基本的に、個人情報を一切扱わない企業というものは存在しません。
企業を運営するにあたっては、何かしらの形で個人情報を利用します。
また、一口に個人情報といっても、その定義は複雑で少しわかりにくい部分もあります。
ここからは、企業が知っておくべき個人情報の細かい定義について解説します。
個人情報保護法における個人情報の定義
個人情報保護法には、以下のような個人情報の定義が記載されています。
“生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合でき、それによって特定の個人を識別できることとなるものを含む)”
こちらの内容だけだと、イマイチ想像がしにくいかと思いますので、もう少しわかりやすく解説したいと思います。
上記の文章のポイントをピックアップすると、個人情報に含まれるのは、以下の情報ということになります。
・それだけで特定の個人を識別できる情報
・他の情報と合わさることで特定の個人を識別できる情報
それだけで特定の個人を識別できる情報
それだけで特定の個人を識別できる情報としては、主に以下のものが挙げられます。
・氏名(フルネーム)
・加入団体、氏名が含まれるメールアドレス
・個人を識別できる写真、動画、電話の音声
・従業員の評価情報
・インターネット、官報、電話帳などで公開されている個人情報 など
他の情報と合わさることで特定の個人を識別できる情報
1つの情報だけでは不十分だったとしても、他の情報と合わさることで特定の個人を識別できる場合、それは個人情報に該当します。
例えば、フルネームではなく名字だけだと、特定の個人を識別することはできません。
一方、そちらの名字に“〇〇株式会社勤務”、“東京都〇〇区××町△番地在住”といった情報が追加されると、途端に特定の個人にたどり着くことができます。
よって、こちらは個人情報に当てはまります。
亡くなった方の個人情報について
先ほども解説したように、個人情報保護法で守られる個人情報は、あくまで“生存する個人に関する情報”です。
よって、亡くなった方の個人情報は保護対象にはなりません。
ただし、亡くなった方の情報であっても、生存する個人との関連がある場合、その情報は生存する方の個人情報に該当する可能性があります。
例えば、亡くなった方の財産に関する情報は、生存している配偶者、子、孫に相続されることになる財産の情報と捉えられるため、個人情報になり得ます。
ちなみに、地方自治体における個人情報保護条例では、“生存する”という部分がないこともあり得るとされています。
つまり、亡くなった方の個人情報も、生存している方と同じように扱わなければいけない可能性があるということです。
個人情報識別符号ついて
冒頭で、個人情報保護法に記載された個人情報の定義について解説しましたが、実はこちらにはもう1つ、個人情報に含まれるものの記載がされています。
それが“個人情報識別符号”です。
こちらは、個人情報保護法の改正により、個人の身体的特徴や個人に割り当てられた番号をコンピュータなどで読み取れるようにした文字、番号、記号等を指しています。
具体的には、以下のようなものが該当します。
・DNAの塩基配列
・顔画像から目の間の距離、鼻の長さなどの顔貌の特徴を抽出した特徴量
・虹彩(眼球)の表面の起伏により形成される線状の模様
・声帯の振動、声門の開閉ならびに声道の形状およびその変化量
・指紋または掌紋
・マイナンバー
・運転免許証番号
・旅券番号
・基礎年金番号
・健康保険証番号 など
これらのうち、企業が取り扱う可能性が高いのは、やはりマイナンバーや運転免許証番号といった、個人に発行されるカードなどに記載され、特定の利用者を識別できる番号です。
ちなみに、以下のような数字や記号に関しては、一概に個人識別符号に該当するとは言えないとされているものの、場合によっては特定するための材料となり得るため、個人識別符号と見なされる可能性もあります。
・携帯電話番号
・クレジットカード番号
・メールアドレス
・サービス提供のための会員ID など
匿名加工情報について
個人情報を誰の情報が特定できないように加工し、匿名化したものを“匿名加工情報”といいます。
こちらは、個人を特定できない情報であるため、個人情報には該当せず、個人情報に関する取り扱いのルールも適用されません。
その結果、企業は本人の同意がなくても個人情報を目的外で利用でき、外部にも提供することが可能です。
もっとも、匿名加工情報だからといって完全なフリーハンドではなく、作成者と受領者はそれぞれ漏えいを防止できるような義務を守る必要があります。
まとめ
ここまで、企業なら必ず把握しておくべき、個人情報の細かい定義について解説しましたが、いかがでしたでしょうか?
もし、個人情報に関する知識や対応に不安がある企業があれば、一度“JAPHICマーク”の取得を検討しましょう。
こちらのマークを取得すれば、豊富な知識を得た上で、適切な個人情報保護体制を作り上げることができます。
