Pマークでは名前がない個人情報も保護する必要がある？

プライバシーマーク（Pマーク）の取得には、１年近い時間と高い予算が必要となり、簡単に取得できるものではありません。取得活動をするメンバーはもちろん、社員や従業員全員が、「個人情報」についての学習をし、その内容をしっかり理解することが大切となってきます。

プライバシーマーク（Pマーク）の取得をされる場合には、「プライバシーマーク取得支援サービス」を利用することで、プライバシーマーク（Pマーク）に要求される教育について、より分かりやすく学ぶことができ、その後の運用などもサポートしてもらうことができます。

ほとんどの事業所では、取得だけに専念できる環境ではなく、通常の業務と並行して取得活動をすることになりますので、スムーズな取得活動をすることで、社員のモチベーションを下げることもなく、余計な手間や時間、コストを削減することが可能となります。

何よりも、JISQ15001の要求事項に基づいた社内体制を正しく学ぶことによって、強制的に管理体制の強化が行なわれます。プライバシーマーク（Pマーク）の取得を行なう際に定めた社内ルールによって、自動的に管理する基盤が整いますので、それは会社にとって大きな財産となるでしょう。正しい教育によって社員の意識が向上すれば、情報漏洩などによる経営リスクが格段に低くなるというメリットがあります。

個人情報の定義とは

個人の情報の定義とは、基本的には個人を特定や識別することができ、手掛かりとなる情報のことをいい、配慮なく公開すべきではないプライバシーにあたります。具体的な例としては、個人の氏名や住所、性別、生年月日、年齢、電話番号などの基本情報はもちろん、そのほかにも学歴や職歴、勤務先名なども個人の情報として扱われます。

さらに、結婚歴や病歴、クレジットカードの番号、前科の有無などもその対象となります。なかでも、個人の財産や資産状況、借金や債務履歴などをあらわす信用情報、社会差別の原因となりやすい人種や民族、出生、本籍地、思想、宗教、医療情報や犯罪の履歴なども、取り扱いの際には非常に重要な情報となってきます。

最近では、ネットショッピングなどで購入する方も多くなったため、コンピューターで管理されることが多いデジタルデータが、インターネットなどを通じて漏えいすることが増えており、さらにリスクが高まっています。また、JIS Q 15001（個人 情報マネジメントシステム ― 要求事項）では、「他の情報と容易に参照することができ、それによって特定の個人を識別することができることとなるものを含む」という「ただし書き」が記載されています。

例えば、予備校では、定期的に模擬試験を実施しますが、試験の結果の一覧表に、学校名や学籍番号、テストの結果などが記載されている場合には、一般の人がこれを見たところで、誰の情報であるかはまったく分からないでしょう。

しかし、一覧表で記載された学校の関係者であれば、校内の学籍簿を見て学籍番号を確認すれば、どの生徒の試験結果であるかを特定することは可能です。「他の情報と容易に参照することができ、それによって特定の個人を識別することができることとなるものを含む」というのは、このようなケースのことを言います。

個人情報とは呼べない情報とは

JIS Q 15001（個人 情報マネジメントシステム ― 要求事項）は、「個人の情報には、死者の情報も含まれるが、歴史上の人物まで対象とするものではない」と記載されており、さすがに、聖徳太子や夏目漱石などは対象外となります。

また、「個人の情報」と重なり合っている部分が多い、「プライバシー」についてですが、これらの違いについては、封書の表面に書かれている「宛名」や「発信者の情報」は個人の情報であり、封書の中身については「プライバシー情報」であると考えれば分かりやすいでしょう。

プライバシー情報とは、あくまで個人の私生活上の事実に関する情報であり、公知になっていない情報のことを言います。また、氏名や住所などとは異なり、通常は公開を望まない内容が対象となっています。ネット上で扱われるプライバシー情報には、利用したサービスや閲覧したページの履歴のほかにも、検索したキーワード、送受信したメールの内容やそれらを利用した時間帯、携帯端末の個体識別情報、購入した商品、利用環境、性別、郵便番号、職業、年齢、身長や体重、バスト、ウエスト、ヒップなどのスリーサイズなどがあります。

ただし、本人が自ら公開している場合には、プライバシー情報とは限りませんので注意が必要です。また、メールアドレスの場合には、基本的には個人の情報となりますが、「個人の情報に該当しない事例」として、 記号や数字の文字列だけから作られている、特定個人の情報であるか否かの区別がつかないメールアドレス情報、例えば「abc012345@co.com」などが挙げられています。

ただし、他の情報と容易に照合することによって、特定の個人を識別できる場合には、 個人の情報として取り扱われます。

Pマークで守るべき個人情報とは

Pマークを取得した事業所が守るべき個人情報とは、おもにどのようなものがあるのでしょうか。事業所によって、それぞれ取り扱っている情報はさまざまですが、一般的には、運転免許証や各種健康保険証、マイナンバーの通知カードなどは、社員や従業員がいれば必ず取り扱う情報となってきます。

これらは公的な身分の証明書になるものですから、大切に管理することが当たり前なのですが、大切に扱うべき情報とは、身分証明に関するものだけではありません。事業所で重要に取り扱うべき情報とは、「本人を特定できるものは全て」と考えるようにすることが大切です。

例えば、Aさんが会社からの帰り道に、最寄り駅でお財布を落としてしまいました。財布の中身は、レシートとスーパーのポイントカード、小銭が少しだけでしたが、交番に遺失物の届けを出します。数日後に、「Bさんが、あなたのお財布を拾って届けてくれました」と警察から連絡があり、Aさんは受け取りに行き、無事に解決したとしましょう。

しかし、数日後にAさんの携帯電話がなり、掛けてきたのはBさんでした。Bさんが、Aさんのお財布の中に入っていたポイントカードの記載されていた電話番号に電話をしてきたとすれば、どうでしょうか？また、スーパーのレシートからは、その人の思考やライフスタイル、会社から帰宅する時間なども知ることは不可能ではありません。

このように、どのような情報であっても、預かっている以上、情報としての価値は同じであると考えるべきでしょう。とはいえ、現実的な情報の取扱いについては、どうすれば良いのか分からないという場合には、「プライバシーマーク取得支援サービス」などを利用し、あらためてプロから学ぶことが大切です。

このように、ひとくちに「個人の情報」と言っても、その多くはとても深く複雑なものです。なかには、ご自身が想像していた内容とは違っていたという情報もあったのではないでしょうか？プライバシーマーク（Pマーク）を取得する活動している事業所だけでは、それらをすべて学ぶことは非常に難しいため、多くの事業所では「プライバシーマーク取得支援サービス」を利用して、審査に必要な資料作りや記録作成だけでなく、各テーマに対して一方的な座学ではなく、企業の担当者とのディスカッションも含んだコンサルティングに近いサービスや社内勉強会なども実施されています。

各事業所の規模に合わせて、誰でも使える教育テキストやツールをなども用意されていますので、社員や従業員など全員が情報の取り扱いについて、正しい認識を持つことができるようになります。自力でPマーク取得を目指した場合には、体制構築やルール作りを行っても、結局たくさんの情報の中から重要なポイントを押さえることができす、運用できないほどの非現実的な内容になってしまう場合がほとんどです。

プロのコンサルティングにサポートしてもらうことで、無駄のないルールを構築することができ、取得以降にもスムーズな運用が可能となります。

※【重要】（※以降は、本文ではありません）キーワードにある「個人 情報」は、デフォルトですでに「3回使用中」となっていましたので、再度、ご確認ください。