場合、その範囲の設定の仕方によってはサンプルが著しく少ない領域(高齢者、高額利用者、過疎地における位置情報等)が生じる可能性があります。このような場合については、誰の情報であるか特定されやすくなることもあり得ます。統計情報という形になっていればよいというものではなく、個人との対応関係が十分に排斥できるような形で統計化されていることが重要です。(委員会レポート)
(3)非個人情報としての取扱いは可能か?(容易照合性の判断)
それでは、匿名化された情報を作成した場合、「個人データ(個人情報)」、「匿名加工情報」、「統計情報」のいずれにも該当せず、「個人データ」及び「匿名加工情報」のいずれの規律も適用されない、いわゆる「非個人情報」としての取扱いは可能でしょうか。
これは、匿名化された情報の作成者において、容易照合性がない状況が作出できるか否かによります。
「容易照合性」(「他の情報と容易に照合することができる)とは、『個人情報の保護に関する法律についてのガイドライン(通則編)』において、「事業者の実態に即して個々の事例ごとに判断されるべきであるが、通常の業務における一般的な方法で、他の情報と容易に照合することができる状態をいい、例えば、他の事業者への照会を要する場合等であって照合が困難な状態は、一般に、容易に照合することができない状態である」とされています(同ガイドライン2−1(※4))。
また、委員会レポートにおいては、「事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合」において、�@双方の取扱部門やこれらを統括すべき立場の者等が、特別の費用や手間をかけることなく、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができないよう、規程上・運用上、双方のデータベースを取り扱うことが厳格に禁止されていいて、特別の費用や手間をかけることなく、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができない場合には、容易照合性はないとしています。
他方、�A双方の取扱部門の間で、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができる場合には容易照合性があるとしています。
同様のことは委員会Q&A1−15にも記載されています。
事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合において、双方の取扱部門やこれらを統括すべき立場の者等が、規程上・運用上、双方のデータベースを取り扱うことが厳格に禁止されていて、特別の費用や手間をかけることなく、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができない状態である場合は、「容易に照合することができ」ない状態であると考えられます。
一方、双方の取扱部門の間で、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができる状態である場合は、「容易に照合することができ」る状態であると考えられます。
以上を前提とすれば、匿名化された情報の作成者(提供元)において「容易照合性」がなくなれば(例えば、対応表がない場合や部門間で分離し個人情報にシステム上アクセス制御ができないようにしている場合)、「非個人情報」として個人情報保護法上の義務(第三者提供の制限(法23条)等)は免除されると考えられます。
_ 「匿名加工情報」は法36条による制度的な担保を元に作成することによって「容易照合性」がなくなるのであり、「容易照合性」がない場合に直ちに「匿名加工情報」になるものではないと考えられます。
_ _もちろん、「非個人情報」として認められるのは、作成者(提供者)内部で容易照合性がないことが担保されている極めて例外的な場合のみです。
_ 『医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス』(個人情報保護委員会・厚生労働省)においても、匿名化された情報が「非個人情報」に該当する場合があることを前提とする以下の記載があります(下線は筆者)。
II.4.個人情報の匿名化
当該個人情報から、当該情報に含まれる氏名、生年月日、住所、個人識別符号等、個人を識別する情報を取り除くことで、特定の個人を識別できないようにすることをいう。
顔写真については、一般的には目の部分にマスキングすることで特定の個人を識別できないと考えられる。なお、必要な場合には、その人と関わりのない符号又は番号を付すこともある。
このような処理を行っても、事業者内で医療・介護関係個人情報を利用する場合は、事業者内で得られる他の情報や匿名化に際して付された符号又は番号と個人情報との対応表等と照合することで特定の患者・利用者等が識別されることも考えられる。法においては、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」についても個人情報に含まれるものとされており、匿名化に当たっては、当該情報の利用目的や利用者等を勘案した処理を行う必要があり、あわせて、本人の同意を得るなどの対応も考慮する必要がある。
(以下略)
医療機関においては通常番号と患者本人とを結びつける「対応表」があるため、容易照合性が認められ、匿名化された情報は「個人情報」になり、「非個人情報」として扱うのは困難な場合が多いでしょう。
7 匿名化された情報の管理方法と適用される規律
以上を前提とすると、匿名化された情報の管理方法と適用される規律は以下のとおり整理できます。
提供元判断説によると多くの場合容易照合性があることになり、「非個人情報」として扱うことができる場合はほとんどなくなります。個人情報を匿名化しても容易照合性がある限り、「個人情報」として扱う必要があります。すなわち、第三者提供についての本人の同意やオプトアウトが必要となり、記録の作成・保存義務があります(法23条)。
_ _個人情報としての扱いを受けたくないのであれば、改正法により設けられた匿名加工情報としての規律に従うことになります。これにより、第三者提供について本人の同意は不要となります(公表・明示義務あり)が、適正加工義務、識別行為の禁止、加工方法等情報について安全管理措置等に従う必要があります(法36条)。敢えて個人情報としての規律を適用する場合には、匿名加工情報としての規律は適用されません。
_ _なお、統計情報(複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に把握するもの)を作成する場合には、個人情報と匿名加工情報のいずれの規律も適用されません。
_
管理方法
適用される規律
容易照合性あり
個人情報(個人データ)としての管理する場合
�@当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの
�A他の情報と容易に照合することができ、それにより特定の個人を識別することができるもの
*匿名化情報の作成者(提供元)においては匿名化をしても、通常、他の情報と容易に照合でき、それにより特定の個人を識別できるので、ほとんどの場合、個人情報に該当する。
・個人データとしての規律の適用。
・個人データとしての安全管理措置
・ 第三者提供について本人の同意・オプトアウト必要(オプトアウト厳格化)。記録の作成・保存義務あり。
容易照合性なし
(ほとんどなし)
非個人情報に該当する場合
*他の情報と容易に照合して特定の個人を識別できない場合には、非個人情報として扱うことが考えられる。匿名化情報の作成者(提供元)であっても、対応表がない場合はこのような扱い可能か。
*容易照合性ができないように安全管理措置が取られている場合(極めて例外的)
・個人データ・匿名加工情報の規律のいずれの適用も受けない。
・ 安全管理措置不要。
・ 本人の同意なく第三者提供可能。
統計情報作成
統計情報を作成する場合
(複数人の情報から共通要素に 係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に把握するもの)
・個人データ・匿名加工情報の規律のいずれの適用も受けない。
・ 安全管理措置不要。
・ 本人の同意なく第三者提供可能。
匿名加工情報としての制度的担保
*識別行為の禁止により容易照合性なし
匿名加工情報として管理する場合
�@個人識別符号以外の個人情報
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
�A個人識別符号
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
・匿名加工情報としての規律の適用
・_適正加工義務や加工方法等情報について安全管理措置あり。
・_匿名加工情報の安全管理措置は努力義務だが個人データの安全管理措置を参考にすることとされている。
・ 第三者提供に本人の同意不要(公表・明示義務あり)
