「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集について」の紹介その4です。今回は規則案の内、匿名加工情報についての部分です。同パブコメの政令案については、先の記事をご覧ください。
匿名加工情報に関する改正は、ビッグデータ等のIT関連に対応する観点から導入されたものです。
なお、経済産業省から「匿名加工情報作成マニュアル」が公表されていますが、法律の解釈に直接参考となるような内容は記載されていません。
まず、匿名加工情報の定義ですが、改正個人情報保護法2条9項は、
この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
① 第1項第1号に該当する個人情報
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
② 第1項第2号に該当する個人情報
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む
。)。
と匿名加工情報を定義しています。定義規定自体には、規則で定める部分はありません。匿名加工情報に関する定義はかなり幅広く、このような加工を行って、情報を取り扱っている情報事業者は現在でも多いと思いますが、これらの情報への加工全般について、改正法36条の義務を負うのかは法文上は明らかではありません。法案制定時の答弁では、法律上の匿名加工情報にすることを意図した場合にのみ改正法36条の適用があるというような説明がなされていますが、条文上は明確ではありません。また、この問題は、当然ながら、規則では明確になっていません。
1.匿名加工情報の作成基準
上記の様に、定義規定には、匿名加工情報の加工についての説明はなく、改正個人情報保護法の36条1項で、規則の基準に従い匿名加工情報を作成することが要求されています。
第19条(匿名加工情報の作成の方法に関する基準)
法第36条第1項の個人情報保護委員会規則で定める基準は、次のとおりとする。
① 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
② 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
③ 個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。
④ 特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
⑤ 前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。
個人を特定できる情報、個人識別情報、個人情報と連結される符号、特異な記述を削除したり、復元できないような規則性を有しないものに置きかえるといったことが要求されていることと、デーベースを構成する個人情報の中身、データベースの性質を勘案することとなっています。かなり、幅広い方法を取り込んでいますが、⑤号があるため、具体的な作成方法については、現時点ではあいまいです。この点は、ガイドライン等で明確化されるのでしょうか。
2.加工方法等情報の安全管理措置の基準
次に、改正個人情報保護法36条2項は、「個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない」としています。
第20条(加工方法等情報に係る安全管理措置の基準)
法第36条第2項の個人情報保護委員会規則で定める基準は、次のとおりとする。
① 加工方法等情報(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第36条第1項の規定により行った加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)をいう。以下この条において同じ。)を取り扱う者の権限及び責任を明確に定めること。
② 加工方法等情報の取扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること。
③ 加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置を講ずること。
加工方法等情報の取扱いについて、取扱者を明確にし、規程等を整備しPDCAを回しながら管理すると言うことなので、特に基準として厳しい内容ではないと思います。
3.匿名加工情報作成時における公表等
改正個人情報保護法36条3項は、個人情報取扱事業者が匿名加工情報を作成したときは、「個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない」としており、その項目は以下のとおりです。
第21条(個人情報取扱事業者による匿名加工情報の作成時における公表)
1 法第36条第3項の規定による公表は、匿名加工情報を作成した後、遅滞なく、インターネットの利用その他の適切な方法により行うものとする。
2 個人情報取扱事業者が他の個人情報取扱事業者の委託を受けて匿名加工情報を作成した場合は、当該他の個人情報取扱事業者が当該匿名加工情報に含まれる個人に関する情報の項目を前項に規定する方法により公表するものとする。この場合においては、当該公表をもって当該個人情報取扱事業者が当該項目を公表したものとみなす。
公表の方法(21条1項)と、委託先が作成した場合に、委託元の公表で足りる(21条2項)ことが定められています。
4.匿名加工情報の第三者提供時の公表等
改正個人情報保護法36条4項は、「個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。」としています。
第22条(個人情報取扱事業者による匿名加工情報の第三者提供時における公表等)
1 法第36条第4項の規定による公表は、インターネットの利用その他の適切な方法により行うものとする。
2 法第36条第4項の規定による明示は、電子メールを送信する方法又は書面を交付する方法その他の適切な方法により行うものとする。
公表は、インターネットでもよく、第三者に対する明示については、電子メールでもよいということで、特にこれまでの利用目的の明示と異なるところはありません。
5.匿名加工情報取扱事業者による第三者提供時の公表等
改正個人情報保護法37条は、匿名加工情報取扱事業者(規則20条~22条は、個人情報取扱事業者)についても公表等を要求しているのですが、次のように、規則22条を準用し、同じ取扱を行うこととしています。
第23条(匿名加工情報取扱事業者による匿名加工情報の第三者提供時における公表等)
1 前条第1項の規定は、法第37条の規定による公表について準用する。
2 前条第2項の規定は、法第37条の規定による明示について準用する。