1.匿名加工情報総論
改正個人情報保護法の中でも、今後解釈が問題になりそうなのは「匿名加工情報」です。匿名加工情報の規則案については、こちらでご紹介しました。また、経済産業省からも「匿名加工情報作成マニュアル」が公表されました。なお、匿名加工情報マニュアルと題されていますので、これを見れば改正個人情報保護法における匿名加工情報について、明確になることを期待しそうになりますが、
「この『匿名加工情報作成マニュアル』は、具体的なユースケースを用いて、匿名加工情報を作成するための具体的な手順や方法について、学界、産業界、消費者団体等における有識者の方々からの意見を踏まえて、事業者の検討の参考にすべく作成したものである。また、これが最終版ということではなく、ユースケースの蓄積等に応じ、適宜改訂されていくべきものである。なお、本マニュアルにおいて、匿名加工情報取扱事業者に課される規律(匿名加工情報に係る公表、識別行為の禁止、安全管理措置 等)についての言及は、必要最小限にとどめており、個人情報保護法の法文の解釈を示すものではない。」
と記載されているように、「匿名加工情報」の定義を明らかにするような内容ではありません。もちろん、匿名加工情報を作成しようとする事業者が考慮しなければならない事項が取り上げられていますので、関係する事業者としては参照すべきものでしょう。どちらかというと、ガイドラインの改訂についての議論をまとめたもので、同じく公表されている「平成27年度我が国経済社会の情報化・サービス化に係る基盤整備経済産業分野を対象とする個人情報保護に係る制度整備等調査研究報告書」の方が解釈としては参考になる様に思います。ただ、こちらも、匿名加工情報について、さまざまな意見が出されている状態で、結局のところ、規則の確定待ちで議論が終わっています。そのため、規則確定後のガイドラインの改訂等に委ねている感じで、現在のところ、どのような解釈に落ち着くのかよく分かりません。また、現在出されている規則案を見る限り、解釈に参考になるような部分はなく、ガイドラインでも結局のところはっきりしない可能性もあると思います。
以下、現在議論されている内容を備忘録的にまとめておきます(随時改訂する予定です)。
まず、2015年改正法の匿名加工情報についての条文(2条9項)は、
この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
① 第1項第1号に該当する個人情報
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
② 第1項第2号に該当する個人情報
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
というような条文になっています。この条文自体には、加工方法としては、記述等の削除や復元することのできる規則性を有しない方法により他の記述等に置きかえる方法が示されているだけで、具体的な加工方法は示されていません。具体的な加工方法が示されていないだけであればいいのですが、この定義規定では、「当該個人情報を復元することができないようにしたもの」という限定が付されています。他方、匿名加工方法の基準については、2条9項ではなく19条に定められており、その部分については規則に委ねられています。
この「当該個人情報を復元することができないようにしたもの」がやっかいです。復元できないような方法が技術的にはっきり示せるのであれば、規則の内容と相まって条文の範囲として明確だということも言えそうなのですが、2015年改正法を検討するために開催されたパーソナルデータに関する検討会 技術検討WGにおいて、すべてのデータに対して有効となるような具体的な加工方法を提示することは困難という結論が示されています。したがって、技術的な観点からは、その範囲を一般的、汎用的に明確に示すことができないとされています。さらに、定義規定に加工方法が盛り込まれておらず、かつ、記述の削除あるいは置きかえといった汎用的な方法が示されているため、個人情報を加工した場合に、その目的の如何を問わず匿名加工情報に該当するのか、それに対応して、改正法36条の安全管理、公表義務がどの範囲で生じるかという問題が生じてきます。
改正法では、匿名加工情報の作成者に対し、①委員会規則に従った適正匿名加工義務(36条1項)、②加工方法情報の安全管理措置義務(36条2項)、③項目公表義務(36条3項)、第三者提供前の項目等公表義務(36条4項)、識別行為禁止義務(36条5項)、匿名加工情報の安全管理措置・公表義務(36条6項)が課せられている。また、匿名加工情報作成者以外の提供者(匿名加工情報取扱事業者)についても、項目公表義務(37条)、識別行為禁止義務(38条)、安全管理措置義務(39条)が課せられています。
何が匿名加工情報なのかは、どの範囲でこれらの義務を負うかにかかわってくることになります。
すこし長くなりましたので、各論については別投稿で取扱ます。取り上げる予定の論点としては、匿名加工情報の範囲、統計情報との関係、安全管理目的での匿名化と匿名加工情報等を取り上げる予定です。