個人データとは?
取り扱い時のルール・具体例・
個人情報や保有個人データとの違い
などを分かりやすく解説!

この記事を書いた人
アバター画像
法律事務所LEACT・LINEヤフー株式会社弁護士
総合系のコンサルティングファーム2社(コンサルタント職)、インハウスハブ東京法律事務所を経て2022年10月より現職。法律事務所LEACTでは、セキュリティ・プライバシー領域の案件を中心に活動中。 独立行政法人情報処理推進機構(IPA)試験委員、CISSP, CIPM, CIPP/E
おすすめ資料を無料でダウンロードできます
個人情報に関する研修資料
この記事のまとめ

個人データとは、個人情報データベース等を構成する個人情報をいいます(法16条3項)。

企業では多くの場合、取得した個人情報をデータベース化して管理しています。個人情報保護法は、このデータベースを構成する個人情報を「個人データ」と定義して一定のルールを課しているのです。

この記事では「個人データ」について、基本から分かりやすく解説します。

※この記事は、2023年7月19日に執筆され、同時点の法令等に基づいています。

※この記事では、法令名等を次のように記載することがあります。

  • 法…個人情報保護法
  • 政令…個人情報の保護に関する法律施行令
  • 規則…個人情報の保護に関する法律施行規則
  • ガイドライン…個人情報の保護に関する法律についてのガイドライン(通則編)
  • Q&A…「個人情報の保護に関する法律についてのガイドライン」に関するQ&A

個人データとは

「個人データ」とは、個人情報データベース等を構成する個人情報をいいます(法16条3項)。
「個人情報データベース等」の具体的な定義については後述しますが、ひとまずは個人データとは、データベース形式で整理された個人情報をいうのだと理解しましょう。

個人データに該当するかを検討するフロー

法務部門で個人データの検討を行う際には、
①当該データが個人情報に該当するか
②当該個人情報が個人データに該当するか(個人情報データベース等を構成しているか)

の順番で検討をすることが多いです。

まずは、法律上の定義が②→①の順番で記述されているにもかかわらず、なぜ法務部門では①→②の順番で検討をすることが多くなるのかを説明します。

技術部門の検討においては、データベース(②)の存在を前提とした上で、そのデータベースの構成要素の中に個人情報(①)が含まれるかという検討が発生するため、法律上の定義の記述に沿った思考の流れで検討が行われます。

他方で法務部門の検討においては、個人情報(①)の取得/利用/消去等をしたいという事業部門/技術部門からの相談を前提とした上で、その個人情報が個人情報データベース等を構成するか、個人データに関する義務を遵守する必要があるか(②)という検討が発生するため、法律上の定義とは逆の思考の流れで検討が行われます。

以上を踏まえ、本記事では主たる読者である法務部門が実務上辿る思考の流れに沿って、①→②の順番で説明を行います。

①あるデータが個人情報に該当するか

個人情報とは、簡単にいうと、生存する個人に関する情報であって、以下のいずれかに該当するものをいいます。

  • 記述等により特定の個人を識別できるもの
  • 他の情報と照合することにより特定の個人を識別できるもの(容易照合性
  • 個人識別符号が含まれるもの
ムートン

個人情報の定義については、以下の記事でより詳しく解説しているのでぜひご覧ください。

次の項目で解説する個人情報データベース等は、個人情報の定義における容易照合性の理解を前提とします。
上記の関連記事では、企業におけるデータに対して容易照合性をもたらす代表的な存在である顧客IDの例も出しながら、容易照合性について解説しています。まずは個人情報の定義をしっかり腹落ちして理解しておくことが重要です。

②当該個人情報が個人データに該当するか(個人情報データベース等を構成しているか)

個人情報データベース等は、法律上以下のとおり定義されています。

(定義)
第16条 この章及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
⑴ 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
⑵ 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

「個人情報の保護に関する法律」e-gov法令検索 電子政府の総合窓口e-Gov イーガブ

1号は「電子計算機を用いて検索」することを前提としていますが、2号では電子計算機(コンピュータ)を用いない場合、例えば紙面で処理するケースについても規制を及ぼすことができるようになっています。

個人情報データベース等に該当する例・しない例

先ほど引用した法16条1項では、「利用方法からみて個人の権利利益を害するおそれが少ないもの」を除外していました。これを具体化しているのが政令4条です。

(個人情報データベース等)
第4条 法第16条第1項の利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものは、次の各号のいずれにも該当するものとする。
⑴ 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。
⑵ 不特定かつ多数の者により随時に購入することができ、又はできたものであること。
⑶ 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。

「個人情報の保護に関する法律施行令」e-gov法令検索 電子政府の総合窓口e-Gov イーガブ

もっともこの条文の内容から、適用除外になる具体的な場面はなかなかイメージできないと思います。

ガイドラインに記載されている【個人情報データベース等に該当しない事例】を理解した上で、そのうち事例3を抽象的に表現すると、政令4条各号の要素が抽出できることを確認するのに止めるのが良いと思います。

【個人情報データベース等に該当する事例】
事例1)電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)
事例2)インターネットサービスにおいて、ユーザーが利用したサービスに係るログ情報がユーザーIDによって整理され保管されている電子ファイル(ユーザーIDと個人情報を容易に照合することができる場合)
事例3)従業者が、名刺の情報を業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて入力・整理している場合
事例4)人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合

【個人情報データベース等に該当しない事例】
事例1)従業者が、自己の名刺入れについて他人が自由に閲覧できる状況に置いていても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合
事例2)アンケートの戻りはがきが、氏名、住所等により分類整理されていない状態である場合
事例3)市販の電話帳、住宅地図、職員録、カーナビゲーションシステム等

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」

コンピュータサイエンスにおけるデータベースとは

法務部門における検討では、「個人情報データベース等」の定義を理解し、この定義に当てはめた上でその該当性を判断できることはもちろん重要です。

他方で実務においては、それに加えてコンピュータサイエンスの領域で用いられるデータベースとは一般的にどのようなものであり、どういった用いられ方をするのかを理解しておくことも非常に有用です。

技術部門や事業部門から相談を受けた際に、どのようにデータが流れ、どのようにデータが保存されるのかをイメージできるようになると、相談内容を正確に整理できるようになります。

例えばデータベースに関する以下のような本を読んでみることは、法務部門としても検討を進める上で大変参考になります。

法務部門として、事業部門が契約書を全く読まないままにレビュー依頼をしてくることや、その際のミスコミュニケーションに対して不満をもった経験をお持ちの方も多いかもしれません。自分が同種のことをしないためにも、少し知識の幅を広げてみませんか?

▪️『SQL 第2版 ゼロからはじめるデータベース操作』(翔泳社、2016年)
▪️『マンガでわかるデータベース』(オーム社、2005年)
▪️『おうちで学べるデータベースのきほん』(翔泳社、2015年)

「個人情報」と「個人データ」の違いが実務上よく問題になる場面

次に、「個人情報」と「個人データ」の違いが実務上よく問題になる場面として、大きく3つの場面をご紹介します。

【場面1】「検索することができるように体系的に構成」の判断

②当該個人情報が個人データに該当するか(個人情報データベース等を構成しているか)」で述べたとおり、ある個人情報が法律上の「個人データ」に該当するか否かは、当該個人情報が「個人情報データベース等」を構成するかから判断します。

そして、「個人情報データベース等」は、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成されているものをいうのでした。

ここで、判断が悩ましいケースについて、具体例を2つ取り上げながら解説します。

(いわゆる)ctrl + Fで検索ができる場合

Wordなどで作成した文書の場合、Windowsであればctrl + Fを押下し、検索窓に任意の単語を入力すれば、当該単語で文書内を検索することが可能になっています。

このような検索機能を用いて検索が可能なことと、「個人情報データベース等」の定義の関係はどのように考えれば良いのでしょうか。

この点については、文書作成ソフトの検索機能を用いて検索ができることでは、定義の要件を満たさないことがQ&Aで明確になっています。

(個人情報データベース等)
Q1-40 文書作成ソフトで議事録を作成しました。議事録には会議出席者の氏名が記録されており、文書作成ソフトの検索機能を用いれば、特定の個人を検索することが可能です。この議事録は個人情報データベース等に該当しますか。

A1-40 文書作成ソフトで作成された議事録は、会議出席者の氏名が記録されているとしても、特定の個人情報を検索することができるように「体系的に構成」されているものとはいえないため、個人情報データベース等には該当しないと解されます。

個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」

上述したとおり、コンピュータサイエンスにおけるデータベースの概念を理解していれば、議事録が個人情報データベース等に該当しないという結論は自然なことだと思いますが、純粋に「個人情報データベース等」の定義に当てはめてみると誤解しやすい部分なので注意が必要です。

ビデオカメラの映像情報

個人情報への該当性、とりわけ氏名到達性がない状態でも個人情報に該当する例として、「防犯カメラなどに記録された、本人が判別できる映像情報」が挙げられることがよくあります。

では、ビデオカメラの映像情報は個人データに該当するのでしょうか?

この点については、特定の個人に紐づけるかたちで映像情報が整理されているのでなければ個人データに該当しないことがQ&Aから分かります。

(個人情報データベース等)
Q1-41 防犯カメラやビデオカメラなどで記録された映像情報は、特定の個人を識別 することができる映像であれば、個人情報データベース等に該当しますか。

A1-41 特定の個人を識別することができる映像情報であれば、個人情報に該当しますが、特定の個人情報を検索することができるように「体系的に構成」されたものでない限り、個人情報データベース等には該当しないと解されます。すなわち、記録した日時について検索することは可能であっても、特定の個人に係る映像情報について検索することができない場合には、個人情報データベース等には該当しないと解されます。(令和5年5月更新)

個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」

つまり、監視カメラなどのように時系列で記録され、日時をキーにして検索ができるだけではそのデータベースは個人情報データベース等には該当しません。

一方で、人ごとにIDを割り振り、当該IDに紐づけて映像情報を管理するような場合には個人情報データベース等に該当し得ます。

【場面2】漏えい等の発生時の対応

漏えい等の発生時に、個人情報保護委員会への報告や、本人への通知が必要になるのは「個人情報」ではなく「個人データ」です(法26条)。

個人情報が漏えいしたにとどまる場合には、法律上の漏えい等報告は不要です。

他方で、個人データの漏えい等が発生した場合、個人情報保護委員会への報告を速やかに行う必要があります(規則8条1項)。

ここでいう「速やか」とは、「概ね3~5日以内」(ガイドライン)とされています。

漏えい等の対象が個人情報か個人データかで、直近でなすべきこと(被害の拡大防止、原因の究明、再発防止策の検討および実施など)は大きく異ならないものの、時間的制限を伴った個人情報保護委員会への報告が必要になるか否かで、対応のタイムラインや、社内の巻き込むべき関係者の範囲が大きく変わってきます。

漏えい等の発生時は「個人情報」と「個人データ」の違いが重要性を増す場面の一つです。

【場面3】個人情報データベースから出力された個人情報

「個人データ」とは、個人情報データベース等を構成する個人情報のことをいうのでした。よって、個人情報データベース等を構成しない個人情報は、単なる個人情報であって個人データではありません。

ここで誤解しやすいのが、個人情報データベースから出力され、データベース外に存在する個人情報です。このようなデータは、出力された後はデータベース等を構成していないため単なる個人情報と間違いやすいですが、これは個人データに該当します。

【個人データに該当する事例】
事例1)個人情報データベース等から外部記録媒体に保存された個人情報
事例2)個人情報データベース等から紙面に出力された帳票等に印字された個人情報

【個人データに該当しない事例】
事例)個人情報データベース等を構成する前の入力用の帳票等に記載されている個人情報

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
ムートン

最新の記事に関する情報は、契約ウォッチのメルマガで配信しています。ぜひ、メルマガにご登録ください!

おすすめ資料を無料でダウンロードできます
個人情報に関する研修資料