「IT / ICT Glossary」シリーズでは、主に国家資格「ITパスポート(iパス)」に関連した用語を解説致します。
iパスの学習範囲は「企業と法務」など、システム以外の分野も含まれていますので、業種・職種に関わらず、社会生活を送る上で、とても参考になると考えています。
今回のキーワードは「仮名化」です。
大まかに説明すると
「仮名化」とは、個人データ(氏名など)を、それだけでは個人を特定できない別の情報(ID番号など)に置き換える処理技術です。
仮名化の最大の特徴は、別途管理されている「対応表(キー)」と照合すれば、元の個人を「元に戻せる(再特定できる)」点にあります。
これにより、データ分析などでの利便性を保ちつつ、情報漏洩時のリスクを低減できます。
「元に戻せない(再特定できない)」ように処理する「匿名化」との違いが極めて重要です。
仮名化されたデータは、法律上も個人データ(または仮名加工情報)として扱われます。
はじめに
今回は、個人データを安全に活用するための技術的な手法である「仮名化(かめいか)」について学びます。
企業が新しいサービスを開発したり、マーケティング分析をしたりする際、顧客のデータ(誰が、いつ、何を買ったかなど)は非常に重要です。
しかし、顧客の氏名や住所がそのまま入った生(なま)のデータを分析に使うのは、情報漏洩のリスクが非常に高くて危険ですよね。
かといって、データを全く使わなければ、より良いサービスを生み出すこともできません。
この「安全に守りたい」と「便利に活用したい」というジレンマを解決する手法の一つが「仮名化」です。
仮名化とは?
「仮名化(Pseudonymization)」とは、個人データ(例:氏名、住所)を、そのままでは個人を特定できない別の情報(例:ID番号、記号)に置き換える処理のことです。
例えば、以下のような顧客リストがあったとします。
| 氏名 | 年齢 | 購入商品 |
|---|---|---|
| 山田太郎 | 25 | A |
| 鈴木花子 | 30 | B |
これを「仮名化」すると、このようになります。
【仮名化されたデータ】
| 顧客ID | 年齢 | 購入商品 |
|---|---|---|
| ID-001 | 25 | A |
| ID-002 | 30 | B |
この「仮名化されたデータ」だけを見ても、「ID-001」が誰なのか、すぐには分かりませんよね?
これにより、万が一このデータが漏洩しても、すぐに個人が特定されるリスクを減らすことができます。
仮名化の最大の特徴:「元に戻せる(再特定可能)」
ここが最も重要なポイントです。「仮名化」は、データ単体では個人を特定できませんが、「別の情報」と照合すれば、元の個人を特定できる状態を指します。
先の例で言えば、企業は「仮名化されたデータ」とは別に、以下のような「対応表(キー)」を、厳重に管理された安全な場所に保管しています。
【対応表(別途、厳重に管理)】
| 氏名 | 顧客ID |
|---|---|
| 山田太郎 | ID-001 |
| 鈴木花子 | ID-002 |
この「対応表」さえあれば、「ID-001」が「山田太郎」さんであることを「元に戻す(再特定する)」ことができます。
データを分析する人は「仮名化されたデータ」だけを使い、いざという時(例:顧客に連絡が必要な時)だけ、権限のある人が「対応表」を使って本人を特定する、という使い分けができます。
GDPR(一般データ保護規則)でも、仮名化は個人データを保護するための有効なセキュリティ措置の一つとして推奨されています。
ポイント:「匿名化」との違い
「匿名化」との違いをまとめておきます。
- 仮名化:
- 特徴:他の情報(対応表)と照合すれば、元に戻せる(再特定できる)。
- データ:対応表と合わせれば個人を特定できるため、法律上(GDPRや日本の個人情報保護法)は、引き続き「個人データ(または仮名加工情報)」として扱われ、保護の対象となります。
- 匿名化:(次の記事で詳しく解説します)
- 特徴:データを加工して、元に戻せない(二度と個人を特定できない) ようにする。
- データ:もはや個人を特定できないため、法律上「個人データ」とはみなされず、統計情報などとして、より自由に活用できます。
この「元に戻せるか、戻せないか」が決定的な違いです。
まとめ
「仮名化」は、対応表を使えば元に戻せることを前提とした、個人データのリスク低減策です。
データ分析などで活用しつつ、セキュリティも確保するバランスの取れた手法として理解しておきましょう。
そして、必ず「匿名化」との違いをセットで覚えてください。
本キーワードの関連情報
今回のキーワードは、ITパスポート試験シラバスの、以下カテゴリに分類されています。
試験のご参考にもなれば幸いです。
カテゴリ:ストラテジ系 / 大分類1「企業と法務」 / 中分類2「法務」
5. セキュリティ関連法規
目標「代表的なセキュリティ関連法規の概要を理解する。」
説明1「我が国のサイバーセキュリティに関する施策の基本となる事項等を定めたサイバーセキュリティ基本法があることを知り、その概要を理解する。」
説明2「実際に被害がなくても罰することができる、不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)があることを知り、その概要を理解する。」
説明3「パーソナルデータ、個人情報、個人データの違いを理解する。」
説明4「その他、情報セキュリティに関連する各種法律の概要を理解する。」
(4) パーソナルデータの保護に関する国際的な動向
- パーソナルデータの保護に関する国際的な動向の概要。
参考・引用元資料
【ITパスポート試験】試験内容・出題範囲
https://www3.jitec.ipa.go.jp/JitesCbt/html/about/range.html
ここまで読んで頂いて、誠にありがとうございます。今後ともどうぞよろしくお願い致します。
