個人を特定できないように加工した仮名加工情報を使用することで、データの有用性を保ちながら安全性を確保することができます。
本記事では、仮名加工情報の定義から匿名加工情報との違い、具体例、取り扱う際の注意点まで詳しく解説します。
1. 仮名加工情報とは
仮名加工情報とは、個人情報を特定の目的のために加工し、個人を特定できないようにした情報のことです。
|
この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。 一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
引用:個人情報保護法2条5項 |
個人情報をそのまま使用すると情報漏えいやプライバシー侵害の恐れがありますが、仮名加工情報を使用することでデータの有用性を保ちながら安全性を確保することができます。
個人情報を加工する際の基準については、個人情報保護法施行規則18条の7で具体的に定められています。
|
(仮名加工情報の作成の方法に関する基準) 第十八条の七 法第三十五条の二第一項の個人情報保護委員会規則で定める基準は、次のとおりとする。 一 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 二 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 三 個人情報に含まれる不正に利用されることにより財産的被害が生じるおそれがある記述等を削除すること(当該記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
|
■仮名加工情報が生まれた背景
2022年に個人情報保護法が改正された際に、仮名加工情報という用語が生まれました。
仮名加工情報が生まれた背景には、匿名加工情報の加工基準を満たすには専門的な知識や技術が必要な点があります。
仮名加工情報は、個人を特定できる情報を仮名化することで、個人情報の流出リスクを低減しつつ、データの分析や研究に利用できる情報です。企業や研究機関は個人情報を直接扱わずにデータを活用できるため、情報漏えいのリスクを抑えつつ、データの価値を最大限に引き出せます。
■仮名加工情報の具体例
仮名加工情報が活用されている具体例としてまず考えられるのは、企業が顧客データを分析する際に用いるケースです。例えば、ある企業が顧客の購買履歴を分析してマーケティング戦略を立案しようとする場合、個人を特定できないように、顧客の名前を仮名に置き換えたデータを使用します。
また、医療機関が患者データを研究目的で利用する際にも仮名加工情報が活用されています。患者の名前や住所を仮名に置き換えることで、個人情報を保護しながらデータを分析できるわけです。
さらに、仮名加工情報は教育機関でも利用されています。例えば、学生の成績データを分析して教育方針の改善に役立てる際、学生の名前を仮名にすることで、個人情報の保護を図りつつ、データを有効に活用することが可能です。
■個人情報との違い
仮名加工情報が個人情報の違いは、特定の個人を識別することができるかどうかです。
個人情報は、名前や住所、電話番号といった、特定の個人を識別できる情報を指します。一方、仮名加工情報は、個人を直接特定できないように加工された情報です。ただし、元のデータと照合すれば特定の個人を識別することが可能なため、完全な匿名性はありません。
【関連記事】
■匿名加工情報との違い
仮名加工情報と匿名加工情報の違いは、主に情報の加工方法にあります。
仮名加工情報の加工では、元の情報の中から名前や住所など個人の特定につながる情報を削除し、特定の個人を識別できないようにします。しかし、再識別が可能な情報を持つため、厳格な管理が求められます。
一方、匿名加工情報は、個人を識別する情報を完全に削除し、再識別が不可能な形に加工された情報です。匿名加工情報は、個人の特定が一切できないため、より安全に情報を活用できるのが特徴です。
2. 仮名加工情報を取り扱う際の注意点
■利用目的の範囲を超えた取り扱いの禁止
仮名加工情報は、個人情報保護法第18条の規定に関わらず、利用目的の達成に必要な範囲を超えて取り扱うことが禁止されています。
|
仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。以下この条において同じ。)は、第十八条の規定にかかわらず、法令に基づく場合を除くほか、第十七条第一項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱ってはならない。
引用:個人情報保護法41条3項 |
■第三者提供の禁止
法令に基づく場合を除き、本人の同意があっても仮名加工情報を第三者に提供することはできません。
ただし、以下のようなケースは第三者への提供に該当しないため、仮名加工情報を提供することは可能です。
- 業務の達成を目的とした委託業者への仮名加工情報である個人データの提供
- 合併や会社分割、事業譲渡等に伴う仮名加工情報である個人データの提供
- グループ企業などへの仮名加工情報である個人データの提供
|
仮名加工情報取扱事業者は、第二十七条第一項及び第二項並びに第二十八条第一項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第二十七条第五項中「前各項」とあるのは「第四十一条第六項」と、同項第三号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第二十九条第一項ただし書中「第二十七条第一項各号又は第五項各号のいずれか(前条第一項の規定による個人データの提供にあっては、第二十七条第一項各号のいずれか)」とあり、及び第三十条第一項ただし書中「第二十七条第一項各号又は第五項各号のいずれか」とあるのは「法令に基づく場合又は第二十七条第五項各号のいずれか」とする。
引用:個人情報保護法41条6項 |
■本人識別を目的とした他の情報との照会の禁止
仮名加工情報を取り扱う際においては、本人を特定することを目的として仮名加工情報と他の情報を照合することが禁止されています。そもそも仮名加工情報は個人情報の一部を加工することで特定の個人を直接識別できないようにした情報なので、他の情報と照合して本人を特定する行為は法律で制限されているわけです。
|
仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。
引用:個人情報保護法41条7項 |
【関連記事】
■本人への連絡などの禁止
仮名加工情報を用いて電話や郵便、FAX、電子メールで本人に連絡したり、本人の自宅へ訪問したりすることは、個人情報保護法41条8項で禁止されています。
仮名加工情報は、個人情報を特定のルールに基づいて加工し、特定の個人が識別できないようにした情報です。そのため、仮名加工情報を用いて本人に連絡を取ることは法律で制限されています。
|
仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成十四年法律第九十九号)第二条第六項に規定する一般信書便事業者若しくは同条第九項に規定する特定信書便事業者による同条第二項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
引用:個人情報保護法41条8項 |
■加工基準
仮名加工情報を作成するための加工基準は、個人情報保護法41条1項で規定されています。
|
個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。
引用:個人情報保護法41条1項 |
具体的には、個人情報保護法施行規則31条で規定されている以下の「一定の基準」にしたがって加工する必要があります。
- 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除する
- 個人情報に含まれる個人識別符号の全部を削除する
- 個人情報に含まれる不正に利用されることにより財産的被害が生じるおそれがある記述等を削除する
3. 個人情報ではない仮名加工情報の取扱いに関する取扱事業者の義務
下記項目については、仮名加工情報取扱事業者による仮名加工情報の取扱いにおいても適用されます。
- 安全管理措置(個人情報保護法23条)
- 従業者の監督(個人情報保護法24条)
- 委託先の監督(個人情報保護法25条)
- 苦情処理(個人情報保護法40条)
- 識別行為の禁止(個人情報保護法41条7項)
- 本人への連絡の禁止(個人情報保護法41条8項)
|
第二十三条から第二十五条まで、第四十条並びに前条第七項及び第八項の規定は、仮名加工情報取扱事業者による仮名加工情報の取扱いについて準用する。この場合において、第二十三条中「漏えい、滅失又は毀損」とあるのは「漏えい」と、前条第七項中「ために、」とあるのは「ために、削除情報等を取得し、又は」と読み替えるものとする。
引用:個人情報保護法23条 |
■安全管理措置
仮名加工情報を取り扱う事業者は、情報の漏えいや不正アクセスを防ぐために、物理的および技術的なセキュリティ対策を講じる必要があります。具体的には、情報を保存するサーバーへのアクセス制限や、データの暗号化が挙げられます。さらに、仮名加工情報を他の情報と照合して本人を特定することがないようにするための措置も必要です。
|
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
引用:個人情報保護法23条 |
■従業者の監督
仮名加工情報取扱事業者は、従業者が仮名加工情報を適切に取り扱うよう、教育や訓練を行う義務があります。
定期的な研修を通じて、仮名加工情報の重要性や取り扱いに関する法律、ガイドラインを従業者に理解させることが重要です。問題が発見された場合には、迅速に是正措置を講じ、再発防止策を徹底することが求められます。
|
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
引用:個人情報保護法24条 |
■委託先の監督
仮名加工情報を取り扱う事業者は、委託先を監督することが義務付けられています。
具体的には、委託先のセキュリティ対策や情報管理体制を評価し、業務委託契約を結ぶ際には仮名加工情報の取り扱いに関する具体的な要件を明記することが重要です。
委託後も定期的な確認を行い、委託先が契約条件を遵守しているかを確認することで、情報の漏えいや不正利用を未然に防ぐことができます。
|
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
引用:個人情報保護法25条 |
【関連記事】
委託先で個人情報漏えいが発生した際の責任範囲と対策について解説!
■苦情処理
仮名加工情報を取り扱う事業者は、苦情が発生した際に迅速かつ適切に対応するために必要な体制を整えておく必要があります。具体的には、苦情を受け付ける窓口を設置し、どのような内容の苦情が寄せられても適切に対応できるように、専門のスタッフを配置します。また、苦情の内容の記録・分析を行い、同様の問題が再発しないように改善策を講じることも重要です。
|
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。 2 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
引用:個人情報保護法40条 |
4. 仮名加工情報における個人情報保護法の適用除外規定
仮名加工情報である個人情報・個人データ・保有個人データについては、個人情報保護法で定められている以下の規定は適用されません。
- 利用目的の変更(個人情報保護法17条2項)
- 漏えい等の報告等(個人情報保護法26条)
- 開示等の請求(個人情報保護法32~39条)
|
仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、第十七条第二項、第二十六条及び第三十二条から第三十九条までの規定は、適用しない。
引用:個人情報保護法41条9項 |
まとめ
今回は、仮名加工情報の定義や匿名加工情報との違い、具体例、取り扱う際の注意点について解説しました。
仮名加工情報とは、個人を特定できないように加工された情報を指します。仮名加工情報を取り扱う際には、法律やガイドラインを遵守することが重要です。仮名加工情報の取り扱いに関する最新の法令やガイドラインを定期的に確認し、より効果的に活用しましょう。
アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。
