20130612150334-32S
個人情報、個人情報と言われますが、正式な定義は何なんでしょうか?どこまで含まれるのでしょうか?今回は間違いやすいこのポイントについて解説いたします。

個人情報保護法では、個人情報の定義を下記の通り定めています。

「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。(第2条)

この定義の中から修飾語を取り除き、一番重要な部分だけ取り出すとこうなります。

「個人情報」とは、生存する個人に関する情報であって、特定の個人を識別できるもの。


つまり、A)特定の個人に関する情報であって、B)それが誰であるかが明確である場合は個人情報と言えましょう。

ですから、個人情報の例としては、下記のようなものがあげられます。

 1.氏名
 2.「tanaka.taro@abc-shoji.co.jp」のように所属団体と氏名から本人を特定できるメールアドレス
 3.個人を識別できる写真、ビデオ画像、電話録音など
 4.従業員の評価情報
 5.インターネット、官報、電話帳などで公開されている個人に関する情報
 6.氏名と関連付けられている全ての情報

ここまでは、従来からの定義として、様々な書籍やネット上の解説でどこにでも載っているものだと思います。ただし、最近、特に上記の例の最後にあげた「6.氏名と関連付けられている全ての情報」という部分に関して、いろいろと誤解や議論があるようですので、ここではっきりしておきたいと思います。

例えば、下記の様なコンビニの売上データがあるとします。(あくまで例です)

2015年7月12日13時56分
鮭にぎり 120円
烏龍茶 150円
日経新聞 170円

これは一人のお客さんが買っていた売上情報になりますので、A)特定の個人に関する情報の条件を満たします。しかし、現金で購入した場合には誰か分からないため、B)それが誰であるかが明確でなく、個人情報とはなりません。

しかし、このコンビニでは、ある大手のポイントカードに加盟していて、お客様にポイントカードの利用を推奨していました。そのために、売上データの最後にポイントカードの作成時に登録した名前が入っていたとします。

2015年7月12日13時56分
鮭にぎり 120円
烏龍茶 150円
日経新聞 170円
(山田太郎さん)

こうなると、A)特定の個人に関する情報であって、B)それが誰であるかが明確であるので、この売上データ全体は個人情報となります。ここで間違えてほしくないのは「名前」だけが個人情報なのではなくて、先ほどまでは個人情報ではなかった「鮭にぎり 120円」という部分も個人情報になるのです。

では、ポイントカードのシステム上、お店では番号しか分からず、名前は分からないようになっていた場合はどうでしょうか?

2015年7月12日13時56分
鮭にぎり 120円
烏龍茶 150円
日経新聞 170円
(ポイントカードID 9181761152727291)

このような場合には、お店としてはどこの誰か分かりませんので、お店としては個人情報にはなりません。しかし、ポイントカードのシステムを管理している会社としてはどうでしょうか?当然ながら「ポイントカードID9181761152727291=山田太郎さん」だと分かるデータベースシステムを持っています。そうすると、個人情報保護法第2条の条件にあるC)他の情報と容易に照合することにより特定の個人を識別できるという条件に当てはまりますので、この会社としては個人情報になります。

すなわち、氏名や住所だけが個人情報であるとお考えであるとしたら、それは間違いです。どんな些細な購入データであったとしても、個人情報に当たる場合がありますし、またそれが個人情報にあたるかどうかは、自社の保有するシステムによって変わってきます。同じデータであっても、A社にとっては個人情報でなくても、B社にとっては個人情報であることもあります。

以上、個人情報保護法での個人情報の定義について解説いたしました。
参考にしていただければと思います。





●週に一回程度、更新情報をお届けします。
こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)