個人情報を取り扱うにあたって、氏名など個人を識別することが出来る情報をハッシュ化していれば個人情報・個人データではないとして、自由に利用することができるのでしょうか?
ハッシュ化とは?
そもそもハッシュ化とは、特定の計算によって元のデータを別のデータに変換することで、変換後のデータは個々の計算方法によって決まっているサイズに変更されます。
この計算を行うのがハッシュ関数で、様々なものが利用されています。
代表的なハッシュ関数としてはSHA-256、MD5などがあり、例えば「プライバシーポリシー」という言葉をSHA-256というハッシュ関数を用いてハッシュ化した場合は「f28b5782bc5c83bdc8279afc8d5dfbcefde914141575d28f90087170f2107663」になります。
なお、どんな量のデータをハッシュ化しても、SHA-256の場合はデータサイズは32バイト(半角英数字の文字数でいえば64文字)になりますので、「個人情報保護法と個人情報の保護に関する法律施行令に基づくプライバシーポリシーの作成」という言葉は、先ほどの「プライバシーポリシー」という言葉よりもずっと長いですが、SHA-256でハッシュ化すると「cc5de380b8ca77d53c1ec7daaaf8520bb132abdabe2df718ac9674ad51742f3b」になり、こちらも同じく32バイト(64文字)です。
暗号との違い
変換元の情報からは大きく異なるものに変わるため、「暗号」のようにも見えますが、暗号の場合は「復号化」によって元のデータに戻すことができますが、ハッシュ化の場合は復号できず、元のデータに戻すことはできないという違いがあります。
そのため、匿名加工情報や仮名加工情報を作成する際にもよく利用されます。
なお、ハッシュ関数は、同じ関数を使って同じ内容を変換すると、出力結果も同じになります。
つまり、例えば氏名をハッシュ化することで仮名加工情報を作成した場合であっても、どのようなハッシュ関数を利用したのかがわかれば元の内容を復元することができるため、ハッシュ関数を用いて仮名加工情報を作成した際には、利用したハッシュ関数については「削除情報等」として安全管理措置を講じる義務があります。
ハッシュ化しても個人データのまま
このようなハッシュ関数の特性から考えると、一見意味不明の情報のように見えても、ハッシュ関数によって生成された情報(ハッシュ値)も個人データのままとなります。
例えばとある事業者が次のような会員データベース(DB1)を保有しているとします。
※「個人情報テストデータジェネレーター」を使用して出力した情報を加工したもので、実在する個人とは一切関係ありません
| ID | 氏名 | 生年月日 | 住所 | 血液型 |
|---|---|---|---|---|
| 1 | 小野 ゆかり | 1956年07月16日 | 東京都港区港南33-5-3 | O |
| 2 | 後閑 明美 | 1953年06月18日 | 福岡県福岡市東博多区78-34-607 | A |
| 3 | 金 康宏 | 2023年01月15日 | 石川県金沢市北東安江12-92-246 | B |
このDB1を元に、氏名をMD5ハッシュ関数を用いてハッシュ化したDB2を作成しました。
(※DB2は仮名加工情報です)
| ID | ハッシュ化した氏名 | 生年月日 | 住所 | 血液型 |
|---|---|---|---|---|
| 1 | 05811a4a5a0f7618c73b26fc4c6b495a | 1956年07月16日 | 東京都港区港南33-5-3 | O |
| 2 | 57fd4586a1c43eed86e0ae08422709f9 | 1953年06月18日 | 福岡県福岡市東博多区78-34-607 | A |
| 3 | 1d9c04c137c0cf72078728514b29c9e4 | 2023年01月15日 | 石川県金沢市北東安江12-92-246 | B |
この場合であっても、DB1が残ったままであれば、DB1の氏名を再度MD5でハッシュ化すればDB2と紐付けることができる、つまり容易照合性をもっているため、DB2は仮名加工情報であると同時に個人情報(個人データ)でもある、ということになります。
広告配信における利用には要注意
先述のように、仮名加工情報を作成した事業者が持っている元のデータと紐付ける場合に限らず、よく問題になるのが、インタネーット広告配信に関して個人データを広告配信事業者などに提供する場合(カスタマーマッチなど)です。
このような場合、メールアドレスをハッシュ化して広告配信事業者などに送信する場合が多いですが、ハッシュ化することで元のメールアドレスが推測できなくなっているため、つい”自由に利用できるデータ”のように見えてしまいます。
しかし、先述のとおり、広告配信事業者などが指定するハッシュ関数が決まっている以上、そのハッシュ関数を使えば元のデータと紐付けることができるため、たとえメールアドレスをハッシュ化したとしても事業者にとっては個人データのままです。
つまり、そのような個人データを広告配信事業者などの第三者に提供するためには、本人の同意が必要となりますのでご注意ください。
