🧑‍💻Literacy / HR

《 iパス用語解説》匿名化とは何か。大まかな説明付き。IT / ICT Glossary「IT担当者からのファーストリポート」

Kawamura
匿名化
SHARE:

「IT / ICT Glossary」シリーズでは、主に国家資格「ITパスポート(iパス)」に関連した用語を解説致します。

iパスの学習範囲は「企業と法務」など、システム以外の分野も含まれていますので、業種・職種に関わらず、社会生活を送る上で、とても参考になると考えています。

今回のキーワードは「匿名化」です。

大まかに説明すると

「匿名化」とは、個人データを加工して、特定の個人を識別できないようにし、かつ「元の状態に復元できない(再特定できない)」ようにする処理技術です。

「仮名化」が元に戻せるのに対し、匿名化は元に戻せない点が決定的な違いです。

手法としては、氏名などの削除や、年齢を「20代」とする「一般化」、同じ特徴の人がk人以上になるよう加工する「k-匿名化」などがあります。

匿名化されたデータは、もはや「個人データ」とはみなされず、法律の保護対象外となるため、統計データやオープンデータとして自由に活用できるメリットがあります。

はじめに

今回は「匿名化」について解説します。

「仮名化」と「匿名化」の2つは非常によく似ていますが、目的も、法律上の扱いも全く異なるため、試験対策として完璧に区別できるようにしましょう。

匿名化とは?

「匿名化(Anonymization)」とは、個人データを加工して、「特定の個人を識別できないようにする」かつ「元の状態に戻す(復元する)こともできないようにする」処理のことです。

「仮名化」は、対応表があれば元に戻せる(再特定できる)のが特徴でしたね。

それに対して、「匿名化」は、一度処理したら「二度と元に戻せない(誰のデータだったか絶対に分からない)」ようにする、という点が決定的な違いです。

なぜ匿名化するのか?

では、なぜわざわざ元に戻せないようにデータを加工するのでしょうか?

それは、統計データの作成や、広く一般にデータを公開する「オープンデータ」などで活用するためです。

例えば、国が行う「国勢調査」の結果は、「〇〇市の20代男性の人口はXX人」といった形で公表されますが、これは個々のAさんBさんの情報ではなく、「匿名化」された統計情報です。

企業が「当社のユーザー層は、30代女性が最も多い」といった分析レポートを公開する際も、個人が特定できないよう匿名化されたデータを使います。

このように、個人を特定する必要はない(むしろ、してはいけない)けれど、データ全体の傾向を分析・公開したい、というニーズに応えるのが匿名化です。

匿名化の具体的な手法

匿名化には、個人を特定できなくするために、以下のような様々な技術が使われます。

  • 削除:氏名、住所、電話番号など、個人を特定できる情報を完全に削除します。
  • 一般化(トップコーディング):詳細な情報を、より大まかな情報に丸めます。
    • (例)年齢「23歳」 → 「20代」
    • (例)住所「東京都新宿区〇〇」 → 「東京都」
  • k-匿名化:これが試験でも時々問われる重要な考え方です。データを加工して、「同じ特徴を持つ人が、最低でもk人以上」になるようにします。例えば「k=3」なら、「30代・男性・東京都」という組み合わせの人がデータ上に3人以上存在する状態にし、そのうちの1人が誰なのか特定できないようにします。

法律上の扱い:「個人データ」ではなくなる

「仮名化」されたデータは、元に戻せるため「個人データ(仮名加工情報)」として引き続き保護の対象でした。

しかし、「匿名化」されたデータは、もはや個人を特定できず、元にも戻せないため、GDPRや日本の個人情報保護法において「個人データ」とはみなされません。

「個人データ」でなくなるということは、厳格な法律のルールの適用対象外となり、企業は(匿名化されていれば)データを比較的自由に分析・公開できるようになる、という大きなメリットがあります。

仮名化と匿名化の比較表

項目仮名化 (Pseudonymization)匿名化 (Anonymization)
目的安全な利活用(分析など)統計、オープンデータ化
再特定可能(対応表があれば元に戻せる)不可能(元に戻せない)
法律上の扱い個人データ(仮名加工情報)として保護対象個人データとはみなされず、保護対象外

まとめ

「匿名化」は、データを元に戻せないように加工し、個人を特定できなくする技術です。

それにより、法律の規制を受けない統計情報などとして、データをより広く活用できるようになります。

「元に戻せる仮名化」と「元に戻せない匿名化」。

この違いを明確に理解することが大切です。

本キーワードの関連情報

今回のキーワードは、ITパスポート試験シラバスの、以下カテゴリに分類されています。
試験のご参考にもなれば幸いです。

カテゴリ:ストラテジ系 / 大分類1「企業と法務」 / 中分類2「法務」

5. セキュリティ関連法規

目標「代表的なセキュリティ関連法規の概要を理解する。」

説明1「我が国のサイバーセキュリティに関する施策の基本となる事項等を定めたサイバーセキュリティ基本法があることを知り、その概要を理解する。」
説明2「実際に被害がなくても罰することができる、不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)があることを知り、その概要を理解する。」
説明3「パーソナルデータ、個人情報、個人データの違いを理解する。」
説明4「その他、情報セキュリティに関連する各種法律の概要を理解する。」

(4) パーソナルデータの保護に関する国際的な動向

  • パーソナルデータの保護に関する国際的な動向の概要。

参考・引用元資料

【ITパスポート試験】試験内容・出題範囲
https://www3.jitec.ipa.go.jp/JitesCbt/html/about/range.html

ここまで読んで頂いて、誠にありがとうございます。今後ともどうぞよろしくお願い致します。

System Teams
あなたへのおすすめ