仮名加工情報と匿名加工情報の違い・使い分け・証跡——目的外利用の可否／第三者提供の制限／公表義務まで“実装”で揃えるー伊藤憲和

作成：伊藤憲和 2025年10月25日 仮名加工情報と匿名加工情報の違い・使い分け・証跡——目的外利用の可否 ／第三者提供の制限／公表義務まで“実装”で揃えるー伊藤憲和 先に結論（1文）：仮名加工情報は社内利活用のための加工で第三者提供は原 則禁止・権利対応や目的外利用の運用が限定、匿名加工情報は復元不能を前 提に第三者提供や公開が可能だが作成・提供の公表義務と識別禁止が伴う ——この差を台帳とログで固定すれば、誤用なくスムーズに回せる。(警察庁) 作成：伊藤憲和 / Norikazu Ito（一般情報。個別案件は弁護士・士業へ） 0. 前提（読者の条件を先置き） 対象：B2C／SaaS／EC／メディア／金融・医療・研究／自治体受託 データ：個人情報／要配慮個人情報／ログ・行動履歴／位置・購買履歴 等 処理：分析・可観測性（社内）／モデル検証／外部提供・公開（データ取引・研究 連携） 監査ログ：**誰が／いつ／どの加工方式で／何を（項目）／どの根拠条で／どこ へ（社内・社外）**扱ったか 1

作成：伊藤憲和 2025年10月25日 1. 定義（条文で足場を固める） 仮名加工情報＝個人情報を一定の措置で他の情報と照合しない限り特定でき ないよう加工した情報（法2条5項）。「個人情報としての仮名加工情報」と「個人 情報でない仮名加工情報」があり、第三者提供は原則禁止、安全管理・監督・識 別禁止等の義務が課される（41〜42条）。(警察庁) 匿名加工情報＝個人情報を復元できないよう加工して得た情報。作成時の公表 （含まれる情報の項目）と第三者提供前の公表（項目＋提供方法）が必要、識別 行為は禁止（43〜45条、施行規則）。(警察庁) 通則GL・Q&Aの位置づけ：定義・義務・例外の読み替えはPPCガイドライン（仮 名加工情報・匿名加工情報編／通則編）とQ&Aを基準にする。(警察庁) 2. 趣旨（立法目的を実務に翻訳） 個人の権利利益を損なわずに利活用を進めるため、段階的な加工概念を用意： 仮名加工情報＝社内限定活用でリスクを下げ、権利対応や目的制限を簡素化。 2

作成：伊藤憲和 2025年10月25日 匿名加工情報＝外部提供・公開も視野に、公表と識別禁止で透明性と安全性を 担保。(警察庁) 3. 来歴（改正経緯の要点） 改正法で仮名加工情報を新設、第三者提供の原則禁止・識別行為禁止・本人連 絡の禁止などを整備（41〜42条）。(e-Gov 法令検索) 匿名加工情報は当初から作成時公表／提供時公表・識別禁止をコアに運用（43 〜45条／規則）。最近のGL改訂で公表内容・扱いが整理された。(警察庁) 4. 適用条件（Yes/Noの芯｜Q→A） Q1：うちのユースケースは仮名と匿名のどっち？ A：社内分析・テストで外部提供なし→仮名加工情報。対外提供・公開・取引を視 野→匿名加工情報（復元不能が条件）。(警察庁) 3

作成：伊藤憲和 2025年10月25日 Q2：仮名加工情報は第三者へ出せる？ A：原則出せない（法令根拠がある場合等を除く）。同意があっても不可。(警察 庁) Q3：仮名加工情報に“権利対応”は要る？ A：****27〜34条（第三者提供・権利行使等）は非適用とする読み替えが示され ている一方、安全管理・従業者/委託先の監督・苦情処理等は準用。社内規程・ 台帳で説明可能にしておく。(パブリックコメント) Q4：匿名加工情報で“公表”が必要なのはいつ？何を？ A：①作成時＝含まれる情報の項目を公表／②第三者提供時＝項目＋提供方 法を事前公表。利用目的の公表は不要。(警察庁) Q5：識別行為の禁止は？ A：仮名・匿名とも他情報との照合で本人識別する行為はNG（条文に明記）。 (e-Gov 法令検索) 5. 例外・但し書き（誤解しやすい境界） 4

作成：伊藤憲和 2025年10月25日 「仮名なら目的外に同意でOK」→不可。仮名加工情報は同意でも目的外利用不 可の整理（法とGLの読み替え）。(GVA法律事務所) 「匿名は作れば何でも外部提供OK」→誤り。加工基準の充足・作成/提供の公 表・識別禁止が前提。(警察庁) 「仮名→匿名の“看板替え”で外に出す」→危険。復元不能性の検証と匿名加工 情報としての公表・運用に切り替えない限りNG。(警察庁) 6. 証跡（監査可能性の設計図） A. 仮名加工情報・台帳（最小列） 案件ID｜元データ（カテゴリ）｜加工方式（ハッシュ/トークン化 等）｜照合キーの 所在/管理者｜利用目的（社内限定）｜第三者提供（原則禁止/例外根拠）｜識 別禁止管理（技術/運用）｜安全管理（アクセス制御/鍵管理）｜委託先監督｜苦 情対応SOP — 根拠：法41〜42条、通則GL。(e-Gov 法令検索) B. 匿名加工情報・台帳（最小列） 5

作成：伊藤憲和 2025年10月25日 案件ID｜元データ｜加工手順（削除/マスキング/集計 等）｜復元不能性の検証 結果｜作成時公表URL（項目）｜第三者提供有無｜提供時公表URL（項目＋ 方法）｜識別禁止の統制｜苦情処理SOP — 根拠：法43〜45条、規則36条、GL。(Lawzilla（迷わない法令データベース）) 7. 今日から実践できる最小行動 棚卸し：プロジェクト単位で外部提供の有無と復元不能の要件を判定→仮名／ 匿名に振り分け。 自動ログ：ETL/処理ジョブごとに台帳行を自動発行（加工手順・検証結果・公表 URL）。 公表面（匿名）：作成時＝項目／提供時＝項目＋方法を遅滞なく掲出（サイトの 「データ公開」配下）。(警察庁) 識別禁止の技術統制：照合キーの分離保管、アクセス最小化、監査ログの改ざ ん検知。 6

作成：伊藤憲和 2025年10月25日 再点検：四半期ごとに匿名の復元不能性と仮名の社外流出ゼロをチェック。 8. よくある誤解を一次資料で訂正 「仮名は第三者提供OK（同意付き）」→NG（法令に基づく場合を除く）。(警察庁) 「匿名は“目的”まで公表必須」→不要。項目（作成時）と項目＋方法（提供時）を 公表。(警察庁) 「仮名には権利行使がそのまま適用」→読み替えあり。27〜34条は非適用だ が、安全管理等は準用。(パブリックコメント) 9. 区別表（個人情報／仮名／匿名／個人関連情報） 論点​ 個人情報​ 仮名加工情報​ 匿名加工情報​ 個人関連情報 目的外利用​同意で可（原則禁→例外）​ 同意でも不可（読み替え）​―（匿名 としての目的設計）​受領側で個人データ化想定なら31条 第三者提供​27条の要件​原則禁止（法令除く）​ ​ 31条の確認・記録の対象になり得る 可能だが提供時公表が必要 7

作成：伊藤憲和 2025年10月25日 公表義務​ 場合により​ ―​ は電通法27条の12側 作成時：項目／提供時：項目＋方法​ 送信公表 権利行使​ 外）​ ― 33〜35条​ 27〜34条非適用（読み替え）​ ―（匿名のため対象 識別禁止​ ―​ 照合等による識別禁止​ 識別禁止​ ― （根拠：法2条5項、41〜45条、規則36条、GL/Q&A）(警察庁) 10. すぐ使えるテンプレ（コピペ可） A. 匿名加工情報——作成時公表の最小例 当社は、○○データセットを匿名加工情報として作成しました。 含まれる情報の項目：年齢階層／性別／購買カテゴリ／地域（市区郡レベル）／ 来店頻度（区分） 問い合わせ：[email protected] — 提供する場合は、事前に**「項目＋提供方法」**を追記（例：API提供／暗号 化ファイル 等）。(警察庁) 8

作成：伊藤憲和 2025年10月25日 B. 仮名加工情報——社内規程の要点文例 仮名加工情報は社内利用に限定し、第三者提供を行わない（法令に基づく場合 を除く）。 照合キーは別系で保管し、識別行為を禁止。 27〜34条の権利対応は読み替え、**23〜25条（安全管理・監督）**は準用。 苦情対応SOPに従い窓口で受け付ける。 — 根拠：法41〜42条、GL該当箇所。(e-Gov 法令検索) C. 台帳CSV（共通） id, 種別(仮名/匿名), 元データ, 加工方式, 復元不能検証(匿名のみ), 照合キー 管理(仮名のみ), 公表URL(作成/提供), 識別禁止統制, 安全管理, 受領/提供先 (有/無), 根拠条, 担当, 変更履歴 11. 失敗パターンと回避のコツ 9

作成：伊藤憲和 2025年10月25日 最低限守る線 仮名＝社内限定、匿名＝公表＆識別禁止。 匿名の“復元不能性”は手順＋検証結果までログ化。 仮名の第三者提供ゼロを監視クエリで自動点検。(警察庁) 余裕があればやる線 匿名：作成従事者の限定・加工方法情報へのアクセス分離（GLの趣旨）。(警察 庁) 仮名：測定系プロジェクトでは31条（個人関連情報）／電通法27条の12との重ね 管理を台帳でクロス参照。 10

作成：伊藤憲和 2025年10月25日 12. Q→Aショート（検索耐性） Q：仮名加工情報を取引先へ渡せる？ → 原則不可。法令根拠以外は出さな い。(警察庁) Q：匿名加工情報は“目的の公表”が要る？ → 不要。**項目（作成時）／項目＋ 方法（提供時）**の公表だけ。(警察庁) Q：仮名に本人開示は必要？ → 27〜34条は非適用の読み替え。ただし苦情対 応や安全管理は準用。(パブリックコメント) 公共的価値 仮名／匿名の正しい棲み分けは、苦情・炎上・事故を減らし、監査時間を短縮す る。誤情報に振り回されず、“ちょうどよい”加工と公表で、公正なデータ利活用が 回る。 参考・リンク（一次資料中心｜そのまま貼付OK） 【法令（e-Gov）】 11

作成：伊藤憲和 2025年10月25日 - 個人情報の保護に関する法律（2条5項／41〜45条 ほか） https://laws.e-gov.go.jp/law/415AC0000000057 - 個人情報の保護に関する法律施行規則（匿名加工情報の公表＝第36条 ほ か） https://laws.e-gov.go.jp/law/428M60020000003 【個人情報保護委員会（PPC）】 - ガイドライン（仮名加工情報・匿名加工情報編） https://www.ppc.go.jp/personalinfo/legal/guidelines_anonymous/ PDF（最新版の一例） https://www.ppc.go.jp/files/pdf/241202_guidelines04.pdf - 匿名加工情報（制度概要・公表義務の説明） https://www.ppc.go.jp/personalinfo/tokumeikakouInfo/ - Q&A（仮名加工情報の第三者提供は原則不可／読み替え等） https://www.ppc.go.jp/personalinfo/faq/APPI_QA/ 12

作成：伊藤憲和 2025年10月25日 この1ページで、定義→趣旨→来歴→適用条件→例外→証跡の流れを台帳・公 表面・識別禁止まで一気通貫で実装できる。次の拡張は、**「匿名加工情報の作 成基準の具体化（サンプリング・集計・ノイズ付加）」と「仮名×モデル評価ログの 扱い」**のテンプレ化。 https://profile.hatena.ne.jp/itounorikazu/ https://www.docswell.com/s/4821618885/Z9MY31-itounorikazu_appp28_cr ossborder_guide2025-10-25-233341 https://www.docswell.com/s/4821618885/5LV2DL-itounorikazu_subscriptio n_final_confirmation2025-10-25-233724 https://www.docswell.com/user/4821618885 https://itounorikazu.hatenablog.com/entry/2025/10/23/100000?_gl=1*16ivw 5p*_gcl_au*MTkyMjYyNTY1OC4xNzYxMzkzMzYx 13

• https://www.docswell.com/s/4821618885/Z9MY31-itounorikazu_appp28_cr
• https://www.docswell.com/s/4821618885/5LV2DL-itounorikazu_subscriptio
• https://itounorikazu.hatenablog.com/entry/2025/10/23/100000?_gl=1*16ivw

作成：伊藤憲和 2025年10月25日 https://itounorikazu.hatenablog.com/entry/2025/10/21/100000?_gl=1*16ivw 5p*_gcl_au*MTkyMjYyNTY1OC4xNzYxMzkzMzYx 14

• https://itounorikazu.hatenablog.com/entry/2025/10/21/100000?_gl=1*16ivw