概要：個人情報の匿名化制度に関する研究は、中国では現在まだ早期段階にあり、匿名化の概念と法的効果だけが定められている。これは主に2つの方面で表れており、一つには、匿名化認定基準の詳細化が十分ではなく、企業は匿名化制度を通じてデータ利用を十分に実現させることができていないこと、もう一つには、再識別リスク防止に関する規定が十分ではなく、個人情報も十分に保障されていないことが挙げられる。

個人情報の匿名化制度の本質は、個人情報の保護と利用の間で最善の均衡点を見つけることである。国外の関連規定を踏まえると、本制度の論理のクローズドループには通常2つの部分が含まれるはずであり、それは前工程としての匿名化認定と後工程としての再識別防止である。

匿名化制度が発展していく初期においては、関連法律は通常「前工程」だけを考慮し、すなわち、個人情報の取扱程度が匿名化認定の基準に合致してさえいれば、個人情報保護関連法律は適用されることはない。この時、「保護」と「利用」という2大価値の天秤は、「前工程」というウエイトを通してバランスを取るしかないため、これを水平に保つことは自然と難しく、認定基準が高すぎればデータ利用において不利であり、低すぎれば個人情報保護に不利である。また、事実上、どれだけ高い認定基準を設けても、匿名情報の再識別というリスクを回避することは難しい。

これについて、各国では次第にもう一つの「ウエイト」である後工程となる再識別防止を導入することにより、微調整を実現するようになり、つまり、個人情報の取扱い水準が匿名化という敷居に届くようになった後も、取扱者は尚も法定の要求に従い相応の措置を施して匿名情報の再識別リスクを防せがなければならないのである。「前工程」と「後工程」という2つのウエイトは、同時にさらに細かく分けられ、各国の立法者はそれぞれの価値志向に基づき選択を行う。しかし、現在中国国内の匿名化制度に関する研究はまだ尚早期段階であり、「前工程」のウエイトしかなく、細かく分けられてもいないため、客観的に見ても、匿名化認定が実際に貫徹されにくくなってしまっている。

一、前工程：匿名化認定

「前工程」というウエイトについては、「個人情報保護法」（「PIPL」）で既に基本的な規定が行われているにもかかわらず、それを貫徹するための細則が欠けており、企業が匿名化処理をもって大規模なデータ利用を行うことは難しい。現在、PIPLは匿名化の概念と法的効果（すなわち、匿名化処理が施された情報は個人情報ではなくなり、個人情報保護規則の制約を受けない）のみを規定している。PIPLによると、匿名化とは、「個人情報に処理が施されて特定の自然人を識別できず、かつ復元できない過程」を指す。ただし、この定義はどのように解釈すればよいのだろうか？この匿名化情報を「あらゆる者があらゆる手段を尽くしても特定の自然人を再識別することができない情報」と解釈すべきか、それとも「取扱者があらゆる合理的な手段を尽くしても再識別することができない情報」と解釈すべきか、それとも他の解釈が存在するのだろうか？これに対して、中国国内の法律はまだ具体的な規定がなされていない。

国外の関連法律を踏まえると、匿名化の認定基準は通常、主観と客観という2つの方面から考慮がなされている。主観という面では、「誰の識別能力を判断基準とするか」を指し、例えば、「あらゆる者」、「取扱者」、「動機付けのある侵入者」、「専門家」などである。客観という面では、「どのような識別難易度を判断基準とするか」を指す（各法域は客観という面での違いはあまりないため、以下、主観という面だけについて簡潔に説明する）。

主観という面においては、EUの基準が比較的厳しい。EUの「一般データ保護規則」（GDPR）によると、匿名化の主観的な基準は「あらゆる者」であり、即ち、あらゆる者がいずれも合理的に考え得る状況で特定の自然人を再識別できない場合、匿名化と認定されることができる。[i]

英国は、「動機付けのある侵入者」（motivated intruder）の識別能力を判断基準としている。「動機付けのある侵入者」とは、事前に何の知識も掌握していないが、匿名化された情報の中から特定の自然人を識別したいとする者を指す。具体的には、この侵入者の再識別能力は、一般的な合理的能力であり、すなわち、係るリソース（例えば、インターネット、図書館、公開資料など）を手に入れることができるが、特殊なスキル（例えば、ハッカー技術）や犯罪手段（例えば、入室して秘密データを不法に獲得する）は含まれないという特徴がある。[ii]

米国には一本化されたデータ保護法は存在せず、業界を基盤とする複数の法規を寄せ集めて成したものであり、かつ相互間で大きな違いがある。本文では、米国における比較的重要な法律である「健康保険の携帯性とと説明責任に関する法律」（HIPAA）を例とする。HIPPAによると、匿名化とは、匿名化処理に関する公認の統計学と科学的原理と方法について適切な知識と経験を有している者が、これらの原理と方法を適用することにより、受領予定者がこの情報だけをもって、又は他の合理的に入手可能な情報を踏まえて自然人を再識別するリスクが非常に低いと認定することを指す。[iii]

匿名化認定から見ると、前述の3法域の基準を高いものから低いものへと並べると、EU、英国、米国となる（下表を参照）。現在、中国国内の匿名化概念は、文言上はEUのGDPRと基本的に一致しているが、[iv]主観という参照系の選択上、その後の立法の次元でどの基準に近づくかは、まだ判断できない。しかし、たとえその後の立法がEUの基準を選択したとしても、法執行においても同様に法執行リソースの不足、法執行前後での整合性の問題などEUを悩ます難題に直面するものと思われる。そのため、法執行の実行可能性もその後の立法においては避けることのできない重要な課題である。

法域	匿名化認定基準
	主観 （誰の識別能力を判断基準とするか）	客観 （どのような識別難易度を判断基準とするか）
EU	あらゆる者	合理的に考えられ得ること
英国	動機付のある侵入者	合理的に考えられ得ること
米国（HIPPA）	専門家	合理的に考えられ得ること

 二、後工程：再識別防止

 「再識別防止」とは、匿名化された情報を取扱う過程で、これらの匿名化された情報が再識別されるリスクを防止する措置である。これら措置は主に匿名化処理の過程で十分なリスク評価を行い、匿名データを流通し、利用する際にデータ最小化の原則に従い、データ管理者が匿名データを定期的に審査することなどを含む。[v]

これら措置について、中国国内法律で規定があるわけではないが、いくつかの法的強制力のない業界のガイドラインやデータ取引規則では、再識別リスクの防止に関する措置が現れ始めており、以下簡潔に説明する。

「中国インターネットターゲティング広告ユーザー情報非識別化ガイドライン」（「ターゲティング広告非識別化ガイドライン」）は、非識別化における再識別リスクの存在を明確に認め、かつ非識別化を行う組織に対し一連の措置を講じるよう求めており、具体的には、以下の措置が含まれる。1、セキュリティ技術措置を講じることで、非識別化情報の再識別及び/又は初期識別関連情報と非識別化情報の結合を防止する。2、業務フローを設置することで、非識別化情報の再識別及び/又は初期識別関連情報と非識別化情報の結合を防止する。3、等級付け制度を設置し、厳密な内部制御プロセスを確立し、データの機微度に基づきデータの機微等級付けを行い、異なる等級に対して、データを利用する前に、相応の機微等級に対する必要な審査プロセスを経なければならないとする。4、管理制度を整備することで、不注意を原因とした初期識別関連情報や非識別化情報の漏洩を防止する。5、制御措置を採用し、業界の最善の慣例に従って、初期識別関連情報と非識別化情報へのアクセス権限を制限し、これには被授権者のみアクセスを許可すること、最小権限の原則、安全な転送/アクセスプロトコルの使用、機微なデータの削除などを含むがこれらに限らない。[vi]

また、上海データ取引センターはかつてデータ取引規則を公布したことがあり、かつ匿名化処理における再識別リスクの防止について以下のような規定を行った。第一に、特定の個人の身元を直接識別できる識別子とその他の個人データは別々に保管して取扱わなければならず、共有と流通の対象となるデータが既に個人の身元を直接識別できる識別子をすでに削除済みであるようにし、いかなる状況であれ身元識別子のある個人データを無断で公開し、第三者に提供することを禁止し、データ所有者は、データ流通の結果に責任を負い、データ流通の過程が制御可能となり、責任が遡及可能となり、リスクが防止可能となるようにしなければならない。第二に、データ利用許諾契約では、データ利用者がデータを利用する目的、範囲、方法及び期限を明確に確定しなければならず、データ利用者は契約上で限定された目的、範囲、方法及び期限に従ってデータを利用することしかできず、個人データの再識別を行うことを禁止する。第三に、データ所有者はデータ流通におけるプライバシーリスクについて評価を行い、流通により生じる個人データの取扱いとサービスがデータとプライバシー保護の要求を満たすようにしなければならない。[vii]

「後工程」というウエイトは、正式に法律に盛り込まれているわけではないが、中国国内の個人情報保護法が整備されていくにつれ、再識別リスクを認めることは立法のある種の必然的な流れであり、再識別リスクを防止する義務も必然的に匿名化制度の下での重要な一環となるはずである。

三、終わりに

国外の相対的に整備された立法と比較してみると、現在の中国国内の匿名化制度は尚まだ早期の段階にあることが容易に見て取れる。前工程である匿名化認定に対する詳細化規定が十分でなく、匿名化の認定をまだ貫徹できていない一方で、後工程としての再識別リスク防止に関する法律規定が十分でなく、完全な論理のクローズドループが形成されていない。しかし、個人情報の保護と利用のバランスをより良く実現するためには、中国国内の匿名化制度の整備と詳細化はある種の必然的な流れである。ただし、如何にして微妙なバランスを維持すると同時に、個人情報保護が重い経済的負担となってしまわないようにするためには、おそらくまだ長い研究過程を要するものと思われる。

（作者: 里兆法律事務所  丁志龍、魏奕然）

[i] GDPR Preface（26）を参照。

[ii]英国情報専門家事務所の「匿名化：データ保護に関するリスク管理（実務規則）」、Anonymisation: managing data protection risk code of practice (ico.org.uk)を参照。

[iii] 米国連邦行政法典第45冊164章514条b項、45 C.F.R.§164.514（b）（1）を参照。

[iv] GDPR Article 4（5）を参照。

[v] 備考iiと同じ。

[vi] 「中国インターネットターゲティング広告ユーザー情報保護非識別化ガイドライン」を参照。ガイドラインでは「匿名化」ではなく、「非識別化」という言葉が使用されているが、その定義によれば、ガイドラインのこの概念は「匿名化」に近いものである。

[vii] 現在、上海データ取引センターは本取引規則をホームページから削除しており、本文の係る規定は以下の文章から引用した。張建文、程海玲「破砕されたプライバシー承諾」の防止：匿名化処理の再識別リスクに関する法律規則研究[J].西北民族大学学報（哲学社会科学版）、2020、(03):76-86.