匿名化された個人情報は本当に識別不能か？

改正個人情報保護法28条1項は，「本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる」と規定している。

ある俗説によれば，匿名化された個人情報であれば「識別されない」として該当性なしとのこと。愚説だと思う。

完全に識別不能であれば，個人データではなく，単なるゴミだ。そんなものを事業者が管理するわけがない。機密保持のために匿名化されていても識別可能なものとして処理可能でなければ意味がないという当たり前のことを理解すべきだろう。

つまり，電子的に匿名化されているという事実は，法的にはほとんど意味がないと考えるべき場合が圧倒的に多いということを知るべきだ。しかも，非常に近い将来，量子コンピュータが普及し，普通の方法による暗号化が全く意味をもたなくなってしまう時代となるので，技術的な意味でも無意味なことだと認識すべきだと考える。

他方で，請求があった場合に事業者が請求に対応した開示等の可否を正確に判断できるかというとかなり疑わしい場合が少なくない。企業の規模にもよるが，専門セクションを設置・運用するだけの余力のある企業がどれだけあるか相当に疑問だ。しかも，司法試験に合格していない素人の判断は危ない場合が予想され，かつ，弁護士ではない者が業務としてコンサルティング等をする場合には弁護士法違反の問題が直ちに発生する。さりとて，請求の当否について常に顧問弁護士等に相談するとなると，コスト（タイムチャージ）の問題が発生し，余力のない企業にはとても耐えられない。

ベターな解決方法としては，「裁判所で請求してください」と返答して，裁判官の判断に丸投げしてしまうというのがせいぜいの防御策ということになるのではないかと思う。

立法者は，そういう実情を理解して法改正をしたのかどうか，私は疑問に思う。