ここ数年、個人情報漏洩事故の報道が後を断たない状況にあり、個人情報漏洩事故の件数や規模は増加傾向にあります。
東京商工リサーチ社の情報によると2022年に発生した情報漏洩・紛失事故は165件(150社)に上ります。中には100万件を超える大規模な事故も発生しています。(出典:東京商工リサーチ ウェブサイト)
これに対して個人情報保護法も、個人情報への意識の高まりやAIやビックデータなどのデジタル変革への対応やビジネスグローバル化による越境データ流通に対する対応、グローバル基準への調和など改正を重ねてアップデートされていっています。
普通に仕事や生活をしている中で、企業の中の一員としても個人としても個人情報漏洩事故の被害者になる可能性がある一方で、個人情報の取扱いに関する知識や認識の不足から意図せず加害者になる可能性もあります。
個人情報が漏洩したらどのようなことになるのか?
個人情報漏洩事故の被害者は、犯罪行為や特殊詐欺に巻き込まれたり、クレジットカード等を不正に利用されたり、あるいはSNS等でプライベートを見られたり様々な被害を受けます。
一方、加害者側は情報漏洩に関する罰則(懲役・罰金)を受けたり、被害者に損害賠償を支払うことになったりまた、社会的信用の失墜から様々な影響が出てきます。
デジタル技術が進化しグローバル化が進む高度デジタル社会である今、ビジネス等に「個人情報」の利活用することは当たり前となっており、その重要なピースを担う仕事である我々ITエンジニアとしては、「なんとなく知っている」や「なんとなく大丈夫だろう」という漠然とした感覚でいては社会的責任を果たせないと感じ、個人情報保護についての知識や認識を持ちたいと考えます。個人情報保護の方面にも知見のあるプラスワンなITエンジニアを目指します。
この記事では、個人情報保護法を理解する上でまずは「個人情報」とはどのようなものなのかをまとめています。
個人情報の定義
個人情報保護法(2条1項)において、「個人情報」は以下のように定義されています。
大前提として「生存する」個人に関する情報とあり、その上で以下のような情報を個人情報のことを言います。
- 氏名、生年月日、住所、電話番号などを組み合わせて個人を特定できる情報(記述による識別性)
- 他の情報と照合することで個人を特定できる情報(照合性)
- 個人識別符号が含まれる情報
電話番号などそれ単体では個人情報になりませんが、氏名、住所、電話番号、生年月日と組み合わせると個人情報になります。組み合わせには文字情報だけでなく写真や動画や音声なども含まれます。
例えば、動画の中に個人情報が含まれた情報が存在するなどです。
SNS等にアップする写真や動画などは個人情報として扱われるケースがあるので、友人・知人の写真や動画をアップする場合は注意が必要です。
現在所有しているデータが個人情報に当たらなくても将来新たに得た情報と組み合わせて個人情報となるケースもあるので、この点も注意が必要です。
よく迷うメールアドレスは個人情報なのかどうかという点について確認しました。個人情報保護委員会のウェブサイトのFAQでは以下のような記載がありました。
出典:個人情報保護委員会サイトFAQ(Q1-4)
個人識別符号
個人情報保護法(2条2項)において個人識別符号とは「その情報単体で特定の個人を識別できてしまう法令で定められた情報」と定義されています。具体的には、以下のような情報となります。
- 身体の特徴をデータに変換した符号
-
以下は身体の特徴を変換したデータであり、これらの情報で個人が特定できるため個人情報となります。
- DNA情報
- 指紋データ、声紋データ、歩容データ
など
- サービスで利用する個人ごとに割り振られている符号
-
以下はどれも番号が判明すると個人を特定できてしまいますので個人情報となります。
- マイナンバー
- 運転免許証番号
- パスポート番号
- 基礎年金番号
など
クレジットカードや携帯電話番号は紛失したりしますが、個人情報に当たるのか気になりましたので少し調べました。個人情報保護委員会のウェブサイトのFAQでは以下のような記載がありました。
出典:個人情報保護委員会サイトFAQ(Q1-25)
該当しないようですね。
個人情報の性質から見た分類
個人情報保護法での「個人情報」は、情報の性質によりいくつかに分類することができます。それぞれの種類により、個人情報保護法での扱いが変わってきます。
- 要配慮個人情報(法第2条第3項)
-
人種・信条・社会的身分・病歴・犯罪経歴・犯罪被害歴・心身の機能障害(身体障害・知的障害・精神障害など)など差別や偏見など本人が不要な不利益を被らないように特に配慮すべき情報
- 匿名加工情報(法第2条第6項)
-
一定の措置を講じて他の情報と照合しない限り特定の個人を識別することができないように、且つ復元できないように個人情報を加工した個人に関する情報
- 仮名加工情報(法第2条第5項)
-
一定の措置を講じて他の情報と照合しない限り特定の個人を識別することができないように、個人情報を加工した個人に関する情報
- 個人関連情報(法第2条第7項)
-
生存する個人に関する情報で、個人情報、仮名加工情報や匿名加工情報にあたらない情報
仮名加工情報と匿名加工情報の大きな違いは、復元できるかどうかという点にあります。
会社で行う健康診断の結果は要配慮個人情報に当たるのかを調べてみました。個人情報保護委員会のウェブサイトのFAQでは以下のような記載がありました。
出典:個人情報保護委員会サイトFAQ(Q1-28)
健康診断の結果は該当しますね。
個人情報の管理方法からみた種別
個人情報保護法での「個人情報」は、情報の管理方法や権限の有無によりいくつかに分類することができます。それぞれの種類により、個人情報保護法での個人情報に対する権利や義務が変わってきます。
- 個人データ
-
個人情報データベース等を構成する個人情報のことです。
個人情報は、個人情報データベース等に含まれた段階で個人データとなります。 - 保有個人データ
-
個人データの中でも特に、本人若しくは代理人からの開示、訂正、追加、削除、利用停止、第三者提供の停止等の請求に応じること権限を持っているものをいいます。
概ね行委託以外で利用するものはほとんどが該当します。
※但し、保有個人データについては除外事項が存在します。 - 個人情報データベース等
-
個人データを含む情報の集まりで、体系的に管理されており誰もが容易に検索できるような検索性がある情報をいいます。例えば、名刺を集めて名刺管理ソフトに入植されたデータや名刺を名前順に並べて保管しているものが個人情報データベース等に該当します。デジタルであるか紙であるかは問いません。
電話帳などは個人情報データベース等にあたるのか疑問に思いましたので調べました。個人情報保護委員会のウェブサイトのFAQでは以下のような記載がありました。
出典:個人情報保護委員会サイトFAQ(Q13-1)
該当しないようです。
まとめ
今回は、「個人情報」とは何かという定義を記載しました。
私たちは、日常的に個人情報に触れることが多いです。
スマートフォンのアドレス帳や、名刺管理ソフト、住所録など、無意識のうちに個人情報データベース等を保有していることもあります。このような個人情報に対して「意識していない」ことが怖いことだと感じます。
ITエンジニアとしても商用利用されているデータベースを日常的に利用します。
時には、個人情報が含まれるものも扱うことがあります。
身の回りにある「個人情報」は何か?をあらためて確認した上で適切に管理したいと思いました。
次回は、「個人情報保護法における個人情報に対する義務・権利関係や取扱い」についてまとめてみようと思います。
生まれ持ってのインフラエンジニア。20年超第一線で頑張ってきました。インフラ業界の生き字引。オンプレもクラウドもこなします。ボスの指令で個人情報保護士の資格を取得。次の10年に向けてG検定も取得し、データ分析も学習中。インフラエンジニアですが、pythonを組めるようになってきました。
