どこまでが個人情報に該当する?
新聞やテレビでは、しばしば個人情報の漏えいや紛失、悪用に関するニュースが報じられます。情報化社会に生きる私たちにとって、個人情報の保護は極めて重要です。個人情報とは具体的に何を指すのか見ていきます。
個人情報保護法における定義
個人情報に関する定義やルールは「個人情報保護法」に基づきます。個人情報は「生きている個人に関する情報」であり、以下のいずれかに当てはまるものです。
●単体で、特定の個人を識別できるもの
●他の情報との照合によって、特定の個人を識別できるもの
●個人識別符号が含まれるもの
個人情報保護法は、個人の権利や利益を守るために制定された法律で、正式名称を「個人情報の保護に関する法律」といいます。個人情報の取り扱いに際し、PTAや自治会を含む全ての組織や事業者は、この法律を順守しなければなりません。
出典:個人情報の保護に関する法律 第1章 第2条|e-Gov法令検索
個人情報の具体例
氏名や社名を含んだメールアドレス、防犯カメラに記録された鮮明な顔画像などは、それだけで個人を特定できるため、個人情報に当たります。
生年月日・住所・電話番号・職業などは、それだけを知っていても個人の特定はできません。しかし、他の情報とのひも付けによって個人が特定できるため、個人情報に該当します。
「個人識別符号」とは、「単体で個人の特定が可能」として、政令・規則で定められた文字・番号・記号・符号のことです。具体的には、以下のようなものを指します。
●体の特徴に関するもの(顔認証データ・虹彩・声紋・手指の静脈・DNAなど)
●個々に割り振られた公的な番号(マイナンバー・基礎年金番号など)
このように、個人を特定できるもの、あるいは他の情報と合わせると個人が分かってしまうものが個人情報です。
要配慮個人情報の扱いには注意が必要
数ある情報の中には、取り扱いに特別な配慮を必要とする「要配慮個人情報(ようはいりょこじんじょうほう)」が含まれます。要配慮とされる理由や取得・取り扱い時の注意点を解説します。
本人の同意がなければ取得できない
「要配慮個人情報」とは、他者に知られることで、本人が差別や偏見などを受ける可能性がある個人情報を指します。
一般的な個人情報は、本人の同意がなくても取得できますが、要配慮個人情報は一部の例外を除き、本人の同意を必要とするのが原則です。
万が一、要配慮個人情報が含まれるデータが漏えいした場合、データを管理している組織・団体・事業者は、個人情報保護委員会への報告と、本人への通知を行う必要があります。
要配慮個人情報の具体例
犯罪の経歴や犯罪の被害にあった事実は、本人にとって公にしたくない情報です。好奇な目で見られたり、就職・転職で不利になったりする可能性があるでしょう。そのほか、以下のような情報が要配慮個人情報に該当します。
●人種
●信条
●社会的身分(学歴や職業は除く)
●病歴
●身体障害・知的障害・精神障害の有無
●健康診断の結果や保健指導、調剤などに関する情報
「あの人の肌の色は〇〇だから、〇〇人かもしれない」「〇〇宗教の本を購入したから、〇〇の信者かもしれない」など、ある事実を推測させるような手掛かりを「推知情報(すいちじょうほう)」と呼びます。通常、推知情報は要配慮個人情報とは見なされません。
覚えておきたい個人情報の関連用語
個人情報の関連用語として、「個人情報データベース等」や「個人データ」「仮名加工情報」があります。定義が異なれば、適用されるルールも変わってくる点に留意しましょう。
個人情報データベース等
「個人情報データベース等」とは、「個人情報を含む情報の集合物」と定義されています。デジタルかアナログかを問わず、特定の情報を検索しやすいように個人情報を整理・分類したものです。一例を見てみます。
●個人情報の検索機能が付いた電子ファイルやメールアドレス帳
●氏名・住所・企業名などを一定の規則で記した人名録
●五十音順のインデックスを付けて整理した名刺帳
整理する前の、名刺やユーザーアンケート結果は、個人情報データベース等には当たりません。
個人データ・保有個人データ
「個人データ」とは、個人情報データベース等を構成する個人情報を指します。誰でも分かる方法で整理・分類されていない場合、個人情報はまだ「個人データではない個人情報」です。
個人情報データベース等にすると、個人情報は「個人データでもある個人情報」となり、特定の情報を見つけやすくなります。そのため個人データ化する前よりも、厳しいルールが適用されるのです。
また、個人情報を事業のために利用している者は「個人情報取扱事業者」と呼ばれます。「保有個人データ」とは、個人情報取扱事業者が保有する個人データのうち、本人からの求めに応じて、開示・削除・訂正などを行えるものを指します。
仮名加工情報
「仮名加工情報」は、法令に定める基準にのっとり、個人情報に加工を加えたものです。他の情報と照合しない限り、特定の個人を識別できないのが特徴で、「氏名を仮のIDに置き換えたもの」や「個人情報に含まれる全ての個人識別符号を削除したもの」などが該当します。
第三者への受け渡しはNGですが、通常の個人情報に適用される一部のルールが適用外となります。
●利用目的の変更の制限
●漏えい時の報告および本人への通知
●開示・利用停止などの請求対応
新しい商品やサービスの開発においては、データ分析が欠かせません。仮名加工情報を使えば、比較的安全に個人データを扱い、より詳細な分析ができるのがメリットです。
個人情報の取り扱いに関する約束
個人情報の漏えいや不正利用のニュースを聞くたびに、「個人情報はきちんと管理されているの?」と不安を感じる人もいるでしょう。個人情報保護法では、全ての個人情報取扱事業者に対して、以下のようなルールを定めています。
取得・利用するとき
インターネットサービスの利用時には、ときどき「当社は個人情報を〇〇の目的で使用します」といった、プライバシーポリシーが表示されます。
個人情報の取得・利用の際は、その目的をできる限り特定した上で、公表・通知するのが原則です。当初の利用目的から外れて使用するときは、本人にあらためて同意を得る必要があります。
取得に当たっては、適切なプロセスを踏むことが求められます。違法な手段で集めた情報は、利用できないルールです。
保管・管理するとき
個人情報を保管・管理する際は、漏えいや紛失を防ぐための安全対策を講じる必要があります。具体例としては、以下のような方法が挙げられるでしょう。
●パソコンやファイルにパスワードを設定する
●セキュリティー対策ソフトウェアを活用する
●鍵付きのキャビネットや引き出しで保管する
●取り扱いのマニュアルを作成する
●担当者以外の取り扱いを禁止する
個人情報保護法では、廃棄すべき時期を定めていませんが、利用目的が達成された時点で速やかに消去するのが原則です。
第三者に提供するとき
厳格なルールの下で運用される場合に限り、第三者への提供が可能です。提供に際しては、以下のようなルールが設けられています。
●あらかじめ本人の同意を得ること
●提供する側は、いつ・誰の・どんな情報を・誰に提供したかを記録・保管する
●提供を受けた側は、いつ・誰の・どんな情報を・誰から提供されたかなどを記録・保管する
なお、人の生命・身体・財産の保護に必要で、かつ本人から同意を得るのが困難なときは、例外的に同意なしで提供できます。捜査機関から事情聴取を求められたときや、国の統計調査に協力するときも同様です。
本人より開示請求があったとき
本人から保有個人データの開示などを請求された際は、その求めに応じなければなりません。以下の項目は、いつでも本人が知り得る状態にしておくのがルールです。
●個人情報取り扱い業者の氏名(名称)や住所
●利用目的
●請求手続きの方法
●安全管理のために講じた措置
●苦情の窓口
Webサイトに掲載したり、事業所の掲示板で公表したりするのが一般的です。本人からの苦情にも迅速に対応する必要があります。
個人情報に関わる危険と対策
デジタル社会の進展に伴い、個人情報や個人データがやりとりされる機会が増えています。個人情報に関して、私たちはどのようなリスクに気をつけるべきでしょうか?
個人情報が漏えいするリスクは?
多くの人が懸念するのが、情報漏えいです。自分の個人情報が外部に流出すると、以下のような被害を受ける可能性があります。
●インターネットのアカウント乗っ取りやなりすまし
●クレジットカードなどの不正利用
●悪徳商法や特殊詐欺に狙われる
情報漏えいが生じて、個人の権利・利益を害する恐れがある場合、個人情報取扱事業者は個人情報保護委員会に報告し、かつ本人に通知しなければなりません。
もし自分の個人情報が漏えいしてしまったら、アカウントのログイン情報やパスワードの変更、クレジットカードの解約・停止といった措置が必要です。
インターネットを使った個人情報の盗難とは?
代表的な手口としては、「フィッシング詐欺」や「SNSアカウントの乗っ取り」が挙げられます。フィッシング詐欺とは、偽サイトに誘導したり、偽のメールを送ったりして、本人のクレジットカード情報や銀行口座情報を盗む手口です。
被害を防ぐためには、普段から次のように気をつける習慣が大切になります。
●個人情報の入力を促すWebサイトやメールに注意する
●誕生日や電話番号など、個人情報をSNSに載せない
●提供先が不明なアプリはインストールしない
●パスワードを解読しにくいものにし、定期的に見直す
インターネットを通じた個人情報の盗難手口は巧妙です。被害を避けるためにも、個人情報の自己管理は徹底して行う必要があります。
個人情報は慎重に取り扱おう
個人情報とは、「単体で個人を特定できるもの」「他の情報との照合で個人を特定できるもの」「個人識別符号」に大別されます。個人情報保護法では、取り扱いに関するさまざまなルールを定めており、個人情報を取り扱う組織や団体は、細心の注意を払って利用や管理を行っています。
厳格なルールがあるとはいえ、個人情報の漏えいや不正利用を完全に防ぐのは困難です。被害を最小限に防ぐためにも、プライバシーポリシーや利用規約にはしっかりと目を通し、個人情報の提供先を厳選するようにしましょう。
利用中のアカウントのIDやパスワードの管理を徹底することも、もちろん重要です。子どもが被害に遭わないよう、家族で個人情報について話し合う機会を設けるのもよいでしょう。
こちらの記事もおすすめ
構成・文/HugKum編集部
