7月21日に「個人情報保護法改正の先を考える」と題して、JIPDEC主催の情報交流会が開催された。交流会では個人情報保護法改正案を検討するために設置された「パーソナルデータに関する検討会」での検討の振り返りに加え、改正法施行後のデータ越境の扱い、特にアメリカ・ヨーロッパとの制度整合を整理しつつ、特に今後ビジネスを行う上での課題と必要と思われる措置等について、意見交換が行われた。登壇者の松本泰氏（セコム株式会社IS研究所）、小泉雄介氏（株式会社国際社会経済研究所）、クロサカタツヤ氏（株式会社企）の発言から、当記事を構成する。（全3回）

完璧な匿名化はない

クロサカ：
議論を始める前に、「識別特定情報」や「非識別非特定情報」（参照記事）はどのような経緯で生まれたものかを、確認しておきましょう。これらは、匿名加工情報を論じるにあたって、基礎になる概念です。この概念の整理は「パーソナルデータに関する検討会」（以下、検討会）で行われました。さらに遡ると、検討会の下に設置された技術検討ワーキンググループ（以下、技術検討WG）で一昨年の冬ぐらいに整理されたものです。

当時、技術検討WGは検討会（親会）から「合法的な匿名化とは何なのか」という問いを受けて議論を行った結果、「完璧な匿名化はない」と返した、とうかがいました。松本さん、これは合っていますか？

非特定識別情報にはグラデーションがある

松本：
はい、概ね合っています。正確には「情報の利活用における有用性を全く失うことなく、いかなる個人情報をも対象とした匿名化手法はない」すなわち利活用と保護を両立する「完璧な匿名化はない」ということになります。利活用と保護にトレードオフが存在するということです。

この図は、技術検討WGのメンバーであったNTTの高橋克己さんが中心になり取りまとめています。この図に至るまでの議論は専門用語の乱立で収拾が付かなくなるなど大変なものでした。

出所：パーソナルデータに関する検討会　技術WG報告書

要は既存の用語の上に用語を組み立てるだけでは説明が付かないということですね。特に識別非特定情報の話は、細分化するときりがなくて、文章が読めなくなってしまうほどでした。その危機感からこれまでの既存の用語を使わずに新しい用語で説明しましょう、と合意したのです。なるべくシンプルに書こうとして、この図に行き着きました。

ただ、シンプルに書き切ったのはよいのですが、それでもまだ、現実の話は複雑です。例えば、医療等分野では、「連結可能匿名化」と「連結不可能可能匿名化」という概念がありますが、この図の「識別非特定情報」では、その違いまでは説明ができません。

※連結可能（不可能）匿名化：符号や対応表などを残すことで誰のデータかを識別することで、同じ符号や対応表を持つ非特定識別情報と連結することが可能な匿名化の手法を指す。連結不可能匿名化は、その逆で、対応表や符号を持たず、他の識別データとの連結が単純にはできない匿名化のこと。

また、「完全な匿名化はない」と技術検討WGは回答しましたが、やはり、まだ魔法の「匿名化データ」への期待が残ったまま今日に至っているのが現実です。図の上のほうに記述している非識別非特定情報の特定性・識別性にはグラデーションがあることも重要です。それでも、このシンプルな図にも（矢印で）示せたというのは非常に良かったと思います。ここに行きつくまでが本当に大変でした。

技術で説明がついても法律での解釈はこれから

クロサカ：
一見整理が進み構造化されているように思いますが、ただよくよく考えてみると、改めて「識別って何？」「特定とは？」というそもそも論について、説明できない部分がまだ残っていると思っています。

技術論としては「完璧な匿名化はない」ということが説明として通じるわけですが、その技術的な理解や世界観が、立法の精神にどの程度反映されているのか。そのあたりがまだ着地していないというのが現状ではないかと思います。

たとえば、改正法案で示されている個人情報の定義は、結局のところ「特定の個人を識別する情報」であり、現行法と変わりません。一方で個人情報以外の情報について、何らかの匿名加工措置がされていれば、すべて匿名加工情報として扱っていい、というように理解できます。

もちろん、今回の法改正そのものが、世界最先端IT国家創造宣言の筆頭事項として位置づけられた結果であること、つまりパーソナルデータの利活用を意識している以上、できるだけ使えるようにしたい、というのが立法の精神だというのは分かります。

しかし、松本さんの講演でもご指摘の通り、匿名加工情報は「個人情報ではないものの、個人情報保護法によって規定される情報」という概念でもあります。

だからこそ法案では、匿名加工情報を取り扱うための新たな義務が制定されていますし、また個人情報と異なるものと扱う以上、先ほどの指摘にあったグラデーションに応じた、情報のカテゴライズや取り扱い方針を個別に定めていく必要が新たに生じます。

事業者の立場に立ってみれば、結局個別にデータを見ていくしか無くなるわけですが、一方で膨大なデータが半ば未整理な状態のまま収集されている場合、当該事業者がすべてを管理するというのも現実的ではないと思います。そうすると、本当に「何でもあり」の状態になってしまいそうです。

個人情報の範囲は変化していく

松本：
ご指摘の懸念には、匿名加工情報の話ではなくて、個人情報の定義の方から考え直すのがよさそうです。その時、個人識別符号をどう考えるか、というのが一つのヒントになります。

当日の講演資料（松本氏）より、改正法の整理（上段図は改正法の整理、下段は安全管理措置等が対応する改正法（案）条番号と記述）

私の理解している限り、もともと米国がPII（Personally identifiable information）という概念を作りました。しかし、今では米国においても、PII とNon-PIIの境界性の意味が薄れていくという議論になりつつあると思います。

いまは、「膨大なデータが半ば未整理な状態のまま収集されている」ビッグデータ時代であり、PIIとNon-PIIを区別すること自体が困難になりつつあります。そういった意味を含めて、私自身は「匿名加工情報は個人情報ではない」という考えにはあまり賛成ではありません。

大量のデータが集まった場合、データを組み合わせると個人の特定性が高くなってしまうということから、個人情報、すなわち個人識別符号の範囲は広がっていく可能性が高いのですが、これはビッグデータ時代の必然だと思っています。そうなると、個人識別符号につられて、匿名加工情報は個人情報ではないという法案の考えもずれていってしまい、先々にはおかしな話になる可能性があると思います。

個人情報と匿名加工情報のプライバシーリスク評価

クロサカ：
技術やサービスの進化を考えれば、匿名加工情報という概念自体が、やはり過渡期的なものである、ということですね。その意味で、「匿名加工情報なら何でもアリ」と考えること自体、潜在的なリスクをすでに含んでいるように思えます。

松本：
さらに言えば、私が今回の法案で危惧しているのは、匿名加工情報には、安全管理措置努力義務しか課せられていないことからわかるように、個人情報よりも匿名加工情報のほうが、プライバシーリスクが低いという前提で作られている点です。これは、匿名加工情報の流通を目指しているためともいえますが、ある意味、匿名加工情報の利活用を難しくするとも考えています。

例えば今、厚生労働省が推進しているナショナルデータベース（参照）というものがあります。これは、法律により収集されるため個人情報保護法の枠外になりますが、これこそがビッグデータだと思います。その取扱いにおいて、匿名化の処理を行っています（それが厳密に匿名化と言えるかいう点については、少し議論がありますが）。

具体的には、医療機関、健保組合等、いろいろな一次データ保持者から情報を集めて、診療報酬請求明細書（レセプト）と健診情報を結合することも行っています。

そうやってビッグデータが作られていくとなると、小規模な一次データ保有者が持つデータだけではなく、ナショナルデータベースのように大量に集められ匿名加工された2次情報も十分にプライバシーリスクが高いデータとなります。医療等分野の2次利用は、こうした事例が多いと言えます。

結局、そもそもデータを使って何をやりたいかというのは分野によってかなり違いがありそうなので、そうしたユースケースからプライバシーリスクを評価していかなければならないと思います。

実際に活用できるデータは仮名化データ

クロサカ：
改正法案では、匿名加工情報に関して、仮名化のことをかなり意識して書かれているという印象があります。しかしここまでの議論を踏まえると、「仮名化すれば匿名加工情報」というわけではなさそうです。

松本：
おそらく、事業者が利活用の観点から使いたい匿名加工情報というのは、具体的には仮名化データではないかと思いますし、私自身も使えるべきだと思いますが、「仮名化データは匿名加工情報であり個人情報ではない」というのは、個人情報の定義での提供者基準説の観点からは矛盾を含んでいます。

また、仮名化データといっても、どのくらいの期間で仮名化を施すとかいろいろな要素があり、単純な仮名化ということだけでは説明できません。ここについては、今後、大きな論点になる気がしています。しかし、現時点までの間に、仮名化について深掘りするということは、技術検討WGでは行えませんでした。

［（2）に続く］