改正個人情報保護法ではビッグデータの扱いをどのように定めたか

IT・情報セキュリティ 公開 更新

 平成27年の改正個人情報保護法において設けられたビッグデータに関する規律について、その背景と用語の定義を教えてください。

 個人情報から特定の個人を識別することができないように加工し、その個人情報を復元することができないようにしたものを「匿名加工情報」として、匿名加工情報を加工する事業者に対して、本人の同意を得る代わりに、匿名加工情報の加工に関する基準、加工方法に関する漏えい防止措置、作成した匿名加工情報に関する公表義務、自ら取り扱う場合の識別行為の禁止義務、安全管理措置・苦情処理等の義務、匿名加工情報の第三者提供をする場合の明示・公表義務を課するものです。

 匿名加工情報の提供を受けた事業者も、本人の識別行為の禁止義務、第三者提供をする場合の明示・公表義務を負います。

解説

目次

  1. 改正の背景
    1. ビッグデータの利活用と具体的な問題
    2. パーソナルデータの利活用に関する政府による検討
  2. 定義
    1. 匿名加工情報とは(個人情報保護法2条9項、GL(匿名加工情報編)2-1)
    2. 匿名加工情報データベース等(個人情報保護法2条10項、個人情報保護法施行令6条)
    3. 匿名加工情報取扱事業者(個人情報保護法2条10項)

※セキュリティ研究者の高木浩光氏の御指摘に基づき訂正および正確性を期す修正をいたしました。御指摘誠にありがとうございます。

※本QAの凡例は注のとおりです1

改正の背景

ビッグデータの利活用と具体的な問題

 情報通信技術の飛躍的な進展は、多種多様かつ膨大なデータ、いわゆるビッグデータの収集・分析を可能としました。特に、個人の行動・状態等に関する情報に代表される、パーソナルデータについては利用価値が高いとされています。

 そのような動きの中で、企業が、保有する個人データから特定の個人の識別性を低減した情報(ビッグデータ)を利活用することが進んできています。
 反面、ビッグデータには個人情報保護法のようなルールが適用されないため、その利活用の方法について顧客やマスメディアに問題視されることがあります。

 平成25年6月、東日本旅客鉄道株式会社(以下「JR東日本」といいます)は、Suica利用データから氏名、電話番号、物販情報等を除外し、生年月日を生年月に変換した上、さらに、SuicaID番号を不可逆の別異の番号に変換したデータを株式会社日立製作所に提供(提供は7月に実施)することが明らかになり、多くの利用者から、個人情報の保護、プライバシーの保護や消費者意識に対する配慮に欠けているのではないかとして批判や不安視する声があがりました(参照: Suica に関するデータの社外への提供についての有識者会議「Suica に関するデータの社外への提供について とりまとめ」(2015年10月)、JR東日本「Suica に関するデータの社外への提供について」(2015年11月26日))。

 このような批判が起きた原因について、Suica に関するデータの社外への提供についての有識者会議「Suica に関するデータの社外への提供について 中間とりまとめ」(2014年2月)(以下、「中間とりまとめ」)では、「利用者から、プライバシーの保護や消費者意識に対する配慮が十分ではないという批判・不安の声があがったのは、移動履歴という利用者にとって関心の高い情報を提供するにあたって、事前に十分な説明や周知を行わなかったことによると考えられる。」としています。

 利用規約にはSuicaデータの提供について記載はなく、提供をするにあたって規約の変更も行わず、文書などによる利用者への告知もありませんでした。

 さらに、「中間とりまとめ」では「データが提供されることを望まない利用者への対応(いわゆるオプトアウト)等についても、2013 年 7 月に日立製作所に(中略)提供した段階では配慮が不足していたと考えられる。」としており、 2015年10月に公表された「Suica に関するデータの社外への提供について とりまとめ」の中ではビッグデータの利活用を進めるためには、社会の理解が必要であり、利用者との信頼関係が重要となる旨、まとめられています。

パーソナルデータの利活用に関する政府による検討

 このような状況の中で、政府においては以下のとおり、パーソナルデータの利活用という形で検討が進められ、改正個人情報保護法の中で「匿名個人情報」に関するルールが新たに設けられました。

 個人情報保護法では、目的外利用や第三者提供にあたっての本人の同意(個人情報保護法16条1項、23条1項)は、パーソナルデータの「利活用の壁」とされています。

 「本人の同意」の趣旨は、個人の権利利益の侵害を未然防止することですが、「本人の同意」がなくてもデータの利活用を可能とする枠組みが改正個人情報保護法では設けられました。「匿名加工情報」(個人情報保護法2条9項)は、個人情報から特定の個人を識別することができないように加工し、その個人情報を復元することができないようにしたものであり、個人情報保護法36条から39条に匿名加工情報取扱事業者等の義務が定られていますが、第三者提供に本人の同意は必要ありません。

 ビッグデータに関する規律は、プライバシー法制の先進国であるEUなどにもないものであり、日本独特のローカルルールといえるでしょう。

定義

匿名加工情報とは(個人情報保護法2条9項、GL(匿名加工情報編)2-1)

 「匿名加工情報」とは、次に掲げる個人情報の区分に応じて当該各号に定められる措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元できないようにしたものです。

個人情報保護法2条1項1号に該当する個人情報(以下「1号個人情報」といいます)2

当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む)


個人情報保護法2条1項2号に該当する個人情報(個人識別符号が含まれる個人情報)(以下「2号個人情報」といいます)

当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む)


 個人識別符号の定義については、「改正個人情報保護法によって設けられた個人識別符号とは?」を参照ください。

(1)特定の個人を識別することができないように個人情報を加工

 1号個人情報における「特定の個人を識別することができないように個人情報を加工」(個人情報保護法2条9項本文)について、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」(以下「GL(匿名加工情報編)」といいます)2-1においては、「特定の個人を識別することができなくなるように当該個人情報に含まれる氏名、生年月日その他の記述等を削除することを意味する」と記載されています。

 2号個人情報における「特定の個人を識別することができないように個人情報を加工」について、GL(匿名加工情報編)2-1においては、「当該個人情報に含まれる個人識別符号の全部を特定の個人を識別することができなくなるように削除することを意味する」と記載されています。この措置を講じたうえで、まだなお1号個人情報に該当する場合には、同号に該当する個人情報としての加工を行う必要があります。

(2)削除すること、復元することのできる規則性を有しない方法

 「削除すること」には、「当該一部の記述等」または「当該個人識別符号」を「復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む」とされています。
 「復元することのできる規則性を有しない方法」とは置き換えた記述から、置き換える前の特定の個人を識別することとなる記述等または個人識別符号の内容を復元することができない方法です。

(3)特定の個人を識別

 「特定の個人を識別することができる」とは、情報単体または複数の情報を組み合わせて保存されているものから社会通念上そのように判断できるものをいい、一般人の判断力または理解力をもって生存する具体的な人物と情報の間に同一性を認めるに至ることができるかどうかによるものです。

 匿名加工情報に求められる「特定の個人を識別することができない」という要件は、あらゆる手法によって特定することができないよう技術的側面からすべての可能性を排除することまでを求めるものではなく、少なくとも、一般人および一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者または匿名加工情報取扱事業者が通常の方法により特定できないような状態にすることを求めるものです。

(4)当該個人情報を復元することができないようにしたもの

 「当該個人情報を復元することができないようにしたもの」とは、通常の手法では、匿名加工情報から匿名加工情報の作成の元となった個人情報に含まれていた特定の個人を識別することとなる記述等または個人識別符号の内容を特定すること等により、匿名加工情報を個人情報に戻すことができない状態にすることをいいます。

 この要件は、あらゆる手法によって復元することができないよう技術的側面からすべての可能性を排除することまでを求めるものではなく、少なくとも、一般人および一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者または匿名加工情報取扱事業者が通常の方法により復元できないような状態にすることを求めるものです。

(5)統計情報

 なお、「統計情報」は、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向または性質などを数量的に把握するものです。したがって、統計情報は、特定の個人との対応関係が排斥されている限りにおいては、個人情報保護法における「個人に関する情報」に該当するものではないため、改正前の個人情報保護法においても規制の対象となりません

(6)匿名加工情報を作成するとき

 また、「安全管理措置の一環として氏名等の一部の個人情報を削除(又は他の記述等に置き換え)した上で引き続き個人情報として取り扱う場合」、「匿名加工情報を作成するために個人情報の作成作業が完了しておらず加工が不十分である可能性がある場合に引き続き個人情報として取り扱う場合」、「統計情報を作成するために個人情報を加工する場合」等については、匿名加工情報を「作成するとき」(個人情報保護法36条1項)には該当しませんので、匿名加工情報として扱う必要はありません(PC別紙2:886、GL(匿名加工情報編)3-2)

(7)要配慮個人情報から作成した匿名加工情報

 なお、要配慮個人情報(個人情報保護法2条3項)(参照:「要配慮個人情報とは」)についても特定の個人を識別することができないようにした場合には「匿名加工情報」とすることができます。ただし、数百万人に一人の難病のような特異な情報に該当する場合については、匿名加工基準(参照:「匿名加工情報の作成者に適用される適正加工義務」)に従って排除することになると考えられます。要配慮個人情報から作成した匿名加工情報についても、改正個人情報保護法36条から39条の規定に基づき適切に取り扱われる必要があります。

匿名加工情報データベース等(個人情報保護法2条10項、個人情報保護法施行令6条)

 「匿名加工情報データベース等」とは、これに含まれる匿名加工情報を一定の規則に従って整理することにより特定の匿名加工情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいいます。
 「個人情報」における「個人情報データベース等」(個人情報保護法2条4項)とパラレルの概念です。

 「匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの」とは、特定の匿名加工情報をコンピュータを用いて検索することができるように体系的に構成した、匿名加工情報を含む情報の集合物をいいます。また、コンピュータを用いていない場合であっても、紙媒体の匿名加工情報を一定の規則に従って整理・分類し、特定の匿名加工情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものも該当します(GL(匿名加工情報編)2-2)。

匿名加工情報取扱事業者(個人情報保護法2条10項)

 「匿名加工情報取扱事業者」とは、匿名加工情報データベース等を事業の用に供している者をいいます。
 「個人情報」における「個人情報取扱事業者」とパラレルの概念です。

 ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問いません。なお、法人格のない、権利能力のない社団(任意団体)または個人であっても匿名加工情報データベース等を事業の用に供している場合は匿名加工情報取扱事業者に該当します(GL(匿名加工情報編)2-2)。

<追記>
平成30年1月24日:セキュリティ研究者の高木浩光氏の御指摘に基づき、「A」、「1-1 ビッグデータの利活用と具体的な問題」、「1-2 パーソナルデータの利活用に関する政府による検討」、「2-1 匿名加工情報とは(個人情報保護法2条9項、GL(匿名加工情報編)2-1)」 の項目の記載を見直しました。その他、全体的に正確性を期すための文言修正、根拠の追加などを行っております。
平成30年2月19日:「2-1 匿名加工情報とは(個人情報保護法2条9項、GL(匿名加工情報編)2-1)」「脚注2」の記載を個人情報保護法、ガイドラインの参考箇所を加えたほか、一部内容を見直しました。

    • 改正個人情報保護法、個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
    • 改正前個人情報保護法:全面改正前の個人情報の保護に関する法律
    • 個人情報保護法施行規則:個人情報の保護に関する法律施行規則(平成28年10月5日個人情報保護委員会規則第3号)
    • Q&A:「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」(平成29年2月16日個人情報保護委員会)
    • GL(匿名加工情報編):個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)(平成28年11月30日個人情報保護委員会告示第9号)
    • 個人情報保護ガイドライン(通則編):個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月30日個人情報保護委員会告示第6号)
    • PC:「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集結果(個人情報保護委員会:平成28年10月5日)

    ↩︎

  1. 個人情報保護法2条1項は、「この法律において「個人情報」とは、生存する個人に関する情報であっ て、次の各号のいずれかに該当するものをいう。」と定め、個人情報保護法2条1項1号は、「当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」と定めています。

    これは、平成29年5月30日施行の改正前からも個人情報に該当したものです。なお、個人情報保護法2条1項1号の定義において、「当該情報に含まれる氏名、生年月日その他の記述等」からは「個人識別符号を除く。」と規定されているとおり、個人識別符号を含む個人情報は、個人情報保護法2条1項1号に該当する個人情報には該当しないようにも読めます。もっとも、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。」に関しては、個人識別符号を除くものとは規定されておらず、また、個人識別符号であっても他の情報と容易に照合が可能であることにより、個人情報保護法2条1項1号に該当する個人情報に該当する場合もあり得るものと考えられます。

    GL(匿名加工情報編)2-1において、『法第2条第1項第2号に該当する「個人識別符号が含まれる」個人情報の場合には、「特定の個人を識別することができないように個人情報を加工」とは、当該個人情報に含まれる個人識別符号の全部を特定の個人を識別することができなくなるように削除することを意味する(この措置を講じた上で、まだなお法第2条第1項第1号に該当する個人情報であった場合には、同号に該当する個人情報としての加工を行う必要がある。)。』と規定されているとおり、個人情報保護法2条1項2号に該当する個人情報(個人識別符号を含む個人情報)は、同項1号に該当する個人情報に包含される場合もあることを前提としているように読めます。
    この点につきましては、御指摘いただきましたセキュリティ研究者の高木浩光氏に感謝いたします。 ↩︎

無料会員にご登録いただくことで、続きをお読みいただけます。

1分で登録完了

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する