仮名化とは、個人情報を別名に置き換え、データセットの秘匿化を高めることです。仮名データは、別の情報セットと組み合わせない限り、識別可能な個人と照合することはできません。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
仮名化とは、データから個人識別子を取り除き、その識別子を仮の値で置き換える処理のことです。これは、個人のプライバシーを保護したり、データのセキュリティを向上させたりするために使用されることがあります。暗号化 など、他の重要なプライバシー保護策と組み合わせることで、仮名化はユーザーのプライバシーの維持に役立ちます。
一般に、「仮名」は、自分の身分を隠すために使われる偽名です。例えば、多くの本の著者は、仮名(ペンネーム)を使用しています。データの仮名化はこの概念にやや似ていますが、仮名の値は通常、公には使用されません。また、個人名だけでなく、あらゆる個人情報が仮名化される可能性があることに留意することが重要です。
アリスが ストリーミング サービスでアカウントを作成したとします。サインアッププロセスの一部として、ストリーミングサービスは彼女の名前をデータベースに保存します。しかし、このサービスは個人記録データベース(仮に「データベース1」とします)に彼女を「アリス」とは記録せず、代わりに仮名化を使用して、「アリス」を「Person 17332」に変更します。
データベース 1:
名称 | アカウントの種類 |
---|---|
Person 17332 | 正会員 |
Person 12348 | 無料トライアル |
Person 74738 | VIP会員 |
Person 78383 | 正会員 |
名前とそれに対応する仮名のリストは、別のデータベース(仮に「データベース2」とします)に保存されています。「データベース1」へのアクセス権しか持たない人は、仮名データを見ることはできますが、そのデータを特定の個人、たとえばアリスに一致させることはできません。一致させるには「データベース2」つまり名前と仮名のリストへのアクセス権も必要になります。
データベース 2:
名称 | 仮名 |
---|---|
アリス | Person 17332 |
ボブ | Person 12348 |
カルロス | Person 74738 |
デビッド | Person 78383 |
ここで、悪意を持ったストリーミングサービスの従業員であるチャックが「データベース1」を盗み出したとします。彼がデータを分析しても、仮名のリストが別に保存されているため、どのユーザーの身元も確認することはできません。「データベース2」も盗まれない限り、彼は盗んだデータで大したことはできません。
このように、仮名化はプライバシーの保護とセキュリティの強化に役立ちます。ただし、誰かを特定する方法はまだ残されています。仮に識別可能なデータが別々に保存されていなければ、個人を特定することができます。例えば、チャックに「データベース2」も盗まれた場合、アリスを名前から簡単に特定することができます。さらに、仮名化されたデータを他の外部データソースと組み合わせることで、仮名化されたデータから個人を特定できることも多くあります(アリスがストリーミングサービスの正会員であることをSNSに投稿していた場合など)。
したがって、仮名化はデータのプライバシーを守るために他のプロセスや技術と組み合わせることが必要です。例えば、ストリーミングサービスが「データベース1」と「データベース2」を保護するために、仮名化だけでなく、暗号化を使用していると仮定します。その場合、仮にチャックが両方のデータベースを盗んだとしても、彼が見ることができるのは以下のようなものです:
データベース 1:
名称 | アカウントの種類 |
---|---|
P0kOFAw20PHbOnT7oXXvlm4 lfOkGbahX+1XCv1VECrE= |
nm+nauwi7eePi7ZKJH0sIeV LbxBJgixIdL1sOXvsUnw= |
88X5ceFkvcYjG+WxROkAT6X Lh8wuqc3NctBP7mkIAYM= |
w+1iufZv3OrLPb7sESpeNIu 5kzX4IVaNYz7DhpSeFKo= |
Zh3MZza5QM0Q+BtNGBx7eel MafyehzZBv5I2zdodp8E= |
CGDoLDA7X/poEyTI+UWa8mu C9bjmbMfAmwhrNZbjUbc= |
WbAJpSq+GRuaVK5Qogdfa2t WYQq2Ge2GiS1zJsmUOG8= |
nm+nauwi7eePi7ZKJH0sIeV LbxBJgixIdL1sOXvsUnw= |
データベース 2:
名称 | 仮名 |
---|---|
lenaV3sVToJ8FdDHNwLIMed 0AN5I+P7KSrN3nKj8WN8= |
P0kOFAw20PHbOnT7oXXvlm4 lfOkGbahX+1XCv1VECrE= |
srS9OH6GK4qa33jgZx+24ZJ ghF1BZE9Agc825l1c0lA= |
88X5ceFkvcYjG+WxROkAT6X Lh8wuqc3NctBP7mkIAYM= |
ddbqSa7o561pBZzFHebo2LZ vKrgWCKj7XM1n10/waw8= |
Zh3MZza5QM0Q+BtNGBx7eel MafyehzZBv5I2zdodp8E= |
TKtTr4dDNRd+yb6f4DzUlrg hC10OgUXlkR0X8wzkzJw= |
WbAJpSq+GRuaVK5Qogdfa2t WYQq2Ge2GiS1zJsmUOG8= |
このような理由から、暗号化はチャックのような詮索好きな人物に対するより強力な保護を提供します。プライバシーと暗号化についての詳細をご覧ください。
EU一般データ保護規則(GDPR)では、個人データを保護するために使用できる方法の一つとして仮名化に言及していますが、その使用を義務付けているわけではありません。仮名化は、プライバシーが保護されることを保証するものではなく、組織がGDPRに違反することを回避することを保証するものでもありません。
実際、GDPRでは、仮名化されたデータは、情報を追加することで個人と関連付けることができるため、依然として個人データと見なされています(上記の例では、「データベース2」の情報を追加することで、「データベース1」におけるアリスの会員レベルを特定することができます)。GDPRは次のように定めています:
「追加情報を使用しての利用によって自然人に属することを示しうる、仮名化を経た個人データは、識別可能な自然人に関する情報として考えられなければならない。」
そのため、仮名化はデータ保護には有効ですが、それだけではプライバシー維持やGDPRへの準拠には十分ではありません。
匿名化とは、データを完全に匿名化することです。仮名化とは異なり識別情報は完全に取り除かれるため、完全にこのプロセスは元に戻すことができません。もし上の例のデータが匿名化された場合、アリスを特定できるすべての情報、たとえば彼女の名前は、単に偽名に置き換えられるのではなく、データベースから取り除かれることになります。
名称 | アカウントの種類 |
---|---|
******** | 正会員 |
******** | 無料トライアル |
******** | VIP会員 |
******** | 正会員 |
データの匿名化はプライバシーの保護に役立ちますが、常に実用的または可能というわけではありません。例えば、ストリーミングサービスの場合、アカウントと特定の人を関連付けることができなければ、サービスを提供することはできません。
しかし、匿名化が望ましい場合もあります。例えば、医学研究者は、プライバシーを保護するために匿名化された医療データの集計を使用することがあります。さらに、匿名データから貴重なインサイトを得ることもできます。たとえば、ウェブ解析サービスの中には、データを匿名化するものもあります。
しかし、例え匿名化されたデータであっても、ユーザーのプライバシーを完全に保護できない場合があります。匿名化されたデータを他のデータセットと組み合わせたり、データの文脈を調べたり、その他いくつかの方法を用いることで、匿名データを特定の人物と関連付けることができる場合があります。匿名化された個人データであっても、暗号化、アクセス制御など、プライバシー侵害に対する安全策を講じて保護する必要があります。