【用語集】個人情報の定義とは何ですか？

みなさま、こんにちは。今回の「分かりやすいセキュリティ用語集」は「個人情報」の定義についてです。

【個人情報】の定義とは何ですか？

「個人情報」という言葉の意味は、

(1)当該情報に含まれる氏名、生年月日その他の記述等（略）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）

(2)個人識別符号が含まれるもの（個人情報保護法より）

と定義されています。つまり、「個人に関する情報」は全て「個人情報」と見なされる、というわけです。

しかし、この定義だけでは具体的にどの情報が「個人情報」にあたるのかは不明確です。そこで、「個人に関する情報」の範囲が具体的にどこまでなのか「個人情報の保護に関する法律についてのガイドライン」（個人情報保護委員会）で調べてみたところ、「氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない」となっていました。つまり「防犯カメラに記録された映像」や「メールアドレス」などはもちろん、「官報」「電話帳」「職員録」などに掲載されている公開情報であっても、特定の個人を識別できる場合は個人情報になるのです。

個人情報の保護に関する法律についてのガイドライン（通則編）
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku

「他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む」という部分については、たとえば電話番号や企業名、肩書のように、それだけでは個人を特定できない情報であっても、組み合わせによっては個人情報になる可能性があるということです。（例えば、田中太郎商店のように個人名が含まれる企業名や、A社・社長などの肩書など）

つまり、想像以上に「個人情報」に該当する情報は多いということになります。そして多くの事業者は、これらの個人情報を適切に保護することが求められているのです。事業者が「個人情報」を取り扱うに当たっては、あらかじめその利用目的をできる限り特定しなくてはなりません。利用目的を明示せずに個人情報を使用したり、その利用目的を超えて使用したりすることは許されないのです。

■個人情報として認識されない情報の例
・企業の財務情報などの団体情報
・数字や記号などからなるメールアドレス*
・電話番号／Fax番号*
・統計情報
*ただし、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる場合には個人情報となる

数年前、教育産業の最大手が保有する個人情報が漏えいし、名簿業者を通じて販売された事件がありました。この事件では、漏えいさせてしまった企業だけでなく、違法性を認識せずに名簿業者から個人情報を購入し、利用した企業も批判されたことがありました。この場合、業者から個人情報を購入した企業には一見問題がないようにも見えますが、その入手方法の確認を怠ったという点が批判の対象となっているようです。

この事件からも分かるように、個人情報は取扱い方を一つ間違えるだけで、企業の信頼を失墜させ、大きな損害を与えることがあります。たとえ表向きには合法とされている個人情報であっても、実際に取り扱う際には細心の注意を払い、どういった経緯で販売されたのか、出どころはどこなのか、といったことを必要に応じてチェックしていく必要があるということです。

個人情報と「要配慮個人情報」の違いとは？

個人情報の中には、特に慎重な取り扱いが求められる情報があります。それが「要配慮個人情報」です。ここでは両者の定義と主な違いについて解説します。

要配慮個人情報とは？

「要配慮個人情報」とは、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいいます（個人情報保護法第2条第3項）。

要配慮個人情報の具体例

以下の情報が「要配慮個人情報」に該当します（施行令第2条）：

人種、信条、社会的身分
病歴、身体・知的・精神障害の有無
健康診断結果、保健指導・診療・調剤に関する情報
犯罪歴、犯罪被害の事実、刑事手続き歴（逮捕・差押え等）
少年保護事件に関する情報
ゲノム情報

「要配慮個人情報」に該当する場合の追加ルール

通常の個人情報と異なり、「要配慮個人情報」に該当する場合には、以下のような追加の義務が課されます。

区分	内容	根拠条文
① 本人同意の原則	原則として、取得前に本人の同意が必要	第20条第2項
② 第三者提供の制限	オプトアウト方式（事前同意なし）での第三者提供は禁止	第27条第2項
③ 行政機関による取扱い	保有時に個人情報保護委員会への通知が必要	第74条第1項

実務上のポイント

企業・団体が個人情報を収集・管理する際は、まずその情報が「個人情報」に該当するかを確認し、さらに「要配慮個人情報」に該当しないかどうかもチェックすることが非常に重要です。該当する場合は、より厳格な取得・管理・提供のルールを遵守する必要があります。

個人情報と「個人情報データベース等」「個人データ」「保有個人データ」の違い

個人情報を取り扱う上では、法律上明確に区分された概念が複数存在します。ここでは、「個人情報」とその他の類似概念の違いについて整理して解説します。

個人情報データベース等との違い

「個人情報データベース等」とは、個人情報を含む情報の集合体で、次のいずれかに該当するものです（個人情報保護法第16条1項、ガイドライン2-4）。

① コンピュータで体系的に検索可能なもの
　例：顧客管理名簿、診療記録、介護記録などをExcelやWordで管理している場合
② 紙媒体でも体系的に検索可能なもの
　例：氏名や生年月日順に並べ、索引や目次がついている顧客カードなど

個人データとの違い

「個人データ」とは、上記の「個人情報データベース等」に記録されている個人情報を指します。

つまり、顧客名簿や診療記録といった情報集合体を構成する1件1件の個人情報が「個人データ」です。多くの企業では、顧客情報や社員情報などをデータベースで管理しており、これらは法的には「個人データ」として扱われます。

保有個人データとの違い

「保有個人データ」とは、「個人データ」の中でも、事業者自身が開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するもの（いわゆる管理権限を持つもの）をいいます。

従って、以下のような情報は「保有個人データ」に該当しません：

他社からの委託を受けて取り扱っているデータ
紙媒体などで体系的に整理されていない個人情報

つまり、「保有個人データ」に該当するかどうかは、その情報を保有している主体の立場や管理権限によって決まる点に注意が必要です。

まとめ

個人情報の保護に関する理解は、企業の信頼性を左右する重要な要素です。「個人情報」と一口に言っても、その範囲は想像以上に広く、氏名や住所などの明示的な情報に限らず、他の情報と組み合わせることで個人が特定できるデータも含まれます。また、これらの情報が「個人情報データベース等」として体系的に管理されている場合、それを構成する1件1件の情報は「個人データ」となり、さらに事業者が管理権限を持つものは「保有個人データ」として扱われ、より厳格な対応が求められます。

法令やガイドラインの正しい理解と、自社の業務フローへの確実な反映が、個人情報保護への第一歩です。少しずつ用語や制度の背景を理解し、実務に活かしていきましょう。

監修：遠藤朝永（オプティマ・ソリューションズ株式会社・シニアコンサルタント）