匿名加工情報の作成者に適用される、加工方法等情報に係る安全管理措置

IT・情報セキュリティ

 匿名加工情報を作成する場合、加工方法等情報に係る安全管理措置はどのように講ずればよいでしょうか。

 個人情報保護委員会規則では以下の基準が定められています。

  1. 加工方法等情報を取り扱う者の権限および責任を明確に定めること
  2. 加工方法等情報の取扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること
  3. 加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置を講ずること

解説

目次

  1. 加工方法等情報に係る安全管理措置(改正個人情報保護法36条2項、個人情報保護法施行規則20条、GL (匿名加工情報編)3-3-1)
    1. 個人情報保護委員会規則で定める基準
    2. 3つの安全管理措置
  2. 加工方法等情報の安全管理で求められる措置の具体例

※本QAの凡例は注の通りです1

加工方法等情報に係る安全管理措置(改正個人情報保護法36条2項、個人情報保護法施行規則20条、GL (匿名加工情報編)3-3-1)

 個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等および個人識別符号ならびに「匿名加工情報の作成者に適用される適正加工義務」の1の方法により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければなりません(個人情報保護法36条2項)。

個人情報保護委員会規則で定める基準

 「個人情報保護委員会規則で定める基準」については以下のとおり定められています(個人情報保護法施行規則20条)。

  1. 加工方法等情報(匿名加工情報の作成に用いた個人情報から削除した記述等および個人識別符号ならびに加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る)をいう)を取り扱う者の権限および責任を明確に定めること。
  2. 加工方法等情報の取扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること。
  3. 加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置を講ずること。

 「加工方法等情報」とは、匿名加工情報の作成に用いられた個人情報から削除した記述等および個人識別符号ならびに加工方法に関する情報のこと(その情報を用いて当該個人情報を復元することができるものに限る)です。

 「その情報を用いて当該個人情報を復元することができるもの」には、たとえば、氏名等を仮IDに置き換えた場合における置き換えアルゴリズムに用いられる乱数等のパラメータまたは氏名と仮IDの対応表等のような加工の方法に関する情報が該当し、「年齢のデータを10歳刻みのデータに置き換えた」というような復元につながらない情報は該当しません。

3つの安全管理措置

 個人情報取扱事業者は、匿名加工情報を作成したときは、3つの安全管理措置を講ずることが求められます。
 まず、加工方法等情報を取り扱う者の権限および責任を明確に定めることです(①)。これは、個人情報取扱規程等の社内規程の中で加工方法等情報を取り扱う者を定め、その権限と責任を規定することになります。
 次に、加工方法等情報の取扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずることです(②)。
 加工方法等情報に係る安全管理措置についてPDCAサイクルで管理することを求めています。

  1. 個人情報取扱規程等の社内規程の中で加工方法等情報の取扱いについて規定化する(Plan)。
  2. その社内規程に基づき加工方法等情報を適切に取り扱う(Do)。
  3. その取扱いの状況について検証・監査により評価を行う(Check)。
  4. その結果に基づき改善する(See)。

 さらに、加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置を講ずることが求められます(③)。
 これらの安全管理措置の内容は、対象となる加工方法等情報が漏えいした場合における復元リスクの大きさを考慮し、当該加工方法等情報の量、性質等に応じた内容としなければなりませんが、具体的に講じなければならない項目および具体例については、下記表をご参照ください(GL(匿名加工情報編)3-3-1(別表2))。

加工方法等情報の安全管理で求められる措置の具体例

講じなければならない措置 具体例

①加工方法等情報を取り扱う者の権限および責任の明確化(個人情報保護法施行規則20条1号)

  • 加工方法等情報の安全管理措置を講ずるための組織体制の整備

②加工方法等情報の取扱いに関する規程類の整備および当該規程類に従った加工方法等情報の適切な取扱いならびに加工方法等情報の取扱状況の評価およびその結果に基づき改善を図るために必要な措置の実施(個人情報保護法施行規則20条2号)

  • 加工方法等情報の取扱いに係る規程等の整備とこれに従った運用
  • 従業員の教育
  • 加工方法等情報の取扱状況を確認する手段の整備
  • 加工情報等情報の取扱状況の把握、安全管理措置の評価、見直しおよび改善

③加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置(個人情報保護法施行規則20条3号)

  • 加工方法等情報を取り扱う権限を有しない者による閲覧等の防止
  • 機器、電子媒体等の盗難等の防止
  • 電子媒体等を持ち運ぶ場合の漏えい等の防止
  • 加工方法等情報の削除ならびに機器、電子媒体等の廃棄
  • 加工方法等情報へのアクセス制御
  • 加工方法等情報へのアクセス者の識別と認証
  • 外部からの不正アクセス等の防止
  • 情報システムの使用に伴う加工方法等情報の漏えい等の防止

 安全管理措置については、個人情報保護委員会が定める個人情報保護ガイドライン(通則編)8(別添)講ずべき安全管理措置の内容において、規則で定める事項の解説や、講ずべき措置の例示等が記載されています。また、個人情報保護委員会は、実際に匿名加工情報を活用したいと考えている事業者が円滑に制度を利用できるよう平成29年2月に「個人情報保護委員会事務局レポート:匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」を公表しました。


    • 個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
    • GL(匿名加工情報編):個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)(平成28年11月30日個人情報保護委員会告示第9号)

    ↩︎

関連する実務Q&A

無料会員登録で
リサーチ業務を効率化

90秒で登録完了

無料で会員登録する