個人情報と個人データは何が違うの?
ご無沙汰しています。久しぶりの投稿になります。
来年4月に、改正個人情報保護法が全面施行されますが、改正法対応は順調ですか?
私は、只今「開示等請求」対応に追われております。
そんな折、システム担当から
「開示等請求の対象データはどこまで?」
という相談がありました。
それは「保有個人データ」なのですが、かんたんに図に表すとこんな感じです。
おわかりいただけただろうか……
…個人情報保護法の理解がないと難しいですよね。
ということで、
本日は「個人情報」「個人データ」「保有個人データ」の定義について整理してみました。
1.「個人情報」とは
氏名、生年月日その他の記述等により、特定の個人を識別することができる、個人に関する情報(文書、図面、データ等)のことをいいます。
💡 氏名、生年月日…と言った個々の情報ごとに判断するのではなく、申込書や契約書に記入された全ての情報が該当します。
① 氏名、生年月日、連絡先等の情報に限らず、その個人に関する事実、判断、評価、映像音声等も含まれます。
💡 本人が提供する情報だけではなく、与信結果や備考欄などの、事業者側で追加した情報も該当します。
② 業務の範囲で、他の個人情報と容易に照合することにより、特定の個人を識別することができるものも含まれます。
💡 顧客IDで関連付けられた取引履歴やCookie情報などの、トランザクションデータも該当します。
③ 特定の個人を識別することができる情報が、暗号化等によって秘匿化されているかどうかは問いません。
💡 一見、個人を特定出来ない様にマスキング加工していても、他の個人情報と照合が可能なら該当します。
2.「個人データ」とは
「1.個人情報」を検索することができるように体系的に構成した、個人情報を含む情報の集合物のことをいいます。
💡 複数の個人情報を整理(保管)していれば該当します。
※システム登録の際の元になった帳票等は「1.個人情報」に該当します。
① 書面で取得した個人情報を一定の規則に従って整理・分類し、他人も容易に検索可能な状態のものも該当します。
💡 ファイリングされた契約書類など、電子データでなくても該当します。
② 外部記録媒体に保存された個人情報や、紙面・帳票等に出力された個人情報も該当します。
💡 一部であっても、個人データから抽出したものも該当します。
⚠️ 上記は、個人情報保護法では「個人情報データベース等」として定義されている内容です。
「個人データ」と「個人情報データベース等」の違いを簡単に言うと
「個人情報データベース等」は「器」(中身も含めた全体)
「個人データ」は「中身」(一部、全部を問わず)
のことを指しますが、
個人情報保護法では「個人情報データベース等」という用語はほとんど使われていません。
ほぼ同義にあたる「個人データ」という用語が多用されているので、本記事では「個人データ」として説明しています。
3.「保有個人データ」とは
その個人データの存否が明らかになることで、誰かに不利益が生じる情報を除いた「2.個人データ」のことをいい、開示等請求の対象となります。
その個人データの存否が明らかになることで…
( a ) 本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの。
( b ) 違法又は不当な行為を助長し、又は誘発するおそれがあるもの。
( c ) 国の安全が害されるおそれがあるもの。
( d ) 他国若しくは国際機関との信頼関係が損なわれるおそれがあるもの。
( e ) 他国若しくは国際機関との交渉上不利益を被るおそれがあるもの。
( f ) 犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの。
…を除きます。
💡 その個人データの存否が明らかになることで、誰かに不利益が生じないか、注意する必要があります。
ちなみに、委託先にある個人データの開示等請求は委託元事業者が負う義務なので、委託先にある個人データは「保有個人データ」に該当しません。
「個人情報」、「個人データ」、「保有個人データ」の違いを理解することは、個人情報保護法を読み解く上でとても大切です。
これが判ると、事業者が負う義務や、匿名加工情報などの考え方も、頭に入ってきやすくなると思います。
本日のアウトプットはいかがでしたか?
少しでも参考になりましたら
❤️(スキ)で応援いただけると大変励みになります
では、また!