【用語集】個人情報の定義は何ですか?どこまで含まれるのですか?について、詳しく説明をします

Pマーク・ISO27001の取得コンサルをするオプティマ・ソリューションズが専門用語を説明

個人情報

個人情報、個人情報と言われますが、正式な定義は何なんでしょうか?
どこまで含まれるのでしょうか?

今回はこの間違いやすいポイントについて解説いたします。

個人情報保護法では、個人情報の定義を下記の通り定めています。

「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。(第2条)

この定義の中から修飾語を取り除き、重要な部分だけ取り出すとこうなります。

「個人情報」とは、生存する個人に関する情報であって、特定の個人を識別できるもの

つまり、

(A) 一人の人に関する情報であって、

(B) それが誰であるかが明確である場合は

個人情報と言えましょう。

ですから、個人情報の例としては、下記のようなものがあげられます。

(1)氏名
(2)「tanaka.taro@abc-shoji.co.jp」のように団体と氏名から本人を特定できるメールアドレス
(3)個人を識別できる写真、ビデオ画像、電話録音など
(4)従業員の評価情報
(5)インターネット、官報、電話帳などで公開されている個人に関する情報
(6)氏名と関連付けられている全ての情報  など

ここまでは、従来からの定義として、様々な書籍やネット上の解説などどこにでも載っているものだと思います。

ただし、最近、特に上記の例の最後にあげた「(6)氏名と関連付けられている全ての情報」という部分に関して、いろいろと誤解や議論があるようですので、ここで明確にしたいと思います。

今回は、例として、コンビニの売上データを取り上げ、それが個人情報になるかどうかを解説します。

■パターン(1)個人情報にならない場合

例えば、下記の様なコンビニの売上データがあるとします。

コンビニ

セブンマート 新橋支店
日時 2015年7月12日13時56分
 鮭にぎり 111円
 烏龍茶 138円
 日経新聞 148円
小計 397円
 消費税 39円
合計 436円

これは一人のお客さんが買っていた売上情報になりますので、(A) 一人の人に関する情報の条件を満たします。しかし、このデータだけでは誰に関する情報か分からないため、(B) それが誰であるかが明確でなく、個人情報とはなりません。

■パターン(2)個人情報になる場合

しかし、このコンビニでは、独自のポイントカードシステムを運用していて、お客様にポイントカードの利用を推奨していました。そのために、売上データの最後にポイントカードの作成時に登録した名前が入っていたとします。

ポイントカード

セブンマート 新橋支店
日時 2015年7月12日13時56分
 鮭にぎり 111円
 烏龍茶 138円
 日経新聞 148円
小計 397円
 消費税 39円
合計 436円
氏名 山田太郎

こうなると、(A) 一人の人に関する情報であって、(B) それが誰であるかが明確であるので、この売上データ全体は個人情報となります。ここで間違えてほしくないのは「名前」だけが個人情報なのではなくて、先ほどまでは個人情報ではなかった「鮭にぎり 111円」という購入明細の部分も個人情報になるのです。

■パターン(3)お店にとっては個人情報にならないが、ポイント会社にとっては個人情報となる場合

では、独自のポイントカードではなく、最近よくある「共通ポイントカードシステム」に参加していて、お店ではその番号しか分からず、名前が分からないようになっていた場合はどうでしょうか?

セブンマート 新橋支店
日時 2015年7月12日13時56分
 鮭にぎり 111円
 烏龍茶 138円
 日経新聞 148円
小計 397円
 消費税 39円
合計 436円
ポイントID 9181761152727291

このような場合には、お店としては、その人の名前などは分かりませんので、お店としては個人情報にはなりません

しかし、この共通ポイントカードシステムを管理している会社としては、利用者データベースを使うことで「ポイントID:9181761152727291=山田太郎さん」だと照合できますので、個人情報保護法第2条の条件にある(C) 他の情報と容易に照合することにより特定の個人を識別できるという条件に当てはまり、共通ポイントカードを管理している会社としては個人情報になります

■まとめ

いかがでしょうか?ご理解いただけましたでしょうか。
最後に大事なポイントを2つまとめておきます。

(ポイント1)氏名や住所だけが個人情報であるとお考えであるとしたら、それは間違いです。どんな些細な購入データであったとしても、個人情報に当たる場合があります。

(ポイント2)また同じデータであっても、A社にとっては個人情報でなくても、B社にとっては個人情報であることもあります。それが個人情報にあたるかどうかは、自社の状況によって変わってきます。

以上、個人情報保護法での個人情報の定義について解説いたしました。
参考にしていただければと思います。

(追記)なお、2017年の個人情報保護法改正で、個人情報の定義に「個人識別符号」が含まれることになりました。これには(1)遺伝子/顔/指紋など身体の一部の特徴をコンピュータで処理するために変換したデータと、(2)マイナンバー/免許証番号/健康保険証番号/パスポート番号など特定の個人に割り当てられた番号で政令や個人情報保護委員会規則で指定されたものが含まれます。個人識別符号については、それ以外の個人情報が含まれていなくても個人識別符号単体で個人情報となることになりました。

(文責)オプティマ・ソリューションズ株式会社
代表取締役 中康二

  • 東京都港区西新橋1-18-6
    クロスオフィス内幸町5階
  • 大阪市北区梅田1-11-4-923
    大阪駅前第4ビル9階
  • 愛知県名古屋市中区
    栄5丁目26-39 GS栄ビル3階
  • メール問い合わせ
  • Pマーク
  • ISMS