《 インターネット上の個人情報保護 》 ◆個人情報保護法の概要
§ 基礎的な概念 ――「個人情報」「個人データ」「保有個人データ」
ここでは、個人情報保護法を理解するために必要な基礎的な概念について説明する。まず、個人に関する情報についての概念である。法では、次の3種の個人に関する情報が入れ子式に区別されており、それぞれ適用される規律が異なっている。
出典:個人情報保護委員会「個人情報保護法の基本」(2023年)25頁(https://www.soumu.go.jp/main_content/000836901.pdf)
(1)「個人情報」
「個人情報」の定義について、2015年改正前は、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」とされていた(個人情報保護法2条1項1号(以下、個人情報保護法の条文については法律名の記載を省略する))。
2015年改正により、この類型に加え、生存する個人に関する情報であって個人識別符号が含まれるものが「個人情報」とされた(2条1項2号、同条2項)。これは、個人情報をめぐる今日的状況に対応するためのものである。
「個人情報」に該当するためには
- ①個人に関する情報に含まれる氏名、生年月日その他の記述等により特定個人が識別できる場合
- ②当該情報に含まれる記述等によっては特定個人の識別はできないが、他の情報と容易に照合することでき、それによって識別できる場合(照合容易性がある場合)
がある。
②について、どのような場合に照合が容易といえるのだろうか。この点については、それ自体では識別性を欠く情報につき、事業者において、特別な手間や費用をかけることなく、通常の業務における一般的な方法で、個人を識別する他の情報との照合が可能な状態が照合容易性がある場合であるとされる。他の事業者に通常の業務では行っていない特別な照会をし、当該他の事業者において、相当な調査をしてはじめて回答が可能になるような場合、内部組織間でもシステムの差異のため技術的に照合が困難な場合、照合のため特別のソフトを購入してインストールする必要がある場合には、照合容易性がないとされる。
(2)「個人データ」
次に、「個人データ」とは、「個人情報データベース等を構成する個人情報」である(16条3項)。したがって、個人情報であっても検索できるように体系的に構成されていないもの(散在情報)は、「個人データ」に含まれない。個人データについては、データ内容の正確性確保、安全管理措置、従業者・委託先の監督、第三者提供の制限といった規律が適用される(22~30条等)。
(3)「保有個人データ」
最後に「保有個人データ」とは、「個人データ」のうち、当該個人情報取扱事業者が開示、内容の訂正等の関与権限が認められるものであり(16条4項)、本人関与関係の規律が適用される(32~39条等)。委託を受けて個人データを取り扱っているような場合には、こうした権限がないのが通常であり、その場合には「保有個人データ」に該当しない。
(4)要配慮情報
2015年法改正によって「要配慮個人情報」の概念が新設された(2条3項)。これは従来一般にセンシティブ情報などと言われてきたもので、個人情報のうち、人種、信条、社会的身分、病歴、犯罪歴、犯罪被害等である。これらは、不当な差別や偏見等不利益を生むおそれがあることから特に慎重な配慮が要求されるため、取得の際に原則として同意を要する(20条2項)など、一般の個人情報とは区別して厳格な規律がなされる。
(5)個人情報取扱事業者
民間部門の規律が適用されるのは、「個人情報取扱事業者」に対してであり、これは、個人情報データベース等を事業の用に供している者のうち、国など公的部門を除いたもののことである(16条2項)。事業とは営利事業に限定されないので、NPOのような非営利事業を行う者も個人情報取扱事業者となりうる。