個人情報保護法での「個人情報」には何が含まれる？

普段の生活の中で、自分の個人情報を取り扱うことは多いでしょう。こうした個人情報は、個人に関わるとても重要な情報である一方、企業や行政、医療、サービスなどさまざまな機関と分野において、サービスの向上や業務の効率化が図られる側面があります。

そこで、今回は個人情報保護法にいう「個人情報」とは何を指すのか、どこまでの情報を含むのかという概念的なところを中心にご紹介したいと思います。

 

個人情報保護法にいう個人情報とは、前提として、「生存する」「個人に関する情報」であることが必要です。したがって、故人などは「生存する」という要件を満たしませんし、法人に関する、例えば統計情報などは「個人に関する情報」とはいえません。

そして、特定の個人を識別することができる情報といえるか、あるいはマイナンバーなど個人を識別する符号（個人識別符号）が含まれていれば個人情報になります。特定の個人を識別できる情報の典型例は、氏名、住所、生年月日、顔写真などです。

 

容易照合性

特定の個人を識別できる情報には、他の情報と容易に照合することができ、それにより特定の個人を識別することができるものも含まれます。これを容易照合性といます。

例えば、ある企業が顧客データベースと購買履歴データベースを管理していた場合、購買履歴の情報は、それのみでは特定の個人を識別することができない情報です。しかし、両方のデータベースに顧客IDが含まれており、かつ顧客データベースに氏名住所などが含まれていれば、顧客IDを通じて、両データベース同士を容易に照合することが可能となり、購買履歴データベースに含まれる情報は個人情報となります。

 

個人情報保護法には、「個人情報」以外に、様々な個人情報に関する定義付けがされています。

 

個人情報データベースと個人データ

個人情報データベースとは、個人情報をデータベース化したり、検索可能な状態にしたものをいいます。例えば、1枚の名刺に書かれている情報は個人情報にあたりますが、複数の名刺をExcelなどで体系的にまとめたものが個人情報データベースとなります。

そして、個人情報データベースを構成する各々の個人情報（名刺１つ1つ）を個人データといいます。

したがって、例えば、個人データベースから1人分の名刺を抜き出して印刷した場合は個人データですので、安全管理措置義務や第三者提供に関する規制を受けますので注意が必要です。

 

保有個人データ

保有個人データとは、事業者が保有している個人情報のうち、事業のため収集した顧客情報などを本人から開示を求められたときに、開示の権限を有する個人データをいいます。業務委託などで、他社から預かっている情報は、業務委託先に開示の権限はありませんので、保有個人データにあたりません。

 

個人情報・個人データ・保有個人データの関係性

個人情報保護法上、個人情報、個人データ、保有個人データは、入れ子構造になっています。入れ子構造とは、分かり易い例で言えば、マトリョーシカがイメージしやすいでしょう。個人情報が最も外側にあり、個人情報の中に個人データ、個人データの中に保有個人データ、があるという関係になっています。各々によって課せられる義務は異なります。

 

個人情報保護法では、特殊な個人情報の類型として、要配慮個人情報と特定個人情報があります。

要配慮個人情報とは、本人に対する不当な差別や偏見といった不利益が生じないように配慮を要する情報をいいます。要配慮個人情報の例として、人種、信条、社会的身分、病歴、犯歴、犯罪により被った事実、心身の機能の障害があること、健康診断等の結果、健康診断等の結果に基づき本人に対して医師による指導または診療もしくは調剤が行われたこと、本人を被疑者または被告人として刑事事件に関する手続が行われたこと、本人を少年またはその疑いがある者として少年の保護事件に関する手続が行われたこと、があります。

こうした情報は特に配慮を要する情報であるため、本人の同意なく取得することを禁止するなど通常の個人情報より厳格な規律が課せられます。

なお、これらを推知させるにすぎない情報は、法的には要配慮個人情報ではないと解されていますが、慎重な取扱いをするのが実務上の取り扱いとなっています。

その他マイナンバー法ではマイナンバーを含む個人情報を特定個人情報とし、マイナンバー法に基づく規律があります。

 

仮名加工情報とは、個人情報を加工して、他の情報と照合しない限り、特定の個人を識別することができないように加工された情報をいいます。加工された情報の例としては、氏名を削除したり、住所をマスキングすることです。仮名加工情報は、特定の個人を識別することはできませんが、加工前と照合すれば特定の個人を識別できるので、個人情報に該当します。

そのため、原則として個人情報保護法の適用を受けますが、一部例外があります。仮名加工情報は利用目的に関する変更の制限がないので、本人への通知している利用目的以外でも仮名加工情報を利用することができます。また仮名加工情報は、事業者内での分析等を目的としたものですので、第三者への提供は認められていません。その他本人からの開示請求の対象外ですし、漏えいした場合の報告義務もありません。

匿名加工情報とは、特定の個人を識別することができないように、個人情報を加工した情報をいいます。仮名加工情報が加工前に復元できるまたは他の情報と照合すれば特定の個人を識別できるのに対し、匿名加工情報は復元できないようにします。

そのため、仮名加工情報よりも、匿名加工情報の方が大きく加工されます。

例えば、個人情報として「東京都新宿区●●1-1-1」とあれば、仮名加工情報は「東京都新宿区」、匿名加工情報は「東京都」となります。

匿名加工情報は、購買履歴などを加工して流通への活用が想定されていますので、提供方法の公表や提供先へ匿名加工情報である旨明示などをした上で、第三者への提供を行うことができます。

 

個人情報保護とプライバシーを同一に考えられがちですが、厳格にいえば、両者を同一視することはできません。

一般的に、個人情報保護法によって及ぶ範囲とプライバシー保護の範囲は異なり、後者の方がより広いと解されています。

例えば、位置情報についてみると、位置情報のみでは特定の個人を識別できる情報とはいえませんので、個人情報保護法の適用はありません。しかし、企業や第三者が位置情報を利用することはプライバシー保護の観点から注意しなければならないのは肌感覚としてお分かり頂けるかと思います。

 

個人情報の取扱いは社会的にもかなり重要視されており、通信技術の発展などに応じて個人情報保護法は改正を重ねながら今日に至っております。令和２年の改正施行後も、３年を目安に個人情報保護法を検討し、必要に応じて措置を講じることとされているため、今後も法改正の可能性が高いでしょう。

この他にも個人情報保護法に関連してガイドラインやQ＆Aが各機関から分野別に公表されているなど細かいルールが定められています。

日常生活の中では、個人情報はとても身近なものです。自分の個人情報がどういう情報にあたるのか、今一度確認してみましょう。