2020.03.10に「 個人情報の保護に関する法律等の一部を改正する法律案 」が閣議決定された。この機会に改めて、個人を特定できる情報（personally identifiable information, PII）についてまとめた。加えて、改正案で新たに創設された仮名加工情報についても理解を深めるために、仮名化（Pseudonymisation）と匿名化（Anonymisation）をそれぞれまとめた。
例のごとく、ヘルスケア領域でデータを扱うもの（私のことです。）としては、知っておく必要がある知識と思っています。この分野に携わっている方は、ぜひ目を通してみてください。

はじめに

2020.03.10に閣議決定された「 個人情報の保護に関する法律等の一部を改正する法律案 」の変更点をまとめる。大きく6つの項目について改正されている。

1. 個人の権利の在り方
- 個人の請求権（利用停止、消去、開示方法、第三者提供情報の開示など）
- 短期間保存データ（6ヶ月以内に消去）についても、保有個人データに含める
- オプトアウト*1規定により提供されたデータの第三者提供の範囲限定

2. 事業者の守るべき責務の在り方
- 個人の権利利益を害する恐れがある場合に委員会への報告及び本⼈への通知を義務化
- 不適正な⽅法で個人情報を利用しない旨を明確化

3. 事業者による自主的な取組を促す仕組みの在り方
- 企業の特定分野(部⾨)を対象とする団体を認定できる。

4. データ利活用に関する施策の在り方
- 「仮名加⼯情報」の創設。内部分析に限定する等に義務を緩和
- 提供先でPIIとなりうるデータについても、本⼈同意が得られていること等の確認を義務化

5. ペナルティの在り方
- 命令違反や虚偽報告等の法定刑の引き上げ。
- 法人重科（法人に対しては行為者よりも罰金刑の最高額を引き上げる）

6. 法の域外適用・越境移転の在り方
- 日本国内にある者に関わる個人情報を扱う外国事業者を報告徴収・命令の対象とする。
- 移転先事業者における個⼈情報の取扱いに関する本⼈への情報提供の充実を求める。

ざっとまとめてたので、詳細を知りたいときは、個人情報保護委員会のHPを見て欲しい。

*1 オプトアウト
サービス提供についてユーザーが拒否した時にサービスを停止すること。類似語として、オプトイン（サービス提供への同意が前提）がある。

PIIって？

PII（personally identifiable information, 個人を特定できる情報）は、単一の個人を特定できるデータのこと。

個人情報保護法での個人情報の定義は、

GDPR（General Data Protection Regulation）*2の定義は、

*2. GDPR
世界で最も厳しいプライバシーとセキュリティの法律です。欧州連合（EU）によって起草・成立し、2018年5月25日に発効された。

GDPRの方が具体例が多いなぁという感じ。ざっくりまとめると。名前や電話番号とかはわかりやすいPII。IPアドレスやクッキーの識別子、RFIDタグのような識別子も当然PIIとなりうる情報。さらに、注意が必要なのは、単体では個人の特定には至らないものの複数の情報が組み合わさった時に個人の特定が可能になる情報もPIIである。例えば、身長160cmの単体情報では個人特定まではできないが、ここに年齢5才とかの情報が組み合わされると一瞬で個人の情報になるっていうようなケース。要するに、すべての個人データがPIIになる可能性があるが、すべてのPIIが個人データであるとは限らない。

※ 情報とデータについては、英語と日本語に訳すと曖昧になるので少しわかりにくいと思います。念の為違いをまとめておくと・・・。『データ』は数字や記号に集合体で、『情報』は全体または部分的に意味付けされたもの。個人情報と言ったり、個人データと言ったりで統一感なくて申し訳ないです。

匿名化って？

匿名加工をして、データから個人を特定できなくすること。匿名加工後の情報を匿名加工情報といい、個人情報法保護法では以下のように定義されている。

個人情報保護法は個人の権利・利益の保護と情報の有用性とのバランスを図る法律なので、個人情報を使うための処理方法を決めたってのが匿名加工情報。なので、匿名加工されたデータは当然PIIには当たらない、つまり使える情報ということ。匿名化の方法については、ガイドラインが出されており、以下の処理を必須としている。

1. 特定の個人を識別することができる記述等の全部又は一部を削除（置換を含む。以下同じ。）すること。
2. 個人識別符号の全部を削除すること。
3. 個人情報と他の情報とを連結する符号を削除すること。
4. 特異な記述等を削除すること。
5. 上記のほか、個人情報とデータベース内の他の個人情報との差異等の性質を勘案し、適切な措置を講ずること（一般化、トップコーディングとか）。

PIIの定義でもあったように、組み合わせで個人情報になる可能性のあるデータについては加工者がデータドメインの知識を持って対応する必要があり、ただ個人識別情報を削除しただけでは不十分なのだ！これって加工する側からすると結構ハードルが高く、ぶっちゃけ単体のデータにまとめて、活用することが決まっている必要な情報のみを匿名加工するというのが現実的ではないかと私は考えている。

仮名化って？

データの利活用を推進するため、匿名化よりも少し加工のハードルを下げたもの。仮名加工後の情報を仮名加工情報といい、個人情報法保護法では以下のように定義されている。

匿名加工情報でだいぶデータ利活用が進む！最高だな！！と考えるのは、少しあまい。匿名加工情報は識別されないことを優先に加工されているので、データの持つポテンシャルをフルで活かせないデータなのだ（私見）。そこで、データ活用を推進させるために、匿名加工情報よりは少し緩めの仮名加工情報ってのが定義された（今回の「 個人情報の保護に関する法律等の一部を改正する法律案 」の一つ）。加工情報自体から特定の個人を識別することができなければ良いとのことなので、組み合わせた時にどうとかいうところが緩和されている。ただ、第三者提供についてはかなり制限されているので、「本来であれば個人情報として取り扱わなければならないもの」が含まれているという認識での扱いが求められる。どこまで加工するのかについては、ガイドラインが出ると思うので、その時に更新します。

まとめ

データ解析をするに当たって、意識しておかないといけないことナンバーワンみたいな項目なのでぜひガイドラインやGDPRについては理解しておきたい。ヘルスケアのデータ解析を始めてから法律を読むことが多くなったけど、本当に言葉が難しくて読むの時間かかる・・・。まとめても今回文字ばっかだし、この辺りはもう少しクリアに整理しておきたい。