個人情報とは【データ用語解説】
データ用語解説の趣旨
データに係る仕事をしていて、まだまだデータ利活用に関する用語を誤解していることが多いなと感じています。
という事で、データ利活用に係るデータサイエンティスト、データエンジニア、ビジネス部門、業務部門の人たちが押さえておきたい用語を解説していきます。
今回は「個人情報」について解説します。
個人情報保護法を勉強におススメの本
個人データ戦略活用 ステップでわかる改正個人情報保護法実務ガイドブック
個人情報保護法を順守するための基本的な考え方が実務ベースで書かれている。2022年4月に施工される改正個人情報保護法で新たに追加される概念も同様に記載されている。
政府の出しているガイドラインよりも俯瞰的に読めるためデータプライバシーにかかわる人、データを使ったビジネスを推進する人は読んでおくとスムーズに業務が進められる。
個人情報とは
個人情報保護法にはこのように定義されています。
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
1.当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
2.個人識別符号が含まれるもの
個人情報保護法に記載されている「1」と「2」について具体例を見ていきましょう。
1.当該情報に含まれる氏名、生年月日その他の記述等に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項により特定の個人を識別することができるもの。
個人情報保護法の条文を見ると何を言っているかわかりませんが、シンプルに書くとその情報単品で見て個人にたどり着ける情報であれば個人情報です。
具体例を出すと苗字などは「佐藤」「鈴木」さんのようにそれだけでは個人にたどり着けない苗字は「1」に該当せず個人情報とは言えません。
一方で「右衛門五郎 ※現存しません」さんといった全国で1名しか存在しない苗字だったらそれは「1」に該当して個人情報になります
というように苗字でも個人を識別できる苗字と個人を識別できない苗字が存在します。
なので苗字が入ったデータベースは個人情報が入ったデータベース、すなわち個人データであるとしておいたほうが良いです。
個人を識別する方法は何通りか考えられます。
一般的に公開されている情報で識別できるケース
具体例を出すと住所は地図を見れば本人にたどり着けるので、簡単ですね。
位置情報(GPSレベルの緯度、経度)も住所とほぼ同じで地図を見れば本人にたどり着けるので個人情報となりえます。
自社の持つ他の個人情報と紐づけられて識別できる
具体例を出すとIPアドレス、Cookie情報、内部附番IDなどそれだけでは本人にたどり着けないが、IPアドレスと顧客マスタが紐づけされていて、自社内で顧客の住所、氏名がわかれば個人情報となりえます。
意図せず紐づけされるキーとなるケース
具体例を出すと掲示板(2ch)のIDがそれにあたります。
2chは基本的に匿名掲示板なので、例えば掲示板に
「私はよしむらです」と書き込んでも個人情報にはならないが、同じIDで
「私は会社員です」「私は〇〇に住んでます」と色々書き込んだときにそれが同一人物となり個人にたどりつける可能性が出てきます。
なので、Webサービスに公開しているIDは個人情報となりえます。
個人情報を入力される可能性があるケース
具体例を出すとメールアドレスは本人が任意の文字列を決めることができるので、aaaa@hoge.xx.jpのときは個人情報ではないメールアドレスです。
たとえばuemongorou@hoge.xx.jpと1人しかいない苗字をメールアドレスに設定してしまった人は、苗字と同じ扱いになり個人情報となりえます。
個人情報のなりえる項目の一覧
個人情報保護法に準拠するために、個人情報として扱ったほうがよい項目の具体例を一覧化するとこのような項目となります。
・IPアドレス
・WebサービスのID(TwitterID、FacebookID等)
・住所
・電話番号
・Cookie情報
・位置情報(GPSレベルの緯度、経度)
・メールアドレス
・MACアドレス
・スマホの個体識別番号
・メールアドレス
・本人と特定できる画像、動画
2.個人識別符号が含まれるもの
個人識別符号は個人情報保護委員会が定義を公開しているので、特に解説することもなく覚えてください。
(1)次に掲げる身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの
(ア)DNAを構成する塩基の配列
(イ)顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌
(ウ)虹彩の表面の起伏により形成される線状の模様
(エ)発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化
(オ)歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様
(カ)手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状
(キ)指紋又は掌紋
(2)旅券の番号、基礎年金番号、運転免許証の番号、住民票コード及び個人番号
(3)国民健康保険、後期高齢者医療制度及び介護保険の被保険者証にその発行を受ける者ごとに異なるものとなるように記載された個人情報保護委員会規則で定める文字、番号、記号その他の符号
(4)上記(1)~(3)に準ずるものとして個人情報保護委員会規則で定める文字、番号、記号その他の符号
よく誤解されるケース1
Q.上で説明された「1」「2」以外は個人情報じゃないんだよね?
A.とよく誤解されていますが、そうではありません。「1」「2」の個人を識別できる情報と紐づいている生存する個人に関する情報は全て個人情報です。先ほどの個人情報保護法の条文の一番最初にも明記されてます。
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
ただ、その疑問を持った人は当然いるらしく、意見募集のときに意見として出てました。
個人情報保護委員会からの回答は、当然個人情報なので明確にするまでもないといった内容でした。
よく誤解されるケース2
Q.社内で個人を特定できる情報を消して加工すれば個人情報を取り扱っていることにならないんだよね?
A.同じ社内で個人を識別できれば個人情報を取り扱っていることになります。下のケースであれば社員IDと名前が紐づけられているテーブルが存在しており、いつでも社員IDから名前に変換することができるので個人情報です。
個人情報ではなくするために匿名加工情報という定義があり、ルールに沿った加工をすると個人情報ではなくなります。
個人情報保護法を勉強におススメの本
個人データ戦略活用 ステップでわかる改正個人情報保護法実務ガイドブック
個人情報保護法を順守するための基本的な考え方が実務ベースで書かれている。2022年4月に施工される改正個人情報保護法で新たに追加される概念も同様に記載されている。
政府の出しているガイドラインよりも俯瞰的に読めるためデータプライバシーにかかわる人、データを使ったビジネスを推進する人は読んでおくとスムーズに業務が進められる。
今すぐわかるデータマネジメントの進め方
著者のDMBOKを用いてCDO室を立ち上げデータマネジメントを推進した経験を基にデータマネジメントの進め方をまとめたkindle本を執筆しました。
この記事が気に入ったらサポートをしてみませんか?