個人情報保護法では、「個人情報」「個人データ」「保有個人データ」など、個人情報にまつわる用語が多く登場します。
個人情報保護法を正しく理解し、企業が対応したり適切なプライバシーポリシーを策定したりするためには、これらの用語を正しく理解しておかなければなりません。
では、個人情報保護法上の個人情報とは、どのようなものを指すのでしょうか?
また、個人情報保護法の保護対象となる個人情報には、どのようなものが含まれるのでしょうか?
今回は、個人情報の定義や範囲などについて、弁護士がくわしく解説します。
<メディア関係者の方>取材等に関するお問い合わせはこちら
個人情報保護法とは
個人情報保護法とは、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする法律です。
これらに資するため、個人情報を取り扱う事業者が遵守すべき義務などを定めています。
個人情報保護法の創設当初は、5,000件超の個人情報を取り扱う事業者だけが対象とされていました。
しかし、この件数要件は2017年に施行された改正によりすでに撤廃されており、1件でも個人情報を取り扱う事業者はすべて適用対象です。
個人情報の定義
個人情報とは、どのようなものを指すのでしょうか?
まずは、条文による定義を紹介します(個人情報保護法2条1項1号)。
- この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
- 1.当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
- 2.個人識別符号が含まれるもの
要約すると、個人情報とは、生存する個人に関する、次のいずれかの情報を指すということです。
- その情報単体や、容易に照合できる他の情報との照合によって特定の個人を識別できる情報
- 個人識別符号が含まれる情報
これらについて、さらにくわしく解説します。
「生存する個人に関する情報」
個人情報に該当する情報は、「生存する個人に関する情報」であることが大前提です。
ただし、死者に関する情報は、遺族などの情報にも該当することが少なくありません。
死者に関する情報であっても、これが同時に遺族など生存する個人に関する情報でもある場合には、その生存する個人に関する個人情報となり得ます。
「特定の個人を識別できる情報」とは
「特定の個人を識別できる情報」とは、氏名や生年月日、性別などの情報です。
また、その情報そのものからは個人が特定できなくても、他の情報と容易に照合でき、照合によって個人の識別が可能となる場合もこれに該当します。
たとえば、家族が複数いる場合、住所だけでは個人を特定できないかもしれません。
しかし、これに「昭和20年1月1日生まれの男性」などの情報が加わることで、特定の個人の識別が可能となります。
「個人識別符号が含まれる情報」とは
「個人識別符号」とは、その情報単体から特定の個人を識別することができるものとして政令に定められた文字や番号、記号その他の符号を指します(同2条2項)。
たとえば、マイナンバーやパスポート番号、指紋データなどです。
具体例については、次でくわしく解説します。
個人情報に該当するものの具体例
ここでは、個人情報に該当するものについて、具体例を挙げて解説します。
なお、新聞やインターネット上などで公知となっている情報であるからといって、これを理由に個人情報から外れるわけではありません。※1
「公知である」からといって個人情報でなくなるわけではないため、誤解のないよう注意しましょう。
自社で取り扱う情報が個人情報に該当するか否か判断に迷う場合には、弁護士へご相談ください。
氏名
氏名は、それだけで個人情報に該当します。
なお、同姓同名の人がいる場合、厳密には個人が特定できない場合もあるでしょう。
しかし、個人情報保護委員会のFAQによると、同姓同名がいる場合であっても氏名は社会通念上、個人情報に該当するとされています。※2
住所、電話番号、生年月日など
住所や電話番号、生年月日、性別、クレジットカード番号、口座番号などは、それ単体では個人を識別できないことが多く、個人情報とはならないことが一般的です。
ただし、これらを他の情報と組み合わせることで特定個人が識別できる場合は、個人情報に該当します。
実際に、電話番号などを単体で保管しているケースは稀であり、氏名などと併せて保管していることがほとんどでしょう。
このような場合は、電話番号も個人情報にあたります。
メールアドレス
メールアドレスは、アドレス自体から個人を識別できない場合は、電話番号などと同様に扱われます。
一方、個人情報保護法ガイドラインに記載のある「kojin_ichiro@example.com」のように、アドレス単体で「example社のコジンイチロウ氏」のメールアドレスであることがわかる場合もあるでしょう。
このような場合は、氏名と同じくメールアドレスがそれ単体で個人情報となり得ます。
指紋認証データなどのデータ
指紋認証や顔認証、虹彩、声紋、歩行の態様、手指の静脈、掌紋などのデータなど身体の一部の特徴を電子処理のために変換した符号は、符号だけを見ても人の目では解読できないでしょう。
しかし、このようなデータも「個人識別符号」としてそれ単体で個人情報に該当します(個人情報保護法施行令1条1号)。
パスポート番号、マイナンバーなど
次のものなどは、個人識別符号としてそれ単体で個人情報に該当します。
- パスポート番号
- 基礎年金番号
- 運転免許証番号
- 住民票コード
- マイナンバー
要配慮個人情報とは
個人情報の中でも特に配慮が必要なものとして、「要配慮個人情報」があります。
ここでは、要配慮個人情報の概要と、これに該当した場合に上乗せされる義務を解説します。
要配慮個人情報の定義
要配慮個人情報とは、本人に対する不当な差別や偏見、その他の不利益が生じないよう、その取扱いに特に配慮を要する一定の個人情報です(個人情報保護法2条3項)。
具体的には、次のものなどが要配慮個人情報に該当します。
- 人種
- 信条
- 社会的身分
- 病歴
- 犯罪の経歴
- 犯罪により害を被った事実
- 身体障害、知的障害、精神障害(発達障害を含む)その他一定の心身の機能の障害があること
- 健康診断の結果や、結果をもとに医師などから指導や診察、調剤を受けたこと
- 本人を被疑者または被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと
- 本人を少年法に規定する少年またはその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと
要配慮個人情報について上乗せされる義務
要配慮個人情報に該当する場合、取り扱いにおいて特に配慮が求められます。
要配慮個人情報は、一定の場合を除き、取得にあたってあらかじめ本人の同意を得なければなりません(同20条2項)。
また、通常の個人情報は第三者提供にあたってオプトアウトによる選択肢があるものの、要配慮個人情報はオプトアウト方式による取得は適用が除外されています(同27条2項)。
オプトアウト方式とは、一定の事項をあらかじめ本人が容易に知り得る状態に置き、提供停止を求められた場合に第三者提供を停止することを前提に、あらかじめ本人の同意を得ずに個人情報を第三者に提供する方式です。
そして、個人データについて一定の漏洩などが生じた際は個人情報保護委員会への報告と本人への通知が求められますが、要配慮個人情報の場合はたとえ漏洩した情報が1件であっても報告と通知が必要となります(同68条1項、個人情報保護法施行規則43条1項1号)。
個人情報と混同されやすいその他の用語の定義
個人情報保護法には「個人情報」と似た用語が複数存在します。
これらの定義を理解していなければ、企業がとるべき対応を誤ったり、プライバシーポリシーの策定において誤った記載をしてしまったりするかもしれません。
そこで最後に、個人情報と混同されやすいその他の用語をまとめて解説します。
個人情報保護法について調べる際は、その規定が何を対象としているのか(「個人情報」が対象なのか、「個人データ」が対象なのかなど)を意識して確認するとよいでしょう。
個人情報データベース等とは
個人情報データベース等とは、次のいずれかに該当するものです(同16条1項)。
- 特定の個人情報をコンピュータを用いて検索できるように体系的に構成したもの
- 個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるよう体系的に構成したものであって、目次、索引、符号等により一般的に容易に検索可能な状態に置かれているもの
たとえば、取引先から受け取った名刺や顧客に記載してもらった顧客情報カードなどは「個人情報」ではあるものの、「個人情報データベース等」ではありません。
一方、これをExcel(エクセル)や顧客管理ソフトに入力して一覧とした場合、このExcelの表や顧客管理ソフトのデータは「個人情報データベース等」となります。
同様に、PCなどで管理せず、名刺を五十音順にファイリングしたり顧客情報カードを索引を付けてファイルに綴じたりした場合も、「個人情報データベース等」となります。
個人データとは
個人データとは、個人情報データベース等を構成する個人情報を指します(同3項)。
たとえば、名刺の情報などをExcelやソフトに入力した場合、その入力された1件1件のデータが「個人データ」であるということです。
同様に、五十音順に名を整理してファイリングした場合、これを構成する1枚1枚の名刺は「個人データ」です。
保有個人データとは
保有個人データとは、個人情報取扱事業者が開示や内容の訂正、追加、削除、利用の停止、消去、第三者への提供の停止を行うことのできる権限を有する個人データです(同4項)。
ただし、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定める一定のもの(存否が明らかになることで本人や第三者の生命、身体、財産に危害が及ぶおそれがあるものなど)は除外されます(個人情報保護法施行令5条)。
仮名加工情報とは
仮名加工情報とは、一定の措置を講じて個人情報を加工することで、他の情報と照合しない限り特定の個人を識別できない状態となった個人に関する情報です(個人情報保護法2条5項)。
他の情報と照合しない限り個人が特定できないため、通常の個人情報よりも取り扱いの義務が多少緩和されています。
ただし、仮名加工情報はあくまでも社内でのマーケティング分析などが前提とされており、たとえ本人の同意を得ても第三者への提供はできません。
匿名加工情報とは
匿名加工情報とは、一定の措置を講じて個人情報を加工することで特定の個人を識別できないようにした情報であって、個人情報を復元できない状態となった個人に関する情報です(同2条6項)。
匿名加工情報は「復元できない状態」であることが、仮名加工情報との最大の違いです。
復元ができないことから、原則として個人情報には該当せず第三者提供も可能です。
また、第三者提供にあたって本人への事前通知などは必要なく、あらかじめホームページなどで第三者に提供する匿名加工情報に含まれる項目と匿名加工情報の提供の方法を公表するだけで足ります(同44条)。
まとめ
個人情報の定義やどこまでが個人情報に該当するのかなどについて解説しました。
生存する個人に関する情報のうち、その情報単体や他の情報との照合で特定個人を識別できる情報と、個人識別符号が個人情報に該当します。
個人情報の定義は非常に広いため、安易な判断で取り扱いを誤らないよう注意しましょう。
また、個人情報保護法には「個人情報」のほかにも、「個人データ」や「個人情報データベース等」、「保有個人データ」などさまざまな用語が定義されています。
規定を確認したりプライバシーポリシーを策定したりする際は、その規定が何を対象としているのか、意識して確認することをおすすめします。
Authense法律事務所では企業法務に特化したチームを設けており、個人情報保護法への対応についても多くのサポート実績があります。
個人情報を適法に取り扱う体制を整備したい際や、プライバシーポリシーの改訂ついて相談したい際は、Authense法律事務所までお気軽にご相談ください。
