Acompanyでプライバシー法務を担当しています弁護士の宇根と申します。
この記事は#バレンタインアドカレ 11日目の記事となります。

本記事では、仮名加工情報の共同利用における秘密計算の有用性について紹介します。

仮名加工情報の共同利用

仮名加工情報は第三者提供が禁止されている（個人情報保護法41条6項・42条1項）ところ、仮名加工情報を共同利用により第三者に提供することは可能である（41条6項・42条2項）。

インターネットで検索してみると、東京大学医学部附属病院と京セラ株式会社において仮名加工情報を共同利用している事例などが確認される。https://www.h.u-tokyo.ac.jp/about/kojinjouhou/pdf/kyoudou.pdf

仮名加工情報の共同利用に関する留意点

仮名加工情報の共同利用に関し、共同利用により提供された仮名加工情報を特定の個人ごとに突合する場合、事務局レポート「制度編」50頁において、以下のような留意事項が示されている。

上記留意事項に関し、A社とB社とが保有するデータを個人ごとに突合した上で、「A社商品の購入とB社サービスの利用について相関関係があるのか」といった情報を作成する場合を例に考えてみる。

仮想事例における【突合後の仮名加工情報】は、「住所／性別／生年月日」をデータとして含んでおり、突合した仮名加工情報（【突合後の仮名加工情報】）のみで特定の個人を識別することが可能となってしまっている。
このように、各社で作成した仮名加工情報同士を特定の個人ごとに突合する場合は、識別禁止義務に抵触する可能性があるため、留意が必要とされている（事務局レポート「制度編」33頁も参照）。

秘密計算とは

秘密計算とは、計算過程を秘匿化したまま処理する技術の総称である。

その技術の一つであるMPC（Multi-party computation）においては、例えば３人の年収の平均値を秘密計算する場合、以下のような計算が行われるイメージである。

• 各人の年収情報を分割する（分割された各情報を「シェア」と呼ぶ）

• 各人が各人に対し、それぞれ１つのシェアを送信し、受け取ったシェアの平均値を各人において計算する

• 得られたシェアの平均値（計算結果）を復元することにより、３人の年収の平均値が求められる

このように、秘密計算（MPC）の手法を用いれば、それぞれの年収情報を他者に開示することなく計算結果（年収の平均値）のみが適切に得られることとなる。

仮名加工情報同士の突合における秘密計算の有用性

共同利用により提供された仮名加工情報を特定の個人ごとに突合する場合において、以上のような秘密計算の技術を利用すれば、例えば、仮想事例においては、以下のような分析がなされることとなる。

以上のように、秘密計算を利用することで、A社及びB社は、分析時の情報（仮名加工情報や突合後の仮名加工情報）を閲覧するタイミングがなくなる。また、秘密計算環境下では、適切な安全管理措置等を講ずることで、秘密計算事業者（C社）においても分析時の情報を閲覧することができない状態を構築することが可能である（※3）。すなわち、仮に、秘密計算の過程で、突合した仮名加工情報のみで特定の個人を識別することが可能となってしまっていたとしても、誰も当該情報を閲覧することができないこととなる。
よって、秘密計算技術は、共同利用により提供された仮名加工情報を特定の個人ごとに突合する場合において、個人の権利利益の保護措置として有用であると考えられる。

識別禁止義務との関係

秘密計算の過程において突合した仮名加工情報のみで特定の個人を識別することが可能となってしまった場合、これは識別禁止義務に違反するのか、について最後に検討する。

上記の通り「突合した仮名加工情報のみで特定の個人を識別できる状態」となる場合は「識別禁止義務に抵触する可能性がある」とされている（事務局レポート「制度編」50頁）が、「可能性がある」との記述に留まり、突合した仮名加工情報のみで特定の個人を識別できる状態になっても、直ちに識別禁止義務違反となるものではないと考えられる。
この点、「仮名加工情報を取り扱っていたところ、偶然に当該仮名加工情報の作成の元となった個人情報の本人を識別してしまった場合等、仮名加工情報の作成の元となった個人情報の本人を識別するために（すなわち、識別をする目的で）他の情報と照合しているとはいえない場合は、直ちに識別行為の禁止義務に違反するものではないと考えられる」（事務局レポート「制度編」33頁）との記述があることから、『仮想事例のような集計表を作成する目的で仮名加工情報同士の突合を行い、その秘密計算の過程でたまたま当該突合後の仮名加工情報のみで特定の個人を識別することが可能となってしまっていたに過ぎない場合』は、個人情報の本人を識別する目的で仮名加工情報を他の情報と突合しているわけではないため、識別禁止義務に違反しないのではないか、と思われる（なお、個人ごとの突合が前提となっているかは不明であるものの「複数の仮名加工情報を組み合わせて統計情報を作成すること」は識別行為に当たらないとされており（GL仮名加工情報・匿名加工情報編2-2-3-4）、この点からも、想定事例のような集計表を作成する目的は許容されると考えられる）。

ただし、事務局レポート「制度編」33頁では、続けて「取り扱う仮名加工情報に記述等を付加して特定の個人を識別する状態となった場合には、個人情報の不適正な取得となるため、当該情報を速やかに削除する必要がある」ともされており、秘密計算の過程で生成された情報については、速やかに削除するスキームとすることが求められると考えられる。

（以上）

宣伝

Acompanyの法務では、プライバシー周りで多くの経験を積める環境が整っています。プライバシー・データ周りの法務や事業にご興味がある方はぜひお声がけください！

※1：
「個人情報を復元できるような仮IDの作成方法に関する情報を他の共同利用者と共有することは、原則として認められない」とされているものの、「仮名加工情報の作成前の段階で、仮IDの作成方法に関する情報を他の事業者と共有することが、直ちに同項違反となるわけではない」とされている（事務局レポート「制度編」50頁、51頁及び注66）。
もっとも、「仮名加工情報の作成前の段階で、仮 ID の作成方法に関する情報を他の事業者と共有することがあったとしても、仮名加工情報の作成後は削除情報等を他の事業者が有している状態となるため、共有している全ての事業者において、直ちに当該作成方法に関する情報を削除する等の措置を講じなければならない」とされており（同注66）、その取扱いには留意が必要である。

※2：
仮想事例のため住所・生年月日は元データのままとしているが、仮名加工情報への加工として、住所は市区町村までに置き換えたり、生年月日は生年月までに置き換えたりすることが通常は考え得る。

※3：
例えば、本文で挙げたMPCの場合、各シェアの計算すべてを秘密計算事業者（C社）が行えば、C社は元データを復元できる可能性があるが、各シェアの計算を独立した複数の事業者で行うなどの対策を行えば、C社による復元・元データの閲覧は不可能となる。