個人情報の利活用のための思考手順(2022年改正個人情報保護法対応)

個人情報
この記事は約10分で読めます。

AIでの機械学習や広告配信などの分野において、個人情報の活用場面は増しています。他方で、個人情報保護法が数年おきに改正されるなど、規制枠組みもどんどん変わっていきます。本稿では、個人情報を適法に利活用するための思考手順の一例を示します。

「個人情報」「個人データ」に当たるかの検討

⑴ 「個人情報」該当性

当然ですが、個人情報保護法でいう「個人情報」に当たらない限りは、個人情報保護法による規制は受けません。よって、利活用にあたっては、活用したい情報がそもそも「個人情報」に当たるかを検討する必要があります。

そこで、まず「個人情報」の定義を確認しましょう。

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの

ここでのポイントは、赤字の部分です。それぞれ、「個人識別性」「容易照合性」と呼ばれます。

例えば、ある人の「氏名」は、それ単体で特定の個人を識別できますので、それ単体で個人情報となります。他方、ある人の「年齢」は、年齢だけでは個人識別は到底できませんので、「年齢」単体では個人情報になりません。しかし、「年齢」の情報も、その人の「氏名」の情報も持っていて、それらが容易に照合できる(例:一つのエクセルに氏名と年齢がまとめて記入されている)場合には、「年齢」も個人情報になります。

⑵ 個人データ該当性

「個人情報」に当たる場合であっても、次に「個人データ」に当たるかを検討する必要があります。なぜなら、個人情報保護法の規制対象は、厳密には「個人情報」ではなく「個人データ」である場面も多いからです。例えば、利活用の場面でよく問題になる「第三者提供の制限」は、「個人データ」に関する規制であって「個人情報」に対する規制ではありません(法27条1項)。よって、「個人データ」に当たらない「個人情報」については、第三者提供という方法で利活用する場面が広がることになります(当然ながら、プライバシー侵害とならないか等の観点からの検討も別途必要です)。

「個人データ」は、個人情報保護法では以下の通り定義されています。

(定義)
第十六条 この章及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

3 この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

ここでのポイントは赤字の部分で、簡単に言えば、検索可能性と体系的構成が個人データとなる要件です。

例えば、顧客リスト等として、エクセルファイルに、氏名、住所等の情報をまとめているような場合は、検索可能性と体系的構成を備えるため、当該エクセルファイル内の個々の個人情報は、「個人データ」に当たります。

この「個人情報」「個人データ」該当性については、過去にさらに詳しく記事を書いていますので、こちらをご参照ください。

統計情報としての利活用

「個人情報」「個人データ」に該当する場合、個人情報保護法により、目的外利用の禁止や第三者提供の制限等、様々な規制を受けます。しかしながら、「統計情報」に関しては、規制を受けずに利用できます。「統計情報」とは、以下のようなものを指します。

「統計情報」は、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に把握するものである。したがって、統計情報は、特定の個人との対応関係が排斥されている限りにおいては、法における「個人に関する情報」に該当するものではないため、規制の対象外となる。

参照元:個人情報の保護に関する法律についてのガイドライン (仮名加工情報・匿名加工情報編)

https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000223342

ただし、個人情報を分析してこのような統計情報を生成することもまた、個人情報の利用の一態様ですから、利用目的に、このような統計情報を生成することについて記載しておくのが無難でしょう。

仮名加工情報か匿名加工情報としての利活用

⑴ 仮名加工情報

仮名加工情報は、2022年4月1日施行の改正個人情報保護法で、新たに導入された概念です。まずは法律上の定義を見てみましょう。

5 この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

ここでのポイントは、他の情報と照合しない限り特定の個人を識別することができないように加工して得られる情報が仮名加工情報であり、加工方法は、復元することができる方法でよいという点です。この復元可能性が許容されているという点は、後述の匿名加工情報との相違点であり、その分、匿名加工情報よりも活用の幅は狭いものになっています。

仮名加工情報化することによって、以下のような活用ができるようになります。

  • 利用目的の範囲内での活用に限られる。ただし、利用目的の変更の制限(通常の個人情報の場合、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲で変更できるにすぎません)が外れる。
  • 漏えい等をしても、報告及び本人通知が不要になる(2022年改正個人情報保護法では、一定の個人データ漏えい等について報告義務及び本人への通知義務が課されます)。
  • 個人データに関する事項の公表等及び保有個人データの開示・訂正等・利用停止等への対応等が不要となる(通常の個人データの場合、開示請求等への対応が必要になります)。
  • 第三者提供は原則禁止。

注意点としては、第三者提供が制限(禁止)される点は通常の個人データと変わらないという点です。よって、仮名加工情報は、あくまで「自社内での利活用」を容易にするための手段ということになります。仮名加工情報化することにより、次のような活用例が考えられます。

  • 自社内でのAIを用いた機械学習において、学習用データとして活用
  • 限定された利用目的で取得している個人データについて、自社内での新商品開発やマーケティングのための分析に活用

⑵ 匿名加工情報

匿名加工情報は、2017年施行の改正個人情報保護法で導入された概念です。まずは法律上の定義を見てみましょう。

6 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

ポイントは、仮名加工情報と異なり、復元不可とすることが要件となっている点です。これにより、仮名加工情報よりも幅広い活用の余地が生まれます。

匿名加工情報化することによって、以下のような活用ができることになります。

  • 当初の個人情報取得時の利用目的に限定されない利用が可能(ただし、匿名加工情報作成時に当該情報に含まれる情報の項目を公表する必要があります)。
  • 第三者提供の制限が課されない(ただし、匿名加工情報を第三者提供するときは、提供する情報の項目及び提供方法について公表するとともに、提供先に当該情報が匿名加工情報である旨を明示する必要があります)。

匿名加工情報化して活用するケースの例は、次のようなものが考えられます。

  • ポイントカードの購買履歴や交通系ICカードの乗降履歴等を複数の事業者間で分野横断的に利活用することにより、新たなサービスやイノベーションを生み出す。
  • 医療機関が保有する医療情報を活用した創薬・臨床分野の発展や、カーナビ等から収集される走行位置履歴等のプローブ情報を活用したより精緻な渋滞予測や天候情報の提供等により、国民生活全体の質の向上に寄与する。

適用除外に当たるか

以上見てきたとおり、個人データの場合は、第三者提供に制限が課されます。具体的には、原則として本人の同意を得る必要があります。さらに、仮名加工情報については、法令に基づく場合を除き、第三者提供が禁止されています。

これは、逆に言えば、例外的に第三者提供ができる場合があることを意味します。そこで、その例外を確認しましょう。

一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。
七 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。

このように、個人データや仮名加工情報であっても、一定範囲では第三者提供することが可能ですから、匿名化加工化を検討する前に、まずは、第三者提供が例外的に可能な場合に当たるかを検討すべきでしょう。

特に、2022年改正個人情報保護法において、イノベーション促進の観点から、学術研究のための利活用が一定範囲で可能となっていますので(上記五〜七)、これが活用できる場面はあるかもしれません。

本人からの同意取得

以上に述べた統計情報、仮名加工情報、匿名加工情報については、既に特定の利用目的のために取得している個人データを利活用するための手段でした。しかし、場合によっては、特定の利用目的のためにこれから個人情報を取得し、第三者に提供して利活用するという場面もあり得るでしょう。そういった場合には、取得時点で本人からの同意取得ができると考えられますから、第三者提供の同意をその段階で得るといった対応が可能です。

たまに、取得済みの個人情報かこれから取得する個人情報かを意識しないで、利活用を検討している方がいますが、このように、利活用の対象になる個人情報の取得のタイミングによっては、本人の同意を得るという形で対応できる場合もあるのです。

本記事に関する留意事項
本記事は掲載日現在の法令、判例、実務等を前提に、一般的な情報を掲載するのみであり、その性質上、個別の事案に対応するものではありません。個別の事案に適用するためには、本記事の記載のみに依拠して意思決定されることなく、具体的事案をもとに適切な専門家にご相談ください。
資料請求、講演依頼、法律相談希望、見積依頼その他のお問い合わせはこちら
お問い合わせ
タイトルとURLをコピーしました