Q. 令和2年6月12日に公布された改正個人情報保護法(一部を除き公布後2年以内に施行予定)では新たに「仮名加工情報」と「個人関連情報」という新しい概念が新設されています。現行の「匿名加工情報」も含めそれぞれどのような情報か教えてください。
-
1 匿名加工情報
まず、「匿名加工情報」とは、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のことをいいます(法2条9項参照)。ポイントは、加工した情報は元の情報に復元できないという点です。
なお、加工は次のように適切に行わなければなりません。
・特定の個人を識別することができる記述等の全部又は一部の削除(例:氏名や住所等の削除)
・個人識別符号の全部の削除(例:顔画像、指紋等の削除)
・個人情報と他の情報とを連結する符号の削除(例:事業者内で個人情報の管理のために割り当てられているID等の削除)
・特異な記述等の削除(例:年齢110歳のように、国内で数名しかいない場合など)
・上記のほか、個人情報とデータベース内の他の個人情報との差異等の性質を勘案した適切な措置
また、匿名加工情報を作成する事業者は、匿名加工情報の加工方法等情報の漏えい防止措置や、匿名加工情報に関する苦情の処理・適正な取扱い措置と公表といった安全管理措置を行う必要があります(法36条2項及び6項)。
さらに、匿名加工情報の作成後は、遅滞なくホームページ等を利用し、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければなりません。匿名加工情報を第三者に提供するときは、予めホームページ等で第三者に提供する匿名加工情報に含まれる項目及び匿名加工情報の提供の方法を公表しなければなりません(法36条3項及び4項)。
2 仮名加工情報
改正法において、改正加工情報は次のように定義されています。
改正法案第2条9項
この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
一 改正法案2条1項1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む)。
二 改正法案2条1項2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む)。
簡単にいえば、仮名加工情報とは、データの一部を置き換える等の措置により、追加情報がないと個人を特定できない、個人情報の類型データです。
イメージとしては、次のように加工した情報と言えるでしょう。
加工前(基データ)
仮名加工
某医療機関の投薬治療年数データ
氏名
性別
年齢
投薬年数
A
男
15
1年
B
女
26
10年
C
女
22
4年
D
男
35
16年
某医療機関の投薬治療年数データ
ID
X1
X2
X3
256
1
105
10
322
2
206
100
07
2
202
40
877
1
305
160
このように、氏名、性別、年齢、投薬年数で構成される基データがあったとします。氏名、性別、年齢、投薬年数の項目を記号化し、性別を数字に置き換え、年齢と投薬年数を一定の法則で三桁表示に置き換えた場合、基データまたは変換法則データという追加情報があったときに初めて個人が特定できるようなデータが仮名加工情報とみなされます。
仮名加工情報は第三者提供ができませんが(通常の個人データとして第三者提供することになります)、本人からの開示、訂正、利用停止等の請求の対象外となり、また当初の利用目的の範囲を超えて利用できる実務的なメリットがあります。
3 個人関連情報
個人関連情報とは改正法26条の2第1項において「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」と定義されています。個人関連情報は具体的にどのような情報なのかを理解するには、個人関連情報が新設された背景を知ると分かりやすいです。
個人情報保護法では、他の情報と容易に照合でき、その組み合わせによって個人を特定できる情報は個人情報に該当するとしています。そして、「他の情報と容易に照合できる」か否かの判断は、情報の提供元において他の情報と容易に照合できる場合は個人情報に該当するという、いわゆる「提供元基準」となっています。
そのため、提供元では個人を識別できない情報であるが、提供先では提供先が持つ情報と組み合わせることで個人情報に該当する情報をそうと知りながら、上記「提供元基準」に従い、提供元は個人情報でないとして、その情報を本人の同意なく第三者提供するという課題がありました。
そこで、今回この課題を解決する方法として個人関連情報の概念が新設されました。
つまり、個人関連情報を簡単に表現すると、「提供元においては確かに個人情報とはいえないが、その情報が提供先においては個人データと取得することが想定されるもの」と言えるでしょう。
そして、個人関連情報取扱事業者は、提供先において、「個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める」旨の本人の同意が得られていることを確認しなければ、個人関連情報を第三者提供してはならないとされます(改正法26条の2第1項1号)。
例えば、A社がcookie・ID情報を保有しているが、それらの情報に係る氏名等の個人情報は保有していません。しかし、B社は当該cookie・ID情報に紐づいた氏名等の個人情報を保有しており、A社もその事実について認識しているとします。そうすると、確かにA社においては、当該cookie・ID情報自体個人情報ではありませんが、それらの情報をB社に提供すれば、当該cookie・ID情報から個人特定が可能となりB社にとってはそれらの情報は個人データとなりますから、当該cookie・ID情報は個人関連情報とみなされます。
したがって、この場合A社は当該cookie・ID情報をB社に提供する場合は、本人の同意を得なくてはならないのです。
4 最後に
以上のように、個人情報保護法では様々な「情報」の定義があり、それぞれ手続や規制が異なります。個人情報等を扱う企業は、自社で取扱う「情報」に関して定期的にチェックする必要があります。
