第298号コラム「匿名化情報という青い鳥」
第298号コラム:佐藤 慶浩 理事
(日本ヒューレット・パッカード株式会社 個人情報保護対策室 室長)
題:「匿名化情報という青い鳥」
第272号コラム「ビッグデータ時代におけるパーソナルデータを保護する義務と活用する責任」では、パーソナルデータを保護する法的・道義的義務に加えて、活用する社会的責任もあるという視点を紹介した。その中で個人情報の匿名化に関係する法的な課題を含めた基本的な考え方について触れたが、今回は匿名化について掘り下げる。それについて政府では、IT総合戦略本部にパーソナルデータに関する検討会を設置し、その下に、技術検討ワーキンググループを設置して匿名化について検討したので、その経緯と結果を紹介する。(以下の本文で「」で引用した文章は、政策会議の公開ページ http://www.kantei.go.jp/jp/singi/it2/pd/index.html に掲載されているものである)
上位の検討会から下位のワーキンググループへの命題は、「合理的な水準まで匿名化を施されたパーソナルデータについて、法的に通常の個人情報とは異なる取扱い(例:第三者提供に関する同意を不要とする一方、提供先事業者に対して法的な責任を課す等)とすることの可否について検討すべき」(第1回検討会資料3-2)というものであった。これは、すなわち、個人情報を匿名化する加工方法を定めることにより、その加工された情報を、先述のコラムで紹介した第三者提供の制限に該当しない情報として取り扱うことでパーソナルデータの利活用を促進することが狙いであった。そのようなパーソナルデータ利活用にとって幸せの使いである青い鳥を探すワーキンググループが発足したのである。
ところが第1回ワーキンググループの冒頭30分間で構成員はある一致した意見を出す。それは、同ワーキンググループの報告書(第5回検討会資料2-1)で報告されているが、「いかなる個人情報に対しても、識別非特定情報や非識別非特定情報となるように加工できる汎用的な方法は存在しない。(中略)第三者提供を念頭に一定の匿名化措置(個人情報をある定められた手順で加工)を行っても、必ず識別性または特定性を無くせるわけではなく、また、そうした匿名化の措置に対して一般的な水準を作ることもできない。」という見解である。つまり、親会からの命題に対する解はないと回答したのである。言葉どおりには、「可否について検討」なので、不可能も検討のうちではあるが、初回の30分間でその結論に至るのは政府の検討会としては異例と言えるだろう。
識別非特定情報や非識別非特定情報という聞き慣れない用語が出てくるが、これはこのワーキンググループが報告書作成用に定義した用語である。これまで使われていない用語にあえてすることで、メディアなどが匿名情報などと安易に言い換えないようにすることを意図した。前回のコラムでは、特定の個人を識別することを、特定と同定という用語に分けて解説したが、それが特定と識別にそれぞれ対応すると考えれば概ねよい。
同報告書は、「個人情報にある定められた手順で非特定化、非識別化または非識別非特定化技術を組み合わせて加工しても、必ず識別非特定情報または非識別非特定情報となるとは限らない。つまり、加工に利用した技術ではなく、加工された情報について、識別非特定情報または非識別非特定情報になっているかを個別に確認することが必要である。これは、非特定化、非識別化または非識別非特定化という情報の加工に対して一般的な水準を作ることができないことを示している。」とした。さらに、提供を受ける側の状況でさらに多様な問題が生じることを前回のコラムで解説したが、それについても、「さらに、個人情報取扱事業者側で識別非特定情報や非識別非特定情報に加工できたとしても、他の情報との突き合わせ等により、再び識別特定情報(個人情報)となる可能性がある。これは、広く情報が拡散してしまった後に個人が特定され、何らかの個人の権利利益が侵害されるような事態が生じる可能性があることを示している。」と補足している。
命題へのイエス・ノーにノーと答えただけではなく、そもそも命題の前提にノーを突きつけたような結果になっている。
メーテルリンクの童話“青い鳥”では、思い出の国や幸福の園、未来の国などをチルチルとミチルの兄妹が冒険して青い鳥がいないことに気づくが、もはや冒険に旅立つ前に、青い鳥がいないと結論付けたようなものである。そればかりか、青い鳥を探そうとしたことによって、むしろ、これまであいまいに使われてきた匿名化という表現にダメ出しをするというパンドラの箱を開けてしまったのである。なぜ、これがパンドラの箱かというと、匿名化についてここまで言及したものは、他国の法令等にない。プライバシーについて厳しいとされるEUでも、連邦法はないが個別法は厳格にしている米国でも、個人情報を匿名化すれば元の個人情報とは異なる取扱いでよいという緩和をしているが、匿名化について加工方法を定義しているわけではない。
ただし、パンドラの箱から何が出てきたかについて誤解してはならない。これは完全又は安全な匿名化というものがないと言っているわけではなく、それを汎用的に定めたり、一般的な水準として定めたりすることはできないと言っているのであり、報告書は「ケースバイケースの対応が必要」と言っているのである。
また、匿名化ではなく匿名性という観点が重要であることを示した。匿名化というと、匿名でないものが、あるところから匿名になるというような、匿名であるか否かという誤解を生じるが、実際には、匿名性が高いか低いかという観点ということだ。このとき、匿名性を測定する方法のひとつとして、k-匿名性で判定することが考えられるが、それが万能ではないことについても、ワーキンググループは定量的に示した。
電車の乗降履歴を例にしているが、k-匿名性で判定するならば、全乗降履歴の99.9%を削除しなければならないことになってしまう。(ワーキンググループ報告書や第2回技術検討ワーキンググループ 資料2を読んでもわかるが、情報ネットワーク法学会第13回研究大会第1分科会の動画 http://in-law.jp/taikai/2013/houkoku.html で、発表映像の最初から3分後から始まる菊池浩明先生の発表を視聴するのがわかりやすい。)これは、乗降履歴をいわゆる匿名利用するには、それだけ削除しなければならないと判定しているわけではなく、乗降履歴を匿名化する際の匿名性の判断に、k-匿名性の手法が向いていないことを示すものだ。汎用的な匿名化方法が定められないだけではなく、汎用的な判定方法も定めにくいことを示唆したのである。
結局のところ、匿名性が高い情報として利用するには、ケースバイケースで加工方法を検証し、その加工結果を毎回判断するしかないということになる。
パンドラの箱は他国のように開けずにそっとしておいた方がよかったのかもしれないが、開けてみてわかった課題は興味深いものばかりだ。そして、箱の中に残ったものにも気づけた。それは統計だ。
匿名化について加工方式を汎用的に定めることはできず、加工結果の判定方法に一般的な水準を定めることもできないということは、実は統計情報が同じなのである。
統計の手続きには統計化という表現はなく、何らか加工した情報を公表するに際して問題がないかを判定する統計委員会が組織され、委員会が問題ないと判断した情報に統計情報というお墨付きを与えるという一連の手続きなのである。
匿名化については、これと同じことが必要であり、判定の結果として問題がないものを匿名性の高い情報と呼ぶことはできても、その情報を作りだしたときの加工方法を安全な匿名化と呼ぶことはできない。同じ種類のデータを加工するとしても、その元となるデータが異なれば、母集団の条件が変わるためデータごとに毎回判定をする必要があり、その判定後に匿名性の高い情報と呼ぶことができるだけである。ましてや、異なる種類のデータについて汎用的な加工方法や判定方法を定めることはできないのである。
匿名化情報という青い鳥を探そうとしてパンドラの箱を開けてしまったわけであるが、箱の中に最後に残っていた希望は、統計の知見だったということだ。それは、匿名の代わりに統計という意味ではなく、枕元の鳥かごに最初から居た青い鳥は、“匿名化情報というお墨付きを与える属人的な手続きを作ることはできるだろうけど、どんな情報にも一意に使える汎用的な匿名化ってもんはないんだよぉ~”と、さえずっていたのである。
ワーキンググループが出した結論は、技術的には振り出しに戻った感があるがそうでもない。社会的に見れば、匿名化という表現を安易に使ってはいけないことを明確に指摘し、また、匿名性の高い情報として安全に取り扱うためには、加工処理だけでは不十分であることの意義を正しく認識できた。米国のFTC3要件にもそれは示されていたが、それを国内で考えるときに、要件をどう整備するかの視点を具体的に得ることができたことは実に有益である。統計法に基づく統計情報は、統計委員会を組織して判定してお墨付きを与えるわけであるが、パーソナルデータの利活用として考えた場合に、そのように集約させる手続きを構築することは現実的ではない。個人情報を第三者に提供することについて本人からの事前同意を得ずに済ませるには、匿名化しているというあいまいな表現では許されず、どのような加工をしているかを具体的に明記し、その安全性について誰もが検証できるような透明性が求められるということになるのだろう。
これらを踏まえて、政府はパーソナルデータの利活用に関する制度見直し方針(案)で、「個人データを加工して個人が特定される可能性を低減したデータに関し、個人情報及びプライバシーの保護への影響並びに本人同意原則に留意しつつ、第三者提供における本人の同意を要しない類型、当該類型に属するデータを取り扱う事業者(提供者及び受領者)が負うべき義務等について、所要の法的措置を講ずる。」(第63回議事資料2-2 http://www.kantei.go.jp/jp/singi/it2/dai63/gijisidai.html )という方針を定めて、「所要の法的措置」について検討しており、本年6月には大綱が発表される予定である。
この難題を法的にどう解決するのかについて注目したい。ただし、この解決がすっきりしなくても悲観することはない。前回のコラムで指摘したとおり、パーソナルデータの利活用にとって、第三者提供制限に該当しない匿名化情報は、青い鳥かもしれないが、それがラストリゾート(最後の頼みの綱)ではなく、安心を与えて同意を得るという方法も含めて他にした方がよいこともあることを忘れてはならない。
チルチルとミチルが幸せの使いは彼の地の青い鳥とは限らないことに気づいたように。
【著作権は佐藤氏に属します】