「個人情報」に関するQ&A
Q1-1 「特定の個人を識別することができる」とは、どのような意味ですか。
A1-1 「特定の個人を識別することができる」とは、社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物と情報との間に同一性を認めるに至ることができることをいいます。
Q1-2 ガイドライン(通則編)では、氏名のみでも個人情報に該当するとされていますが、同姓同名の人もあり、他の情報がなく氏名だけのデータでも個人情報といえますか。
A1-2 本人と同姓同名の人が存在する可能性もありますが、氏名のみであっても、社会通念上、特定の個人を識別することができるものと考えられますので、個人情報に該当すると考えられます。
Q1-3 住所や電話番号だけで個人情報に該当しますか。
A1-3 個別の事例ごとに判断することになりますが、他の情報と容易に照合することにより特定の個人を識別することができる場合、当該情報とあわせて全体として個人情報に該当することがあります。
Q1-4 メールアドレスだけでも個人情報に該当しますか。
A1-4 メールアドレスのユーザー名及びドメイン名から特定の個人を識別することができる場合(例: kojin_ichiro@example.com)、当該メールアドレスは、それ自体が単独で、個人情報に該当します。
これ以外の場合、個別の事例ごとに判断することになりますが、他の情報と容易に照合することにより特定の個人を識別することができる場合、当該情報とあわせて全体として個人情報に該当することがあります。
Q1-5 新聞やインターネットなどで既に公表されている個人情報は、個人情報保護法で保護されるのですか。
A1-5 公知の情報であっても、その利用目的や他の個人情報との照合など取扱いの態様によっては個人の権利利益の侵害につながるおそれがあることから、個人情報保護法では、既に公表されている情報も他の個人情報と区別せず、保護の対象としています。
Q1-6 外国に居住する外国人の個人情報についても、個人情報保護法による保護の対象になりますか。
A1-6 居住地や国籍を問わず、日本にある個人情報取扱事業者及び行政機関等が取り扱う個人情報は、個人情報保護法による保護の対象となり得ます。
Q1-7 個人情報に該当しない事例としては、どのようなものがありますか。
A1-7 次のような事例が考えられます。
事例1)企業の財務情報等、法人等の団体そのものに関する情報
・団体情報
事例2)統計情報
・複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られる情報
Q1-8 複数人の個人情報を機械学習の学習用データセットとして用いて生成した学習済みパラメータは、個人情報に当たりますか。
A 1- 8 複数人の個人情報を機械学習の学習用データセットとして用いて生成した学習済みパラメータ(重み係数)は、学習済みモデルにおいて、特定の出力を行うために調整された処理・計算用の係数であり、当該パラメータと特定の個人との対応関係が排斥されている限りにおいては「個人に関する情報」に該当するものではないため、「個人情報」にも該当しないと考えられます。
Q1-9 オンラインゲームで「ニックネーム」及び「ID」を公開していますが、個人情報に該当しますか。
A1-9 オンラインゲームにおける「ニックネーム」及び「ID」が公開されていても、通常は特定の個人を識別することはできないため、個人情報には該当しません。
ただし、「ニックネーム」又は「ID」を自ら保有する他の情報と容易に照合することにより特定の個人を識別できる可能性があり、そのような場合には個人情報に該当し得ます。
また、例外的にニックネームや ID から特定の個人が識別できる場合(有名なニックネーム等)には、個人情報に該当します。
Q1-10 顧客との電話の通話内容は個人情報に該当しますか。また、 個人情報取扱事業者は、 通話内容を録音している場合、録音している旨を相手方に伝えなければなりませんか。
A1- 10 通話内容から特定の個人を識別することが可能な場合には個人情報に該当します。
個人情報に該当する場合、 個人情報取扱事業者は、 個人情報保護法上、利用目的を通知又は公表する義務を負いますが、録音していることについて伝える義務までは負いません。
Q1- 11 顧客との電話の通話内容を録音していますが、通話内容から特定の個人を識別することはできません。この場合の録音記録は、個人情報に該当しますか。
A1-11 基本的には個人情報に該当しません。ただし、その他の情報と容易に照合でき、それによって特定の個人を識別することができれば、その情報とあわせて全体として個人情報に該当することはありますので、個別の事例ごとの判断が必要です。
なお、録音した音声から特徴情報を抽出し、これを話者認識システム等本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるデータに変換した場合、当該データは個人識別符号に該当し、それ単体で個人情報に該当します。
Q1- 12 店舗等に防犯カメラを設置し、撮影したカメラ画像やそこから得られた顔認証データを防犯目的で利用することを考えています。個人情報保護法との関係で、どのような措置を講ずる必要がありますか。
A1- 12 本人を判別可能なカメラ画像やそこから得られた顔認証データを取り扱う場合、個人情報の利用目的をできる限り特定し、当該利用目的の範囲内でカメラ画像や顔認証データを利用しなければなりません。
また、個人情報の利用目的をあらかじめ公表するか、又は個人情報の取得後速やかに本人に通知若しくは公表する必要があります。
具体的には、店舗等に設置した防犯カメラによりカメラ画像を取得し、そこから顔認証データを抽出してこれを防犯目的で利用する場合、本人においてかかる取扱いが行われるとは合理的に予測・想定できないと考えられ、また、 顔認証データはマーケティング等他の目的にも利用され得る個人情報であることから、防犯のためにカメラ画像及び顔認証技術を用いた顔認証データの取扱いが行われることを本人が予測・想定できるように利用目的を特定し、これをあらかじめ公表又はその取得後速やかに通知・公表する必要が
あると考えられます。
また、防犯カメラが作動中であることを店舗等の入口や設置場所等に掲示する等、防犯カメラにより自らの個人情報が取得されていることを本人において容易に認識可能とするための措置を講ずる必要があります。
さらに、カメラ画像の取得主体、カ メラ画像の内容、カメラ画像及び顔認証データの利用目的、問い合わせ先等を本人が確認できるよう、これらを店舗等の入口や設置場所等に明示するか、又は、これらを掲載した WEB サイトのURL 又は QR コード等を示すことが考えられます。
カメラ画像や顔認証データを体系的に構成して個人情報データベース等を構築した場合、個々のカメラ画像や顔認証データを含む情報は個人データに該当するため、個人情報保護法に基づく適切な取扱いが必要です。
なお、カメラ画像を取得してこれを防犯目的のみに利用し、顔認証データは取り扱わない、従来型の防犯カメラの場合には、「取得の状況からみて利用目的が明らか」(法第 21条第4 項第4 号)であることから、利用目的の通知・公表は不要と考えられますが、かかる場合であっても、防犯カメラが作動中であることを店舗等の入口や設置場所等に掲示する等、防犯カメラにより自らの個人情報が取得されていることを本人において容易に認識可能とするための措置を講ずることが望ましいと考えられます。
Q1-13 防犯目的のために取得したカメラ 画像やそこから得られた顔認証データをマーケティング等の商業目的に利用することを考えています。個人情報保護法との関係で、どのような措置を講ずる必要がありますか。
A 1-13 当初防犯目的のために取得したカメラ画像やそこから得られた顔認証データを、マーケティング等の商業目的のために利用する場合には、あらかじめ本人の同意を得る必要があります(法第 18 条第1 項) 。
なお、当初から商業目的のためにカメラ画像や顔認証データを取得する場合については、Q1-12 を参照のこと。
Q1-14 カメラ画像から抽出した性別や年齢といった属性情報や、人物を全身のシルエット画像に置き換えて作成した移動軌跡データ(人流データ)は、個人情報に該当しエット画像に置き換えて作成した移動軌跡データ(人流データ)は、個人情報に該当しますか。
A1-14 個人情報とは、特定の個人を識別することができる情報をいいます。性別、年齢、又は全身のシルエット画像等による移動軌跡データのみであれば、抽出元の本人を判別可能なカメラ画像や個人識別符号等本人を識別することができる情報と容易に照合することができる場合を除き、個人情報には該当しません。
Q1-15 防犯目的のために、万引き・窃盗等の犯罪行為や迷惑行為に対象を限定した上で、顔認証システムを導入しようとする場合にどのような注意が必要とされますか。
A1-15 本人を判別可能なカメラ画像や顔認証データを体系的に構成して個人情報データベース等を構築した場合、個々のカメラ画像や顔認証データを含む情報は個人データに該当するため、個人情報保護法に基づく適切な取扱いが必要です。
防犯目的のために、万引き・窃盗等の犯罪行為や迷惑行為に対象を限定した上で、顔認証システムを導入して顔認証データを含む個人データを用いようとする場合には、特定された利用目的の達成のために必要最小限の範囲内において顔認証システムへの登録を行い、個人データを正確かつ最新の内容に保つ必要があります。
具体的には、各事業者においてどのような基準でデータベースに登録するか社内ルールを設定し、誤登録等を防ぐための適切な措置として、例えば被害届の有無により判断を行うなど客観的に犯罪・迷惑行為が確認されるケース等に限定するとともに、事業者内で責任を有する者により登録の必要性と正確性について確認が行われる体制を整えること等が重要です。
Q1-16 電光掲示板等に内蔵したカメラで撮影した本人の顔画像から、性別や年齢といった属性情報を抽出し、当該本人向けにカスタマイズした広告を電光掲示板等に表示しています。属性情報を抽出した後、顔画像は即座に削除しています。個人情報保護法上、どのような措置を講ずる必要がありますか。
A1-16 個人情報取扱事業者は、 カメラにより特定の個人を識別できる顔画像を取得する場合、個人情報を取得することとなるため、 偽りその他不正の手段による取得とならないよう、カメラが作動中であることを掲示する等、カメラにより自ら の個人情報が取得されていることを本人において容易に認識可能とするための措置を講ずる必要があります。
また、個人情報取扱事業者が、一連の取扱いにおいて、顔画像を取得した後、顔画像から属性情報を抽出した上で、当該属性情報に基づき当該本人向けに直接カスタマイズした広告を配信する場合、当該顔画像を直ちに廃棄したとしても、当該顔画像について、特定の個人を識別した上で、広告配信を行っていると解されます。
このため、個人情報取扱事業者は、顔画像から抽出した属性情報に基づき広告配信が行われることを本人が予測・想定できるように利用目的を特定し、 これを通知・公表するとともに、当該利用目的の範囲内で顔画像を利用しなければなりません。
Q1-17 A 社が保有する個人情報を、特定の個人を識別できない統計情報として B 社に提供した場合、 B 社においては、この情報は個人情報に該当しますか。
A1-17 統計情報(複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られる情報)は、特定の個人との対応関係が排斥されている限りにおいては、「個人に関する情報」に該当するものではないため、「個人情報」にも該当しないと考えられます。
Q1-18 事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合において、ある取扱部門のデータベースと他の取扱部門のデータベースの双方を取り扱うことができないときには、「容易に照合することができ」(法第2 条第1 項)ないといえますか。
A1-18 事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合において、双方の取扱部門やこれらを統括すべき立場の者等が、規程上・運用上、双方のデータベースを取り扱うことが厳格に禁止されていて、特別の費用や手間をかけることなく、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができない状態である場合は、「容易に照合することができ」ない状態であると考えられます。
一方、双方の取扱部門の間で、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができる状態である場合は、「容易に照合することができ」る状態であると考えられます。
Q1-19 「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」(法第2 条第1 項)に該当する事例としては、どのようなものがありますか。
A1-19 例えば、特定の個人を識別することができる情報に割り当てられている識別子(例:顧客 ID 等)と共通のものが割り当てられていることにより、事業者内部において、特定の個人を識別することができる情報とともに参照することが可能な場合、他の情報と容易に照合することができると解され得るものと考えられます。
Q1-20 顧客情報のみでなく、従業員に関する情報も個人情報保護法の規律に従って取り扱う必要がありますか。
A1-20 従業員に関する情報であっても、法第2 条第1 項の定義に該当する場合には、個人情報に該当するため、同法の規律に従って取り扱う必要があります。
Q1-21 死者の情報は、個人情報保護法の保護の対象になりますか。
A1-21 個人情報保護法は、「個人情報」を生存する個人に関する情報に限っており、死者に関する情報については保護の対象とはなりません。
ただし、死者に関する情報が、同時に生存する遺族などに関する情報である場合(例:死者の家族関係に関する情報は、死者に関する情報であると同時に、生存する遺族に関する情報である場合があります。)には、その遺族などに関する「個人情報」となります。
なお、生存する個人と死者に関する情報を一体的に管理しているような場合において、事業及び情報の性質等を踏まえて、死者の情報についても漏えい等しないように適切に管理することは、望ましい取組と考えます。
引用:
「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(PDF : 2217KB)
【「個人情報」の定義】
【その他の用語の定義】
以上です。