fbpx

情報セキュリティにまつわる
お役立ち情報を発信

仮名加工情報とは?何ができる?要点を解説!


2022年の個人情報保護法改正によって、「仮名加工情報」が新たに定められました。個人情報を仮名加工情報に加工することで、データの活用の幅は大きく広がります。加工基準や事業者の義務などの細かい要件から活用方法まで、仮名加工情報についてマスターしましょう。

「仮名加工情報」って何?

仮名加工情報は、令和2年(2022年)の個人情報保護法改正に伴って設定されました。第2条第5項に次のように定められています。

次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。

定義としては、太字の部分をまず押さえましょう。この部分に関して詳しく解説します。
たとえば、名前・年代・住所を削除・置き換えした「30歳・○○県○○市在住」という情報の他に、「いつどこで何を買ったか」がわかる詳細な購買記録があるとします。この2つの情報が完全に独立していれば問題ありませんが、照合することができる場合、個人が特定される可能性があります。
仮名加工情報では、このように他の情報によって特定の個人が識別できる程度の加工具合でも、問題ありません。

「他の情報と照合しない限り特定の個人を識別することができない」
=「他の情報と照合すると特定の個人は識別できるが、照合しなければ識別できない」
ということです。

仮名加工情報で緩和されること

仮名加工情報に加工すると、加工前の個人情報などに比べて、緩和される義務が3つあります。
①利用目的の変更
仮名加工情報は利用目的の範囲を超えて取り扱うことは認められておりません。一方で、利用目的を変更することはできます。個人情報よりも許容される範囲が広い例です。

②漏洩などの報告
万が一漏洩が発生した場合も、仮名加工情報の場合は本人への通知義務はありません。

③開示や利用停止
個人データでは本人に開示・訂正・利用停止を請求する権利を認めていますが、仮名加工情報の場合はこれらがあった場合も応じる法的義務はありません。

仮名加工情報にするには

仮名加工情報に加工する基準は、3つ定められています。(個人情報保護法施行規則第30条)

①氏名などの削除

氏名や住所など、特定の個人を識別できる情報を削除することが必要です。もしくは、復元できる規則性の無い方法で他の記述に置き換える方法もあります。この「特定の個人を識別できる情報」に関しては、全部または一部の削除が定められています。

②マイナンバーなどの削除

マイナンバーなどの個人識別符号の削除、または置き換えが必要です。
個人識別符号は大きくわけて2種類あります。

①コンピュータで用いる身体的な情報
例:DNA、顔認証、指紋、手指の静脈 など

②個人に割り当てられる番号
例:パスポート番号、免許証番号、マイナンバー など

何が個人識別符号に含まれるかは、法律で定められています。詳細を知りたい方は、下記リンクの第一条をご参照ください。
参照:個人情報の保護に関する法律施行令 | e-Gov法令検索

なお、「個人識別符号」は単体で個人を識別することができるため、全部の削除・置き換えが求められます。

③クレジットカード番号などの削除

3つ目の基準は、不正利用により「財産的被害が生じるおそれがある記述」の全部、もしくは一部を削除する、または置き換えることです。具体的にはクレジットカードの番号や、銀行のwebサービスのログイン情報が該当します。
この要件は仮名加工情報独自の基準であり、次にご紹介する匿名加工情報には設けられていない加工基準となります。

「匿名加工情報」って何?

匿名加工情報とは、特定の個人を識別できないように、かつ、個人情報を復元できないように、個人情報を加工したものです。
例えば購買履歴や移動記録など、ビッグデータと呼ばれるものが該当します。

>>>匿名加工情報についてもっと詳しく知りたい方はこちら

仮名加工情報と匿名加工情報の違い

ここまで、仮名加工情報と匿名加工情報を順に確認してきましたが、両者が紛らわしく混乱してしまった方も多いのではないでしょうか。両者はかなり似ていますが、もちろん違う部分があります。定義と運用にわけて確認していきましょう。

①定義

匿名加工情報も仮名加工情報も、特定の個人を識別できないように加工する点では共通していますが、その加工の程度に違いがあります。
匿名加工情報では「他の情報と照合しても個人を識別できない」程度まで加工する必要があります。一方で、仮名加工情報は「他の情報と照合しない限り個人を識別できない」程度の加工で十分です。冒頭でも確認した通り、仮名加工情報は他の情報と照合して個人が識別できても問題ないため、仮名加工情報の方が加工基準は緩いと言えます。

②運用上

定義の面では以上のような違いがありますが、実際の運用では匿名加工情報と仮名加工情報にどのような違いが生じるのでしょうか。3つの場面にわけてご説明します。

②-1 利用目的に関して

匿名加工情報は、利用目的を特定して公表する必要はありません(含まれる情報の公表は必要)。一方で、仮名加工情報では利用目的を可能な限り特定して公表する必要があります。しかし、利用目的をあらかじめ公表しておけば、自由に変更することが可能です。一般の個人情報に比べると柔軟であると言えます。

②-2 第三者への提供に関して

第三者への提供に関しては、両者は大きく異なります。仮名加工情報は、法令に基づく場合と委託・共同利用の場合を除いて、第三者への提供はできません。一方で匿名加工情報はビッグデータを一般に提供することができるなど、仮名加工情報に比べて規制が緩くなっています。
これは加工基準の厳しさが影響していると考えられます。

②-3 安全管理に関して

仮名加工情報は、安全管理措置(セキュリティ対策)や従業者・委託者の監督が必要となります。これは匿名加工情報と異なる点です。

仮名加工情報はどのように利用できる?

ここまで仮名加工情報の定義や基準などを見てきましたが、実際にどう利活用できるかが気になるポイントですよね。様々な事例が考えられますが、代表的な2つの活用方法をご紹介します。
①マーケティングへの利用
顧客情報や購買履歴など、マーケティングに重要となる情報が仮名加工情報となることで、個人情報だったときよりも活用しやすくなります。必要な情報の内容や利用目的によって匿名加工情報と使い分けると、さらに活用の幅が広がるでしょう。

②AIでの利用
収集されたデータを仮名加工情報に加工することで、AIの精度向上やサービス向上に繋がることが期待されます。

仮名加工情報のメリット

仮名加工情報は「他の情報と照合しない限り」特定の個人が識別できない程度に加工すれば良い、ということはここまで何度も確認してきました。ここが仮名加工情報の大きなメリットになります。
たとえば、他の購買履歴や移動履歴などと照合すると個人が特定できてしまう場合も仮名加工情報として認められますので、これらの購買履歴や移動履歴を残しておくことが可能です。残せる情報量が増えると活用の道もさらに広がりますので、大きなメリットになりますね。

仮名加工情報と匿名加工情報はどう使い分ける?

「仮名加工情報と匿名加工情報の違い」で確認したように、仮名加工情報と匿名加工情報は、加工基準の厳しさと第三者提供要件の厳しさに主な違いがあります。

仮名加工情報の場合、ビッグデータとして流通させることはできません。また、漏洩防止対策が義務付けられているため、管理コストも発生します。一方で、加工に必要なコストは低く抑えられる上、残せる情報が多いことでAIの精度向上等に活用しやすくなります。
一方で、匿名加工情報の場合は、ビッグデータとして流通・販売することができますし、漏洩防止対策は努力義務に留まるため、管理コストを抑えることもできます。しかし、加工基準が仮名加工情報よりも高いため、より多くの加工コストが必要です。

以上のような両者のメリット・デメリットを見極めた上で、データ活用の目的に最も合致する加工方法・基準を選ぶことがおすすめです。

まとめ

この記事では、仮名加工情報について定義から加工基準、メリット、匿名加工情報との違いなどをご説明しました。仮名加工情報は幅広い活用方法が想定され、上手く活用することで大きな利益に繋げることができます。
その一方で、匿名加工情報よりも厳しい管理義務があり、漏洩防止対策などをしっかりと考える必要があります。個人情報や仮名加工情報の管理体制を社内で整えることは、簡単ではありません。
そのような困難に対する一つの方針として、プライバシーマーク(Pマーク)の取得を目指すことはいかがでしょうか。プライバシーマークとは、個人情報の適切な管理体制が整備されている会社を認定する仕組みであり、プライバシーマークを取得することで取引先や一般消費者に安心感を与えることができます。

プライバシーマーク取得には厳しい審査がありますが、株式会社UPFには、業界No.1を誇る実績に基づく、プライバシーマーク(Pマーク)取得支援、教育のノウハウがございます。
取得対応・教育実施でお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る