GDPR 匿名化 仮名化

MENU

匿名化と仮名化って?

 

国内法(改正個人情報保護法)では、匿名加工情報といった用語が出てきましたが、GDPRには匿名化と、仮名化という二つの用語がでてきます。

 

「匿名」(Anonymous)

 

まず、匿名というのは、個人の特定が不可能とされる状態を指します。

 

そして、GDPRでは、「匿名化データ」は個人データに該当しません
つまり、個人データではないので、GDPRのデータ保護の諸原則は適用されません。

 

自由に処理したり、分析することができます。国内法の匿名加工情報と同じですね。

 

ただ、注意が必要なのは、匿名化技術は、不可逆的に特定を防止するものでなければなりません。

 

匿名というのは個人の特定が不可能とされる状態、とはじめに紹介しましたが、例えばなんらかの形で、個人を照合することができてしまっては、匿名化とは言えません。

 

不可逆的に特定を防止というと、難しい表現ですが、例えば、個人データが暗号化されていたとしても、その暗号を復元できる方法があるのであれば、匿名化とはいえません。
暗号化されており、さらに暗号の復元キーは既に廃棄されているといった場合に、初めてその暗号化されたデータは匿名化されている言うことができます。
逆に言うと、ここまでの対策をしていないと、GDPRでは「個人データ」に該当しないとはいえないんです。

 

通常、私たちが考えている匿名化は、次に紹介する仮名化にすぎないかもしれません。

 

GDPRの匿名化の定義を紹介します。
条文本体の方ではなく、前文の方にのっています。

 

データ保護の原則は、「匿名の情報、すなわち、識別された、または識別可能な自然人に関係しない情報、またはデータの主題が識別できない、またはもはや識別できないような形で匿名化された個人データ」には適用されない。
したがって、この規則は、統計的または研究目的を含む、そのような匿名の情報の処理には関係しない。

 

The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable.
This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes

 

(GDPR前文26条)

 

「仮名化」(Pseudonymisation)

 

次に、仮名化です。
簡単に言うと、「仮名化データ」は、追加情報がないと個人を特定できないものです。
ただ、「仮名化データ」は、匿名化データとは異なり個人データになります。

 

仮名化データを具体的にいうと、データの中身を置換するなどして個人の情報が直接分からないように加工したものです。
例えば、データベースの中の、氏名や住所、電話番号などを、別の文字列に置換したものです。ただ、顧客IDなどのID列のデータはそのまま残っているので、加工前のデータが残っていれば、加工前のデータと紐づけると、個人特定ができる状態です。

 

仮名化の一つの例として「暗号化」があります。
いくらデータの暗号化をしていて、個人情報が直接わからないようにしていたとしても、その暗号化を復元する方法がある場合には、その暗号化データは、「匿名化データ」ではなく、「仮名化データ」ということになります。

 

仮名化していれば、情報漏えいリスクは下がりますが、追加情報があれば、個人を特定できる状態なので、個人データとしての管理が求められます。

 

とはいえ、GDPRでは、データ主体に与えるリスクを低減し、データ管理者およびデータ処理者がデータ保護の義務に適合するのを支援するため、この「仮名化」を推奨しています。

 

GDPRの仮名化の定義も紹介しておきます。

 

「仮名化」とは、追加情報を使用せずに個人データを特定のデータ対象に帰属させることができないような方法で個人データを処理することを意味する。
ただし、当該追加の情報が別個に保管され、個人データが特定のまたは特定可能な自然人に連結しないことを確保する技術的および組織的な措置が講じられることを条件とする。
(5) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;
(GDPR第4条 5項)

 

以上のように、GDPRでは、「匿名化」が認められるための基準を非常に厳しいものとしています。作業部会は、2014年に匿名化技術に関する意見書を公表していますが、匿名化のために最善の技術というものはなく、理想的な解決法はケースバイケースで決めるべきであるとしています。

 

作業部会については、こちらの記事をご確認くださいね。
https://gdpr対応.net/latest/guidelines.html

 

暗号化などの仮名化は、個人情報を安全に管理するために必要な対策になりますので、対策を進めていきましょう。

関連ページ

GDPRの施行日は?いつから発効?猶予期間終了しました。
GDPR(EU一般データ保護・規則)について、どこよりもわかりやすく説明します。 GDPRの施行日・発効日・猶予期間は?いつから対応が必要になるの?
GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR十分性認定とは?十分性認定国はどこ?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR十分性認定とは?十分性認定国はどこ?
GDPR SCC(標準契約条項)とは?楽天のBCRとの違いは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR SCC(標準契約条項)とは?楽天が承認されたBCRとの違いは?
GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR プロファイリングに異議を唱える権利とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR プロファイリングに異議を唱える権利とは?
GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPRデータポータビリティの権利とは?対策は必要?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRデータポータビリティの権利とは?対策は必要?
GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPRのガイドラインは?日本語訳(和訳)はこちらです。
GDPRのガイドラインは?日本語訳(和訳)はこちらです。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR 監督機関、データ保護機関(SA、DPAs)ってどこにある?
監督機関、データ保護監督機関(SA、DPAs)って何のこと?どこにある? GDPR(EU一般データ保護規則)でデータ侵害時などに通知義務がある監督機関についてまとめました。
GDPRでデータ主体に認められた8つの権利とは?
GDPR(EU一般データ保護規則)でデータ主体に認められた8つの権利について、解説します。 情報権、アクセス権、訂正権、削除権(忘れられる権利)、制限権、データポータビリティの権利、異議権、および自動的な個人の意思決定に関する権利 があります。
GDPR モデル条項 SCCとSDPCの違いは?
SCC(標準契約条項)とSDPC(標準契約条項)の違いは? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい?
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
クッキー法とも呼ばれるe-privacy規則(eプライバシー規則)とは?
クッキー法とも呼ばれるe-privacy Regulation(eプライバシー規則)とは? GDPRと同様、個人情報を保護するための規則です。GDPRを補完する規則になります。