個人情報の管理、実はこんなに広い！
事業者が知っておくべき基本と注意点

皆さんが、ニュースやテレビでよく耳にする「個人情報」。しかし、実際にその定義を正しく理解している人は意外と少ないかもしれません。

例えば皆さんが、ECサイトを立ち上げて自分の作品を販売したり、レストランを経営していてサイトから予約を受け付けていたり、そこでお客様の氏名、住所、電話番号などの情報を日常的に取得しているのではないでしょうか？

ホームページでプライバシーポリシーを公表している事業者の方でも、「どこまでが個人情報なの？」という疑問を持ったまま運用しているケースもあります。しかし個人情報について正しく理解していないと、思わぬ運用ミスにつながることも。

そこでこの記事では、個人情報とは何か、どこまで含まれるのかを、分かりやすく解説します！

個人情報とは？

日本の個人情報保護法では、個人情報を次のように定義しています。

第2条　この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

⑴　当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。）で作られる記録をいう。以下同じ。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）

⑵　個人識別符号が含まれるもの

この条文を簡単に説明すると、「個人を特定できる情報はすべて個人情報」となります。それでは、具体的にどのような情報が該当するのか、もう少し詳しく見ていきましょう。

個人情報の定義とは？

-大きく分けて3つあります-

個人情報は、大きく分けて次の3つの種類に分類できます。

1. 特定の個人を識別できる情報

氏名や住所、電話番号、メールアドレスなどの情報で、個人が誰なのかが分かる情報が該当します。

• 氏名は、それだけで個人情報

「氏名は、同姓同名の人もいるので、個人情報には当たらないのでは？」と思うかもしれませんが、氏名のみであっても、個人を特定できるものとして、個人情報に当たるとされています。

（実際には、氏名だけでは、すぐに誰か分からないこともあります。しかし、住所や電話番号などの他の情報と組み合わせると、その人を簡単に特定できてしまうので、気をつける必要があります。）

• メールアドレスは、ユーザーネーム・ドメインで判断

また、メールアドレスはそれだけで個人情報と思われがちですが、個人をメールアドレスのユーザー名と企業・団体のドメイン名から、個人を特定できるかどうかで判断します。

例えば、yamada_hanako@AAA.co.jpですと、メールアドレスから、「AAA社のヤマダハナコさん」と、個人を特定できてしまうため、個人情報になります。

一方で、info@AAA.co.jpのように、AAA社の誰だか分からない場合は、個人情報にはなりません。私たちが、Gmailなどの一般に広く使われているドメインで、個人を特定できない名前のアカウントを作成した場合も、個人情報には当たりません。

• 住所や電話番号は、それだけでは個人情報にならない場合も

住所や電話番号は、それ自体では個人を特定することができないので、個人情報には当たりませんが、他の情報と簡単に照らし合わせることができ、その他の情報と紐づけると個人が特定できる場合は、個人情報になります。

また、オンラインサービスやSNSでは「ユーザー名」や「ハンドルネーム」も、個人が特定される要素と結びつく場合、個人情報に該当することがあります。

ポイントは、その情報だけで、個人を特定できなくても、他の情報と照らし合わせることが簡単で、それによって個人が特定できてしまう場合は、個人情報になってしまうこと。

皆さんが、お客様の情報を取り扱う場合、お客様名簿を作って管理することが多いと思います。その場合、単体では個人情報とはならないお客様の電話番号や生年月日が、誰の情報なのかすぐ分かるように整理されているため、名簿全体の情報が個人情報になることに注意しましょう！

2. 個人の身体に関するデータ

最近では、個人を識別するために生体データが多く使われています。これらも個人情報として扱われます。

具体例：指紋、DNA情報、声紋（声の特徴）、顔認証データ、虹彩認証（目の模様）、歩行パターン（歩き方の特徴）

これらの情報は、特にセキュリティ認証（生体認証）で利用されることが多く、適切な管理が求められます。

3. 国が発行する識別番号（個人識別符号といいます。）

政府や行政機関が発行する個人識別のための番号も個人情報に含まれます。

具体例：マイナンバー、運転免許証番号、パスポート番号

これらの番号は、特に法的な手続きや本人確認の場面で利用されるため、流出すると深刻な問題を引き起こす可能性があります。

皆さんでも、本人の身分確認のために、運転免許証のコピーをもらう、などのケースがあるかもしれません。取り扱いには最新の注意を払うよう、心掛けましょう！

ポイント！

民間企業が発行しているクレジットカード、銀行口座番号、携帯電話番号などは、契約や運営の方法が様々であるため、必ずしも個人を特定できる番号とは言えないため、それ単体としては、個人情報（個人識別符号）には当たりません。

しかし、このような番号でも、氏名などの情報と簡単に照らし合わせることができ、それによって個人を特定できる場合は、個人情報となります。例えば「クレジットカード番号＋氏名」や「銀行口座番号＋電話番号」といった形で容易に照合できる場合は個人情報になりえます。

個人情報の容易照合性とは？

ここまで読んで、ひとつの情報が、ある時は個人情報になったり、ある時は個人情報にならなかったりする場合があると、お分かりいただけたかと思います。

「単体では個人情報に該当しない情報も、他の情報と組み合わせることで個人が特定できる場合は、個人情報になる。」ことを理解している人は少ないかもしれません。

「1. 特定の個人を識別できる情報」では、お客様名簿を例にとり、その情報だけで、個人を特定できなくても、他の情報と照らし合わせることが簡単で、それによって個人が特定できてしまう場合は、個人情報になることをお話しました。

この、特定の個人を簡単に照合できることを、「照合容易性」と呼んでいます。皆さんが、日々、取り扱う個人情報に、この「照合容易性」があるかどうか、判断していくことがポイントになってきます。

それでは、このお客様名簿の他とは別のファイルで、あなたのお客様の購入履歴を管理しているケースを考えてみましょう。

お客様には、管理がしやすくなるように、顧客IDを振り当てていて、お客様名簿の初めの欄に記載しています。

このファイルとは別に、お客様の購買履歴を記載した販売ファイルを作成して、顧客IDと一緒に管理しているとします。

一見すると、この「販売ファイル」には、個人情報を特定できる情報は、何も含まれていないように思われます。

しかし、顧客IDをたどって、お客様名簿を調べれば、簡単に、誰が何を買ったか分かってしまいます。この場合、販売データに記録された情報が、全体として個人情報になってしまいます。

一見すると、「〇月〇日に■■を買った」といったような、それだけでは個人情報に当たらないような情報も、他のファイルの情報をたどることで、それが誰なのかを特定できる場合は、個人情報に該当します。

ここまで読んで、あなたが最初にイメージしていた個人情報よりも、実際は多くの情報が個人情報になりえることがご理解いただけましたでしょうか？

ファイルに様々なお客様の情報を追加して管理していると、個人情報の範囲もどんどん広がっていきます。そのような情報は、個人情報保護法のルールのもとで、取り扱わなければならないことに、注意しましょう！

「個人情報とは何か？」を正しく理解しよう！

皆さんが取り扱うお客様の情報は、時間が経つにつれて、その種類やボリュームが増えていきます。あるお客様の情報が、一見個人を特定できないように思えても、「他の情報と簡単に照合できるかどうか」という視点を持って、もう一度立ち止まって考える必要があります。

個人情報を適切に管理しないと、企業や事業者は信用を失うだけでなく、法律違反として罰則を受ける可能性があります。

こうしたトラブルを防ぐためにも、まずは「個人情報とは何か？」を正しく理解し、それを適切に取り扱うことが重要です。

この記事のまとめ

• 個人情報は「特定の個人を識別できる情報」「身体データ」「国の識別番号」の3つの種類がある。

• 1つの情報だけでは個人が特定できなくても、他の情報と組み合わせると個人情報になることがあるので注意が必要。

• 知らないうちに法律違反にならないよう、個人情報の範囲をしっかり理解して、正しく取り扱おう！

参考

個人情報の保護に関する法律についてのガイドライン（通則編）-個人情報保護委員会

「個人情報の保護に関する法律についてのガイドライン」に関するQ&A -個人情報保護委員会