dataway

パーソナルデータ利活用の未来を考えるメディア

個人情報の定義は?個人情報保護法から読み解こう

個人情報の定義は?個人情報保護法から読み解こう

「個人情報」という言葉は、日常的に利用されることがあるが、間違った意味合いで使われることも多々あるのが事実だ。

あなたは、個人情報の定義をただしく答えられるだろうか?

本記事では、2017年に施工された改正個人情報保護法(個人情報の保護に関する法律)の内容をもとに、「個人情報」の定義について整理していこう。

個人情報の定義を整理しよう

個人情報保護法によると、個人情報は以下の2つに分けれれる。

生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

  • 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの

  • 個人識別符号が含まれるもの

(個人情報保護法第一章第二条より)

1つ目は、氏名や生年月日などにより特定の個人を識別することができるものだ。たとえば、山田太郎さんであれば、「山田太郎」という氏名により識別できる様々なデータが個人情報となる。これは、一般的に認識されている個人情報の定義に近いだろう。

2つ目は、「個人識別符号」と呼ばれるもの。個人識別番号は、それ単体で個人を識別することができるため、氏名や生年月日などの情報はなくても、個人情報として扱われる。

では、この「個人識別符号」にはどのようなものが該当するのだろうか?

再び、個人情報保護法をみてみよう。

この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。

  • 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの

  • 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

(個人情報保護法第一章第二条第二項より)

ちょっと難しい文章だが、簡単にいうと、以下の2つである。

  • 特定の身体の一部の特徴をデータに変換したもの
  • 個人に割り振られた番号

「特定の身体の一部の特徴をデータに変換したもの」は具体的には以下のようなデータだ(個人情報の保護に関する法律についてのガイドラインより)

  • 顔の骨格、肌の色、その他部位によって定まる容貌
  • 指紋・掌紋
  • 目の虹彩
  • DNA(を構成する塩基の配列)
  • 声紋
  • 歩行の動作・歩幅・その他の態様
  • 手指の静脈の形状

このように、その人の身体に関するデータで、個人を識別できるものが該当している。

次に、「個人に割り振られた番号」は、具体的には以下のようなデータだ。

  • パスポート番号
  • 運転免許証番号
  • マイナンバー
  • 基礎年金番号
  • 住民票コード
  • 各種保険証

このように、「個人」に対してユニークに割り振られているIDは個人識別符号となりうる。

そして、個人識別符号となった場合には、そこに氏名や生年月日などの個人情報が紐付いていなかった場合においても、「個人情報」となりうるというわけだ。

個人情報に関するよくある間違い

個人情報の定義について整理した上で、「よくある間違い」についても触れることで、さらに理解を深めていこう。

亡くなった方の情報も個人情報である?

亡くなった方の情報は、個人情報ではない。

個人情報保護法を見直してみると、「生存する個人に関する情報」という前提が明記されている(個人情報保護法第一章第二条)。

デジタルデータ化されているものだけが個人情報である?

デジタルデータ化されていない、文書なども個人情報に該当する。

「文書、図画若しくは電磁的記録(括弧内省略)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項」と個人情報保護法でも明記されている(個人情報保護法第一章第二条第一項)。

公にされている情報は個人情報ではない?

公にされている情報も個人情報に該当する。たとえば、官報や電話帳に載っている情報、ウェブサイトやSNSの情報も個人情報に該当する(個人情報の保護に関する法律についてのガイドライン

19年3月に「破産者マップ」という、官報で公開されている破産者情報を Google Map 上にプロットしたウェブサイトが炎上した事件があったが、こちらは法律上もアウトということになる。

Eメールアドレス単体では個人情報ではない?

Eメールアドレスについては、そのアドレスの文字列で個人情報に該当するか否かが分かれる

たとえば、以下の2つを例にみてみよう。

  • ① 00095502ggsiyy44g@xxx.com
  • ② yoshida.motoki@dataway.com

※いずれも架空のEメールアドレス

①のメールアドレスからは、どの会社に属するどのような人なのかを判別することはできない。ゆえに、個人情報には該当しない。

一方で、②のメールアドレスからは、おそらく「dataway という組織に属する Yoshida Motoki さん」という情報を読み取ることができる。この場合には、個人情報に該当する。

線引が若干曖昧なところではあるが、Eメールアドレスについては、このように文字列によって個人情報か否かが決定されるようになっている。

まとめ

本記事では、「個人情報の定義」について、個人情報保護法を元に、解説をしてきた。

条文だけでなく、間違えやすい例も合わせて確認することで、理解を深めていただければ嬉しい。

2020年には、この改正個人情報保護法の3年毎の「見直し」が適用されることになる。

見直し案については、ただいま絶賛議論がされているので、その情報についても整理してお伝えできればと思う。

現行の個人情報保護法はこちら