今回のテーマは、ズバリ「個人情報とは何か」です。「個人情報」という言葉を耳にすることは多いと思いますが、どのようなものが「個人情報」なのか、正確に理解しているでしょうか。
平成27年に、個人情報保護法の改正があったことは初回のコラムでも紹介しましたが、それによって「個人情報」の定義も変わりましたので、このコラムでは、改正後の個人情報保護法に基づいて解説します(なお、このコラムの脱稿直前に、改正法の内容が全て施行される日が平成29年の5月30日と決まりました)。
1.個人情報の定義
「個人情報」とは、生存する個人に関する情報であって、
- 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
- 個人識別符号が含まれるもの
のいずれかに該当するもの、というのが個人情報保護法上の定義です(個人情報保護法2条1項)。
しかし、これでは複雑でよくわからないことと思います。簡単にいえば、「個人情報」とは、生きている個人に関する情報であって、特定の人のものだとわかるもののことということができます。このコラムで個人情報保護法を一から勉強しようという方は、ひとまずそのように理解してください。
では、具体的にはどのようなものが個人情報になるのでしょうか。次の「2 個人情報に該当するための要件」で、詳しく解説します。
2.個人情報に該当するための要件
個人情報に該当するためには、次の(1)〜(3)の要件を満たす必要があります。
(1) 「個人に関する情報」であること
「個人に関する情報」でなければ、個人情報にはなりません。例えば、会社に関する情報は、個人情報にはなりません。ただし、例えば「××株式会社の○○○○社長」の情報は、××株式会社に所属する「○○○○社長」という個人に関する情報という面を持っていますから、その限りで個人情報になります。
また、ここでいう「個人」には、日本人だけではなく外国人も含まれます。例えば、外国人研修生・技能実習生の情報も、個人情報になります。
(2) 「生きている個人」に関する情報であること
生きている人の情報でなければ、個人情報にはなりません。ですから、亡くなった人の情報や、架空の人の情報は、個人情報にはなりません。ただし、亡くなった人の情報は、生きている遺族の情報として「個人情報」となることがあります。
(3) 「特定の人のものだとわかる」情報であること
ア その情報の中に含まれる内容だけで「特定の人のものだとわかる」場合
「特定の人のものだとわかる」というのは、言い換えると、ある情報があったとして、その情報と具体的な人物とを結びつけることができるということです。「特定の人のものだとわかる」か否かは、一般の人を基準にして考えます。例えば、氏名がわかれば、普通はどの人のことを指しているかわかるでしょうから、氏名は「特定の人のものだとわかる」ものと考えられています。氏名が含まれている情報は、個人情報です。
ただし、個人情報になるためには、氏名がわかることが常に必要という訳ではありません。情報の中に氏名が含まれていなくても、一般の人を基準として、情報を具体的な人物と結びつけることができるようなものがあればいいわけです。ですから、例えば顔写真(ただし、画質が悪くて顔がよくわからないようなものは除きます。)も、「特定の人のものだとわかる」ものと考えられています。あるいは、運転免許証番号、パスポート番号のような公的な番号なども、個人情報保護法上、それだけで「特定の人のものだとわかる」ものとされています(このような、それだけで特定の人のものだとわかるものとされた番号などのことを、「個人識別符号」(個人情報保護法2条2項)といいます。)。これらが含まれている情報も、個人情報です。
なお、「氏名は個人情報だ」と言われるのを耳にすることがあるかもしれませんが、これには注意が必要です。既に述べたとおり、氏名は「特定の人のものだとわかる」ものと考えられていますから、単にそれだけでも個人情報になります。これに対して、ある情報が氏名を含んでいる場合に、それが「個人情報だ」と言われるときは、氏名という「特定の人のものだとわかる」ものだけを指して「個人情報」と言っている訳ではなく、氏名を含む情報全体を「個人情報」と言っているのです。このことは、氏名以外についても同じで、「氏名、顔写真、運転免許証番号などが含まれている情報は個人情報である」と解説しているのは、そのような意味です。
イ 他の情報と簡単に突き合わせられることによって特定の人のものだとわかる場合
上記「ア」で述べたのは、その情報の中に含まれる内容だけで特定の人のものだとわかる場合のことです。さらに、その情報の中に含まれる内容だけでは特定の人のものだとわからなくても、他の情報と簡単に突き合わせられることによって特定の人のものだとわかることになる場合は、個人情報保護法上、「特定の人のものだとわかる」ことになるとされています。
例えば、ある事業者のところに、従業員番号は書かれているものの、氏名が書かれていない書類があったとします。その場合、普通はその書類だけでは「特定の人のものだとわかる」ことにはならないでしょう。
しかし、従業員の従業員番号、氏名などが記載された従業員名簿が別にあって、その事業者が、通常の業務での一般的な方法で、その書類と従業員名簿とを突き合わせられるのであれば、その書類に書かれた従業員が誰であるかを特定することができます。このような場合、「特定の人のものだとわかる」ものとして、その書類も個人情報になります。
3.マイナンバーと個人情報保護法
上記「2」の「(3)」の「ア」において、運転免許証番号やパスポート番号などは、個人情報保護法上、それだけで「特定の人のものだとわかる」もの(個人識別符号)とされており、それを含む情報は個人情報になると解説しました。このことの関係でいえば、昨年(平成27年)10月から通知が開始され、既に皆さんの下に届いているであろうマイナンバー(個人番号)も、個人情報保護法上、個人識別符号とされており、マイナンバーを含む情報も個人情報になります。
しかし、マイナンバーについては、個人情報保護法とは別の法律(行政手続における特定の個人を識別するための番号の利用等に関する法律。通称「マイナンバー法」)が、その取扱いのルールを定めています。既に述べたとおり、マイナンバーを含む情報も個人情報ですので、個人情報保護法が適用される場面もありますが、マイナンバーを含む情報は、マイナンバー法で「特定個人情報」と定義されており、基本的にはマイナンバー法が適用されることになります。マイナンバー法は、事業者に対して、特定個人情報を一般の個人情報よりさらに慎重に取り扱うことを求めています。
この「個人情報保護法の基礎知識」のコラムでは、マイナンバー法については詳しく触れませんが、マイナンバーを含む情報の取扱いにも十分注意しましょう。
当該コンテンツは、担当コンサルタントの分析・調査に基づき作成されております。
公開日