匿名加工情報の作成者に適用される適正加工義務

※本QAの凡例は注の通りです¹。

　匿名加工情報の作成者には以下のルールが適用されます（個人情報保護法36条）。

適正加工義務（改正個人情報保護法36条1項、個人情報保護法施行規則19条、GL（匿名加工情報編）3-2）

　個人情報取扱事業者は、匿名加工情報を作成するときは、特定の個人を識別することおよびその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければなりません（個人情報保護法36条1項）。

　「作成するとき」は、匿名加工情報として取り扱うために、当該匿名加工情報を作成するときのことを指します。したがって、たとえば、「安全管理措置の一環として氏名等の一部の個人情報を削除（又は他の記述等に置き換え）した上で引き続き個人情報として取り扱う場合」、あるいは「統計情報を作成するために個人情報を加工する場合」等については、匿名加工情報を「作成するとき」には該当しません。

　「個人情報保護委員会規則で定める基準」（いわゆる「匿名加工基準」）については以下のとおり定められています（個人情報保護法施行規則19条各号）。 　

特定の個人を識別することができる記述等の削除（個人情報保護法施行規則19条1号、GL（匿名加工情報編）3-2-1）

　個人情報取扱事業者が取り扱う個人情報には、一般に、氏名、住所、生年月日、性別の他、さまざまな個人に関する記述等が含まれています。これらの記述等は、氏名の様にその情報単体で特定の個人を識別することができるもののほか、住所、生年月日など、これらの記述等が合わさることによって特定の個人を識別することができるものもあります。このような特定の個人を識別できる記述等から全部またはその一部を削除するあるいは他の記述等に置き換えることによって、特定の個人を識別することができないよう加工しなければなりません。

　なお、他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法でなければなりません。たとえば、生年月日の情報を生年の情報に置き換える場合のように、元の記述等をより抽象的な記述に置き換えることも考えられます。

　仮IDを付す場合には、元の記述を復元することのできる規則性を有しない方法でなければなりません。たとえば、仮にハッシュ関数等を用いて氏名・住所・連絡先・クレジットカード番号のように個々人に固有の記述等から仮IDを生成しようとする際、元の記述に同じ関数を単純に用いると元となる記述等を復元することができる規則性を有することとなる可能性がある場合には、元の記述（たとえば、氏名＋連絡先）に乱数等の他の記述を加えたうえでハッシュ関数等を用いるなどの手法を検討することが考えられます。
　なお、同じ乱数等の他の記述等を加えた上でハッシュ関数等を用いるなどの手法を用いる場合には、乱数等の他の記述等を通じて復元することができる規則性を有することとならないように、提供事業者ごとに組み合わせる記述等を変更し、定期的に変更するなどの措置を講ずることが望ましいです。

個人識別符号の削除（個人情報保護法施行規則19条2号、GL（匿名加工情報編）3-2-2）

　加工対象となる個人情報が、個人識別符号を含む情報であるときは、当該個人識別符号単体で特定の個人を識別できるため、当該個人識別符号の全部を削除または他の記述等へ置き換えて、特定の個人を識別できないようにしなければなりません。
　なお、他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法による必要があります。

情報を相互に連結する符号の削除（個人情報保護法施行規則19条3号、GL（匿名加工情報編）3-2-3）

　個人情報取扱事業者が個人情報を取り扱う際、たとえば、安全管理の観点から取得した個人情報を分散管理等しようとするために、当該個人情報を分割あるいは全部または一部を複製等したうえで、当該個人情報に措置を講じて得られる情報を個人情報と相互に連結するための符号としてID等を付していることがあります。このようなIDは、個人情報と当該個人情報に措置を講じて得られる情報を連結するために用いられるものであり、特定の個人の識別または元の個人情報の復元につながり得ることから、加工対象となる個人情報から削除または他の符号への置き換えを行わなければならりません。

　個人情報と当該個人情報に措置を講じて得られる情報を連結する符号のうち、「現に個人情報取扱事業者において取り扱う情報を相互に連結する符号」がここでの加工対象となります（「現に個人情報取扱事業者において取り扱う情報」とは、匿名加工情報を作成する時点において取り扱われている情報のことを指し、これから作成する匿名加工情報は含まれません）。

　具体的には、ここで対象となる符号は、匿名加工情報を作成しようとする時点において、実際に取り扱う情報を相互に連結するように利用されているものが該当します。たとえば、分散管理のためのIDとして実際に使われているものであれば、管理用に附番されたIDあるいは電話番号等もこれに該当します。 なお、他の符号に置き換える場合は、元の符号を復元できる規則性を有しない方法でなければなりません。

特異な記述の削除（個人情報保護法施行規則19条4号、GL（匿名加工情報編）3-2-4）

　一般的にみて、珍しい事実に関する記述等または他の個人と著しい差異が認められる記述等については、特定の個人の識別または元の個人情報の復元につながるおそれがあるものです。そのため、匿名加工情報を作成するにあたっては、特異な記述等について削除または他の記述等への置き換えを行わなければなりません。

　ここでいう「特異な記述等」とは、特異であるがために特定の個人を識別できる記述等に至り得るものを指すものであり、他の個人と異なるものであっても特定の個人の識別にはつながり得ないものは該当しません。実際にどのような記述等が特異であるかどうかは、情報の性質等を勘案して、個別の事例ごとに客観的に判断する必要があります。

　他の記述等に置き換える場合は、元の記述等を復元できる規則性を有しない方法による必要があります。たとえば、特異な記述等をより一般的な記述等に置き換える方法もあり得ます。

　なお、個人情報保護法施行規則19条4号の対象には、一般的なあらゆる場面において特異であると社会通念上認められる記述等が該当します。他方、加工対象となる個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等とで著しい差異がある場合など個人情報データベース等の性質によるものは個人情報保護法施行規則19条5号において必要な措置が求められます。

　要配慮個人情報（個人情報保護法2条3項）も特定の個人を識別することができないようにした場合には匿名加工情報とすることができますが、たとえば、数百万人に一人の難病のような特異な情報に該当する場合については、個人情報保護法施行規則19条4号に基づいて排除することになると考えられます。 　

個人情報データベース等の性質を踏まえたその他の措置（個人情報保護法施行規則19条5号、GL（匿名加工情報編）3-2-5）

　匿名加工情報を作成する際には、個人情報保護法施行規則19条1号から4号までの措置をまず講ずることで、特定の個人を識別できず、かつ当該個人情報に復元できないものとする必要があります。

　しかしながら、加工対象となる個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等とで著しい差異がある場合など、加工の元となる個人情報データベース等の性質によっては、個人情報保護法施行規則第19条1号から4号までの加工を施した情報であっても、一般的にみて、特定の個人を識別することが可能である状態あるいは元の個人情報を復元できる状態のままであるといえる場合もあり得ます。そのような場合に対応するため、上記の措置のほかに必要となる措置がないかどうか勘案し、必要に応じて、「個人データを匿名加工情報として利用するにはどうすればよいか」で説明する手法などにより、適切な措置を講じなければなりません。

　なお、加工対象となる個人情報データベース等の性質によって加工の対象および加工の程度は変わり得るため、どの情報をどの程度加工する必要があるかは、加工対象となる個人情報データベース等の性質も勘案して個別具体的に判断する必要があります。

　特に、購買履歴、位置に関する情報などを含む個人情報データベース等において反復して行われる行動に関する情報が含まれる場合には、これが蓄積されることにより、個人の行動習慣が分かるような場合があり得ます。そのような情報のうち、その情報単体では特定の個人が識別できるとは言えないものであっても、蓄積されたこと等によって特定の個人の識別または元の個人情報の復元につながるおそれがある部分については、適切な加工を行わなければなりません。 　

適正加工義務に関するQ&A

　以下は、「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」（平成29年2月16日個人情報保護委員会）に掲載されている適正加工義務に関する内容です。参考のために掲載します。