個人情報保護法令和2年改正のポイント➂~仮名加工情報~

 令和2年6月12日に公布された「個人情報の保護に関する法律等の一部を改正する法律等の一部を改正する法律」(以下「令和2年改正法」)の施行日(令和4年4月1日)が迫ってきています。
 本稿では、令和2年改正法のうち、個人情報保護法の改正により新設された「仮名加工情報」について解説していきます。

 なお、条数は、引用部分(本稿作成時点で公表されているもの。以下、同じ。)を除き、別途施行が予定されている令和3年5月19日法律第37号(デジタル社会の形成を図るための関係法律の整備に関する法律)後のものです。また、引用部分の下線は、本稿の便宜上、加筆したものです。

 

1.仮名加工情報とは

 

(1)仮名加工情報の定義

 

 仮名加工情報(「かめいかこうじょうほう」)とは、他の情報と照合しない限り特定の個人を識別することができないように加工した個人に関する情報をいい、例えば、個人情報である顧客情報(会員ID、氏名、年齢、性別、利用サービス)から氏名を削除したものがこれに該当します。仮名加工情報と認められるためには、情報単体での特定個人の識別性が排除されることが必要ですが、匿名加工情報のように、特定個人の識別性を完全に排除することまでは求められません。

 法文上の定義は以下のとおりです。

仮名加工情報(法第2条第5項)

各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように次の個人情報を加工して得られる個人に関する情報をいう。

(1)第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

(2)第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

 
 
仮名加工情報取扱事業者(法第16条第5項)

仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第四十一条第一項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。

(以下省略)

 

(2)仮名加工情報が仮名加工情報データベース等を構成するものか否か(仮名加工情報が散財情報である場合について)

 

 仮名加工情報に関する規律(法第4章第3節)が適用されるのは、仮名加工情報データベース等を構成する仮名加工情報だけであり、いわゆる散在情報(データベース化されていない情報)となる、仮名加工情報データベース等を構成しない仮名加工情報には仮名加工情報に関する規律が適用されません(個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)2-2-2-1参照)。

 したがって、散在情報である仮名加工情報のみを取り扱う事業者である場合(仮名加工取扱事業者に該当しない場合)には、仮名加工情報取扱事業者を対象とした条項の適用がなく、また、仮名加工情報取扱事業者に該当する場合であっても、該当の情報が仮名加工情報データベース等を構成しなければ、当該情報の取り扱いについて仮名加工情報に関する規律の適用はありません(法第41条第1項参照)。

 

(3)仮名加工情報が個人情報であるか否か

 

 仮名加工情報は、基本的には個人情報に該当することが想定されていますが(個人情報保護委員会事務局審議官佐脇紀代志編著「一問一答令和2年改正個人情報保護法」Q9参照)が、法文上は、個人情報に該当しない仮名加工情報も規定されています(法第42条第1項参照)。

 仮名加工情報について、当該情報の取扱い方法は、当該情報が個人情報であるか否かによって異なるため(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(以下、「QA」)14-2参照)、仮名加工情報を利用する場合には留意が必要です。

 

2.仮名加工情報の取り扱いに関する規律

(1) 概要

 仮名加工情報は、当該情報単体での個人識別性が排除されていることを前提に、内部的な個人情報の利用をしやすくするために導入された制度であるため、個人情報である仮名加工情報については、当該個人の識別行為の禁止(法第41条7項)や本人への連絡等の禁止(法第41条8項)などの規制が課されます。

 個人情報である仮名加工情報と個人情報でない仮名加工情報それぞれの取り扱いに関する規律の詳細は、個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)をご参照ください。

(2)仮名加工情報の第三者提供の可否について(法第41条第6項、法第42条第1項及び第2項)

 仮名加工情報は、内部利用を想定して導入された制度であるため、第三者への提供が原則禁止されます(法第41条第6項及び第42条1項)。

 ただし、個人情報である仮名加工情報は、法第41条第6項により法第23条第5項及び第6項を読み替えた条項が適用されます。また、仮名加工情報(個人情報であるものを除く)について、第三者提供において第三者に該当しない場合を定めた規定である法第27条第5項及び同6項(同条第5項第3号中及び同条第6項中の通知または本人が容易に知り得る状態に置いては公表と読み替え。)は、仮名加工情報の提供を受ける者について準用されます(法第42条第2項)。

 したがって、仮名加工情報の提供であっても、委託に伴う場合、事業の承継に伴う場合、共同利用による場合には、個人データの提供の場合と同様に当該情報の提供を受ける者は第三者とは評価されません。

 

3.仮名加工情報を取り扱うメリット

 仮名加工情報を取り扱うメリットは、主に法第41条第9項に基づく適用除外にあり、具体的には、以下の3つがあります。

① 利用目的の変更(法第17条第2項の適用除外)

② 漏洩等発生時の対応(法第26条の適用除外)

➂ 本人からの開示等の請求等(法第32条から第39条の適用除外)

(1)仮名加工情報の利用目的の変更について

 仮名加工情報については、法第17条第2項(利用目的の特定)の適用がありません(法第41条第9項)。そのため、仮名加工情報の利用目的は、同項の制限なく変更することができます。

 なお、仮名加工情報を取得するのであれば、利用目的の公表が必要になりますが、既に保有している個人情報を仮名加工情報に加工して内部利用する場合は、「取得」には該当しません。ただし、個人情報を加工して作成した仮名加工情報について、作成の元となった個人情報にかかる利用目的の範囲を超える利用をするような場合には、変更後の利用目的を、仮名加工情報にかかる変更であることを明確にした上で公表する必要があります(QA14-14及び同15参照)。

(2)仮名加工情報の漏えい等について

ア 仮名加工情報が漏えい等したら

 仮名加工情報については、法第26条(漏えい等の報告等)の適用がないため(法第41条第9項)、仮名加工情報それ自体については、漏えい等の際の報告義務等はありません。

イ 仮名加工情報の削除等情報が漏えいしたら

 一方、仮名加工情報の削除等情報(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに法第41条第1項により行われた加工の方法に関する情報)が漏えいした場合には、報告義務等が課される場合があります(QA14-13)。

 個別の事例ごとに判断する必要がありますが、氏名と仮IDの対応表等、それを用いて元の個人情報を復元することのできる削除情報等が漏えいした場合には、削除情報等の安全管理措置を講ずる義務(法第35条の2第2項)や仮名加工情報である個人データの安全管理措置を講ずる義務(法第20条)の履行の観点から、原則として、当該仮名加工情報に含まれる仮IDを振り直すこと等により仮名加工情報を新たに作り直す等の措置を講じることが必要となります。また、削除情報等が個人データに該当する場合において、当該削除情報等が漏えいし、それが法第22条の2の要件を満たす場合には、同条に基づく報告及び本人通知が必要となります。

 法第22条の2(令和3年改正後の法第26条)の要件を満たす場合とは、「取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたとき」(法第26条)をいい、「個人の権利利益を害するおそれが大きいもの」とは、以下の場合を指します。

 
(個人の権利利益を害するおそれが大きいもの)

第七条    法第二十六条第一項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。

一    要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第一項において「漏えい等」という。)が発生し、又は発生したおそれがある事態

二    不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

三    不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

四    個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態

 

(3)本人からの開示等の請求等

 開示等の請求等について定めた以下の法第32条から法第39条の適用がありません(法第41条第9項)。

  • 法第32条(保有個人データに関する事項の公表等)
  • 法第33条(開示)
  • 法第34条(訂正等)
  • 法第35条(利用停止等)
  • 法第36条(理由の説明)
  • 法第37条(開示等の請求等に応じる手続)
  • 法第38条(手数料)
  • 法第39条(事前の請求)

 

4.さいごに

 仮名加工情報には、①利用目的の変更、➁漏洩等発生時の対応、③本人からの開示等の請求等の3つの点で、導入のメリットがありますが、これを導入する場合には、仮名加工情報の取扱いに関する様々な規制が課せられることになるため、規程やマニュアルの整備、実務担当者への周知などの対応が必要になります。必ず導入しなければならないというものではありませんので、メリットと負担を勘案しながら、導入の要否を検討するようにしましょう。

 

引用元

[i] 個人情報の保護に関する法律についてのガイドライン(通則編)

https://www.ppc.go.jp/files/pdf/210101_guidlines01.pdf

[ii] 「個人情報の保護に関する法律についてのガイドライン」に関するQ&A

https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

[ⅲ] 個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)

https://www.ppc.go.jp/files/pdf/211029_guidelines04.pdf

 

鳥飼総合法律事務所 弁護士 高橋美和

業務分野

内部統制システム・コンプライアンス

関連するコラム