データの利活用はどんなビジネス課題に取り組む上でも不可欠です。しかし、機密データや個人情報の流出を恐れて十分に活用できていないという話をよく聞きます。
もちろん機密保持や個人情報保護は大前提ですが、データ利活用に慎重になりすぎるのはもったいないことです。
個人情報保護法の改正
個人情報に関しては、昨年(2022年)、改正個人情報保護法が施行されました。
個人情報保護法は3年ごとに見直されることとなっています。国際基準に合わせていく必要からも、毎回、より厳しい規定になっていくものと思われます。
ただ、規制一辺倒では個人データの有効活用を制限してしまいかねないので、実はデータの利活用を促す内容が法律に含まれています。
個人情報の取扱いについて正しく理解し、安心してデータ利活用を進めていくことが大切です。
そもそも個人情報とは?
個人情報保護法では、個人情報を、
『生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)、または個人識別符号が含まれるもの。』
と定義しています。
法律では生きている人のみが対象ですが、「プライバシーマーク」が要求する規格では亡くなった人も含めた方がよいとされています。とはいえ、徳川家康など歴史上の人物の個人情報まで配慮する必要はありません。
「個人識別符号」とは、パスポートや運転免許証の番号、指紋やDNAなど、それだけで個人を特定できる公的な番号や身体的特徴データのことです。
事業者が個人情報を取扱う場合、取得時の同意や利用目的の通知、目的内に限った利用、第三者への提供の制限、安全管理、開示・訂正・削除など本人の求めへの対応、などが必須となります。
また、マイナンバーを含む特定個人情報や、病歴、犯歴などを含む要配慮個人情報の取扱いには、さらに厳しい配慮が求められます。
匿名加工情報と仮名加工情報
どこまでが個人情報として保護しなければならないか?を考える際に難しいのは「他の情報と照合することで個人を特定できる情報」も個人情報に含まれるからだといえます。
たとえば、ある企業の「社名」「部署名」だけの情報でも、企業や部署の規模によっては「年齢(年代)」がわかっただけで個人が特定できてしまうこともあるでしょう。
何が個人情報なのかが曖昧だと、必要以上に警戒してしまい、データの利活用を阻害してしまうおそれがあります。
そこで、個人情報保護法では、個人に関する情報(パーソナルデータ)の中で、個人情報より規制の緩い、
- 匿名加工情報
- 仮名加工情報
- 個人関連情報
の3つを定義してします。
匿名加工情報とは?
「匿名加工情報」は、特定の個人を特定できないように個人情報を加工し、復元できないようにした情報のことです。
元の個人情報に復元できなければ、一般的な統計データとほぼ同じ扱いで構わないということで、本人の同意がなくても第三者提供が可能です。もともと事業者間のデータ取引を想定しているのでしょう。
ただし、一見すると個人を特定できないように加工したと思えても、完全に復元できないようにするのは実際にはなかなか困難です。たとえば、氏名や住所など気になる箇所をマスキングするだけだと、もしかすると他の情報と突合すれば氏名や住所が判明してしまう、すなわち、個人情報を復元できてしまう恐れがあります。
どこまで加工すれば完全なのかの判断が難しいため、匿名加工情報は事業者にとって加工のハードルが高く、あまり使い勝手がよくないと考えられます。
仮名加工情報とは?
そこで登場したのが「仮名加工情報」で、他の情報と照合しない限り、特定の個人を特定できないように個人情報を加工したものです。復元可能な匿名加工情報といったところでしょうか。
とはいえ、他の情報と照合して個人を特定できてしまえば、それは個人情報そのものになってしまいますので、完全とはいかずとも容易に復元できない加工を施す必要があります。
少なくとも、運転免許証番号などの個人識別符号、あるいは金銭的被害につながる恐れのあるクレジットカード番号などは削除しておくのがよいでしょう。
仮名加工情報は基本的に組織内でのデータ分析を想定しているものと思われ、第三者への提供は原則禁止されています。ただし、利用目的の変更は可能で、その範囲内で業務委託する分には構いません。復元できる他の情報がなければ委託先にとっては匿名加工情報と同じということでしょう。
個人関連情報とは?
個人に関する情報で「個人情報」「匿名加工情報」「仮名加工情報」いずれにも該当しないものが「個人関連情報」です。
個人関連情報の代表的なものはCookieですが、第三者が発行する3rd Party Cookieの場合、Cookieデータを第三者に提供すると本人を特定し個人情報と紐づけて利用される可能性があります。そのため、個人関連情報の第三者提供は規制されています。
情報通信技術の発達などにより、個人関連情報の種類は今後新たに増えてくるかもしれませんが、個人を特定できず自社で利用する分には特に問題ないでしょう。
個人情報保護とデータ利活用の両立
個人情報の保護とデータ利活用を両立させるためには、データの前処理やクレンジングが重要です。個人情報を匿名化したり、個人情報を特定できないように加工したりすることで、個人情報保護に配慮しながらデータ分析を行うことができます。
個人情報を含むデータも、適切に加工すれば利活用の幅が大きく広がります。適切な統計解析手法とツールを活用して分析することで、ビジネス上の問題解決や意思決定に役立つ洞察を得ることができます。
もし加工方法に不安があるようでしたら、専門家のアドバイスを受けて分析を委託するのもよいでしょう。
お気軽にご相談ください044-271-6043営業時間 9:00 - 18:00 [ 土日祝定休 ]
ご相談・お問い合わせ【次はこちらもおすすめ】