個人情報の匿名化方法(手法)について
-匿名化の限界-

安全な個人情報の匿名化

個人情報の保護と利用に関しては、個人情報保護法に規定されており、詳細は、各省庁が作成するガイドラインや参考図書に記載されている。個人情報は、分野によりその利用形態が異なるため、個人情報をどの程度加工しておけば安心して利用できるのかは、各分野により異なる。そのため、各管轄省庁や業界団体でそれぞれガイドラインが策定されている状況である。

事業者が個人情報保護に対応を始めるにあたって、始めはガイドラインなどに従って規定などを作り、事業所内体制などを決めていくが、実務レベルまで至ると、どの程度厳しく管理したらいいのかという疑問にあたる。これは即ち、匿名化をどの程度完全に行うかということである。以前、個人名をカタカナ化し、単純匿名化による簡易な匿名化方法について述べたが、平成28年の法改正以降は、本方法は適用できないことが多くなった。本稿では、原点に立ち戻りながら、現行制度でも対応できる匿名化方法を模索したい。

1、取得済み個人情報の整理

一般に、個人情報というのは、個人が特定できる識別情報とその個人の属性情報(識別情報に付帯する情報や行動履歴)で構成される。匿名化というのは、この識別情報をいかにして落とすかという作業になる。しかし、インターネットの普及により、複数の属性情報の組み合わせで個人が特定できるケースが出てきていることから、属性情報についても組み合わされれば識別情報となり得ることに注意する必要がある。また、すでに完全な匿名化方法がないということは周知の事実であるため、この点は念頭におき、場合により取得時に同意取得しておく必要かある。

個人情報=

個人が特定できる識別情報 + 個人の属性情報

=名前+フリ仮など + 住所・電話番号など

2、匿名化の必要性

本項では、以下の個人情報を例に記載する。
識別記号:A12345、氏名:田中一郎、フリガナ:タナカイチロウ、年齢:35才、性別:男性、住所:東京都千代田区一丁目、趣味:野球、よく購入するもの:ビール

匿名化には、単純匿名化と総合匿名化があることはすでに述べた。単純匿名化の具体的な方法として、漢字氏名のカタカナ化というものを挙げた。一般的な氏名の方であれば、これでも十分匿名化される。
例)田中一郎→タナカイチロウ

ただし、あくまでも、属性情報が切り離されていることが前提である。
ここに、住所として「東京都千代田区一丁目」などの属性情報が付属していた場合、「タナカイチロウ」では匿名化されたことにならない。

次に総合匿名化として、名前を完全に削除し、記号に置き換え、属性情報をも完全に削除したとする。この場合、総合匿名化されるため、個人を時期することは不可能であるが、属性情報も落ちるため、利用価値がそもそもない。
A12345

しかし、以下のレベルまで識別情報を削除した場合、有用な情報となりえる。

識別記号:A12345、年齢:35才、性別:男性、住所:東京都、趣味:野球、よく購入するもの:ビール

つまり、識別情報を落としつつ、一定の属性情報を残すことにより、情報の有用を残したリストとなりえる。そのため、識別情報の匿名化と、属性情報の削除加減が重要となる。

3、識別情報匿名化処理の技法(匿名化の例)

>連結可能匿名化
識別情報と匿名化された符合の対応表を残す方法。

>連結不可能匿名化
識別情報と匿名化された符合の対応表を残さない方法。

>具体的方法
– 識別情報の削除
– 匿名データの再ソート(配列順の並べ替え)
– 識別情報のトップ(ボトム)・コーディング
– 識別情報のグルーピング(リコーディング)
– リサンプリング
– スワッピング
– 誤差の導入 等
これらの単独、または組み合わせにより匿名化を行う。

厚生労働省から、「安全に匿名化等がされた状態について」の記載があるように、対象となる標本(取得した個人情報等)の内容、個人情報の利用用途により、どの程度削除すれば安全なのかは一律には決められないが、各種の名簿等の他で入手できる情報と組 み合わせることにより、その人を識別できる場合には、組合せに必要な情報の全部または一部をさらに取り除く必要があると解釈するべきであろう。