「そもそもPマーク(プライバシーマーク)における個人情報とは何なのか?」
Pマークが、個人情報の管理を適切に行っている事業者に付与されるものということは知っていても、実際にどこまでが個人情報かということは、意外と知られていないのではないでしょうか。
それは決してあいまいではなく、法律やJIS規格で明確に決まっているので、本記事で詳しく解説します。
また、個人情報の具体例として、電気通信事業と医療事業を例にして具体的にどこまでが個人情報なのか、についても紹介します。
貴社での個人情報保護の取り組みにお役立てください。
目次
Pマークにおける個人情報とは?
「個人情報」とは、氏名、生年月日、住所、顔写真などによって、現在生存している個人を識別できる情報のことです。
また、他の情報と簡単に照合することができ、称号することによって特定の個人の識別が可能になる情報も個人情報に該当します。
例えば、電話番号や、生年月日のみで個人を特定することは難しいですが、氏名などと照合ができる場合は個人の識別が可能になるためです。
また、メールアドレス、ユーザー名、ドメイン名から個人を識別できる場合も、個人情報に該当します。
外国籍の人についての情報や、防犯カメラの映像、録音音声も、特定の個人が識別できる場合は個人情報です。
一方で、個人情報には「個人識別符号」も含まれています。
個人識別符号とは、番号、記号、符号などの単体の情報から個人の識別が可能で、なおかつ、政令・規則で規定されている公的な情報のことです。
個人識別符号の例は下記になります。
生体認証に使用可能な生体情報
- 顔認証データ
- 指紋認証データ
- 目の虹彩
- 声紋
- 歩行の態様
- 手指の静脈
- 掌紋
利用者ごとに個別に割り振られた公的な符号
- パスポート番号
- 基礎年金番号
- 運転免許証番号
- 住民票コード
- マイナンバー
- 保険者番号
参考までに「個人情報の保護に関する法律」では個人情報を次のように定義しています。
(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
上述のように、個人情報の保護に関する法律は「生存する個人」を対象にしているため、死者についての情報は保護対象にしていません。
しかし、もし、死者についての情報が、遺族などの現在生存する人たちにも関連・影響する場合は、遺族にとっての個人情報とされるため保護の対象となるのです。
事業の性質上、死者と生存する個人についての情報を一緒に管理することが必要な事業者については、死者についての情報も適切に保護・管理することが推奨されています。
個人情報保護における要配慮個人情報とは?
保護が必要な個人情報の中には「要配慮個人情報」と呼ばれるものもあります。
要配慮個人情報の法律的な定義は下記の通りです。
3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
公開をされることで本人に不利益が発生する情報になるため、本人の許可を得ずに取得することは基本的にできません。
本人の許可なく要配慮個人情報を取得できるケースについては「個人情報の保護に関する法律の第二十条 2 一〜八(適正な取得)」を参照して下さい。
Pマークにおける個人情報保護の業態ごとの具体例
保護対象とされる個人情報には業種特有のものもあります。電気通信事業と病院の例を紹介します。
電気通信事業
携帯電話やインターネット通信などのサービスを提供する事業者を対象にして電気通信事業法が改正されました。2022年6月に公布されたこの改正法は2023年6月までには施行される予定です。
今回の法改正により、従来の個人情報に加えて「特定利用者情報」の保護が必要になります。特定利用者情報とは「通信の秘密に関する情報」のことを指します。
電気通信事業法27条の5の定める特定利用者情報の定義は次の通りです。
一 通信の秘密に該当する情報
具体的には次の情報が該当すると想定されます。
- 電話やメールなどでの通信内容
- 通信日時と通信場所
- 通信当事者の識別符号(例:住所、居所、電話番号)
- 通信回数
- 通信の意図や内容が推知される可能性がある情報
二 利用者を識別することができる情報であって総務省令で定めるもの
電気通信サービスの利用者に個別に付与される識別情報(例:ID、番号)が規制対象に含まれると考えられます。
医療事業
医療事業における個人情報、個人識別符号、要配慮個人情報の例は次の通りです。医師が1名の小さな診療機関も含めた全ての事業者が個人情報保護法の適用対象になっています。
- 個人情報
- 診療録
- 処方箋
- 手術記録
- 助産録
- 看護記録
- 検査所見記録
- X線写真
- 紹介状
- 調剤録
- 問診票
- 患者が入院してから退院するまでの期間の診療経過の要約
また、CT画像だけでは個人情報には該当しませんが、氏名や撮影日時など個人の特定につながる情報が書かれたリストがあれば個人情報です。
カルテに書かれた情報だけでなく、患者の情報が書かれたメモでも、個人の特定が可能な場合は個人情報になります。
- 個人識別符号
- 被保険者証の記号と番号
- 保険者番号
- 患者の細胞から摂取したDNAの塩基配列
- 要配慮個人情報
- 診療や調剤を目的として医療従事者が取得した診療情報(患者の病状、身体状況、治療)
- 調剤情報
- 健康診断の結果と保健指導の内容
- 身体的、知的、精神的障害の事実
- 犯罪被害の事実
Pマークでは個人情報保護方針の策定・公表が求められる
ここまで、Pマークにおける個人情報について詳しく解説してきましたが、Pマークを取得した企業や団体は、自分たちが個人情報を適切に保護するための対策や方法、取り扱いのルールを明確にした「個人情報保護方針」の策定・公表が求められています。
ホームページ上で公開するケースが一般的ですが、ホームページを持たない場合には、事業所の受付に掲示していることもあります。
<プライバシーポリシーとは異なる>
この個人情報保護方針と混同されやすいのが「プライバシーポリシー」です。プライバシーポリシーは、組織が個人情報の取り扱いについての方針を明文化したもので、WEBサイトやアプリケーションで利用者に向けて公開されています。
一見すると同じもののように感じてしまうかもしれませんが、個人情報保護方針は従業員や関係者が遵守すべきルールを示したものであり、プライバシーポリシーは組織が収集した個人情報の利用方法について示したものとなっています。
個人情報管理台帳は最新の状態での維持が必須!
個人情報管理台帳とは、利用目的や保管場所をまとめた台帳のことを指します。
Pマークを取得した企業は、少なくとも年に1回は内容を確認し、常に最新の状態で維持されなくてはいけないと定義づけられています。
個人情報管理台帳を新規で作成する際は、Pマークのガイドラインを確認するところから始めるのがおすすめです。概要や要求事項を正しく理解し、適正な個人情報管理台帳の作成に努めましょう。
項目数が多くなってしまうと管理が大変になってしまうので、従業員にとって大きな負担とならないよう、必要最低限の項目を選定することも重要なポイントです。
先述のとおり、個人情報管理台帳は常に最新の状態での維持が求められます。更新審査の際に慌てることがないよう、最終更新日を記入して一目でいつ時点の最新データなのかが把握できるようにしてください。
オプティマ・ソリューションズでは、プライバシーマーク取得を徹底的にサポートいたします!
弊社では数多くのお客様のPマーク取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にPマークの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからPマークを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
