はじめに

データを加工し、安全に活用できる秘密計算。しかし現状、秘密計算で同意なくして第三者への提供ができるのかどうかについて考えた場合、個人情報保護法上の課題がある。一方、データを定められたルールにて加工した匿名加工情報の場合、第三者提供の同意は必要がない。そこで今回は、秘密計算で加工した情報と匿名加工情報の違いについて解説していく。

匿名加工情報とは

匿名加工情報とは、「個人情報を特定の個人を識別することができないように加工して得られる個人に関する情報であって、その情報を復元して特定の個人を再識別することができないようにしたもの」（個人情報保護法第36条）と定義している。要は「生」の情報を個人が特定されないように加工した情報だ。この匿名加工情報に関する適切な加工関しては、個人情報保護委員会が「適切な加工」として規則第19条にて公開している。

特定の個人を識別することができる記述などの全部・一部を消去
個人識別符号全部を消去
個人情報と他の情報とを連結する符号を消去
特異な記述を消去
その他、個人情報とデータベース内の他の個人情報との差異などの性質をあわせ、適切な措置をおこなう

ここから見てとれるように匿名加工情報とは、氏名など個人が特定されてしまう情報を消去した情報と捉えることができる。その他にも匿名加工情報を扱う業者の義務は適切な加工を含めて4つあり、「安全管理措置」「公表義務」「識別行為の禁止」がある。その他の義務については下記ブログにて詳しく説明している。

https://acompany.tech/privacytechlab/anonymously-processed-information/

秘密計算とは

秘密計算とはどういったものなのだろうか。 秘密計算とは、データを暗号化したまま分析できる技術だ。

秘密計算の大まかな仕組みとしては、氏名や年収情報など、個人情報を他者に隠したまま分析できることだ。そのため、グループ企業間や他社との間で特定の分析したい場合も、自社以外にはデータを見られずに分析することが可能となっている。この秘密計算の手法は大きく2つあり、MPCを使った秘密分散法と準同型暗号法だ。どちらも、第三者に「生」の個人データを開示せずに、暗号化したデータのまま分析することができる手法で、得意とする分析対象が異なっている。詳しくは下記ブログにて詳しく説明している。

https://acompany.tech/privacytechlab/secure_computing/

匿名加工と秘密計算の違い

では、匿名加工と秘密計算は何が違うのだろうか。ここではAcompanyの手掛けるsMPC（秘密分散＋MPC）について見ていく。もう一度、匿名加工情報の適切な加工について見ていこう。ここでは、個人を特定する情報を消去する「加工」した情報と解釈することができる。この匿名加工情報の具体的な加工に関しては、個人情報保護委員会がガイドライン『個人情報の保護に関する法律についてのガイドライン（匿名加工情報編）』を出している。ここでは一部を紹介する。

特定の個人を識別することができる記述などの全部・一部を消去

この場合想定される加工例として、

事例 1）氏名、住所、生年月日が含まれる個人情報を加工する場合に次の 1 から 3 までの措置を講ずる。 1）氏名を削除する。 2）住所を削除する。又は、○○県△△市に置き換える。 3）生年月日を削除する。又は、日を削除し、生年月に置き換える。

と書かれている。あくまでも、「氏名を消去する」「住所○○県△△市に置き換える」といったことが記載されているのみということがわかる。

個人情報と他の情報とを連結する符号を消去

こちらの場合はどうだろうか。他の記述等に置き換える場合は、元の記述等を復元できる規則性を持たない方法ではいけないとなっている。加工対象は、「匿名加工情報を作成しようとする時点において、実際に取り扱う情報を相互に連結するように利用されているものが該当」する。具体的には、

事例 1）サービス会員の情報について、氏名等の基本的な情報と購買履歴を分散管理し、それらを管理用 ID を付すことにより連結している場合、その管理用 ID を削除する。

となっている。 sMPCの場合、個人データを複数のシェアに分ける。しかし、分散した全てのシェアがあった場合、個人データを復元できてしまうため、匿名加工情報と評価されない可能性がある。これは個人情報保護法第36条に書かれているように、「その情報を復元して特定の個人を再識別することができないようにしたもの」への該当性が問題となる。 匿名加工情報と、秘密計算を用いた個人情報は同じように見えるのかもしれない。第三者からは個人が特定されるデータを閲覧することはできないから、秘密計算と匿名加工を同じ文脈で捉えられるケースがある。

https://twitter.com/ryosuke_nu/status/1484003933895159812?s=20

何度も繰り返すが、現状はsMPCで加工したデータは匿名加工情報との扱いを受けていない。しかし今後、データを処理した後と前で関係性がなくせる点から、匿名加工情報や特定ユースケースで特例として扱う、もしくは秘密分散の理解が深まれば、認められる可能性があるという段階だ。

まとめ

現状、秘密計算と匿名加工との評価が個人情報保護委員会からされていない。しかし今後、匿名化加工情報もしくは特定のユースケースで扱うことのできる可能性がある。
匿名加工情報とは、特定の個人を識別できないように加工して得られる情報であって、当該個人情報を復元できないようにしたもの。
秘密計算とは、データを暗号化したまま分析できる技術である。

参考文献