【初心者向け】個人情報保護法の重要用語をやさしく解説
この資料は、個人情報保護法を初めて学ぶ方を対象に、法律で使われる重要なキーワードを一つひとつ丁寧に解説します。特に、「個人情報」と「個人データ」のように、似ているようで意味が異なる用語の違いを明確に理解し、それぞれの概念を正確に区別できるようになることを目指します。現代のデジタル社会において、これらの違いを正しく理解することは、法令遵守はもちろん、お客様の信頼を守り、責任あるデータ活用を行うための第一歩です。
1. 「パーソナルデータ」「個人情報」「個人データ」の関係性
個人に関する情報を語る際、似たような言葉がいくつか登場します。まずは、これらの用語が示す範囲の違いと、その関係性を理解することが基本です。
1.1. 3つの用語の包含関係
「パーソナルデータ」「個人情報」「個人データ」は、それぞれ異なる範囲を示す概念です。これらの関係は、以下のように入れ子構造で整理できます。
* パーソナルデータ(最も広い概念)
* 個人情報(パーソナルデータの一部)
* 個人データ(個人情報の一部)
1.2. 各用語の定義
それぞれの用語が具体的に何を指すのか、下の表で確認しましょう。
用語 説明
パーソナルデータ 個人に関する情報全般を指す、法律上の定義に縛られない最も広範な概念です。氏名や住所はもちろん、ウェブサイトの閲覧履歴や位置情報など、個人を特定できるかどうかにかかわらず、あらゆる情報が含まれます。
個人情報 生存する個人に関する情報で、その情報単体または他の情報と組み合わせることで特定の個人を識別できる情報を指します。後述する「個人識別符号」もこれに含まれます。他の情報と容易に照合でき、特定の個人を識別できる情報も含まれます。(例:単独では誰か分からない従業員番号も、名簿と組み合わせれば個人情報となる)
個人データ 「個人情報データベース等」を構成する個人情報のことです。要は、特定の個人情報を容易に検索できるよう体系的に構成したものを指します。
1.3. 理解を深めるための具体例
「名刺」を例に、3つの概念の階層関係を見てみましょう。
* パーソナルデータ(広い意味で)
そもそも、ある人物の名前、会社、役職といった職業上のアイデンティティは、最も広い意味での「パーソナルデータ」です。
* 個人情報としての名刺
あなたが交換した1枚の名刺。そこには氏名、会社名、連絡先などが書かれており、特定の個人を識別できるため、この名刺そのものが「個人情報」に該当します。法律は、たった1枚の名刺でも保護の対象とします。
* 個人データとしての名刺
あなたが受け取った大量の名刺を、名刺管理アプリやExcelシートに入力し、五十音順や会社名で検索できるように整理したとします。この整理された名刺情報の集合体は、「個人データ」となります。そして、これを事業のために管理している場合、あなたは「個人情報取扱事業者」としての義務を負うことになります。
まず、情報の全体像と階層関係を理解しました。次に、「個人情報」の中でも特に重要な2つの要素、「個人識別符号」と「要配慮個人情報」について詳しく見ていきましょう。
2. 「個人情報」の内訳:特に重要な2つの概念
「個人情報」の中には、その性質から特に重要なものとして法律で定義されているものが2つあります。
2.1. 個人識別符号とは
「個人識別符号」とは、その情報単体で特定の個人を識別できる、国が政令で定めた文字や番号、符号のことです。具体的には以下のようなものが該当します。
* マイナンバー(個人番号)
* 運転免許証の番号
* パスポートの番号
* 指紋や顔認証などの身体データ
これらの符号が含まれる情報は、それだけで「個人情報」として扱われます。
2.2. 要配慮個人情報とは
「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴など、不当な差別や偏見、その他の不利益が生じないように、その取扱いに特に配慮を要するものとして定められた情報です。
この情報には非常に重要なルールがあります。それは、原則として、あらかじめ本人の同意を得ずに取得してはならないという点です。
重要ポイント: 要配慮個人情報の取得には本人の明確な同意が必要です。このルール違反は、企業の信頼を大きく損なう重大なコンプライアンス違反と見なされます。
情報の種類とその特性を学びました。続いては、これらの情報を取り扱う事業者と、第三者への提供に関するルールについて解説します。
3. 事業者の義務とデータの第三者提供
3.1. 個人情報取扱事業者とは
「個人情報取扱事業者」とは、事業のために**「個人データ」(検索できるように体系化された個人情報)**を管理・利用している者のことです。営利・非営利を問わず、また企業の規模にかかわらず、個人データを取り扱う事業者は基本的にすべてこれに該当します。
3.2. 第三者提供の基本ルール
個人情報取扱事業者が、管理している「個人データ」を本人以外の第三者(他の会社など)に提供する場合、原則として、あらかじめ本人の同意を得なければなりません。
このように、事前に本人の同意を得る方式を「オプトイン」と呼びます。
3.3. 「オプトイン」と「オプトアウト」の違い
データの提供に関する同意の取り方には、「オプトイン」と「オプトアウト」という2つの主要な方式があります。両者の違いは以下の通りです。
方式 概要 具体的なアクション
オプトイン 事前に本人の同意を得てから情報を提供する方式。(原則) 「私の個人データを第三者に提供することに同意します」という項目に、本人がチェックを入れるなどして能動的に同意する。
オプトアウト 本人からの停止の求めがあれば事後的に停止することを前提に、まずは同意なく情報を提供する方式。(例外的) 本人が「私の個人データの提供を停止してください」と自ら依頼しない限り、提供が継続される。
注:オプトアウト方式で第三者提供を行うには、提供する情報の項目などをあらかじめ本人に通知し、個人情報保護委員会に届け出るなど、法律で定められた厳格な要件を満たす必要があります。
専門家からの注意点: 「オプトアウト」は例外的な制度です。実務では、常に本人の事前同意を得る「オプトイン」を原則と考え、安易にオプトアウトに頼るべきではありません。
データの提供ルールを理解しました。最後に、プライバシーを保護しつつデータを活用するための仕組みと、それを監督する組織について見ていきましょう。
4. データ活用と監督組織
4.1. 匿名加工情報
「匿名加工情報」とは、個人情報を特定の個人を識別できないように、また元の個人情報に復元できないように加工した情報のことです。
この仕組みの主な目的は、個人のプライバシーを保護しながら、企業や研究機関がデータを分析・活用し、新しいサービスや技術開発につなげるなど、パーソナルデータの利活用を促進することにあります。
4.2. 個人情報保護委員会
「個人情報保護委員会」とは、個人情報の適正な取扱いを確保するために設置された、独立性の高い国の機関です。主な役割は以下の通りです。
* 個人情報保護法のガイドラインなど、ルールの策定
* 事業者に対して、法律に則った運用がされているかを監督(報告徴収、立入検査、指導・助言など)
5. まとめ
ここまで見てきたように、個人情報保護法における用語は単なる言葉の定義ではありません。どのカテゴリの情報に該当するかによって、事業者が負うべき法的義務や、求められる配慮のレベルが大きく変わってきます。これらの定義を正確に理解し、自社が取り扱う情報がどれに当たるのかを常に意識することが、適切な情報管理の基礎となります。
今回の解説で学んだ、特に重要な3つの概念の違いを最後に確認しましょう。
* 個人情報: 特定の個人を識別できる情報。
* 個人データ: 検索できるように整理された個人情報。
* 要配慮個人情報: 特に慎重な取扱いが求められる、差別や偏見につながりかねない個人情報。
コメント