改正個人情報保護法に対応した匿名加工情報等取扱規程はどのように作成するべきか

IT・情報セキュリティ

 改正個人情報保護法に対応した匿名加工情報等取扱規程はどのように作成するべきでしょうか。

 匿名加工情報の作成・加工、利用、提供に関しては、「個人情報取扱規程」とは独立した規程とすることが考えられます。
 個人情報取扱事業者が、「個人情報」から「匿名加工情報」を作成・加工する点に関しては、「個人情報取扱規程」の中で規定することも考えられますが、規定が分かりづらくなる可能性があること、また、匿名加工情報取扱事業者として、他の個人情報取扱事業者が作成・加工した匿名加工情報の提供を受ける場合と同一の社内規程において定めた方が分かりやすいためです。
 規程の内容については解説を参照ください。

解説

※本QAの凡例は以下のとおりです。

  • 個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法

改正個人情報保護法で求められる安全管理措置

 改正個人情報保護法において、安全管理措置を講ずる必要があるのは、「匿名加工情報」と「加工方法等情報」です。
 「匿名加工情報」とは、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものです(個人情報保護法2条9項)。
 「加工方法等情報」とは、匿名加工情報の作成に用いられた個人情報から削除した記述等および個人識別符号並びに加工方法のこと(その情報を用いて当該個人情報を復元することができるものに限る)です(個人情報の保護に関する法律施行規則案20条)。

 「加工方法等情報」に関しては、法令・ガイドライン上、個人データと同様の安全管理措置を講ずることが求められています(個人情報保護法36条2項)。これに対して、「匿名加工情報」について安全管理措置を講ずることは法令上努力義務とされています(個人情報保護法36条6項)。
 以下に掲載した雛型では、「匿名加工情報」と「加工方法等情報」を併せて「匿名加工情報等」と定義して、個人データと同様の組織的・人的・物理的・技術的安全管理措置を求めるものとしました(第2章、3条~22条)。
 もちろん、「匿名加工情報」に関しては「加工方法等情報」よりも軽い安全管理措置とすることも考えられますが、この場合はかなり規程が複雑化するでしょう。

 なお、「匿名加工情報」や「加工方法等情報」が漏えい等した場合の対応も基本的には個人情報が漏えいした場合と同様の対応としています(「情報漏えい事案等対応手続」による)。これらの情報が漏えい等した場合に当局への報告が必要かは現時点では明らかではありません。

匿名加工情報の作成者としての義務

 匿名加工情報の加工方法に関しては、「個人情報保護法ガイドライン(匿名加工情報編)案」に記載されている加工方法の具体例を規定する(個人情報保護法23条)と共に、匿名加工情報の適正な加工についても同ガイドラインに記載されている「想定される加工の事例」をそのまま規定と共に記載しました(個人情報保護法24条)。
 同様に、「匿名加工情報の作成時の公表」(個人情報保護法25条)、「匿名加工情報の第三者提供時の公表・明示義務」(個人情報保護法26条)に関しても、同ガイドラインで示される「公表項目の事例」を記載しています。

匿名加工情報保護指針

 法令上特に求められているものではありませんが、個人情報における「基本方針」に相当するものとして「匿名加工情報保護指針」を規定化しました。個人情報における「基本方針」と同様に、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「ご質問及びご苦情の窓口」を規定しています。
 併せて、法令上、求められる匿名加工情報を作成した時の公表および第三者提供をする匿名加工情報の公表も兼ねた内容としています。

規程例

ホームページでの開示を想定したもの

規程類

コンテンツの更新情報、法改正、重要判例をもう見逃さない!メールマガジン配信中!無料会員登録はこちらから
  • facebook
  • Twitter

関連する特集