財布の中にクレジットカード明細が2枚入っていた。
2つ合わせると
- 明細Aは、名前がなく、カード番号の下4桁が伏せ字になっていた。
- 明細Bは、カードに刻印されている名前が書かれていて、下4桁以外が伏せ字になっていた。
せっかく伏せ字にしてもらったのに、この明細を同時に落としたら意味がない。
明細は怖い。
個人情報保護法に照らして理屈っぽく考える
明細Aは、下4桁が埋まれば個人情報(personal data)だが、1万分の1の確率でしか正しい符号にならないから、これは個人情報にはあたらない。これは、伏せ字にする前は個人向け属性(attribute for person)である。通常は動物に対して使う「牡」は個人向け属性ではなく、「男」は個人向け属性である。
明細Bは、名前を入れる代わりに、1万分の1の確率ではなく、10^12、すなわち1兆分の1の確率に下げた*1わけだが、これは法律上の個人情報である。名前が含まれるし、少なくてもその人がクレジット・カードを使って買い物をしたという事実が含まれている。
2つのお店は、別々の方法で、個人データ(個人向け属性と個人を特定しうるデータの組み合わせ、もしくは組み合わさってはいないが容易に照合しうる状態にあるもの)を個人データでなくしようとしているのだが、おもしろいことに2つの情報を組み合わせると個人データになってしまっている。
個人データを、個人向け属性レベルにするか、個人情報のままにするかで方法が分かれたわけだが、わたしは
個人向け属性レベルに落とすやり方がより優れている
と思う。個人の情報は、いくら足しても個人データにはならない。個人を特定できないからである。P社が1〜4桁目を伏せ字にし、Q社が5〜8桁目を伏せ字にしたとき、PとQのレシートを組み合わせればカード番号は全桁ばれてしまうわけだが、どうあがいてもわたしの名前はわからないのである。信用情報にアクセスできる以外の者にとってはこれは個人情報ではない。
必要がなければ、個人データは個人向け属性に変えて記述するのがよい。
ただ、個人の情報であれば安全かというとそういうことではない。個人名がわからなくても、カード番号と有効期限があれば買い物はできてしまうからである。個人情報管理と機密情報管理は別のものである。
個人情報はマスキングすれば無害化する(漏えいしても安全)、と誤解している人がいる。マスキングは個人情報管理。個人情報は個人情報管理をした上で機密情報管理をしなければならない。マスキングしたとしても、別の保有個人データと突合すればいつでも個人データになりうるわけで、守る必要がある。二重の対策が必要なのである*2。