匿名化vs仮名化:最大2000万ユーロの罰則
GDPR第83条は、最大2000万ユーロまたは全世界年間売上高の4%という制裁上限を定めています。リスクを左右する法的な問いはひとつです:規則はあなたのデータセットに適用されるか?
匿名化は適用範囲を除外します。仮名化はそうではありません。この差は大きいです。
二つの定義:わかりやすく解説
前文26は匿名化の基準を定めます。個人が「識別されていない、または識別できない」状態でなければなりません。このテストは広く設定されています。「合理的に使用される可能性のある」あらゆる手段を対象とします。管理者、委託先、第三者すべてが含まれます。
第4条第5号は仮名化を定義します。鍵があれば元に戻せるデータは仮名化データです。鍵を削除しても、データは残ります。その追加情報は別途保管しなければなりません。これは匿名化ではありません。
仮名化データは依然として個人データです。規則は全面的に適用されます。適用範囲の免除はありません。これが結論です。
誤った分類のコスト
仮名化データセットを匿名と扱うと、5つの問題が一度に発生します:
- 第30条に基づくROPA記録の誤り
- アクセス・削除・ポータビリティに関するデータ主体の権利手続きの欠如
- 保存スケジュールなし — 削除トリガーが存在しない
- 国境を越えた業務に対する移転保護措置なし
- 削除権請求に対する削除経路なし
各ギャップは独立した違反です。5つすべてがひとつのパイプラインに存在することがあります。
2025年の執行シグナル
2025年、EDPBは合同の執行調査を実施しました。報告書は繰り返されている失敗として「削除の代替として使用される非効率な匿名化技術」を挙げました。データ保護当局は現在、匿名化の品質を審査します。単に匿名化ステップが存在するかどうかだけでなく、その品質を確認します。
ルックアップテーブルを持つトークン化されたデータセットは仮名化です。匿名ではありません。鍵が存在します。鍵で元に戻せます。これを匿名と呼ぶことが、2025年の報告書が対象とする失敗例です。
正しい手法の選択
真の匿名化 — 適用範囲外。 リダクション(完全削除)を使用します。個人情報は復元リンクなしで削除されます。プリイメージのない高エントロピー値のハッシュ化も有効です。根拠を文書化します。結果物には法的義務が生じません。
仮名化 — 適用範囲内。 置換、マスキング、または暗号化を使用します。規則は全面的に適用されます。仮名化は侵害時の損害を軽減します。法的義務は軽減しません。
管理された可逆性 — 調査または監査。 クライアント保管型の鍵による暗号化を使用します。鍵管理はEDPBガイドライン05/2022の鍵分離要件を満たす必要があります。DPIAに対象領域を記録します。
具体的なユースケース
ある企業が「匿名化された」顧客レコードを研究者に販売します。リダクション手法を適用します。個人情報は消去されます。トークンテーブルなし。ハッシュのプリイメージなし。再識別の経路はありません。
DPOはこれをDPIAに記録します。使用した手法。対象となった識別子の種類。なぜ元に戻せないか。残留リスクのレベル。結果物は適用範囲外です。研究目的のコピーには、データ主体の権利・保存期限・移転規則は適用されません。
手法と主張が一致しています。これが正しいプロセスです。監査にも耐えます。
根拠を文書化する理由
企業は単に匿名化を主張することはできません。主張は記録で裏付ける必要があります。DPIAは4点を示す必要があります。どの識別子が対象となったか。どの手法が使用されたか。なぜ再識別の経路がないか。残留リスクのレベルは何か。
その記録がなければ、監査はデータセットを適用範囲内として扱います。義務の全セットが適用されます。ROPAへの記入が必要です。移転保護措置が必要です。削除経路が必要です。証拠なしに義務は消えません。
匿名化データに対する削除権の相互作用については、GDPR削除権とEDPB 2025ガイダンスをご覧ください。国境を越えたレコード共有の移転規則については、データ移転コンプライアンスとTikTok制裁をご覧ください。