「個人情報」にあたるかどうかの判断方法

個人情報」って、『その情報を見たとき「あ、あの人のことだ」って分かるもの』って前回教わりましたけど、そこからが全然分かりませんでした・・。

今回はそこから説明しましょう。趣味ペットの名前なんかがなぜ「個人情報」にあたる場合があるのかです。

趣味とかの情報って、見ても「あの人のことだ」って分からないんじゃないですか・・。

このことを考えるにあたっては、2つ重要な考え方があるんです。

    1. 個人情報」にあたるかどうかは、一体となっている情報全体をみて判断する
    2. 個人情報」にあたるということは、一体となっている情報全体及ぶ

この2つです。

??

すいません、全然分からないんですが・・・。

例えば、履歴書をイメージしてみてください。あれって、個人に関する情報(「パーソナルデータ」)のカタマリじゃないですか。

確かに、名前住所顔写真も貼ってありますからね。

それら以外にも、学歴職歴資格とか長所短所も、個人に関する情報(「パーソナルデータ」)にあたるっていうのは分かりますよね。

はい。

ここで、さっき言った、「1.「個人情報」にあたるかどうかは、一体となっている情報全体をみて判断する」というのを考えてみましょう。この場合、「一体となっている情報全体」って、どれだと思います?

履歴書は一枚の紙だから、履歴書に書かれているすべての情報ってことですか?

その通りです。

そうすると、履歴書には名前住所顔写真があって、個人を特定できますから、これは個人情報」にあたるってことになりますね。

わかります。

履歴書が「個人情報」にあたるとなったら、次は「2.「個人情報」にあたるということは、一体となっている情報全体及ぶ」を考えてみましょう。

全体に及ぶ・・というと?

履歴書が「個人情報」にあたる訳ですから、その効果は履歴書に書かれている全てのパーソナルデータにも及ぶんですよ。つまりこの場合、履歴書に書いてある趣味長所短所なんかも「個人情報」にあたるということになります。

名前や住所だけじゃないんですか!!?

そうです。個人を特定できるような情報一体になっているパーソナルデータは、たとえそれだけでは個人を特定できないものであっても「個人情報」にあたります。

そうなんですか・・なんだかややこしいですね。

てことはつまり、「絶対に「個人情報」にあたって、絶対に「個人情報」にあたらない」というパーソナルデータは存在しないってことですか。

そうなります。

結局、どんな情報と一体になっているかによって結論が変わってしまいますから。

そうですか。

どんな情報と一体になっているかっていうのは、結構大事なポイントですね。

はい。なので、「名前や住所を消しさえすれば「個人情報」でなくなる」とは絶対考えないでください

それに、こういう考え方にはもう一つ問題があります。

なんですか?

名前や住所以外のパーソナルデータでも、個人を特定できることがあるんです。

例えば、履歴書で、名前住所顔写真生年月日消したとしますよね。でも、残った学歴職歴資格などの記載を組み合わせると、個人が特定できることってあるじゃないですか。

確かに!

そうすると、名前住所が消された履歴書であっても、それは「個人情報」にあたってしまうんです。

一体になっている情報のひとつひとつを組み合わせて個人が特定できれば、やっぱり「個人情報」になりますから、そこは気を付けなきゃいけません。

なるほどー。名前や住所を伏せたからいいとか、そういうカンタンなものじゃないんですね。

そうです。

いずれにせよ、「個人情報」を考えるときは一体になっている情報ひとつのものとして扱うことが、理解するためのキモになっているといえます。

【解説】

(1) 「個人情報」をどう判断するのか

前回、個人情報保護法における「個人情報」の定義は、

① 生きている人に関するあらゆる情報(「パーソナルデータ」)

(でも、それでは範囲が広くなりすぎる)

② ①のうち、個人を(容易に)識別できるものに限定

という流れで書かれていると説明しました。

今回は、このうちの②が、どういう方法で「個人情報」の範囲を限定しているのかの説明です。

 

(2) 一体となっている情報は、ひとつのものとしてみる

個人情報」の定義には、「氏名、生年月日その他の記述等により特定の個人を識別することができる」と書かれています。
そのため、ここだけを見て、「氏名」のような“その情報自体”で個人を特定できるようなパーソナルデータだけが「個人情報」にあたると考える方がいます。
しかし、これは明らかな誤解です。

個人を特定できるかどうかは、一体となっているパーソナルデータ全部をみて判断します。

そのため、仮に名前住所マスキングしたとしても、その他の記載で個人が特定できれば、それは「個人情報」にあたってしまうpのです。

少し前、suicaの履歴情報を販売した件が問題になりましたが、その問題にはこの点が大きく影響しています。
suicaの履歴は、ひとつひとつを単体としてみれば個人を特定できません。
しかし、膨大な履歴を組み合わせると個人が特定できてしまうことがあるのです。
「個人情報」にあたる履歴情報を無断で第三者に販売することは、法律違反といわざるを得ません。

このように、「個人情報」の判断の仕方を間違ってしまうと、社会的に大きな問題になりかねないので、注意が必要です。

なお、「一体となっている情報」の例としては、履歴書のような一枚の紙になっているもののほか、カルテなどファイルにまとめられている場合でも一体でしょうし、一つの記録媒体に保存されているデータも一体といえるでしょう。

 

(3) 利用目的に応じて、適切な取り扱いを

このように、「個人情報」の判断には少し技術が要りますが、これをきちんと理解すれば、逆に過大な個人情報保護義務を回避することもできます。つまり、自社の利用目的に照らして、「どういうパーソナルデータを保有して、どういう方法で保管するのか」をマネジメントできれば、法律上の義務を軽くすることが可能なのです。

無駄に多くの「個人情報」を保有することはお勧めしません。個人情報漏えい事故を防ぐ最良の方法は、「個人情報」を持たないことと考えることもできるのです。

法律が求める個人情報保護はそれなりに厳しいものですから、自社に合ったパーソナルデータの管理体制を構築することが、自社を法律違反から守る第一歩になるでしょう。

 

弁護士への法律相談(初回30分無料)はこちらから。