「そもそもPマーク(プライバシーマーク)における個人情報とは何なのか?」
どこまでが個人情報かということは、法律やJIS規格で明確に決まっているのですが、意外と知られていないのかなと思います。
本記事では、Pマークにおける「個人情報」とは何かについて詳しく解説します。また、個人情報の具体例として、電気通信事業と医療事業を例にして具体的にどこまでが個人情報なのか、についても紹介をします。
貴社での個人情報保護の取り組みにお役立てください。
Pマークにおける個人情報とは?
「個人情報」とは、氏名、生年月日、住所、顔写真などによって、現在生存している個人を識別できる情報のことです。
また、他の情報と簡単に照合することができ、称号することによって特定の個人の識別が可能になる情報も個人情報に該当します。
例えば、電話番号や、生年月日のみで個人を特定することは難しいですが、氏名などと照合ができる場合は個人の識別が可能になるためです。
また、メールアドレス、ユーザー名、ドメイン名から個人を識別できる場合も、個人情報に該当します。
外国籍の人についての情報や、防犯カメラの映像、録音音声も、特定の個人が識別できる場合は個人情報です。
一方で、個人情報には「個人識別符号」も含まれています。
個人識別符号とは、番号、記号、符号などの単体の情報から個人の識別が可能で、なおかつ、政令・規則で規定されている公的な情報のことです。
個人識別符号の例は下記になります。
生体認証に使用可能な生体情報
- 顔認証データ
- 指紋認証データ
- 目の虹彩
- 声紋
- 歩行の態様
- 手指の静脈
- 掌紋
利用者ごとに個別に割り振られた公的な符号
- パスポート番号
- 基礎年金番号
- 運転免許証番号
- 住民票コード
- マイナンバー
- 保険者番号
参考までに「個人情報の保護に関する法律」では個人情報を次のように定義しています。
(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
上述のように、個人情報の保護に関する法律は「生存する個人」を対象にしているため、死者についての情報は保護対象にしていません。
しかし、もし、死者についての情報が、遺族などの現在生存する人たちにも関連・影響する場合は、遺族にとっての個人情報とされるため保護の対象となるのです。
事業の性質上、死者と生存する個人についての情報を一緒に管理することが必要な事業者については、死者についての情報も適切に保護・管理することが推奨されています。
個人情報保護における要配慮個人情報とは?
保護が必要な個人情報の中には「要配慮個人情報」と呼ばれるものもあります。
要配慮個人情報の法律的な定義は下記の通りです。
3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
公開をされることで本人に不利益が発生する情報になるため、本人の許可を得ずに取得することは基本的にできません。
本人の許可なく要配慮個人情報を取得できるケースについては「個人情報の保護に関する法律の第二十条 2 一〜八(適正な取得)」を参照して下さい。
Pマークにおける個人情報保護の業態ごとの具体例
保護対象とされる個人情報には業種特有のものもあります。電気通信事業と病院の例を紹介します。
電気通信事業
携帯電話やインターネット通信などのサービスを提供する事業者を対象にして電気通信事業法が改正されました。2022年6月に公布されたこの改正法は2023年6月までには施行される予定です。
今回の法改正により、従来の個人情報に加えて「特定利用者情報」の保護が必要になります。特定利用者情報とは「通信の秘密に関する情報」のことを指します。
電気通信事業法27条の5の定める特定利用者情報の定義は次の通りです。
一 通信の秘密に該当する情報
具体的には次の情報が該当すると想定されます。
- 電話やメールなどでの通信内容
- 通信日時と通信場所
- 通信当事者の識別符号(例:住所、居所、電話番号)
- 通信回数
- 通信の意図や内容が推知される可能性がある情報
二 利用者を識別することができる情報であって総務省令で定めるもの
電気通信サービスの利用者に個別に付与される識別情報(例:ID、番号)が規制対象に含まれると考えられます。
医療事業
医療事業における個人情報、個人識別符号、要配慮個人情報の例は次の通りです。医師が1名の小さな診療機関も含めた全ての事業者が個人情報保護法の適用対象になっています。
- 個人情報
- 診療録
- 処方箋
- 手術記録
- 助産録
- 看護記録
- 検査所見記録
- X線写真
- 紹介状
- 調剤録
- 問診票
- 患者が入院してから退院するまでの期間の診療経過の要約
また、CT画像だけでは個人情報には該当しませんが、氏名や撮影日時など個人の特定につながる情報が書かれたリストがあれば個人情報です。
カルテに書かれた情報だけでなく、患者の情報が書かれたメモでも、個人の特定が可能な場合は個人情報になります。
- 個人識別符号
- 被保険者証の記号と番号
- 保険者番号
- 患者の細胞から摂取したDNAの塩基配列
- 要配慮個人情報
- 診療や調剤を目的として医療従事者が取得した診療情報(患者の病状、身体状況、治療)
- 調剤情報
- 健康診断の結果と保健指導の内容
- 身体的、知的、精神的障害の事実
- 犯罪被害の事実
Pマーク取得のご相談ならオプティマ・ソリューションズへ!
弊社は創業後の19年間で3,000件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
弊社ではPマーク認証の取得・更新をする以上に、貴社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからPマーク認証を取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
