改正個人情報保護法の対応ポイント
第2回 仮名加工情報に関して企業が対応すべき事項とは

 

2021年7月1日

2020年6月に「個人情報の保護に関する法律等の一部を改正する法律案」が公布され、2022年春の全面施行に向け、政令やガイドライン等の検討が行われている。個人情報を扱うすべての事業者が対象になるため、対応を協議している企業も多いのではないだろうか。
今回のインサイトでは、法改正により発生する義務や現行法との違い、企業が対応すべき事項を3回に分けて解説する。第1回では、改正個人情報保護法の主な変更点と企業が対応すべき点を解説した。第2回では、「仮名加工情報」に関する対応ポイントを解説する。

仮名加工情報とは？

「仮名加工情報」とは、データ内の特定の個人を識別できる情報（氏名等）を、ガイドラインに従って削除または他の記述に置き換えることで、他の情報と照合しない限り特定の個人を識別することができないように加工した情報のことである。
現行法には匿名加工情報という、一見仮名加工情報との違いの判別が難しい情報について、すでに定められている。匿名加工情報は、特定の個人を識別できないように個人情報を加工し、かつ復元できないようにした情報のことで、事業者間におけるデータ利活用を促進することを目的に導入されている。仮名加工情報は、データとしての有用性を個人情報と同等程度に保ちながら、匿名加工情報と比べ加工範囲が縮小し、利用制限が拡大された情報として、企業内部におけるビッグデータ等の利活用を促進するために創設されたものである。

図1 仮名加工情報の例

仮名加工情報は、加工元となる個人情報や、他の情報と照合することで特定の個人を識別することが可能なため、仮名加工情報を取り扱う場合には、原則として個人情報を取り扱う際に発生する義務に対応しなければならない。しかしながら、仮名加工情報だけでは特定の個人を識別できないことや、加工元データを削除し照合ができない場合等を考慮し、発生する義務には下表のような違いがある。

表1 個人情報と仮名加工情報に関して発生する義務の違い

これらを踏まえ、仮名加工情報の利用が想定される場合は次に解説する対応が必要となる。ただし、表1の仮名加工情報に関して発生する義務は、個人情報を図1にあるような氏名のみが削除された情報に加工できる仕組みが整備されていることが前提となっている。そのため、ファーストステップとして対応が必要な項目および仮名加工情報を取り扱ううえで対応必須となる項目についても解説する。
また、表1の「識別目的での照合」と「第三者提供」は仮名加工情報では禁止されているため、禁止事項の項目でまとめて解説する。

仮名加工情報への対応ポイント

仮名加工情報への対応は、以下のステップに分けて進めていく。

ステップ1、ステップ2の4つの項目に対して、具体的なポイントと対策の一例を挙げる。

①仮名加工情報の利用ケースや匿名加工情報との使い分けの定義
仮名加工情報の取り扱いの際には、以下の対応が必要となる。

②ガイドラインに準拠した加工ができる仕組みの整備
ガイドラインに準拠した仮名加工情報の加工ができるよう、以下の対応が必要となる。

③禁止事項に該当しないよう事前および定期的にチェックする仕組みの整備
仮名加工情報を取り扱う際の禁止事項（識別目的での照合、第三者提供）に該当しないよう、以下の対応が必要となる。

④削除情報等に関する安全管理措置の整備
加工方法に関する情報や、仮名加工情報の作成過程で削除された個人情報が漏えいしないよう、以下の対応が必要となる。

まとめ

今回の個人情報保護法の改正は、現行の法令遵守を堅持しつつ、より柔軟な経済活動を狙ったものであると言える。本インサイトで解説した仮名加工情報は、その代表とも言える新たに創設された条項だ。ただし、仮名加工情報は取り扱う場合には正確な対応が求められる。
今回解説した仮名加工情報についてはガイドライン案が公開されている。その他にこれから公開される政令や規則を読み解き、必要な対応事項を社内で協議・検討するとともに、必要に応じて知見のある専門家に依頼し、対応を進めることが望ましい。