「個人情報」の主な定義
個人情報とは、生存する個人に関する情報であって、氏名、生年月日、その他の記述等により特定の個人を識別することができるものをいいます。
身体の一部の特徴をデータ化した文字、番号、記号その他の符号や、サービスの利用者や個人に発行される書類等に割り当てられた文字、番号、記号その他の符号のうち、政令で定めるものを「個人識別符号」とし、これが含まれるものも個人情報となります。
「個人情報」とは、生存する個人に関する情報であって、下記のいずれかに該当するものをいいます。
- 【特定の個人を識別することができるもの】
- (例)本人の氏名、生年月日や連絡先・役職等と氏名の組合せ、防犯カメラ等本人が判別できる映像情報、電話帳・職員録・新聞・ホームページ・SNS等で公にされている特定の個人を識別できる情報 など
- 【個人識別符号が含まれるもの】
- ● 特定の個人の身体の一部の特徴を電子計算機のために変換した符号
(例)DNA、顔認証データ、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋 など - ● 対象者ごとに異なるものとなるように役務の利用、商品の購入又は書類に付される符号
(例)旅券番号、運転免許証番号、基礎年金番号、住民票コード、マイナンバー など
- ● 個人情報データベース等
- 個人情報を検索できる形で体系的に構成したもののことを「個人情報データベース等」といいます。
メールソフトのアドレス帳、仕事で使う携帯電話の電話帳、ソフトウェア等でリスト化された従業者や顧客台帳、五十音順にファイリングした名刺入れ等がその典型です。
ただし、政令により、市販の電話帳、住宅地図、職員録、カーナビゲーションシステムを元のままに使用している限りは、個人情報データベース等には当たりません。
- ● 個人データ
- 「個人データ」とは「個人情報データベース等」を構成する個人情報をいいます。
「個人情報」と「個人データ」が違うものであることを認識する必要があります。単体で存在している情報が「個人情報」であり、それを検索できるように体系的に構成したものが「個人情報データベース等」であり、それを構成する一つひとつのデータが「個人データ」となります。
また、「個人情報」と「個人データ」の違いは、安全管理措置と第三者提供に現れ、いずれも「個人データ」のみの規制となっています。
- ● 保有個人データ
- 「保有個人データ」とは、個人情報取扱事業者が、本人又はその代理人から請求される開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の全てに応じることができる権限を有する「個人データ」をいいます。
ただし、個人データのうち、次に掲げるものは、「保有個人データ」には該当しません。(1)当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの。 (例)
家庭内暴力、児童虐待の被害者の支援団体が保有している、加害者(配偶者又は親権者)及び被害者(配偶者又は子)を本人とする個人データ(2)当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの。 (例1)
暴力団等の反社会的勢力による不当要求の被害等を防止するために事業者が保有している、当該反社会的勢力に該当する人物を本人とする個人データ
(例2)
不審者や悪質なクレーマー等による不当要求の被害等を防止するために事業者が保有している、当該行為を行った者を本人とする個人データ(3)当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの。 (例1)
製造業者、情報サービス事業者等が保有している、防衛に関連する兵器・設備・機器・ソフトウェア等の設計又は開発の担当者名が記録された、当該担当者を本人とする個人データ
(例2)
要人の訪問先やその警備会社が保有している、当該要人を本人とする行動予定等の個人データ(4)当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの。 (例1)
警察から捜査関係事項照会等がなされることにより初めて取得した個人データ
(例2)
警察から契約者情報等について捜査関係事項照会等を受けた事業者が、その対応の過程で作成した照会受理簿・回答発信簿、照会対象者リスト等の個人データ(※なお、当該契約者情報自体は「保有個人データ」に該当する。)
(例3)
犯罪による収益の移転防止に関する法律(平成19年法律第22号)第8条第1項に基づく疑わしい取引の届出の有無及び届出に際して新たに作成した個人データ
(例4)
振り込め詐欺に利用された口座に関する情報に含まれる個人データ
- ● 個人情報取扱事業者
- 個人情報保護法上の義務を負う「個人情報取扱事業者」とは、個人情報データベース等をその事業活動に利用している者のことです。現実には、ほとんどの事業者がこの定義に該当すると思われます。
- ● 要配慮個人情報
- 要配慮個人情報については、あらかじめ本人の同意を得ずに取得してはならないとされています。また、オプトアウトによる第三者提供も禁止されています。 要配慮個人情報とは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、身体障害・知的障害・精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること、本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査の結果、健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと、本人を被疑者又は被告人として逮捕・捜索・差押え・勾留・公訴の提起その他の刑事事件に関する手続が行われたこと(犯罪の経歴を除く)、本人を少年法第3条第1項に規定する少年又はその疑いのある者として調査・観護の措置・審判・保護処分その他の少年の保護事件に関する手続が行われたこと、をいいます。
- ● 個人関連情報
- 「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます。
Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴等がその典型です。
- ● 仮名加工情報
- 法第2条第5項で「『仮名加工情報』とは、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報」と定められています。
仮名加工情報の作成の方法に関する基準
- 1. 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 2. 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 3. 個人情報に含まれる不正に利用されることにより財産的被害が生じるおそれがある記述等を削除すること(当該記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- ● 匿名加工情報
- 蓄積された個人情報を「ビッグデータ」として利活用するために、ルールを定めて本人の同意なく利用できるようにしたものです。
法第2条第6項で「『匿名加工情報』とは、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」と定められています。
匿名加工情報の作成の方法に関する基準
- 1. 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること。
(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 - 2. 個人情報に含まれる個人識別符号の全部を削除すること。
(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 - 3.個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること。
(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。 - 4.特異な記述等を削除すること。
(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 - 5.前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。