プレスリリースが出ています。
今年5/30に施行予定の改正個人情報保護法で新設された「匿名加工情報」について、ガイドラインを補完する目的で公表されたようです。
中をさらっと読んでみて、気になった点を2つほど。
いずれも、18ページから始まる「参照リスク」の話ですが(k-匿名性絡みの話ですね)。
参照情報の入手が容易であっても、それがたとえばプロフィールのあるブログのエントリーの場合、(b)によるマッチングが必要となる。(b)は現在でも技術的には可能であるが、必要なスキルやツールが一般的とは言い難いため、参照リスクが高いとはいえない状況であるといえる。
(20~21ページ)
※ (b) は「参照情報が文章の形式でその中から該当する項目の情報を探し出してマッチングを行う必要あり(たとえば、ブログのエントリーから特定の商品の購入を探し出す。)」ことを指しています。
「必要なスキルやツール」のところには脚注が付いていて、「将来的には一般的なスキル」ということが書かれていますが…「将来的」ではなくて今でも(暇さえあれば誰でもできる)一般的なスキルだと思います。
また、論点がずれますが、ネットの「身元特定班」をナメてはいけませんね。
参照情報の入手が困難である場合とは、職場の同僚であることや、近所の酒屋の店員であることを理由に入手できる参照情報の場合である。(中略)一般には入手困難であり、参照リスクは低いといえる。
(21ページ)
法律の条文中の個人情報の定義で記されている「他の情報と容易に照合することができ」について、ガイドラインで「通常の業務における一般的な方法で、他の情報と容易に照合ができる状態」と説明していることからこのような表現になるのでしょうが、「赤の他人より身近な人に知られたくない秘密」については、保護されなくてもやむなし…ということでしょうか。
「一般には入手困難」だから「参照リスクは低い」という表現が引っかかります。
下手に厳格なルールを作ってしまうと結局使われない可能性もある「匿名加工情報」なので、「使われるために」という意図があるのでしょうが、ちょっと苦し紛れな感があります。