澤田直彦
監修弁護士:澤田直彦
弁護士法人 直法律事務所
代表弁護士
IPO弁護士として、ベンチャースタートアップ企業のIPO実績や社外役員経験等をもとに、永田町にて弁護士法人を設立・運営しています。
本記事では、
「「個人情報」って何を指すの?【正しく理解することが重要!】」
について、詳しく解説します。
当事務所では、LINEでのお問い合わせも受け付けております。お気軽にご相談ください。
登録はこちらから
個人情報とは何か
個人情報の定義は、個人情報保護法にあります。
1この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
(1)当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第 2 号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
(2)個人識別符号が含まれるもの
括弧があって読みづらいですが、 「個人情報」とは、
- 生存する「個人に関する情報」であって、
- 「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。)」、
- 又は「個人識別符号が含まれるもの」をいいます。
(1)
まず、個人情報は、「生存」する「個人」に関する情報に限られます。「死者」に関する情報は、個人情報の定義に含まれていません。
ただし、死者に関する情報が、同時に、遺族等の「生存する個人」に関する情報の場合、その遺族等との関係に限っては 「生存する個人」に関する情報となると解されています。
個人情報は、個人情報取扱事業者において、個人データに該当する場合には漏えい防止等のための安全管理措置等を講じる必要がありますので、 死者に関する情報についても、「生存する個人」の場合と同様な安全管理措置等を講じるべきでしょう。
また、企業の財務情報等のような「法人その他の団体」に関する情報は、「個人」に該当しないため、個人情報の定義に含まれていません。ただし、「法人」に関する情報であっても、それが同時に役職員に関する情報である場合は、(当該役職員との関係で)個人情報となります。
取引先の担当者の名刺の情報(名刺も特定の個人を識別できるので、当然に個人情報になります)と考えると当然ですね。
外国に居住する個人に関する情報も、「個人情報」の定義に含まれます。
官報やインターネット等で公表された情報であっても、「個人情報」に該当し得ます。
例えば、ある個人が破産した事実が官報に掲載された場合、その情報は、公表されていますが、その個人が破産した事実も、個人情報に該当します。
また、「趣味」や「血液型」等、それ単体では個人情報に該当しない情報でも、氏名等の特定の個人を識別できる情報と一緒に記録されていれば、全てが個人情報に含まれます。例えば、ある個人の履歴書に、趣味や性別が書いてある場合、こうした情報も個人情報に含まれることになります。
「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問いません。
つまり、特定の個人を識別できる情報及びこの情報に紐づく一切の情報です。
この点、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン」(ガイドラインは、通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編、匿名加工情報編にわかれていますが、以下、区別せず、「ガイドライン」といいます。それぞれについて、こちらのページからご覧いただけます。)でも、個人情報に該当する例として、「生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報」を挙げています。
個人情報は、集積が容易であり、個人の権利を侵害するリスクが高いことから、プライバシー情報の中でも、特に保護の対象とされています。氏名や住所に限られないことに注意しましょう。
(2)
個人情報は、その情報により、又は、容易に照合できる他の情報と併せて、特定の個人を識別することができるものです。「特定の個人を識別することができる」とは、社会通念上、一般人の判断力や理解力を持って、生存する具体的な人物と情報との間に同一性を認めるに至ることができることをいいます。
〈個人情報の分類〉
| 分類 | 例 |
|---|---|
| 該当する例 |
・本人の氏名(同姓同名の場合もあるが、社会通念上、個人情報に該当すると解される) |
| 該当しない例 | ・死者に関する情報(ただし、死者に関する情報が、同時に、遺族等の「生存する個人」に関する情報の場合、その遺族等との関係に限っては個人情報となる) |
(3)
「個人識別符号」を含む場合も、個人情報に該当します(法2条1項2号)。
個人識別符号の定義は、第2条第2項に定められています。
2この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
(1)特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
(2)個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
つまり、個人識別符号とは、生体情報を変換した附合のうち施行規則2条で定める基準を満たすもの又は公的な番号のうち一定のものをいいます 。
指紋認証や顔認証などの生体認証のデータと、パスポート番号、運転免許証の番号、マイナンバーなどの公的な符号が一例として挙げられます。
その他は以下の表をご参照ください。
〈個人識別符号の種類〉
| 個人識別符号の種類 | 具体例 |
|---|---|
①生体情報を変換した符合(施行規則2条で定める基準を満たすもの) |
生体認証データ等(DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋を変換した符合) |
②公的な番号 |
パスポート番号、基礎年金番号、運転免許証番号、住民票コード、マイナンバー、各種保険証 |
※会員IDについて
サービス提供のための会員IDは、「個人識別符号」には一概には該当しないとされており、また、それ単体では原則として特定の個人を識別することが難しいと考えられるため、原則として「個人情報」には該当しません。
ただし、事業者が、氏名、住所、生年月日等の情報を別途取得しており、サービス提供のための会員IDと氏名等の情報とが容易に照合できるものであれば、「個人情報」に該当します。
容易照合性
先ほどの2条1項1号の条文の赤字に「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。」とありました。
「他の情報と容易に照合することができ」るとは、事業者の実態に即して個々に判断されるべきですが、通常の業務における一般的な方法で、他の情報と容易に照合することができる状態をいいます。
例えば、他の事業者への照会を要する場合等であって照合が困難な状態は、一般に、容易に照合することができない状態であると解されています(ガイドライン(通則)2-1)。
単体では、個人情報に紐づかない場合でも、「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」場合には、容易照合性があるとされ、ID番号と紐づいているだけでも、個人情報に該当することになるので、注意が必要です。
総務部では顧客のID番号しか把握していなくても、営業部では、商品を発送するために、ID番号と紐づく形で、氏名、住所、電話番号を把握し、データベース化している場合は、よくあるといえますね。
このように、事業者によっては、各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合があると思われます。では、容易照合性がない場合とはどのような場合でしょうか。
この場合において、ガイドラインQ&A「Q1-15」は以下のような場合には容易照合性がないと記載がされています。
- ⅰ事業者の各取扱部門が独自に取得した個人情報を取扱い部門ごとに設置されているデータベースにそれぞれ別々に保管している場合であって、
- ⅱ双方の取扱部門やこれらを統括すべき立場の者等が、規程上・運用上、双方のデータベースを取り扱うことが厳格に禁止されていて、
- ⅲ特別の費用や手間をかけることなく、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができない状態である場合
そうすると、単純に、社内のデータベース管理上で、単にアクセス権限がかかっているというだけでは、容易照合性を否定することはできないといえます。
したがって、情報管理における考え方としては、企業内にある情報については、上記ⅰ~ⅲの要件を明らかに満たすような場合を除き、容易照合性があることを前提として対応すべきといえます。
なお、「特定できない誰か」の情報は、個人情報には該当せず、個人情報保護法の保護対象には含まれないけれども、プライバシー保護の対象には含まれるため、注意が必要です(プライバシー保護の対象になる場合には、当該プライバシー権を侵害すると損害賠償責任を負うおそれがあります)。
個人情報に該当する場合
以上から、個人情報に該当するかについては、次の表の分類に従い、判断することができます。特に、容易照合性があるか判断をするにあたっては、企業内にどのような情報があるかを正確に把握する必要があるため、留意してください。
【関連記事】
個人情報保護法とは?【プラットフォームと個人情報保護法1】
個人情報漏えい等が発生した場合の法的責任【プラットフォームと個人情報保護法2】
直法律事務所では、IPO(上場準備)、上場後のサポートを行っております。
その他、プラットフォーム、クラウド、SaaSビジネスについて、ビジネスモデルが適法なのか(法規制に抵触しないか)迅速に審査の上、アドバイスいたします。お気軽にご相談ください。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。
アカウントをお持ちの方は、当事務所のFacebookページもぜひご覧ください。記事掲載等のお知らせをアップしております。
