利用するデータが個人情報であっても、ハッシュ化をすればユーザーから第三者提供同意を得ずとも利用することができるのか。
そんな疑問がふと沸いてしまうことがあります。
ユーザーを特定できないようにする作業がハッシュ化で、つまりハッシュ化してしまえば、そのIDがどこのだれなのか全くわからなくなる、だから同意とか関係なく使えるのでは。
そんな理解は、正しいのでしょうか?
結論から言えば、間違っています。
もし仮に、その理解が正しいとすると、ありとあらゆるデータが非個人情報として処理できるため、世の中で同意が必要なことが何一つなくなってしまいます。
とはいえハッシュ化は不可逆なIDの変換、なぜそれが個人情報であることをやめられないか、で言いますと‥
ハッシュ化は”データ送信・授受に際しての安全性を高めるための措置”であり、”送信される情報そのものの性質”が変わるものではありません。
法律的な整理で言えば、特定のアルゴリズムを用いて行ったIDのハッシュ化は「匿名加工情報の生成における要件を満たしていない」状態と整理され、ハッシュ化後も変わらず個人情報と定義されてしまいます。
個人情報・匿名加工情報など言葉の整理はこちら
プライバシー保護の観点においては、ハッシュ化されたデータの提供であっても個人のデータをやり取りしていることに変わりはありませんので、第三者提供の同意が必要になります。
・・甘い抜け道は無い、ということです。残念ながら。
