匿名 加工 情報 と は
★こちらの記事もおすすめ →【 仮想通貨を支えるブロックチェーン技術の仕組みと取引所のセキュリティってどうなっている? (ISMS取得事業者からよくある質問)】 この記事を書いた人 千代田区に会社を構える株式会社ユーピーエフです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→ 03-6240-9470 セキュリティーコンサルティング事業部まで
匿名加工情報とは
実施すべき安全管理措置の内容 匿名加工情報取扱事業者は、作成する部門でも、利用する部門であっても安全管理の措置が求められます。通常は、匿名加工情報を取り扱う部門は限られていると思われるため、通常の個人情報保護のように全社で整備するものではなく、取り扱い部門ごとに整備するものと考えます。 少々細かくなりますが、保護する対象と、安全管理措置(義務/努力義務)との対応を次に示します。 【図表6】匿名加工情報を取り扱う事業者が行うべきこと 対象 義務/努力義務 規則の内容 加工方法そのもの 義務規定 (改正法第36条2項) 加工の方法に関する情報の漏えいを防止する措置 (個人情報保護委員会規則で内容を規定) (1)加工方法を取り扱う者の権限および責任の明確化 (2)加工方法等情報の取り扱いに関する規程類の整備 (3)規程類に従った、加工方法等情報の適切な取り扱い (4)内部監査等で評価を実施 (5)改善を図るために必要な措置を実施 (6)正当な権限を有しない者による取り扱いを防止するための措置の実施 作成した匿名加工情報 努力義務規定 (改正法第36条2項) ・安全管理のための措置 ・苦情の処理等、 ・適正な取り扱いを確保するために必要な措置 ・これらの措置の公表 - 通常の安全管理措置を参考とした適切な措置が考えられる 利用する匿名加工情報 努力義務規定 (改正法第39条) 2. と同様 - 2. と同様 ご覧のとおり、加工方法の安全管理措置に重点を置いていいます。前述の「3部門の職務分離と内部牽制により、再識別化を防止する組織構成」においては、加工方法を保有しているIT部門(開発チーム)は、安全管理措置の実施が必須となります。 加工方法における安全管理措置の内容は、通常の個人情報における安全管理措置と同様に厳格なものです。匿名加工情報データベースごとに、各種の安全管理措置を施すことを求めています。具体的には、体制の整備、規程類の策定、従業員への教育・研修、アクセス管理、漏えい等の防止措置、内部監査や自己点検等によるPDCAサイクルの確立などです。 他方、上記表の2、3の措置の内容については、個人情報に該当しないと考えられるため、通常の個人情報における安全管理措置を求めるものではなく、それらを参考とした適切な措置で済みます。しかしながら、情報の性質上、同等の安全管理措置の実施と、それを公表することをお勧めします。 7.
匿名加工情報とは 個人情報
匿名加工情報の取り組み 匿名加工情報とは 特定の個人を識別することができないように個人情報を加工した情報であり、元々の個人情報を復元することができないようにしたものです。医療の質向上及び病院経営改善等のデータ分析を目的として定期的に第三者に提供されます。匿名加工情報を利用させて頂くことにつきまして、ご理解とご協力をよろしくお願いいたします。 1. シリーズ【個人情報保護はこう変わる】(5)匿名加工情報によるビッグデータの活用 : 富士通総研. 作成及び第三者提供する匿名加工情報について DPC制度の導入の影響評価及び今後のDPC制度の見直しを図る目的で、厚生労働省が収集し管理する情報となるデータ(DPCデータ)を作成しています。DPCデータは、診療録からの情報及び診療報酬明細書からの情報で構成されており、これらの情報を利活用することで、医療の質の向上及び病院経営の改善に役立てることが可能となるため、匿名加工後のデータを第三者へ提供しています。第三者提供するDPCデータは氏名、住所、電話番号は含みません。なお、地域傾向や受診年齢層等を分析する必要があるため、郵便番号、生年月日、各種保険証に関する情報については保険者番号(※健康保険事業の各運営主体を指す番号)のみを含みます。当院は上述のとおり、診療情報から匿名加工情報を作成(毎月継続)し、第三者に提供しています。 2. 匿名加工情報の提供の方法 データを暗号化後、提供先が運用管理するサーバへのアップロードまたは、外部記録媒体を郵送する方法で提供します。 3. 匿名加工情報の安全管理 作成した匿名加工情報は、担当職員以外のアクセスを禁止し、利用目的を制限するなど、適切に管理しています。 匿名加工情報に関する問い合わせ窓口 当院における匿名加工情報の作成及び第三者提供等についてのお問い合わせは、下記までご連絡ください。 西宮協立脳神経外科病院 情報管理課 TEL:0798-33-2211(代表)
匿名加工情報取扱事業者の義務 改正法では、匿名加工取扱事業者を、作成と利用との2種類に分けて考えています。つまり、事業者から別の事業者に匿名加工情報が流通することを想定しています。 【図表2】取り扱う情報と事業者規模とで異なる安全管理措置 1 作成する事業者 (1)作成する (2)利用する事業者に提供する (3)(自ら利用することも想定) 2 利用する事業者 (1)(受領して)利用をする (2)さらに、他の利用する事業者に提供する 4-1. 作成する事業者の義務 匿名加工情報を作成する事業者が、遵守すべき安全管理措置を、次に示します。 【図表3】匿名加工情報を作成する事業者が行うべきこと 匿名加工情報を作成する事業者が行うべきこと 適正な加工を行うこと 加工方法自体を安全に管理すること 3 作成した際、情報項目等を公表すること 4 他の企業に第三者提供する際、情報項目と提供方法を公表すること 5 また、提供先へ匿名加工情報であることを明示すること 6 (自ら活用する場合)本人の再識別は禁止すること 7 安全管理の措置、苦情の処理などの措置を講じ、内容を公表すること 適正な加工を行うなどのほかに、公表することが多いことに気づくと思われます。公表することが求められる理由は、本人が自身の個人情報をどのように取り扱われているかを知ることができ、万一、権利利益の侵害を受けた場合は、問い合わせや原状復帰を求めやすいようにするためです。 次に2点に絞り説明します。 4-2. 適正な加工を行うことについて 匿名加工情報を作成する際の重要な点は、匿名化するにつれて再識別は困難になりますが、その代わり有効なデータからは遠のくことです。逆に匿名化が浅いと有効なデータになるかもしれませんが、再識別できる可能性は高まります。 例えば、スーパーマ-ケットにおけるマーケティング分析で考えてみましょう。一般的にスーパーマーケットは商圏が狭いので、住所を県単位で匿名化したデータ(市町村以下の住所を削除)では、分析にあたって価値はないでしょう。 逆に番地まで含めれば、分析には有効でしょうが、再識別は比較的容易になります。匿名加工情報を活用する事業者のニーズと、再識別されるリスクとを比較衡量し、両者のバランスをとることが一番の悩みどころです。再識別リスクの危険度モデルを自社で確立し、それによって評価を行うことも1つの解決策です。 なお、再識別できないようにする加工の程度について、ガイドライン(匿名加工情報編)では、世の中のすべてのテクノロジーを使ってもできない手法を求めているのではなく、一般的な事業者の能力や手法では再識別できない手法で事足りると記載されています。ここも重要なポイントの1つです。 4-3.