見出し画像
Photo by soeji

改正個人情報保護法の関連用語を図を用いて説明します

よしむら@データマネジメント担当

個人情報保護法の用語が難しい

個人情報保護法を順守するために法務と話をするのだけど、法務はITの事をあまり理解してなくて、ビジネス&システムは個人情報保護法の事を理解していないみたいなことになっていて大変でした、そのときビジネス&システムに説明した個人情報保護法の用語をnoteでもまとめます。

自分はビジネス&システム側として法務と喧々諤々と議論して得た内容で、法務知識はないため間違っていたらコメントください。

押さえておきたい用語

  • 個人情報

  • 個人データ

  • 要配慮個人情報

  • 個人識別符号

  • 仮名加工情報(個人情報)

  • 仮名加工情報(個人情報ではない)

  • 匿名加工情報

  • 個人関連情報                                                                                        

個人情報

この法律において「個人情報」とは、生存する個人に関する情報であって、 次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電 磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。 次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録 され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を 除く。)をいう。以下同じ。)により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することが できることとなるものを含む。)
二 個人識別符号が含まれるもの

個人情報保護法より

個人情報の解説

氏名によって個人が特定できる情報であり、表現方法は問わない。
例えばデータベースに入っていても個人情報だし、紙のアンケートで答えた内容も個人情報となる。

個人情報について


個人データ&個人情報データベース等

この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であ って、次に掲げるものをいう。 1 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成し たもの 2 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系 的に構成したものとして政令で定めるもの
この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

個人情報保護法より

個人データ&個人情報データベース等の解説

個人情報を集合にして容易に検索できるようにしたものを個人情報データベース等と呼ぶ。個人データは個人情報データベース等を構成する個人情報の事を個人データと呼ぶ。

個人データ&個人情報データベース等において解釈が難しいと思っている点

データベースは個人情報データベース等だが、プログラムから出力されるログはどうなんだろうか、おそらく検索性が高いログは個人情報データベース等にあたり、検索性が低いログは個人情報データベース等あたらない。

ファイリングされたアンケートに索引があれば個人情報データベース等になると思うが、索引が無ければどうなんだろうかとか、索引がなくとも五十音順で並べられていれば個人情報データベース等になるのか。

といった点が難しい点だと思う。

個人情報データベース等と個人データについて


要配慮個人情報

取得については、原則として事前に本人の同意を得る必要のある情報。個人情報保護法の改正により新たに導入された定義。次のいずれかに該当する情報を「要配慮個人情報」とし、一段高い規律とする。
①人種、信条、社会的身分、病歴、前科・前歴、犯罪被害情報
②その他本人に対する不当な差別、偏見が生じないように特に配慮を要するものと して政令で定めるもの ・ 身体障害・知的障害・精神障害等があること ・ 健康診断その他の検査の結果 ・ 保健指導、診療・調剤情報 ・ 本人を被疑者又は被告人として、逮捕、捜索等の刑事事件に関する手続 が行われたこと ・ 本人を非行少年又はその疑いのある者として、保護処分等の少年の保護 事件に関する手続が行われたこと等

個人情報保護法より
要配慮個人情報について

要配慮個人情報について解説

「要配慮個人情報」に定められている項目が個人を特定できる情報と紐づいているかという点なので特に難しい点はない。

要配慮個人情報において解釈が難しいと思っている点

病歴というのが例えば薬局に行って貧血の薬を買ったというのがわかる個人情報を保持していた時など、守りの目線で見ると要配慮個人情報にあたるのではないかというのが論点になってくる。
ただ、気にしすぎるとなんでも間でも要配慮個人情報にあたるともいえるため、条文に沿ったストレートな情報のみを要配慮個人情報とするのが実務的にはよさそう。

個人識別符号

個人情報の定義の明確化を図るため、その情報単体でも個人情報に該当することとした 「個人識別符号」の定義を設けた。「個人識別符号」は以下①②のいずれかに該当するものであり、政令・規則で個別に指定 されている。
① 身体の一部の特徴を電子計算機のために変換した符号 ⇒DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋
② サービス利用や書類において対象者ごとに割り振られる符号 ⇒公的な番号 旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、 各種保険証等

個人情報保護法より
個人識別符号について

個人識別符号について解説

「個人識別符号」に定められている項目が個人を特定できる情報と紐づいているかという点なので特に難しい点はない。

仮名加工情報(個人情報)

この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)

個人情報保護法より
仮名加工情報(個人情報)について

仮名加工情報(個人情報)について解説

個人を特定できる情報を加工して、その情報だけ見ても個人を特定できないようにして、その情報を個人情報取扱事業者が仮名加工情報と定義して管理することを言う。かっこ個人情報とつくのは会社単位で見た時には識別子から個人を特定できるため会社としては個人情報となる。
なお、仮名加工情報と定義しないものはその情報だけ見た時に個人を特定できなくても個人情報となる。

今までこういったデータを個人情報として管理していたものを、新しい概念である仮名加工情報として管理するのはかなり骨が折れる。
例えば仮名加工情報として定義したデータベースから仮名加工情報データをエクスポートして保存したとき、個人情報として扱っているデータか、仮名加工情報(個人情報)として扱っているデータかをわかるようにラベリング等する必要がある。

仮名加工情報(個人情報ではない)

この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

個人情報保護法より
仮名加工情報(個人情報ではない)

仮名加工情報(個人情報ではない)について解説

仮名加工情報を見て個人を特定でいないときは仮名加工情報(個人情報ではない)情報になる。
仮名加工情報は第三者提供ができないため、仮名加工情報(個人情報ではない)を持ち得るのは業務委託のためにデータを授受した相手先という事になる。

匿名加工情報

この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

個人情報保護法より


匿名加工情報について

匿名加工情報について解説

仮名加工情報は会社単位で見た時には識別子から個人を特定できるようになっているものだが、匿名加工情報は会社単位で見てもどうやっても個人にたどり着けないようになっている情報。

ちょっと難しいのが、この例ではマッピング情報を消せば匿名加工情報と書いているが、男かつカレーが好きな人は「よしむら」しかいないのであれば、別で保持している個人情報と紐づけられるので実は匿名加工情報にはなっていない。

こういったことが、匿名加工情報に関する事業者の義務として定められている。

個人関連情報

生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの

個人情報保護委員会Webサイトより
個人情報保護委員会Webサイトより

個人関連情報について解説

4月より個人情報保護法の施行に伴い、Webサイトを見るとCookieの同意が出るページが多くなったのはこの対応によるもの。
Webサイト側では訪問者が誰であるかという個人は特定できないけど、AdSenseを配信しているGoogleにとってはCooikeの情報を受け取るとその個人が特定できるため個人関連情報として扱われている。
同様にスマホのUAID、IDFAといったものも取得元では個人を特定できなくて、送り先では個人を特定できる情報は個人関連情報となる。

自分が知っている限りの個人関連情報となりそうなもの
・Cooikeの情報
・スマホの端末ID
・電話番号

おわりに

自分の知識をまとめるためと今後誰かがデータマネジメントをやってみたいと思った時のきっかけとなるためにnoteを書くことにしました。

モチベーションのために役にたったという人はぜひ、フォロー&スキをお願いします。

ツイッターでもデータマネジメントに係る情報をつぶやいてますので、よろしくお願いします。

データマネジメントを学ぶ人が抑えておきたい本

DXを成功に導くデータマネジメント

DXを成し遂げるために必要なデータをどうマネジメントしていけばよいかが書かれている。
データ環境より、セキュリティの観点であったり、プライバシーの観点であったりといった非技術者向けの内容が多く書かれている。
データマネージメントに興味を持った人はまずは読んでみるとデータマネジメントでなすべき概要が理解できる。

実践的データ基盤への処方箋

データ利活用を行うために必要なデータ基盤の考え方と、利活用するためにはデータをどのようにマネジメントしていけば良いかを具体的な例を用いて説明されている。
技術が中心になるので現在データ技術に係る人がデータマネージメントに興味を持った時には、まず手に取ることをおすすめする。

個人データ戦略活用 ステップでわかる改正個人情報保護法実務ガイドブック

個人情報保護法を順守するための基本的な考え方が実務ベースで書かれている。2022年4月に施工される改正個人情報保護法で新たに追加される概念も同様に記載されている。
政府の出しているガイドラインよりも俯瞰的に読めるためデータプライバシーにかかわる人、データを使ったビジネスを推進する人は読んでおくとスムーズに業務が進められる。

データマネジメント知識体系ガイド(DMBOK)

自分も要約・解説記事を書いているDMBOK。データマネジメントに興味を持った人がまず手に取ると挫折することは間違いないほどのボリュームがある。
読めば読むほど味が出てくるので、データマネジメントを進めようとしている人は各家庭に1冊は是非買っておきたい。

データマネジメントが30分でわかる本

本の著者もDMBOKを読むためには非常にボリュームが多く読み解くには苦労するので、かみ砕いた解説書をまとめたと書いてある通り、DMBOKを独自解釈してわかりやすく書かれている。
DMBOKを技術者目線で読み解いた内容になっているので、実践的データ基盤への処方箋と同様データ技術に係る人におすすめする。

この記事が気に入ったらサポートをしてみませんか?