個人情報保護法におけるデータの種類のおさらい
2023年も、個人情報にまつわるさまざまなニュースや事件がありましたが、「個人情報」というと、みなさん何をイメージするでしょうか。「なるべく人に知られたくないもの」「悪用されたら怖いもの」「漏らすと怒られたり訴えられたりするもの」……など、「なんとなくよくわからないけど怖いもの」というイメージを持っている人が多いのではないかと思います。
個人情報保護法には、法律で取り扱い方をを定める情報の種類として、「個人情報」「仮名加工情報」「匿名加工情報」「個人関連情報」など、よく似た名前の情報がいくつも出てきます。1年の締めくくりにあたって、あらためて法律が個人情報をどのように定義しているのか、おさらいしてみましょう。
個人情報とは、「それが誰のことを言っているのか」がわかる情報
「個人情報は保護しなくてはいけないもの」というのは日本を含む世界中であまり疑うことのない常識となっており、各国で個人情報を保護する法律が制定されています。その基本原則は、過去の記事(https://note.com/intimatemerger/n/nc929a18872cc)でも紹介した「OECDプライバシー・ガイドライン」となります。
日本で個人情報の保護について定めた法律は、「個人情報の保護に関する法律」(以下、個人情報保護法)です。2005年に施行され、今までに2回、改正が行われました。個人情報保護法では、「個人情報」を、「生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報」と定義しています。 これには、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものも含まれます。
また、2017年施行の改正で、個人情報に「個人識別符号」を含む情報が追加されました。個人識別符号とは、「番号、記号、符号などで、その情報単体から特定の個人を識別できる情報で、政令・規則で定められたもの」と定義されています。ざっくりいうと2種類あって、顔認証や指紋認証などで使用できるような身体の一部の特徴を電子処理のために変換した符号と、パスポート番号、免許証番号、マイナンバー、保険証番号などの、公的機関からサービス利用や書類で利用者ごとに割り振られた符号が該当します。
具体的に何が「個人情報」にあてはまるかは、「特定の個人を識別できるかどうか」によって判断されます。と言われても意味がよくわからないので個人情報保護委員会のFAQ(https://www.ppc.go.jp/all_faq_index/faq1-q1-1/)を見てみると、「特定の個人を識別することができる」とは、「社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物と情報との間に同一性を認めるに至ることができることをいう」としています。例えば「氏名」は、同姓同名の人もいるとはいえ、社会通念上、特定の個人を識別することができるものと考えられるので個人情報に該当する、とされます。また、「個人識別符号」はそもそも特定の個人を識別できるように割り振られた符号なので、当然、個人情報になります。
その2つ以外については、話はそれほど単純ではありません。例えば生年月日や住所は、それだけでは個人を特定できる情報とはみなされませんが、他の情報と容易に照合することで特定の個人を識別できる場合は、照合する情報とあわせて全体として個人情報となります。また、メールアドレスについては、メールアドレスのユーザー名(@よりも前)とドメイン名(@より後ろ)から特定の個人の名前や所属がわかって個人が特定できる場合は単独で個人情報になりますが、そうではない場合はやはり他の情報と容易に照合することで特定の個人を識別できる場合、照合する情報とあわせて全体として個人情報となります。
シンプルに言い換えると、「扱っている人や企業が、『これは誰のことを言っているのか』を容易に知ることができる情報」が、個人情報だと言うこともできます。
2017年施行の個人情報保護法の改正で新設されたのが「要配慮個人情報」です。人種、信条(思想や宗教)、病歴、犯罪の経歴、心身の障害の情報や、他にも個人情報の中でも人権保護の観点から特に慎重な取り扱いが要求される情報が該当します。
通常の個人情報と異なる点は、主に以下の二点となります。
①原則として取得に本人の同意が必要となる:通常の個人情報は取得そのものに対しては本人の同意は不要ですが、要配慮個人情報を取得する場合は原則として本人の事前同意が必要です。
②オプトアウト方式による第三者提供の禁止:通常の個人情報は、正規の手段で事業者が自ら取得した情報であれば、オプトアウト方式での第三者への提供が認められます。要配慮個人情報についてはオプトアウト方式での第三者提供は認められず、原則として本人の明示的な事前同意が必須となります。
要配慮個人情報が新設されたのは、GDPRをはじめ国際的な法制度で、同様に特定の情報について特別な取り扱いを定めていることに足並みを揃えたものです。GDPRで要配慮個人情報に該当するのは「special categories of personal data」といいます(含まれる情報の範囲は若干異なります)。個人情報保護法の「要配慮個人情報」という言葉は「該当しない個人情報は扱いに配慮が不要」という誤ったイメージを与えるので、GDPRと同様の表現の方が良いように思います。
匿名加工情報〜ビッグデータにおいて「あなたが誰なのか」ということは重要ではない
個人情報保護法では、個人情報の利活用に対して厳しい制限を課しています。しかし、ビッグデータを分析・活用する技術の進化にともない、個人情報を集計した「統計情報」ではなく、大量の個人情報をビッグデータとして分析対象にして活用したいというニーズが出てきました。
ニーズに応えて2017年の個人情報保護法改正で新たに定義されたのが「匿名加工情報」です。ビッグデータを分析する場合、1件1件のレコードを特定の人物に対応させる必要はありません。個人情報から、特定の個人の識別につながる「氏名」「個人識別符号」や、事業者によって利用者に一意に付与されるIDなどを取り除き、他の情報と照合しても個々のレコードが「誰の情報なのか」を特定できないようにしてしまえば個人情報ではなくなります。こうすることで第三者提供や取得時の目的と異なる目的での利用が可能となり、ビッグデータとして利活用しやすくなる、という考え方が背景にあります。
匿名加工情報で重要なのは、「匿名加工情報を他の情報と照合しても個人情報を復元できないように、個人情報を加工する」ことです。そのために求められる加工の基準が「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」で詳細に規定されています。
内部利用を前提に、取得時の利用目的を変更できる情報区分
ガイドラインのタイトルにある「仮名加工情報」は、2020年の法改正で新設された区分です。匿名加工情報との違いは、仮名加工情報は、単体では個人を特定できないが、他の情報と照合して個人情報に戻すことができるということです。匿名加工情報の「個人情報を復元できないようにする」ための加工基準のハードルが結構高くて専門知識も必要なため、データの利活用を進めるためにもう少し加工基準を緩めて、かつ利用目的に自由度を持たせたいというニーズが出てきました。
そこで、第三者提供は行わない(仮名加工情報を作成した事業者のみが利用する)前提で、「他の情報と照合しない限り、個人が特定できない情報」を「仮名加工情報」と定義しました。具体的には個人情報から個人を識別できる基準(氏名など)の削除、個人識別情報の削除に加えて、不正利用により財産的被害が生じる恐れのある情報(例:クレジットカード番号、オンラインバンキングの認証情報など)を削除することを求めています。こうすることで、仮名加工情報が漏洩した場合に本人に影響が及ぶリスクを下げることができます。
仮名加工情報の利用目的については、個人情報収集時に本人が同意した目的にとらわれず自由に変更可能とすることで、活用をしやすくしました。また、個人を識別することを目的として他の情報と照合することや、仮名加工情報に含まれる連絡先等の情報を利用することを禁止しています。
さて、先に見た通り、個人情報の定義の中に、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」とあります。仮名加工情報は「他の情報と照合した場合に個人が特定できる情報」となるので、個人情報にあたる場合があるのではないか、という疑問が出てきます。それは正しくて、「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」では、仮名加工情報には「個人情報にあたる仮名加工情報」と「個人情報にあたらない仮名加工情報」があるとして、それぞれの取り扱いを定めています。
通常、仮名加工情報を作成した事業者は加工元の個人情報を持っていますので、照合すれば、当然、個人が特定できます。この場合、仮名加工情報を作成した事業者にとって、仮名加工情報は「個人情報にあたる仮名加工情報」となります。逆に、仮名加工情報を作成した後、元の個人情報を適切に削除して照合できなくすれば、仮名加工情報は個人情報に該当しないことになります。仮名加工情報は個人情報に該当しない個人情報となります。
仮名加工情報の提供者からの提供により取得した仮名加工情報も、「個人情報にあたらない仮名加工情報」となる可能性があります。仮名加工情報は第三者への提供を禁じられていますが、以下の3つについては、情報の提供先は仮名加工情報を作成した事業者と一体のものとして取り扱われることに合理性があると考えられるので、「第三者」に該当しないので提供が可能です。
①委託:利用目的の達成のために、仮名加工情報の取り扱いに関する業務を委託するために、仮名加工情報が提供される場合
②事業の承継:合併、分社化、事業譲渡等で事業が承継されることに伴い仮名加工情報が提供される場合
③共同利用:特定の者との間で、特定の目的のために利用されることをあらかじめ公表していた仮名加工情報が提供される場合
①から③に該当して他の事業者から仮名加工情報の提供を受けた事業者が、照合して個人を特定できる情報を持っていなければ、この事業者にとって入手した仮名加工情報は「個人情報ではない仮名加工情報」になります。
どれにも該当しない情報にも規制の網が必要
2020年法改正では、もう一つ、「個人関連情報」という新しい概念が定義されています。「生存する個人に関連する情報で、個人情報、仮名加工情報、匿名加工のいずれにも該当しないもの」と定義されています。例えば、「ある個人の属性情報(性別・年齢・職業等)」「ある個人のウェブサイトの閲覧履歴」「個人の位置情報等」が個人情報に該当しない場合、すなわち容易に個人を特定できる情報と照合できない場合、「個人関連情報」となります。
「個人関連情報」の区分が設けられたきっかけは、2019年、新卒向けの就職情報サービスが、サイトの閲覧状況を元に学生の「内定辞退率」を推定し、募集企業に提供していた事件です。情報提供元の就職情報サービスでは、募集企業から提供された応募者IDと算出した内定辞退率を、サイト閲覧状況を記録したCookie IDで突合して提供していました。提供を受けた募集企業側では、受領したデータの応募者IDで自社が管理している学生の個人情報を突合して、それぞれの学生の内定辞退率を特定していたのです。
このケースで就職情報サービスが提供した情報の中には特定の個人を識別できる情報は含まれず、個人を特定できる情報と照合することもできないので、「個人情報」には該当しません。しかし、提供先の応募企業では提供された情報を他の情報と照合して「個人情報」として扱っています。当時の個人情報保護法に照らして法律上問題のない取り扱いでしたが、「提供先では個人情報として扱われることがわかっている情報を、本人の同意なしで提供した」ことが個人情報保護法の趣旨を逸脱しているとして問題になりました。
「個人関連情報」は、この、法の抜け穴を塞ぐために設けられました。個人関連情報は個人情報ではないので、取得や第三者提供に対し本人の同意を得る必要はありません。ただし、個人関連情報の提供先にある情報と照合して個人関連情報が「誰のものか」を特定できる場合、提供先では個人関連情報も「個人情報」として扱えることになります。その場合、個人情報の提供元は、提供先でその情報の利用目的や第三者提供に対して本人の同意を適切に取得していることを確認する必要があります
時代の要請に伴い個人情報保護法で扱う情報の範囲は「個人情報」からどんどん広がってきているのがわかるでしょう。
ウェブサイトでCookieを利用して取得できる情報の多くは、この中では「個人関連情報」となります。2024年にはGoogleのサードパーティCookie廃止がいよいよ始まり、個人関連情報の取り扱いについてもさまざまな話題が出てくると思われます。
<参考資料>
l 個人情報保護法 FAQ https://www.ppc.go.jp/all_faq_index/
l 個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)) https://www.ppc.go.jp/personalinfo/legal/guidelines_anonymous/
l まだ終わっていないリクナビ問題 カギ握る「クッキー」:朝日新聞デジタル https://digital.asahi.com/articles/ASMBL6TC9MBLULFA048.html