ビッグデータ活用の鍵を握る個人データ匿名化の日米比較：ビッグデータ利活用と問題解決のいま（2/3 ページ）

[笹原英司，ITmedia]

「FTC3要件」の厳守が前提条件となる米国のデータ非識別化

　日本の「個人識別符号」「匿名化」に関わるルールに対して、米国では「個人識別情報（Personal identifying information）」「識別子（Identifier）」「非識別化（De-identification）」といった言葉を使いながら、具体的なルールを策定している。

　例えば、連邦取引委員会（FTC）は、従来は個人情報を、個人を特定または識別するために用いられる「個人識別情報（Personal identifying information）」（氏名、電子メールアドレス、住所、電話番号、社会保障番号、クレジットカード番号など）と、それだけでは個人を特定・識別するために利用できない「非識別情報（Non-identifying information）」（年齢、性別、学歴、収入、趣味など）の2つのカテゴリーに分類してきた。

　その後の2012年3月26日、FTCは「急速に変化する時代における消費者プライバシーの保護」と題する報告書を公表（関連情報）し、プライバシー保護のための新しいフレームワークとして、「プライバシー・バイ・デザイン」「消費者への簡潔な選択肢の提供」「透明性の確保」を提唱した。そして、フレームワークの適用対象事業者が、プライバシー／個人情報保護のために順守すべき3つの要件（いわゆる「FTC3要件」）を、以下のように示している。

• 事業者は、そのデータの非識別化を確保するために合理的な措置を講ずるべきである
• 事業者は、そのデータを非識別化された形態で保有および利用し、そのデータの再識別化を試みないことを、公に約束すべきである
• 事業者がかかる非識別化されたデータを他の事業者に提供する場合には、それがサービス提供事業者であろうとその他の第三者であろうと、その事業者がデータの再識別化を試みることを契約で禁止すべきである

　過去には、米国のオンラインコンテンツ配信企業Netflixが、非識別化したユーザーの視聴履歴データを提供し、映画推薦アルゴリズム開発コンテストを実施した際、Amazonが運営する「インターネット・ムービー・データベース（IMDb）」で公開されているユーザーレビューと紐づけると、非識別化データに含まれたユーザーの一部を再識別できてしまうことが発覚した。これについてFTCからプライバシーに関する懸念を指摘され、中止に追い込まれたケースがある（関連PDF）。

　3要件の違反事案に対してFTCは、「不公正または欺瞞（ぎまん）的な取引行為・慣行は違法である」と規定したFTC法5条の下で、民事罰、差止命令、損害賠償請求などの措置を講じる姿勢を示している。

厳格管理が要求される米国の健康医療分野の個人データ匿名化

　米国では、複数の所管官庁を前提としたマルチステークホルダーアプローチが一般的であり、業種・業界によってFTC以外の省庁の規制もデータの非識別化に関わってくる。

　例えば、健康医療分野では2012年11月26日、保健福祉省（HHS）が「医療保険の携行性と責任に関する法律（HIPAA）プライバシー規則に準拠した保護保健情報の非識別化方法に関するガイドライン」を公表している（関連情報）。

　個人を識別しない保健情報で、その情報が個人を識別するために利用可能であると信じるに足る相当な基盤が無いものを、「非識別化された保護保健情報（De-identified protected health information）」と定義している。

　同ガイドラインでは下の図に示す通り、非識別化の方法として提供された情報から個人が特定されるリスクがとても低いことを統計専門家が確認する「専門家による決定（Expert Determination）」方式と、個人の特定につながり得る18項目^※の直接識別子を取り除く「セーフハーバー（Safe Harbor）」方式を規定している。

※18項目＝氏名、住所、日付、電話番号、FAX 番号、電子メールアドレス、社会保障番号（SSN）、カルテ番号、健康保険受給者番号、口座番号、証明証番号、車体番号、機器ID、WebのURL、IPアドレス、生体認証ID、顔写真、その他の固有識別番号・特徴・コード

米国HIPAAに基づく患者の保護保健情報の非識別化手法出典：米国保健福祉省「Guidance Regarding Methods for De-identification of Protected Health Information in Accordance with the Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule」（2012年11月26日）

　なお、米国HIPAAの「直接識別子」には、日本の改正個人情報保護法の「個人識別符号」にはない車体番号、機器ID、WebのURL、IPアドレスなどが含まれる。これらのフィールドを非識別化することなくデータセットを開示したり、二次利用に供したりしたら、FTC3要件違反およびHIPAA違反となる可能性があるので、注意が必要だ。