Emilio Administrative Law Office
知らないと危ない!
個人情報と個人データの違いと管理方法を分かりやすく解説
「個人情報」と「個人データ」、
その違いをきちんと理解していますか?
皆さんの中には、ホームページ上にプライバシーポリシーを公表している人も多いと思います。プライバシーポリシーの中で、「個人情報」、「個人データ」など、似たような単語が使われているのに気がついたことはないですか?
「なんとなく同じようなもの」と思っているかもしれませんが、実は、この2つの概念を混同すると、思わぬトラブルや法律違反につながることがあります。
例えば、お客様から集めた名刺をExcel表に入力する、予約システムを使ってお客様情報を管理するなど、このような日常的な業務の中で、「個人情報」と「個人データ」の区別がついていないと、法的に問題が生じることも。
「個人情報なら管理はこ�れでOK」「個人データならここに気をつけるべき」—— そういった判断を間違えないために、この記事では 「個人情報」と「個人データ」の違いを分かりやすく解説し、事業者が気をつけるべきポイントを具体例とともにご紹介します。
まずは、「個人情報」とは何か?
日本の個人情報保護法で定義している個人情報について、簡単にまとめると次のように表すことができます。
「生存する個人に関する情報で、特定の個人を識別できるもの。」
つまり、「特定の個人と結びつく情報」はすべて個人情報に該当します。
例えば、氏名、住所、電話番号、メールアドレス、顔写真、指紋、声紋、マイナンバーや運転免許証番号などが該当します。これらの情報は、それ単体で個人を特定できるものもあれば、他の情報と組み合わせることで個人情報になるケースもあります。
また、個人情報は、電子データだけではなく、名刺やアンケートの記入情報など、紙媒体でも該当することを忘れてはいけません。
「個人情報」の詳細については、前回の記事(「個人情報の管理、実はこんなに広い!事業者が知っておくべき基本と注意点」)で詳しく解説していますので、ぜひご覧ください。
「個人データ」とは?「個人情報」と何が違うの?
個人データとは、簡単に説明すると、以下のようになります。
「データベースとして管理されている個人情報で、個人を特定できるもの」
つまり、「個人情報」よりも範囲が狭く、一定のルールに基づいて整理・管理されている情報が該当します。
例えば、顧客管理システム(CRM)に登録されたお客様情報、Excel表を使って作成した会員リスト、電子カルテや予約システムに保存された顧客情報などが挙げられます。
個人データの大きな特徴は、「検索が可能であること」です。例えば、Excel表やCRMのように検索機能があり、氏名やメールアドレスを入力することで、その人の情報をすぐに呼び出せる状態になっているものが該当します。
具体的な例として、名刺を考えてみましょう。もらった名刺を、バラバラに机の引き出しにとりあえず入れている状態なら、「個人情報」です。その名刺をデータ化して、検索できるシステムに登録すると、「個人データ」となります。 たとえば、名刺管理アプリに登録し、会社名や氏名を入力すると、特定の人の名刺情報がすぐに表示される場合、これは「個人データ」として扱われます。
個人データは、電子化されたものだけでなく、ファイリングなど、整理された紙媒体(ファイルや台帳)にも含まれることに注意しましょう。
先ほどの名刺の例で�例えると、机の中のバラバラの名刺を、あいうえお順で並べる名刺ホルダーに入れて整理した場合は、「個人データ」になります。皆さんは、「個人データ」の取り扱いの義務に基づいて、適切な管理義務を負うことになります。
「個人情報」と「個人データ」の違いを簡単に整理
項目 | 個人情報 | 個人データ |
定義 | 個人を識別できる情報 | データベース化された個人情報 |
主な対象 | 個人単位で扱われる情報 | システムやファイルに整理された情報 |
主な例 | 名刺、アンケート結果 | CRMツールの顧客情報、会員リスト |
法的 取り扱い | 取得・利用に関する管理義務 | 取得・利用の他にも、 厳格な管理義務が課される |
事業者が注意すべきポイントとは?
ここまで読んで、個人情報は、検索可能なデータベースに入力されると「個人データ」となることがお分かりいただけたかと思います。
企業では、お客様などの個人情報をデータベース化して管理することが一般的ですし、ECサイトなどを運営する個人事業主でも、同じようにお客様の情報をファイリングしたり、Excel表で管理することが多いのではないでしょうか?
つまり、多くの事業者が、「個人データ」を取り扱っていることになります。
そして、個人情報が「個人データ」になると、より厳格な管理義務が発生します。大量にデータを取り扱っている場合、漏洩などの事故が起こると深刻なトラブルになりますし、他人に無断で渡すなどの
それでは、どのような対策が求められているのか、具体的に見ていきましょう。
個人情報を、好き勝手に使わないようにしましょう!取得と利用のルール(個人情報・個人データ共通)
まず初めに、個人情報の場合でも、個人データの場合でも適用されるルールが、目的外利用の禁止です。
個人情報・個人データを利用する場合、取得時に明示した目的以外で個人情報を利用することはできません。例えば、問い合わせ対応のために登録したメールアドレスを、本人の同意なくマーケティング目的のメール配信に使用するのはNG。
そして利用目的は、本人に対して通知・公表する義務があります。
さらに、個人データを扱う場合は、管理や、第三者への提供��について、細かいルールを定めています。
個人データは、安全に管理しましょう!
主な安全管理措置のルール
個人データは、不正アクセスや漏洩を防ぐため、適切なセキュリティ対策を講じる必要があります。例えば、パスワード設定、アクセス制限、データの暗号化、二要素認証の導入などが考えられます。
古くなったデータや、目的が達成された個人データは、適切に削除しなければなりません。例えば、退会した会員のデータは一定期間後に削除するようにしましょう。保有している個人データの内容も、正確に最新の内容にするよう、アップデートしましょう。
もし、従業員がいる場合は、個人データの適切な管理を徹底するために、従業員向けの研修を行うことが推奨されます。「メールで顧客データを送信する際の注意点」「USBメモリでデータを持ち出さない」などのルールを決めておきましょう。
無断で、他の人に個人データを渡してはいけません!
主な第三者提供のルール
個人データを第三者に提供する場合、原則として本人の同意が必要です。例えば、「顧客の購入履歴を外部の広告代理店に渡して、ターゲティング広告を行う」といった場合、本人にその旨を説明し、同意を得る必要があります。
また、第三者に提供した場合は、いつ、どんな情報を提供したのか、記録をとっておく必要があります。
ポイント!オプトアウト方式による提供
一部のケースでは、本人の明確な同意なしに個人データを提供することが可能な「オプトアウト方式」が認められています。これは、あらかじめ「個人データを第三者に提供する可能性がある」と公表し、本人が拒否できる機会を設ける方法です。ただし、法律上の厳格な要件を満たさなければならないため、慎重に対応する必要があります。
個人データの中には、さらに「保有個人データ」というものもある
さらに、個人データの中には『保有個人データ』というものもあります。保有個人データとは、「保有個人データ」とは、事業者が、開示、内容の訂正、追加・削除、利用の停止などを行うことのできる権限を持つ個人データのことをいいます。
簡単に言うと、「事業者が持っている、いつでも開示や訂正ができるよう管理している個人データのこと」です。
お客様から「自分の情報を教えてほしい」と言われたらすぐ対応できる情報でなければならず、体系的に整理されていない個人情報はこれにあたりません。また、クレジットカード会社が管理するカード情報など、事業者が直接管理していない情報は、一般的に保有個人データに該当しません。
「保有個人データ」を管理している場合、お客様などから、個人情報に関して問い合わせがあった場合に、対応する義務があります。また苦情にも対応しないといけません。
個人情報を正しく管理し、
お客様に信頼されるようになろう!
いかがでしたか?個人情報、個人データ、そして保有個人データでは、その内容や取り扱いのルールが違っていることがお分かりいただけたかと思います。
事業者として個人情報を扱うときには、守るべきルールがあります。
情報を集めるときには、何のために使うのかをはっきり伝え、きちんと同意を得ること
集めた個人データは、安全に管理し、もう必要がなくなったら適切に削除すること
個人データを他の会社や人に提供する場合は、基本的に本人の許可が必要
これらのルールを守らずにデータを扱ってしまうと、法律違反になるだけでなく、お客様からの信頼も失ってしまう可能性があります。
「うちの事業では個人情報をちゃんと管理できているかな?」と、ぜひ見直してみてください。たとえば、お客様の情報をどのように保管しているか、それが「個人データ」に当たるのか、利用目的を明確にしているか、無断で第三者に渡していないか、などを確認すると良いでしょう。
個人情報の取り扱いは、法律を守るためだけでなく、お客様との信頼を築くためにもとても大切です。この記事を参考に、自分の個人情報管理を見直し、安全で安心な運営を目指していきましょう!
この記事のまとめ
個人情報のうち、データベースに登録されていて検索できるものが「個人データ」となる。
個人データは、個人情報よりも、厳格な管理の義務があるので注意。
それぞれの義務の内容を確認し、個人情報の管理方法が適切かどうか、定期的に見直していきましょう!
参考
個人情報の保護に関する法律につ�いてのガイドライン(通則編)-個人情報保護委員会
「個人情報の保護に関する法律についてのガイドライン」に関するQ&A -個人情報保護委員会