分かっているようで難しい!「個人情報」とは何かを解説
法務


昨今、「個人情報の保護」の意識の高まりもあり、ビジネスにおいて個人情報の取扱いに悩まれる事業者の方も多いのではないでしょうか。
私も日ごろの業務においてお客様から個人情報に関するご相談をいただくことが多いのですが、その中で、そもそも何が「個人情報」なのか、という出発点の理解が不足している例が散見されます。

例えば、プライバシーポリシーを作成するにあたり、サービスにおいて具体的にどういった個人情報を収集するのかを列挙することが多いですが、お客様に列挙していただいたところ、そもそも個人情報でないものが含まれていたり、あるいは収集されるはずの個人情報が含まれていなかったりということがあります。

他にも、個人情報に該当するか否かによって法律上の義務も変わってくることになりますので、「個人情報」を正確に理解することは重要です。

そこで今回は、「個人情報とは何か」について、すこしかみ砕いて解説いたします。

この記事の目次

1.法律上の定義

個人情報というのだから、「個人に関する情報」のことでしょ?とお考えの方も多いかもしれません。この考え方でも大きく外れることはありませんが、やはり正確性に欠く、ということになってしまいます。

「個人情報」は法律用語ですので、まずは法律においてどう定義されているかを確認しましょう。「個人情報」は、「個人情報の保護に関する法律」において、以下のとおり定義されています。

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの


法律の書き方は非常に分かりにくいですが、「個人情報」かどうかを判断するうえで重要なポイントは下線を引いた部分です。
すなわち、

① 生存する個人に関する情報であること


② 単独又は他の情報と容易に照合することで特定の個人を識別することができること

です。

①は割とシンプルで、ひとまず「亡くなった故人に関する情報は個人情報に含まない」とご理解いただければ十分です。

一方で、②は理解が難しいところです。
まず、「特定の個人を識別することができる」の部分ですが、これは「社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物と情報との間に同一性を認めるに至ることができること」をいうとされています。かなりかみ砕いて言うと、とある情報を見たときに、特定の「この人に関するものだ」と分かるということです。

なお、個人情報に該当するかどうかは相対的に判断されるものであり、その情報に接した人によって変わります。例えば、とある電話番号がある場合に、Aさんにとってまったく知らない番号であれば、Aさんはその番号を見ても誰のものか分かりませんので、個人情報には該当しません。しかし、Bさんの知り合いの番号であれば、Bさんはその番号を見れば「●●さんのものだ」と分かりますので、Bさんにとっては個人情報に該当します。

2.具体例

では、個人情報に該当するものというのは、具体的にはどんなものがあるでしょうか。ここでは典型的なものをご説明いたしますが、注意すべきは上で述べたように「個人情報に該当するかは人によって変わる」という点です。そのため、最終的に個人情報に該当するかは、個別の事情を踏まえて判断しなければなりません。

個人情報の典型例として挙げられるのは「氏名」です。これは皆様も違和感ないところかと思いますが、氏名が個人情報であるという点も、少し解説が必要です。上記のとおり、個人情報に該当するには、「特定の個人を識別することができる」ことが必要です。特徴的な氏名であり、世の中に1人しか存在しないというのであれば、当然に個人情報となりますが、同姓同名がいる場合はどうでしょうか。厳密には、同姓同名がいる場合、氏名のみでは「特定の個人を識別することができる」とはならないはずです。しかしながら、ここは行政解釈により、「氏名は個人情報に該当する」という取り扱いがされています。つまり、法律の定義上、当然に氏名=個人情報となるわけではないのです。

それでは、「住所」や「電話番号」はどうでしょうか。
住所であれば、その住所に複数の人が居住しているかもしれませんし、そもそも人が住んでいない住所かもしれません。また、電話番号も個人のものや法人・団体のものがありますし、まったく知らない電話番号であれば誰のものか特定もできません。このように考えると、住所や電話番号は個人情報だ、とお考えの方も多いと思いますが、当然に「特定の個人を識別することができる」情報とは言えないため、常に個人情報に該当するわけではない、ということになります。

3.よくある勘違い

時々、「取得するのはメールアドレスだけなので大丈夫ですよね?」と聞かれることがあります。メールアドレスも電話番号と同じく、まったく知らないアドレスであれば特定の個人を特定することもできないため、個人情報ではない可能性が高いです。
しかし、メールアドレスの一部に氏名などを使っている場合(例:ichiro.yamada@●●.jp)には、メールアドレスのみならず氏名も取得していることになり、個人情報を取得していることになりますので注意が必要です。つまり、メールアドレスはその文字列によって、単独で個人情報になることもあれば、ならないこともある、というのが正確な理解になります。

同様に、「取得するのはユーザーIDだけで、本名は含まれないので大丈夫ですよね?」と聞かれることもあります。ユーザーIDは、通常はそれ自体で特定の個人を識別することはできないため、個人情報には該当しないと考えられます。しかし、個人情報は「特定の個人を識別することができる」かで決まるため、本名ではないから大丈夫、という判断は尚早です。例えば、著名なYouTuberはニックネームで活動していることが多いですが、動画に顔を映している方も多く、そのような場合はニックネームであっても当該YouTuber(=特定の個人)を識別できますので、個人情報に該当することになります。

4.まとめ

このように、個人情報保護は誰もが関係し得る一般的な問題でありながら、その出発点である「個人情報とは何か」、という点すら理解が難しいものです。今回は単独で「個人情報」となるか、という観点からご説明してきましたが、「他の情報と容易に照合することで」特定の個人を識別できる場合も個人情報に該当します。つまり、上記では住所・電話番号・メールアドレスなどは個人情報に該当しない場合もあるとご説明しましたが、これは単独で見た場合の話であり、他の情報との照合可能性によって、さらに個人情報に該当するかが検討されなければならないということです。

また、繰り返しになりますが、個人情報に該当するかは相対的に決まるものであり、その情報の性質のみから決まるものではありません。他人にとって個人情報でなくとも、自分にとっては個人情報になる、ということが往々にして生じますので、「あの会社は個人情報として取り扱ってないから大丈夫」などと考えてしまわないよう注意が必要です。

個人情報の該当性は思った以上に難しい判断が必要となることがご理解いただけたかと思います。個人情報の取扱いが見込まれる場合は、ぜひ一度、専門家にご相談ください。

記事のキーワード*クリックすると関連記事が表示されます

メルマガ登録(毎週水曜配信)

SHARES LABの最新情報に加え、
経営に役立つ法制度の改正時事情報などをお送りします。