個人情報、個人情報と言われますが、正式な定義は何なんでしょうか?
どこまで含まれるのでしょうか?
この記事では、Pマークにおける「個人情報」とは何かについて、具体的にどこまでが個人情報なのか、についても紹介をします。
「個人情報」とは、個人に関する情報であって,当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ,それによって特定の個人を識別することができることとなるものを含む。)。(個人情報保護マネジメントシステム―要求事項 第3条)
※個人情報保護法では「生存する個人」に制限していますが、JIS Q 15001:2006(個人情報保護マネジメントシステムー要求事項)では、「死者の情報」も含めた定義となっています。
この定義の中から、重要な部分だけ取り出すとこうなります。
「個人情報」とは、個人に関する情報であって、特定の個人を識別できるもの。
つまり、
(A) 一人の人に関する情報であって、
(B) それが誰であるかが明確である場合は
個人情報と言えましょう。
ですから、個人情報の例としては、下記のようなものがあげられます。
(1)氏名
(2)「tanaka.taro@abc-shoji.co.jp」のように団体と氏名から本人を特定できるメールアドレス
(3)個人を識別できる写真、ビデオ画像、電話録音など
(4)従業員の評価情報
(5)インターネット、官報、電話帳などで公開されている個人に関する情報
(6)氏名と関連付けられている全ての情報 など
ここまでの内容は、従来からの定義として、様々な書籍やネット上の解説などどこにでも載っていると思います。
ただし、最近、特に上記の例の最後にあげた「(6)氏名と関連付けられている全ての情報」という部分に関して、いろいろと誤解や議論があるようですので、ここで明確にしたいと思います。
今回は、例として、コンビニの売上データを取り上げ、それが個人情報になるかどうかを解説します。
パターン(1)無記名のレシートは個人情報にならない
例えば、下記の様なコンビニの売上データがあるとします。
セブンマート 新橋支店 | |
---|---|
日時 | 202●年7月12日13時56分 |
鮭にぎり | 111円 |
烏龍茶 | 138円 |
日経新聞 | 148円 |
小計 | 397円 |
消費税 | 39円 |
合計 | 436円 |
これは一人のお客さんが買っていた売上情報になりますので、(A) 一人の人に関する情報の条件を満たします。しかし、このデータだけでは誰に関する情報か分からないため、(B) それが誰であるかが明確でなく、個人情報とはなりません。
パターン(2)名前の入ったレシートは個人情報になる
しかし、このコンビニでは、独自のポイントカードシステムを運用していて、お客様にポイントカードの利用を推奨していました。そのために、売上データの最後にポイントカードの作成時に登録した名前が入っていたとします。
セブンマート 新橋支店 | |
---|---|
日時 | 202●年7月12日13時56分 |
鮭にぎり | 111円 |
烏龍茶 | 138円 |
日経新聞 | 148円 |
小計 | 397円 |
消費税 | 39円 |
合計 | 436円 |
氏名 | 山田太郎 |
こうなると、(A) 一人の人に関する情報であって、(B) それが誰であるかが明確であるので、この売上データ全体は個人情報となります。ここで間違えてほしくないのは「名前」だけが個人情報になるのではなくて、先ほどまで個人情報でなかった「日時」や「鮭にぎり 111円」という購入明細の部分も個人情報になるのです。
パターン(3)お店にとっては個人情報にならなくても、ポイント会社にとっては個人情報となる場合がある
では、独自のポイントカードではなく、最近よくある「共通ポイントカードシステム」に参加していて、お店では番号は分かるもののお客様の名前は分からない場合はどうでしょうか?
セブンマート 新橋支店 | |
---|---|
日時 | 202●年7月12日13時56分 |
鮭にぎり | 111円 |
烏龍茶 | 138円 |
日経新聞 | 148円 |
小計 | 397円 |
消費税 | 39円 |
合計 | 436円 |
ポイントID | 9181761152727291 |
このような場合には、お店としては、その人の名前などは分かりませんので、お店としては個人情報にはなりません。
しかし、この共通ポイントカードシステムを管理している会社としては、利用者データベースを使うことで「ポイントID:9181761152727291=山田太郎さん」だと照合できますので、個人情報保護マネジメントシステム―要求事項 第3条の条件にある他の情報と容易に照合することにより特定の個人を識別できるという条件に当てはまり、共通ポイントカードを管理している会社としては個人情報になります。
個人識別符号について
なお、2017年の個人情報保護法改正で、個人情報の定義に「個人識別符号」が含まれることになりました。これには
(1)遺伝子/顔/指紋など身体の一部の特徴をコンピュータで処理するために変換したデータ
(2)マイナンバー/免許証番号/健康保険証番号/パスポート番号など特定の個人に割り当てられた番号で政令や個人情報保護委員会規則で指定されたもの
が含まれます。個人識別符号については、それ以外の個人情報が含まれていなくても個人識別符号単体で個人情報となることになりました。
要配慮個人情報とは?
保護が必要な個人情報の中には「要配慮個人情報」と呼ばれるものもあります。
個人のプライバシーや基本的な権利に対するリスクが高いため、特に慎重に取り扱うべき以下のような情報を指します。
- 人種
- 信条
- 社会的身分
- 病歴
- 犯罪の経歴
- 犯罪の被害にあった事実
- 身体障害・知的障害・精神障害等があること
- 健康診断等の結果
- 保健指導・診療・調剤に関する情報
- 逮捕・差押えなどの刑事事件に関する手続が行われたこと(犯罪の経歴を除く)
- 少年の保護事件に関する手続が行われたこと
- ゲノム情報
これらの各記述に関する詳しいポイントは、「個人情報の保護に関する法律についてのガイドライン(通則編)の2-3」にて解説されています。
まとめ
いかがでしょうか?ご理解いただけましたでしょうか。
最後に大事なポイントを2つまとめておきます。
(ポイント1)氏名や住所だけが個人情報であるとお考えであるとしたら、それは間違いです。どんな些細な購入データであったとしても、一人の人に関する情報は個人情報です。
(ポイント2)また同じデータであっても、A社にとっては個人情報でなくても、B社にとっては個人情報であることもあります。それが個人情報にあたるかどうかは、自社の状況によって変わってきます。
以上、JIS規格での個人情報の定義について解説いたしました。参考にしていただければと思います。
(文責)オプティマ・ソリューションズ株式会社
代表取締役 中康二
Pマーク取得のご相談ならオプティマ・ソリューションズへ!
弊社は創業後の20年間で3,500件を超える支援を行ってきました。さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
弊社ではPマーク認証の取得・更新をする以上に、貴社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからPマーク認証を取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。