特集の第1回第2回では、Suica履歴販売でJR東日本が批判を浴びた要因と、日本のプライバシー保護法制改革の動向について解説した。ただ、そもそも「個人情報」とは何なのか、そして「匿名化」とは何を指すのか。それを4つのQ&Aを通して説明する。パーソナルデータの利活用を推進するには、まずは、これらの概念を正確に理解しておかなければならない。

Q:そもそも、個人情報とはどこからどこまでを指すの?

A:個人情報保護法における「個人情報」とは、特定の個人を識別できる情報を含むデータ全体を指す。氏名のように単体で個人を特定できる情報(以下、個人識別情報)のほか、他の情報と容易に照合でき、個人を識別できるデータが個人情報に当たる。

 ここ数年、ブログやSNSを通じて個人が自らの行動を公開するようになり、「容易に照合できる」データが爆発的に増えている。例えば、交通機関の乗降履歴データベースを、あるブログに書かれた数日の行動と照合すれば、その個人を特定できる可能性がある。

 個人を特定しにくくするデータ加工は「匿名化」と呼ばれ、大きく二つの手法がある(図A)。データから個人識別情報を取り除く「仮名化」と、データの項目や精度を落とし、他の情報と組み合わせても個人を特定できないようにする「無名化」である。

図A●個人情報、パーソナルデータと匿名化の関係
図A●個人情報、パーソナルデータと匿名化の関係
「仮名化」は氏名など個人識別情報の除去、「無名化」はパーソナルデータから個人識別性を失くす統計処理を指す
[画像のクリックで拡大表示]

Q:氏名などにひも付かない仮名IDは「個人情報ではない」と言えるの?

 A:氏名などの代わりにランダムに割り当てた仮名IDであっても、事業者が個人の氏名などと仮名IDとの対応表(あるいは、ハッシュ関数のキー)を持っている場合、この仮名IDは事業者にとっては個人情報と同じ扱いとなる。

 米国やEUでは、個人を識別するIDのほか、PCやスマートフォンといった端末を識別できるIDも、個人情報に準ずる形で保護の対象と考えるのが一般的だ。例えばiOSのUDIDやAndroid ID、固定IPアドレスなど、どの事業者も共通で使え、しかも数年にわたって特定の個人が使用すると想定されるIDは、保護の対象となる。日本でも総務省の研究会が2013年7月、「端末IDは個人情報に準ずる扱いをすべき」とする報告書を公開している。

 Webサイトでブラウザーの特定に使われるクッキーについても、EUではほぼ個人情報に近い取り扱いを受け、保護の対象になる。2012年5月に施行した「EUクッキー法(EU Cookie Law)」では、クッキーの設定への同意をユーザーから得ることをサイト事業者に義務付けている。

 米国ではこうした法規制はないが、米連邦取引委員会(FTC)は、クッキーによる追跡を拒否できるブラウザーの機能「Do Not Track」を2010年12月に提案。今ではブラウザーの多くがこの機能に対応している。米マイクロソフトはInternet Explorer 10で、Do Not Trackをデフォルトで有効にした。日本では、インターネット広告推進協議会(JIAA)のガイドラインで、クッキーによるWeb履歴の収集の事実をプライバシーポリシーに明記するよう求めている。