GDPRでは、GDPRを適用する個人データの線引きとして「匿名化されたデータ」と「仮名化されたデータ」を定めています。それぞれどういった違いがあるのでしょうか。
「匿名化」されたデータ
匿名化されたデータとは、個人データの識別・特定が不可能なデータのことを指します。識別や特定が不可能ということは、つまりあらゆる手段を用いても元のデータに復元することができないということです。
GDPR条文の全文に、以下のような記載があります。
データ保護の原則は、「匿名の情報、すなわち、識別された、または識別可能な自然人に関係しない情報、またはデータの主題が識別できない、またはもはや識別できないような形で匿名化された個人データ」には適用されない。 したがって、この規則は、統計的または研究目的を含む、そのような匿名の情報の処理には関係しない。
このことからわかるように、GDPRでは匿名データは適用対象外となっています。
例として、小売店などでは会員証やポイントカードに記録された顧客の購買データを匿名化し、メーカーに情報を提供しています。企業間の個人データの受け渡しはGDPRに則ると制裁対象になり得ますが、このケースでは取得した個人データを匿名データに加工して提供しているため、問題ないということになります。
「仮名化」されたデータ
仮名化されたデータとは、その他の追加情報によって個人の特定が可能なデータのことを指します。
顧客の住所、氏名、電話番号などをいったん別の文字列に変換することで仮名化されたデータとなり、顧客IDなどと照合することで元の個人データに変換し直すことが可能です。
また、GDPRで特に取扱いが注目されているクッキーなども、別のデータと照合することで個人を特定することが可能なため、仮名化されたデータに位置づけられます。
他の記事でもすでに紹介していますが、クッキーなどの仮名化されたデータはGDPRの適用範囲となっています。
匿名化と仮名化のどちらを優先すべきか
匿名化の方がGDPRの適用対象にならない分、メリットが大きいように思えますが、企業活動を考慮すると復元不可能なデータ(=活用できる場面が限られる)匿名化よりも、仮名化をメインとして進めるべきと言えます。
管理体制の整備や技術力の底上げを行い、安全性の高い状態の中で仮名化データを取り扱うことを目指していくべきでしょう
0コメント