平成28年11月
(令和6年12月一部改正)
個人情報保護委員会
[PDF版 (PDF : 1141KB) | 新旧対照表 (PDF : 302KB) ]
目次
- 1 本ガイドラインの位置付け及び適用対象
- 1-1 本ガイドラインの位置付け
- 1-2 本ガイドラインの適用対象
- 2 仮名加工情報
- 2-1 定義
- 2-1-1仮名加工情報(法第2条第5項関係)
- 2-1-2仮名加工情報取扱事業者(法第16条第5項関係)
- 2-2 仮名加工情報取扱事業者等の義務
- 2-2-1仮名加工情報の取扱いに係る義務の考え方
- 2-2-2仮名加工情報を作成する個人情報取扱事業者の義務等
- 2-2-2-1仮名加工情報の適正な加工(法第41条第1項関係)
- 2-2-2-1-1 特定の個人を識別することができる記述等の削除
- 2-2-2-1-2 個人識別符号の削除
- 2-2-2-1-3 不正に利用されることにより財産的被害が生じるおそれのある記述等の削除
- 2-2-2-2 削除情報等の安全管理措置(法第41条第2項関係)
- 2-2-3個人情報である仮名加工情報の取扱いに関する義務等
- 2-2-3-1 利用目的による制限・公表(法第41条第3項・第4項関係)
- 2-2-3-1-1利用目的による制限
- 2-2-3-1-2利用目的の公表
- 2-2-3-2 利用する必要がなくなった場合の消去(法第41条第5項関係)
- 2-2-3-3 第三者提供の禁止等(法第41条第6項関係)
- 2-2-3-4 識別行為の禁止(法第41条第7項関係)
- 2-2-3-5 本人への連絡等の禁止(法第41条第8項関係)
- 2-2-3-6 適用除外(法第41条第9項関係)
- 2-2-3-7 その他の義務等
- 2-2-4個人情報でない仮名加工情報の取扱いに関する義務等
- 2-2-4-1 第三者提供の禁止等(法第42条第1項・第2項関係)
- 2-2-4-2 その他の義務等(法第42条第3項関係)
- 3 匿名加工情報
- 3-1 定義
- 3-1-1匿名加工情報(法第2条第6項関係)
- 3-1-2匿名加工情報取扱事業者(法第16条第6項関係)
- 3-2 匿名加工情報取扱事業者等の義務
- 3-2-1匿名加工情報の取扱いに係る義務の考え方
- 3-2-2匿名加工情報の適正な加工(法第43条第1項関係)
- 3-2-2-1 特定の個人を識別することができる記述等の削除
- 3-2-2-2 個人識別符号の削除
- 3-2-2-3 情報を相互に連結する符号の削除
- 3-2-2-4 特異な記述等の削除
- 3-2-2-5 個人情報データベース等の性質を踏まえたその他の措置
- 3-2-3匿名加工情報等の安全管理措置等(法第43条第2項、第6項、第46条関係)
- 3-2-3-1 加工方法等情報の安全管理措置
- 3-2-3-2 匿名加工情報の安全管理措置等
- 3-2-4匿名加工情報の作成時の公表(法第43条第3項関係)
- 3-2-5匿名加工情報の第三者提供(法第43条第4項、第44条関係)
- 3-2-6識別行為の禁止(法第43条第5項、第45条関係)
- 【凡例】
- 「法」 個人情報の保護に関する法律(平成15年法律第57号)
- 「政令」 個人情報の保護に関する法律施行令(平成15年政令第507号)
- 「規則」 個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)
- 「通則ガイドライン」 個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年個人情報保護委員会告示第6号)
個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)
1 本ガイドラインの位置付け及び適用対象
1-1 本ガイドラインの位置付け
個人情報保護委員会は、事業者が個人情報の適正な取扱いの確保に関して行う活動を支援すること、及び当該支援により事業者が講ずる措置が適切かつ有効に実施されることを目的として、法第4条、第9条及び第131条に基づき具体的な指針として通則ガイドラインを定めているが、個人情報取扱事業者及び仮名(かめい)加工情報取扱事業者が仮名加工情報を取り扱う場合、並びに個人情報取扱事業者及び匿名加工情報取扱事業者が匿名加工情報を取り扱う場合において、仮名加工情報及び匿名加工情報の適正な取扱いの確保に関して行う活動を支援すること、並びに当該支援により事業者が講ずる措置が適切かつ有効に実施されることを目的として、法が定める事業者の義務のうち、仮名加工情報及び匿名加工情報の取扱いに関する部分に特化して分かりやすく一体的に示す観点から、通則ガイドラインとは別に、本ガイドラインを定めるものである。(なお、仮名加工情報と匿名加工情報の加工基準の差異の概要、及び仮名加工情報と匿名加工情報の取扱いに関する主な規律の差異の概要については、本ガイドライン末尾の【付録】を参照のこと。また、個人情報の適正な取扱いに関する部分の解釈等については、通則ガイドライン参照のこと。)
本ガイドラインの中で、「しなければならない」及び「してはならない」と記述している事項については、これらに従わなかった場合、法違反と判断される可能性がある。一方、「努めなければならない」、「望ましい」等と記述している事項については、これらに従わなかったことをもって直ちに法違反と判断されることはないが、法の趣旨を踏まえ、事業者の特性や規模に応じ可能な限り対応することが望まれるものである。
なお、本ガイドラインにおいて使用する用語は、特に断りのない限り、通則ガイドラインにおいて使用する用語の例による。
1-2 本ガイドラインの適用対象
本ガイドラインは、事業者の業種・規模を問わず、仮名加工情報及び匿名加工情報の取扱いに関して法の適用対象である個人情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者に該当する事業者に適用される。
なお、法第57条に規定される適用除外の場合(※)については、法第4章の適用対象外となるため、本ガイドラインの対象ではない。
(※)法第57条においては、次の場合について、法第4章の規定は適用しないこととしている。詳細は通則ガイドライン「5(適用除外)」を参照のこと。
- マル1放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。)が報道の用に供する目的で取り扱う場合
- マル2著述を業として行う者が著述の用に供する目的で取り扱う場合
- マル3宗教団体が宗教活動(これに付随する活動を含む。)の用に供する目的で取り扱う場合
- マル4政治団体が政治活動(これに付随する活動を含む。)の用に供する目的で取り扱う場合
2 仮名加工情報
2-1 定義
2-1-1 仮名加工情報(法第2条第5項関係)
- 法第2条(第5項)
-
- この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
- 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
「仮名加工情報」とは、個人情報を、その区分に応じて次に掲げる措置を講じて他の情報と照合しない限り特定の個人を識別することができないように加工して得られる個人に関する情報をいう。
- 法第2条第1項第1号に該当する「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」である個人情報の場合
当該個人情報に含まれる記述等の一部を削除すること
- 法第2条第1項第2号に該当する「個人識別符号が含まれる」個人情報の場合
当該個人情報に含まれる個人識別符号の全部を削除すること(この措置を講じた上で、まだなお法第2条第1項第1号に該当する個人情報であった場合には、同号に該当する個人情報としての加工を行う必要がある。)
「削除すること」には、「当該一部の記述等」又は「当該個人識別符号」を「復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む」とされている。「復元することのできる規則性を有しない方法」とは、置き換えた記述等から、置き換える前の特定の個人を識別することとなる記述等又は個人識別符号の内容を復元することができない方法である。
なお、法において「特定の個人を識別することができる」とは、情報単体又は複数の情報を組み合わせて保存されているものから社会通念上そのように判断できるものをいい、一般人の判断力又は理解力をもって生存する具体的な人物と情報の間に同一性を認めるに至ることができるかどうかによるものである。仮名加工情報に求められる「他の情報と照合しない限り特定の個人を識別することができない」という要件は、加工後の情報それ自体により特定の個人を識別することができないような状態にすることを求めるものであり、当該加工後の情報とそれ以外の他の情報を組み合わせることによって特定の個人を識別することができる状態にあることを否定するものではない。
仮名加工情報を作成するときは、法第41条第1項に規定する規則で定める基準に従って加工する必要があり、法第2条第5項に定める措置を含む必要な措置は当該規則で定めている(仮名加工情報の作成に必要な加工義務については、2-2-2-1(仮名加工情報の適正な加工)参照)。
2-1-2 仮名加工情報取扱事業者(法第16条第5項関係)
- 法第16条(第5項)
-
- この章、第6章及び第7章において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第41条第1項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。
- 政令第6条
-
法第16条第5項の政令で定めるものは、同項に規定する情報の集合物に含まれる仮名加工情報を一定の規則に従って整理することにより特定の仮名加工情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するものをいう。
「仮名加工情報取扱事業者」とは、仮名加工情報データベース等を事業の用に供している者のうち、国の機関、地方公共団体、法第2条第9項に規定する独立行政法人等(別表第2に掲げる法人を除く。)及び法第2条第10項に規定する地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第21条第1号に掲げる業務を主たる目的とするもの又は同条第2号若しくは第3号(チに係る部分に限る。)に掲げる業務を目的とするものを除く。)を除いた者をいう。
「仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの」とは、特定の仮名加工情報をコンピュータを用いて検索することができるように体系的に構成した、仮名加工情報を含む情報の集合物をいう。また、コンピュータを用いていない場合であっても、紙媒体の仮名加工情報を一定の規則に従って整理・分類し、特定の仮名加工情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものも該当する。
ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問わない。なお、法人格のない、権利能力のない社団(任意団体)又は個人であっても、仮名加工情報データベース等を事業の用に供している場合は、仮名加工情報取扱事業者に該当する。
2-2 仮名加工情報取扱事業者等の義務
2-2-1 仮名加工情報の取扱いに係る義務の考え方
法第4章第3節においては、仮名加工情報を作成する個人情報取扱事業者及び仮名加工情報データベース等を事業の用に供している仮名加工情報取扱事業者が、仮名加工情報を取り扱う場合等に遵守すべき義務を規定している。
仮名加工情報取扱事業者において、仮名加工情報の作成の元となった個人情報や当該仮名加工情報に係る削除情報等(※1)を保有している等により、当該仮名加工情報が「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」状態にある場合には、当該仮名加工情報は、「個人情報」(法第2条第1項)に該当する。この場合、当該仮名加工情報取扱事業者は、個人情報である仮名加工情報の取扱いに関する義務等を遵守する必要がある(2-2-3(個人情報である仮名加工情報の取扱いに関する義務等)参照)。
これに対し、例えば、法第41条第6項又は第42条第1項若しくは第2項の規定により仮名加工情報の提供を受けた仮名加工情報取扱事業者において、当該仮名加工情報の作成の元となった個人情報や当該仮名加工情報に係る削除情報等を保有していない等により、当該仮名加工情報が「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」状態にない場合には、当該仮名加工情報は、「個人情報」(法第2条第1項)に該当しない。この場合、当該仮名加工情報取扱事業者は、個人情報でない仮名加工情報の取扱いに関する義務等を遵守する必要がある(2-2-4(個人情報でない仮名加工情報の取扱いに関する義務等)参照)。
(※1)「削除情報等」とは、仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに法第41条第1項により行われた加工の方法に関する情報をいう。
- 【仮名加工情報を作成する個人情報取扱事業者が遵守する義務等】
-
- 仮名加工情報を作成するときは、適正な加工を行わなければならない。(法第41条第1項)<2-2-2-1(仮名加工情報の適正な加工)参照>
- 仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等を取得したときは、削除情報等の安全管理措置を講じなければならない。(法第41条第2項)<2-2-2-2(削除情報等の安全管理措置)参照>
- 【個人情報取扱事業者である仮名加工情報取扱事業者が遵守する個人情報である仮名加工情報の取扱いに関する義務等】
-
- 法令に基づく場合を除くほか、法第17条第1項の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報である仮名加工情報を取り扱ってはならない。(法第41条第3項)<2-2-3-1(利用目的による制限・公表)参照>
- 個人情報である仮名加工情報を取得したときは、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を公表しなければならない。また、利用目的を変更した場合は、変更後の利用目的を公表しなければならない。(法第41条第4項)<2-2-3-1(利用目的による制限・公表)参照>
- 仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該仮名加工情報である個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。(法第41条第5項)<2-2-3-2(利用する必要がなくなった場合の消去)参照>
- 法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。(法第41条第6項)<2-2-3-3(第三者提供の禁止等)参照>
- 個人情報である仮名加工情報を取り扱うに当たっては、元の個人情報に係る本人を識別する目的で他の情報と照合することを行ってはならない。(法第41条第7項)<2-2-3-4(識別行為の禁止)参照>
- 個人情報である仮名加工情報を取り扱うに当たっては、元の個人情報に係る本人への連絡等を行う目的で当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。(法第41条第8項)<2-2-3-5(本人への連絡等の禁止)参照>
- 仮名加工情報(個人情報であるもの)、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、次の規定を適用しない。(法第41条第9項)<2-2-3-6(適用除外)参照>
- 利用目的の変更の制限(法第17条第2項)
- 漏えい等の報告及び本人通知(法第26条)
- 保有個人データに関する事項の公表等、及び保有個人データの開示・訂正等・利用停 止等への対応等(法第32条から第39条まで)
- 法第4章第3節の規定に基づく上記(1)から(7)までの規律のほか、仮名加工情報(個人情報であるもの)及び仮名加工情報である個人データについては、通常の個人情報及び個人データと同様、次の規定が適用される(※2)。<2-2-3-7(その他の義務等)参照>
- 不適正利用の禁止(法第19条)
- 適正取得(法第20条第1項)
- 安全管理措置(法第23条)
- 従業者の監督(法第24条)
- 委託先の監督(法第25条)
- 苦情処理(法第40条)
(※2)要配慮個人情報の取得に関する法第20条第2項の適用関係、並びに確認・記録義務に関する法第29条及び第30条の適用関係については、2-2-3-7(その他の義務等)を参照のこと。
- 【仮名加工情報取扱事業者が遵守する個人情報でない仮名加工情報の取扱いに関する義務等】
-
- 法令に基づく場合を除くほか、仮名加工情報を第三者に提供してはならない。(法第42条第1項及び第2項)<2-2-4-1(第三者提供の禁止等)参照>
- 仮名加工情報については、次の規定が準用される。(法第42条第3項)<2-2-4-2(その他の義務等)参照>
- 安全管理措置(法第23条)
- 従業者の監督(法第24条)
- 委託先の監督(法第25条)
- 苦情処理(法第40条)
- 識別行為の禁止(法第41条第7項)
- 本人への連絡等の禁止(法第41条第8項)
2-2-2 仮名加工情報を作成する個人情報取扱事業者の義務等
2-2-2-1 仮名加工情報の適正な加工(法第41条第1項関係)
- 法第41条(第1項)
-
- 個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下この章及び第6章において同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。
- 規則第31条
法第41条第1項の個人情報保護委員会規則で定める基準は、次のとおりとする。
- 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 個人情報に含まれる不正に利用されることにより財産的被害が生じるおそれがある記述等を削除すること(当該記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限る(※1)。2-2-3-7(その他の義務等)を除き、以下同じ。)を作成するとき(※2)は、他の情報と照合しない限り特定の個人を識別することができないようにするために、規則第31条各号に定める基準に従って、個人情報を加工しなければならない。 なお、「個人情報保護委員会規則で定める基準に従い、個人情報を加工」するためには、加工する情報の性質に応じて、規則第31条各号に定める加工基準を満たす必要がある。
- (※1)仮名加工情報の取扱いに係る法第4章第3節の規律(法第41条及び第42条)は、仮名加工情報データベース等を構成する仮名加工情報に適用されるものである。いわゆる散在情報となる、仮名加工情報データベース等を構成しない仮名加工情報には、法第4章第3節の規律は適用されない。
- (※2)「作成するとき」は、仮名加工情報として取り扱うために、当該仮名加工情報を作成するときのことを指す。したがって、例えば、安全管理措置の一環として氏名等の一部の個人情報を削除(又は他の記述等に置き換え)した上で引き続き個人情報として取り扱う場合、あるいは匿名加工情報又は統計情報を作成するために個人情報を加工する場合等については、仮名加工情報を「作成するとき」には該当しない。
2-2-2-1-1 特定の個人を識別することができる記述等の削除
- 規則第31条(第1号)
- 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
個人情報取扱事業者が取り扱う個人情報には、一般に、氏名、住所、生年月日、性別の他、様々な個人に関する記述等が含まれている。これらの記述等は、氏名のようにその情報単体で特定の個人を識別することができるもののほか、住所、生年月日など、これらの記述等が合わさることによって特定の個人を識別することができるものもある。このような特定の個人を識別できる記述等から全部又はその一部を削除するあるいは他の記述等に置き換えることによって、特定の個人を識別することができないよう加工しなければならない。
なお、他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法でなければならない(※1)。例えば、生年月日の情報を生年の情報に置き換える場合のように、元の記述等をより抽象的な記述に置き換えることも考えられる。
- 【想定される加工の事例(※2)】
-
- 事例1)会員ID、氏名、年齢、性別、サービス利用履歴が含まれる個人情報を加工する場合に次の措置を講ずる。
- 1)氏名を削除する。
- 事例2)氏名、住所、生年月日が含まれる個人情報を加工する場合に次の1から3までの措置を講ずる。
- 1)氏名を削除する。
- 2)住所を削除する。又は、○○県△△市に置き換える。
- 3)生年月日を削除する。又は、日を削除し、生年月に置き換える。
- 事例1)会員ID、氏名、年齢、性別、サービス利用履歴が含まれる個人情報を加工する場合に次の措置を講ずる。
- (※1)他の記述等への置き換えとして、仮IDを付す場合には、元の記述等を復元することのできる規則性を有しない方法でなければならない。仮IDを付す際の注意点については、3-2-2-1(特定の個人を識別することができる記述等の削除)の(※)を参照のこと。
- (※2)講ずべき措置は、個別の事例ごとに判断する必要がある。例えば、氏名の削除後、当該個人情報に含まれる他の記述等により、なお特定の個人を識別することができる場合には、当該記述等によって特定の個人を識別することができなくなるよう加工する必要がある。
2-2-2-1-2 個人識別符号の削除
- 規則第31条(第2号)
- 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
加工対象となる個人情報が、個人識別符号を含む情報であるときは、当該個人識別符号単体で特定の個人を識別できるため、当該個人識別符号の全部を削除又は他の記述等へ置き換えて、特定の個人を識別できないようにしなければならない。
なお、他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法による必要がある。
- (参考)個人識別符号の概要
-
個人識別符号とは、その情報単体から特定の個人を識別することができるものとして政令で定めるものをいい、次のいずれかに該当するものである(個人識別符号の定義の詳細については、通則ガイドライン「2-2(個人識別符号)」参照)。
- 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した符号
- 生体情報(DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋)をデジタルデータに変換したもののうち、特定の個人を識別するに足りるものとして規則で定める基準に適合するもの(政令第1条第1号及び規則第2条)
- 対象者ごとに異なるものとなるように役務の利用、商品の購入又は書類に付される符号
- 旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、医療・介護保険各法に規定する保険者番号・被保険者記号・番号等の公的機関が割り振る番号等(政令第1条第2号から第10号まで、規則第3条及び第4条)
- 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した符号
2-2-2-1-3 不正に利用されることにより財産的被害が生じるおそれのある記述等の削除
- 規則第31条(第3号)
- 個人情報に含まれる不正に利用されることにより財産的被害が生じるおそれがある記述等を削除すること(当該記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
一般的にみて、不正に利用されることにより個人の財産的被害が生じるおそれが類型的に高い記述等については、それが漏えいした場合に個人の権利利益の侵害が生じる蓋然性が相対的に高いと考えられる。そのため、仮名加工情報を作成するに当たっては、当該記述等について削除又は他の記述等への置き換えを行わなければならない。
なお、他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法による必要がある。
- 【想定される加工の事例】
-
- 事例1)クレジットカード番号を削除する。
- 事例2)送金や決済機能のあるウェブサービスのログインID・パスワードを削除する。
2-2-2-2 削除情報等の安全管理措置(法第41条第2項関係)
- 法第41条(第2項)
-
- 個人情報取扱事業者は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条及び次条第3項において読み替えて準用する第7項において同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない。
- 規則第32条
法第41条第2項の個人情報保護委員会規則で定める基準は、次のとおりとする。
- 法第41条第2項に規定する削除情報等(同条第1項の規定により行われた加工の方法に関する情報にあっては、その情報を用いて仮名加工情報の作成に用いられた個人情報を復元することができるものに限る。以下この条において同じ。)を取り扱う者の権限及び責任を明確に定めること。
- 削除情報等の取扱いに関する規程類を整備し、当該規程類に従って削除情報等を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること。
- 削除情報等を取り扱う正当な権限を有しない者による削除情報等の取扱いを防止するために必要かつ適切な措置を講ずること。
個人情報取扱事業者は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等を取得したときは、削除情報等(法第41条第1項の規定により行われた加工の方法に関する情報にあっては、その情報を用いて仮名加工情報の作成に用いられた個人情報を復元することができるものに限る(※1)。以下この項において同じ。)の漏えいを防止するために、規則で定める基準に従い、必要な措置を講じなければならない(※2)。
当該措置の内容は、対象となる削除情報等が漏えいした場合における個人の権利利益の侵害リスクの大きさを考慮し、当該削除情報等の量、性質等に応じた内容としなければならないが、具体的に講じなければならない項目及び具体例については、別表1(削除情報等の安全管理で求められる措置の具体例)を参照のこと。
- (※1)「その情報を用いて仮名加工情報の作成に用いられた個人情報を復元することができるもの」には、例えば、氏名等を仮IDに置き換えた場合における置き換えアルゴリズムに用いられる乱数等のパラメータ又は氏名と仮IDの対応表等のような加工の方法に関する情報が該当し、「氏名を削除した」というような復元につながらない情報は該当しない。
- (※2)氏名と仮IDの対応表等のように削除情報等が個人データに該当する場合において、当該削除情報等について漏えい、滅失又は毀損(以下「漏えい等」という。)が発生し、それが法第26条の要件を満たす場合には、同条に基づく報告や本人通知が必要となる。
また、個別の事例ごとに判断する必要があるが、例えば、氏名と仮IDの対応表等の削除情報等が漏えい等した場合には、削除情報等の安全管理措置を講ずる義務(法第41条第2項)や仮名加工情報である個人データの安全管理措置を講ずる義務(法第23条)の履行の観点から、原則として、当該仮名加工情報に含まれる仮IDを振り直すこと等により仮名加工情報を新たに作り直す等の措置を講じることが必要となる。
講じなければならない措置 | 具体例 |
---|---|
マル1削除情報等を取り扱う者の権限及び責任の明確化 (規則第32条第1号) |
|
マル2削除情報等の取扱いに関する規程類の整備
及び当該規程類に従った削除情報等の適切な取扱い
並びに削除情報等の取扱状況の評価及びその結果に基づき改善を図るために必要な措置の実施 (規則第32条第2号) |
|
マル3削除情報等を取り扱う正当な権限を有しない者による削除情報等の取扱いを防止するために必要かつ適切な措置の実施 (規則第32条第3号) |
|
2-2-3 個人情報である仮名加工情報の取扱いに関する義務等
2-2-3-1 利用目的による制限・公表(法第41条第3項・第4項関係)
2-2-3-1-1 利用目的による制限
- 法第41条(第3項)
-
- 仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。以下この条において同じ。)は、第18条の規定にかかわらず、法令に基づく場合を除くほか、第17条第1項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱ってはならない。
個人情報取扱事業者である仮名加工情報取扱事業者は、法令に基づく場合(※1)を除くほか、法第17条第1項の規定により特定された利用目的(※2)の達成に必要な範囲を超えて、個人情報である仮名加工情報を取り扱ってはならない。
「法令に基づく場合」以外の場合において、法第17条第1項の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報である仮名加工情報を取り扱う場合には、あらかじめ利用目的を変更する必要がある。なお、仮名加工情報については、利用目的の変更の制限に関する法第17条第2項の規定は適用されないため、変更前の利用目的と関連性を有すると合理的に認められる範囲を超える利用目的の変更も認められる(2-2-3-6(適用除外)参照)。
利用目的を変更した場合には、原則として変更後の利用目的を公表しなければならない(2-2-3-1-2(利用目的の公表)参照)。
- (※1)「法令に基づく場合」の具体的な事例については、通則ガイドライン「3-1-5(利用目的による制限の例外)」を参照のこと。
- (※2)個人情報取扱事業者が仮名加工情報を作成したときは、作成の元となった個人情報に関して法第17条第1項の規定により特定された利用目的が、当該仮名加工情報の利用目的として引き継がれる。
2-2-3-1-2 利用目的の公表
- 法第41条(第4項)
-
- 仮名加工情報についての第21条の規定の適用については、同条第1項及び第3項中「、本人に通知し、又は公表し」とあるのは「公表し」と、同条第4項第1号から第3号までの規定中「本人に通知し、又は公表する」とあるのは「公表する」とする。
個人情報取扱事業者である仮名加工情報取扱事業者は、個人情報である仮名加工情報を取得した場合(※)には、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を公表しなければならない。
また、利用目的の変更を行った場合には、変更後の利用目的を公表しなければならない。
ただし、次の(1)から(4)までの場合については、個人情報である仮名加工情報の取得時、及び個人情報である仮名加工情報の利用目的の変更時における利用目的の公表は不要である。
- 利用目的を公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 利用目的を公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
- 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
- 取得の状況からみて利用目的が明らかであると認められる場合
- (※)個人情報取扱事業者が、自らが保有する個人情報の一部を削除する等の加工を行ったに過ぎない場合は、ここでいう個人情報の「取得」には該当しない。
そのため、個人情報取扱事業者が、自らが保有する個人情報を加工して仮名加工情報を作成した場合には、当該仮名加工情報が個人情報に当たる場合でも、ここでいう個人情報である仮名加工情報の「取得」には該当しない。
これに対し、例えば、仮名加工情報を作成した個人情報取扱事業者が、当該仮名加工情報及び当該仮名加工情報に係る削除情報等を、事業の承継に伴い他の事業者に提供した場合(2-2-3-3(第三者提供の禁止等)参照)、当該他の事業者にとって、当該仮名加工情報は、通常、当該削除情報等と容易に照合でき、それによって特定の個人を識別できる情報に該当するため、個人情報に該当する。この場合には、当該他の事業者が事業の承継に伴い当該仮名加工情報の提供を受けることは、ここでいう個人情報である仮名加工情報の「取得」に該当する。
2-2-3-2 利用する必要がなくなった場合の消去(法第41条第5項関係)
- 法第41条(第5項)
-
- 仮名加工情報取扱事業者は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。この場合においては、第22条の規定は、適用しない。
個人情報取扱事業者である仮名加工情報取扱事業者は、保有する仮名加工情報である個人データについて利用する必要がなくなったとき、すなわち、利用目的が達成され当該目的との関係では当該仮名加工情報である個人データを保有する合理的な理由が存在しなくなった場合や、利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となり、当該事業の再開の見込みもない場合等は、当該仮名加工情報である個人データを遅滞なく消去するよう努めなければならない(※1)。
また、保有する削除情報等について利用する必要がなくなったときは、当該削除情報等を遅滞なく消去するように努めなければならない(※2)。
- 【仮名加工情報である個人データについて利用する必要がなくなったときに該当する事例】
- 事例)新商品の開発のため、仮名加工情報である個人データを保有していたところ、当該新商品の開発に関する事業が中止となり、当該事業の再開の見込みもない場合
- 【削除情報等について利用する必要がなくなったときに該当する事例】
- 事例)仮名加工情報についての取扱いを終了し、新たな仮名加工情報を作成する見込みもない場合
- (※1)「仮名加工情報である個人データの消去」とは、当該仮名加工情報である個人データを個人データでなくすることであり、当該仮名加工情報である個人データを削除することのほか、当該仮名加工情報を容易に照合できる他の情報と組み合わせても特定の個人を識別できないようにすること等を含む。
- (※2)「削除情報等の消去」とは、当該削除情報等を削除することをいう。
2-2-3-3 第三者提供の禁止等(法第41条第6項関係)
- 法第41条(第6項)
-
- 仮名加工情報取扱事業者は、第27条第1項及び第2項並びに第28条第1項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第27条第5項中「前各項」とあるのは「第41条第6項」と、同項第3号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第6項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第29条第1項ただし書中「第27条第1項各号又は第5項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第27条第1項各号のいずれか)」とあり、及び第30条第1項ただし書中「第27条第1項各号又は第5項各号のいずれか」とあるのは「法令に基づく場合又は第27条第5項各号のいずれか」とする。
個人情報取扱事業者である仮名加工情報取扱事業者は、法令に基づく場合(※1)を除くほか、仮名加工情報である個人データを第三者に提供してはならない。
ただし、次の(1)から(3)までの場合については、仮名加工情報である個人データの提供先は個人情報取扱事業者である仮名加工情報取扱事業者とは別の主体として形式的には第三者に該当するものの、提供主体の個人情報取扱事業者である仮名加工情報取扱事業者と一体のものとして取り扱うことに合理性があるため、第三者には該当しないものとする。そのため、このような要件を満たす場合には、仮名加工情報である個人データを提供することができる。
なお、法令に基づく場合又は次の(1)から(3)までのいずれかの場合における仮名加工情報である個人データの提供については、確認・記録義務は課されない(法第41条第6項により読み替えて適用される法第29条第1項ただし書及び第30条第1項ただし書)。
- 委託(法第41条第6項、第27条第5項第1号関係)
利用目的の達成に必要な範囲内において、仮名加工情報である個人データの取扱いに関する業務の全部又は一部を委託することに伴い、当該仮名加工情報である個人データが提供される場合は、当該提供先は第三者に該当しない。この場合、当該提供先は、委託された業務の範囲内でのみ、提供主体の個人情報取扱事業者である仮名加工情報取扱事業者と一体のものとして取り扱われることに合理性があるため、委託された業務以外に当該仮名加工情報である個人データを取り扱うことはできない。
なお、提供主体の個人情報取扱事業者である仮名加工情報取扱事業者には、法第25条により、委託先に対する監督責任が課される(2-2-3-7(その他の義務等)参照)。
個人情報取扱事業者である仮名加工情報取扱事業者は、委託先に対する監督義務、及び仮名加工情報である個人データの安全管理措置を講ずる義務(法第23条)の履行の観点から、委託先が提供を受けた仮名加工情報を取り扱うに当たり、法第41条又は法第42条に違反する事態が生じることのないよう、委託先に対して、提供する情報が仮名加工情報である旨を明示しなければならない。
- 事業の承継(法第41条第6項、第27条第5項第2号関係)
合併、分社化、事業譲渡等により事業が承継されることに伴い、当該事業に係る仮名加工情報である個人データが提供される場合は、当該提供先は第三者に該当しない。
また、事業の承継のための契約を締結するより前の交渉段階で、相手会社から自社の調査を受け、自社の仮名加工情報である個人データを相手会社へ提供する場合も、法第41条第6項により読み替えて適用される法第27条第5項第2号に該当し、仮名加工情報である個人データを提供することができるが、当該データの利用目的及び取扱方法、漏えい等が発生した場合の措置、事業承継の交渉が不調となった場合の措置等、相手会社に安全管理措置を遵守させるために必要な契約を締結しなければならない。
- 共同利用(法第41条第6項、第27条第5項第3号関係)
特定の者との間で共同して利用される仮名加工情報である個人データを当該特定の者に提供する場合(※2)であって、次のマル1からマル5までの情報(※3)を、提供に当たりあらかじめ公表しているときには、当該提供先は、当該仮名加工情報である個人データを当初提供した個人情報取扱事業者である仮名加工情報取扱事業者と一体のものとして取り扱われることに合理性があると考えられることから、第三者に該当しない(※4)。
仮名加工情報は、加工によりそれ自体では特定の個人を識別できないものとなっており、また、本人を識別する目的での利用や本人に連絡等をする目的での利用が禁止されていること(法第41条第7項及び第8項)等を踏まえ、利用目的の柔軟な変更が許容されている(法第41条第9項)。そのため、仮名加工情報である個人データの共同利用における利用する者の範囲や利用目的等は、作成の元となった個人情報の取得の時点において通知又は公表されていた利用目的の内容や取得の経緯等にかかわらず、設定可能である。
- マル1共同利用をする旨
- 仮名加工情報である個人データを共同利用する旨を公表する必要がある。
- マル2共同して利用される仮名加工情報である個人データの項目
- 事例)「氏名・性別・年齢・サービス利用履歴」のうち、氏名を削除し、「性別・年齢・サービス利用履歴」に関する仮名加工情報を作成して共同利用する場合の公表項目は、「性別」、「年齢」、「サービス利用履歴」である。
- マル3共同して利用する者の範囲
仮名加工情報である個人データの「共同利用の趣旨」は、当該仮名加工情報である個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で、当該仮名加工情報である個人データを共同して利用することである。
したがって、共同利用者の範囲については、どの事業者まで将来利用されるかが客観的に判断できる程度に明確にする必要がある。
なお、当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はない。
- マル4利用する者の利用目的
共同して利用する仮名加工情報である個人データについて、その利用目的を全て、公表しなければならない。
なお、利用目的が仮名加工情報である個人データの項目によって異なる場合には、当該仮名加工情報である個人データの項目ごとに利用目的を区別して記載することが望ましい。
- マル5当該仮名加工情報である個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
- 「仮名加工情報である個人データの管理について責任を有する者」とは、苦情を受け付け、その処理に尽力するとともに、安全管理等仮名加工情報である個人データの管理について責任を有する者をいう。 なお、ここでいう「責任を有する者」とは、共同して利用する全ての事業者の中で、第一次的に苦情の受付・処理を行う権限を有する者をいい、共同利用者のうち一事業者の内部の担当責任者をいうものではない。
- (※1)「法令に基づく場合」の具体的な事例については、通則ガイドライン「3-1-5(利用目的による制限の例外)」を参照のこと。
- (※2)共同利用の対象となる仮名加工情報である個人データの提供については、必ずしも全ての共同利用者が双方向で行う必要はなく、一部の共同利用者に対し、一方向で行うこともできる。
- (※3)事業者が共同利用を実施する場合には、共同利用者における責任等を明確にし円滑に実施する観点から、上記マル1からマル5までの情報のほか、例えば、次の(ア)から(カ)までの事項についても、あらかじめ取り決めておくことが望ましい。
- (ア)共同利用者の要件(グループ会社であること、特定のキャンペーン事業の一員であること等、共同利用による事業遂行上の一定の枠組み)
- (イ)各共同利用者における仮名加工情報の取扱責任者、問合せ担当者及び連絡先
- (ウ)共同利用する仮名加工情報である個人データの取扱いに関する事項
- 仮名加工情報である個人データの漏えい等防止に関する事項
- 目的外の加工、利用、複写、複製等の禁止
- 共同利用終了後のデータの返還、消去、廃棄に関する事項
- (エ)共同利用する仮名加工情報である個人データの取扱いに関する取決めが遵守されなかった場合の措置
- (オ)共同利用する仮名加工情報である個人データに関する事件・事故が発生した場合の報告・連絡に関する事項
- (カ)共同利用を終了する際の手続
- (※4)共同利用か委託かは、仮名加工情報である個人データの取扱いの形態によって判断されるものであって、共同利用者の範囲に委託先事業者が含まれる場合であっても、委託先との関係は、共同利用となるわけではなく、委託元は委託先の監督義務を免れるわけではない。
- <共同利用に係る事項の変更(法第41条第6項、第27条第6項関係)>
-
仮名加工情報である個人データを共同利用する場合において、「仮名加工情報である個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名」に変更があったときは、遅滞なく、変更後の内容について公表しなければならない。また、「共同利用する者の利用目的」又は「仮名加工情報である個人データの管理について責任を有する者」を変更しようとするときは、あらかじめ、変更する内容について公表しなければならない。
なお、「共同して利用される仮名加工情報である個人データの項目」及び「共同して利用する者の範囲」について変更することは、原則として認められない(※)が、例えば次のような場合は、引き続き共同利用を行うことができる。
- 事例1)共同利用を行う事業者の名称に変更があるが、共同して利用される仮名加工情報である個人データの項目には変更がない場合
- 事例2)共同利用を行う事業者について事業の承継が行われた場合(共同利用する仮名加工情報である個人データの項目等の変更がないことが前提)
(※)提供に当たりあらかじめ法第41条第6項において読み替えて適用される法第27条第5項第3号に定める事項を公表した上で、新たな共同利用を行うことは妨げられない。
2-2-3-4 識別行為の禁止(法第41条第7項関係)
- 法第41条(第7項)
-
- 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。
個人情報取扱事業者である仮名加工情報取扱事業者が個人情報である仮名加工情報を取り扱う場合には、当該仮名加工情報の作成の元となった個人情報の本人を識別する目的で、当該仮名加工情報を他の情報(※)と照合してはならない。
- 【識別行為に当たらない取扱いの事例】
- 事例1)複数の仮名加工情報を組み合わせて統計情報を作成すること。
- 事例2)仮名加工情報を個人と関係のない情報(例:気象情報、交通情報、金融商品等の取引高)とともに傾向を統計的に分析すること。
- 【識別行為に当たる取扱いの事例】
- 事例1)保有する個人情報と仮名加工情報について、共通する記述等を選別してこれらを照合すること。
- 事例2)仮名加工情報を、当該仮名加工情報の作成の元となった個人情報と照合すること。
(※)「他の情報」に限定はなく、本人を識別する目的をもって行う行為であれば、個人情報、個人関連情報、仮名加工情報及び匿名加工情報を含む情報全般と照合する行為が禁止される。また、具体的にどのような技術又は手法を用いて照合するかは問わない。
2-2-3-5 本人への連絡等の禁止(法第41条第8項関係)
- 法第41条(第8項)
-
- 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成14年法律第99号)第2条第6項に規定する一般信書便事業者若しくは同条第9項に規定する特定信書便事業者による同条第2項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
- 規則第33条
- 法第41条第8項に規定する電磁的方法は、次に掲げる方法とする。
- 電話番号を送受信のために用いて電磁的記録を相手方の使用に係る携帯して使用する通信端末機器に送信する方法(他人に委託して行う場合を含む。)
- 電子メールを送信する方法(他人に委託して行う場合を含む。)
- 前号に定めるもののほか、その受信をする者を特定して情報を伝達するために用いられる電気通信(電気通信事業法(昭和59年法律第86号)第2条第1号に規定する電気通信をいう。)を送信する方法(他人に委託して行う場合を含む。)
個人情報取扱事業者である仮名加工情報取扱事業者は、個人情報である仮名加工情報を取り扱う場合には、電話をかけ、郵便若しくは信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報の利用を行ってはならない。
ここでいう「電磁的方法」とは、次の(1)から(3)までのいずれかの方法をいう。
- 電話番号を送受信のために用いて電磁的記録を相手方の使用に係る携帯して使用する通信端末機器に送信する方法(他人に委託して行う場合を含む。)(規則第33条第1号関係)
いわゆるショートメールを送信する方法であり、他人に委託して行う場合を含む。
- 電子メールを送信する方法(他人に委託して行う場合を含む。)(規則第33条第2号関係)
電子メールを送信する方法であり、他人に委託して行う場合を含む。
- 前号に定めるもののほか、その受信をする者を特定して情報を伝達するために用いられる電気通信(電気通信事業法(昭和59年法律第86号)第2条第1号に規定する電気通信をいう。)を送信する方法(他人に委託して行う場合を含む。)(規則第33条第3号関係)
電子メールを送信する方法のほか、受信する者を特定した上で情報を伝達するために用いられる電気通信を送信する方法であり、他人に委託して行う場合を含む。
- 【受信する者を特定して情報を伝達するために用いられる電気通信を送信する方法に該当する事例】
- 事例1)いわゆるSNS(ソーシャル・ネットワーキング・サービス)のメッセージ機能によりメッセージを送信する方法
- 事例2)CookieIDを用いて受信する者を特定した上で、当該受信者に対して固有の内容のインターネット広告を表示する方法
2-2-3-6 適用除外(法第41条第9項関係)
- 法第41条(第9項)
-
- 仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、第17条第2項、第26条及び第32条から第39条までの規定は、適用しない。
仮名加工情報(個人情報であるもの)、仮名加工情報である個人データ及び仮名加工情報である保有個人データの取扱いについては、次の(1)から(3)までの規定が適用されない。
- (1)利用目的の変更(法第17条第2項関係)
- 仮名加工情報(個人情報であるもの)については、利用目的の変更の制限に関する法第17条第2項の規定は適用されないため、変更前の利用目的と関連性を有すると合理的に認められる範囲を超える利用目的の変更も認められる。
- (2)漏えい等の報告等(法第26条関係)
- 仮名加工情報である個人データについては、法第26条の規定は適用されないため、仮名加工情報である個人データについて漏えい等が発生した場合でも、法第26条に基づく報告や本人通知は不要である(※1)。
- (3)本人からの開示等の請求等(法第32条~第39条関係)
- 仮名加工情報である保有個人データについては、法第32条から第39条までの規定は適用されないため、仮名加工情報である保有個人データについては、これらの規定に基づく本人からの開示等の請求等の対象とならない(※2)。
- (※1)仮名加工情報の作成の元となった個人データ又は氏名と仮IDの対応表のような削除情報等(個人データであるもの)については、法第26条の規定が適用される。そのため、これらについての漏えい等が発生した場合において、当該漏えい等が法第26条に定める要件を満たす場合には、同条に基づく報告や本人通知の対象となる。
- (※2)個人情報取扱事業者である仮名加工情報取扱事業者が仮名加工情報の作成の元となった保有個人データを引き続き保有している場合、当該保有個人データについては、法第32条から第39条までの規定に基づく本人からの開示等の請求等の対象となる。
2-2-3-7 その他の義務等
個人情報取扱事業者である仮名加工情報取扱事業者による仮名加工情報(個人情報であるもの)及び仮名加工情報である個人データの取扱いについては、上記2-2-3-1(利用目的による制限・公表)から2-2-3-6(適用除外)までに記載の各規律のほか、次の(1)から(6)までの義務等が課される(※)。
- (1)不適正利用の禁止(法第19条関係)
違法又は不当な行為を助長し、又は誘発するおそれがある方法により仮名加工情報(個人情報であるもの)を利用してはならない。 詳細については、通則ガイドライン「3-2(不適正利用の禁止)」を参照のこと。
- (2)適正取得(法第20条第1項関係)
偽りその他不正の手段により仮名加工情報(個人情報であるもの)を取得してはならない。 詳細については、通則ガイドライン「3-3-1(適正取得)」を参照のこと。
- (3)安全管理措置(法第23条関係)
取り扱う仮名加工情報である個人データの漏えい等その他の安全管理のために必要かつ適切な措置を講じなければならない。 詳細については、通則ガイドライン「3-4-2(安全管理措置)」を参照のこと。 なお、仮名加工情報には識別行為の禁止義務や本人への連絡等の禁止義務が課されていることから、仮名加工情報を取り扱うに当たっては、それを取り扱う者が不適正な取扱いをすることがないよう、仮名加工情報に該当することを明確に認識できるようにしておくことが重要である。そのため、仮名加工情報を取り扱う者にとってその情報が仮名加工情報である旨が一見して明らかな状態にしておくことが望ましい。
- (4)従業者の監督(法第24条関係)
従業者に仮名加工情報である個人データを取り扱わせるに当たっては、当該仮名加工情報である個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。 詳細については、通則ガイドライン「3-4-3(従業者の監督)」を参照のこと。
- (5)委託先の監督(法第25条関係)
仮名加工情報である個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された仮名加工情報である個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
詳細については、通則ガイドライン「3-4-4(委託先の監督)」を参照のこと。
- (6)苦情処理(法第40条関係)
仮名加工情報(個人情報であるもの)の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。 また、苦情の適切かつ迅速な処理を行うに当たり、苦情処理窓口の設置や苦情処理の手順を定める等必要な体制の整備に努めなければならない。 詳細については、通則ガイドライン「3-9(個人情報の取扱いに関する苦情処理)」を参照のこと。
- (※)(1)から(6)までの義務等のほか、仮名加工情報(個人情報であるもの)については、要配慮個人情報の取得に関する法第20条第2項の適用対象となる(仮名加工情報(個人情報であるもの)の「取得」については、2-2-3-1-2(利用目的の公表)参照)。もっとも、法第41条第6項により、仮名加工情報である個人データの第三者提供の禁止の例外は、法令に基づく場合又は委託、事業承継若しくは共同利用に伴って提供される場合に限定されているところ、これらの場合により要配慮個人情報の提供を受けるときは、本人同意は不要とされている(法第20条第2項第1号並びに同項第8号及び政令第9条第2号)。
また、仮名加工情報である個人データについては、確認・記録義務に関する法第29条及び第30条の適用対象となる。もっとも、法第41条第6項により、仮名加工情報である個人データの第三者提供の禁止の例外は、法令に基づく場合又は委託、事業承継若しくは共同利用に伴って提供される場合に限定されているところ、これらの場合には、確認・記録義務は課されないこととされている(法第41条第6項により読み替えて適用される法第29条第1項ただし書及び第30条第1項ただし書)。
2-2-4 個人情報でない仮名加工情報の取扱いに関する義務等
2-2-4-1 第三者提供の禁止等(法第42条第1項・第2項関係)
- 法第42条(第1項・第2項)
-
- 仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。次項及び第3項において同じ。)を第三者に提供してはならない。
- 第27条第5項及び第6項の規定は、仮名加工情報の提供を受ける者について準用する。この場合において、同条第5項中「前各項」とあるのは「第42条第1項」と、同項第1号中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、同項第3号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第6項中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。
仮名加工情報取扱事業者は、法令に基づく場合(※1)を除くほか、仮名加工情報(個人情報であるものを除く。以下この項及び次項において同じ。)を第三者に提供してはならない。
ただし、法第42条第2項により読み替えて準用される法第27条第5項各号に定める委託、事業承継又は共同利用により仮名加工情報の提供を受ける者は、提供主体の仮名加工情報取扱事業者と一体のものとして取り扱うことに合理性があるため、第三者には該当しないものとする。そのため、法第42条第2項により読み替えて準用される法第27条第5項各号に定める委託、事業承継又は共同利用による場合は、仮名加工情報を提供することができる(※2)。
- (※1)「法令に基づく場合」の具体的な事例については、通則ガイドライン「3-1-5(利用目的による制限の例外)」を参照のこと。
- (※2)委託、事業承継及び共同利用については、2-2-3-3(第三者提供の禁止等)を参照のこと。
2-2-4-2 その他の義務等(法第42条第3項関係)
- 法第42条(第3項)
-
- 第23条から第25条まで、第40条並びに前条第7項及び第8項の規定は、仮名加工情報取扱事業者による仮名加工情報の取扱いについて準用する。この場合において、第23条中「漏えい、滅失又は毀損」とあるのは「漏えい」と、前条第7項中「ために、」とあるのは「ために、削除情報等を取得し、又は」と読み替えるものとする。
仮名加工情報取扱事業者による仮名加工情報の取扱いについては、上記2-2-4-1(第三者提供の禁止等)に記載の規律のほか、次の(1)から(6)までの義務等が課される。
- (1)安全管理措置(法第42条第3項、第23条関係) 取り扱う仮名加工情報の漏えいの防止その他の仮名加工情報の安全管理のために必要かつ適切な措置を講じなければならない。 詳細については、通則ガイドライン「3-4-2(安全管理措置)」を参照のこと。 なお、仮名加工情報には識別行為の禁止義務や本人への連絡等の禁止義務が課されていることから、仮名加工情報を取り扱うに当たっては、それを取り扱う者が不適正な取扱いをすることがないよう、仮名加工情報に該当することを明確に認識できるようにしておくことが重要である。そのため、仮名加工情報を取り扱う者にとってその情報が仮名加工情報である旨が一見して明らかな状態にしておくことが望ましい。
- (2)従業者の監督(法第42条第3項、第24条関係)
従業者に仮名加工情報を取り扱わせるに当たっては、当該仮名加工情報の安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
詳細については、通則ガイドライン「3-4-3(従業者の監督)」を参照のこと。
- (3)委託先の監督(法第42条第3項、第25条関係)
仮名加工情報の取扱いの全部又は一部を委託する場合は、その取扱いを委託された仮名加工情報の安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
詳細については、通則ガイドライン「3-4-4(委託先の監督)」を参照のこと。
- (4)苦情処理(法第42条第3項、第40条関係)
仮名加工情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。 また、苦情の適切かつ迅速な処理を行うに当たり、苦情処理窓口の設置や苦情処理の手順を定める等必要な体制の整備に努めなければならない。
詳細については、通則ガイドライン「3-9(個人情報の取扱いに関する苦情処理)」を参照のこと。
- (5)識別行為の禁止(法第42条第3項、第41条第7項関係)
仮名加工情報を取り扱う場合には、当該仮名加工情報の作成の元となった個人情報の本人を識別する目的で、削除情報等を取得し、又は当該仮名加工情報を他の情報と照合してはならない。
詳細については、2-2-3-4(識別行為の禁止)を参照のこと。
- (6)本人への連絡等の禁止(法第42条第3項、第41条第8項関係)
仮名加工情報を取り扱う場合には、電話をかけ、郵便若しくは信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報の利用を行ってはならない。
詳細については、2-2-3-5(本人への連絡等の禁止)を参照のこと。
3 匿名加工情報
3-1 定義
3-1-1 匿名加工情報(法第2条第6項関係)
- 法第2条(第6項)
-
- この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
- 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
「匿名加工情報」とは、個人情報を個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものをいう。
法第2条第1項第1号に該当する「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」である個人情報の場合には、「特定の個人を識別することができないように個人情報を加工」とは、特定の個人を識別することができなくなるように当該個人情報に含まれる氏名、生年月日その他の記述等を削除することを意味する。
法第2条第1項第2号に該当する「個人識別符号が含まれる」個人情報の場合には、「特定の個人を識別することができないように個人情報を加工」とは、当該個人情報に含まれる個人識別符号の全部を特定の個人を識別することができなくなるように削除することを意味する(この措置を講じた上で、まだなお法第2条第1項第1号に該当する個人情報であった場合には、同号に該当する個人情報としての加工を行う必要がある。)。
「削除すること」には、「当該一部の記述等」又は「当該個人識別符号」を「復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む」とされている。「復元することのできる規則性を有しない方法」とは置き換えた記述から、置き換える前の特定の個人を識別することとなる記述等又は個人識別符号の内容を復元することができない方法である。
なお、法において「特定の個人を識別することができる」とは、情報単体又は複数の情報を組み合わせて保存されているものから社会通念上そのように判断できるものをいい、一般人の判断力又は理解力をもって生存する具体的な人物と情報の間に同一性を認めるに至ることができるかどうかによるものである。匿名加工情報に求められる「特定の個人を識別することができない」という要件は、あらゆる手法によって特定することができないよう技術的側面から全ての可能性を排除することまでを求めるものではなく、少なくとも、一般人及び一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者又は匿名加工情報取扱事業者が通常の方法により特定できないような状態にすることを求めるものである。
また、「当該個人情報を復元することができないようにしたもの」とは、通常の方法では、匿名加工情報から匿名加工情報の作成の元となった個人情報に含まれていた特定の個人を識別することとなる記述等又は個人識別符号の内容を特定すること等により、匿名加工情報を個人情報に戻すことができない状態にすることをいう。
「当該個人情報を復元することができないようにしたもの」という要件は、あらゆる手法によって復元することができないよう技術的側面から全ての可能性を排除することまでを求めるものではなく、少なくとも、一般人及び一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者又は匿名加工情報取扱事業者が通常の方法により復元できないような状態にすることを求めるものである。
匿名加工情報を作成するときは、法第43条第1項に規定する規則で定める基準に従って加工する必要があり、法第2条第6項に定める措置を含む必要な措置は当該規則で定めている(匿名加工情報の作成に必要な加工義務については、3-2-2(匿名加工情報の適正な加工)参照)。
なお、「統計情報」は、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に把握するものである。したがって、統計情報は、特定の個人との対応関係が排斥されている限りにおいては、法における「個人に関する情報」に該当するものではないため、規制の対象外となる。
3-1-2 匿名加工情報取扱事業者(法第16条第6項関係)
- 法第16条(第6項)
-
- この章、第6章及び第7章において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第43条第1項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。
- 政令第7条
- 法第16条第6項の政令で定めるものは、同項に規定する情報の集合物に含まれる匿名加工情報を一定の規則に従って整理することにより特定の匿名加工情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するものをいう。
「匿名加工情報取扱事業者」とは、匿名加工情報データベース等を事業の用に供している者のうち、国の機関、地方公共団体、法第2条第9項に規定する独立行政法人等(別表第2に掲げる法人を除く。)及び法第2条第10項に規定する地方独立行政法人(地方独立行政法人法第21条第1号に掲げる業務を主たる目的とするもの又は同条第2号若しくは第3号(チに係る部分に限る。)に掲げる業務を目的とするものを除く。)を除いた者をいう。
「匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの」とは、特定の匿名加工情報をコンピュータを用いて検索することができるように体系的に構成した、匿名加工情報を含む情報の集合物をいう。また、コンピュータを用いていない場合であっても、紙媒体の匿名加工情報を一定の規則に従って整理・分類し、特定の匿名加工情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものも該当する。
ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問わない。なお、法人格のない、権利能力のない社団(任意団体)又は個人であっても匿名加工情報データベース等を事業の用に供している場合は匿名加工情報取扱事業者に該当する。
3-2 匿名加工情報取扱事業者等の義務
3-2-1 匿名加工情報の取扱いに係る義務の考え方
法第4章第4節においては、匿名加工情報を作成する個人情報取扱事業者及び匿名加工情報データベース等を事業の用に供している匿名加工情報取扱事業者が、匿名加工情報を取り扱う場合等に遵守すべき義務を規定している。
- 【匿名加工情報を作成する個人情報取扱事業者が遵守する義務等】
-
- 匿名加工情報を作成するときは、適正な加工を行わなければならない。(法第43条第1項)<3-2-2(匿名加工情報の適正な加工)参照>
- 匿名加工情報を作成したときは、加工方法等の情報の安全管理措置を講じなければならない。(法第43条第2項)<3-2-3(匿名加工情報等の安全管理措置等)参照>
- 匿名加工情報を作成したときは、当該情報に含まれる情報の項目を公表しなければならない。(法第43条第3項)<3-2-4(匿名加工情報の作成時の公表)参照>
- 匿名加工情報を第三者提供するときは、提供する情報の項目及び提供方法について公表するとともに、提供先に当該情報が匿名加工情報である旨を明示しなければならない。(法第43条第4項)<3-2-5(匿名加工情報の第三者提供)参照>
- 匿名加工情報を自ら利用するときは、元の個人情報に係る本人を識別する目的で他の情報と照合することを行ってはならない。(法第43条第5項)<3-2-6(識別行為の禁止)参照>
- 匿名加工情報を作成したときは、匿名加工情報の適正な取扱いを確保するため、安全管理措置、苦情の処理などの措置を自主的に講じて、その内容を公表するよう努めなければならない。(法第43条第6項)<3-2-3(匿名加工情報等の安全管理措置等)参照>
- 【匿名加工情報データベース等を事業の用に供している匿名加工情報取扱事業者が遵守する義務等(※)】
-
- 匿名加工情報を第三者提供するときは、提供する情報の項目及び提供方法について公表するとともに、提供先に当該情報が匿名加工情報である旨を明示しなければならない。(法第44条)<3-2-5(匿名加工情報の第三者提供)参照>
- 匿名加工情報を利用するときは、元の個人情報に係る本人を識別する目的で、加工方法等の情報を取得し、又は他の情報と照合することを行ってはならない。(法第45条)<3-2-6(識別行為の禁止)参照>
- 匿名加工情報の適正な取扱いを確保するため、安全管理措置、苦情の処理などの措置を自主的に講じて、その内容を公表するよう努めなければならない。(法第46条)<3-2-3(匿名加工情報等の安全管理措置等)参照>
(※)匿名加工情報データベース等を事業の用に供する者は匿名加工情報取扱事業者に該当する。ただし、個人情報取扱事業者が自ら個人情報を加工して作成した匿名加工情報については、法第44条から第46条までの適用対象から除外されており、法第43条第4項から第6項までの規定が適用される。
3-2-2 匿名加工情報の適正な加工(法第43条第1項関係)
- 法第43条(第1項)
-
- 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下この章及び第6章において同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。
- 規則第34条
- 法第43条第1項の個人情報保護委員会規則で定める基準は、次のとおりとする。
- 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。
- 特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。
個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る(※1)。以下同じ。)を作成するとき(※2)は、特定の個人を識別できないように、かつ、その作成に用いる個人情報を復元できないようにするために、規則第34条各号に定める基準に従って、当該個人情報を加工しなければならない。なお、「個人情報保護委員会規則で定める基準に従い、当該個人情報を加工」するためには、加工する情報の性質に応じて、規則第34条各号に定める加工基準を満たす必要がある。
- (※1)匿名加工情報の取扱いに係る義務(法第43条から第46条まで)は、匿名加工情報データベース等を構成する匿名加工情報に課されるものであり、いわゆる散在情報となる、匿名加工情報データベース等を構成しない匿名加工情報の取扱いに係る義務は課されていない。
- (※2)「作成するとき」は、匿名加工情報として取り扱うために、当該匿名加工情報を作成するときのことを指す。したがって、例えば、安全管理措置の一環として氏名等の一部の個人情報を削除(又は他の記述等に置き換え)した上で引き続き個人情報として取り扱う場合、あるいは統計情報を作成するために個人情報を加工する場合等については、匿名加工情報を「作成するとき」には該当しない。
3-2-2-1 特定の個人を識別することができる記述等の削除
- 規則第34条(第1号)
-
- 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
個人情報取扱事業者が取り扱う個人情報には、一般に、氏名、住所、生年月日、性別の他、様々な個人に関する記述等が含まれている。これらの記述等は、氏名のようにその情報単体で特定の個人を識別することができるもののほか、住所、生年月日など、これらの記述等が合わさることによって特定の個人を識別することができるものもある。このような特定の個人を識別できる記述等から全部又はその一部を削除するあるいは他の記述等に置き換えることによって、特定の個人を識別することができないよう加工しなければならない。
なお、他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法でなければならない(※)。例えば、生年月日の情報を生年の情報に置き換える場合のように、元の記述等をより抽象的な記述に置き換えることも考えられる。
- 【想定される加工の事例】
- 事例1)氏名、住所、生年月日が含まれる個人情報を加工する場合に次の1から3までの措置を講ずる。
- 氏名を削除する。
- 住所を削除する。又は、○○県△△市に置き換える。
- 生年月日を削除する。又は、日を削除し、生年月に置き換える。
- 事例2)会員ID、氏名、住所、電話番号が含まれる個人情報を加工する場合に次の1、2の措置を講ずる。
- 会員ID、氏名、電話番号を削除する。
- 住所を削除する。又は、○○県△△市に置き換える。
(※)仮IDを付す場合には、元の記述を復元することのできる規則性を有しない方法でなければならない。
例えば、仮にハッシュ関数等を用いて氏名・住所・連絡先・クレジットカード番号のように個々人に固有の記述等から仮IDを生成しようとする際、元の記述に同じ関数を単純に用いると元となる記述等を復元することができる規則性を有することとなる可能性がある場合には、元の記述(例えば、氏名+連絡先)に乱数等の他の記述を加えた上でハッシュ関数等を用いるなどの手法を検討することが考えられる。なお、乱数等の他の記述等を加えた上でハッシュ関数等を用いるなどの手法を用いる場合、匿名加工情報の作成後に、仮IDへの置き換えに用いたハッシュ関数等と乱数等の他の記述等の組み合わせを保有し続けることは認められないことについて、3-2-3-1(加工方法等情報の安全管理措置)を参照のこと。
3-2-2-2 個人識別符号の削除
- 規則第34条(第2号)
-
- (2) 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
加工対象となる個人情報が、個人識別符号を含む情報であるときは、当該個人識別符号単体で特定の個人を識別できるため、当該個人識別符号の全部を削除又は他の記述等へ置き換えて、特定の個人を識別できないようにしなければならない。
なお、他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法による必要がある。
- (参考)個人識別符号の概要
- 個人識別符号とは、その情報単体から特定の個人を識別することができるものとして政令で定めるものをいい、次のいずれかに該当するものである(個人識別符号の定義の詳細については、通則ガイドライン「2-2(個人識別符号)」参照)。
- 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した符号
- 生体情報(DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋)をデジタルデータに変換したもののうち、特定の個人を識別するに足りるものとして規則で定める基準に適合するもの(政令第1条第1号及び規則第2条)
- 対象者ごとに異なるものとなるように役務の利用、商品の購入又は書類に付される符号
- 旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、医療・介護保険各法に規定する保険者番号・被保険者記号・番号等の公的機関が割り振る番号等(政令第1条第2号から第10号まで、規則第3条及び第4条)
- 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した符号
3-2-2-3 情報を相互に連結する符号の削除
- 規則第34条(第3号)
-
- (3) 個人情報と当該個人情報に措置を講じて得られる情報を連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。
個人情報取扱事業者が個人情報を取り扱う上で、例えば、安全管理の観点から取得した個人情報を分散管理等しようとするために、当該個人情報を分割あるいは全部又は一部を複製等した上で、当該個人情報に措置を講じて得られる情報を個人情報と相互に連結するための符号としてID等を付していることがある。このようなIDは、個人情報と当該個人情報に措置を講じて得られる情報を連結するために用いられるものであり、特定の個人の識別又は元の個人情報の復元につながり得ることから、加工対象となる個人情報から削除又は他の符号への置き換えを行わなければならない。
個人情報と当該個人情報に措置を講じて得られる情報を連結する符号のうち、「現に個人情報取扱事業者において取り扱う情報(※1)を相互に連結する符号」がここでの加工対象となる。具体的には、ここで対象となる符号は、匿名加工情報を作成しようとする時点において、実際に取り扱う情報を相互に連結するように利用されているものが該当する。例えば、分散管理のためのIDとして実際に使われているものであれば、管理用に附番されたIDあるいは電話番号等もこれに該当する。
なお、他の符号に置き換える場合は、元の符号を復元できる規則性を有しない方法でなければならない。
- 【想定される加工の事例】
-
- 事例1)サービス会員の情報について、氏名等の基本的な情報と購買履歴を分散管理し、それらを管理用IDを付すことにより連結している場合、その管理用IDを削除する。
- 事例2)委託先へ個人情報の一部を提供する際に利用するために、管理用IDを付すことにより元の個人情報と提供用に作成した情報を連結している場合、当該管理用IDを仮ID(※2)に置き換える。
- (※1)「現に個人情報取扱事業者において取り扱う情報」とは、匿名加工情報を作成する時点において取り扱われている情報のことを指し、これから作成する匿名加工情報は含まれない。
- (※2)仮IDを付す際の注意点については、3-2-2-1(特定の個人を識別することができる記述等の削除)の(※)を参照のこと。
3-2-2-4 特異な記述等の削除
- 規則第34条(第4号)
-
- (4) 特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
一般的にみて、珍しい事実に関する記述等又は他の個人と著しい差異が認められる記述等については、特定の個人の識別又は元の個人情報の復元につながるおそれがあるものである。そのため、匿名加工情報を作成するに当たっては、特異な記述等について削除又は他の記述等への置き換えを行わなければならない。
ここでいう「特異な記述等」とは、特異であるがために特定の個人を識別できる記述等に至り得るものを指すものであり、他の個人と異なるものであっても特定の個人の識別にはつながり得ないものは該当しない。実際にどのような記述等が特異であるかどうかは、情報の性質等を勘案して、個別の事例ごとに客観的に判断する必要がある。
他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法による必要がある。例えば、特異な記述等をより一般的な記述等に置き換える方法もあり得る。
なお、規則第34条第4号の対象には、一般的なあらゆる場面において特異であると社会通念上認められる記述等が該当する。他方、加工対象となる個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等とで著しい差異がある場合など個人情報データベース等の性質によるものは同条第5号において必要な措置が求められることとなる。
- 【想定される加工の事例】
-
- 事例1)症例数の極めて少ない病歴を削除する。
- 事例2)年齢が「116歳」という情報を「90歳以上」に置き換える。
3-2-2-5 個人情報データベース等の性質を踏まえたその他の措置
- 規則第34条(第5号)
-
- (5) 前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。
匿名加工情報を作成する際には、規則第34条第1号から第4号までの措置をまず講ずることで、特定の個人を識別できず、かつ当該個人情報に復元できないものとする必要がある。
しかしながら、加工対象となる個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等とで著しい差異がある場合など、加工の元となる個人情報データベース等の性質によっては、同条第1号から第4号までの加工を施した情報であっても、一般的にみて、特定の個人を識別することが可能である状態あるいは元の個人情報を復元できる状態のままであるといえる場合もあり得る。そのような場合に対応するため、上記の措置のほかに必要となる措置がないかどうか勘案し、必要に応じて、別表2(匿名加工情報の加工に係る手法例)の手法などにより、適切な措置を講じなければならない。
なお、加工対象となる個人情報データベース等の性質によって加工の対象及び加工の程度は変わり得るため、どの情報をどの程度加工する必要があるかは、加工対象となる個人情報データベース等の性質も勘案して個別具体的に判断する必要がある。
特に、購買履歴、位置に関する情報などを含む個人情報データベース等において反復して行われる行動に関する情報が含まれる場合には、これが蓄積されることにより、個人の行動習慣が分かるような場合があり得る。そのような情報のうち、その情報単体では特定の個人が識別できるとは言えないものであっても、蓄積されたこと等によって特定の個人の識別又は元の個人情報の復元につながるおそれがある部分については、適切な加工を行わなければならない。
- 【想定される加工の事例】
-
- 事例1)移動履歴を含む個人情報データベース等を加工の対象とする場合において、自宅や職場などの所在が推定できる位置情報(経度・緯度情報)が含まれており、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、推定につながり得る所定範囲の位置情報を削除する。(項目削除/レコード削除/セル削除)
- 事例2)ある小売店の購買履歴を含む個人情報データベース等を加工の対象とする場合において、当該小売店での購入者が極めて限定されている商品の購買履歴が含まれており、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、具体的な商品情報(品番・色)を一般的な商品カテゴリーに置き換える。(一般化)
- 事例3)小学校の身体検査の情報を含む個人情報データベース等を加工の対象とする場合において、ある児童の身長が170㎝という他の児童と比べて差異が大きい情報があり、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、身長が150cm以上の情報について「150㎝以上」という情報に置き換える。(トップコーディング)
(別表2)匿名加工情報の加工に係る手法例(※) 手法名 解説 項目削除/レコード削除/セル削除 加工対象となる個人情報データベース等に含まれる個人情報の記述等を削除するもの。 例えば、年齢のデータを全ての個人情報から削除すること(項目削除)、特定の個人の情報を全て削除すること(レコード削除)、又は特定の個人の年齢のデータを削除すること(セル削除)。 一般化 加工対象となる情報に含まれる記述等について、上位概念若しくは数値に置き換えること又は数値を四捨五入などして丸めることとするもの。 例えば、購買履歴のデータで「きゅうり」を「野菜」に置き換えること。 トップ(ボトム)コーディング 加工対象となる個人情報データベース等に含まれる数値に対して、特に大きい又は小さい数値をまとめることとするもの。 例えば、年齢に関するデータで、80歳以上の数値データを「80歳以上」というデータにまとめること。 ミクロアグリゲーション 加工対象となる個人情報データベース等を構成する個人情報をグループ化した後、グループの代表的な記述等に置き換えることとするもの。 データ交換(スワップ) 加工対象となる個人情報データベース等を構成する個人情報相互に含まれる記述等を(確率的に)入れ替えることとするもの。 ノイズ(誤差)付加 一定の分布に従った乱数的な数値を付加することにより、他の任意の数値へと置き換えることとするもの。 疑似データ生成 人工的な合成データを作成し、これを加工対象となる個人情報データベース等に含ませることとするもの。 (※)匿名加工情報の作成に当たっての一般的な加工手法を例示したものであり、その他の手法を用いて適切に加工することを妨げるものではない。
3-2-3 匿名加工情報等の安全管理措置等(法第43条第2項、第6項、第46条関係)
3-2-3-1 加工方法等情報の安全管理措置
- 法第43条(第2項)
-
- 個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。
- 規則第35条
- 法第43条第2項の個人情報保護委員会規則で定める基準は、次のとおりとする。
- 加工方法等情報(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第43条第1項の規定により行った加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)をいう。以下この条において同じ。)を取り扱う者の権限及び責任を明確に定めること。
- 加工方法等情報の取扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること。
- 加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置を講ずること。
個人情報取扱事業者は、匿名加工情報を作成したときは、加工方法等情報(その作成に用いた個人情報から削除した記述等及び個人識別符号並びに加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。(※))をいう。以下同じ。)の漏えいを防止するために、規則で定める基準に従い、必要な措置を講じなければならない。
当該措置の内容は、対象となる加工方法等情報が漏えいした場合における復元リスクの大きさを考慮し、当該加工方法等情報の量、性質等に応じた内容としなければならないが、具体的に講じなければならない項目及び具体例については、別表3(加工方法等情報の安全管理で求められる措置の具体例)を参照のこと。
(※)「その情報を用いて当該個人情報を復元することができるもの」には、「年齢のデータを10歳刻みのデータに置き換えた」というような復元につながらない情報は該当しない。なお、氏名等を仮IDに置き換えた場合における氏名と仮IDの対応表は、匿名加工情報と容易に照合することができ、それにより匿名加工情報の作成の元となった個人情報の本人を識別することができるものであることから、匿名加工情報の作成後は破棄しなければならない。また、匿名加工情報を作成した個人情報取扱事業者が、氏名等の仮IDへの置き換えに用いた置き換えアルゴリズムと乱数等のパラメータの組み合わせを保有している場合には、当該置き換えアルゴリズム及び当該乱数等のパラメータを用いて再度同じ置き換えを行うことによって、匿名加工情報とその作成の元となった個人情報とを容易に照合でき、それにより匿名加工情報の作成の元となった個人情報の本人を識別することができることから、匿名加工情報の作成後は、氏名等の仮IDへの置き換えに用いた乱数等のパラメータを破棄しなければならない。
(別表3)加工方法等情報の安全管理で求められる措置の具体例 講じなければならない措置 具体例 マル1加工方法等情報を取り扱う者の権限及び責任の明確化 (規則第35条第1号) - 加工方法等情報の安全管理措置を講ずるための組織体制の整備
マル2加工方法等情報の取扱いに関する規程類の整備 及び当該規程類に従った加工方法等情報の適切な取扱い 並びに加工方法等情報の取扱状況の評価及びその結果に基づき改善を図るために必要な措置の実施 (規則第35条第2号) - 加工方法等情報の取扱いに係る規程等の整備とこれに従った運用
- 従業者の教育
- 加工方法等情報の取扱状況を確認する手段の整備
- 加工方法等情報の取扱状況の把握、安全管理措置の評価、見直し及び改善
マル3加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置の実施 (規則第35条第3号) - 加工方法等情報を取り扱う権限を有しない者による閲覧等の防止
- 機器、電子媒体等の盗難等の防止
- 電子媒体等を持ち運ぶ場合の漏えいの防止
- 加工方法等情報の削除並びに機器、電子媒体等の廃棄
- 加工方法等情報へのアクセス制御
- 加工方法等情報へのアクセス者の識別と認証
- 外部からの不正アクセス等の防止
- 情報システムの使用に伴う加工方法等情報の漏えいの防止
3-2-3-2 匿名加工情報の安全管理措置等
- 法第43条(第6項)
-
- 個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
- 法第46条
- 匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
個人情報取扱事業者又は匿名加工情報取扱事業者は、匿名加工情報の安全管理措置、苦情処理等の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
当該安全管理等の措置については、個人情報と同様の取扱いを求めるものではないが、例えば、法第23条から第25条までに定める個人データの安全管理、従業者の監督及び委託先の監督並びに法第40条に定める個人情報の取扱いに関する苦情の処理で求められる措置の例(※)を参考にすることも考えられる。具体的には、事業の性質、匿名加工情報の取扱状況、取り扱う匿名加工情報の性質、量等に応じて、合理的かつ適切な措置を講ずることが望ましい。
なお、匿名加工情報には識別行為の禁止義務が課されていることから、匿名加工情報を取り扱うに当たっては、それを取り扱う者が不適正な取扱いをすることがないよう、匿名加工情報に該当することを明確に認識できるようにしておくことが重要である。そのため、作成した匿名加工情報について、匿名加工情報を取り扱う者にとってその情報が匿名加工情報である旨が一見して明らかな状態にしておくことが望ましい。
(※)詳細は、通則ガイドライン「3-4-2(安全管理措置)、3-4-3(従業者の監督)、3-4-4(委託先の監督)、3-9(個人情報の取扱いに関する苦情処理)」を参照のこと。
3-2-4 匿名加工情報の作成時の公表(法第43条第3項関係)
- 法第43条(第3項)
-
- 個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
- 規則第36条
-
- 法第43条第3項の規定による公表は、匿名加工情報を作成した後、遅滞なく、インターネットの利用その他の適切な方法により行うものとする。
- 個人情報取扱事業者が他の個人情報取扱事業者の委託を受けて匿名加工情報を作成した場合は、当該他の個人情報取扱事業者が当該匿名加工情報に含まれる個人に関する情報の項目を前項に規定する方法により公表するものとする。この場合においては、当該公表をもって当該個人情報取扱事業者が当該項目を公表したものとみなす。
個人情報取扱事業者は、匿名加工情報を作成したとき(※1)は、匿名加工情報の作成後遅滞なく(※2)、インターネット等を利用し、当該匿名加工情報に含まれる個人に関する情報の項目を公表(※3)しなければならない。
また、個人に関する情報の項目が同じである匿名加工情報を同じ手法により反復・継続的に作成する場合には、最初の匿名加工情報を作成して個人に関する項目を公表する際に、作成期間又は継続的な作成を予定している旨を明記するなど継続的に作成されることとなる旨を明らかにしておくことにより、その後に作成される匿名加工情報に係る公表については先の公表により行われたものと解される。
なお、他の個人情報取扱事業者との委託契約により個人データの提供を受けて匿名加工情報を作成する場合など委託により匿名加工情報を作成する場合は、委託元において当該匿名加工情報に含まれる個人に関する情報の項目を公表するものとする。
- 【個人に関する情報の項目の事例】
- 事例)「氏名・性別・生年月日・購買履歴」のうち、氏名を削除した上で、生年月日の一般化、購買履歴から特異値等を削除する等加工して、「性別・生年・購買履歴」に関する匿名加工情報として作成した場合の公表項目は、「性別」、「生年」、「購買履歴」である。
- (※1)ここで「匿名加工情報を作成したとき」とは、匿名加工情報として取り扱うために、個人情報を加工する作業が完了した場合のことを意味する。すなわち、あくまで個人情報の安全管理措置の一環として一部の情報を削除しあるいは分割して保存・管理する等の加工をする場合又は個人情報から統計情報を作成するために個人情報を加工する場合等を含むものではない。 また、匿名加工情報を作成するために個人情報の加工をする作業を行っている途上であるものの作成作業が完了していない場合には、加工が不十分であること等から匿名加工情報として取り扱うことが適切ではない可能性もあるため「匿名加工情報を作成したとき」とは位置付けられない。
- (※2)ここでの「遅滞なく」とは、正当かつ合理的な期間であれば公表が匿名加工情報を作成した直後でなくても認められることを意味する。ただし、少なくとも匿名加工情報の利用又は第三者提供をする前に匿名加工情報を作成したことを一般に十分に知らせるに足る期間を確保するものでなければならない。許容される具体的な期間は、業種及びビジネスの態様によっても異なり得るため、個別具体的に判断する必要がある。
- (※3)「公表」とは、広く一般に自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいう。詳細は、通則ガイドライン「2-15(公表)」を参照のこと。
3-2-5 匿名加工情報の第三者提供(法第43条第4項、第44条関係)
- 法第43条(第4項)
-
- 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
- 法第44条
- 匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。以下この節について同じ。)を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
- 規則第37条
-
- 法第43条第4項の規定による公表は、インターネットの利用その他の適切な方法により行うものとする。
- 法第43条第4項の規定による明示は、電子メールを送信する方法又は書面を交付する方法その他の適切な方法により行うものとする。
- 規則第38条
-
- 前条第1項の規定は、法第44条の規定による公表について準用する。
- 前条第2項の規定は、法第44条の規定による明示について準用する。
個人情報取扱事業者又は匿名加工情報取扱事業者は、匿名加工情報を第三者に提供(※1)するときは、提供に当たりあらかじめ(※2)、インターネット等を利用し、次の(1)及び(2)に掲げる事項を公表(※3)するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を電子メール又は書面等により明示(※4)しなければならない。
また、個人に関する情報の項目及び加工方法が同じである匿名加工情報を反復・継続的に第三者へ同じ方法により提供する場合には、最初に匿名加工情報を第三者提供するときに個人に関する項目を公表する際に、提供期間又は継続的な提供を予定している旨を明記するなど継続的に提供されることとなる旨を明らかにしておくことにより、その後に第三者に提供される匿名加工情報に係る公表については先の公表により行われたものと解される。
なお、匿名加工情報をインターネット等で公開する行為についても不特定多数への第三者提供に当たるため、上記義務を履行する必要がある。
- (1)第三者に提供する匿名加工情報に含まれる個人に関する情報の項目
- 事例)「氏名・性別・生年月日・購買履歴」のうち、氏名を削除した上で、生年月日の一般化、購買履歴から特異値等を削除する等加工して、「性別・生年・購買履歴」に関する匿名加工情報として作成して第三者提供する場合の公表項目は、「性別」、「生年」、「購買履歴」である。
- (2)匿名加工情報の提供の方法
- 事例1)ハードコピーを郵送
- 事例2)第三者が匿名加工情報を利用できるようサーバにアップロード
- (※1)「提供」とは、匿名加工情報を第三者が利用可能な状態に置くことをいう。匿名加工情報が物理的に提供されていない場合であっても、ネットワーク等を利用することにより、第三者が匿名加工情報を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。
- (※2)「あらかじめ」の期間については、匿名加工情報を第三者に提供することを一般に十分に知らせるに足る期間を確保するものでなければならない。具体的な期間については、業種及びビジネスの様態によっても異なり得るため、個別具体的に判断する必要がある。
- (※3)「公表」とは、広く一般に自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいう。詳細は、通則ガイドライン「2-15(公表)」を参照のこと。
- (※4)「明示」とは、第三者に対し、提供する情報が匿名加工情報であることを明確に示すことをいう。明示の方法については、規則第37条第2項で定められているとおり、事業の性質、匿名加工情報の取扱状況等に応じ、電子メールを送信する方法又は書面を交付する方法など適切な方法により、その内容が当該第三者に認識されるものである必要がある。
3-2-6 識別行為の禁止(法第43条第5項、第45条関係)
- 法第43条(第5項)
-
- 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。
- 法第45条
- 匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第43条第1項若しくは第116条第1項(同条第2項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
匿名加工情報を取り扱う場合(※1)には、当該匿名加工情報の作成の元となった個人情報の本人を識別する目的で、それぞれ次の行為を行ってはならない。
- (1)個人情報取扱事業者が自ら作成した匿名加工情報を取り扱う場合
-
- 自らが作成した匿名加工情報を、本人を識別するために他の情報(※2)と照合すること。
- (2)匿名加工情報取扱事業者が他者の作成した匿名加工情報を取り扱う場合
- 受領した匿名加工情報又は行政機関等匿名加工情報(※3)の加工方法等情報を取得すること。
- 受領した匿名加工情報を、本人を識別するために他の情報(※2)と照合すること。
- 【識別行為に当たらない取扱いの事例】
- 事例1)複数の匿名加工情報を組み合わせて統計情報を作成すること。
- 事例2)匿名加工情報を個人と関係のない情報(例:気象情報、交通情報、金融商品等の取引高)とともに傾向を統計的に分析すること。
- 【識別行為に当たる取扱いの事例】
- 事例1)保有する個人情報と匿名加工情報について、共通する記述等を選別してこれらを照合すること。
- 事例2)自ら作成した匿名加工情報を、当該匿名加工情報の作成の元となった個人情報と照合すること。
- (※1)匿名加工情報については、当該匿名加工情報の作成の元となった個人情報の本人を識別する目的のために他の情報と照合することが禁止されている。一方、個人情報として利用目的の範囲内で取り扱う場合に照合を禁止するものではない。
- (※2)「他の情報」に限定はなく、本人を識別する目的をもって行う行為であれば、個人情報、個人関連情報、仮名加工情報及び匿名加工情報を含む情報全般と照合する行為が禁止される。また、具体的にどのような技術又は手法を用いて照合するかは問わない。
- (※3)「行政機関等匿名加工情報」とは、法第60条第3項に定めるものを指す。なお、この情報は匿名加工情報に包含される概念であることから、この情報を取り扱う事業者は、匿名加工情報取扱事業者に係る規律の対象となるものである。
【付録】
<仮名加工情報と匿名加工情報の加工基準の差異(概要)> 仮名加工情報 匿名加工情報 定義 他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報
(法第2条第5項)特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの
(法第2条第6項)加工基準 特定の個人を識別することができる記述等の全部又は一部の削除
(規則第31条第1号)※「削除」には、当該記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることが含まれる。以下同じ。
特定の個人を識別することができる記述等の全部又は一部の削除
(規則第34条第1号)※「削除」には、当該記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることが含まれる。以下同じ。
加工基準 個人識別符号の全部の削除
(規則第31条第2号)個人識別符号の全部の削除
(規則第34条第2号)加工基準 - 個人情報と当該個人情報に措置を講じて得られる情報を連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除
(規則第34条第3号)加工基準 - 特異な記述等の削除
(規則第34条第4号)加工基準 - 前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずる
(規則第34条第5号)加工基準 不正に利用されることにより財産的被害が生じるおそれのある記述等の削除
(規則第31条第3号)- <仮名加工情報と匿名加工情報の取扱いに関する主な規律の差異(概要)(※1)> 仮名加工情報(※2) 匿名加工情報(※3) 加工に関する規律 - 規則第31条に定める加工基準に従った加工
(法第41条第1項)
- 規則第34条に定める加工基準に従った加工
(法第43条第1項)
安全管理に関する規律 - 削除情報等の安全管理措置
(法第41条第2項) - 仮名加工情報の安全管理措置
(法第23条、第42条第3項)
- 加工方法等情報の安全管理措置
(法第43条第2項) - 匿名加工情報の安全管理措置(努力義務)
(法第43条第6項、第46条)
作成時の公表に関する規律 - 利用目的の公表
(法第41条第4項)※利用目的を変更した場合には、変更後の利用目的について公表義務あり
- 匿名加工情報に含まれる個人に関する情報の項目の公表
(法第43条第3項)
提供に関する規律 - 第三者提供の原則禁止
(法第41条第6項、第42条第1項・第2項)※法令に基づく場合又は委託、事業承継若しくは共同利用による例外あり
- 本人同意なく第三者提供可能
- 提供時に、匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法の公表、並びに匿名加工情報である旨の提供先に対する明示
(法第43条第4項、第44条)
利用に関する規律 - 識別行為の禁止
(法第41条第7項、第42条第3項) - 本人への連絡等の禁止
(法第41条第8項、第42条第3項) - 利用目的の制限
(法第41条第3項)※利用目的の変更は可能(法第41条第9項)
- 利用目的達成時の消去(努力義務)
(法第41条第5項) - 苦情処理(努力義務)
(法第40条、第42条第3項)
- 識別行為の禁止
(法第43条第5項、第45条) - 苦情処理(努力義務)
(法第43条第6項、第46条)
- (※1)必ずしも適用される規律を網羅的に記載したものではない。各規律の詳細については、本ガイドラインの関連箇所を参照のこと。
- (※2)法第4章第3節の規律は、仮名加工情報データベース等を構成する仮名加工情報に適用される。
- (※3)法第4章第4節の規律は、匿名加工情報データベース等を構成する匿名加工情報に適用される。
<法第41条第4項の規定により適用する法第21条の読替え> 読替後 読替前 (取得に際しての利用目的の通知等) - 第21条
- 個人情報取扱事業者は、仮名加工情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を公表しなければならない。
- 【規定の性質上適用せず】
- 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について公表しなければならない。
- 前3項の規定は、次に掲げる場合については、適用しない。
- 利用目的を公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 利用目的を公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
- 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 取得の状況からみて利用目的が明らかであると認められる場合
(取得に際しての利用目的の通知等) - 第21条
- 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
- (略)
- 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
- 前3項の規定は、次に掲げる場合については、適用しない。
- 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
- 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 取得の状況からみて利用目的が明らかであると認められる場合
(※)傍線部分は読替部分。波線部分は当然読替部分。
<法第41条第6項の規定により適用する法第27条第5項及び第6項、第28条、第29条並びに第30条の読替え> 読替後 読替前 (第三者提供の制限) - 第27条
- 【適用せず】
2~4 【適用せず】- 次に掲げる場合において、当該仮名加工情報である個人データの提供を受ける者は、第41条第6項の規定の適用については、第三者に該当しないものとする。
- 個人情報取扱事業者が利用目的の達成に必要な範囲内において仮名加工情報である個人データの取扱いの全部又は一部を委託することに伴って当該仮名加工情報である個人データが提供される場合
- 合併その他の事由による事業の承継に伴って仮名加工情報である個人データが提供される場合
- 特定の者との間で共同して利用される仮名加工情報である個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される仮名加工情報である個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該仮名加工情報である個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ公表しているとき。
- 個人情報取扱事業者は、前項第3号に規定する仮名加工情報である個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の 利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について公表しなければならない。
- 次に掲げる場合において、当該仮名加工情報である個人データの提供を受ける者は、第41条第6項の規定の適用については、第三者に該当しないものとする。
- 第28条
- 【適用せず】
- 第29条
- 個人情報取扱事業者は、仮名加工情報である個人データを第三者(第16条第2項各号に掲げる者を除く。以下この条及び次条(第31条第3項において読み替えて準用する場合を含む。)において同じ。)に提供したときは、個人情報保護委
員会規則で定めるところにより、当該仮名加工情報である個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該仮名加工情報である個人データの提供が法令に基づく場合又は第27条第5項各号のいずれかに該当する場合は、この限りでない。
- 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
- 第30条
- 個人情報取扱事業者は、第三者から仮名加工情報である個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。
ただし、当該仮名加工情報である個人データの提供が法令に基づく場合又は第27条第5項各号のいずれかに該当する場合は、この限りでない。
- 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
- 当該第三者による当該仮名加工情報である個人データの取得の経緯
- 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。
- 個人情報取扱事業者は、第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該仮名加工情報である個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
- 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
(第三者提供の制限) - 第27条
- (略)
2~4 (略)- 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
- 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
- 合併その他の事由による事業の承継に伴って個人データが提供される場合
- 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
- 個人情報取扱事業者は、前項第3号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
- 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
- 第28条
- (略)
- 第29条
- 個人情報取扱事業者は、個人データを第三者(第16条第2項各号に掲げる者を除く。以下この条及び次条(第31条第3項において読み替えて準用する場合を含む。)において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第27条第1項各号又は第5項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第27条第1項各号のいずれか)に該当する場合は、この限りでない。
- 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護 委員会規則で定める期間保存しなければならない。
- 第30条
- 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第27条第1項各号又は第5項各号のいずれかに該当する場合は、この限りでない。
- 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
- 当該第三者による当該個人データの取得の経緯
- 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。
- 個人情報取扱事業者は、第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
- 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
(※)傍線部分は読替部分。波線部分は当然読替部分。
<法第42条第2項の規定において準用する法第27条第5項及び第6項の読替え> 読替後 読替前 (第三者提供の制限) - 第27条
- 【準用せず】
2~4 【準用せず】- 次に掲げる場合において、当該仮名加工情報の提供を受ける者は、第42条第1項の規定の適用については、第三者に該当しないものとする。
- 仮名加工情報取扱事業者が利用目的の達成に必要な範囲内において仮名加工情報の取扱いの全部又は一部を委託することに伴って当該仮名加工情報が提供される場合
- 合併その他の事由による事業の承継に伴って仮名加工情報が提供される場合
- 特定の者との間で共同して利用される仮名加工情報が当該特定の者に提供される場合であって、その旨並びに共同して利用される仮名加工情報の項目、共同して利用する者の範囲、利用する者の利用目的並びに当該仮名加工情報の管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ公表しているとき。
- 仮名加工情報取扱事業者は、前項第3号に規定する仮名加工情報の管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について公表しなければならない。
- 次に掲げる場合において、当該仮名加工情報の提供を受ける者は、第42条第1項の規定の適用については、第三者に該当しないものとする。
(第三者提供の制限) - 第27条
- (略)
2~4 (略)- 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
- 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
- 合併その他の事由による事業の承継に伴って個人データが提供される場合
- 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
- 個人情報取扱事業者は、前項第3号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
- 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
(※)傍線部分は読替部分。波線部分は当然読替部分。
<法第42条第3項の規定において準用する法第23条から第25条まで、第40条並びに第41条第7項及び第8項の読替え> 読替後 読替前 (安全管理措置) - 第23条
- 仮名加工情報取扱事業者は、その取り扱う仮名加工情報の漏えいの防止その他の仮名加工情報の安全管理のために必要かつ適切な措置を講じなければならない。
- 第24条
- 仮名加工情報取扱事業者は、その従業者に仮名加工情報を取り扱わせるに当たっては、当該仮名加工情報の安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
- 第25条
- 仮名加工情報取扱事業者は、仮名加工情報の取扱いの全部又は一部を委託する場合は、その取扱いを委託された仮名加工情報の安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
- 第40条
- 仮名加工情報取扱事業者は、仮名加工情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
- 仮名加工情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
(仮名加工情報の作成等)- 第41条
- 【準用せず】
2~6 【準用せず】- 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、削除情報等を取得し、又は当該仮名加工情報を他の情報と照合してはならない。
- 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成14年法律第99号)第2条第6項に規定する一般信書便事業者若しくは同条第9項に規定する特定信書便事業者による同条第2項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
- 【準用せず】
(安全管理措置) - 第23条
- 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
- 第24条
- 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
- 第25条
- 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
- 第40条
- 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
- 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
(仮名加工情報の作成等)- 第41条
- (略)
2~6 (略)- 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。
- 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成14年法律第99号)第2条第6項に規定する一般信書便事業者若しくは同条第9項に規定する特定信書便事業者による同条第2項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
- (略)
(※)傍線部分は読替部分。波線部分は当然読替部分。