個人データを匿名加工情報として利用するにはどうすればよいか

IT・情報セキュリティ 公開 更新

 保有している個人データを匿名加工情報として利活用したいと考えています。どのように加工すればよいでしょうか。また、どのような点に注意しなければいけませんか。

 加工方法には、特定の個人を識別する項目を削除することや、生年月日を年代に置き換えることなどがあげられます。
 個人データから「個人の特定性を低減したデータ」へ加工した「匿名加工情報」を作成する事業者に対しては加工方法に関する漏えい防止措置を講じることや、作成した匿名加工情報に関する公表義務などが課せられています。
 匿名加工情報の提供を受けた事業者も、本人の識別行為の禁止義務、第三者提供をする場合の明示・公表義務を負います。

解説

目次

  1. 匿名加工情報における加工の手法例
  2. 個人情報の項目と想定されるリスクおよび加工例
  3. 匿名加工情報の作成者に適用されるルール

※本QAの凡例は以下の通りです。

  • GL(匿名加工情報編):個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)(平成28年11月30日個人情報保護委員会告示第9号)

匿名加工情報における加工の手法例

 匿名加工情報の「加工」の例としては以下のものがあります(GL(匿名加工情報編)(別表1)をもとに作成)。これらは、匿名加工情報の作成にあたっての一般的な加工手法を例示したものであり、その他の手法を用いて適切に加工することを妨げるものではありません。

手法名 解説
項目削除/レコード削除/セル削除 加工対象となる個人情報データベース等に含まれる個人情報の記述等を削除するもの。
たとえば、年齢のデータをすべての個人情報から削除すること(項目削除)、特定の個人の情報をすべて削除すること(レコード削除)、または特定の個人の年齢のデータを削除すること(セル削除)。
一般化 加工対象となる情報に含まれる記述等について、上位概念もしくは数値に置き換えることまたは数値を四捨五入などして丸めることとするもの。
たとえば、『購買履歴のデータで「きゅうり」を「野菜」に置き換えること』や『生年月日を年代に置き換えること』。
トップ(ボトム)コーディング 加工対象となる個人情報データベース等に含まれる数値に対して、特に大きいまたは小さい数値をまとめることとするもの。
たとえば、年齢に関するデータで、80歳以上の数値データを「80歳以上」というデータにまとめること。
ミクロアグリゲーション 加工対象となる個人情報データベース等を構成する個人情報をグループ化した後、グループの代表的な記述等に置き換えることとするもの。
データ交換(スワップ) 加工対象となる個人情報データベース等を構成する個人情報相互に含まれる記述等を(確率的に)入れ替えることとするもの。
ノイズ(誤差)の付加 一定の分布に従った乱数的な数値を付加することにより、他の任意の数値へと置き換えることとするもの。
疑似データ生成 人工的な合成データを作成し、これを加工対象となる個人情報データベース等に含ませることとするもの。

個人情報の項目と想定されるリスクおよび加工例

 平成29年2月に「個人情報保護委員会事務局レポート:匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」においては、以下のとおり個人情報の項目と想定されるリスクおよび加工例が示されています。

①個人属性情報
項目 想定されるリスク 望ましい加工方法
氏名 それ自体で個人を特定できる。 全部削除(項目削除)
生年月日 住所(郵便番号)、性別との組合せにより、個人の特定につながる可能性がある ・原則として、年か日のいずれかを削除する。必要に応じて生年月、年齢、年代等に置き換える(丸め)
・超高齢であることが分かる生年月日や年齢を削除する(セル削除/トップコーディング)
性別 住所(郵便番号)、生年月日との組合せにより、個人の特定につながる可能性がある 他の情報との組合せによって必要がある場合は削除する(項目削除)
住所 ・生年月日、性別との組合せにより、個人の特定につながる可能性がある
・本人にアクセスすることができる
・原則として、町名、番地、マンション名等の詳細を削除する(丸め)
・レコード総数等に応じて、県単位や市町村単位へ置き換える(丸め)
郵便番号 生年月日、性別等との組合せにより個人の特定に結びつく可能性がある 下4ケタを削除する(丸め)
マイナンバー それ自体で個人情報とされている(個人識別符号) 全部削除する(項目削除)
パスポート番号 それ自体で個人情報とされている(個人識別符号) 全部削除する(項目削除)
顔認証データ それ自体で個人情報とされている(個人識別符号) 全部削除する(項目削除)
固定電話番号 ・多くの事業者が収集しており、異なるデータセット間で個人を特定するための識別子として機能し得る
・本人にアクセスすることができる
原則として、加入者番号(下4ケタ)を削除(丸め)
携帯電話番号 ・多くの事業者が収集しており、異なるデータセット間で個人を特定するための識別子として機能し得る
・本人にアクセスすることができる
全部削除する(項目削除)
クレジットカード番号 ・多くの事業者が収集しており、異なるデータセット間で個人を特定するための識別子として機能し得る
・本人に直接被害を与え得る
全部削除する(項目削除)
サービスID、アカウントID 多くの事業者で共用されるIDの場合は、個人を特定するための識別子として機能する 全部削除する(項目削除)
電子メールアドレス ・多くの事業者が収集しており、異なるデータセット間で個人を特定するための識別子として機能し得る。
・本人にアクセスすることができる。
全部削除する(項目削除)
端末ID 多くの事業者で共用される端末ID の場合は、個人を特定するための識別子として機能する 全部削除する(項目削除)
職業 住所や年収等との組合せにより、個人の特定につながる可能性がある 勤務先名を職種等のカテゴリーに置き換える(一般化)
年収 ・職業や住所等との組合せにより、個人の特定につながる可能性がある
・超高年収の場合、それ自体から個人を特定できる可能性がある。
・具体的な年収を収入区分へ置き換える(丸め)
・超高収入の値を削除する(セル削除/トップコーディング)
家族構成 住所等との組合せにより、個人の特定につながる可能性が高くなる ・具体的な家族人数を人数区分へ置き換える(丸め)
・詳細な家族構成を世帯構成区分(単身、親子、三世帯等)へ置き換える(丸め)

(出典:個人情報保護委員会「個人情報保護委員会事務局レポート:匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」(2017年2月))

②履歴情報
項目 想定されるリスク 望ましい加工方法
購買履歴 ・購入店舗や購買時刻に関する情報と他のデータセットに含まれる位置情報等との組合せにより、個人の特定につながる可能性がある
・特異な物品の購買実績と居住エリア等との組合せにより、個人の特定につながる可能性がある
・購入店舗や購買時刻の詳細な情報を削除する(丸め)
・特異な購買情報(超高額な利用金額や超高頻度の利用回数等)を削除する(セル削除/トップコーディング)
乗降履歴 ・乗降実績の極めて少ない駅や時間帯の履歴から、個人の特定につながる可能性がある
・定期区間としての利用が極めて少ない駅の情報から、個人の特定につながる可能性がある。
・利用が極めて少ない駅や時間帯の情報を削除する。時刻情報を時間帯に置き換える(セル削除/丸め)
・定期区間に極めて少ない利用駅が含まれるものを削除(セル削除)
位置情報(移動履歴) ・夜間や昼間の滞在地点から自宅や勤務先等を推定できる可能性あり。
・詳細な位置情報と時刻情報の組合せが異なるデータセット間で識別子として機能し得る
・所定エリア内の位置情報が極めて少ない場合に、個人の特定に結びつく可能性がある
・自宅や勤務地点等の推定につながる始点・終点を削除する(丸め)
・位置情報もしくは時刻情報の詳細部分を削除する(丸め)
・位置情報が少ないエリアの値にノイズを加える(ノイズ付加)
・所定数以上の位置情報になるようエリアを区切る(丸め)
電力利用履歴 ・特異な電力使用量と他の情報との組合せにより、個人の特定につながる可能性がある
・生活スタイルや家族構成を推定できる可能性がある
極めて大きい電力使用量の情報を削除する(セル削除/トップコーディング)

(出典:個人情報保護委員会「個人情報保護委員会事務局レポート:匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」(2017年2月))

匿名加工情報の作成者に適用されるルール

 以下は匿名加工情報の作成者・受領者・提供者に適用されるルールの全体像になります。

【匿名加工情報の作成者・受領者・提供者に適用されるルール】

匿名加工情報の作成者・受領者・提供者に適用されるルール

<追記>
2017年12月26日(火)19:30:改正個人情報保護法の施行により、内容面を一部修正・追加いたしました。

無料会員にご登録いただくことで、続きをお読みいただけます。

90秒で登録完了

関連する実務Q&A

無料会員登録で
リサーチ業務を効率化

90秒で登録完了

無料で会員登録する