個人情報のハッシュ化とは?個人情報を加工する場合の注意点

個人情報保護法 2026.05.22
個人情報のハッシュ化とは?個人情報を加工する場合の注意点
>>「個人情報保護」対応、準備できていますか?今すべき対策を知りたい方はこちら

※本記事は2024年5月時点の情報に基づき執筆されたものです。

近年、国内外の法令によるCookie規制やGoogle・Appleなどのプラットフォームによる自主規制を背景に、Cookieに依存しない広告ソリューションが提案されています。

いくつかの広告配信プラットフォームでは、本人が特定されないよう個人情報を含む1st party dataを「不可逆変換」し、当該広告配信プラットフォームが持つ3rd party dataとマッチングを行い、それに基づいた広告を配信するサービス(アドレサブル広告)を提供しています。

ここでは、個人情報を含む1st party dataを「不可逆変換」する手法として有名なハッシュ化や個人情報をハッシュ化した場合の取扱上の注意点についてご紹介します。

1.個人情報について

1-1 個人情報の定義・概要

個人情報保護法において、「個人情報」とは、生存する個人に関する情報であり、次の①②のいずれかに該当するものをいうとされています(同法第2条第1項)。

  1. 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む
  2. 個人識別符号が含まれるもの

個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下「ガイドライン通則編」といいます)によれば、本人の氏名のほか、氏名と組み合わせることにより本人を識別できる情報(生年月日、電話番号やメールアドレス等の連絡先、所属に関する情報等)が「個人情報に該当する事例」として例示されています(ガイドライン通則編2-1)。

なお、取得時には特定の個人を識別することができなかった情報(例えばフリーメールアドレス等)であっても、その後、新たな情報(例えば氏名等)が付加され、又は照合された結果、特定の個人を識別できるようになった場合、その時点で個人情報に該当し(ガイドライン通則編2-1)、それ以降、仮名加工又は匿名加工を行うことなどにより識別可能性が排除されない限り、個人情報性が維持されます。

匿名加工情報、仮名加工情報については以下の記事をご参照ください。
>>「匿名加工情報と仮名加工情報の違いを解説!押さえておきたいポイントとは

1-2 個人情報の容易照合性

また、「他の情報と容易に照合することができ」ること、これを「容易照合性」などと呼びますが、これは通常の業務における一般的な方法で、他の情報と容易に照合することができる状態をいうとされています。

他方、他の事業者への照会を要するなど照合が困難な状態は、一般に、容易に照合することができない状態であると解されるとされています。(ガイドライン通則編2-1※4)

例えば、事業者がAとBという2つの独立した部門においてそれぞれαとβというサービスを運営している場合で、個人情報はそれぞれの部門・サービスで別個に取得等される一方、共通のIDが顧客に割り当てられている場面を想定します(個人情報の保護に関する法律についてのガイドラインに関するQ&A(以下「ガイドラインQ&A」といいます)のQ1-18参照)。

このとき、当該事業者内部において双方の部門やそれらの統括責任者等が、規程上・運用上、双方のデータベースを取り扱うことが厳格に禁止され、特別の費用や手間をかけることなく、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができない状態である場合は、「容易に照合することができ」ない状態とされています(ガイドラインQ&AのQ1-18)。

これらからもわかるとおり、容易照合性は、当該事業者内部における事情から個別に判断されるものです(ガイドライン通則編2-1※4)。この点が「3.ハッシュ化された個人情報」を検討する際に重要なポイントとなります。

2.個人情報のハッシュ化とは

2-1 ハッシュ化の意義

ハッシュ化とは、「元のデータから一定の計算手順に従ってハッシュ値と呼ばれる規則性のない固定長の値を求め、その値によって元のデータを置き換える方法」であり、「ハッシュ関数と呼ばれる特殊な計算手順により、任意長のデータから固定長の一見ランダムなハッシュ値を得る」ことを意味します(事務局レポート「仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向けて―制度編―」(以下「事務局レポート制度編」といいます)25頁)。

なお、ハッシュ化は暗号化とは区別されます。つまり、ハッシュ化は「暗号化とは異なり、入力値から誰でも計算できる種類の処理である。不可逆的な(一方向の)変換ではあるが、識別可能な値を生成」します(「事業者が匿名加工情報の具体的な作成方法を 検討するにあたっての参考資料 (「 匿名加工情報作成マニュアル」) Ver1.0」10頁)。

ハッシュ化を行う目的は、安全管理措置の一環という場合もありますし、仮名加工又は匿名加工の手段の1つという場合もあります(「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」(以下「ガイドライン加工情報編」といいます)2-2-2-1※2参照)。

つまり、個人情報のハッシュ化は、それ自体が仮名加工情報の作成又は匿名加工情報の作成に該当することがあり得ますが、上記のとおり個人情報の安全管理措置の一環という場合もあり、ハッシュ化の目的により効果が異なることになります。

2-2 個人情報のハッシュ化の特徴

ハッシュ化には次の特徴が見られます。

  • 同じデータからは常に同じハッシュ値が得られる
  • 少しでもデータが異なるとまったく類似しない別のハッシュ値が生成される
  • ハッシュ値から元のデータを割り出したり、同じハッシュ値を持つ別のデータを生成したりすることは極めて難しい(不可逆性

2-3 個人情報のハッシュ化に推奨されるハッシュ関数

CRYPTREC(Cryptography Research and Evaluation Committees: 電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクト)が安全性・実装性能を確認し、市場における利用実績が十分又は今後の普及が見込まれると判断された暗号技術の推奨リスト(電子政府推奨暗号リスト)に列挙されているハッシュ関数の利用が推奨されます(事務局レポート制度編25-26頁)。

また、単純な入力値のみをハッシュ化するだけでは、再生成が可能であり、ブルート・フォース攻撃に対処できないことから、鍵付きハッシュ関数を用いることが望ましいとされています(ARTICLE 29  DATA PROTECTION WORKING PARTY"Opinion 05/2014 on Anonymisation Techniques"20頁)。

鍵付きハッシュ関数とは、ハッシュ関数への入力情報を(氏名+秘密の文字列)、(氏名+電子メールアドレス+秘密の文字列)といったように、十分な長さの秘密の文字列を付加した上でハッシュ化をする関数を意味します。

2-4 個人情報のハッシュ化の具体例

具体例を見てみましょう(事務局レポート「仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向けて―事例編―」34−39頁参照)。

場面

  • 鉄道会社が保有する乗降履歴情報に匿名加工を行い、一般の事業者に提供する
  • 一般事業者は、鉄道利用者の基本属性(年代、性別等)や鉄道の乗降履歴に基づき、商圏分析やターゲティング広告の広告戦略に活用する

加工

  • IDを仮IDに置き換える
  • 仮IDに置き換えるに当たり、鉄道利用者のID等をハッシュ化する

(生データ)鉄道会社が保有する乗降履歴に関するデータのレイアウトイメージ.png



引用:事務局レポート「仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向けて―事例編―」図表 2-12 鉄道会社が保有する乗降履歴に関するデータのレイアウトイメージ

(加工済みデータ)

鉄道の乗降履歴データのユースケースにおける加工後のデータのイメージ.png


引用:事務局レポート「仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向けて―事例編―」図表 2-15 鉄道の乗降履歴データのユースケースにおける加工後のデータのイメージ

実際にJR東日本では、この具体例と同様の加工・ハッシュ化を行っています。なお、ここでは、「SuicaID番号を鍵付きハッシュ関数(ハッシュ長は256ビット以上とする)を用いて別番号に変換」しているとのことです(JR東日本「駅カルテ作成に関するガイドライン」)。

駅カルテ〜駅のご利用状況をSuicaビッグデータで可視化〜.png

引用:JR東日本「駅カルテ~駅のご利用状況をSuicaビッグデータで可視化~

>>「個人情報保護」対応、準備できていますか?今すべき対策を知りたい方はこちら

3.ハッシュ化された個人情報の取り扱いについて

3-1 ハッシュ化された個人情報はなおも個人情報か

上記具体例で考えてみますと、加工前の「ID」は、当該鉄道事業者内部において氏名等と紐づく形で保管されていると考えられるため、個人情報(個人データ)に該当します。

ここでの問題は、ハッシュ化による加工後の「仮ID」がなおも個人情報に該当するのかという点です。

第1に、ハッシュ化の目的が単なる個人情報の安全管理措置の一環である場合は加工後の「仮ID」も個人情報のままです。ハッシュ化と暗号化は区別すべきですが、「暗号化等によって秘匿化されているかどうかを問わない」とされている点も参考になります(ガイドライン通則編2-1

第2に、「仮ID」のほか、「時間」、「入場駅」及び「出場駅」など加工後の情報を組み合わせることにより、当該鉄道事業者が特定の個人を識別できる場合もこれらの情報は個人情報に該当します。

"一部の専門家からSuicaデータを継続して提供すると個人が識別でき、他の情報との照合によって個人の特定につながるのではないか等との指摘がなされた"

引用:Suica に関するデータの社外への提供についての有識者会議「中間とりまとめ

第3に、「仮ID」等加工後の情報のみからは必ずしも特定の個人を識別することができない場合は、次のとおり整理できます。

ハッシュ化の不可逆性により、加工後の「仮ID」から加工前の「ID」を割り出すことは極めて困難とされていますが、加工前の「ID」のハッシュ関数アルゴリズムやそれに用いられる乱数等のパラメータの組み合わせ、更には、氏名や「ID」の対応表のようなものが残存している場合、それら加工関連情報を組み合わせることにより、加工後の「仮ID」から加工前の「ID」を割り出すことが可能とされています。

そのため、現行のガイドライン加工情報編においては、次のとおり、「その情報を用いて当該個人情報を復元することができるもの」を破棄せず保有し続けている場合、加工後の情報と加工前の個人情報がなおも容易に照合可能であり、特定の個人を識別可能であるとして、それぞれ個人情報に該当するとされています(ガイドライン加工情報編2-2-13-2-2-1参照)。

  • 「削除情報等」とは、仮名加工情報の作成に用いられた個人情報から削除された記述等、個人識別符号、及び個人情報保護法第41条第1項により行われた加工の方法に関する情報をいい(同条第2項)、同条第1項により行われた加工の方法に関する情報とは「その情報を用いて仮名加工情報の作成に用いられた個人情報を復元することができるもの」をいう(同法施行規則第32条第1号
  • 氏名と仮IDの対応表や氏名等の仮IDへの置き換えに用いたハッシュ関数アルゴリズムと乱数等のパラメータの組み合わせは、「その情報を用いて当該個人情報を復元することができるもの」(個人情報保護法施行規則第32条第1号第35条第1号)に該当する(ガイドライン加工情報編2-2-2-23-2-3-1)。

このように、個人情報であったものをハッシュ化等により加工しても、元の個人情報との識別可能性を解消しない限り、つまり「個人情報でない仮名加工情報」又は「匿名加工情報」に該当しない限り、個人情報であることが維持されるということになります。

3-2 ハッシュ化された個人情報を第三者に提供することが可能か

この点、2015年における個人情報保護法改正以前は、確固たる政府見解が出ていなかったこともあり、個人情報の提供を受ける事業者(提供先)において、当該提供を受ける情報のみで特定の個人を識別することができるかどうかを判断する見解も存在していました(いわゆる「提供先基準」)。

この提供先基準によれば、提供先において、提供を受ける情報のみで特定の個人を識別することができない場合は「個人情報」に該当せず、したがって「個人データ」にも該当しないため、当該情報の第三者提供につき本人の同意は不要ということになります。

この見解に従い過去に「炎上」したケースとしてJR東日本の「Suica に関するデータの社外への提供」に関する事案があります。

Suica に関するデータの社外への提供についての有識者会議 図 3.1-2.png

引用:Suica に関するデータの社外への提供についての有識者会議「中間とりまとめ
参考:総務省「平成29年版情報通信白書

しかし、同意を得る義務主体は原則として提供元ですが、提供先が提供を受ける情報のみから特定の個人を識別することができるかどうかは提供元において判断することが困難です。

そのため、2015年における個人情報保護法改正に際し政府見解が示され、そこでは第三者提供時の容易照合性の判断は「提供元」であるとされました(いわゆる「提供元基準」)。

「個人情報」等保護されるパーソナルデータの範囲について.png

引用:第7回 パーソナルデータに関する検討会資料1−2
参照:第189回国会参議院内閣委員会会議録第10号(2015年5月28日)向井政府参考人発言

その後、2016年11月に制定されたガイドライン通則編のパブコメにおいても、個人情報保護委員会により提供元基準が維持されました。

"ある情報を第三者に提供する場合、当該情報が「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかで判断します。 "

引用:2016年11月30日結果公表パブコメ【別紙2-1】意見募集結果(通則編)No.19 

したがって、個人情報をハッシュ化し、それにより情報の提供を受ける第三者(提供先)においては、当該提供を受ける情報のみでは特定の個人を識別することができるとはいえない場合でも、提供元において元の個人情報との識別可能性が解消されない限り(※)、当該提供される情報は「個人情報」であり、それが個人データに該当する場合は原則として本人の同意が必要となります。

※元の個人情報との識別可能性が解消されたとしても、それが匿名加工情報ではなく「個人情報でない仮名加工情報」の場合、原則として第三者に提供できない点に留意が必要です(個人情報保護法第42条第1項

※元の個人情報との識別可能性が解消されていなかったケースとして、リクルートキャリア・リクルートコミュニケーションズによる「リクナビDMPフォロー」の事案があります。

誤認識に基づく個人情報の第三者提供の流れ.png

引用:リクルート「『リクナビDMPフォロー』の法的な不備とその影響範囲」<図7> 誤認識に基づく個人情報の第三者提供の流れ

4. まとめ

ここでは個人情報の定義に遡り細かく見てきましたが、個人情報をハッシュ化したとしても、それをもってただちに個人情報でなくなるわけではありません。

冒頭のアドレサブル広告についても、自社が持つ個人情報を含む1st party dataをハッシュ化しても、それが匿名加工情報に該当しない限り、広告配信プラットフォームに提供し3rd party dataと突合するためには、原則として本人の同意が必要となります。

今一度、個人情報の定義や第三者提供規制について理解を深めることが重要です。

アドレサブル広告については以下の記事をご参照ください。
>>アドレサブル広告について、詳しくはこちら