改正個人情報保護法ではビッグデータの扱いをどのように定めたか

※本QAの凡例は以下のとおりです。

• 改正個人情報保護法、個人情報保護法：個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律（平成27年9月9日法律第65号）に基づく改正後の個人情報保護法
• 改正前個人情報保護法：全面改正前の個人情報の保護に関する法律
• 個人情報保護法施行規則：個人情報の保護に関する法律施行規則（平成28年10月5日個人情報保護委員会規則第3号）
• Q&A：「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ＆A」（平成29年2月16日個人情報保護委員会）
• GL（匿名加工情報編）：個人情報の保護に関する法律についてのガイドライン（匿名加工情報編）（平成28年11月30日個人情報保護委員会告示第9号）
• 個人情報保護ガイドライン（通則編）：個人情報の保護に関する法律についてのガイドライン（通則編）（平成28年11月30日個人情報保護委員会告示第6号）
• PC：「個人情報の保護に関する法律施行令の一部を改正する政令（案）」及び「個人情報の保護に関する法律施行規則（案）」に関する意見募集結果（個人情報保護委員会：平成28年10月5日）

改正の背景

ビッグデータの利活用と具体的な問題

　情報通信技術の飛躍的な進展は、多種多様かつ膨大なデータ、いわゆるビッグデータの収集・分析を可能としました。特に、個人の行動・状態等に関する情報に代表される、パーソナルデータについては利用価値が高いとされています。

　そのような動きの中で、企業が、保有する個人データから特定の個人の識別性を低減した情報（ビッグデータ）を利活用することが進んできております。
　反面、ビッグデータには個人情報保護法のようなルールが適用されないため、その利活用の方法について顧客やマスメディアに問題視されることがあります。

　平成25年6月、東日本旅客鉄道株式会社（以下「JR東日本」といいます）は、Suicaの購買履歴のデータから氏名、電話番号、物販情報等を除外し、生年月日を生年月に変換した上、さらに、SuicaID番号を不可逆の別異の番号に変換したデータを株式会社日立製作所に提供（提供は7月に実施）することが明らかになり、多くの利用者から、個人情報の保護、プライバシーの保護や消費者意識に対する配慮に欠けているのではないかとして批判や不安視する声があがりました（参照：JR東日本「Suica に関するデータの社外への提供について」（2015年11月26日））。

　その批判の主な原因は、Suicaの購買履歴のデータの販売について、JR東日本が利用者にほとんど事前説明をしていなかったことによるものです。利用規約にはSuicaの購買履歴データの販売、譲渡について記載はなく、規約の変更も行いませんでした。また、文書などによる利用者への告知もありませんでした。
　さらに、JR東日本が本人の申し立てで履歴の販売、譲渡を止められるオプトアウトの窓口を告知していなかった点も問題でした。JR東日本は個人情報保護の問い合わせ窓口で申請があれば、個別に対応していたと主張していましたが、オプトアウトが可能とは周知していませんでした。

パーソナルデータの利活用に関する政府による検討

　このような状況の中で、政府においては以下のとおり、パーソナルデータの利活用という形で検討が進められ、改正個人情報保護法の中で「匿名個人情報」に関するルールが新たに設けられました。

　個人情報保護法では、目的外利用や第三者提供にあたっての本人の同意（個人情報保護法16条1項、23条1項1号）は、パーソナルデータの「利活用の壁」とされています。
　「本人の同意」の趣旨は、個人の権利利益の侵害を未然防止することですが、「本人の同意」がなくてもデータの利活用を可能とする枠組みを設けました。「匿名加工情報」（個人情報保護法2条9項）においては、個人データ等から「個人の特定性を低減したデータ」への加工を、本人の同意の代わりとしております。
　ビッグデータに関する規律は、プライバシー法制の先進国であるEUなどにもないものであり、日本独特のローカルルールといえるでしょう。

定義

匿名加工情報とは（個人情報保護法2条9項、GL（匿名加工情報編）2-1）

　「匿名加工情報」とは、次に掲げる個人情報の区分に応じて当該各号に定められる措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元できないようにしたものです。

　個人識別符号の定義については、「改正個人情報保護法によって設けられた個人識別符号とは？」を参照ください。

（1）特定の個人を識別することができないように個人情報を加工

　「個人識別符号以外の個人情報」における「特定の個人を識別することができないように個人情報を加工」とは、特定の個人を識別することができなくなるように当該個人情報に含まれる氏名、生年月日その他の記述等を削除することを意味します。

　「個人識別符号が含まれる個人情報」における「特定の個人を識別することができないように個人情報を加工」とは、当該個人情報に含まれる個人識別符号の全部を特定の個人を識別することができなくなるように削除することを意味します。この措置を講じたうえで、まだなお個人識別符号以外の個人情報に該当する場合には、個人情報保護法2条1項1号に該当する個人情報としての加工を行う必要があります。

（2）削除すること、復元することのできる規則性を有しない方法

　「削除すること」には、「当該一部の記述等」または「当該個人識別符号」を「復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む」とされています。
　「復元することのできる規則性を有しない方法」とは置き換えた記述から、置き換える前の特定の個人を識別することとなる記述等または個人識別符号の内容を復元することができない方法です。

（3）特定の個人を識別

　「特定の個人を識別することができる」とは、情報単体または複数の情報を組み合わせて保存されているものから社会通念上そのように判断できるものをいい、一般人の判断力または理解力をもって生存する具体的な人物と情報の間に同一性を認めるに至ることができるかどうかによるものです。

　匿名加工情報に求められる「特定の個人を識別することができない」という要件は、あらゆる手法によって特定することができないよう技術的側面からすべての可能性を排除することまでを求めるものではなく、少なくとも、一般人および一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者または匿名加工情報取扱事業者が通常の方法により特定できないような状態にすることを求めるものです。

（4）当該個人情報を復元することができないようにしたもの

　「当該個人情報を復元することができないようにしたもの」とは、通常の手法では、匿名加工情報から匿名加工情報の作成の元となった個人情報に含まれていた特定の個人を識別することとなる記述等または個人識別符号の内容を特定すること等により、匿名加工情報を個人情報に戻すことができない状態にすることをいいます。

　この要件は、あらゆる手法によって復元することができないよう技術的側面からすべての可能性を排除することまでを求めるものではなく、少なくとも、一般人および一般的な事業者の能力、手法等を基準として当該情報を個人情報取扱事業者または匿名加工情報取扱事業者が通常の方法により復元できないような状態にすることを求めるものです。

（5）統計情報

　なお、「統計情報」は、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向または性質などを数量的に把握するものです。したがって、統計情報は、特定の個人との対応関係が排斥されている限りにおいては、個人情報保護法における「個人に関する情報」に該当するものではないため、改正前の個人情報保護法においても規制の対象となりません。

（6）匿名加工情報を作成するとき

　また、「安全管理措置の一環として氏名等の一部の個人情報を削除（又は他の記述等に置き換え）した上で引き続き個人情報として取り扱う場合」、「匿名加工情報を作成するために個人情報の作成作業が完了しておらず加工が不十分である可能性がある場合に引き続き個人情報として取り扱う場合」、「統計情報を作成するために個人情報を加工する場合」等については、匿名加工情報を「作成するとき」（改正個人情報保護法36条1項）には該当しませんので、匿名加工情報として扱う必要はありません（PC別紙2：886、GL（匿名加工情報編）3-2）。

（7）要配慮個人情報から作成した匿名加工情報

　なお、要配慮個人情報（個人情報保護法2条3項）（参照：「要配慮個人情報とは」）についても特定の個人を識別することができないようにした場合には「匿名加工情報」とすることができます。ただし、数百万人に一人の難病のような特異な情報に該当する場合については、匿名加工基準（参照：「匿名加工情報の作成者に適用される適正加工義務」）に従って排除することになると考えられます。要配慮個人情報から作成した匿名加工情報についても、改正個人情報保護法36条から39条の規定に基づき適切に取り扱われる必要があります。

匿名加工情報データベース等（個人情報保護法2条10項、個人情報保護法施行令6条）

　「匿名加工情報データベース等」とは、これに含まれる匿名加工情報を一定の規則に従って整理することにより特定の匿名加工情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいいます。
　「個人情報」における「個人情報データベース等」（個人情報保護法2条4項）とパラレルの概念です。

　「匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの」とは、特定の匿名加工情報をコンピュータを用いて検索することができるように体系的に構成した、匿名加工情報を含む情報の集合物をいいます。また、コンピュータを用いていない場合であっても、紙媒体の匿名加工情報を一定の規則に従って整理・分類し、特定の匿名加工情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものも該当します。

匿名加工情報取扱事業者（個人情報保護法2条10項）

　「匿名加工情報取扱事業者」とは、匿名加工情報データベース等を事業の用に供している者をいいます。
　「個人情報」における「個人情報取扱事業者」とパラレルの概念です。

　ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問いません。なお、法人格のない、権利能力のない社団（任意団体）または個人であっても匿名加工情報データベース等を事業の用に供している場合は匿名加工情報取扱事業者に該当します。