昨今では、個人情報保護の法律の順守を求める声が大きくなっていることを感じませんでしょうか。企業としては自身の顧客が何を求めているのかは常に知りたいと思うのですが、本人が許可していない情報を収集したり、他の用途で使ったり、他の企業に渡すという行為は原則禁止されています。こういった制約の強化は企業側から見ると面倒なことですが、個人情報を取り扱ってはいけないということではありません。ちゃんとした取り扱いさえ守っていれば企業自体は企業が持つべき分析の能力を損なわずに、懸念事項が解消され、スムーズにことを運ぶことができるでしょう。ここからは、個人情報の加工の方法について、ピックアップして説明致します。
仮名化(かめいか)と匿名化はよくごっちゃになりますので、覚えておきましょう。仮名化(かめいか)とは、他のデータを表現するために仮名を使用する事です。つまりは、他の文字に置き換えて元の情報をわからなくすることです。よく聞く言葉だと偽名ですね。仮名化されるのは名前に対してだけではなく、年齢や性別などに対しても行われることがあります。仮名化された文字だけ見ると誰なのかわかりませんが、仮名化の前と後の文字列は紐づいています。これを利用し、仮名化をしてからAIなどの分析の入力データとして用いることで、分析中はデータそのものは個人情報としての管理を避けつつ、算出された分析結果に対して、後から紐づけた情報に当てはめることで個人情報を知っている者のみ何の分析結果か知れるようにすることを想定しています。
一方で、匿名化とは関連するデータをすべて削除して、元の対象者や個人を特定することが理論的に不可能になるようにすることです。「名無しさん」や「40歳女性」のように、個人を特定できないようにするための変換を指します。これは抽象的な言い方をすればいいというモノではありません。「Mから始まるソフトウェアを開発、販売する世界的な企業の創業者で、世界有数の金持ちなのは?」とか、組み合わせによって特定可能となるものは匿名化とは言いません。つまり、匿名化された情報を元に戻すことができない状態としなければ、匿名化とは言いません。
違いについて分かったかと思いますので、もう少し踏み込んでみます。仮名化の話に戻りますが、仮名化の一つにトークン化というやり方もあります。トークンとは、通常はランダムな文字列をデータに割り当てることです。トークン化はもともとある情報を置換するのではなく、紐づく情報とは別に用意されます。トークンについては、十分な文字列長と複雑性を持たせ、推測を防いだり、再利用されないように生成されます。トークンを利用することで安全ではない空間ではトークンのみでやり取りし、利用する際にはトークンからもとの情報を逆引きします。自社の分析のためにも使われますが、他のシステムや組織に連携するモノでもあります。一つ例を上げると、Eコマースサイトで発注したときに付与される注文番号を想像してください。注文内容やあなたの名前や商品とは別に発行され、その番号を利用することでそれらの情報を逆引きすることができます。
もう少しWeb寄りの例を上げると、Webシステムへのログインセッションがトークン化に当たるでしょう。あるWebサイトでログインが成功すると、一般的なWebシステムはCookie形式でログインセッションを発行します。これはアカウント情報や認証情報そのものではなく、認証が成功したことを示すランダムな文字列です。このログインセッションはアカウント情報と紐づいており、ログインセッションからアカウント情報を逆引きできます。認証が成功したら、Webサイトはログインセッションをレスポンスで返却します。Webシステムに再度アクセスしたときにブラウザがトークン化されているログインセッションを渡すことで、Webサイトはログインセッションからアカウント情報を逆引きし、ログインしているアカウントに応じたサービスを展開します。こうすることで、インターネット上に認証情報そのものが行き来きするのではなく、ログインセッションという予想困難でログインのたびに変わる値で利用することができます。
トークン化の推測困難なセキュリティ面について話しましたが、個人情報の観点から見ると外に出ている情報はランダムな文字列であっても、そこから逆引きすることで特定可能な状態になりえます。例えば、ある個人に紐づいているトークンを発行しましょう。そのトークンを他の企業に渡し、その企業が名前を伏せられたトークンベースで個人の分析結果を出し、トークンを発行した企業に戻した場合、その分析結果だけもらっていたとしてもトークンから誰の分析結果かわかりえます。いくつかの企業で同じトークンが共有されている場合、実質情報を共有できている状態になりえます。つまり、他の企業に個人情報を渡していないということからも外れてしまうため、個人情報の保護は別の値に変換しておけばいいということではなく、何に紐づいているのかという観点でも確認しておく必要があるのです。
個人情報の取り扱う範囲は、本人から同意を得ていなければならない