2015年4月現在で個人情報保護法の改正案が国会審議されています。改正案で匿名加工情報が新たに導入されました（新３６条）。匿名加工情報はデータ主体の個人の同意がなくても第三者に移転できます。 しかし、第三者は本人を識別する以下の行為が禁止されています。（１）データ作成者が削除した情報や加工方法の取得。（２）他の情報と突き合わせての照合。 ただし、新３６条１項によると、匿名加工情報の内容的な定義は個人情報保護委員会が定めることになっています。個人情報保護委員会の設置も改正案によるので、全部先送りじゃん？！ でも、決まっていないということは、議論するチャンスがあるということだよね。 そんなわけで匿名加工情報に係わる可能性の高い仮名化について考えてみました。 仮名化の定義、多重仮名化、仮名の更新頻度、更新頻度の大小によるデータ利用価値のケーススタディなどをまとめています。

1. 仮名化の功罪
中川裕志
東京大学

2. 匿名化加工情報
個人情報保護法改正案 １
• 2015年4月現在で個人情報保護法の改正案
が国会審議されています。
• 改正案で匿名加工情報が新たに導入されま
した（新３６条）。
– 匿名加工情報はデータ主体の個人の同意がなく
ても第三者に移転できます。
– しかし、第三者は本人を識別する以下の行為が
禁止されています。
• データ作成者が削除した情報や加工方法の取得
• 他の情報と突き合わせての照合

3. 匿名化加工情報
個人情報保護法改正案 ２
• ただし、新３６条１項によると、匿名加工情報
の内容的な定義は個人情報保護委員会が定
めることになっています。
– 個人情報保護委員会の設置も改正案による
• 全部先送りじゃん？！
• でも、決まっていないということは、議論するチャンス
があるということだよね。
• そんなわけで匿名加工情報に係わる可能性
の高い仮名化について考えてみました。

4. 仮名化の定義 １
– 基礎的なことなのでご存知の方はとばしてくださ
い。
• この図のデータレコードの個人IDあるいは疑似IDの
一部ないし全部を削除した個人のレコードについて
考えてみよう。
• ユニークな個人ＩＤがないので、レコードはデータ
ベース中での番号を付けておかないと、処理が不便
です。
個人ID 疑似ID 機微情報 そ の 他 の 情
報
氏名 マイナ
ンバー
性別 住所 生年月日 宗教 前科前歴 病名 商品 見 た
映画

5. 仮名化の定義 ２
• 個人IDの変わりにランダムな英数字文字列などを割り
振るります。この番号あるいは英数字文字列などを「仮
名」と呼びます。
• また、データベース中の全レコードの個人IDを仮名で置
き換える作業を「仮名化」と呼びます
• 仮名化を行った場合、次のスライドのようにデータベー
スを (a)個人IDと仮名の対応表、(b)仮名と個人ID以外の
レコードの二つに分割します。
– (a)はデータ収集した事業者は保存しておく必要がありますね。
後で当局から提出を求められるかもしれないし。
– しかし、第三者移転するのは(b)だけです。

6. 仮名化の定義 ３
(a)個人IDと仮名の対応表 （ｂ）仮名・個人ID以外のデータベース
個人ID 仮名 仮名 疑似ID 機微情報 その他の情報
太郎 A123 A123 HIV 自営業
⁞ ⁞ ⁞ ⁞ ⁞ ⁞
花子 X789 X789 flu 農業
• (a)の対応表と(b)のデータベースを分離して管理し、各々
へのアクセス権限を持つ管理者も別人にしておくという程
度の管理体制は必須です。
• つまり、組織内であっても、別の組織とみなせる別の部
門で管理ことなどが要請されます。
• この管理が不十分だと、誤った漏洩、あるいは不正な横
流しが起きる可能性があります。

7. 多重仮名化
• 多重仮名化は下の図のような概念です。
• 図はある書店に来店したときの購買履歴
• 太郎が複数の仮名を持つ多重仮名化ができます
• 右側の(b)仮名・個人ID以外のデータベースには、仮名がA123の人は10月9日に
ポルノ雑誌を購入したという情報しかなく、
• B234,N645はA123と同一人物だと分からないため、
•  (b)のデータベースからはA123が太郎に対応することを知ることが困難になり
ます。
– １データレコード毎に仮名が変わるとむしろ無名化かな。
(a)個人IDと仮名の対応表 (b)仮名・個人ID以外のデータベース
個人ID 仮名 仮名 機微情報 来店日
太郎 A123 A123 ポルノ雑誌 10月9日
B243 B243 アイドル誌 1月6日
N645 N645 週刊誌XX 3月10日

8. 仮名更新頻度が高い、あるいは１
データ毎に別の仮名だとかなり安全
• 下の図の左側のようにデータベースで各個人の仮名がランダムに配置さ
れていたとしましょう
• 移転先で右側のように特定個人の仮名が名寄せされていることが分かる
と、移転先で非合法な照合をしたことが容易にわかります。
– 部分的でもこういう名寄せが見つかれば証拠になります。
• 個人情報保護委員会として調査しやすい
太郎 A123 A123 データ１
B234 B234 データ２
C345 C345 データ３
次郎 D123 D123 データ４
E234 E234 データ５
F345 F345 データ６
太郎 A123 A123 データ１
B234 B234 データ２
E234 E234 データ５
次郎 D123 D123 データ４
C345 C345 データ３
F345 F345 データ６

9. 時間毎に仮名更新
• 時間経過に沿ってデータ収集するなら、仮名の変更
頻度を高くすれば安全性が増します。
• 仮名の変更頻度が低い、あるいは固定した仮名を使
い続けるという状態で(b)のデータベースを作った場合、
個人特定の危険性は高くなる。
• 前々スライドの図の例なら、
– 3回にわたって各時期の購入書籍が分かり、
– 1月にアイドル誌、
– 3月に週刊誌XXを持ち歩いていることが知れれば、
–  10月の購入書籍も推定されかねない。
• ちなみにSuicaの事案では1ヶ月同じ仮名を使うとして
いたため、危険性が高いと危惧された。

10. 医療では継続性の価値が高い
• 頻繁な仮名変更は匿名化の強化に役立ちます
• が、データ主体である個人の継続的な個人デー
タが重要である場合には、データの価値を損な
います。
– 例えば、医療データにおいては、特定の個人の医療
データあるいは健康データを継続的に収集し、分析
することによって病気を特定したり、処方薬を選定し
たりすることが効果的あるいは必要です。
– したがって、頻繁な仮名の付け替えはデータの価値
を損なうことになる。

11. 仮名更新頻度とデータ利用可値の関係
• 仮名の更新頻度とデータ利用可値は下の図のよう
な関係があります。
• ただし、応用分野によって更新頻度が高くてもそこ
そこの価値がある場合もあります。
• 次のスライドに簡単に思いつくケーススタディをまと
めてみました。
利用価値
更新頻度
更新なし 低い 高い １データ毎更新
大雑把ですが、各色の例は
交通
購買
医療

12. 情報カテゴリー 仮名の更新頻度 利用価値
医療情報 更新なし 患者個人の長期病歴や生活習慣とかかる病気の
関係を分析できる
更新あり 個人の追跡調査できず。ただし、短期間の流行把
握は可能
運転履歴
更新なし 個人ID収集も同意あり個人の車の状態を把握し
て修理アドバイスや運転癖の指摘できる
個人ID収集も同意なし車と運転癖との関連の
データ分析
低頻度 交通流の長期的傾向把握（都市設計などに使え
る）
1ヶ月単位くらいだと、曜日毎の交通流把握が可能
で、交通規制などに役立つかもしれない
高頻度 短い時間の間の交通流の把握のみ
購買履歴
更新なし 個人ID収集も同意あり行動ターゲッティング広告
個人ID収集も同意なし不明
低頻度 個人の長期間にわたる購買傾向。例えば春にXを
買った人は夏にYを買う傾向があるというようなデー
タマイニング
高頻度 個人の短期的な購買傾向把握
1データ毎に更新 特定の品物の売れ行き調査

13. 仮名化でできることは？
• 前のスライドの例にあるように、仮名化データでできる
ことはおおよそ統計処理
• 当然、個人のプロファイリングにも使えない
– プロファイルの類型をデータマイニングして統計データと
みなし、別のところから得た個人情報と照合してターゲッ
ト広告は可能か？
• 一度、統計情報化はされているわけだが
– 個人情報保護委員会が決めるのかな
– プロファイリングそのものをしたいときには、やっぱり同意
を得て、個人情報そのものを使うしか。
– 仮名化されたデータのトレーサビリティはかなり難しい。ト
レーサビリティは名簿屋対策だが、名簿屋以外への負担
が大きい。その負担を立法者は意識していただろうか。。。

14. ＥＵのデータ保護規則修正案
• 現在、審議中のＥＵのデータ保護規則の議会
修正案では、仮名データが追加され
– 追加情報の利用が伴わなければ特定のデータ主
体に帰属させることができない個人データ
– 追加情報は別管理され、不帰属を確実にするた
めの技術的及び組織的措置が講じられる場合に
限る
– （石井先生の「個人情報保護の現在と未来」より）