名前や住所、メールアドレスなどを含む「個人情報」は法律によって厳格に守られています。近年では一般でも「個人情報を守ろう!」という権利意識が高まっており、今後もその傾向には拍車がかかるでしょう。
個人情報を保護する法律を「個人情報保護法」といい、違反すると罰則も適用されるので事業者には正しい知識が必要です。
今回は個人情報保護法において守られる「個人情報」の定義や取得方法を具体例つきでわかりやすく解説します。
初回30分無料で電話相談お受けします
【電話相談受付中】
個人情報とは
個人情報とは、生きている個人に関する情報で、特定の個人を識別できる情報又は個人識別符合をいいます。個人情報は、ひとりひとりのプライバシーに直結しており、個人情報を取り扱う事業者には個人情報の適切な取り扱いが求められています。以下では、個人情報に該当するための条件を細かく見ていきます。
「生存する個人」に関する情報であること
個人情報といえるためには「生存する個人」の情報であることを要します。既に他界している人の情報は、個人情報に該当しません。ただ、死者に関する情報でも、生存する遺族個人に関する情報であれば、個人情報にあたります。
特定の個人を識別できる情報であること
個人情報といえるためには「特定の個人を識別できる情報」であることが必要です。
氏名、生年月日、住所、顔写真など、その情報だけで特定の個人を識別できる情報に限らず、他の情報と容易に照合することができ、特定の個人を識別できる情報も個人情報となります。
容易に照合することができる場合とは、通常の業務フローの中で簡単に、個人を識別する他の情報との照合が可能な状態にあることを言うとされています。
個人識別符号が含まれる情報も個人情報
個人情報には、個人識別符号も含まれます。
個人識別符号とは、文字・番号・記号などの符号を羅列することで個人の識別が可能なものとして「政令」で定められた情報のことをいいます。
個人識別符号の一つに、身体の一部の特徴をデータに変換した番号や符号です。生体認証に利用される指紋・静脈・声紋・虹彩・顔の各データなどが個人識別符号に当たります。
そのほかには、旅券番号(パスポート番号)、基礎年金番号、運転免許証番号、住民票コード、個人番号(マイナンバー)などが個人識別符号に該当すると定められています。
弁護士・中小企業診断士 
個人情報の具体例をわかりやすく解説
どのような情報が個人情報に該当するのでしょうか?ここでは、個人情報の具体例を紹介します。
名前
名前は、最も基本的な個人情報の一つです。 フルネームは、特定の個人を識別できますので、個人情報です。名字だけであっても、勤務先や住所などのその他の情報と掛け合わさることで、特定個人を識別できれば、個人情報となります。
顔写真
顔写真も、個人を特定できるものであれば個人情報となります。顔写真によっては、特定の個人を識別できないものもありますが、正面から撮影され、特定の人物を判別できる写真や動画は個人情報となります。
住所・電話番号
住所や電話番号は、それ単体では、特定の個人を判別することはできません。
しかし、住所と電話番号は、個人を特定するうえで非常に重要な情報です。他の情報と照合することができ、その他の情報と合わさることで、個人を識別できれば、住所や電話番号も個人情報となります。
メールアドレス
メールアドレスは、英語や記号の羅列ですから、通常個人情報には該当しません。
しかし、アドレス内に個人名が含まれ、所属する企業名がドメインになっている場合(例 氏名@会社名.co.jp)には、個人の識別をすることができるため、個人情報となります。
また、メールアドレスそれ自体で個人の識別ができなくても、他の情報との照合が簡単でその情報と合わせることで個人の識別ができれば、個人情報となります。
個人情報と要配慮個人情報・匿名加工情報・仮名加工情報の違い
個人情報保護法では、個人情報のほか、要配慮個人情報・匿名加工情報・仮名加工情報が規定されており、それぞれの定義の違いや取り扱い方の違いについて明確に定めています。
要配慮個人情報と個人情報の違い
要配慮個人情報とは、個人の人種、信条、社会的身分、医療歴、犯罪歴等、その他本人に不当・偏見が生じないよう、特に配慮が必要な情報を指します。例えば、アイヌ民族である、在日韓国人といった民族的な情報は、要配慮個人情報に当たりますが、単なる国籍は要配慮個人情報には当たりません。
要配慮個人情報は、非常にデリケートな情報であるため、要配慮個人情報の取得は、本人の同意を得なければなりません。同意を得ずに要配慮個人情報を得た場合には、その情報は違法に取得した情報となるため、企業は、その利用の停止や消去をしなければなりません。他方で、単なる個人情報の取得には、違法な方法で取得する場合でない限り本人の同意を必要としません。
匿名加工情報と個人情報の違い
匿名加工情報とは、特定の個人を識別することができないように匿名加工された情報のことを指します。
匿名加工情報といえるためには、特定個人を識別できる個人情報に復元できないようにするものであることが必要です。
匿名加工情報を第三者に提供したり、これを受け取る場合には、本人の同意を得る必要がありません。他方で、個人情報をデータベース化した個人データを第三者に提供する場合には、原則として本人の同意が必要とされます。
仮名加工情報と個人情報の違い
仮名加工情報は、他の情報と照合しない限り特定の個⼈を識別できないように個⼈情報を加⼯して得られる個⼈に関する情報のことをいいます。
個人情報を仮名加工情報に加工することで、本人の同意を得ることなく、取得時の利用目的とは異なる目的で利用することができます。他方で、個人情報であれば、目的外の利用は本人の同意を得なければなりません。
個人情報と個人情報データベース・個人データ・保有個人データとの違い
個人情報保護法には、個人情報だけでなく「個人情報データベース」、「個人データ」、「保有個人データ」といったさまざまな概念が存在しており、それぞれ異なる取り扱いが定められています。
個人情報データベース
個人情報データベースとは、個人情報を含む情報の集合であって、個人情報を検索できるように体系的に構成されているデータをいいます。
単に個人情報を保有しているだけではなく、システマチックに整理・管理されており、必要に応じて検索や利用が可能なものを指すのです。
パソコン上で管理されている個人情報だけでなく、紙で管理されていても、あいうえお順やアルファベット順など、一定のルールにより管理されていれば、個人情報データベースとなります。
個人情報がデータベースとして管理されていない限り、個人情報データベースとはなりません。
個人データと保有個人データ
「個人データ」という用語は、個人情報データベース内で記載された個人情報を指します。
保有個人データとは、個人データの中でも個人情報取扱事業者が開示等のできる権限を有するもの(2条7項)と定義されています。つまり、事業者がある程度自由に取り扱うことのできる個人データをいいます。個人データが保有個人データに該当する場合、事業者には、保有個人データに関する事項の公表等(法32条)や開示等(法33条~38条)に応じる義務を負います。
個人情報保護法が適用される事業者とは
個人情報保護法は個人情報を取り扱う事業者を規制する法律で、個人情報保護法が適用される事業者を「個人情報取扱事業者」といいます。
個人情報取扱事業者は、個人情報データを事業に利用しているすべての業者をいい、営利目的があるかどうかは問いません。
たとえば顧客データ、従業員のデータ、アドレス帳や電話帳、名簿などを利用している法人や団体、個人事業者はすべて個人情報保護法による規制を受けると考えましょう。
以前は「5000件以上の個人情報を取り扱う業者」に限定されていましたが、法改正によって1件でも個人情報を取り扱っていれば個人情報保護法が適用されます。
個人情報保護法の適用を受ける事業者は、次の項目で紹介するルールを守る義務を負います。
個人情報の取得方法、法律上のルール
個人情報取扱事業者が個人情報を取得する際には以下のようなルールを守らねばなりません。
利用目的を特定する
個人から個人情報の提出を受ける際には必ず「利用目的」を特定する必要があります。
たとえば「アフターサービスの提供」や「新商品のお知らせを提供する」などの具体的な特定が必要です。
「事業活動に利用するため」などのあいまいな表現では「特定」できていないので要件を満たしません。
直接取得の場合における明示のルール
本人から直接書面等により個人情報を取得する場合には,「取得前」に利用目的を本人に明示する必要があります。
本人から直接書面で個人情報を取得する場合とは,
- 本人の個人情報が記載された申込書を直接本人から取得する場合
- アンケートに記載された個人情報を直接本人から取得する場合
です。
利用目的の明示といえるためには,書面の場合には,本人が認識できる場所や文字の大きさで利用目的を記載し,ネットワーク上では送信ボタンをクリックする前等に利用目的が本人の目に留まるように配慮して表示する必要があります。
直接取得以外の場合における通知公表のルール
本人から書面等により直接取得する場合以外で,個人情報を取得する際には、「取得後」速やかに利用目的を「通知」するか,「取得前」に利用目的を「公表」しなければなりません。
たとえば,「通知」方法としては,メールアドレスの提出を受けるときに「今後メールによってお得な情報をお届けするために登録してください」などと通知します。通知方法は書面に限定されず、電話、メール、郵便などの方法でかまいません。次に,「公表」方法としては,ホームページやパンフレットに記載する方法が考えられます。
個人情報を利用できるのは目的の範囲内のみ
個人情報を取得した場合、あらかじめ本人に告げた利用目的の達成に必要な範囲でしか利用できません。
別目的で利用する場合には本人の承諾が必要です。
たとえばECサイトなどにおいて「新商品の情報を届けるため」にメールアドレスを取得したのに、「新規事業のモニター勧誘」のために利用したい場合などには事前に「メールアドレスをモニター募集のために使ってもよいですか?」と確認しなければなりません。
適正な方法で個人情報を取得
個人情報は「適正な方法」で取得しなければなりません。たとえば相手をだましたり脅したりして提供させると違法です。
個人情報保護法違反には罰則も用意されています。1件でも個人情報を取り扱う事業者であれば適用対象になるので、法律の規制内容を正しく知って事業を運営していきましょう。
個人情報保護法に違反した時の責任
個人情報保護法に違反した場合、事業者は刑事及び民事上の責任を負う可能性があります。
刑事上の責任(罰則)
保護法には刑事罰の規定が設けられています。例えば、個人情報を不正に取得したり、第三者に提供したりした場合、事業者や個人は、一定の条件の下で罰せられる可能性があります。
個人情報保護法は、事業者の違反行為に応じて罰則の種類や程度を定めています。
万が一、個人情報保護違反により罰則を受ければ、企業の社会的な信用失墜にも繋がるため、企業には個人情報の適切な対応が求められます。
| 違反の内容 | 罰則の内容 |
| ①業務で取り扱う個人情報データベース等を、自己や第三者の不正な利益のために提供または盗用する(個人情報データベース等提供罪) | 1年以下の懲役または 50万円以下の罰金 法人は1億円以下の罰金刑 |
| ②個人情報保護委員会の命令や緊急命令に違反する | 1年以下の懲役または 100万円以下の罰金 法人は1億円以下の罰金刑 |
| ③個人情報保護委員会に対して、報告・資料の提出を行わない、虚偽報告をする、検査を拒否するなど | 50万円以下の罰金 法人も50万円以下の罰金 |
民事上の責任(損害賠償請求を受ける)
個人情報の取り扱いにおける違法行為により、もし本人に損害が生じた場合は、その事業者は民事上の責任を負います。具体的には損害賠償請求の対象となることが考えられ、これにより経済的な負担が伴います。このため、事業者は個人情報の適切な管理はもちろん、違反した際の法的リスクについても常に意識し、予防措置を講じる必要があるのです。
個人情報保護法の問題は弁護士に相談を
情報化社会では、個人情報が一度漏洩すると、取り返しが付かない事態となります。直近の法改正により個人情報を取り扱う法人の罰則が厳しくなっており、企業に求められる責任は年々に重たくなっています。
個人情報保護法に従った個人情報の管理を徹底するため、弁護士に相談することを検討してください。
初回相談30分を無料で実施しています。面談方法は、ご来所、zoom等、お電話による方法でお受けしています。
お気軽にご相談ください。対応地域は、大阪難波(なんば)、大阪市、大阪府全域、奈良県、和歌山県、その他関西エリアとなっています。
