改正個人情報保護法 その2 ビッグデータの活用など
2015年9月に成立した改正個人情報保護法の予習の続きです。
ビッグデータの活用に向けた法整備が今回の個人情報保護法改正の目玉といわれています。
今回はこの部分に注目していきたいと思います。
1 「匿名加工情報」とは?
今回の法改正で新たに導入された定義が「匿名加工情報」です。
個人情報を加工して個人の識別を出来ないようにした情報をいいますが、個人情報の種類によってその加工方法が異なります。
氏名、住所、生年月日などで個人の特定が可能な情報については、氏名、住所、生年月日など個人の特定を可能にする情報の少なくとも一部を削除するか他の無関係な文字に置き換えるなどして識別が出来ないようにする必要があります。
パスポート番号、免許証番号や電話番号又は指紋や顔の認識データなど法改正によって新たに定義された個人識別符号で個人の特定が可能な情報については、この個人識別符号の全部を削除するか他の無関係な文字に置き換える必要があります。
2 「匿名加工情報」はどのように取り扱うのか?
まず、個人情報を「匿名加工情報」とするには、先程述べた様な匿名化の作業が必要となります。ポイントとしては①個人が特定できないようにする事と②匿名化した個人を特定するような復元ができないようにすることが必要です。具体的な基準は、個人情報保護委員会規則で定めるということなので、これに従った加工が必要となります。
現時点では、氏名は削除し、生年月日は年まで、住所は都道府県までという方向で基準作りが進められているようです。都道府県までということになると、例えば東京ですと港区と多摩の奥の方の市町村が区別されないこととなり、データとして精度が低くなるのではという気もしますが、今後の基準の整備を待ちたいと思います。
また、この匿名化の作業の内容が外部に漏れてしまうと、個人情報の復元に繋がりかねないということから、この加工作業に関する情報の安全管理のための措置を、やはり個人情報管理委員会規則で定める基準に従って実施する必要があります。また、個人情報を復元するために、他の情報を照合すること自体も禁止されています。
また、匿名化の作業をした時には、個人情報保護委員会規則に従って、匿名加工情報に含まれる個人に関する情報の項目を公表する必要があり、匿名加工情報を第三者に提供したときは、同じく規則に従って提供される情報の項目や提供方法を公表し、提供する相手にも匿名加工情報であることを伝える必要があります。
これによって、匿名加工情報を受け取った相手も、それが匿名加工情報であることが分かりますので、この相手方が更に第三者に提供する時も同じように、情報の項目や提供方法を公表し、相手方に匿名加工情報であることを伝えることになります。
3 これまでと何が変わるのか?
今回の法改正によってビッグデータの活用にどのような変化が生まれるのでしょうか?
まず大きな変化としては、公式のルールが出来たことによって、いままで二の足を踏んでいた事業者もビッグデータ事業にに参入するようになり、活用の機会が増えるという効果が考えられます。
既にビッグデータの活用に踏み切っていた事業者にとっても、ルールが公式に出来たという安心感は強いと思います。
ただ、利用の実態としては、これまでも個人情報をビッグデータとして利用するためには、
①個人が特定できないように匿名化する
②容易に復元できないようにする
③匿名化した上でビッグデータとして利用している事実を公表した方が良い
というのはビッグデータを利用する際のルールとしてコンセンサスがあったと思いますので、今回の法改正による実体的な取扱は大きくは変わらないと思います。
ただ、法律的な観点からは、これまでは、以上の様な匿名化を施すことによって、個人情報ではなくなり個人情報保護法の対象から外れるという理解があったと思いますが、改正法では、匿名化の後も「匿名加工情報」として個人情報保護法の対象として残る事になりますので、この点はこれまでと意識を変える必要があります。