個人情報の定義を改めて考える

はじめに
中小企業などでは、法務にかかる予算も限られており、社内の個人情報管理に苦戦しているご担当者様も多いのではないでしょうか。そ んなご担当者の一助となれば幸いです。それでは、個人情報の定義について考えて見たいと思います。

法律上の定義
組織内で個人情報保護対策を行う場合、何が個人情報に該当するかを真っ先に調べるのではないでしょうか。そこで必ず皆様が見るのが 個人情報保護法の第2条原文かと思います。法律には以下のように書かれております。

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他 人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において 同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。 以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別する ことができることとなるものを含む。)

二 個人識別符号が含まれるもの

となります。

https://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-7139610208677822&output=html&h=280&slotname=5204346174&adk=3662135345&adf=458436960&pi=t.ma~as.5204346174&w=650&fwrn=4&fwrnh=100&lmt=1613266475&rafmt=1&psa=1&format=650×280&url=http%3A%2F%2Fpiece-asia.com%2Fcloumn-0023.html&fwr=0&fwrattr=true&rpe=1&resp_fmts=3&wgl=1&dt=1657438470120&bpp=8&bdt=144&idt=192&shv=r20220706&mjsv=m202207070101&ptt=9&saldr=aa&abxe=1&cookie=ID%3D3a7613af7c5958e5-2263fb5398d40005%3AT%3D1655597829%3ART%3D1655597829%3AS%3DALNI_Mb1Gv5lMJDPvBHNQ5fvMDD1Bn97jA&gpic=UID%3D000006c4ffd381df%3AT%3D1655597829%3ART%3D1657423774%3AS%3DALNI_MaXS_KnChSVCFjKZE0_tE61tAUN_Q&prev_fmts=728×90%2C650x280&correlator=3121234261558&frm=20&pv=1&ga_vid=1168034872.1655632252&ga_sid=1657438470&ga_hid=1969470613&ga_fc=1&u_tz=540&u_his=3&u_h=800&u_w=1280&u_ah=760&u_aw=1280&u_cd=24&u_sd=1.6&adx=589&ady=1305&biw=1579&bih=821&scr_x=0&scr_y=0&eid=44759875%2C44759926%2C44759842%2C31067528%2C31068348%2C42531607%2C31064018&oid=2&pvsid=1347085092697225&tmod=661517229&uas=0&nvt=1&ref=http%3A%2F%2Fpiece-asia.com%2F&eae=0&fc=896&brdim=0%2C0%2C0%2C0%2C1280%2C0%2C1280%2C760%2C1600%2C821&vis=1&rsz=o%7C%7CeEbr%7C&abl=CS&pfx=0&fu=128&bc=23&ifi=3&uci=a!3&btvi=1&fsb=1&xpc=LNgT1xtmeC&p=http%3A//piece-asia.com&dtd=198
法律文なのでまずは()を除いて読んでみると、

法律上の個人情報の定義とは、

「生存する個人に関する情報であって、」

「当該情報に含まれる氏名、生年月日その他の記述等により個人が識別できるもの(他の情報と容易に照合することができ、それにより 特定の個人を識別することができることとなるものを含む。)」
または
「個人識別符号が含まれるもの」

となります。
だいぶすっきりしましたね。

この「その他の記述等」という点がやや複雑に書かれておりますが、()内を丁寧に読んでいくと、
「文書、図画若しくは電磁的記録に記載され、若しくは記録され、または音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く)」
となります。

つまり、「その他の記述等」とは、ざっくり言えば、何かしらに記載や記録された文書、絵、音声、動作などにより特定の個人を識別できるものとなります。

まだわかりにくいですね。具体例も見ながら少し戻ってみましょう。

「当該情報」とは、対象の単語や識別符号、記号などを指します。
例えば、「山田太郎」を当該情報とした場合、「山田太郎」は氏名ですので、個人情報であることは、おそらくほとんどの人が理解でき
るところです。

「当該情報に含まれる氏名、生年月日」は、例えば、「山田太郎」を少し変え「山田20181204」などの記号も含めた場合、「山田 20181204」は2018年12月4日生まれの山田さんという推測が容易にできてしまい、「山田20181204」は個人情報としてとらえられてしまうでしょう。
「No.123456 ヤマダ」という秘密情報と、
「No.123456 山田太郎」という公開情報があった場合、この「ヤマダ」や
「No.123456」という情報も個人情報として取り扱うべき情報でしょう。なぜなら、容易に照合ができる情報を用いて、本人が容易に特定できるためです。

個人情報の定義の具体例
ヤフージャパンのプライバシーポリシーは、少し広く概念を対象としているようです。

「パーソナルデータ」=「個人としてのお客様を直接的または間接的に識別できるすべての情報」について適用される。

「パーソナルデータ」のうち、「個人情報」とは「個人情報の保護に関する法律」に定義されている「個人情報」をいいます。

さすがインターネット大手ですね。パーソナルデータという用語を用いることにより、個人情報のみならず、個人を識別できるすべての情報を管理対象としているようです。

楽天の場合はもう少し具体的です。
2-1. ログインに関する情報
アカウントのIDおよびパスワード
氏名およびメールアドレス

2-2. 会員サービスおよび対象サービスの利用等に関する情報
アカウントに付随または関連する情報としてお客様から提供される、性別、年齢、生年月日、電話番号、住所その他のお客様に関する情

ポイント、クーポン、キャッシュバックその他のインセンティブプログラム等の会員サービスの利用に関する情報
対象サービスの利用(閲覧および書込み等の行為を含みます。)、購買、応募その他の対象サービスを通じてお客様が行った取引の遂行
のための情報および当該取引に関する情報(お支払いに利用した決済方法等を含みます。)

2-3. お支払いまたは本人確認のための情報
お支払いのために利用されるクレジットカード情報、銀行口座情報、電子マネーに関する情報その他の決済に関する情報
その他法律上の要請等により、本人確認を行うための本人確認書類(運転免許証、健康保険証、住民票の写し等のことをいいます。)お
よび当該書類に含まれる情報

2-4. 情報通信端末に関する情報およびCookie等を利用して取得する情報
お客様が会員サービス若しくは対象サービスを利用した場合、会員サービス若しくは対象サービスに関連する広告やコンテンツに接した
場合、またはお客様がCookie等(ウェブビーコン、UID、その他の技術を含み、以下単に「Cookie等」といいます。)を有効にしている場
合、私たちは、自動的に、お客様が利用したPC、携帯電話端末、タブレットその他の情報通信端末に関する情報およびCookie等を通じた
情報を取得します。

私たちは、情報通信端末およびCookie等から以下のような情報を取得しますが、当該情報は、お客様がお客様のアカウントでログインし
た場合にのみ、お客様の個人情報として保管されます。

端末ID等の情報通信端末の機体識別に関する情報
情報通信端末のOS情報、インターネットへの接続に関する情報
位置情報
リファラ
IPアドレス
閲覧したURLおよび閲覧した日時に関するタイムスタンプ
上記以外のサーバログ情報
表示もしくは検索された商品またはサービス等に関する情報

2-5. 第三者から取得する情報

Yahooも楽天も、中小企業からみればどちらもわかりやすい限りです。
参考にしたいものです。

コラム
スポンサーリンク
個人情報保護法コラムサイト