匿名加工情報とは?何ができる?要点を解説!
ビッグデータの活用は、事業推進に大きな役割を持ちます。一方で、ビッグデータに含まれる代表的な情報である「匿名加工情報」について、その加工方法や基準、事業者の義務は法律・規則で細かく定められており、全体を把握するのは難しいかもしれません。匿名加工情報の要点や特徴、利点をまとめたこの記事で詳細を確認し、匿名加工情報についてマスターしましょう。
目次
匿名加工情報って何?
匿名加工情報とは、個人情報保護法(第2条第9項)において次のように定義されています。
次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの
簡単にまとめると、匿名加工情報は「個人情報を加工して得られるもの」であり、
その大きな特徴は
①特定の個人を識別できない
②個人情報を復元できない
の2つです。
2点とも、一般人や一般的な事業者が識別・復元できないようにすれば良く、技術的な側面から全ての識別・復元可能性を排除する必要まではありません。
匿名加工情報が誕生した背景:ビッグデータとの関係
匿名加工情報は、2017年の個人情報保護法改正に伴って設定されました。
改正前の個人情報保護法では、個人情報データベース等の利活用に強い制限がかかっており、情報資源を十分に役立てられていませんでした。時代の変化に伴って、個人情報を適切に管理・加工した上で活用する方法が必要となり、今回の法改正に反映されました。
この情報化社会において、ビッグデータは大きな価値を持ちます。社会の実態に合わなくなった条文を変更し、ビッグデータを適切に活用したビジネスを成立させるための法整備と言えます。
匿名加工情報と統計情報は何が違う?
匿名加工情報に似た概念として「統計情報」があります。
統計情報とは、項目ごとに集計して得られるデータで、対象集団の傾向や性質などを把握することを目的とします。統計情報は、個人と情報との対応関係が十分に除外された統計的な情報である限り、個人情報にも該当しません。
統計情報は匿名加工情報よりも統計化されており、利用方法が限定的になっています。
匿名加工情報と仮名加工情報は何が違う?
匿名加工情報と仮名加工情報は、名前も一文字違いで紛らわしいですよね。
仮名加工情報とは、簡単に言うと「他の情報と照合しない限り特定の個人を識別できないように加工された情報」です。一見難しく見えますが、裏を返せば「他の情報と照合すれば特定の個人を識別できる」程度に加工された情報です。匿名加工情報は、他の情報と照合しても個人を識別できない程度まで加工する必要があったので、仮名加工情報の方が加工基準は緩いと言えます。その分、取扱いに関しては匿名加工情報よりも厳しい制約が設けられているケースがあります。
匿名加工情報と仮名加工情報はどう使い分ければ良い?
匿名加工情報は、含まれる情報の項目の公表は必要ですが、利用目的を特定して公表する必要はありません。一方で、仮名加工情報は利用目的を可能な限り特定して公表する必要があります。そのため、匿名加工情報の方が自由な利活用が認められています。
また、仮名加工情報は、いくつかの特例を除き、第三者に提供することができません。他の事業者と活用する場合は、委託や共同利用の形態をとる必要があります。一方で、匿名加工情報であれば、ビックデータとして一般に提供する目的で利用することができます。
匿名加工情報の利活用例
匿名加工情報は、企業のPRや販売戦略など、様々なところで利活用することができます。具体的にどのような情報がどのような場面で使えるのか、確認していきましょう。
①買い物の情報
購買履歴は、広告やマーケティング、商品開発など様々な目的での活用が想定されます。
消費者の基本属性や購買傾向は、小売事業者やポイントカードの運営事業者、クレジットカードの事業者等が取得・蓄積しています。
②移動の記録
公共交通機関の乗降記録や、カーナビ等のGPSから取得される移動記録も、動線の分析や地域を絞った開発・マーケティングなどに活用されることが想定されます。
公共交通機関に関しては、ICカードの普及に伴って乗降記録が取得・蓄積されています。
移動記録に関しても、車載カーナビが普及したことから、取得・蓄積が進んでいます。
③電気消費量の情報
2014年4月に閣議決定されたエネルギー基本計画において、2020年代に家庭の全世帯にスマートメーターを導入することが目標とされます。スマートメータ―を通して、家庭の電力使用量や使用時間の情報が蓄積されていくことでしょう。
これらの情報を活かして、節電のアドバイスや一人暮らし高齢者の見守り等のサービスが行われると予想されます。
匿名加工情報に加工する際の基準
個人情報を匿名加工情報に加工する際には、ガイドラインで定められた操作をする必要があります。
①特定の個人を識別できる記述の削除
個人情報に含まれる、特定の個人を識別することができる記述を、全てもしくは一部削除することが必要です。復元不可能な方法で他の記述に置き換えることも含みます。
たとえば、氏名を削除したり、住所を県・市のみに置き換えることが挙げられるでしょう。特定の一人に絞り込むことができないように、加工方法を検討する必要があります。
②全ての個人識別符号を削除
個人情報に含まれる個人識別符号を全て削除する、もしくは置き換える必要があります。
個人識別符号は大きくわけて2種類あります。
①コンピュータで用いる身体的な情報
例:DNA、顔認証、指紋、手指の静脈 など
②個人に割り当てられる番号
例:パスポート番号、免許証番号、マイナンバー など
何が個人識別符号に含まれるかは、法律で定められています。詳細を知りたい方は、下記リンクの第一条をご参照ください。
参照:個人情報の保護に関する法律施行令 | e-Gov法令検索
③個人情報を連結する符号の削除
個人情報と、その個人情報を措置して得られる情報を、連結する符号を削除することが必要です。
個人情報を措置して得られる情報とは、例えばECサイトでは購買履歴がこれに当たります。この場合、連結する符号は会員IDなどが該当します。この会員IDを削除する必要がある、ということです。
④特異な記述の削除
どの程度を「特異」とするかという基準を明確にすることは難しいですが、特殊で数が少ない事例が該当します。例えば、症例数が極めて少ない病歴や、110歳を超える年齢などが挙げられるでしょう。それぞれ、削除したり大まかな区切り(この場合は「90歳以上」など)に置き換えたりする必要があります。
⑤その他:データベースに関連して
個人情報を含むデータベースを加工する際にも、特定の個人を識別したり元の個人情報を復元したりできないように、情報を削除する必要があります。
どのように加工方法を検討する?
匿名加工情報に加工する際には、以上の5つの観点を考慮して個別に検討する必要があります。
他の個人情報データベースとの紐づけされる可能性も加味して考えなければならない点に注意が必要です。
どれくらい匿名化すれば良い?:「k-匿名性」
加工方法を考える時に、どの程度まで加工すれば良いか疑問に思うこともあるのではないでしょうか。それぞれに含まれる情報によって必要な加工方法・程度は変化するため、明確な基準は定めにくくなっています。
その中で、匿名度を測る一つの指標があります。「k-匿名性」です。
個人情報リストを加工し、少なくともk-1人を区別することができないとき、そのデータはk-匿名性を持つと言います。つまり、kに入る数が大きくなればなるほど、1人の個人が特定される可能性が低くなるということです。
このkの値の基準も定められているわけではありませんが、数値として比較検討したり匿名度を把握することができるので、加工方法を選ぶ目安になります。
なお、k=1の場合でも、定められた基準に従った加工を行うことで、匿名加工情報を作成することは可能となります。
匿名加工情報を取り扱う事業者の義務
匿名加工情報を取り扱う事業者には、作成時・提供時・受領時の3つの時点で、行わなければならないことがあります。個人情報保護法や規則にも定められている項目があるので、しっかりと確認して抜け漏れの無いようにしましょう。
①作成時
- 適切な加工:上記加工基準を参照
- 安全管理措置:①情報漏洩防止 ②匿名加工情報に関する苦情の適正な措置・公表
- 公表義務:作成時に加えて、第三者に提供する際も公表する義務があります。
- 個人を識別するために他の情報と照合すること
なお、「作成時」とは具体的に「加工の作業が完了した時」を意味します。そのため、安全管理措置の一環として一部の情報を削除したり、分割して保存・管理したりする場合や、個人情報から統計情報を作成するための加工は、「作成時」とはならず、公表する対象にもなりません。
②提供時
- 提供する先に、匿名加工情報であることを示す
- 公表義務:提供する項目や提供方法の公表
③受領時
第三者として匿名加工情報を受け取った時の義務です。
- 作成者が行った加工方法の取得
- 他の情報との照合を通した個人の識別
まとめ
匿名加工情報について、定義から加工基準、義務、利活用例などをお伝えしました。匿名加工情報は、ビッグデータの積極的な利活用を前提にした制度であり、メリットも多くあります。
一方で、匿名加工情報や個人情報の適切な管理が必要不可欠になります。そこで、社内の個人情報管理体制を整えたり、十分な管理体制を外部に示したりするために、プライバシーマークの取得を考えてみるのはいかがでしょうか。個人情報を扱う企業は、その取得や管理等が適切に行われている”証”としてプライバシーマークの取得を行うことで、取引先や一般消費者に向けて安心感を与えることができます。
プライバシーマーク取得には厳しい審査がありますが、株式会社UPFには、業界No.1を誇る実績に基づく、プライバシーマーク(Pマーク)取得支援・教育のノウハウがございます。
取得方法や教育実施でお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。
お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]