マーケティングやデータ分析に携わる企業担当者において個人情報を取り扱うことは必ずと言っていいほど発生します。近年、EUの一般データ保護規則(GDPR)の潮流を受けて、国内でも個人情報保護への意識は年々高まっています。この記事では、「個人情報の保護に関する法律」の内容をもとにに2022年4月現在の情報に基づいて特に上記の業務に携わる方向けにポイントを掻い摘んで整理しています。(※筆者はあくまで法律のプロではないので、参考までにお読みください。実務で活かしていただく際には、ぜひ勤務先の法務担当者や弁護士ともご確認をお願いいたします。)
個人情報の定義
まず個人情報の定義について、「個人情報の保護に関する法律」では次のように定義されています。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各
個人情報の保護に関する法律 第二条
号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録
(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができ
ない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記
載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項
(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができ
るもの(他の情報と容易に照合することができ、それにより特定の個人を識別すること
ができることとなるものを含む。)
二 個人識別符号が含まれるもの
以下ポイントです。
- 生存している個人の情報であること
- 個人が特定できる情報は個人情報である
- (特定ができなくても)個人と識別できて容易に照合できる情報は個人情報である
具体例と交えてまとめる下表になります。
| 項目 | 例 | 個人が特定できる | 識別できて、容易に照合できる | 個人情報に該当 |
| 氏名 | 田中太郎 | ○ | – | ○ |
| 購入者ID | a7htiepq | ✖️ | ○ | ○ |
| 住所 | 東京都A市・・・ | ✖️ | ○ | ○ |
| メールアドレス | taro.t@abc.co.jp | ✖️ | ○ | ○ |
| 年齢 | 25歳 | ✖️ | ✖️ | ✖️ |
| 性別 | 男性 | ✖️ | ✖️ | ✖️ |
| 購入経験 | あり | ✖️ | ✖️ | ✖️ |
識別できるか否かについて補足ですが、例えば、年齢が25歳という情報と年齢と氏名がセットになったデータを手に入れても個人を特定することはできません(25歳の人物は他にもいる可能性があるからです)。しかし、住所やメールアドレス、購入者IDなどの場合、氏名がセットとなったデータを取得すれば、照合して、「東京都A市・・・」の住所なのはAさんだと特定することができてしまいます。このようなものは識別できると定義されます。
匿名加工情報とは
また、企業のビジネスの発展を妨げない観点から「匿名加工情報」や「仮名加工情報」といった概念が改正により追加されています。まずは「匿名加工情報」について見ていきます。
匿名加工情報とは
この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当
個人情報の保護に関する法律 第二条 第六項
該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加
工して得られる個人に関する情報であって、当該個人情報を復元することができないよ
うにしたものをいう。
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除す
ること(当該一部の記述等を復元することのできる規則性を有しない方法により他の
記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を
削除すること(当該個人識別符号を復元することのできる規則性を有しない方法によ
り他の記述等に置き換えることを含む。)。
要は、個人情報を個人が識別できず、復元できないように加工した状態することで個人情報保護の適用の対象外とし、第三者への分析の委託などをできる状態にしたものを言います。例えば、「氏名と年齢と性別」がセットだったデータから「氏名」を削除して「年齢と性別」だけの個人を特定も識別もできない状態のデータにしたものを言います。
仮名加工情報とは
仮名加工情報とは以下で定義されています。
この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当
個人情報の保護に関する法律 第二条 第五項
該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することがで
きないように個人情報を加工して得られる個人に関する情報をいう。
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除す
ること(当該一部の記述等を復元することのできる規則性を有しない方法により他の
記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を
削除すること(当該個人識別符号を復元することのできる規則性を有しない方法によ
り他の記述等に置き換えることを含む。)。
要は、個人情報と匿名加工情報の間のような情報として、識別情報を含み、復元して照合すれば個人情報となり得る情報のことを言います。仮名加工情報のメリットは、例えば、過去に取得していた個人情報について、取得時には同意を得ていなかった目的で分析を行う際に、本来であれば、改めて顧客に追加する利用目的について同意を得なければならないところを内部での分析に限っては同意なしに行うことができるようになるといったことがあります。
「仮名加工情報」、「匿名加工情報」と「個人情報」を含めた3つの違いを比較すると下表になります。
| 個人情報 | 仮名加工情報(個人情報) | 匿名加工情報(個人情報でない) | |
| 定義 | 個人を特定できる情報が含まれたデータ | 容易に照合ができ、付き合わせれば個人が特定できるデータ | 個人を特定したり、照合することで特定できる情報を持たないデータ |
| データセットの例 | 氏名/購入者ID/ 年齢 | 購入者ID/年齢 | 年齢 |
| 利用用途の例 | 顧客情報の管理 | 内部の分析 | 外部との連携 |
| 単独データからの個人の特定 | ○ | ✖️ | ✖️ |
| 照合による個人の特定 | – | ○ | ✖️ |
| 個人情報への復元 | – | ○ | ✖️ |
| 第三者提供(※顧客から提供の許諾を得ていない場合) | ✖️ | ✖️ | ○ |
ぜひこれら3つの違いを理解し、マーケティングやデータ分析の業務で適切に個人情報を扱いながら実務に活かして行っていただければと思います。
