匿名加工情報の加工事例を以下に列挙する。
参考にした資料から確認できる範囲で、匿名加工情報の次の加工基準に基づく加工を①~⑤の番号で示す。
① 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
② 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
③ 個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)
④ 特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)【匿】
⑤ 個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること
また、参考にした資料から確認できないものを含め、上記⑤の加工基準に基づく加工であると考えられる部分には緑色と黄色のハイライトを施す。
◆卸・小売業分野
<具体例1>
ある小売店の購買履歴を含む個人情報データベース等を加工の対象とする場合において、当該小売店での購入者が極めて限定されている商品の購買履歴が含まれており、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、具体的な商品情報(品番・色)を一般的な商品カテゴリーに置き換える。(一般化)⑤
【令和4年9月一部改正 個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編))3-2-2-5】
https://www.ppc.go.jp/personalinfo/legal/guidelines_anonymous/
<具体例2>
小売事業者が収集したポイントカード等の「利用者が、いつ、どの店舗で、何をいくつ購入したか」というID-POSデータについて、次の匿名加工を行った上で、商品の仕入れ元のメーカーや卸業者に販売する場合
・会員IDは仮IDに不可逆に加工する。
・氏名・住所・電話番号は削除している。
・生年月日は含まれておらず、年齢は7区分に加工している。
・性別に関しては加工を行っていない。
・利用した店舗名はそのまま加工せず使用している。
・利用日時は日までに加工(時間を削除)している。
・業態特性として、限定品や超高級品といった希少な商品等、特定の個人を識別又は個人情報の復元につながるおそれのあるものは、取り扱っていない。そのため、購入した商品名は、加工せずにそのまま使用している。
【株式会社三菱総合研究所 匿名加工情報・個人情報の適正な利活用の在り方に関する動向調査 事業者の匿名加工情報利活用事例集 平成30年3月】
https://www.ppc.go.jp/files/pdf/tokumeikakoujireisyu.pdf
<具体例3>
商店街が、新規出店を検討している事業者に対し、当該事業者が顧客層、購買日時及び購買金額を分析し、出店の可否を検討するために、顧客情報及び購買記録を匿名加工情報に加工して提供する場合
・氏名は削除。①
・会員番号は、顧客データと購買履歴を紐付けるものであるため、削除。③
・生年月日は、住所との組合せにより個人の特定につながる可能性があるため、年代ごとの区分に置き換える(丸め)。①
・住所は、生年月日との組合せにより個人の特定につながる可能性があるため、丁目単位までとし、それより細かい情報を削除する(丸め)。①
・購買店は、購買店種に置き換える(丸め)。⑤
・購入日時は、購買店や購買総額と組み合わせることにより個人の特定につながる可能性があるため、購入日を曜日に置き換え、購入時間を1時間ごとの区分に置き換える(丸め)。ただし、高頻度の購入を行っているものについては削除。⑤
・購入総額は、購入日時と組み合わせることにより個人の特定につながる可能性があるため、200円ごとの区分に置き換える(丸め)。⑤
・付与ポイントは、提供先において不要な情報であるため、削除。
・購入品のうち極めて限定された商品の購入については、削除。⑤
【一般財団法人日本情報経済社会推進協会(JIPDEC) 匿名加工情報の事例集 2017年7月7日】
https://www.jipdec.or.jp/project/protection_org/u71kba000000pgja-att/JIPDEC_AOP_006.pdf
◆医療・介護分野
<具体例1>
小学校の身体検査の情報を含む個人情報データベース等を加工の対象とする場合において、ある児童の身長が170㎝という他の児童と比べて差異が大きい情報があり、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、身長が150cm以上の情報について「150㎝以上」という情報に置き換える。(トップコーディング)⑤
【令和4年9月一部改正 個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編))3-2-2-5】
https://www.ppc.go.jp/personalinfo/legal/guidelines_anonymous/
<具体例2>
調剤薬局が取り扱う処方箋に含まれる患者情報(年齢・性別)及び調剤情報(薬局、調剤年月日、薬剤名)について、匿名加工を行った上で、専門シンクタンクに提供する場合
・氏名・電話番号・住所は削除。
・年齢は5歳幅で丸め、85歳以上は全て85歳以上としている。
・IDはハッシュ化して異なる記号等に変換している。
・医療機関、診療科はハッシュ化して異なる記号等に変換して判別できないように加工。
・調剤年月日は時刻を削除。
・処方されることが稀な薬(オーファンドラッグ)が処方されている場合等、k≦3(*)となってしまうケースでは調剤薬局の店舗コードその他の項目を削除し、k≧4となるようにしている。
【株式会社三菱総合研究所 匿名加工情報・個人情報の適正な利活用の在り方に関する動向調査 事業者の匿名加工情報利活用事例集 平成30年3月】
https://www.ppc.go.jp/files/pdf/tokumeikakoujireisyu.pdf
<具体例3>
健康保険組合が保有するレセプトデータ(健診履歴を含む)について、次の匿名加工を行った上で医療DB事業者に提供する場合
・氏名・住所・電話番号・郵便番号・記号・番号は削除。
・生年月日は月までに加工。
・被保険者の管理用IDは、任意IDに不可逆な形で毎月加工している。
・診察を受けた医療機関(調剤薬局も含む)が特定されないよう、病院名、住所、郵便番号等を削除している。
・コード化できない特殊な服薬方法の指示等のテキストデータは、まれに個人の氏名等を含んでいることがあるため、全て削除している。
・健診履歴に関しては、身長・体重は個人が特定されやすいため削除し、一部の機微性の高い疾病の情報も削除している。
・テキストデータに関しては、個人情報を含んでいることがあるため全て削除している。
【株式会社三菱総合研究所 匿名加工情報・個人情報の適正な利活用の在り方に関する動向調査 事業者の匿名加工情報利活用事例集 平成30年3月】
https://www.ppc.go.jp/files/pdf/tokumeikakoujireisyu.pdf
<具体例4>
介護事業者が保有する介護データ(ケアプラン、アセスメント情報等)について、次の匿名加工を行った上でケアプラン分析・提案事業者に提供する場合
・氏名・電話番号・住所・生年月日は削除し、年齢は100歳以上を全て「100歳以上」に統一している。
・利用者のIDは復元できないように別のIDに置換している。
・性別に関しては加工を行っていない。
・事例の少ない特殊なデータは削除している。
・アセスメント情報に含まれる自由記載のテキストデータは、個人名等の予期しない個人情報が含まれる可能性があるため病名の項目を除いて全て削除している。
【株式会社三菱総合研究所 匿名加工情報・個人情報の適正な利活用の在り方に関する動向調査 事業者の匿名加工情報利活用事例集 平成30年3月】
https://www.ppc.go.jp/files/pdf/tokumeikakoujireisyu.pdf
<具体例5>
医療DB事業者が、医療機関にてレセプト(診療報酬明細書)のデータやDPC(Diagnosis Procedure Combination)のデータを基に次のとおり匿名加工されたデータの第三者提供を受けている場合
・氏名と電話番号は削除。
・生年月日は生年月に加工したデータを受領し、入院時年齢に変換したうえで、100歳以上のデータは一律「100歳以上」に変換。
・郵便番号は下4桁を削除。
・各種保険証に関する情報は、保険者番号(健康保険事業の各運営主体を指す番号)のみに変換。
・性別のみそのまま利用。
・傷病名は傷病名コードを受領し、保有する傷病名マスタを当て込み名称を再定義。
・処置情報と薬剤名は加工なし。
【株式会社野村総合研究所 パーソナルデータの適正な利活用の在り方に関する実態調査 事例集サマリ 2020年3月】
https://www.ppc.go.jp/files/pdf/personal_date_cases_summary2019.pdf
<具体例6>
医療DB事業者がレセプトデータやDPCデータを元に次のとおりに作成した匿名加工情報の提供を受け、データ分析業者に第三者提供したのち、データ分析結果を薬剤の安全性評価等に活用している場合
・氏名と電話番号は削除。
・生年月日は生年月に加工したデータを受領し、入院時年齢に変換したうえで、100歳以上のデータは一律「100歳以上」に変換。
・性別、身長、体重は加工なし。
・傷病名は傷病名コードを受領し、保有する傷病名マスタを当て込み名称を再定義。
・臨床検査結果データは一部の病院から提供されたデータのみ単位を調整。
・処置情報と薬剤名は加工なし。
【株式会社野村総合研究所 パーソナルデータの適正な利活用の在り方に関する実態調査 事例集サマリ 2020年3月】
https://www.ppc.go.jp/files/pdf/personal_date_cases_summary2019.pdf
<具体例7>
ヘルスケア事業者がサービス(健診機関や企業から健診データを預かり、それをアプリで個人が閲覧できるサービス)を通じて収集した健診データを匿名加工し、研究機関に第三者提供して共同研究を行っている場合
・氏名、住所、会社名は削除。
・サービスIDは別IDに置換え。
・生年月日は生年月に加工。
・年齢は加工なし。ただし、90歳以上のデータは匿名加工の対象外としている。
・検査数値は加工なし。
【株式会社野村総合研究所 パーソナルデータの適正な利活用の在り方に関する実態調査 事例集サマリ 2019年3月29日】
https://www.ppc.go.jp/files/pdf/jireisyu_summary_201903.pdf
<具体例8>
健康保険組合が保有する組合員の医療健康情報について匿名加工情報の作成を行い、匿名加工後の情報を医療健康情報サービス事業者へ第三者提供を行う場合
・氏名、住所、生年月日、保険者番号、保険証記号・番号、加入日・脱退日、個人識別キーは削除。
・制度区分、性別、続柄はk-匿名化をベースとした加工
・個人識別キー、レセプトキー、医療機関は削除。
・診療年月は個人の生年月からの月数に置換え。
・傷病名は削除して傷病コードを掲載。
・診療行為コードは特異な診療行為を除外。
・医薬品情報は特異な医薬品情報を除外
・健診受診年月日は個人の生年月からの月数に置換え。
・検査値は外れ値を処理(トップコーディング、ボトムコーディング)。
・問診項目は加工なし
【株式会社野村総合研究所 パーソナルデータの適正な利活用の在り方に関する実態調査 事例集サマリ 2019年3月29日】
https://www.ppc.go.jp/files/pdf/jireisyu_summary_201903.pdf
◆不動産分野
<具体例1>
不動産開発事業者が地域限定で発行しているポイントカードの登録情報や利用履歴データを次のとおりに匿名加工し、研究機関に第三者提供している場合
・氏名は削除。
・生年月日は年齢に変換。
・住所は都道府県単位に変換。
・性別、保有ポイント数はそのまま利用。
・ポイントカードを利用した店舗名は飲食店等の店舗種別に加工。
・利用日時は時間帯別に加工。
・商業施設名、購入金額は加工なし。
【株式会社野村総合研究所 パーソナルデータの適正な利活用の在り方に関する実態調査 事例集サマリ 2020年3月】
https://www.ppc.go.jp/files/pdf/personal_date_cases_summary2019.pdf
<具体例2>
住宅事業者が自社の契約住宅から取得したHEMS(Home Energy Management System)データを以下のとおりに匿名加工し、データ分析会社等の第三者に販売提供している場合
・表示器IDはハッシュ関数による変換をして別IDに置換え。
・郵便番号は下4桁を削除。
・住宅面積は4区分(100㎡未満/100~120㎡未満/120~140㎡未満/140㎡以上)に置換え。
・家族人数は4区分(1人/2人/3人/4人以上)に置換え。
・太陽光発電容量は4区分(3kW未満/3~4kW未満/4~5kW未満/5kW以上)に置換え。
・分岐ブレーカ名は内部で定めた手順に従って加工。
・給湯器種別のみそのまま利用。
・消費電力量と発電量は極めて大きい値の表示器の情報を削除。
・買電量と売電量は加工なし。
【株式会社野村総合研究所 パーソナルデータの適正な利活用の在り方に関する実態調査 事例集サマリ 2020年3月】
https://www.ppc.go.jp/files/pdf/personal_date_cases_summary2019.pdf
◆資金決済分野
<具体例1>
クレジットカードユーザのカード利用情報を、カード会社が匿名加工し、分析会社に第三者提供している場合
・カード番号と氏名は削除。
・カードユーザIDは別IDに置換え。
・住所は都道府県単位に加工。
・年齢は5歳刻みに加工。
・入会日は入会年月に加工。
・性別のみそのまま利用
・カード利用日は2週間単位に加工。
・利用店舗情報は店舗業種に加工。
・利用金額のみ加工なし
【株式会社野村総合研究所 パーソナルデータの適正な利活用の在り方に関する動向調査 事例集 サマリ 2019年3月29日】
https://www.ppc.go.jp/files/pdf/jireisyu_summary_201903.pdf
<具体例2>
クレジットカード事業者が収集した利用者の属性や利用履歴について、匿名加工を行った上で研究機関に提供し、マーケティングや商品開発に関する分析等を依頼する場合
氏名・電話番号・生年月日は削除。
住所は市町村までに加工。
カード利用者の年収は100万円単位(クレジットカードの会員規模から判断)に加工。
属性情報・資産(預貯金)その他入会審査に用いる項目については、個人情報保護委員会ガイドラインを参考に社内ルールを策定して加工。
カード利用・取引履歴、付帯サービス利用履歴、問合せ履歴、その他についても、個人情報保護委員会ガイドラインを参考に策定した社内ルールに基づいて匿名加工を実施。
【株式会社三菱総合研究所 匿名加工情報・個人情報の適正な利活用の在り方に関する動向調査 事業者の匿名加工情報利活用事例集 平成30年3月】
https://www.ppc.go.jp/files/pdf/tokumeikakoujireisyu.pdf
◆自動車分野
<具体例1>
物流事業者がドライバーの運行情報および生体情報を匿名加工し、その情報を研究機関へ第三者提供を行っている場合
・社員IDは別IDに置換え。
・性別、生年月、生体情報(体温など)は加工なし
・ドライブレコーダーによる動画は動画撮影対象の当該個人が特定できないようにモザイク処理。
・運行情報(時間、距離、速度など)は加工なし
【株式会社野村総合研究所 パーソナルデータの適正な利活用の在り方に関する実態調査 事例集サマリ 2019年3月29日】
https://www.ppc.go.jp/files/pdf/jireisyu_summary_201903.pdf
<具体例2>
整備工場が、自動車販売店に対し、自動車販売店が自動車販売のマーケティングに活かすために、顧客情報及び車両情報を匿名加工情報に加工して提供する場合
・氏名は削除。①
・生年月日は年代ごとの区分に置き換える(丸め)。①
・性別は加工なし。
・住所は削除。①
・車両情報は、1台しか存在しない車(1960年代式クラウン、1966年式カローラなど)のみを削除。④
・車両モデルは加工なし。
・車両エンジン及びフレーム番号は削除。⑤
・車両の色番は、色の系統ごとの区分に置き換える(丸め)。⑤
【一般財団法人日本情報経済社会推進協会(JIPDEC) 匿名加工情報の事例集 2017年7月7日】
https://www.jipdec.or.jp/project/protection_org/u71kba000000pgja-att/JIPDEC_AOP_006.pdf
◆移動履歴及び位置情報を取り扱う分野
<具体例1>
移動履歴を含む個人情報データベース等を加工の対象とする場合において、自宅や職場などの所在が推定できる位置情報(経度・緯度情報)が含まれており、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、推定につながり得る所定範囲の位置情報を削除する。(項目削除/レコード削除/セル削除)
【令和4年9月一部改正 個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編))3-2-2-5】
https://www.ppc.go.jp/personalinfo/legal/guidelines_anonymous/
<具体例2>
個人がスマートフォン等の携帯端末を通じてWi-Fiを利用する際に取得される位置情報を二次利用するために、その位置情報のデータを通信会社が匿名加工して、第三者提供する場合
・MACアドレスは別IDに置換え。
・言語は加工なし(ただし、少数となった場合は削除などの対応を行う)
・取得時刻は15分単位に加工。
・地点名は加工なし(ただし、少数となった場合は削除などの対応を行う)
【株式会社野村総合研究所 パーソナルデータの適正な利活用の在り方に関する実態調査 事例集サマリ 2019年3月29日】
https://www.ppc.go.jp/files/pdf/jireisyu_summary_201903.pdf
<具体例3>
各地域で訪日外国人からデータを取得した事業者(ローカルプラットフォーム事業者)が、経済産業省が推進する「おもてなしプラットフォーム」の運営事業者に加工を委託して匿名加工情報を作成し、その後各ローカルプラットフォーム事業者からおもてなしプラットフォーム運営事業者に匿名加工情報を第三者提供している場合
・氏名、住所、電話番号、メールアドレスは削除。
・IDは別IDに置換え。
・生年月日は生年月に加工。
・国籍、性別、その他趣味嗜好情報は加工なし(国籍やその他趣味嗜好が特殊な場合は対応を行う)
・移動情報について、移動日時は秒を削除、緯度・経度は加工なし。
・決済・購買情報について、決済日時は秒を削除、決済金額はトップコーディング、店舗名・店舗種別・場所は加工なし。
・サービス利用情報について、サービス利用日時は秒を削除、サービス種別・店舗施設種別・場所は加工なし。
・閲覧情報について、閲覧日時は秒を削除、閲覧チャネル・閲覧情報種別・場所は加工なし
【株式会社野村総合研究所 パーソナルデータの適正な利活用の在り方に関する実態調査 事例集サマリ 2019年3月29日】
https://www.ppc.go.jp/files/pdf/jireisyu_summary_201903.pdf
<具体例4>
歩行者や自転車の経路サービスを行っている事業者が、自治体から駐輪場、自転車・歩行者の通行帯を設置する計画立案の委託を受けた事業者に対し、サービス利用者の移動履歴を匿名加工情報に加工して提供する場合
・メールアドレスは、単体で個人を特定できる可能性があるため、削除。①
・IDは、提供者内部での管理番号として機能しており、管理番号を起点に個人を特定できる可能性があるため、削除。③
・性別は、住所及び年齢との組合せにより個人の特定につながる可能性があるため、削除。
・職業は、少ない職種については他の情報との組合せにより個人の特定につながる可能性があるため、削除。①
・緯度は、職場等が特定される可能性があるため、下2桁を削除。⑤
・経度は、職場等が特定される可能性があるため、下2桁を削除。⑤
・年齢は、住所及び性別との組合せにより個人の特定につながる可能性があるため、年代ごとの区分に置き換える(丸め)。①
・時間は、加工なし。
・日付は、加工なし。
・行動履歴のうち5人未満の行動履歴は削除。⑤
・移動履歴のうち提供を求められた駅を中心とした半径500mのデータ以外は削除(当該エリアには個人・集合住宅がなく、個人が特定される可能性は低いと判断できるため)。⑤
【一般財団法人日本情報経済社会推進協会(JIPDEC) 匿名加工情報の事例集 2017年7月7日】
https://www.jipdec.or.jp/project/protection_org/u71kba000000pgja-att/JIPDEC_AOP_006.pdf
◆その他の分野
<具体例1>
税理士事務所・公認会計士事務所が保有する企業データ(企業情報、役員情報(役職、年齢、報酬、退職金等)、従業員の賃金指標等)について、次の匿名加工を行った上でシステム事業者に提供する場合
・氏名・電話番号・住所・生年月日は削除している(個人が特定できる項目はシステムで自動的に削除される。また、各会員が入力する場合は、個人が特定できる項目を除いた入力フォームを提供しており、各会員が入力した時点で匿名加工情報となる。)。年齢、性別に関しては加工を行っていない。
・企業名は含まない。
・財務経営指標を管理する別システムと、同システムで用いる企業コードを用いて紐付けることで、企業が存在する都道府県・業種・売上規模等の項目を含んでいる。企業数が少ない特殊な業種の場合、都道府県別で検索し、該当する企業数が一定数以下となる場合は、都道府県ごとでの表示は不可能としている。
・役職、報酬・賃金の額及び支給実績、勤続年数、退職金の支給額等を含み、これらの情報については加工していない。
【株式会社三菱総合研究所 匿名加工情報・個人情報の適正な利活用の在り方に関する動向調査 事業者の匿名加工情報利活用事例集 平成30年3月】
https://www.ppc.go.jp/files/pdf/tokumeikakoujireisyu.pdf
<具体例2>
生命保険会社が保険商品等を通じて収集した健診データ等を匿名加工し、外部研究機関に第三者提供し共同研究を行っている場合
・年齢、生年月日、性別はk-匿名化をベースとした加工。
・住所は市町村単位までに加工し、母数が少なく匿名性が確保できない地域は削除。
・職種と年収については、加工前のデータがいくつかの区分に分類されたデータであるため、年収については加工なし、職種については該当者数が少ない職種を「その他」に加工している。
・顧客IDについては、ハッシュ関数による変換をして、別IDに置換え。
・保険種類は加工なし。
・払込保険料は千円単位に置換。またトップコーディング、ボトムコーディングにより外れ値を処理。
・検査値は、外見(身長、体重等)に関する情報については、外れ値を処理(トップコーディング、ボトムコーディング)。
・ライフログ(歩数、運動時心拍数等)、ポイント獲得状況は加工なし。
【株式会社野村総合研究所 パーソナルデータの適正な利活用の在り方に関する実態調査 事例集サマリ 2020年3月】
https://www.ppc.go.jp/files/pdf/personal_date_cases_summary2019.pdf
<具体例3>
質屋が、調査会社に対し、調査会社が該当地域における本人確認書類の利用状況を調査及び分析するため、顧客情報を匿名加工情報に加工して提供する場合
・氏名は、単体で個人を特定できるため、削除。①
・住所は、生年月日との組合せにより個人の特定につながる可能性があるため、削除。①
・管理番号は、顧客マスターデータベースと取扱いデータベースを紐付けるものであるため、削除。③
・生年月日は、住所との組合せにより個人の特定につながる可能性があるため、年代ごとの区分に置き換える。また、19歳以下については20代までにまとめる。①
・性別は加工なし。
・職業は、提供先において不要なため削除。
・身分証明書の種類は加工なし。
・身分証明書の番号は、単体で、または身分証明書の種類と共に個人を特定できるため、削除。①②
・身分証明書の有効期間は、提供先において不要なため削除。