コラム

2025/07/07

個人情報保護法~仮名加工情報取扱事業者の義務について

 仮名加工情報取扱事業者は、仮名加工情報を取り扱うにあたって様々な義務を負います(個人情報保護法41条~42条)。本コラムでは、仮名加工情報取扱事業者の義務について解説いたします。

 なお、仮名加工情報については、こちらのコラムを御覧ください。

仮名加工情報とは

目 次 [close]

仮名加工情報を作成する個人情報取扱事業者に関する規律

仮名加工情報を作成するための加工基準(法41条1項)

個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。

 個人情報取扱事業者は、仮名加工情報を作成する時、他の情報と照合しない限り特定の個人を識別することができないようにするために一定の基準に従って、個人情報を加工する必要があります。「一定の基準」とは以下のとおりです(個人情報保護法施行規則31条)。

  • 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること
  • 個人情報に含まれる個人識別符号の全部を削除すること
  • 個人情報に含まれる不正に利用されることにより財産的被害が生じるおそれがある記述等(例:クレジットカード番号、インターネットバンキングのID・パスワードなど)を削除すること

削除情報等の漏えい防止のための安全管理措置(法41条2項)

個人情報取扱事業者は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条及び次条第三項において読み替えて準用する第七項において同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない。

 個人情報取扱事業者は、仮名加工情報を作成したときや、仮名加工情報・仮名加工情報に係る削除情報等を取得したときは、削除情報等の漏えい防止のために個人情報保護委員会規則で定める基準に従った安全管理措置を講じる必要があります。「個人情報保護委員会規則で定める基準」とは、以下のとおりです(個人情報保護法施行規則32条)。

  • 削除情報等を取り扱う者の権限及び責任を明確に定めること
  • 削除情報等の取扱いに関する規程類を整備し、当該規程類に従って削除情報等を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること
  • 削除情報等を取り扱う正当な権限を有しない者による削除情報等の取扱いを防止するために必要かつ適切な措置を講ずること

個人情報である仮名加工情報の取扱いに関する規律

利用目的による制限(法41条3項)

仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。以下この条において同じ。)は、第十八条の規定にかかわらず、法令に基づく場合を除くほか、第十七条第一項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱ってはならない。

 法18条の規定に関わらず、「法令に基づく場合」を除いて、本人の同意があっても、法17条1項の利用目的の範囲を超えて、仮名加工情報を取り扱うことはできません。

利用目的の公表(法41条4項)

仮名加工情報についての第二十一条の規定の適用については、同条第一項及び第三項中「、本人に通知し、又は公表し」とあるのは「公表し」と、同条第四項第一号から第三号までの規定中「本人に通知し、又は公表する」とあるのは「公表する」とする。

 通常の個人情報と異なり、利用目的の通知は認められず、公表のみが認められます。

不要な情報の削除(法41条5項)

仮名加工情報取扱事業者は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。この場合においては、第二十二条の規定は、適用しない。

 利用する必要がなくなった仮名加工情報である個人データの削除義務や遅滞なく消去する義務はありますが、通常の個人データのように、正確かつ最新の内容に保つ義務は課されていません。

第三者提供の禁止(法41条6項)

仮名加工情報取扱事業者は、第二十七条第一項及び第二項並びに第二十八条第一項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第二十七条第五項中「前各項」とあるのは「第四十一条第六項」と、同項第三号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第二十九条第一項ただし書中「第二十七条第一項各号又は第五項各号のいずれか(前条第一項の規定による個人データの提供にあっては、第二十七条第一項各号のいずれか)」とあり、及び第三十条第一項ただし書中「第二十七条第一項各号又は第五項各号のいずれか」とあるのは「法令に基づく場合又は第二十七条第五項各号のいずれか」とする。

 仮名加工情報である個人データは、本来事業者の内部分析のためにのみ用いられることを前提としています。そのため、法27条1項、2項、28条1項の規定に関わらず、「法令に基づく場合」を除いて、本人の同意があっても、仮名加工情報を第三者に提供することはできません。また、オプトアウト方式による第三者への提供も認められません。

 ただし、以下の場合は、「第三者」に該当しないため、仮名加工情報を提供することは可能です。

  • 委託
  • 事業承継
  • 共同利用

識別目的での照合禁止(法41条7項)

仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。

 そもそも仮名加工情報とは、個人情報を加工して、内容の一部を削除し、ほかの情報と照合しなければ特定の個人を識別できないようにしたものですので、本人識別のために他の情報と照合することは禁止されています。

本人への連絡等の禁止(法41条8項)

仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成十四年法律第九十九号)第二条第六項に規定する一般信書便事業者若しくは同条第九項に規定する特定信書便事業者による同条第二項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。

 仮名加工情報は、個人情報を加工して、内容の一部を削除し、ほかの情報と照合しなければ特定の個人を識別できないようにしたものですので、特定の個人に連絡を取ることはその趣旨と矛盾するものです。そのため、仮名加工情報に含まれる連絡先等の情報を利用して、電話や郵便、電子メール等で連絡を取ったり、住居を訪問したりすることは禁止されています。

適用除外事例(法41条9項)

仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、第十七条第二項、第二十六条及び第三十二条から第三十九条までの規定は、適用しない。

 仮名加工情報である個人情報・個人データ・保有個人データには、以下の規定が適用されません。

  • 利用目的の変更(法17条2項)
  • 漏えい等の報告等(法26条)
  • 開示等の請求(法32条〜39条)

 仮名加工情報は、個人情報を加工して、内容の一部を削除し、ほかの情報と照合しなければ特定の個人を識別できないようにしたものであるため、個人の権利利益が侵害されるリスクが相当程度低下します。そのため、利用目的の変更については制限がなく、漏えい等があっても委員会への報告や本人への通知が不要とされています。さらに、特定の個人を認識できることを前提として行う、本人への通知や本人からの請求に応じた開示等の規定は適用されません。

個人情報でない仮名加工情報の取扱いに関する規律

第三者提供の制限(法42条1項2項)

仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。次項及び第三項において同じ。)を第三者に提供してはならない。

2 第二十七条第五項及び第六項の規定は、仮名加工情報の提供を受ける者について準用する。この場合において、同条第五項中「前各項」とあるのは「第四十二条第一項」と、同項第一号中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、同項第三号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第六項中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。

 仮名加工情報の提供を受けた仮名加工情報取扱事業者が、当該仮名加工情報の作成の元となった個人情報や当該仮名加工情報に係る削除情報等を保有していない場合等、仮名加工情報が他の情報と容易に照合することができ、それにより特定の個人を識別することができる状態にない場合には、当該仮名加工情報は、個人情報に該当しません。

 個人情報ではない仮名加工情報は、「法令に基づく場合」を除いて、本人の同意があっても、仮名加工情報を第三者に提供することはできません。

 ただし、以下の場合は、「第三者」に該当しないため、仮名加工情報を提供することは可能です。

  • 委託
  • 事業承継
  • 共同利用 

その他の義務(法42条3項)

第二十三条から第二十五条まで、第四十条並びに前条第七項及び第八項の規定は、仮名加工情報取扱事業者による仮名加工情報の取扱いについて準用する。この場合において、第二十三条中「漏えい、滅失又は毀損」とあるのは「漏えい」と、前条第七項中「ために、」とあるのは「ために、削除情報等を取得し、又は」と読み替えるものとする。

 仮名加工情報取扱事業者が、個人情報に当たらない仮名加工情報を取り扱う場合にも以下のルールが準用されます。

  • 安全管理措置(法23条)
  • 従業者の監督(法24条)
  • 委託先の監督(法25条)
  • 苦情処理(法40条)
  • 識別行為の禁止(法41条7項)
  • 本人への連絡の禁止(法41条8項)

小西法律事務所

法律相談申込

ALL

Category