当サイトではCookieを使用します。Cookieの使用に関する詳細は「プライバシーポリシー」をご覧ください。
OK
専門家コラム
Expert Column

日々多くの個人情報を扱う事業者様も少なくないと思いますが、個人情報保護法にいう「個人情報」とは、いったいどのようなものを指すのか、どこまで含まれるのか、といったことについてお伝えしたいと思います。

まず、個人情報保護法の第2条第1項では、以下のような規定がされています。

個人情報保護法の第2条第1項
第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
  1. 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁 的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をい う。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは 記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
  2. 個人識別符号が含まれるもの

難しくてよくわかりませんね。
4つのポイントに分けてご説明します。

ポイント①生きている個人?死者の場合は?

「生存する個人に関する情報」が保護の対象となっております。生存する個人、と言っていますので、法人格がある法人や団体等は含まない、ということですね。(ただし、法人内部の役員や従業員個人等の情報は個人情報に該当しうることとなります。)ですので、自社は完全にBtoBのサービスだから、個人情報は扱っていない、とは言い切れない場合がある、ということです。

また、死者の個人情報は保護されない、となります。ただし、生存する個人(例えば遺族等)と関連があり、「生存する個人」を識別することができる場合には、その生存する個人の個人情報になる場合がある、とされています。例えば、亡くなった人の財産に関する情報等が、生存する個人の個人情報に該当しうる、ということです。

この点、例えば個人向けのWEBサービスを提供しているような事業者の場合、その多くは利用規約等で、亡くなられた場合や一定期間連絡がつかなくなった場合にはサービスを停止する(ことができる)、といった規定を設けていることも多いと思います。事業者側では厳密には本人が亡くなったのかどうか、は分からないのが通常ですので、サービス停止後一定期間経過後に情報を削除する形を取っていると思います。ですが、その情報を保有した状態で情報が漏洩し、遺族の個人情報として保護されてしまう場合がある、ということで、遺族から損害賠償等を起こされてしまう、、、等ということも極端な例かもしれませんが、場合によっては考えられる、ということですね。

ポイント②具体的な個人情報とは?

次に、「生存する個人に関する情報であって、氏名、生年月日その他の記述等・・・により、特定の個人を識別することができるもの」、とあります。この点は、氏名、住所、生年月日、顔写真等、皆様が一般的に認識されていて最も保護しないといけない、と考えられている、いわゆる「個人情報」となります。

ポイント③個人を特定できる情報も含まれる!

さらに、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」と記載があります。
ちょっとわかりにくいですが、例えば、お客様ごとにアカウントIDを発行し、そのアカウントIDを利用してWEBサービスを提供している場合、アカウントID自体は、上記のような氏名・住所・生年月日等を直接記載していないもので、任意の番号や英数字等であることも少なくないと思います。

ただ、そのアカウントIDとは別に、そのアカウントID所有者(利用者)を特定するために、氏名・住所・生年月日・顔写真等の情報を取得し、アカウントIDとは別に事業者側が管理するのが通常かと思います。そうしますと、事業者内部において、アカウントIDと氏名・住所等の個人情報をすぐに紐づけられる形で保管・管理していれば、そのようなアカウントID(SNSやメールアドレス等)も個人情報に該当しうる、ということになります。

ポイント④DNAなどの生体情報は??

また、個人情報保護法第2条第1項第2号では、「個人識別符号が含まれるもの」とあります。
個人識別符号、については、同法第2条第2項で定義があるのですが、DNA・顔・虹彩・指紋・声紋等、個人を認証するために、身体の一部の特徴を電子計算機のために変換した符号、が該当します。
最近は銀行サービスや携帯サービス等でも広く指紋や虹彩等が使われるようになってきていますが、その情報単体で個人情報となるため、保護すべき個人情報となります。
それ以外にも、公的な番号として、旅券番号・マイナンバー・運転免許証番号・保険証番号等特定の個人を識別することができる番号として、役所等から発行されている番号も、それ自体が個人情報となります。

なお、個人情報保護法第2条第3項では、「要配慮個人情報」というものも定義されています。
要配慮個人情報とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」とされます。
一般的な民間事業者が行うサービスの中で、要配慮個人情報を取り扱うことはかなり少ないかもしれませんが、特に取り扱いを慎重に行うべき個人情報、となりますので、サービス内容(ターゲット顧客層)や業態によっては特に注意が必要となる場合があります。

ITや科学技術の進化で時代により個人情報は変化していく!

このように、時代のIT化等とあいまって、個人情報の概念も少しずつ変化し、保護される対象が広がってきている、と思います。
自社では思いもよらない情報が、個人情報に該当してしまうこととなる場合があり、近年非常に増えているサイバー攻撃等で個人情報が漏洩・流出してしまったら、その損害は際限ないものとなりえます。
まずは、自社で扱っている情報が保護すべき個人情報に該当するのかしないのか、考え方によっては個人情報に該当しうるものがあるのではないか、といった観点からも改めて点検いただき、そのリスクを少しでも軽減するための利用規約やプライバシーポリシー等の作成・改定等を一度ご検討してみてはいかがでしょうか。