匿名化・暗号化における法律について弁護士が解説【匿名加工情報】

匿名化の法律

匿名化について、全般的なルールを定めた法律はありません。

しかし、匿名化という概念は、法律面でも、以下のようガイドラインに記載されています。

• がん登録等の推進に関する法律
• 医療情報関係のいわゆる「3省3ガイドライン(旧3省4ガイドライン)」
  厚生労働省が定めた「医療情報システムの安全管理に関するガイドライン」、総務省が定めた「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」（「ASP・SaaSにおける情報セキュリティ対策ガイドライン」および「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」を統合したもの）
• 経済産業省が定めた「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」

また、２０１７年の改正個人情報保護法では、匿名加工情報という新たな仕組みが導入され、「匿名加工」したと言えるにはどの程度の加工が必要なのか、「匿名加工」したと認められたらどのような効果が得られるのか、ルールとして明確化されました。

以下では、この「匿名加工」について解説します。

匿名加工情報とは

「匿名加工情報」とは、特定の個人を特定することができないように、個人情報を加工して得られる個人に関する情報をいいます。

どのような加工が必要なのかは、個人情報の類型ごとに異なりますが、共通して必要なのは、匿名加工情報から、元の個人情報を復元できてはならないよう加工しなければならないということです。

匿名加工の方法

匿名加工の具体的な方法については、法律レベルでは、詳細までは定められていません。技術的な詳細を法令で定めること自体無理があるためです。

現在、匿名加工の具体的な方法について、政府が出している資料で参考になるといわれているのが「個人情報保護委員会事務局レポート:匿名加工情報パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」です。

このレポートは、匿名加工のあり方を検討するに際して事業者に求められる基本的な考え方を解説した上で、複数のユースケースを踏まえた具体的な検討事例を紹介しています。実務においては、これらの情報をベースに、業界固有の事情を踏まえた検討をすることが必要になります。

医療データの匿名化

医療の分野では「匿名化」という概念が、先行して用いられてきました。

医療データに関しては、改正個人情報保護法の施行の直前であった2017年5月に、匿名化をコアとする新たな立法がなされています。

これが「医療分野の研究開発に資するための匿名加工医療情報に関する法律」(通称:次世代医療基盤法)です。

この法律では、匿名加工医療惰報を作成する事業者について認定制度が導入されることになっており、匿名化についてより踏み込んだ議論が示されることが期待されています。

これらの議論が、個人情報保護法における議論にフィードバックされる事態も考えられるため、医療データとは無縁の業界のビジネスマンも、要注目です。

暗号化と法律について

暗号化と法律は、一見、関係がないように見えますが、さまざまな分野で暗号技術の存在を前提として、法制度が設けられるようになっています。

暗号技術が破られて取引の安全に問題が生じた場合、当該暗号技術の開発者・開発コミュニティの法的資任を問うことができるか、将来問題となる可能性があります。

また、最近、電子署名のみで契約を完結する場面が、日本国内のビジネスでも見られるようになってきました。

この電子署名の仕組みを技術的に支えているのが、暗号化です。この暗号化に問題があって、なりすましが発生した場合 も、誰がリスクを背負うのかという問題が生じます。

また、セキュリティとの関係も挙げられます。とりわけサイバーセキュリティの分野では、法令上の義務を果たすために、暗号化を含むセキュリティの技術的措置の実施が、求められるようになってきています。

このように暗号技術の進展に伴い、事業者が暗号化について注意を払わなければならず、暗号化していないことが法的資任に影響する場面が増加することが予想されます。

暗号技術の法律は、今後もチェックが必要な分野になるでしょう。