« 2016年11月 | トップページ

2017年2月22日 (水)

匿名加工情報に「仮ID」という用語を使うことに違和感がある

国立情報学研究所が「匿名加工情報の適正な加工の方法に関する報告書」を公表した。

匿名加工情報の適正な加工の方法に関する報告書を公表/NII「匿名加工情報に関する技術検討ワーキンググループ」

 

この報告書を読んだところ、内容はよく整理されていており有益であるにもかかわらず、文章を読むときに違和感を覚えた。
この違和感は、なんだろうと考えたところ、それは、この報告書そのものではなく、改正個人情報保護法のために個人情報保護委員会が作成したガイドラインのひとつである「個人情報の保護に関する法律についてのガイドライン (匿名加工情報編)」によるものであることに気づいた。

個人情報保護委員会「改正法の施行準備について」

このガイドラインの内容について気にしていたものの、用語については、これまであまり気にしていなかった。
しかし、改めて用語を気にして読んでみると、「仮ID」という用語に違和感がある。むしろ、誤用ではないかと思えたので、その違和感について紹介してみる。

「個人情報の保護に関する法律についてのガイドライン (匿名加工情報編)」には、IDを含む用語が「ID」「会員ID」「管理用ID」「仮ID」の4つある。
これら4つを、どう使い分けているのかを整理してみる。

「ID」について特に説明はないが、

個人情報取扱事業者が個人情報を取り扱う上で、例えば、安全管理の観点から取得した個人情報を分散管理等しようとするために、当該個人情報を分割あるいは全部又は一部を複製等した上で、当該個人情報に措置を講じて得られる情報を個人情報と相互に連結するための符号としてID等を付していることがある。このようなIDは、個人情報と当該個人情報に措置を講じて得られる情報を連結するために用いられるものであり、特定の個人の識別又は元の個人情報の復元につながり得ることから、加工対象となる個人情報から削除又は他の符号への置き換えを行わなければならない。
個人情報と当該個人情報に措置を講じて得られる情報を連結する符号のうち、「現に個人情報取扱事業者において取り扱う情報(※1)を相互に連結する符号」がここでの加工対象となる。具体的には、ここで対象となる符号は、匿名加工情報を作成しようとする時点において、実際に取り扱う情報を相互に連結するように利用されているものが該当する。例えば、分散管理のためのIDとして実際に使われているものであれば、管理用に附番されたIDあるいは電話番号等もこれに該当する。

なお、他の符号に置き換える場合は、元の符号を復元できる規則性を有しない方法でなければならない。

【想定される加工の事例】
事例1)サービス会員の情報について、氏名等の基本的な情報と購買履歴を分散管理し、それらを管理用IDを付すことにより連結している場合、その管理用IDを削除する。
事例2)委託先へ個人情報の一部を提供する際に利用するために、管理用IDを付すことにより元の個人情報と提供用に作成した情報を連結している場合、当該管理用IDを仮ID(※2)に置き換える。

という文章の中に、「当該個人情報に措置を講じて得られる情報を個人情報と相互に連結するための符号としてID等を付していることがある」という表現があることから、「ID」は、「当該個人情報に措置を講じて得られる情報を個人情報と相互に連結するための符号」としているようである。

「会員ID」についても、特に説明はないが、

会員ID、氏名、住所、電話番号が含まれる個人情報を・・・

という文脈で登場することから、暗に「氏名、住所、電話番号と共に保存されているID」を指しているようである。

「管理用ID」についても、説明はない。

事例1)サービス会員の情報について、氏名等の基本的な情報と購買履歴を分散管理し、それらを管理用IDを付すことにより連結している場合

という文脈で登場することから、「氏名等の基本的な情報と購買履歴を分散管理し、それらを連結しているID」のことのようである。

で、本題の「仮ID」であるが、

仮IDを付す場合には、元の記述を復元することのできる規則性を有しない方法でなければならない。

という注記として、このガイドラインの中では最初に登場することになる。

このような書き方は、法令等の条文によく見られるのだが、実務現場で誤解を生じやすい。
この文体は、実は、2つのことを一つの文で兼ねさせているのである。
例えば、これが規格文書であれば、以下のような2文で記述することになる。

(1)IDを付す場合には、元の記述を復元することのできる規則性を有しない方法でなければならない。
(2)元の記述を復元することのできる規則性を有しない方法で付されたIDのことを、仮IDと言う。

(1)は、行為の要件を規定しており、(2)は用語を定義している。
実務現場で誤解を生じやすいと書いたが、ようは、法律を勉強したことのない一般の人からすると、後者の2つに分けた文章の方がわかりやすいということだ。

どういう誤解が生じるかというと、

仮IDを付す場合には、元の記述を復元することのできる規則性を有しない方法でなければならない。

という文章を読んだときに、一般の人は、語尾が「しなければならない」であることから、この文章は遵守事項の文だと考える。
このときに、文中に用語定義が内包されているというふうには読みにくい。
そのため、

IDを付す場合には、元の記述を復元することのできる規則性を有しない方法でなければならない。

というようなつもりで読む。
しかし実際の文章は、「仮IDを付す場合には、」で始まっているために、
「仮IDには、元の記述を復元することのできる規則性を有するものと、有しないものの2種類がある」という誤解を生じやすい。
よくよく読むと、一般の人でも、

仮IDを付す場合には、元の記述を復元することのできる規則性を有しない方法でなければならない。

には、

元の記述を復元することのできる規則性を有しない方法で付されたIDのことを、仮IDと言う。

という意味合いが含まれていることに気づけるが、そのように読むことに慣れてはいない。

その結果、現場では、「仮IDには、元の記述を復元することのできる規則性を有するものと、有しないものの2種類があり、有しないようにしなければならない」として、「仮ID」という用語が使われ始めてしまう。
これは、用語が不正確だが、「元の記述を復元することのできる規則性を有しない」ことが必要であることは伝わっているので、一見すると問題ないように思えるかもしれない。
しかし、問題なのは、「元の記述を復元することのできる規則性を有するもの」も「仮ID」と呼ばれてしまいかねないということである。

要件を満たしていることを期待している人が「これ、仮IDになってる?」と確認したときに、
要件を満たしていないことをしている人が「うん。それは仮IDだよ」という仮性対話が発生してしまいかねないということだ。

そのことを踏まえれば、法条文に読み慣れていない人が読むことも想定されるガイドラインで、わざわざ、わかりにくい文章にする必要はない。
わかりやすさを優先して、素直に、

IDを付す場合には、元の記述を復元することのできる規則性を有しない方法でなければならない。
元の記述を復元することのできる規則性を有しない方法で付されたIDのことを、仮IDと言う。

と2文で書けばよいだけのことだ。

この誤解と懸念は、文章構成によるもので、この「仮ID」に限ったことではないのだが、ここで「仮ID」には大きな罠がさらにある。

それは、以上を踏まえた上で、「仮ID」という用語に違和感はないだろうか?
繰り返すが、

元の記述を復元することのできる規則性を有しない方法で付されたIDのことを、仮IDと言う。

となるわけである。
普通に考えて、そのような要件を満たすものに「仮」という日本語を使うことに違和感はないだろうか?
日常生活で「仮」といったら、いずれ「本物」になるものとかの意味ではないだろうか。
今回の使い方は、むしろ、逆で、本物に相当するものがあった上で、後から付されるIDなのである。

本物IDがあって、それを加工するなら、「代替ID」などが自然だろう。
しかし、もともとのものにIDがなく、新たにIDを付す場合もあるので、そうなると「代替」というのも不自然である。
「一時的ID」か?というと、永続的に使うこともあり得るので、「一時的」でもない。

そこで、この用語の定義に戻ってみると、

元の記述を復元することのできる規則性を有しない方法で付されたIDのことを、XXと言う。

のXX部分の用語を決めようとしているのであるから、そこに端を発すれば、たとえば「規則的復元不可能ID」などにすれば、直感的にわかりやすい。
一方で、そもそも、「元の記述を復元することのできる規則性を有しない」ことの目的は、「特定の個人を識別できない」ようにすることなわけだから、「特定個人非識別ID」と言うこともできる。
その意味では、「特定の個人を識別しないが、ある個人を識別している」ことを、「個人識別非特定」と整理した時期もあった。
それに習うなら、「個人識別非特定ID」と呼べそうである。
その場合、IDとは、Identifierのことで識別符号であるから、「個人識別非特定」の内の識別の意味はIDという用語に元からあるため、「個人非特定ID」と呼んでも、表現としては足りそうである。

あるいは、匿名加工情報の中で使うのだから、「匿名加工ID」などでも、「仮ID」よりはましだろう。「匿名加工」を単独で使うと、それが非識別非特定なのか、識別非特定なのかの区別がつかないものの、「匿名加工ID」や「匿名用ID」、「匿名ID」であれば、先に説明したように、IDそのものに識別の意味があるので、それが識別非特定であることは自明とも言える。

いずれにしても、現場では、「これ、XXになってる?」という会話で、誤解なく伝わるようにすることに配慮することが重要であろう。
このとき、
「これ、仮IDになってる?」というのと、
「これ、個人非特定IDになってる?」というのと、どちらが誤解なく伝わるかということだ。

以上のようなことを気にしてみると、「仮ID」という用語を使うのは、日本語の使い方として乱暴すぎると思う。

同様の懸念は、「管理用ID」という用語にもあるが、長文になったので、説明を省いて結論だけ書くと、同様の理由で、ガイドラインにある「管理用ID」は「個人特定ID」などと呼ぶことにした方が、わかりやすい。
そのようになれば、ガイドラインにある

管理用IDを仮IDに置き換える

という文章は、

個人特定IDを個人非特定IDに置き換える

という文章にできるのである。

個人特定IDと、個人非特定IDというのは、あくまで、例示だ。
ガイドラインでは、「連結」という表現をたびたびしているので、連結IDと非連結IDなども考えられる。さらには、先に紹介したとおり、「仮ID」については、「匿名用ID」でもよいかもしれない。そもそも、なんとかIDという呼び方にこだわらなければ、現状のガイドラインの内容からすると「仮名」でよく、それなら、英語でも「pseudonym」に訳せるようになる。

いずれにせよ、管理用IDと仮IDよりは、余程わかりやすいと思う。

そのような、わかりやすさに配慮して、用語を慎重に決めることが重要だと思う。

このままだと、匿名加工情報における適切なIDが、「仮ID」という呼び名で世の中に広まることには語感としての違和感があるし、何より誤解されやすいと思う。

2月 22, 2017 | | コメント (0) | トラックバック (0)