GTM-MML4VXJ
Skip to main content

English

Japan

  1. ホーム >
  2. コラム >
  3. オピニオン >
  4. シリーズ【個人情報保護はこう変わる】(5)匿名加工情報によるビッグデータの活用

シリーズ【個人情報保護はこう変わる】(5)匿名加工情報によるビッグデータの活用

-企業や公的機関が持つ個人情報を有益に活用できるための基盤-

2016年12月12日(月曜日)

1.匿名加工情報とは

匿名加工情報とは、特定の個人を識別することができないように個人情報を加工した情報であり、また元々の個人情報を復元することができないようにしたものです。加工の際、(1)氏名・生年月日やDNA配列(個人識別符号(注1))など本人を識別可能な情報を削除する、または(2)復元できないような加工を施す方法があります。

また、匿名加工情報データベースを第三者に提供する場合には、提供することにつき本人の同意は不要です。これは1つの重要なポイントです。

なお、統計処理した結果データは、元々の個人情報の復元(再識別)自体が不可能であるため、匿名加工情報には該当しません。

2.匿名加工情報が注目されている理由

一言でいうと、大量の個人に関する情報を分析することで、人々の行動・嗜好などが精緻に分析できるため、新たな製品・サービスの開発に役立てることができると考えられます。例えば次のようなことです。

東日本大震災では、携帯電話が移動した動線を分析することで、地震発生後、どこから・どのようなルートで・どれくらいの人々が移動したかということがわかりました。この分析により、避難時にネックとなるルートがわかることで、今後の道路ネットワーク整備に活用できる可能性があります。

製薬に関しては、リアルワールドデータ(RWD:(注2))と呼ばれ、実臨床試験などの医療データを解析することで、個人の体質や遺伝情報に合わせた個別化医療の実現を目指す取り組みがすでに始まっています。

身近なところでは、ICカード乗車券の改札データから動線分析を行った事例(注3)があります。JR目黒駅において遠回りして他線に乗り換える人が5%程度おり、対策としてわかりやすい案内板を設置しました。お年寄りや不慣れな旅行者にとって助かることではないでしょうか。

3.匿名加工情報取扱事業者の区分を新設

2017年春の改正個人情報保護法(以下、改正法)の全面施行により、すべての事業者は、規模に関係なく個人情報を取り扱う「個人情報取扱事業者」となり、改正法の遵守が義務付けられます。これは現行の個人情報保護法(以下、現行法)が対象とするしきい値(5000件超の個人情報を有する)が撤廃されるためです。ただし一定の条件を満たせば、簡易な安全管理措置が許される中小規模事業者(注4)として区分されます。

加えて、改正法では、匿名加工情報を取り扱う事業者を「匿名加工情報取扱事業者」として新たに区分し、厳格な義務を課す代わりに、匿名加工情報の作成、社外への提供、受領しての利活用などを認めました。これは、本人の権利利益を保護するには、事業者としての仕組みを整備することが不可欠であるためです。

ここで注意する点は、中小規模事業者は通常の個人情報を取り扱う際には、簡易な安全管理措置で足り、例えば取扱規程類は必ずしも文書化する必要はありません。ただし匿名加工情報取扱事業者となった途端に、匿名加工情報に関して組織体制の整備、規程等の策定、利用ログ等の収集、台帳整備、内部監査等によるPDCAサイクルの確立など厳格な安全管理措置を講じなければなりません。

【図表1】取り扱う情報と事業者規模とで異なる安全管理措置

取り扱う情報の種類 個人情報取扱事業者
中小規模事業者以外
(従業員100人超または個人情報5千件超)
中小規模事業者
(従業員100人以下かつ個人情報5千件以下)
通常の個人情報 全社として、厳格な安全管理措置を講じる義務あり 全社として、簡易な安全管理措置を講じるあり
匿名加工情報 取扱部門において、厳格な安全管理措置を講じる義務あり (同左)

ここで1点重要なポイントがあります。

改正法76条(適用除外)にある「大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者」では、【図表1】の安全管理措置も含め、種々の義務を定めた改正法第4章の適用自体が除外されます。民間企業であっても、「学術研究」の範囲を、国は幅広く捉えているようですので、そもそも改正法自体が適用されないこともあり得ます。

(これについては、2016年11月30日 個人情報保護ガイドライン案に対するパブリックコメント募集結果(別紙2-4 匿名加工情報編)Open a new windowを参考としてください。)

4.匿名加工情報取扱事業者の義務

改正法では、匿名加工取扱事業者を、作成と利用との2種類に分けて考えています。つまり、事業者から別の事業者に匿名加工情報が流通することを想定しています。

【図表2】取り扱う情報と事業者規模とで異なる安全管理措置

1 作成する事業者 (1)作成する
(2)利用する事業者に提供する
(3)(自ら利用することも想定)
2 利用する事業者 (1)(受領して)利用をする
(2)さらに、他の利用する事業者に提供する

4-1.作成する事業者の義務

匿名加工情報を作成する事業者が、遵守すべき安全管理措置を、次に示します。

【図表3】匿名加工情報を作成する事業者が行うべきこと

匿名加工情報を作成する事業者が行うべきこと
1 適正な加工を行うこと
2 加工方法自体を安全に管理すること
3 作成した際、情報項目等を公表すること
4 他の企業に第三者提供する際、情報項目と提供方法を公表すること
5 また、提供先へ匿名加工情報であることを明示すること
6 (自ら活用する場合)本人の再識別は禁止すること
7 安全管理の措置、苦情の処理などの措置を講じ、内容を公表すること

適正な加工を行うなどのほかに、公表することが多いことに気づくと思われます。公表することが求められる理由は、本人が自身の個人情報をどのように取り扱われているかを知ることができ、万一、権利利益の侵害を受けた場合は、問い合わせや原状復帰を求めやすいようにするためです。

次に2点に絞り説明します。

4-2.適正な加工を行うことについて

匿名加工情報を作成する際の重要な点は、匿名化するにつれて再識別は困難になりますが、その代わり有効なデータからは遠のくことです。逆に匿名化が浅いと有効なデータになるかもしれませんが、再識別できる可能性は高まります。

例えば、スーパーマ-ケットにおけるマーケティング分析で考えてみましょう。一般的にスーパーマーケットは商圏が狭いので、住所を県単位で匿名化したデータ(市町村以下の住所を削除)では、分析にあたって価値はないでしょう。

逆に番地まで含めれば、分析には有効でしょうが、再識別は比較的容易になります。匿名加工情報を活用する事業者のニーズと、再識別されるリスクとを比較衡量し、両者のバランスをとることが一番の悩みどころです。再識別リスクの危険度モデルを自社で確立し、それによって評価を行うことも1つの解決策です。

なお、再識別できないようにする加工の程度について、ガイドライン(匿名加工情報編)では、世の中のすべてのテクノロジーを使ってもできない手法を求めているのではなく、一般的な事業者の能力や手法では再識別できない手法で事足りると記載されています。ここも重要なポイントの1つです。

4-3.加工方法自体を安全に管理すること

これは、匿名加工情報そのものではありません。再識別できないようにする加工方法そのものを安全に管理することを求めるものです。匿名加工情報に係る安全管理措置の中心となるものであり、重要ポイントです。

前述の匿名加工の程度に応じて、情報の価値と再識別可能性とが相反するとしましたが、この加工方法の情報を秘匿化するにつれて、再識別されるリスクは小さくなります。例えば、次のように、組織間の牽制機能を利用することで、再識別ができないようにすることができます。

【図表4】3部門の職務分離と内部牽制により、再識別化を防止する組織構成
【図表4】3部門の職務分離と内部牽制により、再識別化を防止する組織構成

  • (1)利用部門は、IT部門(開発チーム)に匿名加工情報の作成を依頼する。
  • (2)IT部門(開発チーム)は、匿名化の方法を設計する。
  • (3)IT部門(運用チーム)は、匿名加工情報を作成する処理を実施する。
  • (4)IT部門(運用チーム)から利用部門に、匿名加工情報が引き渡される。

このように、3部門に職務分離し内部牽制(設計、作成、利用)を効かせることにより、加工方法と加工前データと加工済みデータとの全3情報を持つ部門はありませんので、再識別をすることは、いずれの部門も不可能です。

もちろん、利用部門が、さらにその加工済みデータを社外へ提供したとしても、社外の事業者ともに加工方法を知ることはできないため、再識別は不可能です。

5.利用する事業者の義務

匿名加工情報を分析し、マーケティング等に利用する事業者が、遵守すべき安全管理措置を次に示します。

【図表5】匿名加工情報を利用する事業者が行うべきこと

匿名加工情報をビジネスなどに利用する事業者が行うべきこと
1 加工方法の取得は禁止すること
2 本人の再識別は禁止すること
3 他の企業に第三者提供する際、情報項目と提供方法を公表すること
4 安全管理の措置、苦情の処理などの措置を講じ、内容を公表すること

前述の作成する事業者における義務と類似していますが、固有の義務として、次の「加工方法の取得は禁止すること」が挙げられます。

5-1.加工方法の取得は禁止すること

利用する事業者には、作成する事業者における義務に加えてさらに加工方法を取得すること自体が禁止されています。再識別自体も禁止されていますが、その前段の行為である加工方法の取得も禁止です。

また、加工方法を入手しなくても、再識別することを目的として、例えば他の情報(以前に入手した個人情報や匿名加工情報など)と照合することも禁止です。

結論として、再識別に関連する行為は一切禁止することを法令で規定しました。

利用する事業者には、再識別に関連する行為一切の禁止を規程等で明文化し、承認を受けたうえで従業員に教育・研修を行うことが求められます。

6.実施すべき安全管理措置の内容

匿名加工情報取扱事業者は、作成する部門でも、利用する部門であっても安全管理の措置が求められます。通常は、匿名加工情報を取り扱う部門は限られていると思われるため、通常の個人情報保護のように全社で整備するものではなく、取り扱い部門ごとに整備するものと考えます。

少々細かくなりますが、保護する対象と、安全管理措置(義務/努力義務)との対応を次に示します。

【図表6】匿名加工情報を取り扱う事業者が行うべきこと

対象 義務/努力義務 規則の内容
1 加工方法そのもの 義務規定
(改正法第36条2項)
加工の方法に関する情報の漏えいを防止する措置
(個人情報保護委員会規則で内容を規定)
(1)加工方法を取り扱う者の権限および責任の明確化
(2)加工方法等情報の取り扱いに関する規程類の整備
(3)規程類に従った、加工方法等情報の適切な取り扱い
(4)内部監査等で評価を実施
(5)改善を図るために必要な措置を実施
(6)正当な権限を有しない者による取り扱いを防止するための措置の実施
2 作成した匿名加工情報 努力義務規定
(改正法第36条2項)
・安全管理のための措置
・苦情の処理等、
・適正な取り扱いを確保するために必要な措置
・これらの措置の公表

通常の安全管理措置を参考とした適切な措置が考えられる
3 利用する匿名加工情報 努力義務規定
(改正法第39条)
2.と同様


2.と同様

ご覧のとおり、加工方法の安全管理措置に重点を置いていいます。前述の「3部門の職務分離と内部牽制により、再識別化を防止する組織構成」においては、加工方法を保有しているIT部門(開発チーム)は、安全管理措置の実施が必須となります。

加工方法における安全管理措置の内容は、通常の個人情報における安全管理措置と同様に厳格なものです。匿名加工情報データベースごとに、各種の安全管理措置を施すことを求めています。具体的には、体制の整備、規程類の策定、従業員への教育・研修、アクセス管理、漏えい等の防止措置、内部監査や自己点検等によるPDCAサイクルの確立などです。

他方、上記表の2、3の措置の内容については、個人情報に該当しないと考えられるため、通常の個人情報における安全管理措置を求めるものではなく、それらを参考とした適切な措置で済みます。しかしながら、情報の性質上、同等の安全管理措置の実施と、それを公表することをお勧めします。

7.終わりに

以上のとおり、匿名加工情報の取り扱いについては、取り扱いに厳しい制限を設けていることを理解いただけたと存じます。しかし、匿名加工情報を上手く活用することによって、イノベーションを起こすこともできるかもしれません。また、国等の公的機関も民間で利用できるようオープンデータの公開が進んでいます。

最後に、あくまでも想定ですが、鉄道事業者のIC乗車券の改札データを分析して活用する例を挙げます。

季節別・曜日別・時間帯別や車両別など乗降客の傾向が正確に分析できれば、広告掲載場所や時間を最適な形で切り売りすることができます。各々の広告主のコスト負担を下げ、かつ、効果的な広告が打てることで広告全体の収入をアップさせることも可能です。また広告主のビジネス拡大にもつながり、関係者全員のビジネス拡大も期待できます。

【図表7】鉄道会社のIC乗車券データを活用した効果的な広告(想定例)
【図表7】鉄道会社のIC乗車券データを活用した効果的な広告(想定例)

注釈

(注1) : 個人識別符号 : 改正個人情報保護法で新たに定められた個人情報の類型であり、2種類ある。1つは、身体の一部をコンピュータ用に変換した符号類であり、DNAの塩基配列、虹彩、指紋などがある。もう1つは、個人ごとに割り当てられた符号類であり、免許証番号、パスポート番号、マイナンバーなどが該当する。

(注2) : リアルワールドデータ(RWD) : 実際の臨床現場で得られるデータであり、レセプトデータ、実診療下のデータ、健診データ、各製薬企業が持つ安全性データ等を言う。より個々の患者の状態に沿った薬剤投与や治療に役立つものと考えられている。

(注3) : ICカード乗車券の改札データから動線分析を行った事例 : 2015年10月 「Suicaに関するデータの社外への提供についての有識者会議」が公表した事例である。

(注4) : 中小規模事業者 : ガイドライン通則編で規定されており、従業員数が100人以下の事業者を言う。マイナンバー法ガイドラインと同様である。ただし、5000人分を超える個人情報を持つ事業者(現行法においても個人情報保護法の遵守義務がある事業者)や、個人情報を取り扱う業務を受託している事業者は除かれる。

シリーズ【個人情報保護はこう変わる】

関連サービス

【個人情報マネジメント支援サービス】
PUSH型の情報提供やご相談などを通じて、マイナンバー制度や改正個人情報保護法への対応を側面からご支援します。月額払いも可能な、3種の基本サービスタイプをご用意しました。


上 茂之

上 茂之(うえ しげゆき)
株式会社富士通総研 金融・地域事業部 エキスパートコンサルタント 兼 富士通株式会社マーケティング戦略室番号制度推進室員
2007年富士通総研入社。これまで、個人情報保護、情報セキュリティ、内部統制、事業継続計画、金融機関におけるシステムリスク管理態勢構築など、リスクマネジメント分野をテーマとしたコンサルティング業務に従事。2014年からは国のマイナンバー調査業務に参画し、民間企業におけるマインバー対応、個人情報保護対応やサイバーセキュリティに関するコンサルティング業務に従事中である。