Pマークを取得する際に知っておきたい個人情報の定義

Pマークを取得する場合、個人情報の定義を知っておく必要があります。Pマークはプライバシーマーク取得支援サービスが取得の支援を行っていて、Pマークを取得する法人、団体等は、個人情報を厳格に扱っているとの社会的信用を得ることができます。

個人情報保護法第2条第1項には、用語の定義が記載されています。定義によれば、個人情報とは個人に関する情報で、当該情報に含まれる、氏名、生年月日等によって、特定の個人を識別できるものとされています。

個人に関する情報は、氏名、生年月日等個人を識別する情報に限らず、個人の身体、財産及び職種、肩書き等において、事実、判断、評価を表す全ての情報が対象となります。

情報は公刊物などで公となっている情報や音声、映像による情報も含まれ、暗号化されているかどうかを問いません。

すでに死亡している方の情報は、その情報により、遺族等の生存している個人が特定される場合は個人に関する情報となります。

対象は日本人に限らず、外国人も含まれます。法人に関しては個人としては扱われず、対象外となります。法人に属している役員や構成員に関する情報は、個人に関する情報になります。

デジタル化されたデータの場合は、通常の作業範囲で、データベース等に容易にアクセスできるものは対象となります。

同じデジタル化された情報でも、他の業者を通すなど、照合が容易でないものは該当しません。

プライバシーマーク取得支援サービスを行う業者では、複雑な用語の解釈もアドバイスの対象としています。

該当する事例と該当しない事例

個人に関する情報として該当するものでは、本人の氏名が代表的です。氏名は本人を特定する役割を担うもので、日本語表記であるかどうかを問いません。

生年月日も個人を特定する有力な情報で、住所、電話番号、メールアドレスも個人に関する情報に該当します。

メールアドレスに関しては、一部に個人を特定できる文字列が入っている場合に該当します。また、団体名と名前の一部を組み合わせ、全体として個人の特定が可能なメールアドレスも該当します。

音声や映像では、ビデオの映像や録音情報、防犯カメラに写っている個人の映像等は個人を特定できる場合に該当します。個人に関する情報には、当該情報に個人を特定できる情報が入っていない場合でも、一般に知りうる情報を補完することにより個人の特定が可能な場合は該当します。

会社が構成員を評価する雇用管理情報は、容易に個人と関連付けることができるため、該当します。個人に関する情報では、情報が時間的に分散されて取得された場合、個人を特定することが可能となった時点で、個人に関する情報に該当することになります。
個人の情報に該当しないものとしては、企業や団体そのものに関する情報があります。企業の財務情報や株式に関する公開されている情報は該当しません。

個人に関するものであっても、識別することができない統計情報は該当しません。メールアドレスにおいて、個人を特定しない数字やアルファベットが用いられている場合は該当しません。

生存する個人に関する情報

個人に関する情報とは、極めて広い概念を有し、拡大解釈による混乱が懸念されます。個人に関する情報を保護することになったのは、個人の情報が他者に知られることにより、犯罪等につながることを防止する必要があったからです。

個人に関する情報を網羅的に解釈すれば、プライバシーに関する情報や正当な権利と利益に関する情報も含まれます。しかし、プライバシーや正当な権利と利益の概念は、さらに拡大解釈が可能な概念です。

法律で個人に関する情報を保護する場合は、特定の個人を識別することが可能な情報に限定することで、法律制定の目的を果たそうとしています。

日本国でつくられた、個人に関する情報を保護する法律は、日本国民だけでなく、外国人にも適用されます。外国人は日本に居住又は滞在しているかどうかを問わず、すべての外国人が対象です。

個人に関する情報が他人に知られることによる損害の可能性は日本人に限らず、外国人においても同じことなので、当然の措置と言えます。

個人の定義では、公人と私人の別を問いません。法人等の役員においても、個人として扱われます。

死者の情報に関しても、生存する個人との関わりから適用が決まります。死者の情報が生存する個人の識別に影響しない場合は、適用範囲外となります。

逆に、死者の情報が生存する個人を特定することになってしまう場合は対象となります。判断が容易でないものに関しては、対象となるかどうかの判断は裁判所の判例等によります。

特定の個人を識別することができるもの

個人に関する情報の中でも規制の対象となるのは、特定の個人を識別できる可能性のあるものに限られます。

知的所有権などは個人に属しながらも、それが直接、個人を識別することにはなりません。知的所有権等も、情報の利用方法によっては権利者の利益を侵害する恐れがありますが、ここでの対象とはされていません。

知的所有権等は著作権法などの別の法律で保護されるべきものと考えられています。特定の個人を識別することができるものには、他の情報と容易に照合することができ、そのことで、個人を特定できる情報を含みます。

現在はコンピュータにより名寄せが簡単にできます。個人や法人等が通常の業務において名寄せを用い、個人の識別が容易となるような情報は個人を特定できるものと見なされます。一方、特別なソフトを組み込んで分析しなければ、個人の特定が難しい情報や、興信所など外部事業者への紹介が必要な場合は、個人を識別することが可能な情報であっても該当しません。
メールアドレスにおいては、個人が特定されない任意のローマ字や数字の組み合わせで作られたものは、個人に関する情報には含まれません。

その場合でも、メールアドレスを管理するプロバイダー等においては、同じ情報であっても個人に関する情報に該当します。アクセスログは、通常の使用においては個人に関する情報に含まれませんが、アクセスログを管理する立場にある事業者等においては、個人に関する情報として扱われます。

Pマークの取得を支援する、プライバシーマーク取得支援サービスでは、該当する情報が個人情報かどうかの判別も行っています。

審査によりマークを一度取得できても、体制を維持することにより継続的なマーク適用が必要です。

個人に関する情報に中でも、住所、氏名、電話番号などは、誰にでも判別が可能です。

身体に関する情報、財産や職種に関する情報、肩書きなども比較適容易に判別できる内容です。

しかし、知的所有権やメールアドレス等の判別に関しては、一般人には難しいのが現実です。

日常の業務内においてPマーク取得の対象となる個人に関する情報の判別を行うのは至難の業です。判別を専門家に任せることで、取得がスムーズに運びます。

個人に関する情報を保護する運用が行われている組織は、顧客から信頼されます。

目的は個人に関する情報を適切に管理することによりPマークを取得し、社会から信頼を受けることです。

そのためには、対象となる個人に関する情報かどうかの一般的な知識を持ち、対象となる情報かどうかの判断は専門家に委ねることが効率的な業務運営には必要です。

専門家の支援を受ける場合でも、保護すべき個人に関する情報かどうかの一応の判断はできる必要があります。一応の判断が可能であれば、専門家の協力を得て、より高い個人に関する情報の保護が可能となります。

個人に関する情報は、今や、事業者の業績に影響を与える重要な事案となっています。個人に関する情報についての適切な理解が必要です。