PR

匿名加工の手法はリスクベースが主流

 美馬氏は気になる点として「連結可能匿名化」の医療分野における適用を挙げる。連結可能匿名化とは、個人情報から氏名や連絡先などの識別情報を取り除く代わりに、個人を識別できる符号や番号などを残しておいて、必要な場合に「対応表」を用いて個人を識別する方法である。厚生労働省の「臨床研究に関する倫理指針」にも登場する考え方であり、匿名加工情報から重い疾病や医薬品の副作用の可能性が判明したとき、本人に通知する目的などに使用される。もちろん権限が無い人が個人を識別できないように、符号と個人をひも付けした「対応表」は厳重に管理されなければならない。「学術研究は個人情報保護法の適用除外になるので連結可能匿名化を利用できるはずだが、学術研究と疫学研究の間に抜け落ちる領域が出るのではないかと心配している」(美馬氏)。

 このほか「属性推定」によるプライバシー侵害にどのように対応するかという課題も残っている。例えば、代表的な匿名化手法に、同じ値の組み合わせが最低でもk個存在するように複数項目の値区分を調整する「k-匿名化」がある。だが項目の組み合わせによっては「リストに記録された30代男性の趣味はすべてアニメ」ということが起こり得る。これは、30代の男性であれば「趣味がアニメ」というプライバシーが明らかになることを意味する。「これを防ぐ方法は、いまのところ担保されていない」(美馬氏)。

k=3のk-匿名化で30代男性の趣味がアニメであることが明らかになる事例
k=3のk-匿名化で30代男性の趣味がアニメであることが明らかになる事例

 いずれにしても、どのような匿名加工の方法を使っても、厳密に言えば「完全な匿名化」を保証することはできない。このため海外ではリスクベースの加工手法が主流になっているという。これはリスクを評価するための適切な統計的手法や科学的手法を決定した上で、リスクが一定以下になるまで「PDCA(plan-do-check-act)」の考え方を用いて、加工方法を繰り返し調整していくというものだ。