改定個人情報保護法により企業はどのような対応を行うべきか?

平成29年5月30日に改定個人情報保護法が全面施行されました。
これにより、これまで取り扱う個人情報数が5,000件を下回る事業者が個人情報保護法の適用外だった部分がなくなり、すべての事業者に個人情報保護法の対象となりました。
そこで今回は、改定個人情報保護法の項目の一つである、匿名加工情報について解説させて頂きます。

匿名加工情報とは?

匿名加工情報とは、個人情報を加工し、通常人によって、それが誰の情報かなどの特定ができない状態で、かつ加工する前の個人情報へ戻すことができない状態の情報のことです。
匿名加工情報のメリットは、ズバリ個人情報保護法に関するルールが適用されないところにあります。つまり、一定の条件はあるにしても、基本的には本人の同意なしに自由に情報を扱うことができるため、あらゆる場面での活用が期待されています。

匿名加工情報に関する企業の取り扱い方法とは?

事業者は匿名加工情報を取り扱い際に、ルールを守らなければなりません。
まず、自社で匿名加工情報を作成する際のルールについての解説です。
以下は、個人情報保護法委員会の記述を参照しております。
① 特定の個人を識別することができる記述等の全削除もしくは一部削除。
例えば、個人を特定できる名前などは削除するか、他の言葉に置換するなどが必要です。
② マイナンバーなどの個人識別符号の全削除
③ 特異な記述の削除
例えば、その個人が長寿で110歳だった場合などは、特定できる可能性が高いため削除が必要です。
このような適正な加工が必要な上に、削除した情報や加工した情報などが漏洩しないよう安全な管理措置を取らなければなりません。
他にも、匿名加工情報に含まれる情報の公表や、加工前の個人情報から本人特定の禁止、苦情の処理などを行わなければなりません。
次に、特定加工情報を第3者に提供する場合のルールについてです。
以下の2つのルールを守らなければなりません。
一つは、匿名加工情報に含まれる情報の項目を公表しなければなりません。
2つ目は、情報提供先にその情報が匿名加工情報であることを伝えなければなりません。
最後に、匿名加工情報を第3者から受け取った場合のルールについてですが、
加工前の個人情報からの個人特定の禁止や加工方法の取得禁止、苦情の処理などを行わなければなりません。

今回は改定個人情報保護法の項目の一つである「匿名加工情報」について解説させていただきました。
このような変化を事業者は正しく把握し、適正な社内体制の整備を行わなければなりません。