個人情報保護法の成立(2003年)から約20年。個人情報という言葉も広く一般に定着してきました。しかし、個人情報保護法が保護の対象としている個人情報は何かを正確に知らずに、その保護のしかたについて過剰な反応をする方も多く見受けられます。ここではまず、個人情報保護法が定義する個人情報に該当するもの・しないものを具体例を交えながら弁護士がわかりやすく解説します。
監修 弁護士 伊藤 敦史
プロフィール
東京都出身。小石川高校卒業、成城大学法学部法律学科卒業、学習院大学法科大学院修了。2018年9月司法試験合格、2018年11月最高裁判所司法研修所入所、2019年12月司法修習終了後、広島弁護士会に登録。山下江法律事務所に入所。
主な取扱分野
企業法務、離婚、相続、交通事故、労働、消費者問題その他一般民事事件、倒産事件、刑事事件など
目次
個人情報保護法とは
成立の背景
1970年代後半からコンピュータの利用が進んだことによって個人のデータが活用されるようになり、個人のプライバシー保護が意識されるようになりました。一方で、プライバシー保護が行き過ぎてしまうと経済成長を阻害することにもなりかねないことから、両者を両立させることを目指して1980年にOECD(経済協力開発機構)で採択されたのが「プライバシー保護と個人データの流通についてのガイドラインに関する理事会勧告」です。
この勧告の中で触れられているのが、いわゆる「OECD8原則」と呼ばれるもので、以後の個人情報保護対策の基礎となっています。
OECD8原則
- 収集制限の原則
いかなる個人データも、適法かつ公正な手段により、必要に応じて当人に通知し又は同意を得た上で収集すべきである - データ内容の原則
個人データは、利用目的の範囲内において利用し、かつ利用目的の達成に必要な範囲内で正確、完全及び最新の内容に保つべきである - 目的明確化の原則
個人データの収集目的は事前に特定し、収集した個人データの利用はその利用目的に矛盾しない方法で行わなければならない。利用目的を変更するにあたっては毎回その利用目的を特定すべきである - 利用制限の原則
当人の同意または法令に基づく場合を除いて、個人データを目的以外に利用すべきではない - 安全保護措置の原則
収集した個人データは、滅失若しくは不正アクセス、き損、不正利用、改ざん又は漏えい等のリスクに対し、合理的な安全保護措置を講ずるべきである - 公開の原則
個人データの開発、運用、管理について方針を公開すべきである - 個人参加の原則
個人にはデータ管理者が自身の個人データを保有しているかを確認し、保有している場合にはそのデータの内容を合理的な期間内に、合理的な費用で、合理的な方法で、かつ、当人が認識しやすい方法で知ることができる権利がある。データ管理者がこれらを拒否した場合には、異議を述べることができ、異議が認められたときはそのデータを消去、訂正、完全化、補正させることができる - 責任の原則
個人データ管理者は1~7の原則について実施する責任を負う
日本国内でもOECD8原則を受けて個人情報保護制度の検討が進められ、1988年(昭和63年)に「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が成立しました。このときに法制化されたのは行政機関を対象としたもののみで、民間部門については自主規制に委ねられていましたが、個人情報の流出・漏えい事件が報道されたことなどを背景に、民間部門の個人情報保護の必要性を求める世論が高まり、2003年(平成15年)に民間部門を対象とした個人情報の保護に関する法律(個人情報保護法)が成立しました。同法は2003年5月から一部施行され、2005年4月から全面施行となっています。
目的
個人情報保護法は、この法律の目的を「高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」としています(成立当時の1条)。
この文言からも、個人情報保護法が個人情報を経済活動に利用することの有用性と個人の権利保護の両面に配慮した法律であることがうかがえます。
見直しと改正
2005年の個人情報保護法全面施行後も、目覚ましく発展する情報通信技術やグローバル化に対応するため、2015年に改正することとなりました(2017年5月30日全面施行)。2015年改正法では、施工後3年ごとの法律の見直し規定が設けられ、この見直し規定に基づき、個人情報保護委員会が実態把握や論点整理を行い、2020年改正、2021年改正が行われました。今後も、引き続き実態に即した改正が行われることが想定されます。
個人情報の定義
2003年制定当初の個人情報
2003年(平成15年)に個人情報保護法が成立した当時の個人情報の定義は「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」とされていました(成立当時の2条1項)。
ポイントとなるのは、①生存する個人に関する情報、②特定の個人を識別することができる、③他の情報と照合して個人を識別することができる、という点です。
①については、理解しやすいと思いますので、②と③について詳しく説明します。
特定の個人を識別することができる場合
「特定の個人を識別することができる場合」とは、社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物と情報との間に同一性を認めるに至ることができることをいいます。
条文にもある生年月日は、それのみでは具体的な人物との同一性を認めることはできませんが、氏名と組み合わせて「19xx年xx月xx日生まれの○○××さん」という形になれば特定の個人を識別することができるといえるでしょう。住所や電話番号も同様です。
同姓同名の人が存在する可能性があるため、そもそも氏名のみで特定の個人を識別することができるといえるかが問題となりますが、氏名のみであっても、社会通念上、特定の個人を識別することができるものと考えられるため、個人情報に該当すると考えるのが妥当です。個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」でも同様に考えています。
照合して個人を識別することができる場合
例えば、企業で個々の従業員に番号を付けてその番号で従業員情報を管理している場合、従業員番号だけでは個人を識別することはできないかもしれませんが、氏名と従業員番号を紐づけた名簿と照合することで個人を識別することができます。このような場合、従業員番号も個人情報に該当することになります。
この考え方からすると、個人と紐づく全ての情報が個人情報に該当することになりそうですが、条文上、他の情報との照合が「容易」であるものに限り個人情報に該当するとしています。判断はケースバイケースですが、他の事業者への照会が必要な場合などは照合が困難であると考えられています。
2015年改正(2017年施行)
2015年(平成27年)の改正では、2条を改正し、既存の定義の明確化に加え、新たに「個人識別符号」を個人情報に追加しました。また、個人情報の利用に関連していくつかの用語が新たに定義されました。
既存の定義の明確化
まず、既存の定義の明確化については、「記述等」の部分を明確にし、記録媒体について、文書や図画に記載されたものだけでなく、電磁的記録(コンピュータ等に保存された記録)も個人情報に該当しうるとしたうえで、情報の中身についても、文字や画像だけでなく、音声や動作など「一切の」事項が個人情報に該当しうるとしました。
これにより、防犯カメラ映像や録音記録なども個人情報に該当しうることが明確になりました。
「個人識別符号」の追加
次に、「個人識別符号」が新たに個人情報の対象に追加されました。個人識別符号とは、以下のものを指します(個人情報保護法2条2項)。
- 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
- 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
1の具体例としては、DNA情報や顔認証データ、指紋認証データなど、2の具体例としてはマイナンバーや旅券番号、基礎年金番号などが該当します(個人情報保護法施行令1条)
上記のように条文は改正されましたが、特定の個人を識別することが可能である場合に限って個人情報に該当するという枠組みが変わったわけではありません。
新たな用語の定義
個人情報の利用に関連して「要配慮個人情報」「匿名加工情報」などの用語が新たに定義されました。
- 要配慮個人情報
- 本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述(心身の障害に関する情報や健康診断の結果等)等が含まれる個人情報
- 匿名加工情報
- 個人情報に関する記述等の一部を削除することによって特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの。匿名加工情報は個人情報に該当しません
2020年改正(2022年施行)
2020年(令和2年)の改正では、新たに「仮名加工情報」「個人関連情報」などの用語の定義が追加されました。
- 仮名加工情報
- 個人情報に関する記述等の一部を削除することによって他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報のこと。仮名加工情報は他の情報と照合することで特定の個人を識別することができる形に「復元」できることから、原則として個人情報に該当する点が異なります
- 個人関連情報
- 生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの。氏名等と紐づかない購買履歴やサービス利用履歴のように、ある個人に関する情報ではあるものの、特定の個人を識別することができない情報がこれに該当します
個人情報の具体例
何が個人情報に該当するか
珍しい名前
上で説明したように、氏名(姓と名の組み合わせ)は個人情報に該当します。名のみであってもその名が珍しいものであって、特定の個人を識別することができるようなものである場合には、個人情報に該当するといえるでしょう。
学校の成績
通常、学校の成績は氏名等の個人を特定することが可能な情報と紐づけて管理されています。したがって個人情報に該当するといえるでしょう。
ただし、試験の採点を外部の業者に委託しており、個人が特定できない受験番号と答案のみを渡していたような場合、その外部業者にとっては試験の採点結果を個人と紐づけることができないため、個人情報には該当しないといえるでしょう。
フリーメールアドレス
メールアドレスの@の前をユーザー名、@の後ろをドメイン名と呼びますが、両者の組み合わせから氏名等と所属で特定の個人を識別することができる場合には個人情報に該当します。フリーメールアドレスの場合、ドメイン名の部分がgmail.comやyahoo.co.jpのようなものになっており、一般にはユーザー名のみで特定の個人を識別することができないため、個人情報に該当しないといえるでしょう(この場合、個人関連情報となります)。
ただし、利用者が多いフリーメールサービスの場合、ユーザー名の重複を防ぐために氏名と生年月日を組み合わせたり、氏名と所属を組み合わせてユーザー名を作成することがあります。このような場合、ユーザー名のみでも特定の個人を識別することができるといえるため、個人情報に該当すると考えられます。
このように、メールアドレスが個人情報に該当するかはそのアドレスによって個別判断となりますが、「個人情報に該当するメールアドレス」と「個人情報に該当しないメールアドレス」を分けて管理することは困難であることから、実務上は個人情報に該当すると考えて取り扱うべきだといえるでしょう。
銀行の口座情報
銀行の口座情報やクレジットカード番号は、それのみでは特定の個人を識別することができず、個人識別符号にも該当しないため、個人情報には該当しません。ただし、氏名・住所・生年月日等と紐づけて管理しているような場合には、特定の個人を識別することができるため、個人情報に該当することになります。
公表されている個人情報(破産者の情報など)
破産手続開始決定がされると氏名や住所が官報に掲載されます。個人情報保護法では公表されている情報であるか否かによって個人情報に該当するか否かを区別していないため、このような情報も個人情報として保護されます。
家族構成
配偶者の有無や子どもの有無など、家族構成については匿名のアンケートのように特定の個人を紐づける情報がなければ個人情報に該当しません。逆に会社が給与計算等のために従業員の家族構成を保管しているような場合は、従業員の氏名等と紐づけて管理しているため、個人情報に該当することになります。
適用除外
個人情報を取り扱う民間事業者は、自治会・町内会、同窓会、PTA、サークルやクラブのような非営利の活動を行っている団体も含めて個人情報保護法の規制を受けますが、憲法上保障された自由(表現の自由、信教の自由、政治活動の自由)に関わる事業者には個人情報取扱事業者等の義務は適用されません(個人情報保護法57条1項)。
したがって、報道機関は報道目的である限り、本人の同意なく個人情報を取得することができます。ただし、例えばテレビ局が通信販売を行っており、注文者の個人情報を取得する場合は、報道目的とはいえないので個人情報保護法の適用を受けます。
まとめ
今回は個人情報保護法で保護される個人情報の定義について説明しました。個人情報の定義については、時代の変化にあわせて改正されているため、最新の定義を正確に把握する必要があります。また、個人情報保護委員会のサイトでガイドラインやQ&Aが公開されていますので、判断に迷ったときはこちらを参照するとよいでしょう。
また、2023年3月9日(木)に、第36回企業法務セミナー「事例から学ぶ!中小企業の個人情報対策~個人情報保護法改正を踏まえて~」を開催します。
経営者、経営幹部、法務担当者、個人情報保護対策責任者・管理者・推進者、情報セキュリティに関心のある方、個人情報保護法の概要について関心がある方は、ぜひご参加ください。