令和3年10月6日
1.個人情報保護法について①
はじめに
令和2年及び3年に個人情報保護法が改正されました。
中でも令和2年の改正は、本人からの開示請求等の範囲が拡大されたり、新たに仮名加工情報が新設されたりと事業者にとって大きな改正がなされています(主要な改正点の施行は令和4年4月1日)。
個人情報保護法については、平成27年にも大きな改正がなされました(平成29年5月30日に全面施行)。かかる改正により、5000人という要件が撤廃され、1人でも個人情報を保有している場合は、個人情報取扱事業者として同法の適用対象になりました。個人事業主や中小企業でも、営利・非営利問わず対象となりますので、現在ではほとんどすべての事業者が個人情報取扱事業者として法規制の対象になるといえるでしょう。
個人情報は、取引先や顧客の情報だけでなく、従業員の情報も含まれますので、およそ事業活動を行う上で、個人情報の取り扱いは切っても切り離せない問題であるといえます。そして、個人情報を取り扱う事業者として、守るべき細かいルールや義務がたくさんあります。例えば従業員の個人情報の場合、採用や健康診断、退職の様々な場面で個人情報の取り扱いの問題が生じます。また、具体的場面に応じて個人情報保護法の適用がどのように及ぶか微妙で当てはめが困難な事例が生じ得ます。
違反した場合には、罰則が科されますし(令和2年改正により罰則も強化されました)、情報流出の被害者からの損害賠償請求の対象になるだけでなく、個人情報を適切に取り扱わなかったために個人情報を流出・漏えいさせてしまうこと自体が事業者にとって社会的信用の失墜につながる致命傷になりかねません。
そこで、これから、個人情報保護法に規定されている基本的な知識を整理した上で、会社経営上生じ得る具体的な事例に即して、問題点と対応策について定期的にお話していきます(長期連載の予定)。
まずは、平成27年及び令和2年の改正点を含め、基本的な知識を整理します。
そもそも個人情報の定義、範囲とは
(1)まず、個人情報とは、①生存する個人に関する情報であることが前提です。
生存する個人の情報なので、死者の情報は対象外です。但し、死者に関する情報が遺族等の情報でもある場合には、生存する遺族等に関する情報として個人情報保護法の対象になります。例えば、相続財産に関する情報は、被相続人である死者に関する情報であると同時に、相続人に関する情報に該当し得ます。
個人に関する情報とは、氏名、年齢、性別、住所、家族関係、職業、活動等の事実だけでなく、判断や評価、表現、ノウハウなど、個人と関係づけられるすべての情報を意味します。新聞やインターネット等で公表されているか否かにかかわりません。居住地、国籍も問いませんので、日本の事業者が取り扱う個人情報は、外国人のものであっても保護の対象となり得ます。
次に、②その情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものを指します。なお、当該情報だけでは特定の個人を識別できなくても、特別な費用や手間をかけることなく、その他の情報と簡単に照合することで特定の個人を識別できる情報も個人情報に含まれます。
その他の情報と簡単に照合することで特定の個人を識別できる情報も個人情報とは、例えば、ある事業者が商品の販売リストを有していた場合、それ自体は個人を特定できないため個人情報に該当しないとしても、顧客番号と紐づけられた氏名等が記載された顧客リスト(単体で個人情報に該当)を有していれば、簡単に照合することで、個人の特定の識別が可能になるため、販売リストも個人情報に該当することになります。
氏名はそれのみで個人情報となります(同姓同名の人がいる可能性があっても社会通念上、特定の個人を識別することができるものと考える)。
住所や電話番号、年齢、性別、銀行の口座番号等も、他の情報と容易に照合することで特定の個人を識別できる場合は、全体が個人情報に該当します。
個人を識別できるという意味では顔写真も含まれます。また、映像や音声もその内容により特定の個人が識別される場合は該当します。例えば、電話の通話内容を録音したもので、その中で相手が自分の名前を名乗っている場合には個人情報に該当します。
メールアドレスの場合、例えば、ランダムに割り当てられたローマ字や数字の組み合わせで構成されている場合は個人情報には該当しませんが、kojin_ichiro@example.comのように、ユーザー名とドメイン名から特定の個人を識別できる場合は、それ単体でも個人情報に該当し得ます。
一方、個人情報に該当しない例としては、統計情報や、企業の財務情報、法人等の団体そのものに関する情報などが挙げられます。
(2)個人識別符号
平成27年改正でそれまでグレーゾーンだった個人情報の定義がある程度明確化されました。その1つが個人識別符号です。
個人識別符号とは、その情報のみで特定の個人を識別することができる文字や番号、記号、符号などのことで、それ単体でも個人情報に該当します。
類型としては大きく2種類があります。
① 特定の個人の身体の一部の特徴をコンピュータ処理が出来るようにデジタル化(データ化)した文字・番号・記号などの符号
→ 例えば、指紋認識データ、顔認識データ、瞳の虹彩、DNAを構成する塩基配列など
② 対象者ごとに違うものと分かるように、個人がサービスを利用したり商品を購入したりするときに割り当てられ、または個人に発行される書類に記載される文字・番号・記号などの符号
→ 例えば、パスポート番号、運転免許証番号、健康保険証の記号・番号・保険者番号など
一方、携帯電話の番号やクレジットカード番号は、様々な契約形態や運用実態があることから、どんな場合でも特定の個人を識別できるとは限らない等の理由から、個人識別符号には該当しません(他の情報と容易に照合して特定の個人を識別できる場合は個人情報に該当します)。
(3)匿名加工情報
個人情報を取得するときは、利用目的の特定や、目的外に利用する場合の本人の同意が義務付けられていますが、事業者が個人情報を他のビジネスに利用したいと考えた場合、すべての顧客から同意を得なければならないとすると、ビッグデータを取り扱う事業者にとってかなりの障壁になります。
そこで、平成27年改正により、匿名加工情報が新設されました。
匿名加工情報とは、特定の個人を識別できないように個人情報を加工して匿名化した情報です。元の個人情報には復元できないようにしたものであることが必要である一方で、特定の個人を識別できないので個人情報には該当せず、個人情報保護法のルールは適用されません。ですので、本人の同意なく目的外利用できたり、第三者に提供することができます。但し、作成者と受領者には様々な義務が課されています。
(4)仮名加工情報
(3)で述べた匿名加工情報は、匿名化するためにある程度高度な技術が必要で、また、加工基準やルールが厳格であるため、内容をある程度抽象化せざるを得ないところ、そうするとデータとしての有用性が低くなってしまうなどの理由から、民間企業等においてあまり広く活用されていませんでした。
そこで、令和2年の改正で、新たに仮名(かめい)加工情報が創設されました。
仮名加工情報とは、個人情報に含まれる記述を一部削除(例えば氏名)等することで、他の情報と照合しない限り特定の個人を識別できないように加工(例えば氏名の代わりに仮IDを設定など)した情報のことをいいます。
個人識別符号や、不正利用により財産的被害が生じるおそれのある記述(例えばクレジットカード番号など)は削除する必要がありますが、他の情報と照合すれば本人が分かる程度までの加工で足ります。
仮名加工情報については、個人情報を取得した際の利用目的に縛られずに別の目的でも利用が可能になる、第三者提供は原則禁止されるなど、他の個人情報とは別に独自のルールが設けられています。
匿名加工情報と仮名加工情報について、取り扱い時に課される義務にどのような相違があるかについては、今後の連載で詳しく解説します。
(5)要配慮個人情報
要配慮個人情報は、平成27年改正で導入された概念です。
本人の人種、信条、病歴、犯罪歴など不当な差別や偏見につながる可能性のある個人情報のことをいいます。例えば、健康診断等の結果に基づき、本人に対して医師等により診療、調剤等が行われたことも含み、病院等を受診したという事実も該当します。これらの情報については、取得する際に原則として本人の同意を得ることを義務化するなど特別なルールが課されており、通常の個人情報に比べて慎重に取り扱うことが定められています。
top