見出し画像

混同しがちな「個人情報」関係の概念をご説明します!

A&A法律事務所

2022年4月1日、改正個人情報保護法が施行を迎えました。
この改正法では、「仮名加工情報」などの新たな概念も加わりました。
あなたは、個人情報保護法における「個人情報」を正しく理解できていますか。
他の概念の内容も複雑で、混乱しやすいところです。
不正アクセスなどにより情報の漏洩が多発する昨今、企業にとって情報管理は非常に重要なマターですね。
マーケティングなどの観点からも情報収集及びその管理は重要です。
しかし、正確な定義を理解していなければ適切な情報管理をすることはできません。
そこで、ここでは、混乱しやすい個人情報に関連するワードのそれぞれの定義をご説明いたします。
皆さんには、今お持ちの知識を復習する感覚で読んでいただければと思います。
以下、個人情報保護法(2022年4月1日施行)のことを、単に「法」と呼びます。

個人情報

「個人情報」(法2条1項)とは

 生存する個人に関する情報
    +
 個人として識別できるもの

をいいます。
「個人として識別できるもの」かどうかについては、次の2つのいずれかに該当するかどうかで判断します。

・当該情報に含まれる氏名、生年月日その他の記述等に記載されるなどした(文字、映像、音声などのすべて)一切の事項により、特定の個人を識別することができるもの(ほかの情報と容易に照合することができ、それにより個人を識別することができるものを含む)
     または
個人識別符号が含まれるもの

「個人識別符号」とは、パスポート番号、運転免許証番号、マイナンバーなどが該当します。
そのほか、例えば、社内のある部屋に入るためのセキュリティーロックを解除するパスワードに、指紋や顔の容貌などを使用している場合の、その指紋や顔の容貌なども該当します。

個人情報に該当する情報については、主に次のような義務が生じます。

  • 利用目的をできる限り特定する

  • 利用目的の達成に必要な範囲内でのみ取り扱う

  • 不適正な利用の禁止

  • 不正手段による取得の禁止

  • 取得時に利用目的を本人に通知または事前公表する必要がある

要配慮個人情報

「要配慮個人情報」(法2条3項)とは

本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報

をいいます。
要は、一般的に不利益が生じる可能性のある事項が含まれる個人情報のことです。
要配慮個人情報については、それ以外の個人情報に比べて厳格な規制がなされています。
不必要に取得しないことが得策です。

個人データ

「個人データ」(法16条3項)とは

個人情報データベース等を構成する個人情報

のことです。
「個人情報データベース等」とは、次に該当する場合をいいます。

個人情報を含む情報の集合体
   +
①PC等を用いて検索できるよう体系的に構成したもの
   または
②容易に検索できるように体系的に構成したものとして政令で定めるもの
   +
 利用方法から見て個人の権利利益を害するおそれが少ないとして政令で定めるもの(市販の電話帳、カーナビなど)に該当しないこと

ここで注意が必要なのは、個人情報をデータ化(紙の書面ではなく、PCなどに入力した状態)すれば、全てが個人データとなるわけではないということです。
個人データとして規制されるのは、上記のとおり、個人情報データベース等を構成するもののみなのです。
逆に、PCなどに入力されていなくても、分類されて整理された紙の名簿なども、データベースとなり、これを構成する情報は「個人データ」となります。
これは、データベースになったものが特に、大量漏洩による甚大な被害を招くおそれがあり、保護が必要なことによります。

個人データに該当するものについては、上記の個人情報について生じる義務のほか、主に次のような義務も生じます。

  • データ内容を正確で最新のものに保ち、不要になれば消去する

  • 安全管理のために必要な措置を講じ、従業者や委託先を監督する

  • 重大漏洩時には、個人情報保護委員会への報告及び本人への通知を行う

  • 第三者提供のためには、本人の事前の同意が必要

保有個人データ

「保有個人データ」(法16条4項)とは

個人情報取扱業者が、開示、内容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限をもつ個人データ
   +
その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものに該当しないこと

政令で定めるものの例としては、存否が明らかになることで本人や第三者の生命、身体または財産に危害が及ぶおそれがあるものなどがあります。

保有個人データに関しては、個人情報及び個人データについて生じる義務に加えて、主に次のような義務が生じます。

  • 保有個人データに関する事項を公表する

  • 本人からの開示等の請求等に応じる

仮名加工情報

「仮名加工情報」(2条5項)とは

法に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報

のことをいいます。
つまり、その情報単体での個人識別性をなくした情報のことです。
ただし、他の情報と照合して識別できる場合は、個人情報に該当することになり、個人情報としての規制や、個人データ、保有個人データとしての規制の対象となるので、注意が必要です。

仮名加工情報の特徴は、取扱事業者の義務が緩和されていることです。
これは、企業活動活発化のため、加工した情報に基づく内部分析などを促進することを目的としており、他方で仮名加工することで漏洩時のリスクが減るためです。

義務緩和の例としては

  • 個人データに該当する場合でも漏洩時に報告する義務がないこと

  • 個人情報取得後における仮名加工情報の利用目的変更について本人の同意を得る必要がないこと

  • 保有個人データに該当する場合でも開示請求等の対象にならないこと

などです。
また、取扱に関する規定が適用されるのは、データベースを構成する場合のみです。
なお、加名加工情報は、内部で利用されることを前提としているので、原則として第三者への提供は禁止されています。

匿名加工情報

「匿名加工情報」(2条6項)とは

法に定める措置を応じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報(その情報単体での個人識別性をなくした情報
  +
当該個人情報を復元できないようにしたもの

をいいます。
つまり、仮名加工情報のように単体識別性をなくすだけでなく、さらに復元不可能とする加工を施した情報です。

匿名加工情報も、取扱事業者の義務が緩和されています。
これは、ビッグデータの利活用及び流通を促進することを目的としており、他方で匿名加工することで漏洩時のリスクが減るためです。

義務緩和の例としては

  • 漏洩時に報告する義務がないこと

  • 開示請求等の対象とならないこと

などです。
また、取扱に関する規定が適用されるのは、データベースを構成する場合のみです。
仮名加工情報と異なるのは、仮名加工情報が通常「個人情報」「個人データ」「保有個人データ」に該当する場合が多く、これらの規制を受けるのに対し、匿名加工情報はこれらに該当しないことです。
そのため、匿名加工情報については、利用目的に制限はありません
そして、匿名加工情報は、流通することを前提としていることから、第三者への提供は自由である一方、作成時には公表が必要です。

個人関連情報

「個人関連情報」(法2条7項)とは

生存する個人に関する情報
  +
個人情報、仮名加工情報、匿名加工情報に該当しないもの

をいいます。

具体的には、インターネット閲覧履歴やクッキー情報が想定されています。
定義のとおり、個人関連情報は、「個人情報」ではありません。
そのため、「個人情報」「個人データ」「保有個人データ」に関する義務は適用されません。
個人関連情報について義務が生じるのは、データベースを構成する場合のみです。
個人関連情報取扱事業者は、個人関連情報を第三者が個人データとして取得することが想定される場合に、あらかじめ法に定める事項を確認しなければ、第三者に提供してはならないとされています(法31条1項)。

まとめ

以上でご説明した内容を図に表してみると次のようになります。

混同しやすい概念をまとめてみましたが、それぞれの意味は整理できましたか。
どの情報に該当するかによって、生じる義務の内容が異なります。
意味を正しく理解し、あなたの所属企業における情報の適切な管理及び活用に役立てましょう。

【執筆者】弁護士 吉江千夏  検事としての10年以上の経験を基に、不正対応やコンプライアンス違反予防などに関するアドバイスを提供します。著作権関連の法律問題も対応いたします。

この記事が気に入ったらサポートをしてみませんか?