<ポイント>
◆令和2年の個人情報保護法改正が令和4年4月1日から全面施行
◆企業内での研究等のために仮名加工情報の制度が創設
令和2年に個人情報保護法が改正され、令和4年4月1日より全面施行されます(刑事罰改正はすでに施行済み)。今後約2カ月にわたり、この改正個人情報保護法について解説を連載していきます。
まず、改正の経緯ですが、2015年の改正法附則12条で3年ごとに見直しがされることとなっていることを踏まえ検討を重ねた結果、個人情報に対する意識の高まりから個人の権利利益を保護するために必要十分な措置の整備をすること、技術革新による産業界での個人情報利用のニーズの高まりに応えるなどの各視点からの諸利益を調整するために改正がされることになりました。
今回及び次回では、仮名加工情報の解説をします。
仮名加工情報とは、大まかにいうと、他の情報と照合しない限り特定の個人を識別できないように個人情報を加工して得られる個人に関する情報をいいます。
これに似たものとして、以前より「匿名加工情報」がありました。これは個人情報を加工して特定の個人を識別できないようにした点では仮名加工情報と同じですが、加工の程度として復元不能なまでの厳格さが求められる点で異なります(そのため、匿名加工情報は個人情報ではありません)。
このように、「匿名加工情報」は、個人の非識別性に加え厳格な加工が求められるなど、企業にかかる負担が大きく有効に活用されていない状況でした。
そこで、加工の程度をより軽くして活用しやすくするとともに、個人識別性を無くすなど一定の安全性を確保しつつデータとしての有用性も加工前の個人情報と同程度に保つことにより、詳細な分析を企業内部で行えるようにしたのです(つまり、個人情報と匿名加工情報の中間的な制度という位置づけです)。
仮名加工情報は、匿名加工情報と異なり、基本的には個人情報です。通常の個人情報では、取得時に公表等をする特定された利用目的の範囲内でしか用いることはできませんし、それは仮名加工情報でも同じです。
しかし、仮名加工情報に関しては、この利用目的の変更を自由にすることができます。利用目的を変更したときは、変更後の利用目的を特定して公表しなければなりません。ただし、法令に基づかない第三者への提供など仮名加工情報として許されない使い方の目的変更はできません(この点は次回解説します)。なお、通常の個人情報は、元の利用目的との合理的関連性がないと利用目的の変更が許されず、かつ、変更後の利用目的について本人への通知または公表が必要です。
仮名加工情報の具体的な活用のケースとしては、当初の利用目的には該当しない目的や、該当するか判断が難しい新しい目的で事業者内部において分析等を行う場合(例:大学病院などで診療目的で保有していた患者のデータをもとに、医療用AIの研究開発のために氏名などの個人を識別しうる部分を削除した情報を活用するなど)や利用目的を達した個人情報について将来的に統計分析に利用するために加工して保管する場合が考えられます。
要は、これまでになかった新しい目的のために個人情報を内部利用できるようにするということがこの制度の主眼です。
先述のように、仮名加工情報はそれ自体では直ちに特定の個人を識別できませんが、原則として個人情報です。なぜなら、他の情報と容易に照合して特定人を識別可能だからです。
しかし、個人情報ではない仮名加工情報も法律上は存在します。両者の違いは、一定の要件に該当した場合(例:裁判所からの文書送付嘱託への回答など法令に基づく場合、仮名加工情報に関する事務のアウトソーシングなど委託により提供される場合など)に仮名加工情報の提供を受けた事業者において、その仮名加工情報と容易に照合して特定の個人を識別することが可能になる他の情報を持っていない事例において現れます。なお、通常は第三者への仮名加工情報の提供は禁止されています。
また、たとえば、通常の個人情報として取り扱う予定で、情報を盗まれないようにしたり不正にアクセスできないようにするなどの個人情報に対する安全管理措置の一環として情報の一部にマスキングしたなど、仮名加工情報として作成する意図を持たずに個人情報を加工したものは仮名加工情報には当たりません。この場合、個人情報の取扱いに関する義務が全面的に適用されます。
仮名加工情報に加工する方法については個人情報保護法施行規則で定めがありますが、非常に抽象的であるので、これをより具体化したガイドラインができる可能性はあります。
(次回へ続く)