「個人情報」の定義改正
平成27年に個人情報保護法が大改正され、平成29年5月30日から施行されています。改正された個人情報保護法では、これまで適用除外とされていた小規模事業者(保有する個人情報5000件以下)も対象になりました。しかし、改正前の個人情報保護法は積極的に個人データを利活用していた事業者、主に大企業が対象だったため、「どう対処したらよいかわからない」という中小・小規模事業者が多いのが実態です。
そこで本連載では、個人情報保護法の基礎知識や個人情報との付き合い方をお伝えします。第1回は、個人情報の「定義」が改正後にどのように変わったのか、詳しく説明しましょう。
「個人情報」の定義変更、新たに導入された「個人識別符号」とは?
個人情報の定義の変更は、グレーゾーンを解消することが目的だとされています。しかし、法のギリギリを突くような利活用を目指していなかった中小・小規模事業者は、「グレーゾーン」といわれてもピンとこないのではないでしょうか。昨今は、行動履歴や購買履歴等のビッグデータが活用される機会が増えましたが、どの範囲の情報を個人情報として取り扱えばよいのかは不明瞭でした。はっきりさせてほしいという事業者側の要望もあり、個人情報保護法改正に至りました。
そもそも「個人情報」とは、何を指しているのでしょうか。具体的には、生存する個人に関する情報のことで、次の(1)(2)いずれかに該当するものが「個人情報」とされています(法2条1項)。
(1)「当該情報に含まれる氏名、生年月日その他の記述等(※)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」(法2条1項1号)
※文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。法2条第 2 号において同じ。)で作られる記録をいう。第 18 条第 2 項において同じ。)に記載され、若しくは記録され、又は音声、動作その 他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。
こちらは、改正前の個人情報の定義とほぼ同じです。「氏名、生年月日」が個人情報だと誤解されやすいのですが、例えば、生年月日単独では特定の個人は識別できず、他の情報と照合することで「特定の個人を識別することができるもの」の例でしかありません。
顧客情報や従業員情報に紐付いた情報は、“他の情報と容易に照合できる”という観点から、すべて個人情報として管理することが安全です。社内で集計や分析を行う際に、氏名等をマスキングして作業することはセキュリティ上適切な措置ではありますが、容易照合性は残っているので、個人情報でなくなるわけではありません。取り扱いには十分注意してください。
(2)「個人識別符号が含まれるもの」(法2条1項2号)
改正法では、新たに「個人識別符号」を個人情報であると定めました。これは、マイナンバーや基礎年金番号など、一部の符号等を“単体で”個人情報であると規定するものです。
「個人識別符号」とは何か?
個人識別符号には、「一号個人識別符号」と「二号個人識別符号」の二類型あります。
一号個人識別符号は、「…身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号…」(法2条2項1号、政令1条1号、一号個人識別符号)と定義されています。二号個人識別符号は、旅券番号、基礎年金番号等、今のところは公的な身分証明書等の番号(法2条2項2号、政令1条2号から7号、二号個人識別符号)を指しており、いずれも政令で具体的に指定されています。
事業者が二号個人識別符号を取得するのは、会員カードを作る際の本人確認で、免許証をコピーするような場面です。公的な身分証明書の番号は、今でも個人情報として取り扱い、厳重に管理しているでしょう。
問題は一号個人識別符号です。顔貌(顔の特徴、政令1条1号ロ)、指紋(同ト)等をコンピュータで読めるようにしたデータが該当しますが、個人識別符号として認識されていない場合があります。
例えば、顔識別機能を有したカメラによる人流解析や指紋ロックを導入した場合、内部的には一号個人識別符号を利用していることがあり得るのです。ベンダーのソリューションを導入したとしても、個人情報の管理について責任をもつのは、あくまで導入した事業者ですので、注意しましょう。
個人識別符号に該当する情報は、どのような処理がなされ、どのように保管され、誰がアクセスするのかを自分自身の問題として把握することが必要です。それなしでは、適切な個人情報の管理をしたことにはなりません。
結局、個人情報の定義変更は「明確化」なのか「拡張」なのか?
個人情報の定義は、改正によって対象が拡張されたような印象を受けます。しかし、実際は「拡張」されたのではなく「明確化」されたに過ぎないと説明されています。そうすると、個人識別符号についても新たに個人情報になったわけではないということです。
政令で指定された一号・二号個人識別符号を、単体で個人情報として取り扱ってこなかった事業者も多いかもしれません。これを期に「個人情報とは何か?」を正しく知り、社内で取り扱う個人情報の棚卸しをすることをおすすめします。
お問い合わせやご相談はこちら
サービスについて詳しくお知りになりたい場合は、メールまたはお電話でご依頼ください。
メールマガジン登録
閉じる
Biz Solution by docomoでご紹介するお客さまの声や最新モバイル活用事例など最新記事をご案内いたします。
- ※ メールマガジンを登録いただく際、「個人情報の利用目的」を読んで同意される場合のみ、「同意して登録する」ボタンを押し、登録へお進みください。
お問い合わせ
閉じる
法人向けサービスに関するお問い合わせ、お申込みを承っております。
法人向けサービスに関係のないご質問・ご意見の場合、お答えできないことがありますのでご了承ください。
- ※ 回答につきましては、平日午前10時~午後5時(土・日・祝日・年末年始を除く)に対応しております。なお、法人営業担当による営業訪問希望の場合は、その旨ご記載ください。追って担当者よりご連絡いたします。
- ※ お客さま所在地の地域およびご注文内容によっては、お電話・メールでご連絡する場合やドコモショップへの来店をお願いする場合がございますので、あらかじめご了承ください。
- ※ ドコモビジネスオンラインのお問い合わせフォームにリンクします。