個人情報保護法の基礎知識 (3) – 個人情報とは何か
投稿日 : 2023年9月19日|最終更新日時 : 2023年9月19日| 村上友紀
個人情報保護制度において最も基本的な概念は、「個人情報」です。しかし実は、「個人情報」とは何かということを正確に理解している人は意外と多くないかもしれません。
ここでは、「個人情報」(法2条1項)とは何かを要素ごとに見ていきます。
(なお、個人情報保護法上、「個人情報」のほかに、「個人データ」や「保有個人データ」といった概念が登場しますが、これらについては、5.取得した個人情報・個人データの管理で後述します。)
シリーズ一覧
個人情報の意味
「個人情報」(法2条1項)とは、「生存する個人に関する情報」であって、氏名や生年月日などによって個人を識別できる情報や、マイナンバーなど個人と紐づけられた符号が含まれる情報をいいます。「生存する」個人に関する情報である以上、死者に関する情報については保護の対象とはなりません。
正確には、個人情報保護法によって、「生存する個人に関する情報」であって、以下のいずれかの要件を備えるものとして定義されています。
① 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
②「個人識別符号」が含まれるもの
以下個別に説明します。
「個人に関する情報」
「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像といった個人を識別する情報だけでなく、ある個人の身体、財産、職種、肩書といった属性に関して、事実、判断、評価を表す全ての情報をいいます。
法人等そのものに関する情報は「個人情報」に該当しません。他方で、法人等に所属する役員や従業員についての情報は「個人情報」に該当し得ます。
上記①と②からは、法によって保護される「個人情報」が、「個人に関する情報」のうち、さらに限定された情報をいうことが分かりますが、以下ではそれぞれ詳しく説明します。
「特定の個人を識別することができるもの」とは?
生存する個人に関する全ての情報のうち、その情報に含まれる氏名、生年月日等により特定の個人を識別することができるものは、「個人情報」に当たります。
この中には、他の情報と容易に照合することにより特定の個人を識別することができるものを含みます。特定の個人を識別するにあたり他の事業者への照会を要する情報の場合は、個別事情にもよりますが、通常は、容易に照合することができない状態であると考えられますから、「個人情報」に当たらない可能性が高いでしょう。
個人識別符号とは?
また、生存する個人に関する全ての情報のうち、「個人識別符号」が含まれるものも「個人情報」に当たります。
「個人識別符号」は、具体的には政令で定められており、例えば以下のものが挙げられます。
- パスポート番号
- 運転免許証番号
- マイナンバー
- 身体の特徴に関するコンピュータ処理に係る符号(DNAを構成する塩基の配列、顔の特徴によって定まる容貌、声の質、歩行の態様、指紋や掌紋など)
つまり、生存する個人に関する全ての情報のうちマイナンバーなどの「個人識別符号」が含まれるものは「個人情報」に当たるということになり、マイナンバーなどを含んだ個人に関する情報は、全て「個人情報」となるわけです。
「個人情報」に該当する具体例
以上からすると、「個人情報」の重要な要素は、特定の個人を識別することができることだといえるでしょう。
では、「個人情報」に該当する具体例はどのようなものでしょうか。
これについて、ガイドライン通則編2-1には、下記のとおり、氏名や、連絡先と氏名を組み合わせた情報のほか、本人が判別できる防犯カメラ映像情報、SNS等に公開されていて個人が特定できる情報などが「個人情報」の具体例として挙げられています。
また、例えば、メールアドレス等は、下記事例5)に記載のように、メールアドレス単体で、○○社の誰々のメールアドレスであるということが分かるゆえに、メールアドレスそのものが「個人情報」に該当する場合があります。他方で、メールアドレス単体では「個人情報」に該当しなくても、氏名など他の情報と組み合わさっているようなときに、組合せによりメールアドレスが「個人情報」に該当するという場合もあるのです。
事例1)本人の氏名
事例2)生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報
事例3)防犯カメラに記録された情報等本人が判別できる映像情報
事例4)本人の氏名が含まれる等の理由により、特定の個人を識別できる音声録音情報
事例5)特定の個人を識別できるメールアドレス(kojin_ichiro@example.com 等のようにメールアドレスだけの情報の場合であっても、example社に所属するコジンイチロウのメールアドレスであることが分かるような場合等)
事例6)個人情報を取得後に当該情報に付加された個人に関する情報(取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、又は照合された結果、生存する特定の個人を識別できる場合は、その時点で個人情報に該当する。)
事例7)官報、電話帳、職員録、法定開示書類(有価証券報告書等)、新聞、ホームページ、SNS(ソーシャル・ネットワーク・サービス)等で公にされている特定の個人を識別できる情報
別の機会での情報の取得
個人に関する複数の情報は常に同時に取得されるものではなく、別々の機会に取得されることもあります。この点、当初の取得の時点で、個人が識別できるものではないとして「個人情報」に該当しない情報も、別の機会に新たな情報が付加されたり、別の情報と照合されたりする結果、生存する特定の個人を識別できるようになる時点では、「個人情報」に該当することになります。例えば、回答者Aから貯蓄額の情報だけを取得していた場合に、別の機会に、回答者Aから氏名の情報も得たときには、当初取得した貯蓄額の情報も「個人情報」になります。
また、「個人情報」に該当する情報の取得後に同じ個人に関する新たな情報が付加される場合には、その付加情報は「個人情報」に該当します。
つまり、ある情報が「個人情報」に該当するか否かは、手持ちの情報と新たに取得する情報がそれぞれどのような情報で、それらにどういった関係性があるかによって左右されるといえます。
Suica乗降履歴販売事件
個人情報該当性が世間で問題になったケースとして、JR東日本のICカード「Suica」乗降履歴販売事件があります。
ビッグデータの利活用が世間で話題を集め始めていた2013年6月、JR東日本がSuicaの乗降履歴(氏名や電話番号等を削除し、分析用に加工したもの)を日立製作所に販売していたことが判明したことから、世間の批判にさらされ、結局、JR東日本はSuicaの利用履歴の第三者提供を中止することにしたという事件です。
JR東日本としては、氏名や電話番号等を削除していたことから、個人情報には該当しないと判断していました。しかしながら、氏名や電話番号等を削除していたとしても、JR東日本において、元データその他のデータとの照合により、誰のデータかが特定されてしまう可能性は否定できません。また、長い期間個人の乗車履歴等が蓄積されることにより、個人が識別されてしまう可能性もあるとの批判がなされました。
このように、個人情報の定義は実は解釈が難しく、また、世間の目も厳しいものがあります。氏名等が含まれないからと言って安易に個人情報ではないと判断せず、定義に従ってきちんと検討することが不可欠と言えます。
本記事に関するお問い合わせはこちらから。
(文責・村上)
