パーソナルデータの匿名化をめぐる議論(技術検討ワーキンググループ報告書)

出典: Jurist March 2014 / Number 1464

「匿名化」とは何か

「匿名化」の機能

個人識別性の要件を踏まえた上で、個人識別性を失わせた情報のみが、「匿名化」されたものとして承認され得る。

「個人識別性」とは何か

個人識別性のパターン

  1. 当該情報に含まれる氏名等の情報によって特定の個人を識別することができる場合
  2. 容易に照合することができる他の情報(容易照合性のある情報)により特定の個人を識別できる場合

個人識別性の解釈について、匿名化との関係で重要な点

  1. 事業者の内部で情報を分けて管理する場合に、容易照合性をどのように考えるか。
  2. 個人識別性の有無を誰(の視点)を基準に判断するか。

合理的な匿名化措置への期待 – 「FTC3要件」の紹介

  • FTC = Federal Trade Commision (米連邦取引委員会)
  • “Protecting Consumer Privacy in an Era of Rapid Change”
  • 「パーソナルデータの利用・流通に関する研究会報告書

次のような条件をすべて満たす場合は、実質的個人識別性はないといえるため、保護されるパーソナルデータにはあたらないとして、本人の同意を得なくても、利活用を行うことが可能と整理できると考えられる。

  1. 適切な匿名化措置を施していること。
  2. 匿名化したデータを再識別化しないことを約束・公表すること。
  3. 匿名化したデータを第三者に提供する場合は、提携先が再識別化をすることを契約で禁止すること。

技術検討ワーキンググループ報告書

個人識別性から「識別特定」へ

パーソナルデータに関する検討会(親会)からの検討依頼に対する技術検討ワーキンググループ(作業部会)による技術検討ワーキンググループ報告書

  • 個人識別性の概念を「特定」と「識別」に分ける。
    • 「特定」: ある情報が誰の情報であるかが分かること
    • 「識別」: ある情報が誰か一人の情報であることが分かること

パーソナルデータは以下のように分類される。

  • 「識別特定情報」:
    • 「識別」(1人の情報であること)と「特定」(誰の情報化分かること)の両方を満たす。現行法の「個人情報」。
  • 「識別非特定情報」:
    • 「識別」はあるが(1人ひとりは識別されるが)「特定」はない(それが誰の情報か分からない)。 (例)氏名等の代わりに識別符号を入れた顧客データベース
  • 「非識別非特定情報」:
    • 「識別」がなく(1人ひとりが識別されず)、かつ「特定」もない(それらが誰の情報かかわらない)。
  • 「非識別特定情報」:
    • 「識別」は「特定」の前提となるため、存在しない。

匿名化手法の紹介

  • 属性情報の削除
    • 例えば氏名,住所の情報を削除すること。
    • 氏名等の代わりに識別符号を振る「仮名化」もここに含まれる。
  • 属性情報の一般化
    • 例えば数値を四捨五入したり、45歳を40歳代と置き換えたりすること。
  • 属性情報の加工技法
    • 一定の方法で属性情報を加工すること。
    • ミクロアグリゲーション: 元データをグループに分類した後に、同じグループの属性値をグループの代表値に置き換えること。
  • その他の技法
    • レコード(行)削除(特殊な属性、例えば年齢で120歳以上を持つレコードを削除する)
    • セル削除(センシティブな属性の値等を削除する)

k-匿名化

これらの手法を組み合わせることによって、対象データベースの中に、 同一の属性の組み合わせが必ずk件以上存在する状態(k-匿名性)を実現する方法。

例えば、k = 2であり、属性情報が性別,年齢,住所,職業である場合、 対象データベースの中に「男性,35歳,港区,自営業」の組み合わせが1つしかいないこととなれば、 k-匿名性(k = 2)が満たされていない。

この場合には、例えば、年齢の属性情報を一般化して、 「男性,30歳代,港区,自営業」のようにすることにより、 この属性情報の組み合わせが対象データベースの中に2件以上ある状態を確保することとなる。

「男性,115歳,世田谷区,無職」については、年齢の一般化では対応できないかもしれない。 この場合には、例えばレコード削除を用いることも考えられる。

作業部会の回答

親会の依頼事項

一定の匿名化手順によって、事業者の手元にある個人情報を加工して、 現行法における個人情報ではないものとして扱えないか。 そのような手順を示してもらいたい。

作業部会の回答

定められた手順で匿名化を目指して加工をしても、 それによって必ず現行法の個人情報でなくなるような匿名化が果たせるわけではない。 加工された結果について匿名化ができているかどうかは、 ケースバイケースで判断しなければならない。 その意味で、どのようなデータベースでも必ず匿名化できるような手順を示すことはできない。

FTC 3要件

現行法のままでは匿名化手順を示すことは難しいかもしれないが、 新たな立法措置をすることは、検討に値する。

FTC 3要件は、米国においても、単なる提案の域を出ていないものである。 前提と法制度との差異は大きく、 各要件の機能に関する説明も十分になされているとはいえない。

提供者が匿名化措置を施すこと

匿名化の安全性はケースバイケースの判断を要することから、 現時点で具体的な措置の内容を示すことは不可能である。

提供者が匿名化した情報を再識別化等しないことを約束・公表すること

提供者が公表した約束を守らない場合、 米国ではFTC法5条による強力な法執行が行われるが、 我が国には同様の制度が無いことから、 現行法ではこの要件に実効性を持たせることはできない。 よって、新たな法制度が必要である。

提供者と受領者の間の契約において、受領者がその情報を再識別化等することを禁止すること

我が国においては、契約による禁止の履行を提供者が求めることを期待できるのか疑問。 代替的措置として、契約上の義務ではなく法制度上の義務とすることについても検討が必要。

最後に

技術の専門家によって構成される作業部会が、 法解釈の議論に対して、進むべき道を示した。