毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。

当記事で取り上げるのは以下の配信です。

  • 配信日:2021年12月16日
  • タイトル: メアドはハッシュ化しても個人情報
  • 発表者:データサイン ビジネスディベロッパー 宮崎洋史

「メールアドレスをハッシュ化すれば大丈夫」という誤解

ある企業A社がビジネスで取得した顧客のメールアドレス(xxx@datasign.jpなど)をハッシュ化し、その顧客が閲覧したページなどの履歴情報などと併せて協業先の企業B社に提供していたとします。ところが企業B社がハッシュ化されたメアドを流出させる事故を起こしました。この場合、A社はメールアドレスをハッシュ化したうえでB社に提供しているので大丈夫(個人情報の第三者提供に該当しないので問題ない)でしょうか? データサイン ビジネスディベロッパー 宮崎洋史が説明しました。

「冒頭挙げたような問い合わせが弊社にしばしば寄せられます。ただよく誤解されているのが『メールアドレスのハッシュ化がメールアドレスの匿名化と同等である』ということです。これは違います」(宮崎)

匿名加工情報とは、特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものです。再識別できないように加工することはしばしば匿名化と呼ばれます。

一方、ハッシュ化は匿名化ではありません。ハッシュ値はあるデータから所定のアルゴリズムによって算出される値のことで、その値を得ることはハッシュ化といわれます。ハッシュ値からは元データを復元できませんが、元データが同じ場合には同じ計算アルゴリズムを用いる限り、同じハッシュ値が生成されます。

「所定の計算アルゴリズムは公知となっています。つまり悪意ある人が、A社が保有する顧客のメールアドレスを何らかの方法で入手し、一般に知られている計算アルゴリズムを用いてハッシュ値を生成しておくと、B社から漏洩したハッシュ化されたメアドと突合し元のメアドを特定することが可能です。すなわちハッシュ化は匿名化ではありません」(宮崎)

メアドは個人情報として慎重に扱うべし

元のメアドとそのハッシュ値を紐づけて悪用されないように、元データに乱数(ソルト)を加えてハッシュ値を算出する方法もあります。

「ソルトを加えると同じ計算アルゴリズムを使っても生成されるハッシュ値は変わります。その場合、乱数が何かという情報を外部に知られないようにする安全管理措置を講じなくてはいけません」(宮崎)

なお、メールアドレスには「kojin_ichiro@datasign.jp」のように「データサインに所属するコジンイチロウのメールアドレスである」ことが分かるようなものもある一方、「1234@gmail.com」のように一見すると送信者が誰かわからない文字列で構成されたものもあります。後者は単独では個人情報に該当しないですが、たとえばショッピングサイトなどで商品発送先として記す送信者の「氏名」や「住所」などの他のデータと組み合わせて個人を特定できる可能性が高まります。

「自社サイトのフォーム経由でメアドを入力してもらう際など、どのような文字列のメールアドレスが入力されるかは企業側ではわかりません。メールアドレスは日頃から個人情報として慎重に扱うことが無難です」(宮崎)

個人情報保護委員会の公式文書も要チェック

ハッシュに関しては、2021年9月に更新された個人情報保護法ガイドラインのQ&A(15-14)に参考にすべき記述があります。

Q 匿名加工情報を作成する過程において氏名等を仮 ID に置き換えた場合における氏名と仮 ID の対応表は、匿名加工情報の作成後は破棄する必要がありますか。また、氏名等の仮 ID への置き換えに用いた置き換えアルゴリズムに用いられる乱数等のパラメータについてはどうですか。

A (前略)当該置き換えアルゴリズム及び当該乱数等のパラメータを用いて再度同じ置き換えを行うことによって、匿名加工情報とその作成の元となった個人情報とを容易に照合でき、それにより匿名加工情報の作成の元となった個人情報の本人を識別することができることから、匿名加工情報の作成後は、当該パラメータを破棄する必要があります。

「Q&Aには『ハッシュ』という文言は記されていないですが、実質的にこれまで述べたハッシュ化に言及していると判断できます。つまりメアドのハッシュ化は匿名化ではない、ということはこのように個人情報保護委員会の公式文書で指摘されていることですのでくれぐれもご注意ください」(宮崎)

皆さんもプライバシーに関する疑問や気になっている点はありませんか? お気軽にデータサインにお問い合わせください。