「個人識別符号って何だろう」「個人情報とどう違うの?」と疑問に思っている方も多いのではないでしょうか。
個人識別符号とは、特定の個人を識別するために用いられる符号です。個人情報保護法に基づいて定義されており、個人の身体的特徴や個人に割り当てられる符号などが該当します。
本記事では、個人識別符号の定義から導入された背景、具体例まで詳しく解説します。
1. 個人識別符号とは
個人識別符号とは、個人を特定するために用いられる符号や記号のことです。
2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。 一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの 二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
引用:個人情報保護法2条2項 |
具体的には、以下のような記号や番号、情報が該当します。
- パスポート番号
- 運転免許証番号
- マイナンバー
- DNAを構成する塩基の配列
- 顔の部位の位置・形状
- 指紋・声紋
【参考資料】
個人識別符号は個人を識別するために利用されますが、同時に不正利用されるリスクも高いため、特に慎重な取り扱いが必要です。
個人識別符号の取り扱いを慎重に行わなければならない理由は、単体で個人を特定できるためです。したがって、これらの情報が漏えいすると、他人がなりすまして不正な行動を取る可能性があります。このようなリスクを避けるためには、個人識別符号の保管場所を限定し、アクセス権限を持つ者を明確にすることが重要です。
■2015年の個人情報保護法改正で導入された背景
「個人識別符号」という用語は、2015年の個人情報保護法改正で新たに導入されたものです。
改正前の個人情報保護法では氏名や生年月日など、特定の個人を識別できる情報が個人情報として定義されていましたが、指紋認識データや顔認識データ、パスポート番号や運転免許証番号など、個人に割り当てられた符号が保護の対象になるかどうかが不明確でした。これが利活用の壁となり、事業者にとっては個人情報の取り扱いが難しい状況になっていたわけです。
この課題を解決するために、2015年の改正では、「個人識別符号」が含まれる情報は全て「個人情報」として個人情報保護法による保護の対象となりました。
2. 個人識別符号の種類と具体例
個人識別符号は、大きく分けると以下の2種類に分類されます。
- 個人の身体的特徴に関する符号
- 個人に割り当てられる符号
それぞれの符号の概要と具体例について解説します。
■個人の身体的特徴に関する符号
個人情報保護法及び個人情報保護法施行令における「個人の身体的特徴に関する個人識別符号」に該当する個人識別符号は、以下の要件を満たす符号です。
- 以下の身体の特徴に該当する符号であること
- 細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列
- 顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌
- 虹彩の表面の起伏により形成される線状の模様
- 発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化
- 歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様
- 手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状
- 指紋又は掌紋
- 電子計算機の用に供するために変換した文字、番号、記号その他の符号であること
- 特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合する符号であること
参考:
■個人に割り当てられる符号
個人情報保護法及び個人情報保護法施行令における「個人に割り当てられる符号」に該当する個人識別符号の具体例は以下の通りです。
- 旅券法第六条第一項第一号の旅券の番号
- 国民健康保険法第百十一条の二第一項に規定する被保険者記号・番号等
- 国民年金法第十四条に規定する基礎年金番号
- 道路交通法第九十三条第一項第一号の免許証の番号又は同法第九十五条の二第二項第一号の免許情報記録の番号
- 住民基本台帳法第七条第十三号に規定する住民票コード
- 高齢者の医療の確保に関する法律第百六十一条の二第一項に規定する被保険者番号等
- 介護保険法第十二条第三項の被保険者証にその発行を受ける者ごとに異なるものとなるように記載された個人情報保護委員会規則で定める文字、番号、記号その他の符号
- 行政手続における特定の個人を識別するための番号の利用等に関する法律第二条第五項に規定する個人番号
- 個人情報保護委員会規則で定める文字、番号、記号その他の符号
参考:
■個人識別符号ではない符号の例
個人識別符号ではない符号の例として、まず考えられるのは単なる番号や記号です。具体的には、社員番号や学生番号、または商品のバーコードなどが該当します。これらの符号は個人情報と結びつけない限り単独で個人を特定することができないため、個人識別符号には該当しません。
また、電話番号やメールアドレスも個人識別符号ではありません。これらは個人に関連付けられることが多いですが、一般的には個人を直接特定するための符号とはみなされません。例えば、電話番号は複数の人が共有することもあり、メールアドレスもニックネームや企業名などが含まれることがあるためです。
3. 個人識別符号の関連用語
■個人情報
個人情報とは、特定の個人を識別できる情報のことです。具体的には、氏名、住所、電話番号、生年月日などが該当します。これらの情報は単独でも個人を特定できる場合がありますが、組み合わせることでより明確に特定できることが多いです。例えば、「山田太郎」という名前だけでは特定の個人を指すことは難しいかもしれません。しかし、住所や電話番号を加えることで、特定の山田太郎さんを識別することができるわけです。
個人情報は、個人情報保護法によって定義されています。個人情報保護法は、個人情報の取り扱いに関する基本的なルールを定め、個人のプライバシーを保護することを目的としています。
【関連記事】
■個人データ
個人データとは、個人情報データベース等を構成する個人情報を指します。
この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。 引用:個人情報保護法16条3項 |
個人情報と個人データの違いは、情報の範囲と扱い方にあります。個人情報とは、氏名や住所、生年月日といった、特定の個人を識別できる情報を指します。一方、個人データは個人情報を含むデータの集合体で、デジタル形式で管理されることが多いです。たとえば、企業の顧客データベースに保存されている個人情報は、個人データに該当します。
個人情報は紙媒体でも存在することが多いですが、ほとんどがコンピュータ上に保存されデジタル化されている個人データは容易にコピーや拡散ができるため、特にプライバシー保護の観点から慎重な取り扱いが必要です。
個人データに該当するかどうかは、データが特定の個人を識別できる情報かどうかで判断されます。情報が単独で、または他の情報と組み合わせて特定の個人を識別できる場合、それは個人データとみなされます。
一方で、匿名化されたデータや集計された統計情報は、特定の個人を識別できないため、一般的には個人データには該当しません。しかし、匿名化が不完全であれば、個人データと見なされる可能性もあります。
■要配慮個人情報
要配慮個人情報とは、個人のプライバシーや差別の原因となる可能性が高い、特に慎重に取り扱うべき情報を指します。
この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
引用:個人情報保護法2条3項 |
具体的には、病歴や身体・精神障害、犯罪歴、福祉に関する情報などが該当します。
【参考資料】
病歴や障害に関する情報が第三者に知られると就職や社会生活において不利益が生じたり差別や偏見を生んだりする恐れがあるため、要配慮個人情報の取り扱いには特別な配慮が必要です。また、要配慮個人情報の漏えいが発生した場合、個人の尊厳を損なうだけでなく、法的なトラブルに発展する可能性もあります。
解決策として、要配慮個人情報を取り扱う際には、情報の取得時に明確な同意を得ること、情報を厳重に管理することが重要です。また、情報漏えいが発生した場合には、速やかに関係者に通知し、被害を最小限に抑えるための対策を講じることが求められます。
■匿名加工情報
匿名加工情報とは、名前や住所などの個人を直接識別できる情報を削除し、他の情報と組み合わせても個人が特定できないように加工された情報を指します。
この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。 一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
引用:個人情報保護法2条6項 |
匿名加工情報を作成するメリットは、プライバシー保護とデータ活用を両立できる点にあります。個人情報をそのまま利用するとプライバシーの侵害につながる恐れがありますが、匿名加工情報であれば、そのリスクを軽減しつつデータを活用できるわけです。具体的には、マーケティング分析や新製品開発のためのデータとして利用されています。
ただし、匿名加工情報を作成する際には、個人が特定されないように十分な加工を施すこと、加工後の情報を第三者に提供する際には、加工の内容を開示することなど、一定のルールを守る必要があります。
■仮名加工情報
仮名加工情報とは、個人情報を特定の個人に結びつけることができないように加工した情報のことです。具体的には、名前や住所などの直接的な識別情報を削除し、元の個人を特定できないようにします。この加工を施すことでデータの利用範囲が広がり、匿名加工情報と同様にマーケティングや研究目的で安全に活用することが可能になります。
この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。 一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
引用:個人情報保護法2条5項 |
匿名加工情報は、氏名や住所などの個人を特定する情報を完全に削除したり、集計データに変換したりすることで作成されます。これに対し、仮名加工情報は氏名を仮名に置き換えるなどして、元データとリンクするキーを持ちながらも、直接的な特定を防ぐ形で加工されます。
■個人関連情報
個人関連情報とは、生存する個人に関する情報のうち、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しない情報を指します。
この法律において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
引用:個人情報保護法2条7項 |
例えば、インターネット上での行動履歴や購入履歴、位置情報などが個人関連情報です。これらの情報は単体で個人を特定するものではありませんが、他の情報と組み合わせることで個人を特定できる可能性があります。
個人関連情報は企業がマーケティングやサービス向上のために活用するケースが多いですが、個人情報保護法に基づく適切な管理がされてないと個人のプライバシーを侵害する恐れがあります。
個人関連情報の取得時には、利用目的を明確にし、本人の同意を得ることが重要です。情報の管理体制を整え、外部への漏えいを防ぐためのセキュリティ対策を講じる必要があります。
4. まとめ
今回は、個人識別符号の定義から導入された背景、具体例まで詳しく解説しました。
個人識別符号とは、特定の個人を識別するために用いられる符号のことです。具体的には、個人の身体的特徴に基づく符号や、特定の個人に割り当てられる符号が含まれます。
個人識別符号の取り扱いには法的責任が伴うため、企業はその重要性を理解し、適切な管理体制を整えることが重要です。
アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。