第423号コラム:佐藤 慶浩 理事
題:「個人情報の非識別化に関する消費者と事業者それぞれの期待」
個人情報の非識別化方法についての国際規格の作成が開始された。規格番号と規格名は、「ISO/IEC 20889 Privacy enhancing data de-identification techniques」である。個人を識別する情報を個人情報とするならば、個人を識別しないように加工することで、個人情報ではない情報として取り扱うことができるようにしようとするものである。
技術的にはいろいろな観点がありそうなところ、やろうとしていることは、一見すると単純なことのように思われるかもしれない。しかし、「個人を識別する」ということが何かは、実はあまり単純なことではない。本規格は、その整理から着手することにしている。
日本の個人情報保護法は第2条で、『この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。』としており、主要な部分は『特定の個人を識別することができるもの』としている。わかりやすいように、『特定の個人として識別する』と言い換えることにする。
ここで重要なのは『特定の個人として識別する』ことと『個人として識別する』ことは同じではないということである。つまり、個人の前に特定が付くか付かないかの違いであり、それを踏まえて記すなら、特定とは限らないことを表すには『同一の個人として識別する』と記すのが正しい。これは英語でも、as specific personかas same personかという違いとなり、日本語として特有なことではない。
実際にはどういう違いかを例をあげて説明する。ある日、オンライン通販モールの食品売り場で、ピーマンと玉ネギ、筍(タケノコ)、牛挽肉、豚バラ肉、鶏モモ肉が売れたとする。このとき、佐藤さんがピーマンと筍と豚バラ肉を買ったということがわかれば、これは、特定の個人である佐藤さんとして識別したことになる。そうではなく、あるひとりの人がそれら3品を買い、残りの玉ネギ、牛肉、鶏肉を買った人とは異なるということがわかる場合は、同一の人として識別したということになる。その意味では、同じ個人として識別していないというのは、食品売り場の6品を、1人が全部買ったのか、2人の人がいくつかずつ買ったのか、6人の人が1つずつ買ったのかすらわからないという場合である。
特定の個人として識別するというのを、簡潔に表すために、個人を特定すると言うことができる。同様に、同一の個人として識別することは、聞きなれない言葉だと思うが、個人を同定すると言う。同じものとして定まるということで、同定と言うわけである。
このように、個人を特定することと、個人を同定することを区別した場合、特定している状態は、必ず同定もできていることになる。特定しているのに、同定されていないということはないので、特定は同定の小集合となる。それらの用語を使うと、識別には、特定と同定という小集合と大集合があり、識別と同定は集合関係としては同じ範囲になる。
さて、そう考えると、個人情報の非識別化とは何を指すのかと言えば、言葉からすれば、同定すらできない状態にまで加工することを指していることが期待されそうだ。それがどんな状態かというと、食品売り場の例のとおりだ。これは果たして、個人情報として利活用できる情報量が残っているだろうか?単に今日は6品売れたという情報しかないわけである。特定できない状態であるが、同定はできる状態のことを、お店としては、個人情報の非識別化の適切な方法のガイドラインとして期待することが多いのではないだろうか。同定すらできていないなら、そもそも個人情報じゃないじゃないかと思うだろう。でも、実はそれはそのとおりだ。なぜなら、個人情報の非識別化とは、個人を識別しないように加工することなのだから、そもそも個人情報じゃなくした結果のものなのだから。ということに尽きてしまう。
一方で、消費者の期待は、必ずしも同定ですらなくなるところまでを求めているのだろうか?たとえば、ピーマンと筍と豚バラ肉をオンライン通販モールで買ったら、すぐに、青椒肉絲(チンジャオロース:ピーマンと筍と豚バラ肉の千切りの炒め物)のタレの無料お試し券が画面に表示されたらどうだろうか?それなら、同定されていてもよいと思うかもしれない。もちろん、嫌だと思う人もいるだろうし、逆に、無料券をもらえるなら特定されてもよいと思う人もいるだろう。その意味で、この規格では、プライバシー改善に配慮した非識別化を考える場合には、非識別化を、非特定化するものと、非同定化までするものとを区別することで、「個人情報を非識別化しました」と言ったとき、あるいは言われたときに、それがどちらなのかが誤解なく伝わるような用語の整理から始めている。特定と同定の区別に加えて、特定/同定している状態か、特定/同定することができる状態か、かつて特定/同定されていたことがあるかも、それぞれを-ing, -able, -edで分けて表現することにしている。それらを分けて考えることにより、Anonymous information(匿名情報)とは過去に一度も特定されたことがない情報を指すことにし、それが特定される可能性と、個人情報が非特定化された情報が再特定される可能性を異なるものとして扱う。そのため、anonymization(匿名化)という表現は誤解を与えるだけなので使用しないことが検討されている。そのようなことをちゃんと整理した上で、整理されたそれぞれについて、本題である技術的な観点での方法論が議論される予定である。日本においても、同様の整理と議論が行われることが望まれる。
【著作権は、佐藤氏に属します】