個人情報とはどこまでが含まれる？定義を弁護士がわかりやすく解説

個人情報とは

はじめに、個人情報の定義について解説します。

個人情報の定義

個人情報の定義は、個人情報の保護に関する法律（以下、「個人情報保護法」といいます）の2条で規定されています。
これによると、個人情報とは、生存する個人に関する情報であって、次のいずれかに該当するものです。

1. その情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む）
2. 個人識別符号が含まれるもの

個人情報に該当するものの例

個人情報に該当するものの例は、生存する個人に関する情報のうち次のものなどです。

• 氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報
• ユーザー名やドメイン名から特定の個人を識別することができるメールアドレス
• その情報単体から特定の個人を識別できる顔認証データ、指紋認証データ、虹彩、声紋、歩行の態様、手指の静脈、掌紋などのデータ
• パスポート番号、基礎年金番号、運転免許証番号、住民票コード、マイナンバー、保険者番号など

個人情報に該当するかどうか迷いがちなものについては、後ほどくわしく解説します。

取得する情報が個人情報に該当する場合に講じるべき措置

取り扱う情報が個人情報に該当する場合は、個人情報保護法の規定により次の措置などを講じなければなりません。

• 利用目的をできるだけ特定する必要がある（同法17条）
• 原則として本人の事前同意を得ることなく、利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない（同法18条1項）
• 違法又は不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはならない（同法19条）
• 偽りその他不正の手段により個人情報を取得してはならない（20条）
• 個人情報を取得した場合はあらかじめその利用目的を公表している場合を除き、速やかにその利用目的を、本人に通知するか公表しなければならない（同法21条）
• データの正確性の確保や、利用の必要がなくなった際の消去に努めなければならない（同法22条）
• 安全管理措置を講じなければならない（同法23条）
• 一定の場合には、漏洩の報告や本人への通知をしなければならない（同法26条）
• あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。ただし、一定の条件のもと、オプトアウト方式（あらかじめ同意を得ることなく第三者提供を行い、本人からの申出により利用停止をする方式）も認められる（同法27条）
• 本人からの請求による開示や訂正、利用停止等への対応が必要となる（同法33条、34条、35条）

要配慮個人情報とは

個人情報保護法では、通常の個人情報よりもセンシティブな情報として「要配慮個人情報」に関する規定を設けています。
ある情報が要配慮個人情報に該当する場合は、通常の個人情報よりもさらに取り扱いに注意しなければなりません。
ここでは、要配慮個人情報の概要について解説します。

要配慮個人情報の定義

要配慮個人情報とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」です（同法2条3項）。

また、政令ではその他要配慮個人情報に該当するものとして、次のものが挙げられています（個人情報保護法施行令2条）。

1. 身体障害、知的障害、精神障害（発達障害を含む）その他の個人情報保護委員会規則で定める心身の機能の障害があること
2. 健康診断等の結果
3. 健康診断等の結果や疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導、診療、調剤が行われたこと
4. 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと
5. 本人を少年法に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと

要配慮個人情報に該当するものの例

要配慮個人情報に該当するものは、先ほど紹介した条文に記載のとおりです。
主なものを抜き出すと、次のものなどが要配慮個人情報にあたります。

• 本人の人種
• 信条
• 社会的身分
• 病歴
• 犯罪の経歴
• 犯罪により害を被った事実
• 心身の機能の障害
• 健康診断等の結果
• 医師の診療や調剤の事実
• 刑事事件に関する手続が行われたこと
• 少年法上の手続きが行われたこと

なお、要配慮個人情報に該当するものは、すべて個人情報に該当します。
「個人情報ではないものの要配慮個人情報に該当するもの」は存在しません。

取得する情報が要配慮個人情報に該当する場合に講じるべき措置

取り扱う情報が要配慮個人情報に該当する場合は、通常の個人情報よりも一段厳しい措置をとることが求められます。
通常の個人情報とは異なる措置は、主に次の2点です。

1. 要配慮個人情報を取得する際には、原則としてあらかじめ本人の同意を得ることが必要（個人情報保護法20条2項）
2. オプトアウト方式による第三者提供は認められず、第三者提供時にはあらかじめ本人の同意を得ることが必要（同法27条2項但書）

個人情報とはどこまでを指す？該当するもの・しないものの考え方

ある情報が個人情報に該当するかどうか悩ましい場合も多いでしょう。
そういった場合は、個人情報保護委員会が公表しているガイドラインやFAQが参考となります。

ここでは、このFAQをもとに、個人情報に該当しないかどうか迷いがちなケースについて解説します。

氏名

氏名は、原則として個人情報に該当します。

同姓同名が多い氏名の場合、これのみで個人を特定できない場合も多いかもしれません。
その場合でも、氏名は社会通念上、特定の個人を識別することができるものと考えられることから、個人情報に該当するとされています。

住所や電話番号

住所や電話番号のみの情報が個人情報にあたるかどうかはケースバイケースです。

他の情報と容易に照合することによって特定の個人を識別することができる場合は、その情報と併せた全体として個人情報に該当することがあります。

メールアドレス

メールアドレスのみの情報が個人情報にあたるかどうかはケースバイケースです。

メールアドレスに個人名が含まれている場合など、メールアドレスのユーザー名やドメイン名から特定の個人を識別することができる場合は、そのメールアドレスは単独で個人情報に該当します。

また、これ以外の場合でも、他の情報と容易に照合することにより特定の個人を識別することができる場合は、その情報と併せた全体として個人情報に該当することがあります。

オンラインゲームなどのニックネームやID

オンラインゲームなどのニックネームやIDは、通常それのみでは特定の個人を識別することができないため個人情報には該当しません。

ただし、これらの情報を他の情報と容易に照合することにより特定の個人を識別できる可能性がある場合は個人情報に該当し得ます。
また、有名なニックネームなど、ニックネームやIDから特定の個人が識別できる場合は個人情報に該当します。

顧客との電話の内容

通話内容から特定の個人を識別することが可能な場合は、顧客との電話の内容は個人情報に該当します。

なお、個人情報の取得にあたっては、利用目的を通知または公表する義務を負うものの、通話内容の録音することで結果的に通話内容から識別される個人情報を取得することとなるとしても、録音していることについて伝える義務までは負わないとされています。

Cookie等の端末識別子

Cookie等の端末識別子は、他の情報と容易に照合することにより特定の個人を識別することができる場合は、その情報と併せた全体として個人情報に該当します。

クレジットカード番号

クレジットカード番号はその情報単体では特定の個人を識別することができないため、原則として個人情報には該当しません。

ただし、氏名など他の情報と容易に照合することができ、それによって特定の個人を識別することができる場合は個人情報に該当します。

いわゆる「人流データ」

人流データは、原則として個人情報に該当しません。
人流データとは、カメラ画像から抽出した性別や年齢といった属性情報や、人物を全身のシルエット画像等に置き換えて作成した店舗等における移動軌跡データです。

ただし、特定の個人を識別することができる情報と容易に照合することができる場合は個人情報に該当し得ます。

統計情報

統計情報は、特定の個人を識別できないものである限り個人情報に該当しません。

要配慮個人情報に該当するもの・しないものの考え方

ここでは、要配慮個人情報に該当するかどうかの考え方について解説します。
なお、要配慮個人情報に該当しないものであっても、通常の個人情報に該当する可能性はあります。

受刑の経歴

受刑の経歴は、「有罪の判決を受けてこれが確定したこと」に関する事実にあたるため、要配慮個人情報に該当します。

無罪判決を受けた事実や不起訴処分となった事実

無罪判決を受けた事実や不起訴処分となった事実は、いずれも「刑事事件に関する手続を受けたこと」に該当するため、要配慮個人情報に該当します。

犯罪行為を撮影した防犯カメラの映像

ある人の犯罪行為を撮影した防犯カメラ映像は、要配慮個人情報に該当しないとされています。
なぜなら、単に防犯カメラの映像に犯罪行為が疑われる映像が映ったのみでは、犯罪の経歴にも刑事事件に関する手続きが行われたことにも該当しないためです。

診療又は調剤に関する情報

診療又は調剤に関する情報や病院等を受診したという事実、薬局等で調剤を受けたという事実は、すべて要配慮個人情報に該当します。

特定の政党が発行する新聞や機関誌等を購読しているという情報

「〇教に関する本を購入した」という購買履歴の情報や特定の政党が発行する新聞や機関誌等を購読しているという情報は、それのみでは要配慮個人情報に該当しないとされています。
なぜなら、その情報だけでは個人的な信条によるものであるのか、単に情報の収集や教養を目的としたものであるのか判断することが困難であるためです。

個人情報保護法に違反した場合の責任

個人情報保護法に違反した場合は、次の責任が生じる可能性があります。

• 刑事責任
• 民事責任
• 社会責任

刑事責任

1つ目は、刑事責任です。
個人情報保護法では、事業者が個人情報の取り扱い規定に違反したとしても、そのこと自体に罰則が適用されるわけではありません。

個人情報保護法に違反した場合は、原則として個人情報保護委員会から指導や助言（同法147条）または是正の勧告や命令がなされます（同法148条1項から3項）。
この命令に従わない場合、行為者が1年以下の懲役または100万円以下の罰金に処されるほか、法人が1億円以下の罰金刑の対象となります（同法178条、184条1項1号）。

民事責任

2つ目は、民事責任です。
個人情報保護法の規定に違反したことで個人情報が漏洩するなどした場合は、損害賠償請求がなされる可能性があります。

損害賠償請求の金額は漏洩した情報1件あたり数千円から1万円程度とされることが多いものの、漏洩した件数が多い場合は総額が大きくなりやすいでしょう。
また、要配慮個人情報が漏洩した場合やクレジットカードの情報が漏洩し実害が生じた場合などは、損害賠償請求額も大きくなる傾向にあります。

社会責任

3つ目は、社会的な責任です。
個人情報保護委員会からなされた命令に違反した場合は、その旨が公表される可能性があります（同法148条4項）。

漏洩の件数が多い場合などは、自社ホームページに掲載するなどして自ら公表することもあるでしょう。
また、たとえ漏洩に至らなくても、個人情報を杜撰に管理していることがSNSなどで「告発」されると、個人情報の取り扱いに問題があることが広く社会に知られることとなります。
これにより、企業の信頼が失墜する可能性があります。

まとめ

個人情報の定義や個人情報に該当しないものの例について解説しました。

ある情報が個人情報や要配慮個人情報に該当するかどうか悩んだ場合には、法令やガイドラインが参考になります。
特にガイドラインは一度目を通しておくとよいでしょう。

これらを参照しても判断が難しい場合は、個人情報に詳しい弁護士や個人情報保護委員会までご相談ください。