匿名加工情報とは?作成時の基準・義務・事例をまとめて解説


2017年5月30日に施行される改正個人情報保護法。「個人識別符号」「要配慮個人情報」「匿名加工情報の導入」などの重要な改正点の中でも注目を集めているのが「匿名加工情報の導入」だ。本稿では、匿名加工情報の概要から加工時の基準、k-匿名性の解説、匿名加工情報を取り扱う際の義務などについて、弁護士が網羅的に解説する。

  1. 個人情報保護法改正の趣旨
  2. 匿名加工情報とは
  3. 匿名加工情報の作成に当たっての加工基準
  4. k-匿名性
  5. 匿名加工情報を取り扱う場合の義務
  6. 匿名加工情報の利活用 ~具体例~
  7. まとめ
目次

個人情報保護法改正の趣旨

インターネット、スマートフォン、ソーシャル・ネットワーキング・サービス(SNS)などが発達した現代情報化社会では、人々の生活のあらゆる場面において、事業者がそれらの人々に関する情報を取得することが技術的に可能となっており、そのように取得した情報を利活用するビジネス(ビッグデータビジネス)の創出が期待されている。

ビッグデータと個人情報保護法

ビッグデータビジネスについての明確な定義はないが、例えば、昨今の革新的な情報・通信技術を活用して、きわめて大量のデータを高速で収集・解析することにより、社会・経済の問題の解決を図ったり、業務の付加価値を一層高めるための事業を意味するなどとされることもある。

この定義からもわかるように、ビッグデータは収集するだけでなく、活用して初めて価値のあるものである。

一方で、改正前個人情報保護法では、ビッグデータビジネスを利活用しようとしたビジネスについて改正前個人情報保護法下で違法性が指摘される事態がいくつも生じていた。

そのような背景事情もあり、ビッグデータが十分に利活用されず、いわば宝の持ち腐れとなってしまっているケースが多いことは否めない。

匿名加工情報の創設

そのような中、ビッグデータの利活用を促進することを目的として、改正個人情報保護法では、本人の同意なくしてパーソナルデータを利活用できる「匿名加工情報」についての仕組みが創設されることとなった。

「匿名加工情報」の制度は、個人情報を特定の個人を識別できないように加工した情報について、一定のルールの下で利用目的による規制をなくし、本人の同意を得ることなく第三者提供を可能とするものである。

匿名加工情報の可能性

これにより、事業者間におけるデータ取引やデータ連携を含むパーソナルデータの利活用が促進され、新事業や新サービスの創出、ひいては、国民生活の利便性の向上につながることが期待されている(図1参照)。たとえば、以下のような可能性が指摘されている。

  1. ポイントカードの購買履歴や交通系ICカードの乗降履歴などを複数の事業者間で分野横断的に利活用することにより、新たなサービスやイノベーションを生み出す可能性
  2. 医療機関が保有する医療情報を活用した創薬・臨床分野の発展や、カーナビなどから収集される走行位置履歴などのプローブ情報を活用したより精緻な渋滞予測や天候情報の提供などにより、国民生活全体の質の向上に寄与する可能性

匿名加工情報とは

匿名加工情報とは

「匿名加工情報」とは、個人情報を個人情報の区分に応じて定められた措置を講じて、特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものをいう。

「匿名加工情報」に求められる「特定の個人を識別することができない」という要件は、あらゆる手法によって特定することができないよう技術的側面から全ての可能性を排除することまでを求めるものではなく、少なくとも、一般人および一般的な事業者の能力、手法などを基準として当該情報を個人情報取扱事業者または匿名加工情報取扱事業者が通常の方法により特定できないような状態にすることを求めるものである。

また、「当該個人情報を復元することができないようにしたもの」という要件は、あらゆる手法によって復元することができないよう技術的側面から全ての可能性を排除することまでを求めるものではなく、少なくとも、一般人および一般的な事業者の能力、手法などを基準として当該情報を個人情報取扱事業者または匿名加工情報取扱事業者が通常の方法により復元できないような状態にすることを求めるものである。

匿名加工情報と統計情報の違い

「匿名加工情報」と似て非なる概念として「統計情報」というものがある。

「統計情報」は、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向または性質などを数量的に把握するものである。

つまり、「統計情報」は、特定の個人との対応関係が排斥されている限りにおいては、そもそも「個人に関する情報」に該当するものではないため、改正の前後を問わず個人情報保護法における規制の対象外と整理されている。

ただし、例えば、「統計情報」の作成において、ある項目の値を所定範囲ごとに区切る場合、その範囲の設定の仕方によってはサンプルが著しく少ない領域(高齢者、高額利用者、過疎地における位置情報など)が生じ、誰の情報であるか特定されやすくなることもあり得る

そのため、形式上「統計情報」となっていればよいというものではなく、「統計情報」として個人情報保護法の規律の外におくためには、実質的にも個人との対応関係が十分に排斥できるような形で統計化されていることが重要であるといえる。

したがって、「統計情報」は「匿名加工情報」と比較すると、より情報の統計化が進んでおり、情報としての利用方法が限定的であるといってよい。

EC事業者による匿名加工情報の利活用のイメージ

匿名加工情報の作成時の加工基準

匿名加工情報の作成時の加工基準

改正個人情報保護法第36条第1項では、「匿名加工情報」を作成するに当たっては、施行規則で定める基準に従うこととされており、その基準の概要は、以下のとおりである。

「個人情報の保護に関する法律についてのガイドライン」(匿名加工情報編) 9~15頁

① 個人情報に含まれる特定の個人を識別することができる記述などの全部または一部を削除

  • 例)
  • ・氏名を削除。
  • ・住所を削除または○○県△△市に置き換え。
  • ・生年月日を削除または日を削除し、生年月に置き換え。

② 個人情報に含まれる個人識別符号の全部を削除

(1) 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した符号

生体情報(DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋)をデジタルデータに変換したもののうち、特定の個人を識別するに足りるものとして規則で定める基準に適合するもの

(2) 対象者ごとに異なるものとなるように役務の利用、商品の購入または書類に付される符号

  • 例)
  • ・旅券番号
  • ・基礎年金番号
  • ・免許証番号
  • ・住民票コード
  • ・マイナンバー
  • ・各種保険証の番号  …などの公的機関が割り振る番号

③ 個人情報と当該個人情報に措置を講じて得られる情報を連結する符号を削除

サービス会員の情報について、氏名などの基本的な情報と購買履歴を分散管理し、それらを管理用IDを付すことにより連結している場合に、その管理用IDを削除

④ 特異な記述などを削除

  • 例)
  • ・症例数の極めて少ない病歴を削除。
  • ・年齢が「116歳」という情報を「90歳以上」に置き換え。

⑤ その他当該個人情報データベースなどの性質を勘案した措置
(匿名加工情報の加工に係る手法例:項目削除/レコード削除/セル削除 、一般化、トップ(ボトム)コーディング、ミクロアグリゲーション、データ交換(スワップ)、ノイズ(誤差)付加、疑似データ生成)

移動履歴を含む個人情報データベースなどを加工の対象とする場合において、自宅や職場などの所在が推定できる位置情報(経度・緯度情報)が含まれており、特定の個人の識別または元の個人情報の復元につながるおそれがある場合に、推定につながり得る所定範囲の位置情報を削除。(項目削除/レコード削除/セル削除)

k-匿名性

k-匿名性

施行規則では、「匿名加工情報」を作成する事業者全てに共通する内容、項目についての最低限の規律が定められ、事業の特性やデータ内容に応じた詳細なルールについては事業者の自主的なルールや認定個人情報保護団体による個人情報保護指針などに委ねられる方向である。

加工をすればするほど個人の識別が難しくなる一方で、データとしての有用性は低くなってしまうため、どこまで加工すればよいのかは難しい問題である。

そのような中、規則や自主的なルールの方向性を考えるための手がかりとして、「k-匿名性」という評価指標が広く用いられている。

「k-匿名性」とは、匿名化のレベルを数量化した尺度のことで、対象となるデータセット内に、同じ属性を持つデータがk件以上存在することを「k-匿名性を満たす」という。

「k-匿名性」を満たすように、データを加工することで、個人が特定される確率をk分の1以下に低減させることが可能となり、kが小さければ匿名化のレベルは低く、大きければ匿名化のレベルが高いことになる。

事業の特性やデータ内容に応じて、kをいくつに設定するかを議論することが今後の課題となろう。

なお、個人情報保護委員会としては、k-匿名性が、k=1の値を有する場合であっても、施行規則第19条各号に定める基準に従った加工を行うことにより匿名加工情報を作成することは可能であると考えているようである。

個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)(案)」に関する意見募集結果No.1017

匿名加工情報を取り扱う場合の義務

匿名加工情報を取り扱う場合の義務

「匿名加工情報」を作成する個人情報取扱事業者および「匿名加工情報データベースなど」を事業の用に供している匿名加工情報取扱事業者が、「匿名加工情報」を取り扱う場合などに遵守すべき義務をまとめると以下のとおりである。

匿名加工情報を作成する個人情報取扱事業者の義務

  1. 匿名加工情報を作成するときは、適正な加工を行わなければならない。
    (改正個人情報保護法第36条第1項)
  2. 匿名加工情報を作成したときは、削除した記述などおよび個人識別符号並びに加工方法などの情報の安全管理措置を講じなければならない。
    (改正個人情報保護法第36条第2項)
  3. 匿名加工情報を作成したときは、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
    (改正個人情報保護法第36条第3項)
  4. 匿名加工情報を第三者提供するときは、提供する匿名加工情報に含まれる個人に関する情報の項目および提供方法について公表するとともに、提供先に当該情報が匿名加工情報である旨を明示しなければならない。
    (改正個人情報保護法第36条第4項)
  5. 匿名加工情報を自ら利用するときは、元の個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。
    (改正個人情報保護法第36条第5項)
  6. 匿名加工情報を作成したときは、当該匿名加工情報の安全管理措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じて、その内容を公表するよう努めなければならない。
    (改正個人情報保護法第36条第6項)

匿名加工情報データベースなどを事業の用に供している匿名加工情報取扱事業者の義務

  1. 匿名加工情報を第三者提供するときは、提供する匿名加工情報に含まれる個人に関する情報の項目および提供方法について公表するとともに、提供先に当該情報が匿名加工情報である旨を明示しなければならない。
    (改正個人情報保護法第37条)
  2. 匿名加工情報を利用するときは、元の個人情報に係る本人を識別するために、削除した記述など若しくは個人識別符号若しくは加工方法に関する情報を取得し、または当該匿名加工情報を他の情報と照合してはならない。
    (改正個人情報保護法第38条)
  3. 匿名加工情報の安全管理措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じて、その内容を公表するよう努めなければならない。
    (改正個人情報保護法第39条)

図2

出典:個人情報保護委員会事務局レポート:匿名加工情報『パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて』

匿名加工情報の利活用 ~具体例~

匿名加工情報の利活用 ~具体例~

「匿名加工情報」の利活用の具体例としては、以下のようなものが想定されている。

個人情報保護委員会事務局レポート:匿名加工情報『パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて』43頁以下

購買履歴の事例

購買履歴については、消費者向けに商品を販売する小売事業者、通信販売事業者、決済手段を提供するクレジットカード事業者、ポイントカード運営事業者などにおいて様々な形で取得・蓄積されている。

これらの購買履歴については、例えば、次の事例のように、広告、マーケティング、商品開発などをはじめ様々な目的のための活用が想定される。

  • 小売事業者が保有する購買履歴について匿名加工を行ったうえで、匿名加工情報の枠組みを活用して、一般事業者へ提供された場合、一般事業者においては、そこに含まれる消費者の基本属性と購買傾向から、自社の新商品の開発や販売促進活動などに利用すること。
  • クレジットカード事業者が保有するカード利用情報について、匿名加工を行った上で、匿名加工情報の枠組みを活用して、一般事業者へ提供された場合、一般事業者においては、提供を受けた匿名加工情報に基づいて、年収や職業と利用加盟店などの関係を分析することにより、マーケティングに活かすこと。

乗降履歴・移動履歴の事例

乗降履歴については、非接触型ICカードの普及に伴い鉄道会社(JR・私鉄・地下鉄など)あるいはバス会社などにおいて取得・蓄積が進んでいる。

また、カーナビゲーション(以下「カーナビ」という。)や自動車に搭載したGPS受信機によって取得できる位置情報(移動履歴)についても、車載通信機の普及に伴い、カーナビメーカーや自動車メーカーにおいて蓄積・活用が進んでいる。

これらの乗降履歴・移動履歴については、例えば、次の事例のように、各エリアや道路などの動線分析、通勤圏や商圏分析、地域開発、広告、マーケティング、商品開発などをはじめ様々な目的のために活用が想定される。

  • 鉄道会社が保有する乗降履歴情報について、匿名加工を行ったうえで、匿名加工情報の枠組みを活用して、一般の事業者に提供された場合、一般事業者においては、鉄道利用者の基本属性(年代、性別など)や鉄道の乗降履歴に基づいて、商圏分析やターゲティング広告の広告戦略に活用すること。
  • 自動車会社が保有する移動履歴情報について、匿名加工を行ったうえで、匿名加工情報の枠組みを活用して、一般事業者(小売業)に提供された場合、一般事業者においては、自動車の移動履歴とその所有者の年代や性別などの基本属性に基づいて、店舗における商品ラインナップの検討や新しい店舗の出店計画に活用すること。

電力利用データの事例

我が国において、2020年代早期に家庭の全世帯にスマートメーターを導入することが、2014年4月に閣議決定されたエネルギー基本計画でも目標とされており、スマートメーターやネットワーク接続された分電盤などを通じて得られた家庭の電力使用量に係る履歴データが、今後、電力事業者などにおいて取得・蓄積されていくことが想定される。

これらの電力利用データについては、例えば、次の事例のように、電力使用パターンを踏まえた具体的な節電アドバイス、子供や一人暮らしの高齢者の見守り、生活様態推計を踏まえたマーケティングなどの様々な目的のために活用が想定される。

Home Energy Management System(HEMS)

管理事業者が保有する電力利用量情報について、匿名加工を行った上で、匿名加工情報の枠組みを活用して、家電メーカーなどの一般事業者へ提供された場合、一般事業者においては、家族構成と各家電の使用状況とから生活スタイルの分析を行い、既存製品の広告戦略や新商品の開発に利用すること。

まとめ

以上のとおり、今回の個人情報保護法の改正を契機として、事業者間におけるデータ取引やデータ連携を含むパーソナルデータの利活用が促進され、新事業や新サービスの創出、ひいては、国民生活の利便性の向上につながることが期待される。

各事業者においては、どのようにデータを利用することが可能なのか、そのためにはどのような情報を取得し、どのような加工方法を採用すべきかなど、検討する課題は多いが、ビジネスチャンスを見つけ出し、高度情報社会を勝ち抜くためにも、検討いち早く進めることが望まれる。

白石 和泰 氏
寄稿
TMI総合法律事務所
弁護士
白石 和泰 氏
村上 諭志 氏
寄稿
TMI総合法律事務所
弁護士
村上 諭志 氏
森田 祐行 氏
寄稿
TMI総合法律事務所
弁護士
森田 祐行 氏
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次