個人情報とは?
定義・具体例などの基本を分かりやすく解説!
おすすめ資料を無料でダウンロードできます ✅ 個人情報に関する研修資料 |
- この記事のまとめ
-
「個人情報」とは、生存する個人に関する情報であって、次のいずれかに該当するものをいいます。
①情報それ自体で、特定の個人を識別することができるもの(例:氏名、顔写真)
②他の情報と照合することにより特定の個人を識別できるもの(例:生年月日、住所)
③個人識別符号が含まれるもの(例:DNA、旅券番号)ある情報が個人情報に該当する場合、その情報の取り扱いについて事業者にはさまざまな義務が課されます。個情法に違反した場合には刑事罰、民事上の損害賠償責任、社会的な信用低下などさまざまなリスクがあります。
個人情報を取り扱う事業者(個情法では「個人情報取扱事業者」といいます)は、個情法の規定を踏まえて、適切な取り扱いを行いましょう。
この記事では、個人情報保護法の「個人情報」について、基本から分かりやすく解説します。
※この記事は、2023年5月17日に執筆され、同時点の法令等に基づいています。
※この記事では、法令名を次のように記載しています。
- 個情法…個人情報の保護に関する法律
- 個情法施行令…個人情報の保護に関する法律施行令
- 個情法施行規則…個人情報の保護に関する法律施行規則
- 通則ガイドライン…個人情報の保護に関する法律についてのガイドライン(通則編)
目次
個人情報とは|定義を分かりやすく解説!
「個人情報」とは、生存する個人に関する情報であって、次のいずれかに該当するものをいいます(個人情報保護法2条1項)。
- 情報それ自体で特定の個人を識別することができるもの
- (情報それ自体では特定の個人を識別できないものの)他の情報と照合することによって特定の個人を識別できるもの
- 個人識別符号が含まれるもの
(定義)
「個人情報保護法」e-gov法令検索 電子政府の総合窓口e-Gov イーガブ
第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
⑴ 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
⑵ 個人識別符号が含まれるもの
個人情報の具体例
ある情報が「個人情報」に該当するか否かは、情報の内容・記載だけではなく、
- その情報が置かれている状況
- 情報の取扱主体
などによって、相対的に判断されます。
氏名
「氏名」は、単体で「個人情報」に該当すると考えられています。
参考 個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」1-1-1 Q1-2 個人情報保護委員会ウェブサイト「ガイドライン(通則編)では、氏名のみでも個人情報に該当するとされていますが、同姓同名の人もあり、他の情報がなく氏名だけのデータでも個人情報といえますか。」 |
メールアドレス
「メールアドレス」は、単体で個人情報に該当する場合と該当しない場合があります。
例えば、会社用メールなどでユーザー名・企業ドメインで特定の個人を識別することが可能な場合(例:kojin_ichiro@example.comは、〇〇会社に勤める△△さんと識別できる場合)は、メールアドレス単体で「個人情報」に該当します。
これに対して、
- Yahoo!メールやGmailなどの誰でも作成できるドメインである
- ユーザー名からもそれ自体で特定の個人を識別できるとは認められない
といった場合は、メールアドレスそれ自体は「個人情報」には該当しません。
もっとも、他の情報と容易に照合が可能で、他の情報と合わせると個人を識別できる状況にある場合は、「個人情報」に該当します。
参考 個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」1-1-1 Q1-4 個人情報保護委員会ウェブサイト「メールアドレスだけでも個人情報に該当しますか。」 |
生年月日、住所、電話番号など
生年月日、住所、電話番号、性別、職業、口座番号、クレジットカード番号、ID、パスワードなどは、それ自体は英数字等の羅列に過ぎないため、単体では特定の個人を識別できない場合が多いです。この場合、当該情報単体では「個人情報」には該当しません。
もっとも、他の情報と容易に照合が可能で、他の情報と合わせると個人を識別できる状況にある場合は、他の情報と合わせて全体として「個人情報」に該当します。
実際上は、上記の生年月日などの情報を単体で取得することは少なく、氏名等の個人を識別できる情報と一緒に取り扱うため、全体として「個人情報」に該当するケースが多いです。
参考 個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」1-1-1 Q1-3 個人情報保護委員会ウェブサイト「住所や電話番号だけで個人情報に該当しますか。」 |
個人情報と「要配慮個人情報」の違い
「要配慮個人情報」とは、「個人情報」のうち、本人に対する不当な差別・偏見その他の不利益が生じないよう、その取り扱いについて特に配慮を要する情報をいいます(個情法2条3項)。
具体的には、以下の各事項が「要配慮個人情報」と定められています(個情法2条3項、個情法施行令2条各号)。
・人種
・信条
・社会的身分
・病歴
・犯罪の経歴
・犯罪の被害にあった事実
・身体障害・知的障害・精神障害等があること
・健康診断等の結果
・保健指導・診療・調剤に関する情報
・逮捕・差押えなどの刑事事件に関する手続が行われたこと(犯罪の経歴を除く)
・少年の保護事件に関する手続が行われたこと
・ゲノム情報
※各事項の検討ポイントは、「個人情報の保護に関する法律についてのガイドライン(通則編)」の2-3にて解説されています。
「要配慮個人情報」に該当する場合、個人情報のみに該当する場合に加えて、以下のような追加の遵守事項が個情法で定められています。
①情報取得の際に、原則として本人の事前同意が必要(20条2項)
②オプトアウト方式による第三者提供の禁止(27条2項)
③行政機関が個人情報を保有する場合の個人情報保護法保護委員会への通知義務(74条1項)
したがって、「個人情報」に該当するか否かだけではなく、「要配慮個人情報」に該当しないかという点も検討しましょう。
個人情報と「個人情報データベース等」「個人データ」「保有個人データ」との違い
個人情報データベース等との違い
「個人情報データベース等」とは、個人情報を含む情報の集合物で、以下①または②をいいます(個情法16条1項、通則ガイドライン2-4)。
①特定の個人情報をコンピュータで検索できるように体系的に構成したもの
(例)WordやExcelデータで管理されている顧客管理名簿・診療記録・介護記録など
②コンピュータを用いていない場合であっても、特定の個人情報を容易に検索することができるよう体系的に構成したものであって、目次、索引、符号等により一般的に容易に検索可能な状態に置かれているもの
(例)紙媒体で五十音順や生年月日順に索引をつけた顧客カード・診療記録・介護記録など
個人データとの違い
「個人データ」とは、「個人情報データベース等」を構成する個人情報をいいます。
上記の例でいうと、顧客管理名簿や診療記録などを構成している個々の情報を指します。
保有個人データとの違い
「保有個人データ」とは、「個人データ」のうち、個人情報取扱事業者が、
- 開示
- 内容の訂正
- 追加または削除
- 利用の停止
- 消去
- 第三者への提供の停止
を行うことのできる権限を有するものをいいます。
したがって、外部から委託を受けて取り扱っている個人データや、個人情報のうち体系的に整理されていないものは、「保有個人データ」には該当しません。
個人データが「保有個人データ」に該当するか否かは、保有者の属性によって異なるということになりますので、注意しましょう。
個人情報の要件1|「生存する個人」に関する情報であることとは
個人情報は、「生存する個人」に関する情報に限られます。
死者・胎児に関する情報
死者や出生前の胎児に関する情報は、個人情報に該当しません。
死者が生存中に取得した情報でも、本人が死亡した時点で、当該情報は個人情報ではなくなります。
反対に、胎児に関する情報を出生前に取得した場合でも、出生時以降に取り扱われる場合は、個人情報に該当するようになります。
もっとも、死者や胎児に関する情報が、その相続人や親との関係で個人情報に該当する場合は、「生存する個人」に関する情報として個人情報に該当するので、判断には注意しましょう。
例えば、死者の「氏名」は、相続人の個人情報に該当しません。
しかし、死者の「住所」は、同時に相続人の住所であることが多く、
- 芸能人のように相続人が周知されている場合
- 相続人情報と一緒に保管されている場合
などは、当該相続人との関係で個人情報に該当します。
個人情報の要件2|特定の個人を識別できる情報とは
個人情報の要件の2つ目は、「特定の個人を識別できる情報」であることです。
個情法上、特定の個人を識別できる情報とは、以下のいずれかを指します。
- 情報それ自体で特定の個人を識別することができるもの
- (情報それ自体では特定の個人を識別できないものの)他の情報と照合することによって特定の個人を識別できるもの(照合の容易性)
照合の容易性の判断基準は、「通常の業務における一般的な方法により、他の情報と照合しうる状態か否か」です(通則ガイドライン2-1)。
例えば、
- 他の事業者への照会が必要で、照合が困難な状態
- 照合するために特別なプログラム等を導入しなければならない場合
などは、照合が容易ではないため、個人情報には該当しません。
また、照合の容易性は、情報を取り扱う事業者ごとに相対的に判断されます。
つまり、全く同じ情報であっても、ある事業者との関係では個人情報に該当するものの、他の事業との関係では該当しないこともある、ということです。
この照合の容易性は抽象的な基準であるため、実務上も判断が難しい点になります。
①受験番号のみが記載された入試成績は、当該入試を実施した私立学校においては、別途保管している受験者情報と照合して特定の受験生を特定できるため、照合の容易性が認められます。
②会社内で、部門ごとにデータベースを設置して情報管理をしていて、会社の規定・システム上、部門間等で双方のデータベースへのアクセスや取り扱いが厳格に禁止されているような場合は、照合の容易性が否定されます。
反対に、部門間で、通常の業務における一般的な方法で双方のデータベース上の情報を照合できるような場合は、照合の容易性が認められます。
個人情報の要件3|個人識別符号が含まれる情報とは
個人識別符号が含まれる情報も、個人情報として取り扱う必要があります。
個人識別符号とは
個人識別符号とは、
- 生存する個人に関する情報であって、
- 文字、番号、記号その他の符号のうち、政令で定めるもの
をいいます(個情法2条2項)。
具体的には、
- 指紋や静脈などの生体情報
- 運転免許証・パスポート・保険証等の番号
- マイナンバーや住民票コード
などが、個人識別符号に該当するものとして、
- 個情法施行令1条1号~8号
- 個情法施行規則4条
において定められています。
個人情報・個人データに関するルール
個人情報を取り扱う事業者(「個人情報取扱事業者」)には、個人情報保護法上、さまざまな義務が課されています。
具体的には、「個人情報」を取り扱う際に、以下①~⑤の制限・義務が課されます。
①利用目的の特定、利用目的による制限(17条、18条)
②不適正な利用の禁止(19条)
③適正な取得(20条)
④取得に際しての利用目的の通知(21条)
⑤苦情の処理(40条)
その他、「個人データ」を取り扱う際には、以下⑥~⑨の制限・義務が課されます。
⑥データ内容の正確性の確保(22条)
⑦安全管理措置、従業者や委託先の監督(23条~25条)
⑧漏えい等の報告等(26条)
⑨第三者提供の制限(27条~30条)
①利用目的の特定・制限
個人情報を取り扱う際は、その利用目的を出来る限り特定しなければいけません(個情法17条)。
- 利用目的を特定していない場合の例
-
・事業活動に用いるため
・マーケティング活動に用いるため
- 利用目的を具体的に特定している場合の例
-
○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのため
また、以下のケースを除き、定めた利用目的以外に個人情報を使用してはいけません(個情法18条)。
- 法令に基づく場合
- 人の生命・身体・財産の保護のために必要がある場合で、本人の同意を得ることが困難であるとき
②不適正な利用の禁止
個人情報は、違法・不当な行為を助長する方法、これらを誘発するおそれがある方法で利用してはいけません(個情法19条)
不適正利用の例としては、官報に掲載される破産者情報などの個人情報について、本人に対する違法な差別を誘発するおそれがあると予見できるにもかかわらず、集約してデータベース化し、インターネット上で公開する場合が挙げられます(通則ガイドライン3-2)。
③適正な取得
個人情報は不正な手段により取得してはいけません(個情法20条)。
例えば、十分な判断能力を有していない子どもから、取得状況から考えて関係のない家族の収入事情などを、家族の同意なく取得する場合が本条に該当する例として考えられます。
④取得に際しての利用目的の通知等
個人情報を取得する際は、以下のいずれかの対応を行わなければなりません(個情法21条1項)。
- 個人情報を取得する前に、あらかじめ利用目的を公表しておく
- 個人情報を取得した場合に、速やかにその利用目的を本人に通知・公表する
これらの対応は、利用目的を変更した場合も行う必要があります(個情法21条3項)。
しかし、利用目的を本人に通知・公表することで、「本人・第三者の生命、身体、財産その他の権利利益を害するおそれがある」など、一定の場合においては、例外的に不要です(個情法21条4項各号)。
⑤苦情の処理
個人情報の取り扱いについて苦情があった場合は、その適切・迅速な処理に努めなければいけません(個情法40条1項)。
苦情の申し出をする主体は本人に限定されていませんので、第三者からの苦情であっても対象となります。
また、苦情処理窓口の設置や苦情処理的純の策定等、苦情の処理にあたって必要な体制を整えておくことも必要です(同条2項)。
⑥データ内容の正確性の確保
個人データは、正確かつ最新の内容に保つ必要があります。
また、利用する必要がなくなった際は、遅滞なく当該個人データを消去するよう務めなければなりません(個情法22条)。
⑦安全管理措置、従業者や委託先の監督
個人情報取扱事業者は、個人データの
- 漏えい(個人データが外部に流出すること)
- 滅失(個人データの内容が失われること)
- 毀損(個人データの内容が意図しないかたちで変更されることや、内容を保ちつつも利用不能な状態となること)
の防止など、安全管理のために必要かつ適切な措置を講じなければなりません(個情法23条)。
また、個人データを従業員や委託先に取り扱わせる際は、安全管理が図られるよう、必要かつ適切な監督を行わなければなりません(個情法24条、25条)。
特に個人データを委託する際は、自らが講ずべき安全管理措置と同等の措置が講じられるように監督をする必要があり、具体的には、以下のような対応を行う必要があります。
- 適切な委託先の選定
- 委託契約の締結
- 委託先における個人データ取扱状況の把握 など
⑧漏えい等の報告等
個人情報取扱事業者は、以下に記載の、個人データの漏えい・滅失・毀損が起きた場合、この事態が生じた旨を、個人情報保護委員会に報告するとともに、本人に通知する必要があります(個情法26条、個情法規則7条各号)。
- 要配慮個人情報が含まれる個人データの漏えい等の発生・おそれ(1号)
- 不正に利用されることで財産的被害が生じるおそれがある個人データの漏えい等の発生・おそれ(2号)
- 不正の目的をもって行われたおそれがある個人データの漏えい等の発生・おそれ(3号)
- 個人データに係る本人の数が1,000人を超える漏えい等の発生・おそれ(4号)
⑨第三者提供の制限(オプトイン・オプトアウト)
個人データを第三者に提供する場合は、原則として、本人の事前同意を取得しなければなりません(個情法27条1項柱書)。
このように事前に同意を取得する制度を「オプトイン」といいます。
ただし、法定の手続き(プライバシーポリシーの公表や個人情報保護委員会への届け出等)を経た上で、本人から停止要請があった場合に第三提供をやめる場合は、本人の事前同意がなくても第三者提供ができます。
事前同意の取得は不要とした上で、本人から第三者提供を停止するよう要請があった場合には第三者提供をやめる制度を「オプトアウト」といいます。
また、個人データの提供先が外国にある第三者である場合は、①その旨の本人の同意や、②本人への参考情報の提供などの義務がさらに課されます(個情法28条)。
さらには、個人データを第三者に提供する場合は、
- 提供者において、提供記録を作成・保存(個情法29条)。
- 取得者において、必要事項の確認および確認記録の作成・保存(個情法30条)
の義務がそれぞれ課されています。
個人情報保護法違反の場合の責任(刑事・民事)
個人情報保護法に違反する行為をした場合、会社や違反行為者には以下①~③のような法的責任やリスクが生じます。
①刑事責任…違反行為者・法人への刑事罰
②民事責任…被害者に対する損害賠償責任
③社会責任…企業のレピュテーションリスク(信用低下)
刑事責任(罰則)
個情法では、同法の違反行為について、以下①~③のとおり刑事罰(罰則)が定められています。
①個人情報保護委員会からの命令に違反した場合
【違反行為者】1年以下の懲役または100万円以下の罰金(178条)
【当該法人】1億円以下の罰金(184条1項1号)
②個人情報データベース等を自己若しくは第三者の不正な利益を図る目的で提供・盗用した場合
【違反行為者】1年以下の懲役または50万円以下の罰金(179条)
【当該法人】 1億円以下の罰金(184条1項1号)
③個人情報保護委員会への虚偽の報告・資料提供、立入検査の妨害
【違反行為者】50万円以下の罰金(182条1号)
【当該法人】50万円以下の罰金(184条2号)
罰せられるのは、違反行為をした者(違反行為者)だけではなく、その違反行為が法人の業務に関するものである場合には当該法人も罰せられます(いわゆる「両罰規定」)。
民事責任(損害賠償責任)
個情法に違反して情報が流出(漏えい)した場合、情報の流出による被害者から、民事上の損害賠償請求がなされることがあり得ます。
情報漏えいは被害者が多数に及ぶケースも多く、対応に要する時間・費用などのコストが大きくなるリスクがあります。
社会責任(レピュテーションリスク)
個人情報保護への期待が社会的に高まっているため、情報漏えいが発生した場合、その企業のレピュテーションが毀損される(信用低下する)というリスクがあります。
おすすめ資料を無料でダウンロードできます ✅ 個人情報に関する研修資料 |