【用語集】個人情報の定義は何ですか?どこまで含まれるのですか? 個人情報、個人情報と言われますが、正式な定義は何なんでしょうか?
どこまで含まれるのでしょうか?
この記事では、Pマークにおける「個人情報」とは何かについて、具体的にどこまでが個人情報なのか、についても紹介をします。
「個人情報」とは、個人に関する情報であって,当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ,それによって特定の個人を識別することができることとなるものを含む。)。(個人情報保護マネジメントシステム―要求事項 第3条)
※個人情報保護法では「生存する個人」に制限していますが、JIS Q 15001:2006(個人情報保護マネジメントシステムー要求事項)では、「死者の情報」も含めた定義となっています。
この定義の中から、重要な部分だけ取り出すとこうなります。
「個人情報」とは、個人に関する情報であって、特定の個人を識別できるもの。
つまり、
(A) 一人の人に関する情報であって、
(B) それが誰であるかが明確である場合は
個人情報と言えましょう。
ですから、個人情報の例としては、下記のようなものがあげられます。
(1)氏名
(2)「tanaka.taro@abc-shoji.co.jp」のように団体と氏名から本人を特定できるメールアドレス
(3)個人を識別できる写真、ビデオ画像、電話録音など
(4)従業員の評価情報
(5)インターネット、官報、電話帳などで公開されている個人に関する情報
(6)氏名と関連付けられている全ての情報 など
ここまでの内容は、従来からの定義として、様々な書籍やネット上の解説などどこにでも載っていると思います。
ただし、最近、特に上記の例の最後にあげた「(6)氏名と関連付けられている全ての情報」という部分に関して、いろいろと誤解や議論があるようですので、ここで明確にしたいと思います。
今回は、例として、コンビニの売上データを取り上げ、それが個人情報になるかどうかを解説します。
パターン(1)無記名のレシートは個人情報にならない
例えば、下記の様なコンビニの売上データがあるとします。
| セブンマート 新橋支店 | |
|---|---|
| 日時 | 202●年7月12日13時56分 |
| 鮭にぎり | 111円 |
| 烏龍茶 | 138円 |
| 日経新聞 | 148円 |
| 小計 | 397円 |
| 消費税 | 39円 |
| 合計 | 436円 |
これは一人のお客さんが買っていた売上情報になりますので、(A) 一人の人に関する情報の条件を満たします。しかし、このデータだけでは誰に関する情報か分からないため、(B) それが誰であるかが明確でなく、個人情報とはなりません。
パターン(2)名前の入ったレシートは個人情報になる
しかし、このコンビニでは、独自のポイントカードシステムを運用していて、お客様にポイントカードの利用を推奨していました。そのために、売上データの最後にポイントカードの作成時に登録した名前が入っていたとします。
| セブンマート 新橋支店 | |
|---|---|
| 日時 | 202●年7月12日13時56分 |
| 鮭にぎり | 111円 |
| 烏龍茶 | 138円 |
| 日経新聞 | 148円 |
| 小計 | 397円 |
| 消費税 | 39円 |
| 合計 | 436円 |
| 氏名 | 山田太郎 |
こうなると、(A) 一人の人に関する情報であって、(B) それが誰であるかが明確であるので、この売上データ全体は個人情報となります。ここで間違えてほしくないのは「名前」だけが個人情報になるのではなくて、先ほどまで個人情報でなかった「日時」や「鮭にぎり 111円」という購入明細の部分も個人情報になるのです。
パターン(3)お店にとっては個人情報にならなくても、ポイント会社にとっては個人情報となる場合がある
では、独自のポイントカードではなく、最近よくある「共通ポイントカードシステム」に参加していて、お店では番号は分かるもののお客様の名前は分からない場合はどうでしょうか?
| セブンマート 新橋支店 | |
|---|---|
| 日時 | 202●年7月12日13時56分 |
| 鮭にぎり | 111円 |
| 烏龍茶 | 138円 |
| 日経新聞 | 148円 |
| 小計 | 397円 |
| 消費税 | 39円 |
| 合計 | 436円 |
| ポイントID | 9181761152727291 |
このような場合には、お店としては、その人の名前などは分かりませんので、お店としては個人情報にはなりません。
しかし、この共通ポイントカードシステムを管理している会社としては、利用者データベースを使うことで「ポイントID:9181761152727291=山田太郎さん」だと照合できますので、個人情報保護マネジメントシステム―要求事項 第3条の条件にある他の情報と容易に照合することにより特定の個人を識別できるという条件に当てはまり、共通ポイントカードを管理している会社としては個人情報になります。
個人識別符号について
なお、2017年の個人情報保護法改正で、個人情報の定義に「個人識別符号」が含まれることになりました。これには
(1)遺伝子/顔/指紋など身体の一部の特徴をコンピュータで処理するために変換したデータ
(2)マイナンバー/免許証番号/健康保険証番号/パスポート番号など特定の個人に割り当てられた番号で政令や個人情報保護委員会規則で指定されたもの
が含まれます。個人識別符号については、それ以外の個人情報が含まれていなくても個人識別符号単体で個人情報となることになりました。
要配慮個人情報とは?
保護が必要な個人情報の中には「要配慮個人情報」と呼ばれるものもあります。
個人のプライバシーや基本的な権利に対するリスクが高いため、特に慎重に取り扱うべき以下のような情報を指します。
- 人種
- 信条
- 社会的身分
- 病歴
- 犯罪の経歴
- 犯罪の被害にあった事実
- 身体障害・知的障害・精神障害等があること
- 健康診断等の結果
- 保健指導・診療・調剤に関する情報
- 逮捕・差押えなどの刑事事件に関する手続が行われたこと(犯罪の経歴を除く)
- 少年の保護事件に関する手続が行われたこと
- ゲノム情報
これらの各記述に関する詳しいポイントは、「個人情報の保護に関する法律についてのガイドライン(通則編)の2-3」にて解説されています。
個人情報保護法を違反するとどうなる?
個人情報保護法に違反する行為があった場合、企業や違反者には以下のような法的・社会的な責任が発生する可能性があります。
- 刑事責任:違反行為に対する刑罰
- 民事責任:被害者への損害賠償
- 社会的責任:企業イメージや信用の低下
1. 刑事責任(罰則)
個人情報保護法では、以下のような違反行為に対して刑事罰が定められています。
- 個人情報保護委員会の命令に違反した場合
違反者:1年以下の懲役または100万円以下の罰金(第178条)
法人:1億円以下の罰金(第184条第1項第1号) - 個人情報データベース等を不正な利益目的で提供・盗用した場合
違反者:1年以下の懲役または50万円以下の罰金(第179条)
法人:1億円以下の罰金(第184条第1項第1号) - 虚偽の報告や資料の提出、立入検査の妨害を行った場合
違反者:50万円以下の罰金(第182条第1号)
法人:50万円以下の罰金(第184条第2号)
なお、これらの違反が法人の業務に関連するものであった場合には、違反者本人だけでなく法人自体も処罰の対象となる「両罰規定」が適用されます。
2. 民事責任(損害賠償)
法律に違反し、個人情報が漏えいした場合には、被害を受けた本人から民事上の損害賠償請求が行われる可能性があります。
特に多数の情報が漏えいしたケースでは、対応にかかる時間やコストも膨大となり、企業にとって大きな経済的負担となるリスクがあります。
3. 社会的責任(レピュテーションリスク)
個人情報保護への関心が社会的に高まっている今、万が一情報漏えいが発生すれば、企業としての信頼やブランドイメージが大きく損なわれる可能性があります。
一度失った信用を回復するには長い時間と多くの努力が必要であり、レピュテーションリスクは企業にとって極めて重大なリスク要因となります。
まとめ
いかがでしょうか?ご理解いただけましたでしょうか。
最後に大事なポイントを2つまとめておきます。
(ポイント1)氏名や住所だけが個人情報であるとお考えであるとしたら、それは間違いです。どんな些細な購入データであったとしても、一人の人に関する情報は個人情報です。
(ポイント2)また同じデータであっても、A社にとっては個人情報でなくても、B社にとっては個人情報であることもあります。それが個人情報にあたるかどうかは、自社の状況によって変わってきます。
以上、JIS規格での個人情報の定義について解説いたしました。参考にしていただければと思います。
(文責)オプティマ・ソリューションズ株式会社
代表取締役 中康二
オプティマ・ソリューションズでは、プライバシーマーク取得を徹底的にサポートいたします!
弊社では数多くのお客様のPマーク取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にPマークの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
