2023年9月7日
当機構では日々、事業者の皆様に個人情報保護に関するアドバイスや研修を行っております。
様々な企業の多様な立場の方とお話しておりますが、個人情報保護法における個人情報の定義をはじめから正確に理解されている方は決して多くはありません。
そこで今回のブログでは、個人情報保護法における個人情報の定義についてあらためて確認いたします。
しかし日本の個人情報保護法で定義された個人情報の範囲はEU等と比べて狭く、また消費者保護の観点からは、法令を守るだけでは不十分であるという見解も広がりつつあります。そのような動向についてもご説明します。
※個人情報保護法に関しては以下を参照しておりますが、実務対応におかれましては法令等を必ず直接ご確認ください。
・個人情報の保護に関する法律についてのガイドライン(通則編)(以下、ガイドラインと表記)
・「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A(以下、Q&Aと表記)
個人情報の定義についてのもっともよくある誤解は、氏名、性別、生年月日、住所等だけが個人情報であるというものだと思われます。
個人情報保護法における個人情報の定義は以下となっています(一部省略、太字化はJPACにて)。
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(略)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
※個人識別符号とはその情報単体から特定の個人を識別できる文字、番号、記号その他の符号で政令で定められた以下のようなもの。
・生体情報を変換した符号として、DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋等
・公的な番号として、パスポート番号、基礎年金番号、免許証番号、マイナンバー、各種保険証等
この通り、氏名や生年月日等はあくまで一例としてあげられているものであり、個人情報の定義の骨子は、特定の個人を識別することができる情報ということです。
そしてかっこ書きにある通り、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる情報も含まれます。
つまり、ある情報単体では個人を特定出来なくても、他の情報と組み合わせることによって特定の個人が識別できれば、組み合わせによって個人情報になるということです。
裏を返せば、ある情報が特定の個人を識別できず、他の情報と組み合わせることもできない場合は、個人情報には該当しないということになります。
以上の定義を踏まえて、個人情報保護法のガイドラインに記載されている個人情報の事例を確認したいと思います。
本人の氏名については、本人と同姓同名の人が存在する可能性もありますが、社会通念上、特定の個人を識別することができるものと考えられますので、個人情報に該当すると考えられます(Q&A Q1-2)。
会社における職位等、個々の情報だけでは特定の個人を識別することができない場合もありますが、本人の氏名等、他の情報と組み合わされることで特定の個人の識別が可能になります。
特定の個人が識別できる情報であれば映像や音声も個人情報に該当します。
事例3と同様、特定の個人が識別できる情報であれば映像や音声も個人情報に該当します。
kojin_ichiro@example.com 等のようにメールアドレスだけの情報の場合であっても、example社に所属するコジンイチロウのメールアドレスであることが分かるような場合等が事例としてあげられています。
反対に、メールアドレスであっても、anonymous@—.com(ドメインはフリーメールのドメイン)のように特定の個人を識別できない場合は個人情報には該当しないと考えられます。
取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、又は照合された結果、生存する特定の個人を識別できる場合は、その時点で個人情報に該当するという事例があげられています。
例えばWEBサイトの閲覧履歴や商品の購買履歴等は、そういった情報のみですと誰の情報か分からないことが多いかと思いますが、氏名等の個人情報に付加されることで、組み合わせによって個人情報となりえます。
官報、電話帳、職員録、法定開示書類(有価証券報告書等)、新聞、ホームページ、SNS(ソーシャル・ネットワーク・サービス)等で公にされている特定の個人を識別できる情報が事例としてあげられています。
誤解されやすいポイントになるかと思いますが、公にされている情報であっても、特定の個人を識別できる情報は個人情報に該当します。
以上確認してきた通り、ある情報単体では特定の個人が識別できなくても、他の情報と組み合わせることによって特定の個人が識別できる場合は、個人情報に該当します。
しかし事例ではあげられていませんでしたが、実務上は、例えば「ID+氏名+性別+生年月日」のデータベースと、「ID+WEBの閲覧履歴+購買履歴」のデータベースのように、DBが分かれていることも多いかと思います。
このような場合には「他の情報と容易に照合することができる」状態にあるのかどうかの判断が必要になります。
他の情報と容易に照合することができるとは、「通常の業務における一般的な方法で、他の情報と容易に照合することができる状態」であるとされています(ガイドライン 2-1 個人情報)。
他の情報と容易に照合することができる状態の例としては、
「共通のID等が割り当てられていて、事業者内で照合が可能な場合」が考えられるとされています(Q&A Q1-19)。
他の情報と容易に照合することができない状態の例としては、
「他の事業者への照会を要する場合等であって照合が困難な状態」(ガイドライン 2-1 個人情報)や
「事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合において、双方の取扱部門やこれらを統括すべき立場の者等が、規程上・運用上、双方のデータベースを取り扱うことが厳格に禁止されていて、特別の費用や手間をかけることなく、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができない状態である場合」が考えられるとされています(Q&A Q1-18)。
以上のことから、データの取得と管理の方法によっては、例えばWEBの閲覧履歴や購買履歴等の情報は個人情報に該当しないという整理もありえるかと思います。
しかしそういった整理は、消費者保護等の観点ではリスクが残ると言えます。
WEBの技術の進歩により、WEBサービスやアプリケーションのバックグラウンドで、様々な情報を収集することが可能になっています。
代表的な例としてはWEBの閲覧履歴や購買履歴、位置情報等になるかと思いますが、それらはビジネスにおいては非常に有益な情報であり、様々な活用方法が模索されているのではないでしょうか。
一方でこういった情報は、個人情報保護法においては、保護の対象である個人情報には含まれない場合もありえました。
しかし近年、状況が変わりつつあります。
WEBの閲覧履歴や購買履歴、位置情報等の取得、分析、あるいは外部への送信等に関して、新たな法規制が生まれています。
個人情報保護法においては令和2年の改正によって、個人情報等以外の生存する個人に関する情報が包含される「個人関連情報」という定義が設置され、その第三者提供の制限が導入されました。
また、WEBの閲覧履歴や購買履歴等の情報の取得・分析について、ガイドラインにおいて利用目的の特定の事例が追加されています。
他方、電気通信事業法が改正され、電気通信事業を営む者については、個人情報に限らず、利用者に関する情報を外部に送信する際は、その内容等を通知等しなければならないという規定が導入されました(外部送信規律)。
※個人関連情報の第三者提供の制限、外部送信規律については当機構ブログ別記事をご覧ください。
このように、法律によって保護される情報の範囲は少しづつ広がりつつあります。
このように新たな規制が追加されてはいますが、個人情報保護法における個人情報の定義は、個人情報保護に先進的な国や地域に比べて狭いままになっています。
例えば、EUのEU一般データ保護規則(General Data Protection Regulation; GDPR)において日本の個人情報に相当するPersonal Dataの定義は「個人を識別できる可能性のある情報」とされています。
そのため、WEBの閲覧履歴や購買履歴、位置情報等も個人情報に含まれます。また国際標準規格における定義もほぼ同等となっています。
国境を超えた個人情報の移転をスムーズにするためには保護の水準を同程度に保つ必要があります。恐らく、日本の法規制においては保護の対象となる情報の範囲が今度も拡大することになるかと思われます。
法規制の強化と並行して、法令遵守にとどまらない、プライバシーに対するガバナンスが求められています。
個人情報保護法を守っていても、本人への差別、不利益、不安を与えるとの点から批判を避けきれず、いわゆる炎上等が発生し、問題として顕在化するケースが見られます。
そのような状況をふまえて、総務省、経産省は2020年に「DX時代における企業のプライバシーガバナンスガイドブック」を公開しました。
法令ではありませんが、政府からこのようなガイドブックが公表されたことには注意する必要があります。技術の進歩と法規制の変化が激しい現在、こういった資料も参照するべきだと言えるでしょう。
ガイドブックでは、技術革新とともにプライバシー保護の観点で考慮すべき範囲が拡大しており、法令遵守だけでは配慮が不十分であるとの考え方が示されています。
個人情報保護法における個人情報の定義に従えば、WEBサイトやアプリケーションのバックグラウンドで収集する情報は、保護の対象と整理しないで済む場合もあるかもしれません。
しかしプライバシー保護の観点からは、それらの情報も含めて考慮する必要があるのではないかと思われます。
個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。