個人データの消去・破棄・匿名化の基準に関する下位規則の制定（タイ）

2. 個人データの消去等の請求を受けたときの対応

　データ管理者が、データ主体から、個人データの消去等を請求された場合において、本下位規則上、留意すべき点は以下のとおりである。

• データ管理者は、データ主体の請求に対して遅滞なく（遅くとも請求から90日以内に）対応する必要がある。技術的な理由等により上記期間内に個人データの消去等を完了できない場合には、当該個人データの利用等ができないように適切な安全管理措置をとる必要がある。
• データ主体から個人データの消去等のいずれかを請求された場合、データ管理者の判断で、適宜、消去、破棄又は匿名化を選択することができる。但し、違法に収集等がなされた個人データについては、個人データを匿名化するのではなく、個人データを完全に消去又は破棄する必要がある。
• 個人データの消去等が完了した場合、データ管理者は、データ主体に対して、その旨を通知する。なお、匿名化を行った場合には、適宜、匿名化のためにとった措置をデータ主体に対して通知する必要がある。仮に、データ主体からの個人データの消去等に関連する要求に十分に応えられない場合、データ管理者は、データ主体に対して、その理由を通知する必要がある。
• データ管理者は、個人データの消去等を監督する体制を整える必要がある。

3. 個人データの匿名化の方法

　本下位規則は、個人データを匿名化するために次のような手順を踏むことを定めている。

（1） 個人を直接識別可能なデータの消去

　まず、個人を直接識別可能なデータを消去することが必要となる。本下位規則において個人を直接識別可能なデータの例として以下のデータが挙げられている。

1. 氏名
2. 国民番号、パスポート番号、納税者番号、社会保障番号、その他の身分証明書の番号又はコード
3. 会員番号、顧客番号、サービス受領者番号、担当者番号、口座番号、契約番号、その他の個人の番号又はコード
4. 電話番号、FAX番号その他の連絡先番号
5. 電子メールアドレス
6. 自動車登録番号
7. 個人を識別可能にする顔画像
8. 個人を識別可能にする生体認証データ
9. 個人を直接識別可能な情報システム、アプリケーション又は各種サービスにおけるユーザーアカウントの名前又はコードであって、個人特有のもの
10. その他、個人を直接識別できるデータ

（2） 個人データの匿名化を確保するための追加の措置の検討

　本下位規則によれば、上記（1）の措置を講じた後のデータに対して、特定の個人を間接的に識別される可能性が十分に低いといえる程度になるまでの追加の措置を検討しなければならないとされている。本下位規則においては追加措置が具体的に定められているわけではなく、追加措置を検討するにあたっての考慮要素が定められているに留まる。具体的には、技術、文脈、環境条件、同種又は類似の事業において一般的とされる基準、個人データの種類、データ主体の種別及び状況、匿名化に必要な媒体、現実的にとり得る措置、個人データが復元されることに伴うリスク、個人データを復元する動機及び能力を考慮すべきと定められている。なお、間接的に個人を識別し得るデータの例として、生年月日、年齢、役職、所属、サービスの提供日、自宅・勤務先の住所、IPアドレスを挙げている。

4. まとめ

　日本の個人情報保護法においては、匿名加工情報を作成した事業者は、削除した情報や匿名加工の方法に関する情報の漏えい防止のための安全管理措置等一定の義務が課されるが、PDPAにおいては、匿名化されたデータや削除されたデータの取扱いについての定めはない。しかし、PDPA上、個人データとは、直接・間接を問わず、特定の個人を識別可能なデータと定義されており、本下位規則は、個人データの匿名化にあたって、個人データの直接識別性と間接識別性を排除するための措置を求めている。そうだとすると、双方の措置によって匿名化されたデータは、直接及び間接にも個人識別性を失うため個人データに該当せず、PDPAの適用を受けないと考えられる。本下位規則により、個人データの匿名化のための指針が示されたことで、一定の客観的な基準をもって匿名化を検討できるようになった点は事業者にとって朗報である一方で、実際に、どの程度の処理を行えば個人データが匿名化されたといえるかどうかの判断については、引き続き慎重な検討を要すると考えられる。