「個人データとは具体的にどのような情報を指すのか」「個人データと個人情報は何が違うのか」など、疑問に感じているのではないでしょうか。個人情報を取り扱う企業や組織では、個人データの定義や取扱いルール、注意点についてしっかり理解しておくことが非常に重要です。
本記事では、個人データの定義から個人情報との違い、具体例、取り扱う際の注意点まで詳しく解説します。
1. 個人データとは
個人データとは、個人情報データベース等を構成する個人情報です。
個人情報保護法16条3項において、以下のように定義されています。
|
この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。 引用:個人情報保護法16条3項 |
つまり、個人情報のうち、個人情報データベース等を構成する情報が個人データということです。また、個人データのうち、個人情報取扱事業者が一定期間以上保有し、本人からの開示・訂正の請求に応じることができるデータを、保有個人データと言います。
個人データには氏名や住所、電話番号など特定の個人を識別できる情報が含まれているため、取り扱いにおいては情報の収集や利用、保管、削除などの各段階で細心の注意が必要です。
個人情報・保有個人データ・個人情報データベース等については以下で詳しく解説します。
■個人情報とは
個人情報とは、特定の個人を識別できる情報です。氏名や住所、電話番号、メールアドレスなどが該当しますが、単体で個人を特定できる情報だけでなく、他の情報と組み合わせることで個人を特定できる情報も個人情報に含まれます。
|
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 二 個人識別符号が含まれるもの
引用:個人情報保護法2条 |
個人情報の取得、利用、保存、提供などに関するルールについては「個人情報の保護に関する法律」(個人情報保護法)で定められており、個人情報を取り扱う事業者はこの法律に従って情報を適切に管理する義務があります。
【関連記事】
■保有個人データとは
保有個人データとは、個人情報取扱事業者が一定期間以上保有し、本人からの開示・訂正の請求に応じることができる権限を持つ個人データです。
|
この章において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。
引用:個人情報保護法16条4項 |
委託されて取り扱っている個人データやデータベースなどで管理されていない個人情報については、保有個人データには該当しません。
■個人情報データベース等とは
個人情報データベース等とは、個人情報を組織的に管理するためのシステムや仕組みのことを指します。具体的には、個人情報を含むデータを集め、整理し、検索や更新が容易に行えるようにしたものです。具体的には、顧客情報を管理するための顧客管理システムや、病院が患者情報を管理するための電子カルテシステムなどが該当します。
|
この章及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。 一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの 二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
引用:個人情報保護法16条 |
2. 個人データと個人情報の違い
個人情報と個人データの基本的な違いは、情報の範囲にあります。
個人情報とは、特定の個人を識別できる情報です。例えば、名前や住所、電話番号などがこれに該当します。一方、個人データは、個人情報のうちデータベースなどで組織的に管理されているものを指します。つまり、個人情報が広義な概念であるのに対し、特定の形式で管理される個人データは個人情報に内包される概念だということです。
■個人データと保有個人データの違い
個人データと保有個人データの違いは、主にデータの管理と公開の要件にあります。
個人データは、個人情報データベース等を構成する個人情報です。一方、保有個人データは、個人データのうち、企業が一定期間以上保有し、本人が開示を求めることができる情報を指します。つまり、保有個人データは個人データに内包される概念だということです。
また、個人情報取扱事業者が本人から保有個人データの開示請求を受けた場合、以下の該当するケースを除き、開示する法的な義務があります。
- 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
- 他の法令に違反することとなる場合
|
個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
引用:個人情報保護法33条 |
ただし、企業が個人データを取得しても、それが保有個人データに該当しない場合、開示請求に応じる必要はありません。
3. 個人データの具体例
個人データの具体例として、名前や住所、電話番号、メールアドレス、生体情報、位置情報など、単体で個人を特定できる情報や他の情報と組み合わせることで個人を特定できる情報が挙げられます。
■個人データに該当しないケース
特定の個人を識別できない情報は、個人データに該当に該当しません。
例えば、匿名化されたデータや特定の地域の住人全体を対象とした人口統計データなどがこれに当たります。これらの情報は、個人を特定するための手がかりが一切ないため、個人データとして扱われないわけです。
ただし、単体では個人を特定できない匿名化されたデータでも、複数のデータを組み合わせることで個人を特定できるようになるケースについては、データの取り扱いには細心の注意を払う必要があります。
■個人データに該当するかどうかの判断基準
個人データに該当するかどうかの判断基準は以下の2点です。
- 特定の個人を識別できるか
- 個人情報データベース等を構成しているか
氏名や住所、電話番号、メールアドレスなどの情報が単独で、または他の情報と組み合わせて特定の個人を識別できる場合、個人情報とみなされるため、個人データに該当する要件を満たします。
一方、匿名化されたデータや集計された統計情報は特定の個人を識別できないため、個人情報及び個人データには該当しません。ただし、匿名化が不完全であれば、個人データと見なされる可能性もあります。
また、個人データに該当するためには、個人情報データベース等を構成している必要があります。特定の個人を識別できる情報であっても、個人情報データベース等を構成していなければ、個人データに該当しません。
個人情報データベース等に該当するのは、以下のようなケースです。
- 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
- 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
参考:個人情報保護法16条
具体的には、以下のようなケースが個人情報データベース等に該当します。
|
事例1)電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合) 事例2)インターネットサービスにおいて、ユーザーが利用したサービスに係るログ情報がユーザーIDによって整理され保管されている電子ファイル(ユーザーIDと個人情報を容易に照合することができる場合) 事例3)従業者が、名刺の情報を業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて入力・整理している場合 事例4)人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合
|
個人情報データベース等に該当しないケースは以下の通りです。
|
事例1)従業者が、自己の名刺入れについて他人が自由に閲覧できる状況に置いていても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合 事例2)アンケートの戻りはがきが、氏名、住所等により分類整理されていない状態である場合 事例3)市販の電話帳、住宅地図、職員録、カーナビゲーションシステム等
|
4. 実務で注意すべき個人データの取り扱い
■社内データベースからの情報漏えい対策
個人データが含まれるデータベースは、業務効率を向上させる一方で、情報漏えいのリスクを増大させる可能性があります。例えば、社内のデータベースから特定の個人情報を検索する際、誤った操作やアクセス権限の管理不足により、意図しない情報が外部に流出することが考えられます。情報漏えいのリスクを最小限に抑えるためには、検索履歴やアクセスログを適切に管理し、従業員に対して適切な教育を行うことが重要です。
■情報漏えい時の適切な対応
情報漏えいが発覚した場合、被害の拡大を防ぐために速やかにシステムのアクセスを制限し、原因を特定することが重要です。次に、漏えいした個人情報の本人に対して、漏えいの事実とその影響について報告します。また、個人情報保護委員会への報告も忘れずに行いましょう。
情報漏えい時の本人への通知及び個人情報保護委員会への報告は、2022年4月の改正個人情報保護法で義務化されています。
|
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
引用:個人情報保護法26条 |
法令に基づく通知・報告義務を果たすことで、法的リスクを最小限に抑えることができます。
■データベースから出力された情報の管理
データベースから出力された情報の管理は、個人データの取り扱いにおいて非常に重要です。なぜなら、データベースから出力される情報は容易にコピーや共有が可能であり、不適切に扱われると個人のプライバシーを侵害する可能性があるからです。出力された情報が誤って第三者に渡ってしまった場合、個人の名前や住所、連絡先などの情報が流出する可能性があります。
このようなリスクを避けるためには、情報の出力時にアクセス制限を設けることが効果的です。例えば、情報を扱う担当者を限定し、アクセスログを記録しておくことで、情報の不正利用を防ぐことができます。また、出力されたデータは必要がなくなれば速やかに削除し、不要な情報が残らないようにしておきましょう。
5. 個人データと個人情報に関するよくある質問
■個人情報保護法と個人データの関係は?
個人情報保護法は、個人情報の取り扱いに関する基本的な法律であり、個人データの管理にも深く関わっています。個人情報保護法の目的は、個人情報を適切に取り扱うための基準を定め、個人のプライバシーを守ることです。
個人情報保護法では、個人情報を収集する目的を明確にし、適正に利用することが求められています。個人データの管理においても、漏えいや不正アクセスを防ぐためのセキュリティ対策が必要です。
■マイナンバーは個人データに含まれる?
マイナンバーは特定の個人を識別するための番号であり、個人情報として扱われるため、個人データに含まれます。マイナンバーは個人の名前や住所と結びつけることで個人を特定できるため、個人情報に該当するわけです。
マイナンバーを含む個人情報は「特定個人情報」と呼ばれ、個人情報保護法及び番号法で保護されています。
■個人情報は第三者に提供できる?
個人情報を第三者に提供することは可能ですが、法律に基づいた適切な手続きを踏む必要があります。個人情報保護法では、本人の同意を得ることが基本とされています。つまり、情報を提供する前に、情報の利用目的や提供先について本人に説明し、同意を得ることが必要だということです。
6. まとめ
今回は、個人データの定義や個人情報との違い、具体例、取り扱う際の注意点について解説しました。
個人情報の漏えいや不正使用を防ぐためには、個人データに関する正確な理解と適切な取り扱いが必要です。本記事で解説した個人データの具体例や取り扱う際の注意点を参考に、個人情報保護法に基づいた対応を心がけましょう。
アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。
