| 会員番号 2581 斉藤茂雄(個人情報保護監査研究会) |
|
| |
今月号では「第四章 第二節 匿名加工情報取扱事業者等の義務」から解説します。すべて未施行の条項です。
2016年6月3日の第10回個人情報保護委員会において「匿名加工情報に関する委員会規則等の方向性について」が示され、2016年7月15日には「個人情報の保護に関する法律施行令(改正案)」および、「個人情報の保護に関する法律施行規則案(以下施行規則(案)と呼ぶ)」が公表されました。今後の連載においては、施行規則(案)についても引用していきます。
なおちょっとしたトピックスですが、2016年5月27日に「新個人情報保護法」が一部改定されました。ここでは、第38条で解説します。
この連載の前回までの内容は、以下のサイトで閲覧できます。
目次 =https://www.saaj.jp/03Kaiho/saajpmsHoritsu/000PIPHoritsu.html
|
第四章 個人情報取扱事業者の義務等 (続き) ※法の改正点は赤字で表記しています。
第二節 匿名加工情報取扱事業者等の義務
第36条(匿名加工情報の作成等) (新設)
| 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。 |
|
- 法第36条では、“個人情報取扱事業者”について規定しています。
加工専門の事業者などは、匿名加工情報取扱事業者等と呼び、自ら取扱う(利用する)事業者を匿名加工情報取扱事業者としています。加工専門の個人情報取扱事業者も、匿名加工情報取扱事業者と同等の制約を課せられることになります。
- 第10回委員会の報告2.(1)①(イ)では『匿名加工情報を作成する事業者全てに共通する一般的な加工手法その他最低限の規律を定めることとし、これに従って事業者が具体的にどのような加工を行うかについては、取り扱う個人情報、取扱い実態等に応じて定めることが望ましいことから、認定個人情報保護団体が作成する指針等の自主的なルールに委ねることとする。』としています。
- すべての事業分野に認定個人情報保護団体が存在しているわけではありませんが、認定個人情報保護団体は、事業分野ごとに現在42団体が登録されています。
http://www.ppc.go.jp/files/pdf/personal_ninteidantai.pdf
認定個人情報保護団体として、JIPDECなどのいくつかの団体が見本となるルールを策定し、類似の事業分野の他団体がそれに倣うという図式が考慮される可能性があります。
- 第36条1号に関して、施行規則(案)が出されました。
| ★2016年7月15日 個人情報保護委員会規則(案) |
第十九条 (匿名加工情報の作成の方法に関する基準)
| 法第36条第一項の個人情報保護委員会規則で定める基準は、次のとおりとする。 |
| |
一 |
個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該 全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えるこ とを含む。)。 |
| |
二 |
個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる 規則性を有しない方法により他の記述等に置き換えることを含む。)。 |
| |
三 |
個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者に おいて取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのでき る規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結するこ とができない符号に置き換えることを含む。)。 |
| |
四 |
特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法によ り他の記述等に置き換えることを含む。)。 |
| |
五 |
前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース 等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘 案し、その結果を踏まえて適切な措置を講ずること。 |
|
- 待ちに待った、匿名加工情報を作成する個人情報保護委員会規則の基準ですが、蓋を開ければ “個人識別符号の全部を削除“、“連結する符号を削除 “、“特異な記述等を削除” と、シンプルな規則となっています。(第五号はパブコメで質問したいところです。) なお、個人情報保護委員会規則に従って匿名加工情報を作成したことを、どのように証明するのでしょうか。第三者機関の活用など、まだまだ明確になっていません。
|
| 2 |
個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。 |
|
|
- 第10回個人情報保護委員会の報告2.(1)②(イ)では『匿名加工情報は、作成の元となる個人情報又は匿名加工情報内容が取扱事業者ごとに異なることから、漏えい防止のため講ずべき具体的安全管理措置も異なり得るものである。』としています。 更に『匿名加工情報の作成に携わる者(以下「作成従事者」という。)を限定するなどの社内規定の策定、作成従事者等の監督体制の整備、個人情報から削除した事項及び加工方法に関する情報へのアクセス制御、不正アクセス対策等を行うことが考えられるが、規定ぶりについて今後具体的に検討する。』としています。
| ★2016年7月15日 個人情報保護委員会規則(案) |
第二十条(加工方法等情報に係る安全管理措置の基準)
| 法第36条第一項の個人情報保護委員会規則で定める基準は、次のとおりとする。 |
| |
一 |
加工方法等情報(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第36条第一項の規定により行った加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)をいう。以下この条において同じ。)を取り扱う者の権限及び責任を明確に定めること。 |
| |
二 |
加工方法等情報の取扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること。 |
| |
三 |
加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置を講ずること。 |
|
- 施行規則(案)では、具体的に、“規程類を整備”し、規程類に従って適切に取り扱うとともに、“取扱いの状況について評価”し、“改善を図る”よう、PDCAを求めています。
|
| 3 |
個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。 |
|
- 2014年の法案の段階では、“匿名加工情報を作成することをあらかじめ届け出る”となっており議論を呼びましたが、過度な規制にならないように、公表義務のみで事前の届出までは求めないことになりました。
| ★2016年7月15日 個人情報保護委員会規則(案) |
第二十一条(個人情報取扱事業者による匿名加工情報の作成時における公表)
| 法第36条第三項の規定による公表は、匿名加工情報を作成した後、遅滞なく、インターネットの利用その他の適切な方法により行うものとする。 |
| 2 |
個人情報取扱事業者が他の個人情報取扱事業者の委託を受けて匿名加工情報を作成した場合は、当該他の個人情報取扱事業者が当該匿名加工情報に含まれる個人に関する情報の項目を前項に規定する方法により公表するものとする。この場合においては、当該公表をもって当該個人情報取扱事業者が当該項目を公表したものとみなす。 |
|
- 【施行規則(案)】では、公表義務を負うのは、委託元であることが明記されています。
|
4 |
個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を 第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。 |
|
- 匿名加工情報は、個人情報取扱事業者から第三者提供されて、匿名加工情報取扱事業者に渡ることからはじまります。この情報が匿名加工情報であると明示することは、第36条第5項、および第38条の「他の情報と照合してはならない」という規制を有効にするために必要です。
| ★2016年7月15日 個人情報保護委員会規則(案) |
第二十二条(個人情報取扱事業者による匿名加工情報の第三者提供時における公表等)
| 法第36条第四項の規定による公表は、インターネットの利用その他の適切な方法により行うものとする。 |
| 2 |
法第36条第四項の規定による明示は、電子メールを送信する方法又は書面を交付する方法その他の適切な方法により行うものとする。 |
|
公表は、“インターネットの利用” が原則とされました。公表するとともに、当該第三者に原則として書面で明示することになります。
|
| 5 |
個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。 |
|
- 国会審議では「復元することができないようにしたもの」という点が議論になりました。「技術的に100%復元できないということはなかなか難しいと思っておりまして、そこは通常の手段を用いて復元できないということで、100%復元することを不可能にすることまで求めるものではございません。」(参議院内閣委員会2015年5月28日)と答弁されています。しかし技術的に100%復元不可能が保証されないとすると「匿名加工情報」の利活用の制度が崩れてしまいます。そのため改正法では、第36条5項や第38条(識別行為の禁止)により、元データと照合してはならない、元データに戻してはいけないと、それを禁止することで、この「匿名加工情報」の信頼性を担保しているといえます。 事業者内で安全管理上の観点から個人情報を匿名化する若しくは仮名化する行為が匿名加工に当たるかどうか、国会審議などでも大きな問題になりました。システム開発などのテストデータとして個人情報の氏名等をマスキングして用いるのは普通のことだからです。結論からいうと今後策定される個人情報保護委員会規則で定める基準に従って、個人を識別できないよう、かつ復元できないよう加工したものが匿名加工情報であり、そうでないものは“匿名加工情報ではない”ということになっています。(参議院内閣委員会2015年5月28日での審議)
- なお、個人情報保護委員会規則で定める基準に従わないで匿名化したデータは、“個人情報”のままであるとみなされることに注意が必要です。
- 「EU一般データ保護規則」 (GDPR:General Data Protection Regulation)では、仮名化データは個人情報とみなす。としています。仮名化データとは、追加情報の利用なくしては、特定のデータ主体に結び付けることができないように措置し処理する個人データ。当該追加情報は分離して保管され、技術的かつ組織的措置の下にあることが求められる。と定義されています。「匿名加工情報」との切り分けは明確でなく、そのため、「匿名加工情報」が個人情報でないとする「新個人情報保護法」の概念は、EUの定義に抵触する可能性が懸念されています。
|
| 6 |
個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。 |
|
- ここでは、苦情の処理その他に係る措置について公表するよう努力義務を課しています。匿名加工情報は、個人を特定できないことが前提ですので義務とまではしていませんが、社会全体のスキームとして、意見を受け付ける窓口を設置することが望ましいということでしょう。
- 安全管理のための必要な措置については、詳細を公表する必要はありませんが、“安全管理措置を講じる”ことを、表明する姿勢が望まれます。
|
第37条(匿名加工情報の提供)
| 匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。以下この節において同じ。)を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。 |
|
| ★2016年7月15日 個人情報保護委員会規則(案) |
第二十三条(匿名加工情報取扱事業者による匿名加工情報の第三者提供時における公表等)
| 前条第一項の規定は、法第37条の規定による公表について準用する。 |
|
- 自ら個人情報を加工して作成した匿名加工情報を第三者提供する場合については、すでに第36条4項で規定しています。そのため、第37条では、匿名加工情報取扱事業者が更に第三者提供する場合の措置として規定されました。
|
第38条(識別行為の禁止)
| 匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第36条第一項、行政機関の保有する個人情報の保護に関する法律(平成十五年法律第五十八号)第四十四条の十第一項(同条第二項において準用する場合を含む。)若しくは独立行政法人等の保有する個人情報の保護に関する法律第四十四条の十第一項(同条第二項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。 |
|
- 2016年5月27日に個人情報保護法が改定されました。上記の緑字が追加された部分です。「行政機関の保有する個人情報の保護に関する法律」第44条で「行政機関非識別加工情報」が規定されました。同様に「独立行政法人等の保有する個人情報の保護に関する法律」では「独立行政法人等非識別加工情報」が規定されました。いずれも、民間事業者の取り扱う「匿名加工情報」と同じ概念です。
- ※ 今回の改正で、新個人情報保護法が、最上位の法律として「行政機関非識別加工情報」「独立行政法人等非識別加工情報」についても制約を課すこととなりました。
- ※ 第38条は、第36条5項と同様の禁止事項ですが、ここでは他者が作成した匿名加工情報について識別行為を禁止しています。匿名加工情報は技術的に100%復元不可能とすることが難しいことから、元となる個人情報を意図的に探るような、匿名加工情報を他の情報と照合する行為を禁止しています。
|
第39条(安全管理措置等)
| 匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。 |
|
- ※ 第36条6項と同じく、匿名加工情報取扱事業者についても、苦情の処理その他に係る措置について公表するよう努力義務を課しています。
|
匿名加工情報」は復元できないようにした情報なので、個人情報ではありません。(「個人に関する情報」と言っているようです。)したがって「匿名加工情報」に対しては、個人情報保護委員会規則に従って匿名加工し、必要な届出、公表、明示等の措置を取っていることが認められれば、利用や第三者提供に本人の同意は不要となります。しかし、加工前のデータの保管、もしくは削除等の安全管理対策については、当然のことながらより厳しく問われることになります。
|
|
|
SAAJ「PMSハンドブック」ご紹介サイト:http://www.saaj.or.jp/shibu/kojin.html
認定NPO法人 日本システム監査人協会 個人情報保護監査研究会
|