医療ビックデータ法の概要
2017/09/04
【執筆者:渡邉雅之】
今回は、2017年5月12日に公布された『医療分野の研究開発に資するための匿名加工医療情報に関する法律』(平成29年5月12日法律第28号、以下「医療ビックデータ法」といいます。通称「次世代医療基盤法」といわれることも多いですが、分かり難いので「医療ビックデータ法」とします。)について解説いたします。ニュースレター形式のPDF(『医療ビックデータ法の概要』)も作成いたしましたのでこちらもご覧ください(図入り)。
なお、ご相談については下記にご連絡ください。
弁護士法人三宅法律事務所 パートナー
弁護士 渡邉 雅之
TEL: 03-5288-1021
Email: m-watanabe@miyake.gr.jp
【参考文献】
個人情報保護法・マイナンバー法対応規程集
匿名加工情報への対応(第1回):匿名化された個人情報の取扱いについて
匿名加工情報への対応(第2回):匿名加工情報について
匿名加工情報への対応(第3回):匿名加工情報取扱規程・匿名加工情報取扱方針(規程付)
_
1 医療情報は要配慮個人情報に該当する
2017年5月30日の個人情報保護法の改正で定められた「要配慮個人情報」に該当し得る医療情報としては、「病歴」、「医師等により行われた健康診断等の結果」及び「健康診断等の結果に基づき医師等により行われた指導・診療・調剤」は、「要配慮個人情報」があります(法2条3項、施行令2条2号及び3号)。
「医師等により行われた健康診断等の結果」及び「健康診断等の結果に基づき医師等により行われた指導・診療・調剤」には、具体的には、病院、診療所、その他の医療を提供する施設における診療や調剤の過程において、患者の身体の状況、病状、治療状況等について、医師、歯科医師、薬剤師、看護師その他の医療従事者が知り得た情報全てを指し、診療記録や調剤録、薬剤服用歴、お薬手帳に記載された情報等が該当します。病院等を受診したという事実及び薬局等で調剤を受けたという事実も該当します。
また、遺伝子検査により判明する情報の中には、差別、偏見につながり得るもの(例:将来発症し得る可能性のある病気、治療薬の選択に関する情報等)が含まれ得ますが、当該情報は、「医師等により行われた健康診断等の結果」又は「健康診断等の結果に基づき医師等により行われた指導・診療・調剤」に該当し得ます。
_
2 医療情報が要配慮個人情報に該当することによるビックデータ利用時の問題
要配慮個人情報に該当する場合は、これを取得するにあたって本人の同意が必要となります(個人情報保護法17条2項)。
もっとも、個人情報取扱事業者は、他の個人情報と同様に、利用目的の範囲で利用が可能です。
また、個人情報取扱事業者は、個人データである要配慮個人情報を第三者に提供する場合、原則として、本人の事前の同意が必要となります(改正法23条1項本文)。
さらに、要配慮個人情報以外の個人データ同様に、要配慮個人情報であっても、法令に基づく場合等の第三者提供の例外(保護法23条1項各号)や委託、事業承継、共同利用による個人データの提供(同条5項各号)の場合には、本人の同意は必要となりません。
加えて、要配慮個人情報を含む個人情報を加工して匿名加工情報を作成することも可能です(「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A[1]11-7)。
そういう意味で、要配慮個人情報に該当するからといって、それ以外の個人情報(個人データ)と比べて制限はあまりないとも言えます。
しかしながら、要配慮個人情報に該当する個人データについては、要配慮個人情報以外の個人データでは認められるオプトアウトの手続の適用は認められません(法23条2項)。これは、オプトアウト手続については、法に定める一定の手続をとったとしても、実際には本人が明確に認識できないうちに個人データが第三者に提供されるおそれがあるため、情報の性質上慎重な取扱いが求められる要配慮個人情報にはかかる取扱意を認めないものとしたのです。
これが、要配慮個人情報に該当する医療情報をビックデータ(匿名加工情報)として利用する際の支障となります。すなわち、医療機関が、匿名加工情報に該当する患者の医療情報を、ビックデータとして利用したい製薬会社や研究機関(大学等)に提供したい場合に、医療機関は患者の同意を個別に取得するのは困難なので、本人が利用停止を求めるまで第三者提供が可能なオプトアウトの手続を利用したいところですが、これが認められないのです。
_
3 倫理指針と医療ビックデータ法の関係
「人を対象とする医学系研究に関する倫理指針」[2](文部科学省・厚生労働省、以下「倫理指針」といいます。)では、研究対象者のインフォームド・コンセントが必要となりますが、これと、オプトアウトにより情報の提供を認める医療ビックデータ新法の関係が問題となります。
この点について、政府からは以下の答弁がなされています(平成29年4月25日参議院内閣委員会・大森一博政府参考人発言)。
『倫理指針と対象となるいわゆる学術研究は、例えば、本人の同意を得て患者さんを集めまして、既存の医療にはない新しい手術方法ですとか新薬等の投薬を行いまして、その結果を分析するものと認識しております。
他方、今回の法案は、個人が識別できないように匿名加工された医療情報の適正な利活用を通じて医療分野の研究開発を促進するものでありまして、言わば既に行われている医療におけるデータを事後的に解析しようとするものです。患者に最適な医療の提供、あるいはより確実な医薬品等の副作用の発見などのためには、こうした患者等の個人から提供された事後的な、統計的な分析を通じた利活用も不可欠と考えています。
今回の法案は、こうした取組の促進に向けまして、情報セキュリティーや匿名加工技術などについて厳格に審査を受けた認定事業者を認定するという仕組みを新たに創設した上で、認定した後も安全管理措置を義務付けておりまして、例えば、法令違反の疑いがある場合には立入検査や是正命令、それに従わない場合には認定の取消しや、あるいは罰則の規定があります。この罰則の規定は個人情報保護法よりも重い量刑を設定しておりまして、そういったことを通じまして信頼できる匿名加工情報の利活用の枠組みをつくろうとするものであります。
このように、国の監督、規制を受ける事業者による匿名加工ということを前提とした利活用に限った仕組みでございますので、あらかじめ本人に通知し、本人が拒否しない場合には医療機関は認定事業者に医療情報を提供できるという形にしたものでございます。』
_
4 医療ビックデータ法の概要
(1)医療ビックデータ法が可能とすること
医療ビックデータ法は、医療機関(「医療情報取扱事業者」)が高い情報セキュリティの認定等で担保された「認定匿名加工医療情報作成事業者」に「要配慮個人情報」に該当する患者の医療情報を提供する場合に限り、オプトアウトの手続の利用を認めるもので、上記2の医療情報が要配慮個人情報に該当することの問題を解決するものです。
そして、「認定匿名加工作成事業者」は、ビックデータ(「匿名加工医療情報」)を作成して、製薬会社、研究機関(大学等)、行政に提供することが可能となります。
(2)認定匿名加工医療情報作成事業者の認定(8条)
主務大臣は、高い情報セキュリティを確保し、十分な匿名加工技術を有するなどの一定の基準を満たし、医療情報等の管理や利活用のための匿名化を適正かつ確実に行うことができる者を「認定匿名加工医療情報作成事業者」として認定することとされています。
認定の基準は以下のとおりです。
�@法令違反や破産等していない者であること
�A医療情報を取得・整理・加工して匿名加工医療情報を適確に作成・提供するに足りる能力を有するものとして主務省令で定める基準を充たすこと
�B医療情報等(医療情報、匿名加工医療情報の作成に用いた医療情報から削除した記述等、個人識別符号、加工方法に関する情報、匿名加工医療情報の管理の方法)・匿名加工医療情報の漏えい・滅失・毀損の防止その他の当該医療情報等・匿名加工医療情報の安全管理のために必要かつ適切なものとして主務省令で定める基準に適合すること
�C医療情報等・匿名加工医療情報の安全管理のための措置を適確に実施するに足りる能力を有すること
(3)認定匿名加工医療情報作成事業者の利用目的による制限(17条)
認定匿名加工医療情報作成事業者は、医療機関から医療情報の提供を受けた場合は、当該医療情報が医療分野の研究開発に資するために提供されたものであるという趣旨に反することのないよう、認定事業の目的の達成に必要な範囲を超えて、当該医療情報を取り扱ってはならないこととされています。
ただし、�@法令に基づく場合、および、�A人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合は利用制限がありません。
(4)匿名加工情報の作成等にあたっての義務(18条)
ア 適正加工義務(同条1項)
認定匿名加工医療情報作成事業者は、特定の個人を識別すること及びその作成に用いる医療情報を復元することができないようにするために必要なものとして主務省令で定める基準に従い、当該医療情報を加工する義務を負います。
個人情報取扱事業者が匿名加工情報を作成する際の個人情報保護法36条1項の適正加工義務に相当するものです。
イ 照合禁止義務(自ら作成した匿名加工医療情報)(同条2項)
認定匿名加工医療情報作成事業者は、匿名加工医療情報を作成して自ら当該匿名加工医療情報を取り扱うにあたっては、当該匿名加工医療情報の作成に用いられた医療情報に係る本人を識別するために、当該匿名加工医療情報を他の情報と照合してはなりません。
個人情報取扱事業者が、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならないとする個人情報保護法36条5項に相当する規定です。
ウ 照合禁止義務(第三者が作成した匿名加工医療情報)(同条3項)
匿名加工医療情報取扱事業者(匿名加工医療情報データベース等を事業の用に供している者)は、他の認定匿名加工医療情報作成事業者が作成した匿名加工医療情報を取り扱うにあたっては、匿名加工医療情報の作成に用いられた医療情報に係る本人を識別するために、当該医療情報から削除された記述等若しくは個人識別符号・加工の方法に関する情報を取得、または、他の情報と照合してはなりません。
匿名加工情報取扱事業者(匿名加工情報データベース等を事業の用に供する者)が、他の個人情報取扱事業者が作成した匿名加工情報を取り扱うにあたって、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等・個人識別符号、加工の方法に関する情報を取得し、または当該匿名加工情報を他の情報と照合してはならないとする個人情報保護法38条に相当する規定です。
エ 匿名加工情報に関する規定の不適用(同条4項)
個人情報取扱事業者が匿名加工情報を作成する際の義務について規定した個人情報保護法36条は、上記アにより、認定匿名加工医療情報作成事業者または認定医療情報等取扱受託事業者(法28条の認可を受けた者)が匿名加工医療情報を作成する場合には適用がありません。
また、匿名加工情報取扱事業者が、他の個人情報取扱事業者が作成した匿名加工情報を取り扱う場合の義務について定めた個人情報保護法37条から39条までの規定は、匿名加工医療情報取扱事業者が、他の認定匿名加工医療情報作成事業者が作成した匿名加工医療情報を取り扱う場合については適用がありません。
なお、不適用となっていない、匿名加工情報の第三者提供時の相手方への明示・公表義務(同法36条4項、37条)は個人情報保護法の規定が適用されるものと考えられます。
(5)消去義務(19条)
認定匿名加工医療情報作成事業者は、認定事業に関し管理する医療情報等(医療情報、匿名加工医療情報の作成に用いた医療情報から削除した記述等、個人識別符号、加工方法に関する情報、匿名加工医療情報の管理の方法)または匿名加工医療情報を利用する必要がなくなったときは、遅滞なく、当該医療情報等または匿名加工医療情報を消去しなければなりません。これは法的義務です。
個人情報保護法では、個人情報取扱事業者は、個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならないとして、努力義務について定めています(同法19条)。また、利用する必要なくなった匿名加工情報を消去しなければならない旨の規定は定められていません。
これらの点については、個人情報取扱事業者が負う消去義務より認定匿名加工医療情報作成事業者の負う消去義務の方が重いといえます。
(6)医療情報等・匿名加工医療情報の安全管理措置(20条)
認定匿名加工医療情報作成事業者は、認定事業に関し管理する医療情報等(医療情報、匿名加工医療情報の作成に用いた医療情報から削除した記述等、個人識別符号、加工方法に関する情報、匿名加工医療情報の管理の方法)または匿名加工医療情報の漏えい・滅失・毀損の防止その他の当該医療情報等または匿名加工医療情報の安全管理のために必要かつ適切なものとして主務省令で定める措置を講じなければなりません。
個人情報保護法では、加工方法等の情報に関する安全管理措置は法的義務です(保護法36条2項)ですが、匿名加工情報の安全管理措置は努力義務です(同条6項)。
医療ビックデータ新法では、「医療情報等」の安全管理措置だけでなく、「匿名加工医療情報」の安全管理措置についても法的義務とされている点が厳しくなっております。
(7)従業者の監督(21条)
認定匿名加工医療情報作成事業者は、従業者に認定事業に関し管理する医療情報等又は匿名加工医療情報を取り扱わせるに当たっては、当該医療情報等または匿名加工医療情報の安全管理が図られるよう、主務省令で定めるところにより、当該従業者に対する必要かつ適切な監督を行わなければなりません。
個人情報保護法では、同法21条で「従業者の監督」に関する規定が設けられていますが、その詳細は「ガイドライン」(「個人情報の保護に関する法律についてのガイドライン(通則編)」)で定められているのに対して、医療ビックデータ新法では「主務省令」で定めることとされている点が厳しいといえます。
(8)従業者等の義務(22条)
認定匿名加工医療情報作成事業者の役員・従業者またはこれらであった者は、認定事業に関して知り得た医療情報等または匿名加工医療情報の内容をみだりに他人に知らせ、または不当な目的に利用してはなりません。
これに相当する義務は、個人情報保護法には置かれていません。
(9)委託(23条)
認定匿名加工医療情報作成事業者は、認定医療情報等取扱受託事業者に対してする場合に限り、認定事業に関し管理する医療情報等または匿名加工医療情報の取扱いの全部・一部を委託することができます。個人情報保護法においては、委託先について特に限定はありませんが、医療ビックデータ新法では、認定医療情報等取扱事業者に委託をする場合だけ委託をすることができます(23条1項)。
「認定医療情報等取扱事業者」とは認定匿名加工医療情報作成事業者の委託(2以上の段階にわたる委託を含む。)を受けて医療情報等または匿名加工医療情報を取り扱う事業を行おうとする者(法人に限る。)で、主務大臣の認定を受けた者です(法18条4項、法28条)。
認定医療情報等取扱受託事業者は、当該医療情報等または匿名加工医療情報の取扱いの委託をした認定匿名加工医療情報作成事業者の許諾を得た場合であって、かつ、認定医療情報等取扱受託事業者に対してするときに限り、その全部または一部の再委託をすることができます(23条2項)。
医療情報等または匿名加工医療情報の取扱いの全部・一部の再委託を受けた認定医療情報等取扱受託事業者は、当該医療情報等または匿名加工医療情報の取扱いの全部・一部の委託を受けた認定医療情報等取扱受託事業者とみなして、再委託の規定が適用されます(同条3項)。
このように委託先・再委託先を限定する規定は個人情報保護法にはありません。
(10)委託先の監督(24条)
認定事業に関し管理する医療情報等・匿名加工医療情報の取扱いの全部・一部を委託する場合は、その取扱いを委託した医療情報等・匿名加工医療情報の安全管理が図られるよう、主務省令で定めるところにより、委託を受けた者に対する必要かつ適切な監督を行わなければなりません。
個人情報保護法では、同法22条で「委託先の監督」に関する規定が設けられていますが、その詳細は「ガイドライン」(「個人情報の保護に関する法律についてのガイドライン(通則編)」)で定められているのに対して、医療ビックデータ新法では「主務省令」で定めることとされている点が厳しいといえます。
(12)他の認定匿名加工医療情報作成事業者に対する医療情報の提供(25条)
医療情報の提供を受けた認定匿名加工医療情報作成事業者は、主務省令で定めるところにより、他の認定匿名加工医療情報作成事業者からの求めに応じ、匿名加工医療情報の作成のために必要な限度において、当該他の認定匿名加工医療情報作成事業者に対し、提供された医療情報を提供することができます(同条1項)。
当該提供を受けた認定匿名加工医療情報作成事業者は、患者本人からオプトアウトの手続により(30条1項)により医療情報の提供を受けた認定匿名加工情報作成事業者とみなして、他の認定匿名加工医療情報作成事業者からの求めに応じ、匿名加工医療情報の作成のために必要な限度において、当該他の認定匿名加工医療情報作成事業者に対し、提供された医療情報を提供することができます(同条2項)。
(13)認定匿名加工医療情報作成事業者による医療情報の第三者提供の制限(26条)
認定匿名加工医療情報作成事業者は、�@「25条の規定により提供する場合」(上記(12))、�A「法令に基づく場合」、�B「人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合」を除くほか、25条の規定およびオプトアウトの手続(30条1項)により提供を受けた医療情報を第三者に提供してはなりません(26条1項)。
ただし、当該医療情報の提供を受ける者が、�@事業の承継に伴って医療情報が提供される場合または、�A医療情報の取扱いの全部・一部を委託することに伴って当該医療情報が提供される場合は、認定匿名加工医療情報作成事業者からみて第三者に該当しないので、提供が可能です(26条2項)。個人情報保護法23条5項各号に相当する規定ですが、共同利用(同項3号)による第三者の例外の規定は設けられていません。
(14)苦情の処理(27条)
認定匿名加工医療情報作成事業者は、主務省令で定めるところにより、認定事業に関し管理する医療情報等または匿名加工医療情報の取扱いに関する苦情を適切かつ迅速に処理しなければなりません。
認定匿名加工医療情報作成事業者は、主務省令で定めるところにより、前項の目的を達成するために必要な体制を整備しなければなりません。
個人情報取扱事業者の苦情の処理は努力義務(保護法35条)であるのに対して、認定匿名加工医療情報作成事業者は法的義務で厳しくなっております。
(15)医療情報取扱事業者による医療情報の提供(30条)
ア 趣旨
上記(1)で説明したとおり、本条が、医療ビックデータ法の要となる規定です。個人情報保護法では認められない要配慮個人情報に該当する医療情報のオプトアウト手続について、医療情報取扱事業者が認定匿名加工医療情報作成事業者に提供する場合に限ってオプトアウトの手続を認めるものです。
高い情報セキュリティを確保し、十分な匿名加工技術を有するなどの一定の基準を満たし、医療情報等の管理や利活用のための匿名化を適正かつ確実に行うことができる者(認定匿名加工医療情報作成事業者)を認定することにより、オプトアウト手続の利用を可能としたものです。
イ 規定内容
規定の立て付けは、個人情報保護法23条2項から4項までの個人データのオプトアウトの手続と同じです。ただし、個人情報保護法のオプトアウトの場合は、「通知」のほか「本人の知り得る状態」に置くことも認められていますが(同法23条2項)、医療ビックデータ法においては「通知」のみが認められています。
医療情報取扱事業者は、認定匿名加工医療情報作成事業者に提供される医療情報について、主務省令で定めるところにより本人又はその遺族(死亡した本人の子、孫その他の政令で定める者)からの求めがあるときは、当該本人が識別される医療情報の認定匿名加工医療情報作成事業者への提供を停止することとしている場合であって、次に掲げる事項について、主務省令で定めるところにより、あらかじめ、本人に通知するとともに、主務大臣に届け出たときは、当該医療情報を認定匿名加工医療情報作成事業者に提供することができます(30条1項)。
�@医療分野の研究開発に資するための匿名加工医療情報の作成の用に供するものとして、認定匿名加工医療情報作成事業者に提供すること。
�A認定匿名加工医療情報作成事業者に提供される医療情報の項目
�B認定匿名加工医療情報作成事業者への提供の方法
�C本人又はその遺族の求めに応じて当該本人が識別される医療情報の認定匿名加工医療情報作成事業者への提供を停止すること。
�D本人又はその遺族の求めを受け付ける方法
上記の�A・�B・�Dの事項を変更する場合もオプトアウト手続による必要があります(同条2項)。
主務大臣は届出があった場合は、公表する義務があります(同条3項)。
ウ 提供される医療情報
「医療情報」として想定されているのは、医療情報の利活用の中心となって使われているいわゆる「レセプト情報」ですが、これに加えて、診療行為の結果に関する情報である「問診内容」、「検査結果」、「治療予後」といった情報も想定しています(平成29年4月25日参議院内閣委員会・大森一博政府参考人発言)。
エ 相当の期間
オプトアウトに基づく医療情報の提供はすぐに認められるのではなく、本人が提供の停止を求めるのに必要な期間を置く旨を定めることが検討されています。
この期間に関しまして、具体的な必要な期間という言葉でいくのか、具体的な期間を示すかどうかについては、個人情報保護法令では具体的な期間を示されていないということも参考にしつつ、施行までに検討することとされています(平成29年4月25日参議院内閣委員会・大森一博政府参考人発言)。
オ オプトアウトの適用される年齢
オプトアウト手続については、患者が子供である場合、通知は保護者に対して行うということが基本とされます。個人情報保護法制あるいは研究倫理指針における取扱いを参考に、具体的には患者が中学の課程を修了している場合、または十六歳以上である場合には子供本人に対して通知をすることが予定されています(平成29年4月25日参議院内閣委員会・大森一博政府参考人発言)。
(16)オプトアウトの停止の求めに対する書面等の交付・保存(31条)
医療情報取扱事業者(医療機関)は、オプトアウトの通知を受けた本人又はその遺族から当該本人が識別される医療情報の認定匿名加工医療情報作成事業者への提供を停止するように求めがあったときは、遅滞なく、主務省令で定めるところにより、当該求めがあった旨その他の主務省令で定める事項を記載した書面を当該求めを行った者に交付しなければなりません(同条1項)。
医療情報取扱事業者は、あらかじめ、認定匿名加工医療情報作成事業者への提供を停止するように求めを行った者の承諾を得て、書面の交付に代えて、当該書面に記載すべき事項を記録した電磁的記録を提供することができます。この場合において、当該医療情報取扱事業者は、上記の書面の交付を行ったものとみなされます。(同条2項)
上記の書面を交付し、または上記の電磁的記録を提供した医療情報取扱事業者は、主務省令で定めるところにより、当該書面の写しまたは当該電磁的記録を保存しなければなりません。(3項)
当該義務に相当する義務は、個人情報保護法上のオプトアウトの手続にはありません。
(17)医療情報の提供に係る確認・記録義務(32条・33条)
ア 医療情報の提供に係る記録の作成等(32条)
医療情報取扱事業者は、医療情報を認定匿名加工医療情報作成事業者に提供したときは、主務省令で定めるところにより、当該医療情報を提供した年月日、当該認定匿名加工医療情報作成事業者の名称及び住所その他の主務省令で定める事項に関する記録を作成し、主務省令で定める期間保存しなければなりません。(同条1項、2項)
これは、個人情報保護法上の個人データの提供者の記録義務(同法25条)に相当するものです。
イ 医療情報の提供を受ける際の確認(33条)
認定匿名加工医療情報作成事業者は、医療情報取扱事業者から医療情報の提供を受けるに際しては、主務省令で定めるところにより、次に掲げる事項の確認を行わなければなりません。(同条1項)
�@当該医療情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
�A当該医療情報取扱事業者による当該医療情報の取得の経緯
医療情報取扱事業者は、認定匿名加工医療情報作成事業者が同項の規定による確認を行う場合において、当該認定匿名加工医療情報作成事業者に対して、当該確認に係る事項を偽ってはなりません(同条2項)。
認定匿名加工医療情報作成事業者は、確認を行ったときは、主務省令で定めるところにより、当該医療情報の提供を受けた年月日、当該確認に係る事項その他の主務省令で定める事項に関する記録を作成し、主務省令で定める期間保存なければなりません。(同条3項、4項)
これらの義務は、個人情報保護法における個人データの受領者である個人情報取扱事業者の確認・記録義務(同法26条)に相当するものです。
_
(18)医療ビックデータ法と個人情報保護法の比較
以下、医療ビックデータ法と個人情報保護法上の義務規定を比較してみました。
_
医療ビックデータ法
個人情報保護法
適正加工義務
あり(18条1項)
あり(36条1項)
照合禁止義務(自ら作成した匿名加工医療情報)
あり(18条2項)
あり(36条5項)
照合禁止義務(第三者が作成した匿名加工医療情報)
あり(18条3項)
あり(38条)
匿名加工した情報の第三者提供
規定なし。匿名加工情報の第三者提供時の明示・公表義務適用(36条4項、37条)
第三者提供時の明示・公表義務(36条4項、37条)
消去義務
法的義務(19条)
努力義務(19条)
安全管理措置
以下のいずれについても法的義務(20条)
・医療情報等(医療情報、匿名加工医療情報の作成に用いた医療情報から削除した記述等、個人識別符号、加工方法に関する情報、匿名加工医療情報の管理の方法)
・匿名加工医療情報
加工方法等情報の安全管理措置は法的義務(36条2項)
匿名加工情報の安全管理措置は努力義務(36条6項)
従業者の監督
主務省令で従業者の監督の内容が定められる。
ガイドラインに従業者の監督の内容が定められる。
従業者等の義務
認定匿名加工医療情報作成事業者の役員・従業者またはこれらであった者は、認定事業に関して知り得た医療情報等または匿名加工医療情報の内容をみだりに他人に知らせ、または不当な目的に利用してはならない。
なし
委託先の限定
・委託先は認定医療情報等取扱事業者に限定される。
・再委託は、認定匿名加工医療情報作成者の許諾を得た場合であって、認定医療情報等取扱受託事業者に対してする場合に限られる。
・
なし
委託先の監督
主務省令で委託先の監督の内容が定められる。(24条)
ガイドラインで委託先の監督の内容が定められる。(22条)
第三者提供の制限
・認定匿名加工医療情報作成者は、医療情報について、�@他の認定匿名加工医療情報作成者への提供(25条)、�A法令に基づく場合、�B人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合を除いて、第三者提供ができない。(26条1項)
・�@事業の承継に伴って医療情報が提供される場合、�A医療情報の取扱いを委託することに伴って当該医療情報が提供される場合には、第三者提供とは見られない。(26条2項)
個人データの第三者提供については以下の場合に認められる。
�@本人の同意がある場合(23条1項)
�A法令に基づく場合等の例外(23条1項各号)
�Bオプトアウト手続(23条2項)
�C第三者に該当しない場合(23条5項各号)
・事業承継(1号)
・委託(2号)
・共同利用(3号)
苦情処理
法的義務(27条)
努力義務(35条)
オプトアウト手続
認定匿名加工医療情報作成事業者への提供に限り要配慮個人情報に該当する医療情報についてオプトアウトの方法による提供を認める(30条)
・本人に対しては通知の方法のみ
・主務大臣への届出
要配慮個人情報を含む個人データについてはオプトアウトの方法認められていない(23条2項)
・本人には通知のほか、本人の知り得る状態も認められている。
・個人情報保護委員会への届出
利用停止を求めた者への書面交付義務
利用停止を求めた本人に対して書面交付義務あり(31条)
利用停止を求めた本人に対して書面交付義務なし
第三者提供の提供者の記録義務
医療情報を提供した医療情報取扱事業者に記録の作成・保存義務あり(32条)
個人データを提供した個人情報取扱事業者に記録の作成・保存義務あり(25条)
第三者提供の受領者の確認・記録義務
医療情報の提供を受けた認定匿名加工医療情報作成事業者に確認、記録の作成・保存義務あり(33条)
個人データの提供を受けた個人情報取扱事業者に確認、記録の作成・保存義務あり(26条)
[1]https://www.ppc.go.jp/files/pdf/kojouhouQA.pdf
[2]http://www.mhlw.go.jp/file/06-Seisakujouhou-10600000-Daijinkanboukouseikagakuka/0000153339.pdf
渡邉雅之弁護士の『これだけ知っておけばいい 中小企業のためのEU一般データ保護規則 』がレガシーから発売されました。
2017/09/01
渡邉雅之弁護士の『これだけ知っておけばいい 中小企業のためのEU一般データ保護規則 』がレガシーから発売されました。
_これだけ知っておけばいい 中小企業のためのEU一般データ保護規則
渡邉雅之
講師紹介ページ
DD1762〜DS1762
【講師】弁護士法人三宅法律事務所 弁護士 渡邉 雅之 氏
2018年5月25日施行
顧問先の中にも対象会社が…
中小企業に対象を絞って
今後、対応が必要となるポイントを解説!
EU一般データ保護規則の施行が迫っています。
実は日本のどの企業も対象になる可能性があり、違反時は
厳格な制裁金が課されることから、顧問弁護士としても理
解しておく必要があります。
■EUに支店・子会社がなくても、この条件に当てはまる
企業は適用対象に
■代理人の設置義務、同意の撤回…個人情報保護法との違い
■標準契約条項 か 拘束的企業準則か 越境データ移転の現
実的な対応とは
<主な内容>
・EU一般データ保護規則とは
・匿名化と仮名化
・匿名加工情報の作成者・受領者が遵守すべき規定
・域外適用
(EUに拠点がない日本企業に適用される場合)
・中小・零細企業への適用
・データ主体の同意
・データ主体の権利
・代理人の設置義務
・処理者の義務
・データ保護影響評価(DPIA)
・義務違反と制裁金
・越境データ移転
・標準データ保護条項
・拘束的企業準則
・日本にあるサーバへの個人データの移転 など
★2017年9月発売 ★収録時間:60分_
渡邉雅之弁護士が執筆した改正個人情報保護法に関するQ&AがBusiness Lawyersに掲載されました。
2017/09/01
渡邉雅之弁護士が執筆した改正個人情報保護法に関するQ&AがBusiness Lawyersに掲載されました。
下記のリンク先の記事をご覧ください。
個人情報保護法はどのような法律か
個人情報保護法改正の背景と概要
個人情報保護法改正の経緯と施行時期
EU一般データ保護規則が改正個人情報保護法に与える影響
海外の事業者に対する個人情報保護法の域外適用
匿名化された個人情報はどのように取り扱うべきか
利用しなくなった個人データは必ず消去しなければいけないのか
個人情報データベース等を漏えいした場合の刑事罰
本人による保有個人データに関する訴えの提起はどのような場合にできるのか
認定個人情報保護団体の役割、取り扱う業務は
個人情報保護委員会による外国執行当局への情報提供
個人情報委員会にはどのような権限があるか
Business Lawyersに渡邉雅之弁護士が作成した個人情報保護法関連の規程が掲載されました。
2017/08/30
Business Lawyersの『実務に役立つ無料ガイド集』に渡邉雅之弁護士が作成した個人情報保護法関連の規程が掲載されました。
匿名加工情報への対応(第3回):匿名加工情報取扱規程・匿名加工情報取扱方針(規程付)
2017/08/30
【執筆者:渡邉雅之】
本連載では、2017年5月30日に施行された個人情報保護法の改正のうち、匿名加工情報の取扱いについて説明いたします。
第3回では、匿名加工情報取扱規程と匿名加工情報取扱方針について解説いたします。
*「個人情報保護法・マイナンバー法対応規程集」もご覧ください。
匿名加工情報への対応(第1回):匿名化された個人情報の取扱いについて
匿名加工情報への対応(第2回):匿名加工情報について
1 匿名加工情報取扱規程
匿名加工情報の作成・加工、利用、提供に関しては「個人情報取扱規程」とは独立した規程としました。
個人情報取扱事業者が、「個人情報」から「匿名加工情報」を作成・加工する点に関しては、「個人情報取扱規程」の中で規定することも考えられますが、規定が分かり難くなる可能性があること、また、匿名加工情報取扱事業者として、他の個人情報取扱事業者が作成・加工した匿名加工情報の提供を受ける場合と同一の社内規程において定めた方が分かり易いと考えて独立の社内規程としました。
匿名加工情報に関して安全管理措置を講ずる必要があるのは、「加工方法等情報」と「匿名加工情報」です。
「匿名加工情報」とは、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものです(法2条9項)。
これに対して、「加工方法等情報」とは、匿名加工情報の作成に用いられた個人情報から削除した記述等及び個人識別符号並びに加工方法のことです(その情報を用いて当該個人情報を復元することができるものに限ります。)(法36条2項、規則20条)。
「加工方法等情報」に関しては、以下のとおり、法令・ガイドライン上、個人データと同様の安全管理措置を講ずることが求められています(改正保護法36条2項、規則20条、GL(匿名加工情報編)3-3-1)。
__
講じなければならない措置
具体例
�@加工方法等情報を取り扱う者の権限及び責任の明確化
(規則20条1号)
・加工方法等情報の安全管理措置を講ずるための組織体制の整備
�A加工方法等情報の取扱いに関する規程類の整備及び当該規程類に従った加工方法等情報の適切な取扱い並びに加工方法等情報の取扱状況の評価及びその結果に基づき改善を図るために必要な措置の実施
(規則20条2号)
・加工方法等情報の取扱いに係る規程等の整備とこれに従った運用
・従業員の教育
・加工方法等情報の取扱状況を確認する手段の整備
・加工情報等情報の取扱状況の把握、安全管理措置の評価、見直し及び改善
�B加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置
(規則20条3号)
・加工方法等情報を取り扱う権限を有しない者による閲覧等の防止
・機器、電子媒体等の盗難等の防止
・電子媒体等を持ち運ぶ場合の漏えい等の防止
・加工方法等情報の削除並びに機器、電子媒体等の廃棄
・加工方法等情報へのアクセス制御
・加工方法等情報へのアクセス者の識別と認証
・外部からの不正アクセス等の防止
・情報システムの使用に伴う加工方法等情報の漏えい等の防止
_
これに対して、「匿名加工情報」について安全管理措置を講ずることは法令上努力義務とされています(法36条6項、GL(匿名加工情報編)3-3-2)。
当該安全管理等の措置については、個人情報と同様の取扱いを求めるものではありませんが、例えば、法20条から22条までに定める個人データの安全管理、従業者の監督及び委託先の監督並びに法35条に定める個人情報の取扱いに関する苦情の処理で求められる措置の例を参考にすることも考えられます。具体的には、事業の性質、匿名加工情報の取扱状況、取り扱う匿名加工情報の性質、量等に応じて、合理的かつ適切な措置を講ずることが望ましいです。
そこで、「加工方法等情報」に関しては、個人データの安全管理措置と同等の安全管理措置の規定を置き(3条〜16条)、匿名加工情報の安全管理措置については、17条において、「当社は、個人情報取扱規程における個人データの安全管理措置及び苦情処理の対応を参考にしつつ、匿名加工情報の性質を考慮して安全管理措置及び苦情処理の措置を講ずるものとする。」と規定しています。
匿名加工情報の加工方法に関しては、個人情報保護法ガイドライン(匿名加工情報編)に記載されている加工方法の具体例を規定する(18条)と共に、匿名加工情報の適正な加工についても同ガイドラインに記載されている「想定される加工の事例」をそのまま規定と共に記載しています(19条)。
19条2項においては、個人情報保護委員会「個人情報保護委員会事務局レポート:匿名加工情報〜パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」33頁に記載された「個人情報の項目」に関する「想定されるリスク」及び「望ましい加工例」も掲載しています。
同様に、「匿名加工情報の作成時の公表」(20条)、「匿名加工情報の第三者提供時の公表・明示義務」(22条)に関しても、同ガイドラインで示される「公表項目の事例」を記載しています。
2 匿名加工情報保護指針
法令上特に求められているものではありませんが、個人情報における「基本方針」に相当するものとして「匿名加工情報保護指針」を規定化しました。個人情報における「基本方針」と同様に、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「ご質問及びご苦情の窓口」を規定しています。
「作成した匿名加工情報に含まれる「個人情報の項目」の公表」(法36条3項、規則21条、GL(匿名加工情報編)3-4)および「第三者提供をする匿名加工情報に関する公表」(法36条4項、法37条、規則22条、GL(匿名加工情報編)3-5)に関しては、「作成したとき」又は「提供したとき」に行うことが求められるものであり、実際に匿名加工情報に含まれる個人に関する情報の項目が分かるようにする必要があります。したがって、事前にプライバシーポリシーに包括的な記載を掲載するだけでは当該義務を履行したものとは考えらません。(Q&A 11-14)
そこで、『4 当社の作成した匿名加工情報に含まれる「個人に関する情報の項目」当社の作成した匿名個人情報に含まれる「個人に関する情報の項目」は別途ホームページに掲載いたします。』、『5 第三者提供をする匿名加工情報に関する事項 当社が第三者に提供する匿名加工情報に含まれる「個人に関する情報の項目」及びその「提供の方法」は別途ホームページに掲載いたします。』としています。
渡邉雅之弁護士が執筆した『IRゲーミング法制度 第45回「IR推進会議取りまとめ」ポイント〜カジノ収益連動の賃料・報酬』がカジノIRジャパンに掲載されました。
2017/08/30
渡邉雅之弁護士が執筆した『IRゲーミング法制度 第45回「IR推進会議取りまとめ」ポイント〜カジノ収益連動の賃料・報酬』がカジノIRジャパンに掲載されました。
匿名加工情報への対応(第2回):匿名加工情報について
2017/08/29
【執筆者:渡邉雅之】
本連載では、2017年5月30日に施行された個人情報保護法の改正のうち、匿名加工情報の取扱いについて説明いたします。
第2回では、匿名加工情報について解説いたします。
*「個人情報保護法・マイナンバー法対応規程集」もご覧ください。
匿名加工情報への対応(第1回):匿名化された個人情報の取扱いについて
*『個人情報の保護に関する法律についてのガイドライン (匿名加工情報編)』のことを『GL(匿名加工情報編)』といいます。
1 改正の背景
近時、企業が、保有する個人データから特定の個人の識別性を低減した情報(ビックデータ)を利活用することが進んできております。
反面、ビックデータには個人情報保護法のようなルールが適用されないため、その利活用の方法について顧客やマスメディアに問題視されることがあります。
平成25年6月、東日本旅客株式会社(以下「JR東日本」といいます。)は、Suicaの購買履歴のデータから氏名、電話番号、物販情報等を除外し、生年月日を生年月に変換した上、さらに、SuicaID 番号を不可逆の別異の番号に変換したデータを株式会社日立製作所に提供(提供は7月に実施)することが明らかになり、多くの利用者から、個人情報の保護、プライバシーの保護や消費者意識に対する配慮に欠けているのではないかとして批判や不安視する声があがりました。
その批判の主な原因は、Suicaの購買履歴のデータの販売について、JR東日本が利用者にほとんど事前説明をしていなかったことによるものです。利用規約にはSuicaの購買履歴データの販売、譲渡について記載はなく、規約の変更も行いませんでした。また、文書などによる利用者への告知もありませんでした。
また、JR東日本が本人の申し立てで履歴の販売、譲渡を止められるオプトアウトの窓口を告知していなかった点も問題でした。JR東日本は個人情報保護の問い合わせ窓口で申請があれば、個別に対応していたと主張していましたが、オプトアウトが可能とは周知していませんでした。
政府においては、以下のとおり、パーソナルデータの利活用という形で検討が進められ、改正個人情報保護法の中で「匿名個人情報」に関するルールが新たに設けられました。
_
○パーソナルデータの利活用に関する制度見直し方針(平成25年12月20日 高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)決定)
○パーソナルデータの利活用に関する制度改正大綱(平成26年6月24日 高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)決定)
○パーソナルデータに関する検討会(平成25年9月2日〜平成26年12月19日)
事務局:内閣官房IT総合戦略室パーソナルデータ関連制度担当室
_
個人情報保護法では、目的外利用や第三者提供にあたっての本人の同意(法16条1項、法23条1項1号)は、パーソナルデータの「利活用の壁」とされています。
「本人の同意」の趣旨は、個人の権利利益の侵害を未然防止することですが、「本人の同意」がなくてもがなくてもデータの利活用を可能とする枠組みを設けました。
「匿名加工情報」(保護法2条9項)においては、個人データ等から「個人の特定性を低減したデータ」への加工を、本人の同意の代わりとしております。
ビックデータに関する規律は、プライバシー法制の先進国であるEUなどにもないものであり、日本独特のローカルルールと言えるでしょう。
_
2 定義
(1)匿名加工情報(保護法2条9項、GL(匿名加工情報編)2−1)
「匿名加工情報」とは、次に掲げる個人情報の区分に応じて当該各号に定められる措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元できないようにしたものです。
_
�@個人識別符号以外の個人情報(法2条1項1号)
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
�A個人識別符号(法2条1項2号)が含まれる個人情報
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
_
「個人識別符号以外の個人情報」における「特定の個人を識別することができないように個人情報を加工」とは、特定の個人を識別することができなくなるように当該個人情報に含まれる氏名、生年月日その他の記述等を削除することを意味します。
「個人識別符号が含まれる個人情報」における「特定の個人を識別することができないように個人情報を加工」とは、当該個人情報に含まれる個人識別符号の全部を特定の個人を識別することができなくなるように削除することを意味します(この措置を講じた上で、まだなお個人識別符号以外の個人情報に該当する場合には、同号に該当する個人情報としての加工を行う必要があります。)。
「削除すること」には、「当該一部の記述等」又は「当該個人識別符号」を「復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む」とされています。
「復元することのできる規則性を有しない方法」とは置き換えた記述から、置き換える前の特定の個人を識別することとなる記述等又は個人識別符号の内容を復元することができない方法です。
「特定の個人を識別することができる」とは、情報単体又は複数の情報を組み合わせて保存されているものから社会通念上そのように判断できるものをいい、一般人の判断力又は理解力をもって生存する具体的な人物と情報の間に同一性を認めるに至ることができるかどうかによるものです。匿名加工情報に求められる「特定の個人を識別することができない」という要件は、あらゆる手法によって特定することができないよう技術的側面から全ての可能性を排除することまでを求めるものではなく、少なくとも、一般人及び一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者又は匿名加工情報取扱事業者が通常の方法により特定できないような状態にすることを求めるものです。
「当該個人情報を復元することができないようにしたもの」とは、通常の手法では匿名加工情報から匿名加工情報の作成の元となった個人情報に含まれていた特定の個人を識別することとなる記述等又は個人識別符号の内容を特定すること等により、匿名加工情報を個人情報に戻すことができない状態にすることをいいます。この要件は、あらゆる手法によって復元することができないよう技術的側面から全ての可能性を排除することまでを求めるものではなく、少なくとも、一般人及び一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者又は匿名加工情報取扱事業者が通常の方法により復元できないような状態にすることを求めるものです。
なお、「統計情報」は、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に把握するものです。したがって、統計情報は、特定の個人との対応関係が排斥されている限りにおいては、法における「個人に関する情報」に該当するものではないため、改正前の法においても規制の対象となりません。
また、「安全管理措置の一環として氏名等の一部の個人情報を削除(又は他の記述等に置き換え)した上で引き続き個人情報として取り扱う場合」、「匿名加工情報を作成するために個人情報の作成作業が完了しておらず加工が不十分である可能性がある場合に引き続き個人情報として取り扱う場合」、「統計情報を作成するために個人情報を加工する場合」等については、匿名加工情報を「作成するとき」(改正保護法36条1項)には該当しませんので、匿名加工情報として扱う必要はありません(PC886)。
なお、要配慮個人情報(保護法2条3項)についても特定の個人を識別することができないようにした場合には「匿名加工情報」とすることができます。ただし、数百万人に一人の難病のような特異な情報に該当する場合については、匿名加工基準(下記4(1))に従って排除することになると考えられます。要配慮個人情報から作成した匿名加工情報についても、改正保護法36条から39条の規定に基づき適切に取り扱われる必要があります。
_
(2)匿名加工情報データベース等(保護法2条10項、令案6条)
「匿名加工情報データベース等」とは、これに含まれる匿名加工情報を一定の規則に従って整理することにより特定の匿名加工情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいいます。
「個人情報」における「個人情報データベース等」(保護法)とパラレルの概念です。
「匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの」とは、特定の匿名加工情報をコンピュータを用いて検索することができるように体系的に構成した、匿名加工情報を含む情報の集合物をいいます。また、コンピュータを用いていない場合であっても、紙媒体の匿名加工情報を一定の規則に従って整理・分類し、特定の匿名加工情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものも該当します。
_
(3)匿名加工情報取扱事業者(保護法2条10項)
「匿名加工情報取扱事業者」とは、匿名加工情報データベース等を事業の用に供しているものをいいます。
「個人情報」における「個人情報取扱事業者」とパラレルの概念です。
ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問いません。なお、法人格のない、権利能力のない社団(任意団体)又は個人であっても匿名加工情報データベース等を事業の用に供している場合は匿名加工情報取扱事業者に該当します。
_
3 匿名加工情報における加工の手法例
匿名加工情報の「加工」の例としては以下のものがあります(GB(匿名加工情報編)(別表1)を基に修正)。これらは、匿名加工情報の作成に当たっての一般的な加工手法を例示したものであり、その他の手法を用いて適切に加工することを妨げるものではありません。
_
手法名
解説
項目削除/レコード削除/セル削除
加工対象となる個人情報データベース等に含まれる個人情報の記述等を削除するもの。
例えば、年齢のデータを全ての個人情報から削除すること(項目削除)、特定の個人の情報を全て削除すること(レコード削除)、又は特定の個人の年齢のデータを削除すること(セル削除)。
一般化
加工対象となる情報に含まれる記述等について、上位概念若しくは数値に置き換えること又は数値を四捨五入などして丸めることとするもの。
例えば、『購買履歴のデータで「きゅうり」を「野菜」に置き換えること』や『生年月日を年代に置き換えること』
トップ(ボトム)コーディング
加工対象となる個人情報データベース等に含まれる数値に対して、特に大きい又は小さい数値をまとめることとするもの。
例えば、年齢に関するデータで、80歳以上の数値データを「80歳以上」というデータにまとめること
ミクロアグリゲーション
加工対象となる個人情報データベース等を構成する個人情報をグループ化した後、グループの代表的な記述等に置き換えることとするもの。
データ交換(スワップ)
加工対象となる個人情報データベース等を構成する個人情報相互に含まれる記述等を(確率的に)入れ替えることとするもの。
ノイズ(誤差)の付加
一定の分布に従った乱数的な数値を付加することにより、他の任意の数値へと置き換えることとするもの。
疑似データ生成
人工的な合成データを作成し、これを加工対象となる個人情報データベース等に含ませることとするもの。
_
平成29年2月に「個人情報保護委員会事務局レポート:匿名加工情報〜パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」においては、以下のとおり個人情報の項目と想定されるリスク及び加工例が示されています。
_
〇情報の項目と想定されるリスク及び加工例
項目
想定されるリスク
望ましい加工方法
�@個人属性情報
氏名
それ自体個人を特定できる。
全部削除(項目削除)
生年月日
住所(郵便番号)、性別との組合せにより、個人の特定につながる可能性がある。
・原則として、年か日の何れかを削除する。必要に応じて生年月、年齢、年代等に置き換える。(丸め)
・超高齢であることが分かる生年月日や年齢を削除する。(セル削除/トップコーディング)
性別
住所(郵便番号)、生年月日との組合せにより、個人の特定につながる可能性がある。
他の情報との組合せによって必要がある場合は削除する。(項目削除)
住所
・生年月日、性別との組合せにより、個人の特定につながる可能性がある。
・本人にアクセスすることができる。
・原則として、町名、番地、マンション名等の詳細を削除する。(丸め)
・レコード総数等に応じて、県単位や市町村単位へ置き換える。(丸め)
郵便番号
生年月日、性別等との組合せにより個人の特定に結びつく可能性がある。
下四桁を削除する。(丸め)
マイナンバー
それ自体で個人情報とされている。
(個人識別符号)
全部削除する。(項目削除)
パスポート番号
それ自体で個人情報とされている。
(個人識別符号)
全部削除する。(項目削除)
顔認証データ
それ自体で個人情報とされている。
(個人識別符号)
全部削除する。(項目削除)
固定電話番号
・多くの事業者が収集しており、異なるデータセット間で個人を特定するための識別子として機能し得る。
・本人にアクセスすることができる。
原則として、加入者番号(下4桁)を削除。(丸め)
携帯電話番号
・多くの事業者が収集しており、異なるデータセット間で個人を特定するための識別子として機能し得る。
・本人にアクセスすることができる。
全部削除する。(項目削除)
�@個人属性情報
クレジットカード番号
・多くの事業者が収集しており、異なるデータセット間で個人を特定するための識別子として機能し得る。
・本人に直接被害を与え得る。
全部削除する。(項目削除)
サービスID、アカウントID
多くの事業者で共用されるID の場合は、個人を特定するための識別子として機能する。
全部削除する。(項目削除)
電子メールアドレス
・多くの事業者が収集しており、異なるデータセット間で個人を特定するための識別子として機能し得る。
・本人にアクセスすることができる。
全部削除する。(項目削除)
端末ID
多くの事業者で共用される端末ID の場合は、個人を特定するための識別子として機能する。
全部削除する。(項目削除)
職業
・住所や年収等との組合せにより、個人の特定につながる可能性がある
・勤務先名を職種等のカテゴリーに置き換える。(一般化)
年収
・職業や住所等との組合せにより、個人の特定につながる可能性がある。
・超高年収の場合、それ自体から個人を特定できる可能性がある。
・具体的な年収を収入区分へ置き換える。(丸め)
・超高収入の値を削除する。(セル削除/トップコーディング)
家族構成
・住所等との組合せにより、個人の特定につながる可能性が高くなる。
・具体的な家族人数を人数区分へ置き換える。(丸め)
・詳細な家族構成を世帯構成区分(単身、親子、三世帯等)へ置き換える。(丸め)
�A履歴情報
購買履歴
・購入店舗や購買時刻に関する情報と他のデータセットに含まれる位置情報等との組合せにより、個人の特定につながる可能性がある。
・特異な物品の購買実績と居住エリア等との組合せにより、個人の特定につながる可能性がある。
・購入店舗や購買時刻の詳細な情報を削除する。(丸め)
・特異な購買情報(超高額な利用金額や超高頻度の利用回数等)を削除する。(セル削除/トップコーディング)
乗降履歴
・乗降実績の極めて少ない駅や時間帯の履歴から、個人の特定につながる可能性がある。
・定期区間としての利用が極めて少ない駅の情報から、個人の特定につながる可能性がある。
・利用が極めて少ない駅や時間帯の情報を削除する。時刻情報を時間帯に置き換える。(セル削除/丸め)
・定期区間に極めて少ない利用駅が含まれるものを削除(セル削除)
位置情報(移動履歴)
・夜間や昼間の滞在地点から自宅や勤務先等を推定できる可能性あり。
・詳細な位置情報と時刻情報の組合せが異なるデータセット間で識別子として機能し得る。
・所定エリア内の位置情報が極めて少ない場合に、個人の特定に結びつく可能性がある。
・自宅や勤務地点等の推定につながる始点・終点を削除する。(丸め)
・位置情報若しくは時刻情報の詳細部分を削除する。(丸め)
・位置情報が少ないエリアの値にノイズを加える。(ノイズ付加)
・所定数以上の位置情報になるようエリアを区切る。(丸め)
電力利用履歴
・特異な電力使用量と他の情報との組合せにより、個人の特定につながる可能性がある。
・生活スタイルや家族構成を推定できる可能性がある。
・極めて大きい電力使用量の情報を削除する。(セル削除/トップコーディング)
(出典)個人情報保護委員会「個人情報保護委員会事務局レポート:匿名加工情報〜パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」
4 匿名加工情報の作成者に適用されるルール(保護法36条)
匿名加工情報の作成者には以下のルールが適用されます。
(1)適正加工義務(改正保護法36条1項、規則19条、GL(匿名加工情報編)3−2)
個人情報取扱事業者は、匿名加工情報を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければなりません(保護法36条1項)。
「作成するとき」は、匿名加工情報として取り扱うために、当該匿名加工情報を作成するときのことを指します。したがって、例えば、「安全管理措置の一環として氏名等の一部の個人情報を削除(又は他の記述等に置き換え)した上で引き続き個人情報として取り扱う場合」、あるいは「統計情報を作成するために個人情報を加工する場合」等については、匿名加工情報を「作成するとき」には該当しません。
「個人情報保護委員会規則で定める基準」(いわゆる「匿名加工基準」)については以下のとおり定められています(規則19条各号)。
_
ア 特定の個人を識別することができる記述等の削除(規則19条1号、GL(匿名加工情報編)3−2−1)
個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
_
個人情報取扱事業者が取り扱う個人情報には、一般に、氏名、住所、生年月日、性別の他、様々な個人に関する記述等が含まれています。これらの記述等は、氏名のようにその情報単体で特定の個人を識別することができるもののほか、住所、生年月日など、これらの記述等が合わさることによって特定の個人を識別することができるものもあります。このような特定の個人を識別できる記述等から全部又はその一部を削除するあるいは他の記述等に置き換えることによって、特定の個人を識別することができないよう加工しなければならなりません。
なお、他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法でなければなりません。例えば、生年月日の情報を生年の情報に置き換える場合のように、元の記述等をより抽象的な記述に置き換えることも考えられます。
仮IDを付す場合には、元の記述を復元することのできる規則性を有しない方法でなければなりません。例えば、仮にハッシュ関数等を用いて氏名・住所・連絡先・クレジットカード番号のように個々人に固有の記述等から仮IDを生成しようとする際、元の記述に同じ関数を単純に用いると元となる記述等を復元することができる規則性を有することとなる可能性がある場合には、元の記述(例えば、氏名+連絡先)に乱数等の他の記述を加えた上でハッシュ関数等を用いるなどの手法を検討することが考えられます。なお、同じ乱数等の他の記述等を加えた上でハッシュ関数等を用いるなどの手法を用いる場合には、乱数等の他の記述等を通じて復元することができる規則性を有することとならないように、提供事業者ごとに組み合わせる記述等を変更し、定期的に変更するなどの措置を講ずることが望ましいです。
_
【想定される加工の事例】
事例1)氏名、住所、生年月日が含まれる個人情報を加工する場合に次の1から3までの措置を講ずる。
1)氏名を削除する。
2)住所を削除する。又は、○○県△△市に置き換える。
3)生年月日を削除する。又は、日を削除し、生年月に置き換える。
事例2)会員ID、氏名、住所、電話番号が含まれる個人情報を加工する場合に次の1、2の措置を講ずる。
1)会員ID、氏名、電話番号を削除する。
2)住所を削除する。又は、○○県△△市に置き換える。
_
イ 個人識別符号の削除(規則19条2号、GL(匿名加工情報編)3−2−2)
個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。(同条2号)
加工対象となる個人情報が、個人識別符号を含む情報であるときは、当該個人識別符号単体で特定の個人を識別できるため、当該個人識別符号の全部を削除又は他の記述等へ置き換えて、特定の個人を識別できないようにしなければなりません。
なお、他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法による必要があります。
_
ウ 情報を相互に連結する符号の削除(規則19条3号、GL(匿名加工情報編)3−2−3)
個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。
個人情報取扱事業者が個人情報を取り扱う上で、例えば、安全管理の観点から取得した個人情報を分散管理等しようとするために、当該個人情報を分割あるいは全部又は一部を複製等した上で、当該個人情報に措置を講じて得られる情報を個人情報と相互に連結するための符号としてID等を付していることがあります。このようなIDは、個人情報と当該個人情報に措置を講じて得られる情報を連結するために用いられるものであり、特定の個人の識別又は元の個人情報の復元につながり得ることから、加工対象となる個人情報から削除又は他の符号への置き換えを行わなければならりません。
個人情報と当該個人情報に措置を講じて得られる情報を連結する符号のうち、「現に個人情報取扱事業者において取り扱う情報を相互に連結する符号」がここでの加工対象となります(「現に個人情報取扱事業者において取り扱う情報」とは、匿名加工情報を作成する時点において取り扱われている情報のことを指し、これから作成する匿名加工情報は含まれません。)。具体的には、ここで対象となる符号は、匿名加工情報を作成しようとする時点において、実際に取り扱う情報を相互に連結するように利用されているものが該当します。例えば、分散管理のためのIDとして実際に使われているものであれば、管理用に附番されたIDあるいは電話番号等もこれに該当します。
なお、他の符号に置き換える場合は、元の符号を復元できる規則性を有しない方法でなければなりません。
【想定される加工の事例】
事例1)サービス会員の情報について、氏名等の基本的な情報と購買履歴を分散管理し、それらを管理用IDを付すことにより連結している場合、その管理用IDを削除する。
事例2)委託先へ個人情報の一部を提供する際に利用するために、管理用IDを付すことにより元の個人情報と提供用に作成した情報を連結している場合、当該管理用IDを仮ID(※)に置き換える。
(※)仮IDを付す際の注意点については、上記ア(特定の個人を識別することができる記述等の削除)を参照のこと。
_
エ 特異な記述の削除(規則19条4号、GL(匿名加工情報編)3−2−4)
特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
一般的にみて、珍しい事実に関する記述等又は他の個人と著しい差異が認められる記述等については、特定の個人の識別又は元の個人情報の復元につながるおそれがあるものです。そのため、匿名加工情報を作成するに当たっては、特異な記述等について削除又は他の記述等への置き換えを行わなければなりません。
ここでいう「特異な記述等」とは、特異であるがために特定の個人を識別できる記述等に至り得るものを指すものであり、他の個人と異なるものであっても特定の個人の識別にはつながり得ないものは該当しません。実際にどのような記述等が特異であるかどうかは、情報の性質等を勘案して、個別の事例ごとに客観的に判断する必要があります。
他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法による必要があります。例えば、特異な記述等をより一般的な記述等に置き換える方法もあり得ます。
なお、規則19条4号の対象には、一般的なあらゆる場面において特異であると社会通念上認められる記述等が該当します。他方、加工対象となる個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等とで著しい差異がある場合など個人情報データベース等の性質によるものは同第5号において必要な措置が求められます。
要配慮個人情報(法2条3項)も特定の個人を識別することができないようにした場合には匿名加工情報とすることができますが、例えば、数百万人に一人の難病のような特異な情報に該当する場合については、本号に基づいて排除することになると考えられます。
【想定される加工の事例】
事例1)症例数の極めて少ない病歴を削除する。
事例2)年齢が「116歳」という情報を「90歳以上」に置き換える。
_
オ 個人情報データベース等の性質を踏まえたその他の措置(規則19条5号、GL(匿名加工情報編)3-2-5)
個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。
匿名加工情報を作成する際には、規則第19条第1号から第4号までの措置をまず講ずることで、特定の個人を識別できず、かつ当該個人情報に復元できないものとする必要があります。
しかしながら、加工対象となる個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等とで著しい差異がある場合など、加工の元となる個人情報データベース等の性質によっては、規則第19条第1号から第4号までの加工を施した情報であっても、一般的にみて、特定の個人を識別することが可能である状態あるいは元の個人情報を復元できる状態のままであるといえる場合もあり得ます。そのような場合に対応するため、上記の措置のほかに必要となる措置がないかどうか勘案し、必要に応じて、上記3(匿名加工情報の加工に係る手法例)の手法などにより、適切な措置を講じなければなりません。
なお、加工対象となる個人情報データベース等の性質によって加工の対象及び加工の程度は変わり得るため、どの情報をどの程度加工する必要があるかは、加工対象となる個人情報データベース等の性質も勘案して個別具体的に判断する必要があります。
特に、購買履歴、位置に関する情報などを含む個人情報データベース等において反復して行われる行動に関する情報が含まれる場合には、これが蓄積されることにより、個人の行動習慣が分かるような場合があり得ます。そのような情報のうち、その情報単体では特定の個人が識別できるとは言えないものであっても、蓄積されたこと等によって特定の個人の識別又は元の個人情報の復元につながるおそれがある部分については、適切な加工を行わなければなりません。
【想定される加工の事例】
事例1)移動履歴を含む個人情報データベース等を加工の対象とする場合において、自宅や職場などの所在が推定できる位置情報(経度・緯度情報)が含まれており、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、推定につながり得る所定範囲の位置情報を削除する。(項目削除/レコード削除/セル削除)
事例2)ある小売店の購買履歴を含む個人情報データベース等を加工の対象とする場合において、当該小売店での購入者が極めて限定されている商品の購買履歴が含まれており、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、具体的な商品情報(品番・色)を一般的な商品カテゴリーに置き換える。(一般化)
事例3)小学校の身体検査の情報を含む個人情報データベース等を加工の対象とする場合において、ある児童の身長が170�Bという他の児童と比べて差異が大きい情報があり、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、身長が150cm以上の情報について「150�B以上」という情報に置き換える。(トップコーディング)
_
オ 適正加工義務に関するQ&A
適正加工基準に従い加工が行われていない場合は、匿名加工情報に該当しないと考えられます。(Q&A11-4)
匿名加工情報を作成するためには、法36 条1項に基づき、施行規則19 条各号で定める基準に従い加工する必要がありますが、各号に定める措置を選択的に講ずればよいものではなく、各号全ての措置を行う必要があります(ただし、該当する情報がない場合は当該措置を講じる必要はない)。なお、プライバシー保護等の観点から追加的に措置を講じていただくことを妨げるものではありません。(Q&A11-5)
匿名加工情報は個人情報を加工して作成するものであり、匿名加工情報を再加工することは新たな別の匿名加工情報の作成には当たるものではないと考えられます。なお、一般的には、加工をした情報と元の匿名加工情報との対応関係が一定程度認められる場合には、同一の匿名加工情報として扱うことが適当であると考えられます。また、匿名加工情報としての取扱いが引き続き求められる場合には、第三者への提供時には当該匿名加工情報に含まれる個人に関する情報の項目及び提供方法を公表する必要があります。(Q&A11-6)
法2条3項に定める要配慮個人情報を含む個人情報を加工して匿名加工情報を作成することも可能です。(Q&A11-7)
氏名のようにそれ単体で特定の個人を識別できるものについては措置が必要となりますが、住所、年齢、性別などのその組合せにより特定の個人を識別できるような記述については、その一部を削除等することにより特定の個人を識別できないようにすることも可能であると考えられます。(Q&A11-8)
氏名と仮ID 等の対応表は加工方法等情報に該当すると考えられます。したがって、当該対応表の破棄までは求められないが、加工方法等情報として施行規則第20 条各号の基準に従って安全管理措置を講ずる必要があります。また、匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、他の情報と照合してはならないとされていることから、当該目的で対応表を利用することはできませんが、匿名加工情報の安全性の検証作業などで利用することもあり得ると考えられます。(Q&A11-10)
_
(2)加工方法等情報に係る安全管理措置(改正保護法36条2項、規則20条、GL(匿名加工情報編)3-3-1)
個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに上記(1)により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければなりません(保護法36条2項)。
「個人情報保護委員会規則で定める基準」については以下のとおり定められています(規則20条)。
�@加工方法等情報(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)をいう。)を取り扱う者の権限及び責任を明確に定めること。
�A加工方法等情報の取扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること。
�B加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置を講ずること。
_
「加工方法等情報」とは、匿名加工情報の作成に用いられた個人情報から削除した記述等及び個人識別符号並びに加工方法のこと(その情報を用いて当該個人情報を復元することができるものに限る。)です。
「その情報を用いて当該個人情報を復元することができるもの」には、例えば、氏名等を仮IDに置き換えた場合における置き換えアルゴリズムに用いられる乱数等のパラメータ又は氏名と仮IDの対応表等のような加工の方法に関する情報が該当し、「年齢のデータを10歳刻みのデータに置き換えた」というような復元につながらない情報は該当しません。
個人情報取扱事業者は、匿名加工情報を作成したときは、3つの安全管理措置を講ずることが求められます。
まず、加工方法等情報を取り扱う者の権限及び責任を明確に定めることです(�@)。これは、個人情報取扱規程等の社内規程の中で加工方法等情報を取り扱う者を定め、その権限と責任を規定することになります。
次に、加工方法等情報の取扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずることです(�A)。加工方法等情報に係る安全管理措置についてPDCAサイクルで管理することを求めております。
1 個人情報取扱規程等の社内規程の中で加工方法等情報の取扱いについて規定化する(Plan)。
2 その社内規程に基づき加工方法等情報を適切に取り扱う(Do)。
3 その取扱いの状況について検証・監査により評価を行う(Check)。
4 その結果に基づき改善する(See)。
_
さらに、加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置を講ずることが求められます(�B)。
これらの安全管理措置の内容は、対象となる加工方法等情報が漏えいした場合における復元リスクの大きさを考慮し、当該加工方法等情報の量、性質等に応じた内容としなければなりませんが、具体的に講じなければならない項目及び具体例については、下記表(加工方法等情報の安全管理で求められる措置の具体例)をご参照ください(GL(匿名加工情報編)3-3-1(別表2))。
_
講じなければならない措置
具体例
�@加工方法等情報を取り扱う者の権限及び責任の明確化
(規則20条1号)
・加工方法等情報の安全管理措置を講ずるための組織体制の整備
�A加工方法等情報の取扱いに関する規程類の整備及び当該規程類に従った加工方法等情報の適切な取扱い並びに加工方法等情報の取扱状況の評価及びその結果に基づき改善を図るために必要な措置の実施
(規則20条2号)
・加工方法等情報の取扱いに係る規程等の整備とこれに従った運用
・従業員の教育
・加工方法等情報の取扱状況を確認する手段の整備
・加工情報等情報の取扱状況の把握、安全管理措置の評価、見直し及び改善
�B加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置
(規則20条3号)
・加工方法等情報を取り扱う権限を有しない者による閲覧等の防止
・機器、電子媒体等の盗難等の防止
・電子媒体等を持ち運ぶ場合の漏えい等の防止
・加工方法等情報の削除並びに機器、電子媒体等の廃棄
・加工方法等情報へのアクセス制御
・加工方法等情報へのアクセス者の識別と認証
・外部からの不正アクセス等の防止
・情報システムの使用に伴う加工方法等情報の漏えい等の防止
_
安全管理措置については、個人情報保護委員会が定める個人情報保護ガイドラインにおいて、規則で定める事項の解説や、講ずべき措置の例示等を記載されています。また、個人情報保護委員会は、実際に匿名加工情報を活用したいと考えている事業者が円滑に制度を利用できるよう平成29年2月に「個人情報保護委員会事務局レポート:匿名加工情報〜パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」を公表しました。
_
(3)匿名加工情報の作成時の公表(改正保護法36条3項、規則21条、GL(匿名加工情報編)3-2)
個人情報取扱事業者は、匿名加工情報を作成したとき、遅滞なく、インターネットの利用その他の適切な方法により、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければなりません(規則21条1項)。
この公表を確認することにより、本人は、自分の個人情報を取り扱っている個人情報取扱事業者が匿名加工情報を作成しているか、及び適正な加工を行っているか確認する端緒となります。
「匿名加工情報を作成したとき」とは、匿名加工情報として取り扱うために、個人情報を加工する作業が完了した場合のことを意味します。すなわち、あくまで個人情報の安全管理措置の一環として一部の情報を削除しあるいは分割して保存・管理する等の加工をする場合又は個人情報から統計情報を作成するために個人情報を加工する場合等を含むものではありません。また、匿名加工情報を作成するために個人情報の加工をする作業を行っている途上であるものの作成作業が完了していない場合には、加工が不十分であること等から匿名加工情報として取り扱うことが適切ではない可能性もあるため「匿名加工情報を作成したとき」とは位置付けられません。
「公表」とは、広く一般に自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいいます。
「遅滞なく」とは、正当かつ合理的な期間であれば公表が匿名加工情報を作成した直後でなくても認められることを意味します。ただし、少なくとも匿名加工情報の利用又は第三者提供をする前に匿名加工情報を作成したことを一般に十分に知らせるに足る期間を確保するものでなければなりません。許容される具体的な期間は、業種及びビジネスの態様によっても異なり得るため、個別具体的に判断する必要があります。
「個人に関する情報の項目」が同じである匿名加工情報を同じ手法により反復・継続的に作成する場合には、最初の匿名加工情報を作成して個人に関する項目を公表する際に、作成期間又は継続的な作成を予定している旨を明記するなど継続的に作成されることとなる旨を明らかにしておくことにより、その後に作成される匿名加工情報に係る公表については先の公表により行われたものと解されます。
なお、他の個人情報取扱事業者との委託契約により個人データの提供を受けて匿名加工情報を作成する場合など委託により匿名加工情報を作成する場合は、委託元において当該匿名加工情報に含まれる個人に関する情報の項目を公表するものとします。この場合は、委託元の個人情報取扱事業者による公表により委託先の個人情報取扱事業者が当該公表をしたものとみなされます(規則21条2項)。
【個人に関する情報の項目の事例】
事例)「氏名・性別・生年月日・購買履歴」のうち、氏名を削除した上で、生年月日の一般化、購買履歴から特異値等を削除する等加工して、「性別・生年・購買履歴」に関する匿名加工情報として作成した場合の公表項目は、「性別」、「生年」、「購買履歴」である。
_
匿名加工情報に含まれる個人に関する情報の項目の公表は、「作成したとき」又は「提供したとき」に行うことが求められるものであり、実際に匿名加工情報に含まれる個人に関する情報の項目が分かるようにする必要があります。したがって、事前にプライバシーポリシーに包括的な記載を掲載するだけでは当該義務を履行したものとは考えられません。(Q&A 11-14)
匿名加工情報に購買履歴が含まれる場合において、当該匿名加工情報の作成時の公表や第三者提供時の公表については、具体的な商品名の公表まで必要はなく、ガイドライン(匿名加工情報編)3−4、3−5にあるように、「購買履歴」等の情報の項目を公表することで足ります。(Q&A11-15)
法36 条3項においては、匿名加工情報を作成したときは、個人に関する情報の項目を公表しなければならないとされていますが、利用目的の公表は求められていません。(Q&A11-16)
_
(4)匿名加工情報の第三者提供時の公表・明示義務(改正保護法36条4項、規則22条、GL(匿名加工情報編)3-5)
ア 第三者提供時の公表
個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、インターネットの利用その他の適切な方法により、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表しなければなりません。
これにより、�@本人との関係で透明性を担保し、本人が苦情を申し出る等の本人関与の機会を提供するとともに、�A個人情報保護委員会が違反を捉えて適切な監督を行う端緒となります。
「提供」とは、匿名加工情報を第三者が利用可能な状態に置くことをいう。匿名加工情報が物理的に提供されていない場合であっても、ネットワーク等を利用することにより、第三者が匿名加工情報を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たります。
「あらかじめ」の期間については、匿名加工情報を第三者に提供することを一般に十分に知らせるに足る期間を確保するものでなければなりません。具体的な期間については、業種及びビジネスの様態によっても異なり得るため、個別具体的に判断する必要があります。
「公表」とは、広く一般に自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいいます。
【公表項目】
(1)第三者に提供する匿名加工情報に含まれる個人に関する情報の項目
事例)「氏名・性別・生年月日・購買履歴」のうち、氏名を削除した上で、生年月日の一般化、購買履歴から特異値等を削除する等加工して、「性別・生年・購買履歴」に関する匿名加工情報として作成して第三者提供する場合の公表項目は、「性別」、「生年」、「購買履歴」である。
(2)匿名加工情報の提供の方法
事例1)ハードコピーを郵送
事例2)第三者が匿名加工情報を利用できるようサーバにアップロード
_
個人に関する情報の項目及び加工方法が同じである匿名加工情報を反復・継続的に第三者へ同じ方法により提供する場合には、最初に匿名加工情報を第三者提供するときに個人に関する項目を公表する際に、提供期間又は継続的な提供を予定している旨を明記するなど継続的に提供されることとなる旨を明らかにしておくことにより、その後に第三者に提供される匿名加工情報に係る公表については先の公表により行われたものと解されます。
なお、匿名加工情報をインターネット等で公開する行為についても不特定多数への第三者提供に当たるため、上記義務を履行する必要があります。
法第36 条第4項及び第37 条における第三者提供時の公表に関しては、提供先名及び利用目的の公表は求められていません。(Q&A11-17)
匿名加工情報の作成時の公表については、匿名加工情報を作成した後、遅滞なく行うこととされており、また第三者提供時の公表については提供に当たってあらかじめ公表することとされています。したがって、個人情報取扱事業者が、匿名加工情報を第三者に提供することを前提として当該情報を作成し直ちに第三者提供をしようとする場合には、匿名加工情報の作成時の公表と第三者提供時の公表が結果的に同時に行われる場合もあり得ると考えられます。(Q&A11-18)
個人情報を提供して匿名加工情報の作成を委託した場合には、匿名加工情報の作成は委託先事業者において行われることになりますが、匿名加工情報の作成は委託元事業者と委託先事業者が共同で行っているものと解されるので、法第36 条の規定は委託元事業者と委託先事業者の双方に課せられると考えられます。ただし、匿名加工情報の作成時の公表については、施行規則第21 条第2項により委託元事業者において行うものとされ、委託先においての公表は必要ありません。(Q&A11-19)
_
イ 第三者提供時の明示
個人情報取扱事業者は、作成した匿名加工情報を第三者に提供するときは、当該第三者に対して、電子メールを送信する方法又は書面を交付する方法その他の適切な方法により、当該提供に係る情報が匿名加工情報である旨を明示しなければなりません。
これにより、当該第三者に匿名加工情報取扱事業者として識別行為の禁止(保護法38条)等の匿名加工情報を取り扱うにあたっての義務を履行することを認識させることになります。
「明示」とは、第三者に対し、提供する情報が匿名加工情報であることを明確に示すことをいいます。明示の方法については、事業の性質、匿名加工情報の取扱状況等に応じ、電子メールを送信する方法又は書面を交付する方法など適切な方法により、その内容が当該第三者に認識されるものである必要があります。
_
(5)識別行為の禁止(保護法36条5項、GL(匿名加工情報編)3-6)
個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならないこととされています。
この識別行為の禁止義務は、匿名加工情報を作成した個人情報取扱事業者自体が、保護法36条各号の義務を遵守することにより、自ら本人の同意なく、自由に作成した匿名加工情報(ビックデータ)を利用できることを前提としています。
匿名加工情報を作成した事業者は、その作成に用いた個人情報を保有しており、「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」(保護法2条1項1号)のではないかと懸念されます。そこで、識別行為の禁止義務(保護法36条5項)により、作成の元になった個人情報に戻すことを禁止しています。
なお、匿名加工情報を作成した個人情報取扱事業者は、作成の元になった個人情報と作成した匿名加工情報を照合することは禁止されていますが、「匿名加工情報を作成する際に個人情報から削除した記述等又は個人識別符号」を保有し続けることは許容されています。
「他の情報」に限定はなく、本人を識別する目的をもって行う行為であれば、個人情報及び匿名加工情報を含む情報全般と照合する行為が禁止されます。また、具体的にどのような技術又は手法を用いて照合するかは問いません。
匿名加工情報を個人情報として利用目的の範囲内で取り扱う場合には、照合は禁止されません。
_
【識別行為に当たらない取扱いの事例】
事例1)複数の匿名加工情報を組み合わせて統計情報を作成すること。
事例2)匿名加工情報を個人と関係のない情報(例:気象情報、交通情報、金融商品等の取引高)とともに傾向を統計的に分析すること。
【識別行為に当たる取扱いの事例】
事例1)保有する個人情報と匿名加工情報について、共通する記述等を選別してこれらを照合すること。
事例2)自ら作成した匿名加工情報を、当該匿名加工情報の作成の元となった個人情報と照合すること。
_
法36 条5項又は38 条に定めるように、(匿名加工情報を取り扱っていたところ、偶然に当該匿名加工情報の作成の元となった個人情報の本人を識別してしまった場合など)匿名加工情報の作成の元となった個人情報の本人を識別するために他の情報と照合しているとはいえない場合は、直ちに識別行為の禁止義務に違反するものではないと考えられます。もっとも、取り扱う匿名加工情報に記述等を付加して特定の個人を識別する状態となった場合には、個人情報の不適正な取得となるので、当該情報を速やかに削除することが望ましいと考えられます。(Q&A 11-21)
匿名加工情報に関しては、法第36 条第5項及び第38 条において、元となった個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならないとされている。匿名加工情報や加工に関する方法の安全性の検証のために他の情報と照合する行為は「当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために・・・照合」という要件に該当するかどうかという観点から個別に判断されるべきものと考えられますが、仮にこの要件に該当しない範囲において法第36 条第6項に定める匿名加工情報の安全管理措置の一環等で適切に行われる場合があれば同項に違反しないものとなり得ると考えられます。(Q&A 11-22)
_
(6)匿名加工情報の安全管理措置等(保護法36条6項、GL(匿名加工情報編)3-3-2)
個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければなりません。
当該安全管理等の措置については、個人情報と同様の取扱いを求めるものではありませんが、例えば、法20条から22条までに定める個人データの安全管理、従業者の監督及び委託先の監督並びに法35条に定める個人情報の取扱いに関する苦情の処理で求められる措置の例を参考にすることも考えられます。具体的には、事業の性質、匿名加工情報の取扱状況、取り扱う匿名加工情報の性質、量等に応じて、合理的かつ適切な措置を講ずることが望ましいです。
なお、匿名加工情報には識別行為の禁止義務が課されている(上記(5)参照)ことから、匿名加工情報を取り扱うに当たっては、それを取り扱う者が不適正な取扱いをすることがないよう、匿名加工情報に該当することを明確に認識できるようにしておくことが重要です。そのため、作成した匿名加工情報について、匿名加工情報を取り扱う者にとってその情報が匿名加工情報である旨が一見して明らかな状態にしておくことが望ましいです。
_
5 匿名加工情報の提供を受けた匿名加工情報取扱事業者に適用されるルール
匿名加工情報取扱事業者は、自ら個人情報を作成したもの以外の匿名加工情報(すなわち、第三者提供を受けた匿名加工情報)について以下の義務を負います(保護法37条〜39条)。
_
(1)匿名加工情報の第三者提供時の公表・明示義務(改正保護法37条、規則23条、GL(匿名加工情報編)3-5)
匿名加工情報取扱事業者は、匿名加工情報を第三者に提供するときは、インターネットの利用その他の適切な方法により、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表しなければなりません。
また、当該第三者に対して、電子メールを送信する方法又は書面を交付する方法その他の適切な方法により、当該提供に係る情報が匿名加工情報である旨を明示しなければなりません。
これは、匿名加工情報を作成した個人情報取扱事業者が当該匿名加工情報を第三者提供をする時の公表・明示義務(改正保護法36条4項、規則22条)と同じ内容です(上記4(4)参照)。
_
(2)識別行為の禁止(改正保護法38条、GL(匿名加工情報編)3-6)
匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは匿名加工情報の作成において行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはなりません。
上記4(5)の匿名加工情報を作成した個人情報取扱事業者に課される識別行為の禁止義務と比較すると、「当該個人情報から削除された記述等若しくは個人識別符号若しくは匿名加工情報の作成において行われた加工の方法に関する情報を取得」することが禁止されている点が厳しいものです。
_
(3)匿名加工情報の安全管理措置等(改正保護法39条、GL(匿名加工情報編)3-3-2)
匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければなりません。
これは、上記4(6)の匿名加工情報を作成した個人情報取扱事業者に課される義務と同一です。
渡邉雅之弁護士が執筆した『特定複合観光施設区域整備推進会議の取りまとめについて(4・完)』が商事法務ポータルに掲載されました。
2017/08/29
渡邉雅之弁護士が執筆した『特定複合観光施設区域整備推進会議の取りまとめについて(4・完)』が商事法務ポータルに掲載されました。
『特定複合観光施設区域整備推進会議の取りまとめについて(3)』
『特定複合観光施設区域整備推進会議の取りまとめについて(2)』
『特定複合観光施設区域整備推進会議の取りまとめについて(1)』
匿名加工情報への対応(第1回):匿名化された個人情報の取扱いについて
2017/08/28
【執筆者:渡邉雅之】
本連載では、2017年5月30日に施行された個人情報保護法の改正のうち、匿名加工情報の取扱いについて説明いたします。
第1回では、匿名化された個人情報の取扱いについて解説いたします。
*「個人情報保護法・マイナンバー法対応規程集」もご覧ください。
1 個人情報の匿名化に関する従来の考え方
個人情報の保護に関する法律(以下「個人情報保護法」又は「法」といいます。)の全面改正が、平成29年5月30日に施行されました。
この改正において、事業者にとって最も影響があると考えられるのは、個人情報の匿名化に関する扱いの変更です。これは下記3で説明するとおり、解釈上の変更(あるいは明確化)によるものですが、匿名加工情報の規律の導入に伴い、事業者を最も悩ませている問題です。
A社が保有する個人データ(個人情報)から特定の個人を識別することができる氏名や住所等の情報を削除した上で、B社に提供した場合、当該匿名化された情報は個人情報に該当するでしょうか。
もし、A社が個人情報を匿名化しても依然として個人情報に該当するのであれば、B社への提供は個人データの第三者提供に該当し、当該個人情報に係る本人の同意を得る(法23条1項)か、または、オプトアウト手続(同条2項)に基づき提供をする必要があります。
「個人情報」とは、�@生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)及び�A個人識別符号をいいます(個人情報保護法2条1項)。
個人情報の匿名化においては、このうち、上記�@の「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」(いわゆる「容易照合性」)かどうかが問題となります。
この容易照合性があるか否かについては、匿名化された個人情報の提供元において判断する「提供元判断説」と提供先において「提供先判断説」という2つの考え方があります。
「提供元判断説」においては、容易照合性があるか否かについて提供元で判断されます。上記の具体例においては、A社(提供元)において容易に照合できる限りは、A社による匿名化された情報の提供は「個人データ(個人情報)」の提供に該当し、匿名化された情報に係る本人の同意を取得するか、または、オプトアウト手続により提供する必要があります。
他方、「提供先判断説」においては、容易照合性は提供先で判断されます。B社(提供先)において容易に照合できない限りは、A社による情報提供は、「個人データ(個人情報)」の提供には該当せず、匿名化された情報に係る本人の同意の取得、または、オプトアウト手続による提供は不要になります。
今般の個人情報保護法の全面改正前までは、どちらかというと「提供先判断説」が有力な考え方でした。
たとえば、岡村久道弁護士の「個人情報保護法(新訂版)」(商事法務・2009年)76頁においては、「Aにとって識別性を具備する情報を、これを具備しないBに提供する場合には、第三者提供の制限(法23条1項)違反とならないものと考えるべきである。Bにとどまらず通常人からみても誰の情報なのか識別できない以上、その提供によって、本法が想定する権利利益侵害のおそれが通常発生すると認められないからである。また、かく解さなければ、本人の権利利益を図るため、特定の個人を識別しうる部分を番号・符号に置き換える方法を用いて匿名化したデータを第三者に提供することすら許容されなくなりかねない。」とされています。
2 改正前にも行われていた提供元判断説に基づく実務
もっとも、改正前においても「提供元判断説」に基づく取扱いの実務がありました。
平成25年6月、東日本旅客株式会社(以下「JR東日本」といいます。)は、Suicaの購買履歴のデータから氏名、電話番号、物販情報等を除外し、生年月日を生年月に変換した上、さらに、SuicaID 番号を不可逆の別異の番号に変換したデータを株式会社日立製作所に提供(提供は7月に実施)することが明らかになり、多くの利用者から、個人情報の保護、プライバシーの保護や消費者意識に対する配慮に欠けているのではないかとして批判や不安視する声があがりました。
この事件の後、JR東日本は、Suicaの購買履歴データの第三者提供について、オプトアウト手続を設けましたが、これはJR東日本内部では依然として容易照合性があり個人情報(個人データ)に該当することを前提としたもの、すなわち、「提供元判断説」に基づく取扱いをしたものとも考えられます。
3 提供元判断説に立つ重要なパブリックコメント回答
個人情報保護法の全面改正にかかる法令やガイドラインにおいては、容易照合性について「提供元判断説」、「提供先判断説」のいずれに立つのかは明らかにされていません。
しかしながら、ガイドラインのパブリックコメント回答において、『ある情報を第三者に提供する場合、当該情報が(個人情報の定義の一つである)「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかで判断します。』(『「個人情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意見募集結果』19番参照)とされ、「提供元判断説」によることが明らかにされました。
4 提供元判断説の実務上の影響
(1)匿名化情報しても個人情報
「提供元判断説」に立つことによる実務上の最大の影響は、個人情報を匿名化しても提供元においては依然として容易照合性が認められる限り、個人データ(個人情報)として扱わなければならないということです。
個人データとして扱われる限り、安全管理措置を講じなければならないし、第三者提供については本人の同意を得るか、または、オプトアウト手続によらなければなりません。
特に、本人の同意が必要ということは、匿名化した情報の第三者提供にとって大きな支障となります。また、個人情報保護法の全面改正により、個人情報保護委員会への届出などオプトアウト手続が厳格化するので安易にこれによるわけにはいきません。
そこで、第三者提供に本人の同意が不要である匿名加工情報の規律によることになりますが、匿名加工情報以外の情報(非個人情報)として本人の同意なく第三者提供ができないかについては下記6において検討します。
(2)解釈により受領者に確認・記録義務が適用されない場合
個人情報保護法の改正により、個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、確認及び記録を行い、記録を一定期間保存しなければなりません(法26条)。
匿名化された情報が提供元において容易照合性がある限りは、当該情報の受領者は個人データを受領したことになるので、確認義務及び記録の作成・保存義務を負うことになりそうです。しかしながら、提供先においては特定の個人を識別できないにもかかわらずかかる義務を負わせるのは無理があります。記録事項の一つとして、「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」を記録することとされているが、匿名化された情報についてはこれができません。
「個人情報の保護に関する法律ついてガイドラン( 第三者提供時の確認・記録義務 編)」においては、このような問題点を考慮し、「受領者にとって「個人情報」に該当しない場合」には、解釈により受領者に確認・記録義務が適用されないこととしております(同ガイドライン2−2−2)。具体的な事例としては、「提供者が氏名を削除するなどして個人を特定できないようにした個人データの提供を受けた場合」や「提供者で管理しているID番号のみが付された個人データの提供を受けた場合」が掲げられています。
(3)外国にある第三者への匿名化情報の委託
個人情報保護法の改正により、個人情報取扱事業者が外国にある第三者に個人データを提供する場合は、法23条(第三者提供の制限)ではなく、法24条(外国にある第三者への提供の制限)が適用されることになります。これに伴い、外国にある第三者が「個人データの取扱いの委託先」の場合には、第三者に該当せず本人の同意が不要(法23条5項1号)という例外が使えなくなります。
では、個人データを匿名化した上で外国にある第三者に委託した場合は個人データの提供ではなく、法24条は適用されないことになるでしょうか。
この点については、個人情報保護委員会の『「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A』(以下「委員会Q&A」といいます。)において以下のとおり記載されています。
Q9−11 外国にある第三者に対して、氏名を削除するなどして個人を特定できないようにして当該者にとっては個人情報に該当しないデータの取扱いを委託し、当該者が 個人情報に復元することがないような場合においても、法第24 条は適用されますか。
A9−11 法第24 条は適用されます。受領者たる「外国にある第三者」にとって個人情報 に該当しないデータを提供する場合において、当該者が個人情報を復元することがない こととなっているときは、結果として、施行規則第11 条で定める基準に適合する体制を整備しているものと解されます。ただし、この場合であっても、委託者たる個人情報取扱 事業者は法第22 条に基づき委託先に対する監督義務があることに留意が必要です。
この回答は、容易照合性について「提供元判断説」を取ることが前提としたものです。匿名化をしても委託元では容易照合性があり、個人データに該当することを前提とした回答です。
もっとも、この回答では、個人情報保護法施行規則11条で定める基準に適合する体制整備がなされているとみなされることにより、法24条ではなく法23条が適用されることになり、「個人データの取扱いの委託」(法23条5項1号)が適用され、結論的には本人の同意なく提供が可能となります。
5 匿名加工情報の取扱い
匿名化した情報の第三者提供については、個人データ(個人情報)としての扱いを受けると、上記で説明したとおり、匿名化した情報に係る本人の同意を得るか、または、オプトアウト手続によらなければならなくなります。
このような場合、匿名加工情報の規律に従えば本人の同意やオプトアウト手続による必要はなくなります。
(1)匿名加工情報の定義_______________________________________________
「匿名加工情報」とは、次に掲げる個人情報の区分に応じて当該各号に定められる措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元できないようにしたものです。
_
�@個人識別符号以外の個人情報(法2条1項1号)
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
�A個人識別符号(法2条1項2号)が含まれる個人情報____
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
_
(2)匿名加工情報の規律
匿名加工情報については、作成者である個人情報取扱事業者に対して、�@適正加工義務、�A加工方法等情報について安全管理措置、�B作成した匿名加工情報に関する公表義務、�C自ら取り扱う場合の識別行為の禁止、�D匿名加工情報の安全管理措置等(努力義務)が課されますが、匿名加工情報の第三者提供には本人の同意が必要ありません。その代わり、�E匿名加工情報を第三者提供することを明示・公表する義務があります。(法36条)
匿名加工情報の提供を受けた匿名加工情報取扱事業者は、(a)識別行為の禁止(法38条)、(b)匿名加工情報の安全管理措置等(努力義務)(法39条)を負いますが、匿名加工情報の第三者提供については本人の同意は必要ありません。その代わりに(c) 匿名加工情報を第三者提供することを明示・公表する義務があります(法37条)。
(3)容易照合性と匿名加工情報
容易照合性と匿名加工情報の関係については、『個人情報保護委員会事務局レポート:匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて』(以下「委員会レポート」といいます。)において、以下のとおり記載されています(下線は筆者によるもの)。
匿名加工情報は、特定の個人を識別することができず、作成の元となった個人情報を復元することができないように加工したものであり、さらに、個人情報に係る本人を識別することを禁止する等の制度的な担保がなされていることから、作成の元となった個人情報を通常の業務における一般的な方法で照合することができる状態にある(すなわち容易照合性がある)とはいえず、個人情報に該当しないとされるものである。(同レポート14頁)
6 個人情報・匿名加工情報以外の扱い
(1)匿名加工情報として扱わなくてもよい場合
「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」においては、以下の場合は匿名加工情報を「作成するとき」(改正保護法36条1項)には該当しないので、匿名加工情報として扱う必要はないとしています(同ガイドライン2−1)。
�@_____ 安全管理措置の一環として氏名等の一部の個人情報を削除(又は他の記述等に置き換え)した上で引き続き個人情報として取り扱う場合
�A_____ 匿名加工情報を作成するために個人情報の作成作業が完了しておらず加工が不十分である可能性がある場合に引き続き個人情報として取り扱う場合
�B_____ 統計情報を作成するために個人情報を加工する場合
このうち、上記�Aは、匿名加工情報の作成過程のものを引き続き個人情報として取り扱うというものであるので、極めて例外的な場合の取扱いです。
このガイドラインでは、匿名化情報について匿名加工情報として扱わなくてよいのは、「�@個人情報」か「�B統計情報」として取り扱う場合であるとしているように読めます。
(2)統計情報
上記(1)のガイドラインにおいて、「統計情報」とは、「複数人の情報から共通要素に 係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に把握するもの」と定義されています。
統計情報に該当する場合には、個人データ(個人情報)および匿名加工情報の規律のいずれの適用も受けないことになります。また、個人データや匿名加工情報としての安全管理措置も不要となります。また、本人の同意なく第三者提供も可能となります。
ただし、例えば、統計情報の作成において、ある項目の値を所定範囲ごとに区切る場合、その範囲の設定の仕方によってはサンプルが著しく少ない領域(高齢者、高額利用者、過疎地における位置情報等)が生じる可能性があります。このような場合については、誰の情報であるか特定されやすくなることもあり得ます。統計情報という形になっていればよいというものではなく、個人との対応関係が十分に排斥できるような形で統計化されていることが重要です。(委員会レポート)
(3)非個人情報としての取扱いは可能か?(容易照合性の判断)
それでは、匿名化された情報を作成した場合、「個人データ(個人情報)」、「匿名加工情報」、「統計情報」のいずれにも該当せず、「個人データ」及び「匿名加工情報」のいずれの規律も適用されない、いわゆる「非個人情報」としての取扱いは可能でしょうか。
これは、匿名化された情報の作成者において、容易照合性がない状況が作出できるか否かによります。
「容易照合性」(「他の情報と容易に照合することができる)とは、『個人情報の保護に関する法律についてのガイドライン(通則編)』において、「事業者の実態に即して個々の事例ごとに判断されるべきであるが、通常の業務における一般的な方法で、他の情報と容易に照合することができる状態をいい、例えば、他の事業者への照会を要する場合等であって照合が困難な状態は、一般に、容易に照合することができない状態である」とされています(同ガイドライン2−1(※4))。
また、委員会レポートにおいては、「事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合」において、�@双方の取扱部門やこれらを統括すべき立場の者等が、特別の費用や手間をかけることなく、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができないよう、規程上・運用上、双方のデータベースを取り扱うことが厳格に禁止されていいて、特別の費用や手間をかけることなく、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができない場合には、容易照合性はないとしています。
他方、�A双方の取扱部門の間で、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができる場合には容易照合性があるとしています。
同様のことは委員会Q&A1−15にも記載されています。
事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合において、双方の取扱部門やこれらを統括すべき立場の者等が、規程上・運用上、双方のデータベースを取り扱うことが厳格に禁止されていて、特別の費用や手間をかけることなく、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができない状態である場合は、「容易に照合することができ」ない状態であると考えられます。
一方、双方の取扱部門の間で、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができる状態である場合は、「容易に照合することができ」る状態であると考えられます。
以上を前提とすれば、匿名化された情報の作成者(提供元)において「容易照合性」がなくなれば(例えば、対応表がない場合や部門間で分離し個人情報にシステム上アクセス制御ができないようにしている場合)、「非個人情報」として個人情報保護法上の義務(第三者提供の制限(法23条)等)は免除されると考えられます。
_ 「匿名加工情報」は法36条による制度的な担保を元に作成することによって「容易照合性」がなくなるのであり、「容易照合性」がない場合に直ちに「匿名加工情報」になるものではないと考えられます。
_ _もちろん、「非個人情報」として認められるのは、作成者(提供者)内部で容易照合性がないことが担保されている極めて例外的な場合のみです。
_ 『医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス』(個人情報保護委員会・厚生労働省)においても、匿名化された情報が「非個人情報」に該当する場合があることを前提とする以下の記載があります(下線は筆者)。
II.4.個人情報の匿名化
当該個人情報から、当該情報に含まれる氏名、生年月日、住所、個人識別符号等、個人を識別する情報を取り除くことで、特定の個人を識別できないようにすることをいう。
顔写真については、一般的には目の部分にマスキングすることで特定の個人を識別できないと考えられる。なお、必要な場合には、その人と関わりのない符号又は番号を付すこともある。
このような処理を行っても、事業者内で医療・介護関係個人情報を利用する場合は、事業者内で得られる他の情報や匿名化に際して付された符号又は番号と個人情報との対応表等と照合することで特定の患者・利用者等が識別されることも考えられる。法においては、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」についても個人情報に含まれるものとされており、匿名化に当たっては、当該情報の利用目的や利用者等を勘案した処理を行う必要があり、あわせて、本人の同意を得るなどの対応も考慮する必要がある。
(以下略)
医療機関においては通常番号と患者本人とを結びつける「対応表」があるため、容易照合性が認められ、匿名化された情報は「個人情報」になり、「非個人情報」として扱うのは困難な場合が多いでしょう。
7 匿名化された情報の管理方法と適用される規律
以上を前提とすると、匿名化された情報の管理方法と適用される規律は以下のとおり整理できます。
提供元判断説によると多くの場合容易照合性があることになり、「非個人情報」として扱うことができる場合はほとんどなくなります。個人情報を匿名化しても容易照合性がある限り、「個人情報」として扱う必要があります。すなわち、第三者提供についての本人の同意やオプトアウトが必要となり、記録の作成・保存義務があります(法23条)。
_ _個人情報としての扱いを受けたくないのであれば、改正法により設けられた匿名加工情報としての規律に従うことになります。これにより、第三者提供について本人の同意は不要となります(公表・明示義務あり)が、適正加工義務、識別行為の禁止、加工方法等情報について安全管理措置等に従う必要があります(法36条)。敢えて個人情報としての規律を適用する場合には、匿名加工情報としての規律は適用されません。
_ _なお、統計情報(複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に把握するもの)を作成する場合には、個人情報と匿名加工情報のいずれの規律も適用されません。
_
管理方法
適用される規律
容易照合性あり
個人情報(個人データ)としての管理する場合
�@当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの
�A他の情報と容易に照合することができ、それにより特定の個人を識別することができるもの
*匿名化情報の作成者(提供元)においては匿名化をしても、通常、他の情報と容易に照合でき、それにより特定の個人を識別できるので、ほとんどの場合、個人情報に該当する。
・個人データとしての規律の適用。
・個人データとしての安全管理措置
・ 第三者提供について本人の同意・オプトアウト必要(オプトアウト厳格化)。記録の作成・保存義務あり。
容易照合性なし
(ほとんどなし)
非個人情報に該当する場合
*他の情報と容易に照合して特定の個人を識別できない場合には、非個人情報として扱うことが考えられる。匿名化情報の作成者(提供元)であっても、対応表がない場合はこのような扱い可能か。
*容易照合性ができないように安全管理措置が取られている場合(極めて例外的)
・個人データ・匿名加工情報の規律のいずれの適用も受けない。
・ 安全管理措置不要。
・ 本人の同意なく第三者提供可能。
統計情報作成
統計情報を作成する場合
(複数人の情報から共通要素に 係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に把握するもの)
・個人データ・匿名加工情報の規律のいずれの適用も受けない。
・ 安全管理措置不要。
・ 本人の同意なく第三者提供可能。
匿名加工情報としての制度的担保
*識別行為の禁止により容易照合性なし
匿名加工情報として管理する場合
�@個人識別符号以外の個人情報
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
�A個人識別符号
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
・匿名加工情報としての規律の適用
・_適正加工義務や加工方法等情報について安全管理措置あり。
・_匿名加工情報の安全管理措置は努力義務だが個人データの安全管理措置を参考にすることとされている。
・ 第三者提供に本人の同意不要(公表・明示義務あり)
個人情報保護法・マイナンバー法対応規程集
2017/08/28
【執筆者:渡邉雅之】
平成29年8月28日にこれまで頂いた御指摘を踏まえて修正した個人情報保護法とマイナンバー法の規程を公表いたします。
_
1-�@個人情報保護指針
1-�A当社における個人情報の取扱いについて(利用目的)
1-�B保有個人データの開示等の請求手続
1-�C個人情報取扱規程
1-�C別紙1 個人識別符号
1-�C別紙2 要配慮個人情報
1-�C別紙3 個人データの運用状況記録票
1-�C別紙4 個人情報管理台帳
1-�C別紙5 モニタリングシート
1-�C別紙6 入退室管理簿・鍵貸出管理台帳
1-�C別紙7 個人データ持ち運び記録簿
1-�C別紙8 「適切かつ合理的な方法」及び「法第4章第1節の規定の趣旨に沿った措置」
1-�C別紙9 個人データ提供記録簿
1-�C別紙10 個人データ受領記録簿
1-�C別紙11 保有個人データ開示等請求書
1-�C別紙12 委任状
1-�C別紙13 保有個人データ開示等決定書
1-�C別紙14 保有個人データ不開示等決定書
1-�D個人情報取扱規程(中小規模事業者用)
1-�D別紙1 個人識別符号
1-�D別紙2 要配慮個人情報
1-�D別紙3 個人データ提供記録簿
1-�D別紙2 要配慮個人情報
1-�E匿名加工情報等保護指針
1-�E匿名加工情報等保護指針
1-�E別紙1 加工方法等情報管理台帳
1-�F情報漏えい事案等対応手続
1-�G個人情報委託契約書 (国内)
1-�HSIDE LETTER AGREEMENT(外国第三者提供用)
2-�@特定個人情報基本方針
2-�A特定個人情報等取扱規程(一般事業者用)
2-�A別紙1 特定個人情報等に関する事務フロー
2-�A別紙1-1-3, 1-2-2. 1-3-2, 1-4-2個人番号ファイル
2-�A別紙2 特定個人情報等の運用状況記録票
2-�A別紙3 特定個人情報ファイル管理台帳
2-�A別紙4 モニタリングシート
2-�A別紙5 入退室管理簿・鍵貸出管理台帳
2-�A別紙6 特定個人情報等持ち出し記録簿
2-�B特定個人情報等取扱規程(中小規模事業者用)
2-�C情報漏えい事案等対応手続
2-�C別紙1 報告様式(重大事態等以外)
2-�C別紙2 報告様式(重大事態等)
2-�D特定個人情報委託契約書
2-�D質問票
2-�D委託先モニタリングシート
規程は自由にご利用していただいて結構ですが、クライアント向けに利用される場合には事前にご連絡ください。改正個人情報保護法につきましてご相談・セミナー等につきましては、下記にご連絡ください(無料のご質問には一切応じませんのでご了承ください。)。
弁護士法人三宅法律事務所
弁護士 渡邉 雅之
(東京事務所)〒100-0006
東京都千代田区有楽町1丁目7番1号
有楽町電気ビルヂング北館9階
TEL : 03-5288-1021
FAX :03-5288-1025
Email:m-watanabe@miyake.gr.jp
_
_
_
