個人情報とは何か? | その定義と特定方法について
個人情報保護法やプライバシーマーク制度では、個人情報を適切に管理することが求められます。
そして、個人情報を安全に利用するためには、個人情報の定義をきちんと理解したうえ、管理体制を整備することが必要です。
そこで、本コラムではまず、個人情報の定義を掘り下げ、次に、実際の業務でどのように個人情報を洗い出し、特定すれば良いのかを、具体例を交えて考えていきたいと思います。
個人情報の法的な定義は?
はじめに、個人情報の法的な位置づけを確認します。
個人情報保護法では、以下のように個人情報を定義しています。
「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
- 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
- 個人識別符号が含まれるもの
条文にあるように、法律上の個人情報はあくまで生存する個人が対象となります。
そして、個人情報として定義されるのは、次のいずれかの条件に当たる場合だと定められています。
- 個人を特定できる情報
- 個人識別符号が含まれる情報
以下、その内容を詳しく見ていきます。
個人を特定できる情報
その情報で個人を特定できるかできないかを判断するためには、個々の情報を詳細に見る必要があります。
例えば、氏名は個人情報にあたるのでしょうか?
一般的には氏名のみでも個人情報と認識されがちですが、同姓同名の問題があります。よくある名前であれば、個人を特定するには至らないケースもあります。
しかし、取引先担当者のリストに氏名の記載があればどうでしょうか?
この場合は、情報ソースが「取引先」という範囲に絞られるので、特定できる可能性がぐっと高まります。
Eメールアドレスについても同様です。
例えば、Gmailなどのフリーアドレスのみで個人を特定することは難しいかもしれませんが、企業ドメインが入った社用アドレスなどであれば、特定できる可能性があります。
ウェブサイトの閲覧履歴などはどうでしょうか?
データが匿名であれば個人情報ではない、などと短絡的な判断はできません。性別や地域などのユーザー属性、ページの閲覧時間などから、特定の個人にたどり着くことが可能な場合もあります。
また、匿名アンケートなどでも、回答内容などから個人が特定できてしまうケースがあります。
つまり、個人を特定できる情報かどうかは、その情報がおかれた状況により、判断が大きく左右されるということです。そういったことから、ある程度幅を持って個人情報の範囲を考える必要があります。
個人識別符号が含まれる情報
個人識別符号とは、指紋やDNA情報などの個人の身体的特徴をソースにしたデータ、もしくは、個人番号(マイナンバー)やパスポート番号などの個人を識別するための番号・符号のことを指します。
これら個人識別符号を含む情報は、全て個人情報であると判断されます。
個人識別符号が含まれていれば、当然、前述の「個人を特定できる情報」にもあたると考えられますが、条文にあえて分けて記載されていることから、特に重要な項目であることが分かります。
関連記事
「改正個人情報保護法」のポイントとは? ガイドラインの要点を整理!
個人情報保護法(正式名称:個人情報の保護に関する法律)が約10年ぶりに改正され、「改正個人情報保...
「個人情報」と「個人データ」の違いは?
個人情報について調べていると、「個人データ」という単語をよく見かけます。
「個人データ」とは、個人情報のうち、データベースなどで管理されているもの、またはそこから出力された媒体(紙など)のことを指し、個人情報をさらに狭義に見た概念だと言えます。
個人情報をどのように特定すれば良いのか?
ここまででは、法律の条文から個人情報の「定義」を見てきました。
さて、それでは現実的な問題として、組織内でどのようにして個人情報を洗い出していけば良いのでしょうか?
判断基準を明確にする
組織内の各部門に個人情報の洗い出しを行わせる場合、まず、どのような項目を持つ情報を個人情報として扱うか、判断基準を明確にしたうえ指示を出す必要があります。
しかし、先述のように法律上の定義を基準にした場合、ケースバイケースで個人を特定できる情報かどうかが変わってくるため、含まれる項目だけでは個人情報を判別することができません。そうなると、個人情報を個別に精査せざるをえなくなります。
そこで現実的な方法として、「個人を特定できる情報」はすべて個人情報であることを大前提としたうえで、組織として、どのような項目が含まれている情報を個人情報として洗い出すかを「暫定的に」決めることが考えられます。
具体的には、「氏名、Eメールアドレス、電話番号、住所、のいずれかが含まれていれば、個人情報と判断すること」、というようなルールを決めることです。
また、先述の通り、指紋やDNA情報、マイナンバーなどの個人識別符号が含まれる情報は漏れなく個人情報にあたりますので、認識を共有しておく必要があります。
まずはリスト化された情報から
さて、判断基準が決定したら、具体的に個人情報の洗い出しを始めます。
ただ、個人で管理する情報や、末端の記録類などの断片的な個人情報を漏れなく拾い上げるのは、現実的に難しいと思います。なので、まずはリスト化された台帳や、書類としてある程度まとまった個人情報情報から調べるのが合理的です。
まとまった個人情報としてざっと考えられるのが、以下のような情報です。
従業員情報
- 社会保障関係情報(標準報酬月額算定基礎届など)
- 税務関係情報(源泉徴収票など)
- タイムカードなどの勤怠記録
- 給与台帳
- 従業員の個人番号(マイナンバー)の控え
採用応募者情報
- 履歴書
- 採用サイトからの応募情報
顧客情報・パートナー情報
- 顧客情報のデータベース
- サイトからの問い合わせ情報
- PCやモバイルのメーラーアドレス帳
- 外部からの来社記録
まずはここで挙げたような比較的分かりやすい個人情報を拾い上げ、ある程度の期間をかけて段階的に網の目を細かくし、個人情報の漏れを少しづつ減らしていく・・・という方法がおすすめです。
要配慮個人情報に注意する
改正個人情報保護法では、「要配慮個人情報」というカテゴリーが設定されました。
要配慮個人情報とは、人種、信条、社会的身分、その他に関する項目を含む個人情報で、通常の個人情報より特別な配慮が必要とされています。
個人情報を特定する際は、要配慮個人情報の存在を必ず確認し、明確に区分することが求められます。
要配慮個人情報については、以下記事に詳しく記載していますので、ご参照ください。
関連記事
改正個人情報保護法(2017年5月30日施行)では個人情報のカテゴリーが明確化され、「要配慮個人情報...
個人情報は必要最小限に
そして、見落とされがちなことですが、不必要な個人情報の保有は、それだけでセキュリティ上の大きなリスク要因になります。リスク低減の観点でいうと、従業員が個々の裁量で管理する個人情報については、必要最小限に抑えることが賢明です。
例えば、従業員が個別に持っている名刺などの個人情報を漏れなく特定することは困難です。
なので、そういった顧客情報などは社内のデータベースで一元管理する、認証のかかった社用のデバイスのみに保管するなど、保有する個人情報の所在を明確にする工夫が必要になります。
個人情報を特定する際には、「個人情報を持つこと」自体がリスクを孕んでいる、という視点を踏まえて保有すべき個人情報を精査することが重要になります。
個人情報を正しく活用するために
本記事では、個人情報の定義を明らかにし、組織内でどのように特定していけば良いのかを、具体例を交えてお話してきました。
ただし、一つだけ心にとどめておいていただきたいことが、個人情報の役割についてです。
一般的に、「個人情報保護」という言葉が一人歩きし、個人情報を保護する側面のみがフォーカスされやすい傾向にあります。そのため、個人情報の利用に対してセンシティブになり過ぎ、組織内でのスムーズな業務を妨げてしまうことが少なくありません。
しかし一方で、取引先や顧客に有益な情報を提供したり、サービスや商品の品質を向上させるためには、個人情報を積極的に活用することは推奨されるべきことです。
有益な事業活動を行っていくためには、個人情報保護は「保護するもの」であると同時に、「活用するもの」という視点を持つことが重要だと言えます。
