今回の改正により、「個人情報」そのものの定義と、個人情報保護法上の義務を負う「個人情報取扱事業者」の定義が拡大されることになりました。
これはつまり、今まで以上に適切な個人情報の取り扱いが求められているということです。
今回は改正個人情報保護法の具体的な内容とともに、「実は個人情報にあたらない情報」についてまとめてみました。
こちらをを知ることで、より一層の意識をもって個人情報を取り扱っていきましょう!
1. 実はよく知らない?個人情報の定義と個人情報保護法
個人情報保護法とは、情報化社会の発展に伴い慎重な取り扱いが必要となった個人情報に関する、国家の基本理念や定義、取り扱いに際する義務などを定めた法律になります。
平成15年に成立し現在に至ります。
第1章には本法の目的と基本理念、本法における言葉の定義などが定められておりますので、そこから個人情報の定義を確認しましょう。
*********************************************
個人情報保護法 第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) をいう。
******************************************* **
この条文を分解すると、「個人情報」とは
①生存者に関する情報 で、かつ
②特定の個人を識別できる情報
と定義されていることがわかります。
もう少し踏み込んで解釈していきますと、①「生存者に関する情報」という文言に国籍の条件はございませんので、外国人の個人情報も本法での「個人情報」にあたります。
また、②個人を識別できる情報は具体例を挙げれば多岐に渡り、個人の氏名や住所が記載された郵便物のようなものは勿論、文書のみならず被写体が誰かを特定できるようなものであれば、防犯カメラの映像なども「個人情報」にあたります。
その他、その情報だけでは個人を特定できなくても周知の情報と合わせると識別可能な情報も「個人情報」です。
例えば、ただの英数字の羅列は個人情報になりませんが、それが個人のメールアドレスでありその個人が特定できる場合などがこれにあたります。
また、官報や電話帳ですでに公にされている情報も「個人情報」にあたります。
これは、たとえ公知の情報であっても、他の情報との組み合わせや利用目的によっては犯罪行為を助長し、取り扱い次第で個人の権利利益に関わる可能性があれば、適切な取り扱いを求められて然るべきと考えられるからです。
以上のように個人情報は定義されておりますが、これは改正前の定義。
今回の改正で「個人情報」の定義はどのように変わったのか、また改正法の全体的な内容を確認しましょう。
2. ビッグデータ時代の到来により、個人情報の定義はよりクリアに!
今回の改正法でポイントとなるのは、制定当時には想定されていなかった情報環境の変化です。
「パーソナルデータ」への注目度が高まり、それらを収集、分析することで新産業や新サービスの創出、社会的問題の解決に貢献する「ビッグデータの利活用」が議論され始めました。
統計として利用できる「パーソナルデータ」と、法律によって保護されるべき「個人情報」の区別が必要不可欠となり、プライバシー保護にも配慮したデータ利用環境整備が求められた結果、今回の改正法では「個人情報」のより一層明確な定義が必要となったのです。
今回の改正法によって新たに定義されたもの、新しい制度は山ほどあります。
今回は個人情報の定義に関する部分をピックアップしてみていきましょう。
②要配慮個人情報の新設
①「個人情報」の定義の明確化
適切な取扱いが求められる「個人情報」とビッグデータに利活用できる「パーソナルデータ」との区別が必要とされたために、本改正法においては従来より定義が明確化されました。
*********************************************
改正個人情報保護法 第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、 次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電 磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。 次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録 され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を 除く。)をいう。以下同じ。)により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができる こととなるものを含む。)
二 個人識別符号が含まれるもの
*********************************************
①生存する個人に関する情報 で、かつ
②特定の個人を識別できるもの
であるという大枠は変わりませんが、①がより具体的に条文で述べられるようになりました。
そして新たに「個人識別符号」というものが生まれています。
条文においてその定義が規定されておりますが、簡潔にまとめると以下のようになります。
①身体の一部の特徴を電子計算機のために変換した符号
=DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋
②サービス利用や書類において対象者ごとに割り振られる符号
=公的な番号(例:旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、 各種保険証等)
これらに当てはまり、特定の個人を識別できるものが「個人識別符号」となります。
「個人情報」とは①生存する個人に関する情報で、かつ②特定の個人を識別できるもの。もしくは③個人識別符号が含まれるもの。
以上のように、今回の改正個人情報保護法によって、「個人情報」の定義はより詳細になりました。
②要配慮個人情報の新設
新たに定まったのは「個人情報」の定義だけではございません。
「要配慮個人情報」という、「取得について原則として事前に本人の同意を得る必要のある情報」というものが生まれました。
これは個人情報取扱事業者が個人情報を取得、利用する際のルールとして規定されております。
*********************************************
改正法第二条第3項3
この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、 犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の 不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述 等が含まれる個人情報をいう。
*********************************************
「要配慮個人情報」とはつまり、
①人種、信条、社会的身分、病歴、前科、犯罪被害情報 もしくは
②その他本人に対する不当な差別、偏見が生じないように特に配慮を要するものとして政令で定めるもの
であると定義されております。
さらに②政令で定めるものの具体例としては、以下のようなものが挙げられております。
◯ 身体障害・知的障害・精神障害等があること
◯ 健康診断その他の検査の結果
◯ 保健指導、診療・調剤情報
◯ 本人を被疑者又は被告人として、逮捕、捜索等の刑事事件に関する手続が行われたこと
◯ 本人を非行少年又はその疑いのある者として、保護処分等の少年の保護事件に関する手続が行われたこと
「要配慮個人情報」は「個人情報」よりもさらに慎重な取り扱いが求められますので、十分に注意しましょう!
3. 源頼朝の愛人情報は「個人情報」にあたるのか
時は鎌倉、源の姓を持つ武将、源頼朝は後鳥羽天皇から征夷大将軍を拝命し、妻の北条政子と共に鎌倉幕府を開きました。
北条政子は気の強い女性で、当時は将軍として務めでもあった愛人の元へ通うことにも嫉妬心をたぎらせたと言います。
では、そんな源頼朝の新しい愛人スキャンダルが明らかになったらどうなるでしょう?
一説には、北条政子は源頼朝の愛人の家を焼いたことがあるといいます。
今は亡き北条政子の亡霊が子孫の家にぼや騒ぎを起こすかもしれません。
源頼朝の愛人情報は個人情報保護法で適切な取り扱いが求められる「個人情報」にあたるのでしょうか。
本文にも何度か記載しておりますが、「個人情報」の定義は以下のようになります。
①生存者に関する情報 で、かつ
②特定の個人を識別できる情報 もしくは
③個人識別符号にあたり特定の個人を識別できる情報
源頼朝は①生存する個人ではありませんね。
歴史上の人物はもちろん、死者や法人の情報は個人情報保護法の定義する「個人情報」には当たらないことがわかります。
しかし注意が必要なのは、例え死者や法人に関する情報であっても、遺族など生存者やその法人に属する従業員に影響する内容が含まれていれば個人情報となりうるという点です。
では②特定の個人を識別できる情報かどうかを考えてみましょう。
ここでいう「特定の個人」とは、歴史上の人物で死者である源頼朝ではなく、本情報で不利益な影響を受ける可能性のある源頼朝の愛人の遺族になります。
さて、現代の遺族までたどり着けるでしょうか。
答えはお分かりですね。
特定の個人を識別するためにはそれ相応の情報量が必要です。
氏名と生年月日が両方わかれば特定もしやすいでしょうが、時代も時代ですので残っていて名前程度でしょう。
よって③個人識別符号にも当たらないと考えられます。
さて、「ある名前の先祖がいる」という個人はどれだけ存在するでしょうか。特定なんてとてもできません。
36歳女性、などのアンケート情報や統計データもそうですが、該当者の多い情報は個人情報にはあたらないのです。
結論としては源頼朝の愛人情報は個人情報保護法の定義する「個人情報」には当たらないでしょう。