特集の第1回第2回では、Suica履歴販売でJR東日本が批判を浴びた要因と、日本のプライバシー保護法制改革の動向について解説した。ただ、そもそも「個人情報」とは何なのか、そして「匿名化」とは何を指すのか。それを4つのQ&Aを通して説明する。パーソナルデータの利活用を推進するには、まずは、これらの概念を正確に理解しておかなければならない。

Q:そもそも、個人情報とはどこからどこまでを指すの?

A:個人情報保護法における「個人情報」とは、特定の個人を識別できる情報を含むデータ全体を指す。氏名のように単体で個人を特定できる情報(以下、個人識別情報)のほか、他の情報と容易に照合でき、個人を識別できるデータが個人情報に当たる。

 ここ数年、ブログやSNSを通じて個人が自らの行動を公開するようになり、「容易に照合できる」データが爆発的に増えている。例えば、交通機関の乗降履歴データベースを、あるブログに書かれた数日の行動と照合すれば、その個人を特定できる可能性がある。

 個人を特定しにくくするデータ加工は「匿名化」と呼ばれ、大きく二つの手法がある(図A)。データから個人識別情報を取り除く「仮名化」と、データの項目や精度を落とし、他の情報と組み合わせても個人を特定できないようにする「無名化」である。

図A●個人情報、パーソナルデータと匿名化の関係
「仮名化」は氏名など個人識別情報の除去、「無名化」はパーソナルデータから個人識別性を失くす統計処理を指す
[画像のクリックで拡大表示]

Q:氏名などにひも付かない仮名IDは「個人情報ではない」と言えるの?

 A:氏名などの代わりにランダムに割り当てた仮名IDであっても、事業者が個人の氏名などと仮名IDとの対応表(あるいは、ハッシュ関数のキー)を持っている場合、この仮名IDは事業者にとっては個人情報と同じ扱いとなる。

 米国やEUでは、個人を識別するIDのほか、PCやスマートフォンといった端末を識別できるIDも、個人情報に準ずる形で保護の対象と考えるのが一般的だ。例えばiOSのUDIDやAndroid ID、固定IPアドレスなど、どの事業者も共通で使え、しかも数年にわたって特定の個人が使用すると想定されるIDは、保護の対象となる。日本でも総務省の研究会が2013年7月、「端末IDは個人情報に準ずる扱いをすべき」とする報告書を公開している。

 Webサイトでブラウザーの特定に使われるクッキーについても、EUではほぼ個人情報に近い取り扱いを受け、保護の対象になる。2012年5月に施行した「EUクッキー法(EU Cookie Law)」では、クッキーの設定への同意をユーザーから得ることをサイト事業者に義務付けている。

 米国ではこうした法規制はないが、米連邦取引委員会(FTC)は、クッキーによる追跡を拒否できるブラウザーの機能「Do Not Track」を2010年12月に提案。今ではブラウザーの多くがこの機能に対応している。米マイクロソフトはInternet Explorer 10で、Do Not Trackをデフォルトで有効にした。日本では、インターネット広告推進協議会(JIAA)のガイドラインで、クッキーによるWeb履歴の収集の事実をプライバシーポリシーに明記するよう求めている。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら