ビジネスQ&A
どのような情報が「個人情報」にあたりますか?
2021年 9月 8日更新
地域商店街の活性化や効果的な集客のため、5年前からポイント・プログラムを共同運営し、情報の収集・分析を行っています。個人情報保護法では、どのような情報が個人情報にあたりますか?個人情報にあたる場合、どのように取り扱えばよいですか?
回答
「個人情報」を取り扱う事業者(「個人情報取扱事業者」)には、その規模にかかわらず、個人情報保護法が適用されます。個人情報保護法は、個人の権利・利益の保護と、「個人情報」の有用性のバランスをはかるという目的の下、個人情報取扱事業者の遵守すべき義務等を定めています。
個人情報保護法は、「個人情報」のうち一部の情報を「個人データ」と定義し、区別しています。以下では、法律に定められている、これらの具体的な内容と取り扱いについて、説明したいと思います。
【個人情報とは】
「個人情報」とは、生存する個人に関する情報で、その情報に含まれる氏名や生年月日等によって特定の個人を識別できる情報をいいます。
例えば、氏名だけでも個人情報に該当しますが、誰の音声かが識別できる音声録音情報や、氏名と社名が含まれるメールアドレス、防犯カメラに記録された顔画像(本人が判別できる程度には大きく鮮明に写っているもの)なども、個人情報に該当する例として挙げられます。
また、個人情報保護法は、「個人識別符号」を含む情報を、「個人情報」に含まれるものと定めています。「個人識別符号」とは、①身体の一部の特徴を電子計算機のために変換した符号、または②サービス利用や商品の購入に割り当てられ、あるいはカード等の書類に記載された、対象者ごとに割り振られる符号のいずれかに該当するもので、政令で指定されています。具体的には、①指紋、DNA、顔の骨格などの身体の特徴データや、②マイナンバー、パスポートや運転免許証の番号など、個々人に対して割り当てられる公的な番号が、これにあたります。
【個人データ】
「個人データ」とは、「個人情報データベース等」を構成する個人情報をいいます。「個人情報データベース等」とは、特定の個人情報を検索ができるように体系的に構成した、個人情報を含む情報の集合物をいいます。具体的には、コンピュータで管理されているか、紙で管理されているかを問わず、個人情報を一定の規則で整理・分類し、特定の個人情報を容易に検索できるように目次、索引などによって順番に並べてあれば、「個人データベース等」にあたります。
この「個人データベース等」を構成している「個人情報」が「個人データ」です。例えば、「個人情報データベース等」をプリントアウトした帳票等に印字されている個人情報は、「個人データ」に該当すると考えられます。他方、個人情報データベース等を構成する前の段階の、入力用の帳票等に記載されている個人情報は、「個人データ」には該当しません。
【個人情報の取り扱い】
個人情報の取り扱いに関し、事業者は、一定の事項を守らなければなりません。以下、取り扱いの場面ごとに説明いたします。
①取得・利用:利用目的を特定し、通知又は公表する。利用目的の範囲内でのみ利用する。
この義務を遵守するために、事業者はプライバシーポリシーを定め、個人情報の利用目的を特定の上、公表しています。
②保管:漏洩等が生じないように保管し、委託者等の安全管理を徹底する。
③提供:第三者に提供する際には、あらかじめ本人の同意を取得する。第三者に提供し、または提供された場合には、一定事項を記録する。
④開示請求等への対応:本人から開示等の請求がなされた場合に対応する。
このうち、①は「個人情報」・「個人データ」いずれについても守るべき事項で、②~④は「個人データ」の取り扱いに関する事項です。
【要配慮個人情報】
個人情報保護法は、「個人情報」のうち一部の情報を「要配慮個人情報」と定め、一段高い規律を及ぼしています。不当な差別や偏見を生じさせるような機微情報については、「個人情報」の中でも取り扱いに配慮すべきとして、情報の取得には、原則として事前に本人の同意を得る必要があると定められています。
何が「要配慮個人情報」にあたるかは、政令で定められています。具体的には、人種、信条、社会的身分、病歴、前科、犯罪被害情報、身体・知的・精神障がいがあることや、健康診断結果等が、「要配慮個人情報」にあたります。他方、国籍や本籍地は、単独では「要配慮個人情報」に該当しないとされています。
【匿名加工情報】
また、個人情報保護法は、特定の個人を識別することができないように個人情報を加工した情報を「匿名加工情報」と定義し、特定された利用目的外での利用や第三者への提供ができると定めています。
例えば、交通カードの移動履歴を事業者間で共有することにより、新たなサービスを生み出したり、医療機関が保有する医療情報を共有して創薬の発展を促すなどによる利用が、期待されています。
【仮名加工情報】
後述する令和2年改正個人情報保護法では、「仮名加工情報」が新設されました。「仮名加工情報」とは、他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいいます。「仮名加工情報」は、他の情報と照合することによって、特定の個人を識別し得る情報であり、この点で、他の情報と照合させても個人を識別できない「匿名加工情報」とは異なります。加工として想定されているのは、会員 ID、氏名、年齢、性別、サービス利用履歴が含まれる個人情報のうち氏名を削除することなどです。この加工によって得られる情報が、「仮名加工情報」です。
この「仮名加工情報」は、「匿名加工情報」より簡単に作成することができ、また「匿名加工情報」に比べ加工が少ないためビッグデータとして利活用がしやすいというメリットがあります。また、制限なく利用目的の変更が可能で、情報が漏洩した場合の報告義務が課されないなど、その取り扱いの規律が緩和されており、「仮名加工情報」の利用により新たなビジネスが生まれることが期待されています。他方で、「仮名加工情報」を作成するにあたり、利用目的をできる限り特定して公表しなければならず、内部での分析に限るなど第三者提供も制限されており、「匿名加工情報」に比べて利用の範囲は制限されています。
今後は、他者と情報を共有するビジネスを展開すべく情報の自由な流通を促したいか、加工を最低限におさえた情報を利用したいかなど利用目的や、情報の質(加工して価値があるか否かなど)によって、「匿名加工情報」か「仮名加工情報」かを使い分けていくことになるだろうと思います。
【個人情報保護法に違反するとどうなるか】
事業者が個人情報保護法を遵守しているかについては、内閣府の下に置かれた個人情報保護委員会が監督をしています。個人情報保護委員会は、必要に応じて報告を求め、立ち入り検査を行い、場合によっては指導・助言・勧告・命令を行います。事業者がこれらの改善命令にも従わない場合には、罰則が定められています。
【令和4年(2022年)4月に改正法が施行】
令和2年(2020年)に成立した改正個人情報保護法(令和2年改正個人情報保護法)は、一部を除き令和4年(2022年)4月1日に施行されます。これは、平成27年改正個人情報保護法に定められた「3年ごとの見直し」に関する規定に基づくものです。 改正法では、個人の権利利益保護の強化、事業者の守るべき責務の在り方、データの利活用など、社会の変化を踏まえた改正を行っています。本人の個人情報に対するコントロール権の拡充(保有個人データの利用停止・消去・第三者への提供停止を請求するための要件の緩和など)、事業者の責務の追加(情報漏えい発生時の報告・本人への通知義務など)、法律違反の場合の厳罰化(法定刑の引き上げ)などが盛り込まれておりますので、ご確認ください。
- 回答者
-
弁護士
橋本 阿友子
同じテーマの記事
- クーリングオフは、店頭で販売した使用済みの商品でも対象になるのでしょうか?
- 環境ISOを取得するには、どのような公的支援が受けられますか?
- ISO22000について教えてください。
- ISO14001について教えてください。
- 自社にとって有利な取引条件に改善するにはどうすればよいですか?
- 顧客からのクレーム対応時に気をつけなければいけないことは何ですか?
- 顧客情報の流出や従業員の不正などのリスクをマネジメントする方法を教えてください。
- リスクマネジメントの一つであるBCPについて教えてください。
- プライバシーマーク取得の効果は何ですか?
- リスク分析、評価をどのように進めればよいでしょうか。
- インフルエンザ・パンデミックやその対策について簡潔に教えてください。
- 社内の震災対応などの防災対策を見直すには、どのようにすればよいですか?
- BCP策定のメリットと留意点は何ですか?
- 防災対応のために会社が持っておくべき情報を教えてください。
- 情報資産の風水害への対応体制はどうすればよいでしょうか。
- 企業の社会的責任(CSR)について教えてください。
- 風水害に備えて、自社に合った対策の立て方を教えてください。
- 企業機密の漏洩を防ぐにはどうしたらよいですか?
- 改正民法における中小企業への影響はありますか?
- どのような情報が「個人情報」にあたりますか?
- 私の会社も「個人情報取扱事業者」に該当しますか?
- 民法改正によって変わる時効の規定を教えてください。
- 新型コロナウイルス感染症(COVID-19)対策について知りたい。
- プラスチック製買物袋有料化について、どのように対応したらよいでしょうか。
- 新型コロナウイルスの感染症の影響による事業継続について何を準備すればよいか教えてほしい。
- 新型コロナウイルス感染症の第2波や自然災害に備えるための計画があると聞きましたが、どういったものなのでしょうか?
- DX(デジタルトランスフォーメーション)の推進について、どのように対応していけばいいでしょうか。
- 内部監査をオンラインで実施する際の注意点を教えて下さい
- HACCP対応のための支援制度はありますか?
- JFSM(Japan Food Safety Management Association)とは何のことですか?
- 食品製造業向けの有効なクレーム対応方法はありますか?
- 米国への日本酒輸出のために対応すべき、FSMAについて教えてください。
- 食中毒の原因や種類、予防方法について教えてください
- 飲食店での産業廃棄物処理の留意点について教えてください。
- SQF取得にあたり、そもそもの所から教えてください。
- 食品リサイクル法について教えてください。
- 食品製造業がHACCPへ取り組むにあたって考慮すべき点を教えてください。
- 喫茶店の開業を予定しています。営業にあたり必要となる許認可制度が変更になったと聞きましたが、どうしたら良いでしょうか?
- 総合衛生管理製造過程承認制度の留意点を教えてください。
- 食品工場内の設備に組み込むハンドラーやコンベヤなどの搬送設備についてHACCP対応が要求されています。 RoHS指令およびREACH規則を遵守していることでHACCP対応しているといえるでしょうか。
- 飲食店のHACCP対応は何から始めたら良いですか?
- 健康経営とは何ですか?どのように始めたらよいですか?またどのような効果がありますか?
- 中小企業にもセキュリティ対策は必要なのでしょうか?
- IT化とDXの違いを、中小企業がDXに取り組む際のポイントと併せて教えてください
- どうすれば業務の属人化を防いで、技術・技能承継をスムーズに進めることができるでしょうか。
- なぜ今Pマークの取得が求められているのでしょうか?
- BCPの策定と運用のポイントを教えてください。
- 従業員のメンタルケアの方法や注意点などについて教えてください。
- 物価高騰に対して中小企業がどのように対応していったらよいか教えてください。
- 時代の変化を見通した就業規則の直し方を教えてください。
