改正された個人情報保護法(正式名「個人情報の保護に関する法律」)の施行によって、これまで適用対象外だった中小の会社やお店なども業種や規模を問わずすべて「個人情報取扱事業者」として、この新しくなった法律を守らなければならなくなりました。

定められた「個人情報を取り扱う事業者の遵守すべき義務等」(第1条)を守るためには、まずこの個人情報保護法で言われている「個人情報」とは何かを知らなければなりません。

一般的には「個人情報」と聞くと氏名、住所、生年月日、電話番号、メールアドレスといったものが思い浮かびますが、新しくなった個人情報保護法では、保護対象となる「個人情報」が旧法よりも明確に示されています。これは、コンピュータや通信技術の進歩や時代の変化に合わせ、主にデジタル化された様々な「個人情報」が収集・利用されている現状を踏まえて改訂されたものだと言えるでしょう。

改正された個人情報保護法では「個人情報」についての定義が示されています。この定義の条文では「個人情報」だけでなく、「個人識別符号」、「要配慮個人情報」という新しいタイプの「個人情報」が追加されています。

基本となるのが「個人情報」と「個人識別符号」です。まず「個人情報」について、第2条で次の様に定められています。

第2条(第1項)

1 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

(1) 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。第18条第2項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

(2) 個人識別符号が含まれるもの

条文はカッコ書きが重なっていて読み難いですが、この第2条(第1項)において「個人情報」は次のようなものであると示されています。

  1. 生存する個人に関する情報
  2. 氏名、生年月日その他の記述等により特定の個人を識別できるもの
  3. 他の情報と容易に照合することができて、それによって特定の個人を識別できることとなるもの
  4. 個人識別情報が含まれるもの

1. 生存する個人に関する情報

個人情報保護法が規定する「個人情報」は原則として生存している個人に関するものです。しかし、亡くなっている個人(死者)に関する情報であったとしても、それが同時に、遺族等の生存している個人に関する情報でもある場合には、当該生存する個人に関する情報に該当し、法に則った保護管理が求められます。

ここでの「個人に関する情報」とは、「氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない」とされています(個人情報保護法ガイドラインより)

会社(法人)やその他の団体は「個人」ではありませんので、法人等の団体そのものに関する情報(名称、所在地等)は「個人情報」には該当しません。但し、法人等の団体に勤務・所属する役員や従業員等に関する情報は「個人情報」となります。なお、ここでの「個人」は日本国民に限らず外国籍の人も含みます。

2. 氏名、生年月日その他の記述等により特定の個人を識別できるもの

本人の氏名、生年月日、連絡先(住所、電話番号、メールアドレス)はもちろん、勤務・所属している法人・団体に関する情報(名称、所属部署、職位)についても、本人の氏名と組み合わせて「個人情報」となります。以上のような文書、テキストでの情報だけでなく、本人として識別できる画像(写真データ)や映像(防犯カメラに記録された映像データ)、録音された音声も「個人情報」となります。

勤務先のメールアドレスのように、氏名と会社名が組み合わされたそのアドレスのみで特定の個人を識別できるメールアドレスも「個人情報」となります。

3. 他の情報と容易に照合できて、それによって特定の個人を識別できるようになるもの

単体では特定の個人だとわかる個人情報ではなくても、他の情報と容易に照合できて、その結果、特定の個人だと識別できるようになるものも個人情報になります。「容易に」されていますので、特別な手間や費用をかけて調査を行なったりすることなく、既に持っている他の情報と容易に照合することでき、紐付けることで個人の特定が可能となるならば、それは個人情報として扱わなければなりません。

最後の「個人識別情報」が、今回の改正において新しく個人情報と位置付けられたものです。この「個人識別情報」については次回で解説します。