【用語集】個人情報の定義は何ですか?どこまで含まれるのですか? 個人情報、個人情報と言われますが、正式な定義は何なんでしょうか?
どこまで含まれるのでしょうか?
この間違いやすいポイントについて、今回は解説いたします。
個人情報保護法では、個人情報の定義を下記の通り定めています。
「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。(第2条)
この定義の中から修飾語を取り除き、重要な部分だけ取り出すとこうなります。
「個人情報」とは、生存する個人に関する情報であって、特定の個人を識別できるもの。
つまり、
(A) 一人の人に関する情報であって、
(B) それが誰であるかが明確である場合は
個人情報と言えましょう。
ですから、個人情報の例としては、下記のようなものがあげられます。
(1)氏名
(2)「tanaka.taro@abc-shoji.co.jp」のように団体と氏名から本人を特定できるメールアドレス
(3)個人を識別できる写真、ビデオ画像、電話録音など
(4)従業員の評価情報
(5)インターネット、官報、電話帳などで公開されている個人に関する情報
(6)氏名と関連付けられている全ての情報 など
ここまでの内容は、従来からの定義として、様々な書籍やネット上の解説などどこにでも載っていると思います。
ただし、最近、特に上記の例の最後にあげた「(6)氏名と関連付けられている全ての情報」という部分に関して、いろいろと誤解や議論があるようですので、ここで明確にしたいと思います。
今回は、例として、コンビニの売上データを取り上げ、それが個人情報になるかどうかを解説します。
■パターン(1)無記名のレシートは個人情報にならない
例えば、下記の様なコンビニの売上データがあるとします。
| セブンマート 新橋支店 | |
|---|---|
| 日時 | 202●年7月12日13時56分 |
| 鮭にぎり | 111円 |
| 烏龍茶 | 138円 |
| 日経新聞 | 148円 |
| 小計 | 397円 |
| 消費税 | 39円 |
| 合計 | 436円 |
これは一人のお客さんが買っていた売上情報になりますので、(A) 一人の人に関する情報の条件を満たします。しかし、このデータだけでは誰に関する情報か分からないため、(B) それが誰であるかが明確でなく、個人情報とはなりません。
■パターン(2)名前の入ったレシートは個人情報になる
しかし、このコンビニでは、独自のポイントカードシステムを運用していて、お客様にポイントカードの利用を推奨していました。そのために、売上データの最後にポイントカードの作成時に登録した名前が入っていたとします。
| セブンマート 新橋支店 | |
|---|---|
| 日時 | 202●年7月12日13時56分 |
| 鮭にぎり | 111円 |
| 烏龍茶 | 138円 |
| 日経新聞 | 148円 |
| 小計 | 397円 |
| 消費税 | 39円 |
| 合計 | 436円 |
| 氏名 | 山田太郎 |
こうなると、(A) 一人の人に関する情報であって、(B) それが誰であるかが明確であるので、この売上データ全体は個人情報となります。ここで間違えてほしくないのは「名前」だけが個人情報になるのではなくて、先ほどまで個人情報でなかった「日時」や「鮭にぎり 111円」という購入明細の部分も個人情報になるのです。
■パターン(3)お店にとっては個人情報にならなくても、ポイント会社にとっては個人情報となる場合がある
では、独自のポイントカードではなく、最近よくある「共通ポイントカードシステム」に参加していて、お店では番号は分かるもののお客様の名前は分からない場合はどうでしょうか?
| セブンマート 新橋支店 | |
|---|---|
| 日時 | 202●年7月12日13時56分 |
| 鮭にぎり | 111円 |
| 烏龍茶 | 138円 |
| 日経新聞 | 148円 |
| 小計 | 397円 |
| 消費税 | 39円 |
| 合計 | 436円 |
| ポイントID | 9181761152727291 |
このような場合には、お店としては、その人の名前などは分かりませんので、お店としては個人情報にはなりません。
しかし、この共通ポイントカードシステムを管理している会社としては、利用者データベースを使うことで「ポイントID:9181761152727291=山田太郎さん」だと照合できますので、個人情報保護法第2条の条件にある(C) 他の情報と容易に照合することにより特定の個人を識別できるという条件に当てはまり、共通ポイントカードを管理している会社としては個人情報になります。
■まとめ
いかがでしょうか?ご理解いただけましたでしょうか。
最後に大事なポイントを2つまとめておきます。
(ポイント1)氏名や住所だけが個人情報であるとお考えであるとしたら、それは間違いです。どんな些細な購入データであったとしても、一人の人に関する情報は個人情報です。
(ポイント2)また同じデータであっても、A社にとっては個人情報でなくても、B社にとっては個人情報であることもあります。それが個人情報にあたるかどうかは、自社の状況によって変わってきます。
以上、個人情報保護法での個人情報の定義について解説いたしました。
参考にしていただければと思います。
(追記)なお、2017年の個人情報保護法改正で、個人情報の定義に「個人識別符号」が含まれることになりました。これには
(1)遺伝子/顔/指紋など身体の一部の特徴をコンピュータで処理するために変換したデータ
(2)マイナンバー/免許証番号/健康保険証番号/パスポート番号など特定の個人に割り当てられた番号で政令や個人情報保護委員会規則で指定されたもの
が含まれます。個人識別符号については、それ以外の個人情報が含まれていなくても個人識別符号単体で個人情報となることになりました。
(文責)オプティマ・ソリューションズ株式会社
代表取締役 中康二
