平成28年11月
(平成29年3月一部改正)
個人情報保護委員会
目次
- 1本ガイドラインの位置付け及び適用対象
- 1-1本ガイドラインの位置付け
- 1-2本ガイドラインの適用対象
- 2定義
- 2-1匿名加工情報(法第2条第9項関係)
- 2-2匿名加工情報取扱事業者(法第2条第10項関係)
- 3匿名加工情報取扱事業者等の義務
- 3-1匿名加工情報の取扱いに係る義務の考え方
- 3-2匿名加工情報の適正な加工(法第36条第1項関係)
- 3-2-1 特定の個人を識別することができる記述等の削除
- 3-2-2 個人識別符号の削除
- 3-2-3 情報を相互に連結する符号の削除
- 3-2-4 特異な記述等の削除
- 3-2-5 個人情報データベース等の性質を踏まえたその他の措置
- 3-3匿名加工情報等の安全管理措置等(法第36条第2項、第6項、第39条関係)
- 3-3-1加工方法等情報の安全管理措置
- 3-3-2匿名加工情報の安全管理措置等
- 3-4匿名加工情報の作成時の公表(法第36条第3項関係)
- 3-5匿名加工情報の第三者提供(法第36条第4項、第37条関係)
- 3-6識別行為の禁止(法第36条第5項、第38条関係)
- 【凡例】
- 「法」 個人情報の保護に関する法律(平成15年法律第57号)
- 「政令」 個人情報の保護に関する法律施行令(平成15年政令第507号)
- 「規則」 個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)
- 「通則ガイドライン」 個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年個人情報保護委員会告示第6号)
- 「改正法」 個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年法律第65号)
個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)
1 本ガイドラインの位置付け及び適用対象
1-1 本ガイドラインの位置付け
個人情報保護委員会は、事業者が個人情報の適正な取扱いの確保に関して行う活動を支援すること、及び当該支援により事業者が講ずる措置が適切かつ有効に実施されることを目的として、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第4条、第8条及び第60条に基づき具体的な指針として「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年個人情報保護委員会告示第6号。以下「通則ガイドライン」という。)を定めているが、個人情報取扱事業者及び匿名加工情報取扱事業者が匿名加工情報を取り扱う場合において、匿名加工情報の適正な取扱いの確保に関して行う活動を支援すること、及び当該支援により事業者が講ずる措置が適切かつ有効に実施されることを目的として、法が定める事業者の義務のうち、匿名加工情報の取扱いに関する部分に特化して分かりやすく一体的に示す観点から、通則ガイドラインとは別に、本ガイドラインを定めるものである。(個人情報の適正な取扱いに関する部分の解釈等は、通則ガイドライン参照)
本ガイドラインの中で、「しなければならない」及び「してはならない」と記述している事項については、これらに従わなかった場合、法違反と判断される可能性がある。一方、「努めなければならない」、「望ましい」等と記述している事項については、これらに従わなかったことをもって直ちに法違反と判断されることはないが、法の趣旨を踏まえ、事業者の特性や規模に応じ可能な限り対応することが望まれるものである。
なお、本ガイドラインにおいて使用する用語は、特に断りのない限り、通則ガイドラインにおいて使用する用語の例による。
1-2 本ガイドラインの適用対象
本ガイドラインは、事業者の業種・規模を問わず、匿名加工情報の取扱いに関して法の適用対象である個人情報取扱事業者又は匿名加工情報取扱事業者に該当する事業者に適用される。
なお、法第76条に規定される適用除外の場合(※)については、法第4章の適用対象外となるため、本ガイドラインの対象ではない。
(※)法第76条においては、次の場合について、法第4章の規定は適用しないこととしている。詳細は通則ガイドライン「6-2(適用除外)」を参照のこと。
- ①放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。)が報道の用に供する目的で取り扱う場合
- ②著述を業として行う者が著述の用に供する目的で取り扱う場合
- ③大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者が学術研究の用に供する目的で取り扱う場合
- ④宗教団体が宗教活動(これに付随する活動を含む。)の用に供する目的で取り扱う場合
- ⑤政治団体が政治活動(これに付随する活動を含む。)の用に供する目的で取り扱う場合
2 定義
本ガイドラインは、匿名加工情報の取扱いに関する部分を取りまとめたものであるため、法第2条における定義規定のうち、匿名加工情報及び匿名加工情報取扱事業者について定める法第2条第9項及び第10項に関するもののみを記載する。なお、法第2条におけるその他の定義に関しては、通則ガイドラインを参照のこと。
2-1 匿名加工情報(法第2条第9項関係)
- 法第2条(第9項)
-
- この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
- 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
「匿名加工情報」とは、個人情報を個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものをいう。
法第2条第1項第1号に該当する「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」である個人情報の場合には、「特定の個人を識別することができないように個人情報を加工」とは、特定の個人を識別することができなくなるように当該個人情報に含まれる氏名、生年月日その他の記述等を削除することを意味する。
法第2条第1項第2号に該当する「個人識別符号が含まれる」個人情報の場合には、「特定の個人を識別することができないように個人情報を加工」とは、当該個人情報に含まれる個人識別符号の全部を特定の個人を識別することができなくなるように削除することを意味する(この措置を講じた上で、まだなお法第2条第1項第1号に該当する個人情報であった場合には、同号に該当する個人情報としての加工を行う必要がある。)。
「削除すること」には、「当該一部の記述等」又は「当該個人識別符号」を「復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む」とされている。「復元することのできる規則性を有しない方法」とは置き換えた記述から、置き換える前の特定の個人を識別することとなる記述等又は個人識別符号の内容を復元することができない方法である。
なお、法において「特定の個人を識別することができる」とは、情報単体又は複数の情報を組み合わせて保存されているものから社会通念上そのように判断できるものをいい、一般人の判断力又は理解力をもって生存する具体的な人物と情報の間に同一性を認めるに至ることができるかどうかによるものである。匿名加工情報に求められる「特定の個人を識別することができない」という要件は、あらゆる手法によって特定することができないよう技術的側面から全ての可能性を排除することまでを求めるものではなく、少なくとも、一般人及び一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者又は匿名加工情報取扱事業者が通常の方法により特定できないような状態にすることを求めるものである。
また、「当該個人情報を復元することができないようにしたもの」とは、通常の方法では、匿名加工情報から匿名加工情報の作成の元となった個人情報に含まれていた特定の個人を識別することとなる記述等又は個人識別符号の内容を特定すること等により、匿名加工情報を個人情報に戻すことができない状態にすることをいう。
「当該個人情報を復元することができないようにしたもの」という要件は、あらゆる手法によって復元することができないよう技術的側面から全ての可能性を排除することまでを求めるものではなく、少なくとも、一般人及び一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者又は匿名加工情報取扱事業者が通常の方法により復元できないような状態にすることを求めるものである。
匿名加工情報を作成するときは、法第36条第1項に規定する個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「規則」という。)で定める基準に従って加工する必要があり、法第2条第9項に定める措置を含む必要な措置は当該規則で定めている。(匿名加工情報の作成に必要な加工義務については、3-2(匿名加工情報の適正な加工)参照)
なお、「統計情報」は、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に把握するものである。したがって、統計情報は、特定の個人との対応関係が排斥されている限りにおいては、法における「個人に関する情報」に該当するものではないため、改正前の法においても規制の対象外と整理されており、従来同様に規制の対象外となる。
2-2 匿名加工情報取扱事業者(法第2条第10項関係)
- 法第2条(第10項)
-
- この法律において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第36条第1項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第5項各号に掲げる者を除く。
- 政令第6条
- 法第2条第10項の政令で定めるものは、これに含まれる匿名加工情報を一定の規則に従って整理することにより特定の匿名加工情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。
「匿名加工情報取扱事業者」とは、匿名加工情報データベース等を事業の用に供している者のうち、国の機関、地方公共団体、独立行政法人の保有する個人情報の保護に関する法律(平成15年法律第59号)で定める独立行政法人等及び地方独立行政法人法(平成15年法律第118号)で定める地方独立行政法人を除いた者をいう。
「匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの」とは、特定の匿名加工情報をコンピュータを用いて検索することができるように体系的に構成した、匿名加工情報を含む情報の集合物をいう。また、コンピュータを用いていない場合であっても、紙媒体の匿名加工情報を一定の規則に従って整理・分類し、特定の匿名加工情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものも該当する。
ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問わない。なお、法人格のない、権利能力のない社団(任意団体)又は個人であっても匿名加工情報データベース等を事業の用に供している場合は匿名加工情報取扱事業者に該当する。
3 匿名加工情報取扱事業者等の義務
3-1 匿名加工情報の取扱いに係る義務の考え方
法第4章第2節においては、匿名加工情報を作成する個人情報取扱事業者及び匿名加工情報データベース等を事業の用に供している匿名加工情報取扱事業者が、匿名加工情報を取り扱う場合等に遵守すべき義務を規定している。
- 【匿名加工情報を作成する個人情報取扱事業者が遵守する義務等】
-
- 匿名加工情報を作成するときは、適正な加工を行わなければならない。(法第36条第1項)<3-2(匿名加工情報の適正な加工)参照>
- 匿名加工情報を作成したときは、加工方法等の情報の安全管理措置を講じなければならない。(法第36条第2項)<3-3(匿名加工情報等の安全管理措置等)参照>
- 匿名加工情報を作成したときは、当該情報に含まれる情報の項目を公表しなければならない。(法第36条第3項)<3-4(匿名加工情報の作成時の公表)参照>
- 匿名加工情報を第三者提供するときは、提供する情報の項目及び提供方法について公表するとともに、提供先に当該情報が匿名加工情報である旨を明示しなければならない。(法第36条第4項)<3-5(匿名加工情報の第三者提供)参照>
- 匿名加工情報を自ら利用するときは、元の個人情報に係る本人を識別する目的で他の情報と照合することを行ってはならない。(法第36条第5項)<3-6(識別行為の禁止)参照>
- 匿名加工情報を作成したときは、匿名加工情報の適正な取扱いを確保するため、安全管理措置、苦情の処理などの措置を自主的に講じて、その内容を公表するよう努めなければならない。(法第36条第6項)<3-3(匿名加工情報等の安全管理措置等)参照>
- 【匿名加工情報データベース等を事業の用に供している匿名加工情報取扱事業者が遵守する義務等(※)】
-
- 匿名加工情報を第三者提供するときは、提供する情報の項目及び提供方法について公表するとともに、提供先に当該情報が匿名加工情報である旨を明示しなければならない。(法第37条)<3-5(匿名加工情報の第三者提供)参照>
- 匿名加工情報を利用するときは、元の個人情報に係る本人を識別する目的で、加工方法等の情報を取得し、又は他の情報と照合することを行ってはならない。(法第38条)<3-6(識別行為の禁止)参照>
- 匿名加工情報の適正な取扱いを確保するため、安全管理措置、苦情の処理などの措置を自主的に講じて、その内容を公表するよう努めなければならない。(法第39条)<3-3(匿名加工情報等の安全管理措置等)参照>
(※)匿名加工情報データベース等を事業の用に供する者は匿名加工情報取扱事業者に該当する。ただし、個人情報取扱事業者が自ら個人情報を加工して作成した匿名加工情報については、法第37条から第39条までの適用対象から除外されており、法第36条第4項から第6項までの規定が適用される。
3-2 匿名加工情報の適正な加工(法第36条第1項関係)
- 法第36条(第1項)
-
- 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。
- 規則第19条
- 法第36条第1項の個人情報保護委員会規則で定める基準は、次のとおりとする。
- 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。
- 特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。
個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る(※1)。以下同じ。)を作成するとき(※2)は、特定の個人を識別できないように、かつ、その作成に用いる個人情報を復元できないようにするために、規則第19条各号に定める基準に従って、当該個人情報を加工しなければならない。なお、「個人情報保護委員会規則で定める基準に従い、当該個人情報を加工」するためには、加工する情報の性質に応じて、規則第19条各号に定める加工基準を満たす必要がある。
- (※1)匿名加工情報の取扱いに係る義務(法第36条~第39条)は、匿名加工情報データベース等を構成する匿名加工情報に課されるものであり、いわゆる散在情報となる、匿名加工情報データベース等を構成しない匿名加工情報の取扱いに係る義務は課されていない。
- (※2)「作成するとき」は、匿名加工情報として取り扱うために、当該匿名加工情報を作成するときのことを指す。したがって、例えば、安全管理措置の一環として氏名等の一部の個人情報を削除(又は他の記述等に置き換え)した上で引き続き個人情報として取り扱う場合、あるいは統計情報を作成するために個人情報を加工する場合等については、匿名加工情報を「作成するとき」には該当しない。
3-2-1 特定の個人を識別することができる記述等の削除
- 規則第19条(第1号)
- 法第36条第1項の個人情報保護委員会規則で定める基準は、次のとおりとする。
- 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
個人情報取扱事業者が取り扱う個人情報には、一般に、氏名、住所、生年月日、性別の他、様々な個人に関する記述等が含まれている。これらの記述等は、氏名のようにその情報単体で特定の個人を識別することができるもののほか、住所、生年月日など、これらの記述等が合わさることによって特定の個人を識別することができるものもある。このような特定の個人を識別できる記述等から全部又はその一部を削除するあるいは他の記述等に置き換えることによって、特定の個人を識別することができないよう加工しなければならない。
なお、他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法でなければならない(※)。例えば、生年月日の情報を生年の情報に置き換える場合のように、元の記述等をより抽象的な記述に置き換えることも考えられる。
- 【想定される加工の事例】
- 事例1)氏名、住所、生年月日が含まれる個人情報を加工する場合に次の1から3までの措置を講ずる。
- 氏名を削除する。
- 住所を削除する。又は、○○県△△市に置き換える。
- 生年月日を削除する。又は、日を削除し、生年月に置き換える。
- 事例2)会員ID、氏名、住所、電話番号が含まれる個人情報を加工する場合に次の1、2の措置を講ずる。
- 会員ID、氏名、電話番号を削除する。
- 住所を削除する。又は、○○県△△市に置き換える。
(※)仮IDを付す場合には、元の記述を復元することのできる規則性を有しない方法でなければならない。
例えば、仮にハッシュ関数等を用いて氏名・住所・連絡先・クレジットカード番号のように個々人に固有の記述等から仮IDを生成しようとする際、元の記述に同じ関数を単純に用いると元となる記述等を復元することができる規則性を有することとなる可能性がある場合には、元の記述(例えば、氏名+連絡先)に乱数等の他の記述を加えた上でハッシュ関数等を用いるなどの手法を検討することが考えられる。なお、同じ乱数等の他の記述等を加えた上でハッシュ関数等を用いるなどの手法を用いる場合には、乱数等の他の記述等を通じて復元することができる規則性を有することとならないように、提供事業者ごとに組み合わせる記述等を変更し、定期的に変更するなどの措置を講ずることが望ましい。
3-2-2 個人識別符号の削除
- 規則第19条(第2号)
- 法第36条第1項の個人情報保護委員会規則で定める基準は、次のとおりとする。
- (2) 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
加工対象となる個人情報が、個人識別符号を含む情報であるときは、当該個人識別符号単体で特定の個人を識別できるため、当該個人識別符号の全部を削除又は他の記述等へ置き換えて、特定の個人を識別できないようにしなければならない。
なお、他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法による必要がある。
- (参考)個人識別符号の概要
- 個人識別符号とは、その情報単体から特定の個人を識別することができるものとして個人情報の保護に関する法律施行令(平成15年政令第507号。以下「政令」という。)で定めるものをいい、次のいずれかに該当するものである。(個人識別符号の定義の詳細については、通則ガイドライン2-2(個人識別符号)参照)
- 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した符号
- 生体情報(DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋)をデジタルデータに変換したもののうち、特定の個人を識別するに足りるものとして規則で定める基準に適合するもの 【政令第1条第1号、規則第2条】
- 対象者ごとに異なるものとなるように役務の利用、商品の購入又は書類に付される符号
- 旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証の番号等の公的機関が割り振る番号 【政令第1条第2号~第8号、規則第3条、第4条】
- 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した符号
3-2-3 情報を相互に連結する符号の削除
- 規則第19条(第3号)
-
- (3) 個人情報と当該個人情報に措置を講じて得られる情報を連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。
個人情報取扱事業者が個人情報を取り扱う上で、例えば、安全管理の観点から取得した個人情報を分散管理等しようとするために、当該個人情報を分割あるいは全部又は一部を複製等した上で、当該個人情報に措置を講じて得られる情報を個人情報と相互に連結するための符号としてID等を付していることがある。このようなIDは、個人情報と当該個人情報に措置を講じて得られる情報を連結するために用いられるものであり、特定の個人の識別又は元の個人情報の復元につながり得ることから、加工対象となる個人情報から削除又は他の符号への置き換えを行わなければならない。
個人情報と当該個人情報に措置を講じて得られる情報を連結する符号のうち、「現に個人情報取扱事業者において取り扱う情報(※1)を相互に連結する符号」がここでの加工対象となる。具体的には、ここで対象となる符号は、匿名加工情報を作成しようとする時点において、実際に取り扱う情報を相互に連結するように利用されているものが該当する。例えば、分散管理のためのIDとして実際に使われているものであれば、管理用に附番されたIDあるいは電話番号等もこれに該当する。
なお、他の符号に置き換える場合は、元の符号を復元できる規則性を有しない方法でなければならない。
- 【想定される加工の事例】
- 事例1)サービス会員の情報について、氏名等の基本的な情報と購買履歴を分散管理し、それらを管理用IDを付すことにより連結している場合、その管理用IDを削除する。
- 事例2)委託先へ個人情報の一部を提供する際に利用するために、管理用IDを付すことにより元の個人情報と提供用に作成した情報を連結している場合、当該管理用IDを仮ID(※2)に置き換える。
- (※1)「現に個人情報取扱事業者において取り扱う情報」とは、匿名加工情報を作成する時点において取り扱われている情報のことを指し、これから作成する匿名加工情報は含まれない。
- (※2)仮IDを付す際の注意点については、3-2-1(特定の個人を識別することができる記述等の削除)の(※)を参照のこと。
3-2-4 特異な記述等の削除
- 規則第19条(第4号)
-
- (4) 特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
一般的にみて、珍しい事実に関する記述等又は他の個人と著しい差異が認められる記述等については、特定の個人の識別又は元の個人情報の復元につながるおそれがあるものである。そのため、匿名加工情報を作成するに当たっては、特異な記述等について削除又は他の記述等への置き換えを行わなければならない。
ここでいう「特異な記述等」とは、特異であるがために特定の個人を識別できる記述等に至り得るものを指すものであり、他の個人と異なるものであっても特定の個人の識別にはつながり得ないものは該当しない。実際にどのような記述等が特異であるかどうかは、情報の性質等を勘案して、個別の事例ごとに客観的に判断する必要がある。
他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法による必要がある。例えば、特異な記述等をより一般的な記述等に置き換える方法もあり得る。
なお、規則第19条第4号の対象には、一般的なあらゆる場面において特異であると社会通念上認められる記述等が該当する。他方、加工対象となる個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等とで著しい差異がある場合など個人情報データベース等の性質によるものは同第5号において必要な措置が求められることとなる。
- 【想定される加工の事例】
- 事例1)症例数の極めて少ない病歴を削除する。
- 事例2)年齢が「116歳」という情報を「90歳以上」に置き換える。
3-2-5 個人情報データベース等の性質を踏まえたその他の措置
- 規則第19条(第5号)
-
- (5) 前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。
匿名加工情報を作成する際には、規則第19条第1号から第4号までの措置をまず講ずることで、特定の個人を識別できず、かつ当該個人情報に復元できないものとする必要がある。
しかしながら、加工対象となる個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等とで著しい差異がある場合など、加工の元となる個人情報データベース等の性質によっては、規則第19条第1号から第4号までの加工を施した情報であっても、一般的にみて、特定の個人を識別することが可能である状態あるいは元の個人情報を復元できる状態のままであるといえる場合もあり得る。そのような場合に対応するため、上記の措置のほかに必要となる措置がないかどうか勘案し、必要に応じて、別表1(匿名加工情報の加工に係る手法例)の手法などにより、適切な措置を講じなければならない。
なお、加工対象となる個人情報データベース等の性質によって加工の対象及び加工の程度は変わり得るため、どの情報をどの程度加工する必要があるかは、加工対象となる個人情報データベース等の性質も勘案して個別具体的に判断する必要がある。
特に、購買履歴、位置に関する情報などを含む個人情報データベース等において反復して行われる行動に関する情報が含まれる場合には、これが蓄積されることにより、個人の行動習慣が分かるような場合があり得る。そのような情報のうち、その情報単体では特定の個人が識別できるとは言えないものであっても、蓄積されたこと等によって特定の個人の識別又は元の個人情報の復元につながるおそれがある部分については、適切な加工を行わなければならない。
- 【想定される加工の事例】
- 事例1)移動履歴を含む個人情報データベース等を加工の対象とする場合において、自宅や職場などの所在が推定できる位置情報(経度・緯度情報)が含まれており、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、推定につながり得る所定範囲の位置情報を削除する。(項目削除/レコード削除/セル削除)
- 事例2)ある小売店の購買履歴を含む個人情報データベース等を加工の対象とする場合において、当該小売店での購入者が極めて限定されている商品の購買履歴が含まれており、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、具体的な商品情報(品番・色)を一般的な商品カテゴリーに置き換える。(一般化)
- 事例3)小学校の身体検査の情報を含む個人情報データベース等を加工の対象とする場合において、ある児童の身長が170㎝という他の児童と比べて差異が大きい情報があり、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、身長が150cm以上の情報について「150㎝以上」という情報に置き換える。(トップコーディング)
手法名 | 解説 |
---|---|
項目削除/レコード削除/セル削除 | 加工対象となる個人情報データベース等に含まれる個人情報の記述等を削除するもの。 例えば、年齢のデータを全ての個人情報から削除すること(項目削除)、特定の個人の情報を全て削除すること(レコード削除)、又は特定の個人の年齢のデータを削除すること(セル削除)。 |
一般化 | 加工対象となる情報に含まれる記述等について、上位概念若しくは数値に置き換えること又は数値を四捨五入などして丸めることとするもの。 例えば、購買履歴のデータで「きゅうり」を「野菜」に置き換えること。 |
トップ(ボトム)コーディング | 加工対象となる個人情報データベース等に含まれる数値に対して、特に大きい又は小さい数値をまとめることとするもの。 例えば、年齢に関するデータで、80歳以上の数値データを「80歳以上」というデータにまとめること。 |
ミクロアグリゲーション | 加工対象となる個人情報データベース等を構成する個人情報をグループ化した後、グループの代表的な記述等に置き換えることとするもの。 |
データ交換(スワップ) | 加工対象となる個人情報データベース等を構成する個人情報相互に含まれる記述等を(確率的に)入れ替えることとするもの。 |
ノイズ(誤差)付加 | 一定の分布に従った乱数的な数値を付加することにより、他の任意の数値へと置き換えることとするもの。 |
疑似データ生成 | 人工的な合成データを作成し、これを加工対象となる個人情報データベース等に含ませることとするもの。 |
(※)匿名加工情報の作成に当たっての一般的な加工手法を例示したものであり、その他の手法を用いて適切に加工することを妨げるものではない。
3-3 匿名加工情報等の安全管理措置等(法第36条第2項、第6項、第39条関係)
3-3-1 加工方法等情報の安全管理措置
- 法第36条(第2項)
-
- 2 個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。
- 規則第20条
- 法第36条第2項の個人情報保護委員会規則で定める基準は、次のとおりとする。
- 加工方法等情報(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第36条第1項の規定により行った加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)をいう。以下この条において同じ。)を取り扱う者の権限及び責任を明確に定めること。
- 加工方法等情報の取扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること。
- 加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置を講ずること。
個人情報取扱事業者は、匿名加工情報を作成したときは、加工方法等情報(その作成に用いた個人情報から削除した記述等及び個人識別符号並びに加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。(※))をいう。以下同じ。)の漏えいを防止するために、規則で定める基準に従い、必要な措置を講じなければならない。
当該措置の内容は、対象となる加工方法等情報が漏えいした場合における復元リスクの大きさを考慮し、当該加工方法等情報の量、性質等に応じた内容としなければならないが、具体的に講じなければならない項目及び具体例については、別表2(加工方法等情報の安全管理で求められる措置の具体例)を参照のこと。
(※)「その情報を用いて当該個人情報を復元することができるもの」には、例えば、氏名等を仮IDに置き換えた場合における置き換えアルゴリズムに用いられる乱数等のパラメータ又は氏名と仮IDの対応表等のような加工の方法に関する情報が該当し、「年齢のデータを10歳刻みのデータに置き換えた」というような復元につながらない情報は該当しない。
講じなければならない措置 | 具体例 |
---|---|
①加工方法等情報を取り扱う者の権限及び責任の明確化 (規則第20条第1号) |
|
②加工方法等情報の取扱いに関する規程類の整備 及び当該規程類に従った加工方法等情報の適切な取扱い 並びに加工方法等情報の取扱状況の評価及びその結果に基づき改善を図るために必要な措置の実施 (規則第20条第2号) |
|
③加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置 (規則第20条第3号) |
|
3-3-2 匿名加工情報の安全管理措置等
- 法第36条(第6項)
-
- 6 個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
- 法第39条
- 匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
個人情報取扱事業者又は匿名加工情報取扱事業者は、匿名加工情報の安全管理措置、苦情処理等の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
当該安全管理等の措置については、個人情報と同様の取扱いを求めるものではないが、例えば、法第20条から第22条までに定める個人データの安全管理、従業者の監督及び委託先の監督並びに法第35条に定める個人情報の取扱いに関する苦情の処理で求められる措置の例(※)を参考にすることも考えられる。具体的には、事業の性質、匿名加工情報の取扱状況、取り扱う匿名加工情報の性質、量等に応じて、合理的かつ適切な措置を講ずることが望ましい。
なお、匿名加工情報には識別行為の禁止義務が課されていることから、匿名加工情報を取り扱うに当たっては、それを取り扱う者が不適正な取扱いをすることがないよう、匿名加工情報に該当することを明確に認識できるようにしておくことが重要である。そのため、作成した匿名加工情報について、匿名加工情報を取り扱う者にとってその情報が匿名加工情報である旨が一見して明らかな状態にしておくことが望ましい。
(※)詳細は、通則ガイドライン「3-3-2(安全管理措置)、3-3-3(従業者の監督)、3-3-4(委託先の監督)、3-6(個人情報の取扱いに関する苦情処理について)」を参照のこと。
3-4 匿名加工情報の作成時の公表(法第36条第3項関係)
- 法第36条(第3項)
-
- 個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
- 規則第21条
-
- 法第36条第3項の規定による公表は、匿名加工情報を作成した後、遅滞なく、インターネットの利用その他の適切な方法により行うものとする。
- 個人情報取扱事業者が他の個人情報取扱事業者の委託を受けて匿名加工情報を作成した場合は、当該他の個人情報取扱事業者が当該匿名加工情報に含まれる個人に関する情報の項目を前項に規定する方法により公表するものとする。この場合においては、当該公表をもって当該個人情報取扱事業者が当該項目を公表したものとみなす。
個人情報取扱事業者は、匿名加工情報を作成したとき(※1)は、匿名加工情報の作成後遅滞なく(※2)、インターネット等を利用し、当該匿名加工情報に含まれる個人に関する情報の項目を公表(※3)しなければならない。
また、個人に関する情報の項目が同じである匿名加工情報を同じ手法により反復・継続的に作成する場合には、最初の匿名加工情報を作成して個人に関する項目を公表する際に、作成期間又は継続的な作成を予定している旨を明記するなど継続的に作成されることとなる旨を明らかにしておくことにより、その後に作成される匿名加工情報に係る公表については先の公表により行われたものと解される。
なお、他の個人情報取扱事業者との委託契約により個人データの提供を受けて匿名加工情報を作成する場合など委託により匿名加工情報を作成する場合は、委託元において当該匿名加工情報に含まれる個人に関する情報の項目を公表するものとする。
- 【個人に関する情報の項目の事例】
- 事例)「氏名・性別・生年月日・購買履歴」のうち、氏名を削除した上で、生年月日の一般化、購買履歴から特異値等を削除する等加工して、「性別・生年・購買履歴」に関する匿名加工情報として作成した場合の公表項目は、「性別」、「生年」、「購買履歴」である。
- (※1)ここで「匿名加工情報を作成したとき」とは、匿名加工情報として取り扱うために、個人情報を加工する作業が完了した場合のことを意味する。すなわち、あくまで個人情報の安全管理措置の一環として一部の情報を削除しあるいは分割して保存・管理する等の加工をする場合又は個人情報から統計情報を作成するために個人情報を加工する場合等を含むものではない。 また、匿名加工情報を作成するために個人情報の加工をする作業を行っている途上であるものの作成作業が完了していない場合には、加工が不十分であること等から匿名加工情報として取り扱うことが適切ではない可能性もあるため「匿名加工情報を作成したとき」とは位置付けられない。
- (※2)ここでの「遅滞なく」とは、正当かつ合理的な期間であれば公表が匿名加工情報を作成した直後でなくても認められることを意味する。ただし、少なくとも匿名加工情報の利用又は第三者提供をする前に匿名加工情報を作成したことを一般に十分に知らせるに足る期間を確保するものでなければならない。許容される具体的な期間は、業種及びビジネスの態様によっても異なり得るため、個別具体的に判断する必要がある。
- (※3)「公表」とは、広く一般に自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいう。詳細は、通則ガイドライン「2-11(公表)」を参照のこと。
3-5 匿名加工情報の第三者提供(法第36条第4項、第37条関係)
- 法第36条(第4項)
-
- 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
- 法第37条
- 匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。以下この節について同じ。)を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
- 規則第22条
-
- 法第36条第4項の規定による公表は、インターネットの利用その他の適切な方法により行うものとする。
- 法第36条第4項の規定による明示は、電子メールを送信する方法又は書面を交付する方法その他の適切な方法により行うものとする。
- 規則第23条
-
- 前条第1項の規定は、法第37条の規定による公表について準用する。
- 前条第2項の規定は、法第37条の規定による明示について準用する。
個人情報取扱事業者又は匿名加工情報取扱事業者は、匿名加工情報を第三者に提供(※1)するときは、提供に当たりあらかじめ(※2)、インターネット等を利用し、次の(1)及び(2)に掲げる事項を公表(※3)するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を電子メール又は書面等により明示(※4)しなければならない。
また、個人に関する情報の項目及び加工方法が同じである匿名加工情報を反復・継続的に第三者へ同じ方法により提供する場合には、最初に匿名加工情報を第三者提供するときに個人に関する項目を公表する際に、提供期間又は継続的な提供を予定している旨を明記するなど継続的に提供されることとなる旨を明らかにしておくことにより、その後に第三者に提供される匿名加工情報に係る公表については先の公表により行われたものと解される。
なお、匿名加工情報をインターネット等で公開する行為についても不特定多数への第三者提供に当たるため、上記義務を履行する必要がある。
- (1)第三者に提供する匿名加工情報に含まれる個人に関する情報の項目
- 事例)「氏名・性別・生年月日・購買履歴」のうち、氏名を削除した上で、生年月日の一般化、購買履歴から特異値等を削除する等加工して、「性別・生年・購買履歴」に関する匿名加工情報として作成して第三者提供する場合の公表項目は、「性別」、「生年」、「購買履歴」である。
- (2)匿名加工情報の提供の方法
- 事例1)ハードコピーを郵送
- 事例2)第三者が匿名加工情報を利用できるようサーバにアップロード
- (※1)「提供」とは、匿名加工情報を第三者が利用可能な状態に置くことをいう。匿名加工情報が物理的に提供されていない場合であっても、ネットワーク等を利用することにより、第三者が匿名加工情報を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。
- (※2)「あらかじめ」の期間については、匿名加工情報を第三者に提供することを一般に十分に知らせるに足る期間を確保するものでなければならない。具体的な期間については、業種及びビジネスの様態によっても異なり得るため、個別具体的に判断する必要がある。
- (※3)「公表」とは、広く一般に自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいう。詳細は、通則ガイドライン「2-11(公表)」を参照のこと。
- (※4)「明示」とは、第三者に対し、提供する情報が匿名加工情報であることを明確に示すことをいう。明示の方法については、規則第22条第2項で定められているとおり、事業の性質、匿名加工情報の取扱状況等に応じ、電子メールを送信する方法又は書面を交付する方法など適切な方法により、その内容が当該第三者に認識されるものである必要がある。
3-6 識別行為の禁止(法第36条第5項、第38条関係)
- 法第36条(第5項)
-
- 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。
- 法第38条
- 匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第36条第1項、行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号)第44条の10第1項(同条第2項において準用する場合を含む。)若しくは独立行政法人等の保有する個人情報の保護に関する法律第44条の10第1項(同条第2項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
匿名加工情報を取り扱う場合(※1)には、当該匿名加工情報の作成の元となった個人情報の本人を識別する目的で、それぞれ次の行為を行ってはならない。
- (1)個人情報取扱事業者が自ら作成した匿名加工情報を取り扱う場合
-
- 自らが作成した匿名加工情報を、本人を識別するために他の情報(※2)と照合すること。
- (2)匿名加工情報取扱事業者が他者の作成した匿名加工情報を取り扱う場合
- 受領した匿名加工情報、行政機関非識別加工情報又は独立行政法人等非識別加工情報(※3)の加工方法等情報を取得すること。
- 受領した匿名加工情報を、本人を識別するために他の情報(※2)と照合すること。
- 【識別行為に当たらない取扱いの事例】
- 事例1)複数の匿名加工情報を組み合わせて統計情報を作成すること。
- 事例2)匿名加工情報を個人と関係のない情報(例:気象情報、交通情報、金融商品等の取引高)とともに傾向を統計的に分析すること。
- 【識別行為に当たる取扱いの事例】
- 事例1)保有する個人情報と匿名加工情報について、共通する記述等を選別してこれらを照合すること。
- 事例2)自ら作成した匿名加工情報を、当該匿名加工情報の作成の元となった個人情報と照合すること。
- (※1)匿名加工情報については、当該匿名加工情報の作成の元となった個人情報の本人を識別する目的のために他の情報と照合することが禁止されている。一方、個人情報として利用目的の範囲内で取り扱う場合に照合を禁止するものではない。
- (※2)「他の情報」に限定はなく、本人を識別する目的をもって行う行為であれば、個人情報及び匿名加工情報を含む情報全般と照合する行為が禁止される。また、具体的にどのような技術又は手法を用いて照合するかは問わない。
- (※3)「行政機関非識別加工情報」とは、行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号)第2条第9項に定めるものを指す。また、「独立行政法人等非識別加工情報」とは、独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)第2条第9項に定めるものを指す。なお、それらの情報は匿名加工情報に包含される概念であることから、それらの情報を取り扱う事業者は、匿名加工情報取扱事業者に係る規律の対象となるものである。