社会のデジタル化がますます進む中、政府もこれに歩調を合わせるべく、IT大手企業への規制を強化する法案を成立させるなど、対策を進めています。その一環として2020年6月5日には、参議院で改正個人情報保護法が成立しました。以前「2020改正個人情報保護法成立!企業責任が重くなったポイントとは?」を通じ、個人情報保護法の改正につれ企業に伴う責任についてお伝えしました。しかし、消費者の権利に関する部分や、ペナルティの重さだけが改正されたわけではありません。新たに「仮名加工情報」という単語が登場した事も、必ずチェックしておく必要があります。今回の改正はEU(欧州連合)のGDPR(EU一般データ保護規則)を多数参考にされたと思われます。「仮名加工情報」もまたGDPRで初めて提示されたものです。そこで、「仮名化工情報」が既存の「匿名加工情報」とどう違うのか、そして今後個人情報の保護に関して現れるであろう動きについて説明します。
いろんな部分で限界を持つ「匿名加工情報」
個人情報保護法は「匿名加工情報」を「特定の個人を識別することができないよう、個人情報を加工して得られる個人に関する情報であり、その個人情報を復元できないようにしたもの」と定義しており、その加工方法を「個人情報に含まれる記述などの一部を削除すること」と「個人情報に含まれる個人識別符号(指紋、マイナンバーなど)の全部を削除すること」だと定義しています。つまり、匿名加工された情報とは、次のようなものになります。
ご覧の様に、氏名は削除され、生年月日は年齢と出生月のみを把握できるようになりました。また、年収や住所も特定されにくくなっています。しかし、どこまで加工すればいいのかはそのケースごとに違い、その処理の程度を決めるのは相当な難易度を持ちます。さらに、加工された情報は明確性に欠ける部分があり、ビッグデータとして利用するにも限界を持ちます。このような問題を解決するため新たに提示されたのが、仮名加工情報です。
企業がよりデータを利用しやすいようにする「仮名加工情報」
個人情報保護法は「仮名加工情報」を「一定の措置を講じて他の情報と照合しない限り、特定の個人を識別することができないよう個人情報を加工して得られる個人に関する情報」と定義しています。また、仮名加工のプロセスを「個人情報に含まれる記述等の一部を削除するか、復元することのできる規則性を有しない方法によって置き換えること」、または「個人識別符号の全部を削除するか、復元することのできる規則性を有しない方法によって置き換えること」と定義しています。
個人情報に手を加える、という点では匿名加工情報と同じ部分がありますが、二つの明確な違いがあります。一つ目は、「一定の措置を講じて他の情報と照合しない限り」という点です。例えば、上の匿名加工情報の場合、全ての項目が加工されています。しかし、仮名加工情報の場合は氏名だけを削除する、という事です。
二つ目は、「復元することのできる規則性を有しない方法によって置き換えること」という点です。個人情報を暗号化や乱数化などの手段を通じ置き換え、権限を持つ者だけがこれを復元し利用できるようにする、という事になります。
つまり、匿名加工情報より作成のハードルを下げることによって、より有効にデータを活用できるようにしたものが仮名加工情報なのです。例えば、データを集め、ビッグデータとしてその傾向性を確かめる場合を想定してみましょう。その場合、氏名などが削除されていたとしても、仮名加工情報がより細部の情報を含んでいるので、活用性が増します。他にも、テレワークのためデータの搬出が必要な場合も、仮名加工情報を持ち出すことにより、個人情報をより保護するとともに手数を減らすことができます。また、仮名加工情報は匿名加工情報より法規制が厳しい部分がありますが、それでも生の個人情報とは違って漏えい報告義務や開示請求対応等が不要という特徴を持ちますので、企業でのデータ活用がより容易になるでしょう。
暗号化が必須であろう未来
最初にお伝えした通り、上の様な分類は相当な部分をGDPRに準じていると言えます。2016年に採択され、2018年に適用されて以来GDPRはEUだけではなく世界全般に影響をもたらしています。実際、日本も相互に個人データを移転する枠組みを構築するため、EUとの協議を経ています。
今回の改正個人情報保護法の全ての部分がGDPRと同じわけではありません。しかし、個人情報を保護するための規則の中で最前線を走っているのがGDPRであり、また前述の様に改正個人情報保護法もまた多くの部分がGDPRを参考にしていると思われます。個人情報保護法は3年ごとに改正されるよう定められているので、今までの経路を鑑みた場合、3年後に再び行われるであろう法改正はさらにGDPRに沿った方向に進むだろうと言えるでしょう。
そこで注目すべき部分は、「暗号化」です。GDPRは暗号化を仮名化の一例と捉える(備考 (Recital) 29)とともに、データ保護の原則に適した手段と定義しています。実際、暗号化はデータを一切関係ない数字列に書き換え、該当する鍵なしではそれを解読させないという、仮名化と同じようなプロセスで行われます。また、直接データを仮名化させるより、容易で安全な対案にもなりえます。なので、企業が独自にデータを法に沿った形で仮名加工できるのかという課題を解決するための、有効な対策になるでしょう。
仮名化という部分に限らず、データ自体を保護するというセキュリティ面でも暗号化は有効です。例えば、データベースがハッキングなどの被害を被りデータが流出したとしても、暗号化されているデータは容易に解読されず、個人情報自体に対する被害を抑えることができます。また、暗号鍵の権限を段階別に区別することにより、企業内でのデータ分類や序列化を実現できます。よって、セキュリティという観点でも、データ運用という面でも、暗号化はさらに注目されると思われます。
最後に
いかがだったでしょうか。情報化が進むにつれ、情報をより有効に活用とする企業も増え、情報の価値は今後も増すでしょう。一方、個人情報を守ろうという動きも加速しており、規制に従わなかった企業に対するペナルティもまた、強化されるに違いありません。そして、その二つの流れ全てに対応できる暗号化が、そう遠くない未来には必須になるのかもしれません。