コンサルタントブログ

COLUMN

ホーム

「個人情報の保護に関する法律施行規則」が正式に公示されました

2016年8月2日に「個人情報の保護に関する法律施行規則(案)」が発表され、8月31日までの意見募集期間を経て、本日(2016年10月5日)、「個人情報の保護に関する法律施行規則」として正式に公示されました。
http://www.ppc.go.jp/files/pdf/1005_kisoku.pdf
 
多くの方が注目していたのが「個人識別符号」と「匿名加工情報」に関してでしょう。この2点について、委員会規則に基づいて確認したいと思います。
 

個人識別符号に顧客番号等は含まれるのか

行政機関が発行するID等のみが該当するため、民間が発行するID等は対象にならないことが判明しました。ここは最大の注目点の1つだっただけに、ひと安心している事業者も多いかと思います。
ただし、容易照合性を有していれば、個人情報に該当しますので、「顧客番号は個人情報ではない」と安易に捉えることはできません。
 

匿名加工情報はk-匿名化まで求めるのか

該当するのが委員会規則第19条です。以下に条文を引用します。
 
◆個人情報の保護に関する法律施行規則案
第19条(匿名加工情報の作成の方法に関する基準)
法第36条第1項の個人情報保護委員会規則で定める基準は、次のとおりとする。
(1)個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(2)個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(3)個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。
(4)特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(5)前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。
 
(5)「当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し」の部分から、k-匿名化はやはり意識されています。
(∵「差異が大きい」=kの値が小さいまたはk=1となる)
ただし、「勘案し、(中略)適切な措置を講ずること」なので、k-匿名化を義務付けているわけではありません。
ちなみに、Suica事例でJR東日本が日立製作所に提供した情報はどうなのでしょう。当てはめをおこなってみると、(3)でアウトになりそうですね。「連結する符号」、当該事例においてはSuicaIDを置換して作成した仮IDが含まれている、と考えます。
 
保護法施行の準備に向けて、あとはガイドラインの公示を待つばかりとなります。
「個人情報の保護に関する法律についてのガイドライン(案)」が10月4日付で発表されました。パブコメ期間を経て、おそらく公示は11月末が12月頭ではないでしょうか。
 

<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ

一覧へ