「個人情報」と「個人データ」との違い

個人情報保護法を理解するためには?

特定の個人を識別できる情報が「個人情報」です。

法律上の概念として「個人情報」、「個人情報データベース等」、「個人データ」、「保有個人データ」、これがそれぞれお互いに関連しているため理解しておくことです。

個人を特定できる情報が「個人情報」です。

例をあげていえば、「山田太郎 昭和○年○月○日」という情報で、この個人情報を
検索できる形で保存したものが「個人情報データベース等」と定義されています。
注意すべきは、「等」となっているところです

「個人データ」とは、個人情報データベース等を構成する個人情報のことです。
しかし、「個人情報」「個人情報データベース等」「個人データ」の3つは取り扱いが違います。

たとえば、名刺にして考えてみます。
その中には、の氏名・会社名・会社の住所、電話番号が印刷されていますが
この情報が印刷された名刺がある状態での情報は「個人情報」になります。

しかし、この名刺をもらった取引先の人が会社で、名刺入れにて整理したり。
名刺管理アプリなどで保存したり、名刺を読み取った結果を保存したりする行為が「個人情報データベース等」になります。

個人情報データベースにてなんらかの方法で検索ができれば、個人情報データベース等に該当するのです。

なお、アナログ的な保存方法の名刺入れなどのも該当することから「等」となっています。

取り扱いの違いを簡単に説明します。

個人情報は取得する際に利用目的さえ伝えておけば、その後の取り扱いは、
利用目的の範囲内でさえあれば厳しくありません。

取り扱いが厳しいのは個人データです。

すなわち、個人情報単体には「第三者への提供」に関しての制限はありません
しかし、が個人情報保護法の特徴として個人データの取り扱いは厳しくなっています。

たとえば、下記の例は、本人の同意が必要です。整理した名刺ホルダーを他のお店に貸し出すことは、「第三者提供」になるのです。

取り扱いが違う「個人情報」と「個人データ」

個人情報は基本的には、その提供に関して規制がなされていません。

たとえば、防犯カメラの映像はそのままでは、個人情報ではありますが、
個人データではありません

それは、一日中録画されているだけで、検索することはできないからです。
防犯カメラで撮った映像は個人情報になります。

しかし、「顔認識ソフト」を使って、映像の人をその人がいつ映っているのか
識別できるように加工した場合は、個人データとなり、第三者提供の制限などの規制がかかってきます。

いままでは、個人情報を扱う傾向はゆるやかでした。

IT技術の発達により、個人情報がますます個人データ化しているために、

自分ではただ24時間撮影している、防犯カメラの映像でも、IT技術の進歩により、撮影した映を自動的にデータベース化するシステムが導入されていることもあるために、これまでのような個人情報のつもりで安易に提供してしまうと、個人情報保護法に違反することも考えられます。

個人情報なのか個人データなのか、自分が扱っている情報が判別できていない状況で
第三者提供にあたることも発生します。

なので、自分が扱っている情報が何なのかの把握が大事です。
分らずにそれを扱うと個人情報保護去に違反してしまうことも考えられます。

「個人情報を」と書いてあるのか、「個人データを」と書いてあるのかによって
個人情報保護法を読む場合では大きく差異があります。

防犯カメラで撮影する場合には、利用目的の通知または公表が必要となり
それは、「利用目的の特定」は、個人情報に対する規制からです。

しかし、取得の状況から見て、利用目的が明らかな場合は通知や公表は不要となるので、
防犯カメラはどこにあるかわかりやすい場所に設置してあるのです、防犯目的としての意味もありますが、わざわざ利用目的を書かなくても大丈夫という個人情報保護法上からの意味があります。

プライバシーは保護されなければいけないものという性質上提供するとプライバシーの侵害にあたる可能性がありますが、防犯カメラの映像は個人情報にすぎず、個人情報保護法上は個人データではないので、利用目的の範囲内であれば誰かに提供しても構いません。

個人情報の防犯カメラの映像は提供することは自由?

前項で説明したように、プライバシーは保護されなければいけないものという性質上
提供するとプライバシーの侵害にあたる可能性がありますが、防犯カメラの映像は個人情報にすぎず、個人情報保護法上は個人データではないので、利用目的の範囲内であれば誰かに提供しても構いません。

よく企業法務で問題になりますが、これは個人データではないから、第三者への提供はできる。

しかし、これはプライバシーになるという区別する際に問題になります。

プライバシーとは、「私生活の情報で、知られては困るもので、誰も知らないもの」です。

誰かが何時、どこに行ったという情報は、プライバシーにあたる可能性があるので、
これを誰かに提供すると「プライバシーの侵害」で訴えられることもあります。

「休日に必ず銀座に行っている」、といった個人の行動履歴はプライバシーだと普通は考えられます。

ネットでいわゆる「炎上」するのはこういったプライバシー情報のほうです。

公共交通機関共通乗車カードの移動履歴が他者にしられると気持ち悪いと感じるのは、個人情報だからではなく、それがプライバシー情報だからでしょう。

そして、企業は、個人情報保護去の問題とは別に、プライバシーに配慮することが必要です。

炎上をネットでしないためには?

プライバシーとしてネットで炎上しないかということを会社の総務・法務担当者は、そしてその危険性についても考慮しておく必要がありますが、それが個人情報かそうでないかも大切です。

ときにSNSで炎上して大騒ぎとなることがあります。
これは、個人情報保護法には違反しないけれど、プライバシーの侵害にあたる行動をアルバイトが行い騒ぎとなってしまうことがあるからです。

そんな事態も考慮する必要性を強く心に留めおいてください。

実際に、身近で炎上したケースが見受けられます。

アルバイト先のファミレスに人気アイドルが来店し、そのときの映像を
アルバイトがスマホで撮影してSNSにアップロードしたことがあります。

これは、明らかにプライバシーを侵害しています。
個人情報保護法としては個人情報の提供なので、悪ふざけで公開した点が目的外利用になりますが、第三者提供については違反にはなりません。

しかし、これは当然プライバシーを侵害しています。
個人情報保護法としては個人情報の提供なので、悪のりして公開した点は目的外利用になり、第三者提供については違反ではありません。

昨今、ネットやIT技術の発展によって煩雑で面倒な時代になっています。

というのは、現場の作業的には、個人情報保護法上はデータ化されていない情報なので問題ないと判断するだけでは不完全です、なぜなら、プライバシーの侵害になることがあるからです、なのでプライバシーの侵害ならないかということも考慮する必要があります。

かつては、基本の4情報の「氏名・性別・生年月日・住所」がのっている、住民票の情報は公開情報になっており、とくに条件なしで誰でも閲覧できました。

それが、原則非公開に変更されたのは1998年のことです。
比較的、最近、日本で住所や氏名という情報がプライバシーだと考えられるようなりました。

納税額はプライバシーとは考えられていない国もあります。
スウェーデンでは全国民の納税情報が公開されているからです。

つまり、個人情報やプライバシーの定義はさまざまで、国や社会、時代によっても変わっていきます。

個人情報保護法上は問題ないが、プライバシーの問題には触れる例をあげてみましょう。

よく見受けられるケースですが、みんなで撮った写真を、写っている人全員の許可を得ずに、
たとえばフェイスブックにアップロードして不特定多数の人が見るとこができるようにした場合です。

個人情報の定義が改定で変ったのか?

今回の改正には、6つのポイントがあります。

  1. 個人情報の定義の明確化
  2. 適切な規律の下で個人情報等の有用性を確保
  3. 個人情報の保護を強化
  4. 個人情報保護委員会の新設およびその権限
  5. 個人情報の取り扱いのグローバル化
  6. その他改正事項

1.の「個人情報の定義の明確化」も改正の大事なポイントとなっています。
個人情報保護法の第2条が大きく改定され、指紋認証や顔認証データ化した文字や旅券番号、

運転免許証番号のような個人に割り当てられた番号などがありますが、それが今回、新しく追加されたのが2号で「個人識別符号」として、それ単体でも「個人識別符号」が含まれるものでも個人を特定できるものは、個人情報であると明らかにしました。

「個人識別符号」が入ったことが大きなポイントです。

また、小さな会社やお店にとって重要なのは6.です。

「取り扱う個人情報が5000人以下の小規模取扱事業者への対応」で、個人情報保護法の適用除外がなくなりました。

定義で明確化されたものとは?

「個人情報」に新規に追加されたのが「個人識別符号」です。

それは、以下になります。

  1. 特定の個人の身体の一部の特徴を電子計算機のために変換した符号
  2. 対象者ごとに異なるものとなるようにサービスの利用、商品の購入で特定の利用者もしくは、購入者又は発行を受ける者を識別するための符号

政令に基づいて具体的にいえば。

運転免許証の番号、旅券(パスポート)番号は、対象者ごとに重複しないように付されている
符号なので、これも個人情報にあたることになりました。

また、顔認識データは身体的特徴で個人の身体の一部の特徴をコンピューター用に
変換した符号なので、個人識別符号にあたり個人情報に入ります。

ポイントカードのID,SNSのID、携帯電話番号、携帯端末のIDは、政令により、個人識別符号に該当しないことになりました。

しかし、代表的な、指紋認識データ、顔認識データ、旅券番号、免許証番号、マイナンバーなどが個人識別符号にあたります。

個人情報保護法の改正によってビジネスがやりづらい?

個人識別符号とは、第2条で「当該特定の個人を識別することができるもの」とされ、

2号では「特定の利用者若しくは購入者または発行を受ける者を識別することができるもの」
とされています。

「個人識別符号」が追加された今回の改正で、「明確化」されたのが個人情報の定義です。

また、個人情報の範囲が拡大されたわけではなく、その範囲が明らかにされたのです。

改正法では、「特定の」を入れて成立しています。

この「特定の」の3文字が入ったことが重要な意味を持っています。
2014年12月に出された改正の骨子(案)では、「当該個人を識別することができるもの」と
なっていました。

保護される対象が広がっているのが骨子(案)だったのです。

たとえば、ある客が10月10日にショートケーキを買ったというPOSデータと、
「同じ顧客」が10月11日にクッキーを買ったというPOSのデータは、

その顧客が誰なのかわからないので、「特定の個人」を識別できません。
ところが、「同じ顧客」だとはわかってしまう場合、「個人を識別」ができているということです。

この場合、骨子(案)の条文では個人情報に入ってしまう可能性があります。
しかし、「これでは個人情報の範囲が広がりすぎてビジネスができない」と経済界から反対にあい、最後には「特定の」という文字が入ることになりました。

それゆえ、個人情報保護法は改正されませんでした。これは、これまでも、「特定の個人を識別することができるもの」とされていて、特定の個人を識別できるもも全部が個人情報にあたっているからです。

個人情報保護法が最初に作られたときには、指紋認識データや顔認識データなどの存在は想定されていませんでした。

それをうけて、改正されたのが「特定の個人が識別できて初めて個人情報となる」これが改正法
のポイントです

ただし、改正前の個人情報保護法でも、指紋認識データや顔認識データは特定の個人を識別できるので、「個人情報であろう」と解釈され個人情報でしたが、今回の改正でそれを明確化したのです。

新たに設けられた個人情報の概念が新たに設けられた?

今回の改正では、いままで、なかった考えの「要配慮個人情報」が設けられました。

要配慮個人情報とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう」と定義されています。

いままでまったくなかった考えで、2点の効果があります。

本人が同意しなければ、人種、信条、社会的身分、病歴、犯罪の経歴などは「本人
の同意を得ない取得を原則禁止」とされ、取得するだけでも違法になります。

「本人の同意のない第三者提供の特例(オブトアウト規定)から除外」されました。

取り扱いを慎重にすることが求められているものがあります。

従業員の病歴に関係する情報は、本人の同意なく取得することができません、
つまり、健康診断の結果は、本人の同意がなければ会社は取得することができなくなりました。これは実務上、大きな影響があります。

「要配慮個人情報」にあたるものは、「人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実」に加え、政令によれば以下の記述が含まれるものになります。

  • 身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で
    定める心身の機能の障害があること。
  • 本人に対して医師その他医療に関連する職務に従事する者により行われた疾病の予防及び早期発見のための健康診断その他の検査の結果
  • 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
  • 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。
  • 本人を少年法第3条第1項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。

「要配慮個人情報」の注意事項は?

小さな会社やお店は、主に従業員の情報を取り扱う際に要配慮個人情報を取り扱う場面となります。

病歴や宗教、それに個人の信条に関わるデモ活動なども関わってきます。
これらを同意を得ることなく取得することはできません。

ただし、労働安全衛生法に基づく健康診断の結果を健康診断実施機関から
取得するときには、本人の同意は不要です。

法令に基づくいた提供については、同意は必要ないのです。

また、SNSで公開している情報や、防犯カメラの撮影などがこれにあたりますが、本人自身で公開している要配慮個人情報や、目視または撮影することにより

外観上明らかな要配慮個人情報を取得する場合も、同意は不要です。

「まとめ」

ここまで、「個人情報」と「個人データ」で取り扱いが異なり、個々の情報が「「個人情報」なの

か個人データ」かを考え、自分が扱っている情報が何なのかの把握するとこが大事なことです。

そして、国や社会によって、個人情報やプライバシーの基準や受け止め方はさまざまで、時代

によっても常に変化していくこと念頭においといてください。

また、今回の改正では、「特定の個人が識別できて初めて個人情報となる」、というとこるがポ

イントで、実際の業務につながる部分になります。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする