匿名化された個人情報はどのように取り扱うべきか

IT・情報セキュリティ

 匿名化された個人情報の取扱いについて教えてください。

 匿名化をしても、匿名化情報の作成元において、特定の個人を容易に照合できる場合(容易照合性がある場合)は個人情報に該当し、個人データとしての安全管理措置や第三者提供についての本人の同意やオプトアウト手続が必要となります。匿名化により容易照合性がなくなり、非個人情報として扱える場合はほとんどありません。

 匿名加工情報に該当する場合は、匿名加工情報としての規律(適正加工義務、識別行為の禁止、加工方法等情報についての安全管理措置等)が適用されますが、第三者提供に本人の同意は不要で、その代わりに、公表・明示義務が適用されます。

解説

※本QAの凡例は以下の通りです。

  • 個人情報保護法、改正個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
  • 個人情報保護法ガイドライン(通則編)、GL(通則編):個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月30日個人情報保護委員会告示第6号)
  • 個人情報保護法ガイドライン(確認記録義務編)、GL(確認記録義務編):個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)(平成28年11月30日個人情報保護委員会告示第8号)
  • 個人情報保護法ガイドライン(匿名加工情報編)、GL(匿名加工情報編):個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)(平成28年11月30日個人情報保護委員会告示第9号)
  • 個人情報保護法施行規則:個人情報の保護に関する法律施行規則(平成28年10月5日個人情報保護委員会規則第3号)

参考:加工して使える、匿名加工情報等取扱規程、匿名加工情報等保護指針

匿名化された情報に関する従来の考え方

 A社が保有する個人データ(個人情報)から特定の個人を識別することができる氏名や住所等の情報を削除した上で、B社に提供した場合、当該匿名化された情報は個人情報に該当するでしょうか。

A社が保有する個人データ(個人情報)から特定の個人を識別することができる氏名や住所等の情報を削除した上で、B社に提供した場合

 もし、A社が個人情報を匿名化しても依然として個人情報に該当するのであれば、B社への提供は個人データの第三者提供に該当し、当該個人情報に係る本人の同意を得る(個人情報保護法23条1項)か、または、オプトアウト手続(個人情報保護法23条2項)に基づき提供をする必要があります。

 「個人情報」とは、①生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)および②個人識別符号をいいます(個人情報保護法2条1項)。

 個人情報の匿名化においては、このうち、上記①の「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」(いわゆる「容易照合性」)かどうかが問題となります。
 この容易照合性があるか否かについては、匿名化された個人情報の提供元において判断する「提供元判断説」と提供先において「提供先判断説」という2つの考え方があります。

 「提供元判断説」においては、容易照合性があるか否かについて提供元で判断されます。上記の具体例においては、A社(提供元)において容易に照合できるかぎりは、A社による匿名化された情報の提供は「個人データ(個人情報)」の提供に該当し、匿名化された情報に係る本人の同意を取得するか、または、オプトアウト手続により提供する必要があります。
 他方、「提供先判断説」においては、容易照合性は提供先で判断されます。B社(提供先)において容易に照合できないかぎりは、A社による情報提供は、「個人データ(個人情報)」の提供には該当せず、匿名化された情報に係る本人の同意の取得、または、オプトアウト手続による提供は不要になります。

 今般の個人情報保護法の全面改正前までは、どちらかというと「提供先判断説」が有力な考え方でした。
 たとえば、岡村久道「個人情報保護法(新訂版)」(商事法務、2009)76頁においては、

 Aにとって識別性を具備する情報を、これを具備しないBに提供する場合には、第三者提供の制限(個人情報保護法23条1項)違反とならないものと考えるべきである。Bにとどまらず通常人からみても誰の情報なのか識別できない以上、その提供によって、本法が想定する権利利益侵害のおそれが通常発生すると認められないからである。また、かく解さなければ、本人の権利利益を図るため、特定の個人を識別しうる部分を番号・符号に置き換える方法を用いて匿名化したデータを第三者に提供することすら許容されなくなりかねない。

とされています。

 なお、「個人情報の匿名化」と似て非なるものとして、「個人情報の暗号化」があります。暗号化については、「個人情報保護法ガイドライン(通則編)」において、個人情報に該当するか否かについては、「暗号化等によって秘匿化されているかどうかを問わない」と記載があるとおり、特定の個人を識別することができる情報は、暗号化等されていても個人情報に該当することとされています(GL(通則編)2-1)。すなわち、暗号化は、安全管理措置の一つとして考慮されるべき要素であり、個人情報該当性に影響するものではありません

改正前にも行われていた提供元判断説に基づく実務

 もっとも、改正前においても「提供元判断説」に基づく取扱いの実務がありました。
 平成25年6月、東日本旅客株式会社(JR東日本)は、Suicaの購買履歴のデータから氏名、電話番号、物販情報等を除外し、生年月日を生年月に変換した上、さらに、SuicaID番号を不可逆の別異の番号に変換したデータを株式会社日立製作所に提供(提供は7月に実施)することが明らかになり、多くの利用者から、個人情報の保護、プライバシーの保護や消費者意識に対する配慮に欠けているのではないかとして批判や不安視する声があがりました(参照:東日本旅客株式会社「Suica に関するデータの社外への提供について」)。
 この事件の後、JR東日本は、Suicaの購買履歴データの第三者提供について、オプトアウト手続を設けましたが、これはJR東日本内部では依然として容易照合性があり個人情報(個人データ)に該当することを前提としたもの、すなわち、「提供元判断説」に基づく取扱いをしたものとも考えられます。

提供元判断説に立つ重要なパブリックコメント回答

 個人情報保護法の全面改正にかかる法令やガイドラインにおいては、容易照合性について「提供元判断説」、「提供先判断説」のいずれに立つのかは明らかにされていません。
 しかしながら、ガイドラインのパブリックコメント回答(「個人情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意見募集結果」19番参照)において

 ある情報を第三者に提供する場合、当該情報が(個人情報の定義の一つである)「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかで判断します。

とされ、「提供元判断説」によることが明らかにされました。

提供元判断説の実務上の影響

匿名化情報は個人情報

 「提供元判断説」に立つことによる実務上の最大の影響は、個人情報を匿名化しても提供元においては依然として容易照合性が認められるかぎり、個人データ(個人情報)として扱わなければならないということです。

 個人データとして扱われるかぎり、安全管理措置を講じなければならないし、第三者提供については本人の同意を得るか、または、オプトアウト手続によらなければなりません。
 特に、本人の同意が必要ということは、匿名化した情報の第三者提供にとって大きな支障となります。また、個人情報保護法の全面改正により、個人情報保護委員会への届出などオプトアウト手続が厳格化するので安易にこれによるわけにはいきません。

 そこで、第三者提供に本人の同意が不要である匿名加工情報の規律によることになりますが、匿名加工情報以外の情報(非個人情報)として本人の同意なく第三者提供ができないかについては下記6において検討します。

解釈により受領者に確認・記録義務が適用されない場合

 個人情報保護法の改正により、個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、確認および記録を行い、記録を一定期間保存しなければなりません(個人情報保護法26条)

 匿名化された情報が提供元において容易照合性があるかぎりは、当該情報の受領者は個人データを受領したことになるので、確認義務および記録の作成・保存義務を負うことになりそうです。しかしながら、提供先においては特定の個人を識別できないにもかかわらず、そのような義務を負わせるのは無理があります。記録事項の一つとして、「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」を記録することとされていますが、匿名化された情報についてはこれができません。

 「個人情報保護法ガイドライン(確認記録義務編)」においては、このような問題点を考慮し、「受領者にとって「個人情報」に該当しない場合」には、解釈により受領者に確認・記録義務が適用されないこととしています(GL(確認記録義務編)2-2-2-1)。具体的な事例としては、「提供者が氏名を削除するなどして個人を特定できないようにした個人データの提供を受けた場合」や「提供者で管理しているID番号のみが付された個人データの提供を受けた場合」が掲げられています。

外国にある第三者への匿名化情報の委託

 個人情報保護法の改正により、個人情報取扱事業者が外国にある第三者に個人データを提供する場合は、個人情報保護法23条(第三者提供の制限)ではなく、個人情報保護法24条(外国にある第三者への提供の制限)が適用されることになります。これに伴い、外国にある第三者が「個人データの取扱いの委託先」の場合には、第三者に該当せず本人の同意が不要(個人情報保護法23条5項1号)という例外が使えなくなります。

 では、個人データを匿名化した上で外国にある第三者に委託した場合は個人データの提供ではなく、個人情報保護法24条は適用されないことになるでしょうか。
 この点については、個人情報保護委員会の「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」において以下のとおり記載されています。

Q9-11 外国にある第三者に対して、氏名を削除するなどして個人を特定できないようにして当該者にとっては個人情報に該当しないデータの取扱いを委託し、当該者が個人情報に復元することがないような場合においても、法第24条は適用されますか。

A9-11 法第24条は適用されます。受領者たる「外国にある第三者」にとって個人情報 に該当しないデータを提供する場合において、当該者が個人情報を復元することがないこととなっているときは、結果として、施行規則第11条で定める基準に適合する体制を整備しているものと解されます。ただし、この場合であっても、委託者たる個人情報取扱事業者は法第22条に基づき委託先に対する監督義務があることに留意が必要です。

 この回答は、容易照合性について「提供元判断説」を取ることが前提としたものです。匿名化をしても委託元では容易照合性があり、個人データに該当することを前提とした回答です。
 もっとも、この回答では、個人情報保護法施行規則11条で定める基準に適合する体制整備がなされているとみなされることにより、個人情報保護法24条ではなく、「個人データの取扱いの委託」(個人情報保護法23条5項1号)が適用されることになり、結論的には本人の同意なく提供が可能となります。  

匿名加工情報の取扱い

 匿名化した情報の第三者提供については、個人データ(個人情報)としての扱いを受けると、上記で説明したとおり、匿名化した情報に係る本人の同意を得るか、または、オプトアウト手続によらなければならなくなります。
 このような場合、匿名加工情報の規律に従えば本人の同意やオプトアウト手続による必要はなくなります。

匿名加工情報の定義

 「匿名加工情報」とは、次に掲げる個人情報の区分に応じて当該各号に定められる措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元できないようにしたものです。

  1. 個人識別符号以外の個人情報(個人情報保護法2条1項1号、2条9項1号)
    当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
  2. 個人識別符号(個人情報保護法2条1項2号)が含まれる個人情報(個人情報保護法2条9項2号)
    当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。) 

匿名加工情報の規律

 匿名加工情報については、作成者である個人情報取扱事業者に対して、①適正加工義務、②加工方法等情報について安全管理措置、③作成した匿名加工情報に関する公表義務、④自ら取り扱う場合の識別行為の禁止、⑤匿名加工情報の安全管理措置等(努力義務)が課されますが、匿名加工情報の第三者提供には本人の同意が必要ありません。その代わり、⑥匿名加工情報を第三者提供することを明示・公表する義務があります(個人情報保護法36条)。

 匿名加工情報の提供を受けた匿名加工情報取扱事業者は、(a)識別行為の禁止(個人情報保護法38条)、(b)匿名加工情報の安全管理措置等(努力義務)(個人情報保護法39条)を負いますが、匿名加工情報の第三者提供については本人の同意は必要ありません。その代わりに(c) 匿名加工情報を第三者提供することを明示・公表する義務があります(個人情報保護法37条)。

   【匿名加工情報の作成者・受領者・提供者に適用されるルール】

匿名加工情報の作成者・受領者・提供者に適用されるルール

容易照合性と匿名加工情報

 容易照合性と匿名加工情報の関係については、「個人情報保護委員会事務局レポート:匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」(以下「委員会レポート」といいます。) において、以下のとおり記載されています(下線は筆者によるもの)。

 匿名加工情報は、特定の個人を識別することができず、作成の元となった個人情報を復元することができないように加工したものであり、さらに、個人情報に係る本人を識別することを禁止する等の制度的な担保がなされていることから、作成の元となった個人情報を通常の業務における一般的な方法で照合することができる状態にある(すなわち容易照合性がある)とはいえず、個人情報に該当しないとされるものである。(出典:「個人情報保護委員会事務局レポート:匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」14頁)

個人情報・匿名加工情報以外の扱い

匿名加工情報として扱わなくてもよい場合

 「個人情報保護法ガイドライン(匿名加工情報編)」においては、以下の場合は匿名加工情報を「作成するとき」(改正個人情報保護法36条1項)には該当しないので、匿名加工情報として扱う必要はないとしています(GL(匿名加工情報編)3-4)。

  1. 安全管理措置の一環として氏名等の一部の個人情報を削除(又は他の記述等に置き換え)した上で引き続き個人情報として取り扱う場合
  2. 匿名加工情報を作成するために個人情報の作成作業が完了しておらず加工が不十分である可能性がある場合に引き続き個人情報として取り扱う場合
  3. 統計情報を作成するために個人情報を加工する場合

 このうち、上記②は、匿名加工情報の作成過程のものを引き続き個人情報として取り扱うというものであるので、極めて例外的な場合の取扱いです。
 このガイドラインでは、匿名化情報について匿名加工情報として扱わなくてよいのは「①個人情報」か「③統計情報」として取り扱う場合であるとしているように読めます。

統計情報

 上記6-1のガイドラインにおいて、「統計情報」とは、「複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に把握するもの」と定義されています(GL(匿名加工情報編)2-1)。

 統計情報に該当する場合には、個人データ(個人情報)および匿名加工情報の規律のいずれの適用も受けないことになります。また、個人データや匿名加工情報としての安全管理措置も不要となります。さらに、本人の同意なく第三者提供も可能となります。

 ただし、たとえば、統計情報の作成において、ある項目の値を所定範囲ごとに区切る場合、その範囲の設定の仕方によってはサンプルが著しく少ない領域(高齢者、高額利用者、過疎地における位置情報等)が生じる可能性があります。このような場合については、誰の情報であるか特定されやすくなることもあり得ます。統計情報という形になっていればよいというものではなく、個人との対応関係が十分に排斥できるような形で統計化されていることが重要です(参照:委員会レポート)。

非個人情報としての取扱いは可能か(容易照合性の判断)

 それでは、匿名化された情報を作成した場合、「個人データ(個人情報)」、「匿名加工情報」、「統計情報」のいずれにも該当せず、「個人データ」および「匿名加工情報」のいずれの規律も適用されない、いわゆる「非個人情報」としての取扱いは可能でしょうか。
 これは、匿名化された情報の作成者において、容易照合性がない状況が作出できるか否かによります。

 「容易照合性」(「他の情報と容易に照合することができる」)とは、「個人情報保護法ガイドライン(通則編)」において、「事業者の実態に即して個々の事例ごとに判断されるべきであるが、通常の業務における一般的な方法で、他の情報と容易に照合することができる状態をいい、例えば、他の事業者への照会を要する場合等であって照合が困難な状態は、一般に、容易に照合することができない状態である」とされています(GL(通則編)2-1(※4))。

 また、委員会レポートにおいては、「事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合」において、①双方の取扱部門やこれらを統括すべき立場の者等が、特別の費用や手間をかけることなく、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができないよう、規程上・運用上、双方のデータベースを取り扱うことが厳格に禁止されていいて、特別の費用や手間をかけることなく、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができない場合には、容易照合性はないとしています。
 他方、②双方の取扱部門の間で、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができる場合には容易照合性があるとしています。

 以上を前提とすれば、匿名化された情報の作成者(提供元)において「容易照合性」がなくなれば(たとえば、対応表がない場合や部門間で分離し個人情報にシステム上アクセス制御ができないようにしている場合)、「非個人情報」として個人情報保護法上の義務(第三者提供の制限(個人情報保護法23条)等)は免除されると考えられます。

 「匿名加工情報」は個人情報保護法36条による制度的な担保を元に作成することによって「容易照合性」がなくなるのであり、「容易照合性」がない場合にただちに「匿名加工情報」になるものではないと考えられます。
 もちろん、「非個人情報」として認められるのは、作成者(提供者)内部で容易照合性がないことが担保されている極めて例外的な場合のみです。

 個人情報保護委員会・厚生労働省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」(平成29年4月14日)においても、匿名化された情報が「非個人情報」に該当する場合があることを前提とする以下の記載があります(下線は筆者)。

Ⅱ.4.個人情報の匿名化

 当該個人情報から、当該情報に含まれる氏名、生年月日、住所、個人識別符号等、個人を識別する情報を取り除くことで、特定の個人を識別できないようにすることをいう。
 顔写真については、一般的には目の部分にマスキングすることで特定の個人を識別できないと考えられる。なお、必要な場合には、その人と関わりのない符号又は番号を付すこともある。
 このような処理を行っても、事業者内で医療・介護関係個人情報を利用する場合は、事業者内で得られる他の情報や匿名化に際して付された符号又は番号と個人情報との対応表等と照合することで特定の患者・利用者等が識別されることも考えられる。法においては、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」についても個人情報に含まれるものとされており、匿名化に当たっては、当該情報の利用目的や利用者等を勘案した処理を行う必要があり、あわせて、本人の同意を得るなどの対応も考慮する必要がある
(以下略)

 医療機関においては通常番号と患者本人とを結びつける「対応表」があるため、容易照合性が認められ、匿名化された情報は「個人情報」になり、「非個人情報」として扱うのは困難な場合が多いでしょう。

匿名化された情報の管理方法と適用される規律

 以上を前提とすると、匿名化された情報の管理方法と適用される規律は以下のとおり整理できます。
 提供元判断説によると多くの場合容易照合性があることになり、「非個人情報」として扱うことができる場合はほとんどなくなります。個人情報を匿名化しても容易照合性がある限り、「個人情報」として扱う必要があります。すなわち、第三者提供についての本人の同意やオプトアウトが必要となり(個人情報保護法23条)、記録の作成・保存義務があります(個人情報保護法25条・26条)

 個人情報としての扱いを受けたくないのであれば、改正法により設けられた匿名加工情報としての規律に従うことになります。これにより、第三者提供について本人の同意は不要となります(公表・明示義務あり)が、適正加工義務、識別行為の禁止、加工方法等情報について安全管理措置等に従う必要があります(個人情報保護法36条)。あえて個人情報としての規律を適用する場合には、匿名加工情報としての規律は適用されません。

 なお、統計情報(複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向または性質などを数量的に把握するもの)を作成する場合には、個人情報と匿名加工情報のいずれの規律も適用されません。

匿名化された情報の管理方法と適用される規律

その他の問題(匿名化情報に関する個人情報該当の相対性?)

 匿名化された情報について、「提供元判断説」による場合、A社がB社にX(個人)の情報を提供する場合には、A社において容易照合性がある場合は「個人データ(個人情報)」に該当するものとして、本人(X)の事前の同意またはオプトアウト方式による提供が必要です。

 しかしながら、B社がC社に同情報を提供する場合においては、容易照合性について「提供元判断説」によるとしても、容易照合性は、A社ではなく、B社において判断をし、個人情報ではないものを提供するものとして、本人(X)の事前の同意・オプトアウト方式による提供は不要と考えてよいのではないかと考えられます。

匿名化情報に関する個人情報該当の相対性

コンテンツの更新情報、法改正、重要判例をもう見逃さない!メールマガジン配信中!無料会員登録はこちらから
  • facebook
  • Twitter

関連する特集