仮名加工情報取扱事業者とは？
仮名加工情報取扱事業者が
従うべきルール等を分かりやすく解説！

渡邉遼太郎弁護士

2023.07.28

この記事を書いた人

渡邉遼太郎

弁護士法人NEX弁護士

2015年弁護士登録（第二東京弁護士会所属）。経済産業省知的財産政策室や同省新規事業創造推進室での勤務経験を活かし、知的財産関連法務、データ・AI関連法務、スタートアップ・新規事業支援等に従事している。

おすすめ資料を無料でダウンロードできます
✅ 個人情報に関する研修資料

この記事のまとめ

仮名加工情報取扱事業者とは、仮名加工情報を含む情報をまとめ、特定の仮名加工情報を検索できるように体系的に構成したもの（仮名加工情報データベース等）を事業の用に供している者をいいます。

仮名加工情報には、
✅「個人情報に当たる仮名加工情報」
✅「個人情報に当たらない仮名加工情報」
が存在するため、仮名加工情報取扱事業者が従うべきルールも、これらの情報の内容ごとに整理されています。

この記事では、仮名加工情報取扱事業者について、関連する用語の意味や、課されているルールを分かりやすく解説します。

ヒー

アンケートの集計結果について、個人情報が含まれるデータは社内でも取り扱いに迷いますし、安全管理も悩ましいです。個人情報を削除して、もっと柔軟に活用できないでしょうか？

ムートン

その場合、個人データを「仮名加工する」という選択肢があります。仮名加工情報を扱う「仮名加工情報取扱事業者」について、学んでいきましょう。

※この記事は、2023年7月26日に執筆され、同時点の法令等に基づいています。

※この記事では、法令名を次のように記載しています。

個人情報保護法・個情法…個人情報の保護に関する法律
施行令…個人情報の保護に関する法律施行令
規則…個人情報の保護に関する法律施行規則

仮名加工情報取扱事業者とは

仮名加工情報とは

仮名加工情報取扱事業者について理解するために、前提として、仮名加工情報について押さえる必要がありますので、まず、仮名加工情報の内容について見ていきます。

「仮名加工情報」とは、一定の措置を講じて個人情報を加工し、他の情報と照合しない限り特定の個人を識別できないようにした情報をいいます（個情法2条5項）。
仮名加工情報は、2020年の個人情報保護法改正で導入された、新しいタイプの情報の分類です。昨今、AIなどの技術が発展し、ビジネスに情報（データ）を活用するニーズが飛躍的に高まっています。仮名加工情報は、このような時代背景にあわせ、情報の利活用を促進するべく創設されました。

（仮名加工情報の例）
血液検査のデータにつき、本人の氏名だけを削除したもの（別の資料で氏名とデータの照合が可能な場合）
「A野B太　男性　35歳　検査数値65.2mg」
→「男性　35歳　検査数値65.2mg」

匿名加工情報との違い

また、「仮名加工情報」と類似する制度として、「匿名加工情報」があります。
「匿名加工情報」とは、一定の措置を講じて特定の個人を識別できないように個人情報を加工し、さらに、個人情報を復元することができないようにした情報をいいます（個情法2条6項）。

特定の個人を識別できないように加工する点では「仮名加工情報」と同じですが、「仮名加工情報」における「加工」が「他の情報と照合しない限り」特定の個人を識別できないようにすることであるのに対し、「匿名加工情報」における「加工」は①特定の個人を識別できないような加工をし、②復元できないようにすること（匿名加工情報の場合、他の情報と照合して特定の個人を識別できる場合は、「加工」に当たらない）点が異なります。

（匿名加工情報の例）
血液検査のデータにつき、本人の氏名を削除した上で、年齢や検査数値を概数（およその数）に変更したり、範囲で表したりしたもの
「A野B太　男性　35歳　検査数値65.2mg」
→「男性　30代　検査数値60mg台」
※復元できないことが必須

仮名加工情報取扱事業者とは

仮名加工情報の内容について見てきましたが、以上を踏まえ、仮名加工情報取扱事業者の定義について見ると、個情法16条5項では、「仮名加工情報取扱事業者」について、以下のとおり規定しています。

個情法　第16条
1～4　略
5　仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの（第41条第1項において「仮名加工情報データベース等」という。）を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。

※「第2項各号に掲げる者」とは、国の機関や地方公共団体等をいいます（個情法16条2項各号）
「個人情報の保護に関する法律」e-gov法令検索　電子政府の総合窓口e-Gov イーガブ

簡単に言えば、仮名加工情報取扱事業者とは、仮名加工情報を含む情報をまとめ、特定の仮名加工情報を検索できるように体系的に構成したデータベース等を事業の用に供している者といえます。

コンピューター（電子計算機）を用いたデータベースのほか（個情法16条5項）、一定の規則（五十音順等）に従って整理・分類し、特定の仮名加工情報を容易に検索することができるよう、目次、索引等を付した紙媒体のデータベース等（施行令6条）を事業の用に供している者も仮名加工情報取扱事業者に該当します。

仮名加工情報取扱事業者等に関するルール

それでは、次に仮名加工情報取扱事業者等（仮名加工情報取扱事業者と仮名加工情報を作成する個人情報取扱事業者）が従うべきルールについて見ていきます。

①仮名加工情報を作成する個人情報取扱事業者に関するルール

まず、個人情報取扱事業者が、仮名加工情報を作成する場合のルールについて説明します。

適正な加工・加工基準

個人情報取扱事業者は、仮名加工情報を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために一定の基準に従って、個人情報を加工する必要があります（個情法41条1項）。

ここでいう「一定の基準」とは以下のとおりです（規則31条各号）。

a)	個人情報に含まれる特定の個人を識別することができる記述等を削除すること（規則31条1号）
b)	個人情報に含まれる個人識別符号（個情法2条2項、施行令1条参照）の全部を削除すること（規則31条2号）
c)	個人情報に含まれる不正に利用されることにより財産的被害が生じるおそれがある記述等（例えば、クレジットカード番号や送金や決済機能のあるウェブサービスのログインID・パスワード等）を削除すること（規則31条3号）

※いずれも削除した記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含みます。

削除情報等の安全管理措置

個人情報取扱事業者は、仮名加工情報を作成したときや、仮名加工情報・仮名加工情報に係る削除情報等を取得したときは、削除情報等の漏えいを防止するために必要な安全管理措置を講じる必要があります（個情法41条2項、規則32条各号）。

ヒー

「安全管理措置」は、具体的にはどんなことをすればよいのですか？

ムートン

ガイドラインでは削除情報等を取り扱う者の権限および責任の明確化に関する措置等とされており、具体的には組織体制や取扱規程等の整備、社内教育を行うこと、漏えいを防止するためのアクセス制御などが例示されています。

②個人情報である仮名加工情報の取扱いに関するルール

次に、「個人情報取扱事業者」である「仮名加工情報取扱事業者」が「個人情報」（「個人データ」）である「仮名加工情報」を取り扱う場合のルールについて説明します。

仮名加工情報は、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工した情報をいいますが（個情法2条5項）、仮名加工情報を作成した事業者には削除情報等を削除すべき義務は課されませんので、これら削除情報等の他の情報と容易に照合することができ、それにより特定の個人を識別できるのであれば、当該仮名加工情報は「個人情報」にも該当することになります。

このような個人情報である仮名加工情報を取り扱う場合に仮名加工情報取扱事業者が従うべきルールと、「③個人情報でない仮名加工情報の取扱いに関するルール」記載のような個人情報でない仮名加工情報を取り扱う場合に仮名加工情報取扱事業者が従うべきルールは異なります。

まずは、仮名加工情報取扱事業者が個人情報である仮名加工情報を取り扱う場合に従うべきルールについて見ていきます。

利用目的による制限

個人情報取扱事業者である仮名加工情報取扱事業者は、個情法17条1項で特定された利用目的（個人情報の利用目的）の達成に必要な範囲を超えて、個人情報である仮名加工情報を取り扱うことはできません（個情法41条3項）。

このため、個情法17条1項により特定された利用目的の達成に必要な範囲を超えて個人情報である仮名加工情報を取り扱う場合には、利用目的を変更する必要がありますが、仮名加工情報については、「適用除外規定」記載のとおり、利用目的の変更の制限に関する個情法17条2項が適用されませんので、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて利用目的を変更したうえ、個人情報である仮名加工情報を取り扱うことも認められます。

なお、個人情報である仮名加工情報の利用目的を変更した場合には、変更後の利用目的をできる限り特定したうえで、公表する必要があります（個情法41条4項・21条3項・4項）。

利用目的の公表

個人情報取扱事業者である仮名加工情報取扱事業者は、個人情報である仮名加工情報を取得した場合、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を公表する必要があります（個情法41条4項）。

なお、個人情報取扱事業者が、自らが保有する個人情報を加工して仮名加工情報を作成した場合は、「仮名加工情報を取得」した場合には当たりませんので、仮名加工情報を作成した時点で仮名加工情報の利用目的を公表する必要はありません。

利用する必要がなくなった場合の消去

個人情報取扱事業者である仮名加工情報取扱事業者は、仮名加工情報である個人データや削除情報等を利用する必要がなくなったとき（例えば、利用目的が達成され当該目的との関係では仮名加工情報である個人データを保有する合理的な理由が存在しなくなった場合、利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となり、当該事業の再開の見込みもない場合等）は、個人データや削除情報等を遅滞なく消去するよう努める必要があります（個情法41条5項）。

第三者提供の制限

個人情報取扱事業者である仮名加工情報取扱事業者は、仮名加工情報である個人データを第三者に提供できません（個情法41条6項）。元々、仮名加工情報は内部利用を想定した制度ですので、本人の同意やオプトアウトによる第三者提供は認められませんが、

a）委託に伴う場合
b）事業の承継に伴う場合
c）共同利用をする場合で必要事項を公表しているとき

については、提供先と提供主体を一体のものとして取り扱うことに合理性がありますので、第三者には該当しません（個情法41条6項・27条5項各号）。

識別行為の禁止

個人情報取扱事業者である仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たり、本人を識別するために、仮名加工情報を他の情報と照合することはできません（個情法41条7項）。

本人への連絡等の禁止

個人情報取扱事業者である仮名加工情報取扱事業者は、個人情報である仮名加工情報を取り扱う場合、仮名加工情報に含まれる連絡先その他の情報を利用することはできません（個情法41条8項）。

ムートン

仮名加工情報を名簿のように使用することは許されません。

適用除外規定

仮名加工情報である個人情報・個人データ・保有個人データには、以下の規定が適用されません（個情法41条9項）。

a)	利用目的の変更（個情法17条2項）	仮名加工情報である個人情報には、個情法17条2項が適用されないため、変更前の利用目的と関連性を有すると合理的に認められる範囲を超える利用目的の変更も認められます。
b)	漏えい等の報告等（個情法26条）	仮名加工情報である個人データには、個情法26条が適用されないため、漏えい等が発生した場合でも、報告や本人通知を行う必要はありません。一方、仮名加工情報の作成の元となった個人データや削除情報等については個情法26条が適用されるため、同条に基づく報告等が必要です。
c)	開示等の請求（個情法32条～39条）	仮名加工情報である保有個人データには、個情法32条～39条が適用されないため、本人は、これらの規定に基づく開示等の請求等を行うことができません。一方、仮名加工情報取扱事業者が仮名加工情報の作成の元となった保有個人データを保有している場合には、当該保有個人データとの関係では個情法32条～39条が適用されます。

その他の義務

その他、個人情報取扱事業者である仮名加工情報取扱事業者が、個人情報（個人データ）でもある仮名加工情報を取り扱う場合には、個人情報（個人データ）に係る、

a）不適正利用の禁止（個情法19条）
b）適正取得（個情法20条1項）
c）安全管理措置（個情法23条）
d）従業者の監督（個情法24条）
e）委託先の監督（個情法25条）
f）苦情処理（個情法40条）

のルールが適用されます。

③個人情報でない仮名加工情報の取扱いに関するルール

次に、「仮名加工情報取扱事業者」が「個人情報」に当たらない「仮名加工情報」を取り扱う場合のルールについて説明します。

仮名加工情報の提供を受けた仮名加工情報取扱事業者が、当該仮名加工情報の作成の元となった個人情報や当該仮名加工情報に係る削除情報等を保有していない場合等、仮名加工情報が他の情報と容易に照合することができ、それにより特定の個人を識別することができる状態にない場合には、当該仮名加工情報は、個人情報（個情法２条１項）に該当しません。

ここでは、仮名加工情報取扱事業者が個人情報に当たらない仮名加工情報を取り扱う場合に従うべきルールについて見ていきます。