1. ホーム
  2. 委託先管理Blog
  3. 記事

匿名加工情報とは?個人情報保護法の定義と仮名加工情報との違いを解説

「具体的にどのような情報が匿名加工情報なのか」「仮名加工情報と何が違うのか」「法的にどのように定義されているのか」など、疑問に感じている方もいるでしょう。匿名加工情報の理解を深めることで、データ活用の幅が広がり、新たなビジネスチャンスを見つけることができるかもしれません。

 

本記事では、個人情報保護法における匿名加工情報の定義と仮名加工情報との違いについて解説します。

目次
1. 匿名加工情報とは
■匿名加工情報の具体例
2. 匿名加工情報の活用事例
■ビジネスにおける活用シーン
■公共機関での利用例
3. 匿名加工情報の取り扱いにおける事業者の責務
■情報の適切な加工
■安全管理措置
■公表義務
■識別行為の禁止
4. 匿名加工情報と仮名加工情報の違い
■個人情報なのかどうか
■加工方法
■利用目的の制限
■第三者提供時の同意の必要性
5. まとめ

1. 匿名加工情報とは

匿名加工情報とは、個人情報保護法2条6項で定義されている、個人情報を特定の個人と結びつけられないように加工した情報です。個人のプライバシーを保護しつつ、データ分析やマーケティングに活用するための手段として利用されています。

匿名加工情報は、名前や住所、生年月日などの個人を特定できる情報を削除したり、統計的に処理したりするといった、個人情報を特定できる要素を削除または置換することで作成されます。

 

この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

 

引用:個人情報保護法2条6項

 

匿名加工情報は作成する際に使用した個人情報を復元できないように加工するため、個人情報とは言えません。

 

■匿名加工情報の具体例

匿名加工情報の具体例としてまず考えられるのは、ポイントカードの購買履歴や交通系ICカードの乗降履歴、カーナビから収集される走行位置履歴などの個人データを特定の個人が識別できない形に加工した情報です。

例えば、スーパーマーケットの購買データから個人名や住所を削除し、購入した商品や購入日時だけを残すことで個人の特定ができないようにしつつ、消費者の購買傾向を分析することができます。

また、医療分野でも匿名加工情報は活用されています。例えば、病院で収集された患者の診療データから、名前や住所、電話番号などを削除し、年齢や性別、病歴などの情報だけを残すことで、医療研究や疫学調査に利用できるわけです。

 

 

2. 匿名加工情報の活用事例

■ビジネスにおける活用シーン

ビジネスにおける匿名加工情報の活用シーンとして、マーケティングや製品開発が挙げられます。例えば、小売業では購入履歴を匿名化して消費者の購買パターンを把握し、新商品の開発や効果的なプロモーション施策に役立てます。

また、金融業界でも匿名加工情報が活用されています。顧客の取引データを匿名化し、リスク管理や新たな金融商品の開発に利用することで、個々の顧客に最適なサービスを提供しつつ、プライバシーを保護することができるわけです。

さらに、医療分野では患者のデータを匿名化し、疾患の傾向や治療効果の研究に活用することで、より効果的な治療法の開発を行っています。

 

■公共機関での利用例

公共機関における匿名加工情報の利用例として、交通機関での活用が挙げられます。交通機関では、利用者の移動パターンを把握するために個人を特定できない形にデータを加工し、混雑の予測や運行スケジュールを最適化することで、利用者の利便性向上やサービスの効率化を図っています。

 

 

3. 匿名加工情報の取り扱いにおける事業者の責務

■情報の適切な加工

匿名加工情報の加工においては、個人情報保護法及び個人情報保護委員会規則が定める基準を満たすことが求められます適切な加工を行うことで、データの利活用と個人情報保護を両立させることが可能です。

 

個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。

 

引用:個人情報保護法43条1項

 

匿名加工情報の加工における基準は、個人情報保護法施行規則34条で以下のように定められています。

 

  • 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
  • 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
  • 個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。
  • 特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
  • 前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。

 

■安全管理措置

匿名加工情報の取り扱いにおける安全管理措置は、個人情報保護法43条2項及び6項に基づく匿名加工情報取扱事業者の義務です。

 

事業者は情報が適切に管理されていることを確認し、情報の取扱いに関する内部規程の整備や、従業員への教育・訓練の実施が求められます。

さらに、情報漏えい時の対応策も事前に策定しておくことも重要です。情報漏えいが発生した場合でも、事前に対応策を準備しておくことで被害を最小限に抑えることができます。

 

個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。

 

引用:個人情報保護法43条2項

 

個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

 

引用:個人情報保護法43条6項

 

■公表義務

匿名加工情報取扱事業者は、匿名加工情報を作成した際に、その情報がどのようなデータから生成されたのか、どのような加工が施されたのか、どのような目的で利用されるのかなど、匿名加工情報に含まれる個人に関する情報の項目を事業者のWebサイトやパンフレットなどで公表する必要があります。匿名加工情報を第三者に提供する際も同様です。

 

個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。

 

引用:個人情報保護法43条3項

 

個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。

 

引用:個人情報保護法43条4項

 

■識別行為の禁止

匿名加工情報取扱事業者は、自らが作成あるいは受領した匿名加工情報と他の情報と照合することが禁止されています。

 

個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。

 

引用:個人情報保護法43条5項

 

匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第四十三条第一項若しくは第百十六条第一項(同条第二項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。

 

引用:個人情報保護法45条

 

 

4. 匿名加工情報と仮名加工情報の違い

匿名加工情報と仮名加工情報の違いは以下の4つです。

  • 個人情報なのかどうか
  • 加工方法
  • 利用目的の制限
  • 第三者提供時の同意の必要性

それぞれの違いについて詳しく解説します。

 

■個人情報なのかどうか

匿名加工情報は、特定の個人を識別することができないように加工された情報を指します。つまり、匿名加工情報は個人情報として扱わないということです。一方、仮名加工情報は特定の個人を直接識別することはできないものの、他の情報と照合することで個人を特定できる可能性が残っているため、個人情報である仮名加工情報と個人情報ではない仮名加工情報の両方があります。

 

■加工方法

匿名加工情報の作成においては、個人を特定できないようにデータを加工します。具体的には、氏名や住所などの個人識別情報を削除したり、統計的に分析可能な形に変換したりします。

一方、仮名加工情報の作成においては、個人を特定するための情報を仮名化します。仮名化とは、元の情報を別の情報に置き換えることです。たとえば、名前をコード番号に置き換えることで直接的には個人を特定できないようにしますが、元の情報に戻すことができます。

このように、匿名加工情報は個人が識別される可能性が完全に排除されているのに対し、仮名加工情報は条件付きで個人を識別できるという違いがあります。

 

■利用目的の制限

匿名加工情報は、特定の個人を識別することができないように加工された情報であり、利用目的に制限はありません。つまり、匿名加工情報は広範な用途に利用でき、研究や統計分析、マーケティングなど多様な分野で活用されます。

一方、仮名加工情報は特定の個人を識別することができないように加工されていますが、特定の情報を組み合わせることで再識別が可能となるため、その目的を逸脱した利用は法律で禁止されています。例えば、仮名加工情報は社内でのデータ分析や顧客サービスの向上のために使用されますが、第三者への提供や広告目的での利用は制限されることがあります。

 

■第三者提供時の同意の必要性

匿名加工情報と仮名加工情報の取り扱いにおいては、第三者提供時の同意の必要性が異なります。匿名加工情報は個人を特定できないように加工されているため、基本的に第三者に提供する際に本人の同意を得る必要はありません。これは、匿名加工情報が個人を識別できない状態であるため、プライバシー保護の観点からも問題が少ないとされているからです。

 

一方、仮名加工情報は特定の個人を識別することはできないものの、元の情報と照合すれば個人を特定できる可能性があるため、第三者に提供する際には本人の同意が必要です。

 

 

5. まとめ

今回は、個人情報保護法における匿名加工情報の定義と仮名加工情報との違いについて解説しました。

匿名加工情報は、個人情報を特定できないように加工した情報です。匿名加工情報と同様に個人情報を加工した仮名加工情報とは、作成する目的や加工方法、第三者提供の要件など異なる点があります。本記事で解説した匿名加工情報と仮名加工情報の違いを確認し、個人情報保護法に基づいて適切に取り扱いましょう。

 

アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。