もともとわかりやすい法律ではなかったが、「仮名加工情報」(匿名まで至らない加工をした個人情報)を導入して以来、法文に混乱が生じた。まず「個人情報保護法」の最も重要な「個人データ」が総則で定義されていない。にもかかわらず仮名加工情報の定義は総則に入れられている。これには理由がある(個人データの概念は取扱い事業者の義務の関連で意味がある)が、個人データの定義を後に回す必然性はなく、わかりにくくするだけである。総則にまとめた方がよい。
さらに「仮名加工情報」をめぐる義務の規定ぶりは理解し難いものとなっている。特に問題なのは、「個人データ」なら本人の同意があれば第三者に提供(シェア)できるのに、なぜか「仮名加工情報」はシェアできない。その理由は本来社内で扱うために仮名にしたものだから外に出す必要はないはずだ、ということに尽きるのだが、仮名加工情報の定義の中にそういった目的を入れず、加工したデータかどうかという状態だけに着目して定義しているからその趣旨が伝わらない。
実際に、医薬品等の治験では病院のデータ(個人データ)に患者(被験者)の氏名をコード化しこれを製薬企業に渡すのが一般的である。これは「仮名加工情報」か?コード化に市販のソフトウェアを用いれば仮名加工情報になり得る。では今行われている治験でのデータのシェアはすべて違法になるのだろうか?この点を正面から議論した経緯がなく、信頼できる参考資料もない。
問題をいっそう複雑にしているのは「個人データである仮名加工情報」と「個人情報でない仮名加工情報」の区別だ。わかりやすく言えば、個人データをもっていて仮名にした事業者にとっては前者だが、仮名加工情報だけを持っている事業者には後者である、という事業者の属性を反映した概念である(ガイドライン参照)。しかし、定義は扱う事業者の属性を問題にしていないから、概念整理を困難にしている。立法技術上は、データという客体に区別を設けず、「仮名加工情報を作成した個人データを保有している事業者」と「その他の事業者」とに分けて義務を規定した方がはるかにわかりやすい。
さらに「仮名加工情報である個人データ」をシェアしてはならないという41条の規定もまた出来が悪い。提供してはならないのは「仮名加工情報」なのだから「個人データである仮名加工情報」とするのが筋だ。
このような出来の悪い立法になったのは立法担当部局に能力がないのが原因だろうが、こういった問題は本来内閣法制局審査ではねられるべきである。これがそのまま法律となってしまった背景には行政府の立法技術能力の低下があると考える。