個人情報とは?【基礎知識】具体例や要件、個人情報保護法について解説
全国20拠点以上!安心の全国対応
記事目次
近年、個人情報の保護の必要性が高まっています。
個人情報保護法は、個人のプライバシーを保護するための重要な法律です。
この法律の遵守により、個人情報が不適切に収集、使用、または開示されることを防ぐことができます。
しかし、個人情報の保護の必要性は感じつつも、具体的にどのような対策を取ればいいかわからない、という方もいらっしゃるのではないでしょうか。
今回は個人情報保護法の基礎知識、具体例や要件等について解説解説します。
個人情報とは?
「個人情報」とは、個人情報保護法では、生存する個人に関する情報であって、次のいずれかに該当するものをいう、とされています。
(1) 情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
(2) 個人識別符号が含まれるもの(詳細は後述)
また、「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報をいいます。これには、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない、とされています。
個人情報に該当するものの具体例
個人情報の具体例として、以下のようなものが該当します。
- 本人の氏名
- 生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報
- 防犯カメラに記録された情報等、本人が判別できる映像情報
- 本人の氏名が含まれる等の理由により、特定の個人を識別できる音声録音情報
- 特定の個人を識別できるメールアドレス
上記のうち、以下で主要なものをいくつか解説します。
1.本人の氏名
氏名は、それ自体のみで個人情報に該当します。
この点、本人と同姓同名の人が存在する可能性もありますが、氏名のみであっても、社会通念上、特定の個人を識別することができるものと考えられますので、やはり氏名のみで個人情報に該当すると考えられています。
なお、オンラインゲーム等における「ニックネーム」及び「 ID 」は、これが公開されていても、通常は特定の個人を識別することはできないため、原則として個人情報には該当しません。
ただし、「ニックネーム」又は「 ID 」を自ら保有する他の情報と容易に照合することにより特定の個人を識別できる可能性があり、そのような場合には個人情報に該当し得ます。
また、例外的にニックネームや ID から特定の個人が識別できる場合(有名なニックネーム等)には、個人情報に該当します。
2.住所や電話番号
住所や電話番号だけで個人情報に該当するかについては、個別の事例ごとに判断することになりますが、他の情報と容易に照合することにより特定の個人を識別することができる場合、当該情報とあわせて全体として個人情報に該当することがあります。
3.メールアドレス
メールアドレスのユーザー名及びドメイン名から特定の個人を識別することができる場合(例: tanaka_ichiro@example.com )、当該メールアドレスは、それ自体が単独で、個人情報に該当します。
これ以外の場合、個別の事例ごとに判断することになりますが、住所や電話番号と同様に、他の情報と容易に照合することにより特定の個人を識別することができる場合、当該情報とあわせて全体として個人情報に該当することがあります。
個人情報と要配慮個人情報の違い
「要配慮個人情報」とは、個人情報のうち、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいいます。
つまり、個人のプライバシー保護の観点から、個人情報のうち、不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するような情報が要配慮個人情報となる、という関係にあります。
要配慮個人情報の具体例
要配慮個人情報の具体例としては、以下のような情報があります。
- 人種
- 信条
- 社会的身分
- 病歴
- 犯罪の経歴
- 犯罪の被害にあった事実
- 身体障害・知的障害・精神障害(発達障害を含む)等の心身の障害があること
- 検査や健康診断等の結果
- 医師等から心身の状態の改善のための指導又は診療若しくは調剤が行われたこと
- 逮捕・差押えなどの刑事事件に関する手続が行われたこと(犯罪の経歴を除く)
- 少年の保護事件に関する手続が行われたこと。
個人情報と個人情報データベース等の違い
「個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物をいいます。つまり、個々の個人情報があり、これらを容易に検索できるようなデータベース自体が、個人情報データベース等になる、という関係にあります。
ただし、次の(1)から(3)までのいずれにも該当するものは、利用方法からみて個人の権利利益を害するおそれが少ないため、個人情報データベース等には該当しない、とされています。
(1)不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。
(2)不特定かつ多数の者により随時に購入することができ、又はできたものであること。
(3)生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。
個人情報と個人データの違い
「個人データ」とは、個人情報データベース等を構成する個人情報をいいます。つまり、前述のとおり、検索可能な個人情報の集合体を個人情報データベース等といい、個人情報データベース等を構成する個々のデータが、個人データにあたる、という関係性にあります。
ただし、「個人情報と個人情報データベース等の違い」で述べたとおり、利用方法からみて個人の権利利益を害するおそれが少ないために個人情報データベース等から除かれているものを構成する個人情報は、個人データに該当しない、とされています。
個人情報と保有個人データの違い
「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データをいいます。
また、「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者のうち、行政機関等を除いた者をいいます。
つまり、個人情報の集合体を個人情報データベース等といい、個人情報データベース等を構成する個々のデータが個人データにあたるところ、個人データのうち、個人情報取扱事業者が取り扱う権限のあるデータを保有個人データという、という関係にあります。
ただし、当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるものや、違法又は不当な行為を助長し、又は誘発するおそれがあるものは、個人情報取扱事業者が開示等を行うことが適切ではないため、保有個人データの対象から除かれています。
個人情報の要件
前述のとおり、「個人情報」とは、個人情報保護法では、生存する個人に関する情報であって、次のいずれかに該当するものをいう、とされています。
(1) 情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
(2) 個人識別符号が含まれるもの
以下では、上記の個人情報の定義を構成する各要件の該当性について解説します。
生存する個人に関する情報であること
文字どおり、個人情報の「個人」が現に生存する個人であることが必要になります。
言い換えると、死者に関する情報については保護の対象とはなりません。
ただし、死者に関する情報が、同時に生存する遺族などに関する情報である場合は、その遺族などに関する個人情報となります。
例えば、死者の家族関係に関する情報は、死者に関する情報であると同時に、生存する遺族に関する情報である場合があるので、当該使者の情報が生存する遺族たる個人を特定できる情報であれば、その情報は個人情報になる、ということになります。
なお、生存する個人と死者に関する情報を一体的に管理しているような場合においては、死者の情報についても漏えい等しないように適切に管理することは、望ましい取組みと考えられています。
特定の個人を識別できる情報であること
特定の個人を識別できる情報とは、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものの他、他の情報と容易に照合することができ、それにより特定の個人を識別することができるものも含みます。
他の情報と容易に照合することができるとは、個々の実態に即して個々の事例ごとに判断されるべきですが、一般的には、通常の業務における一般的な方法で、他の情報と容易に照合することができる状態をいいます。
例えば、他の事業者への照会を要する場合等であって照合が困難な状態は、一般に、容易に照合することができない状態であると解されます。
対して、例えば、特定の個人を識別することができる情報に割り当てられている顧客 ID等について、それ自体は特定の個人を識別できないとしても、事業者内部において、他の情報と紐づけると特定の個人が識別できる場合は、他の情報と容易に照合することができる場合にあたる、と考えられています。
個人識別符号が含まれる情報であること
「個人識別符号」とは、その情報単体から特定の個人を識別できるものとして、別途定められた文字、番号、記号その他の符号をいい、これに該当するものが含まれる情報は個人情報となります。
具体的な内容は、法令に詳細な規定がありますが、例えば以下のような情報をいいます。
- 健康保険に関する被保険者等記号、番号等
- パスポートの番号
- (外国人の場合)在留カードの番号
- マイナンバー
- DNAを構成する塩基の配列
- 指紋又は掌紋
個人情報を取り扱う際のルール
個人情報保護法には、個人情報を取り扱う際に遵守すべき様々な規定が定められています。以下では、当該規定のうち、主要なルールを記載します。
個人情報の利用目的の特定
個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならないとされています。
具体的には、個人から取得する個人情報について、「○○の目的で取得します」ということを、特定して当該個人に通知または公表する必要があります。
また、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならないとされています。
個人情報の第三者提供の制限
個人情報取扱事業者は、法令に基づく場合や人の生命、身体又は財産の保護のために必要がある場合等以外は、あらかじめ本人の同意を得ないで、個人情報を第三者に提供してはならないとされています。
例えば、取得している個人情報を第三者に売却するような場合は、原則として当該個人の同意が必要になります。
ただし、業務委託の場合やグループ会社で共有するような場合には、例外的に同意が不要になる場合もあります。
個人情報の保管・管理
個人情報取扱事業者は、個人情報の漏えい等が生じないように、安全に管理するために必要な措置を講じなければならないとされています。
また、漏えい等又はそのおそれのある事案が発覚した場合は、漏えい等事案の内容等に応じて、事実関係の調査や、個人情報保護委員会への報告及び本人への通知等の必要な措置を講じなければならないとされています。
要配慮個人情報の取得の際の同意
上述のとおり、個人情報の中には、他人に公開されることで、本人が不当な差別や偏見などの不利益を被らないようにその取扱いに特に配慮すべき情報があり、このような「要配慮個人情報」の取得には、原則としてあらかじめ本人の同意が必要とされています。
個人情報の利用制限
取得した個人情報は、その利用目的の範囲内でのみ利用でき、個人情報取扱事業者がその範囲を超えて利用する場合には、あらかじめ本人の同意が必要とされています。
また、個人情報の取得者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならないとされています。
個人情報の利用停止等
個人情報取扱事業者は、本人からの要求があった場合、個人情報の利用停止等を行わなければならないとされています。
具体的には、特定個人から、個人情報の開示を求められた場合には、個人情報保護法で定められた開示の義務がある場合に限り、本人からの請求であることを確認の上で、遅滞なく個人情報の開示を行う必要があります。
また、個人情報の利用停止又は消去を求められた場合で、個人情報保護法で定められた条件に該当する場合には、本人からの請求であることを確認の上で、遅滞なく必要な調査を行い、その結果に基づき、個人情報の利用停止又は消去を行い、その旨を通知する必要があります。
個人情報の取扱いの委託
個人情報取扱事業者は、個人情報の取扱いを他の事業者等に委託する場合は、必要かつ適切な監督を行わなければならないとされています。
具体的には、業務委託先の業者が個人情報取扱いについて適格性を有しているかを審査し、十分な保護水準を持っていることを確認する必要があります。
また、適切な業務委託契約書等を締結し、委託先に対して、個人情報を適切に管理する義務等を課す必要があります。
苦情の処理
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならないとされています。
また、個人情報取扱事業者は、当該迅速な処理を行うためには目的を達成するために必要な体制の整備に努めなければならないとされています。
具体的には、苦情受付の窓口を設置し、その連絡先等を公表しておく必要があります。
個人情報の訂正等の義務
個人情報取扱事業者は、個人情報について訂正、追加又は削除を求められた場合で、当該個人情報の内容が事実でないときその他個人情報保護法の規定で定められた場合には、本人からの請求であることを確認の上で、調査の上で個人情報の訂正等を行い、その旨を通知する必要があります。
また、個人情報が個人情報保護法の規定に違反して、第三者に提供されているときは、当該個人は個人情報取扱事業者に対して、個人情報の第三者への提供の停止を請求することができます。
個人情報保護法に違反した際の罰則
個人情報保護法に違反した場合には、以下のように、刑事責任、民事責任、及び法律とは別に社会責任を負う可能性があります。
刑事責任
個人情報保護法に違反した場合、違反者には刑事罰が科されます。
例えば、個人情報保護委員会の命令に違反した場合、違反者には「1年以下の懲役または100万円以下の罰金」が科される可能性があります。
また、個人情報を不正な利益目的で提供したり盗用したりした場合、違反者には「1年以下の懲役または50万円以下の罰金」が科される可能性があります。
民事責任
個人情報保護法違反により被害を受けた者は、違反者に対して損害賠償を請求することができます。
具体的な賠償金額は、被害の状況や規模によりますが、不法行為に基づく損害賠償請求については、「被害者が情報漏洩被害を知ったときから3年間」または「情報漏洩被害があったときから20年間」のいずれか早い時期に時効になります。
社会責任
個人情報の取り扱いを誤ると、法的な制裁だけでなく、社会的な信頼を失い、ビジネス継続すら危ぶまれることも考えられます。
企業のレピュテーションはその信頼性に大きく依存しており、個人情報の適切な管理はその一部です。
適切な情報管理がなされていないと、企業の評価が下がり、結果的にビジネスに悪影響を及ぼす可能性があります
まとめ
今回は、今回は個人情報保護法の基礎知識、具体例や要件等について解説しました。
個人情報保護法は、条文だけでなく、具体的な事業内容やケースにより遵守するべき規定が異なるので、個々の対応が必須になります。
東京スタートアップ法律事務所では、豊富な企業法務の経験に基づいて、お客様の会社の状況に合った個人情報保護法についてのご相談に対応しております。
また、個人情報保護法のついてのご相談以外にも、プライバシーポリシーの作成など、全面的なサポートが可能です。
個人情報保護法の対応等をはじめとする相談等がございましたら、お気軽にご連絡いただければと思います。
- 得意分野
- 企業法務、会計・内部統制コンサルティングなど
- プロフィール
- 青森県出身 早稲田大学商学部 卒業 公認会計士試験 合格 有限責任監査法人トーマツ 入所 早稲田大学大学院法務研究科 修了 司法試験 合格(租税法選択) 都内法律事務所 入所 東京スタートアップ法律事務所 入所
