今回は、個人情報保護法を勉強しようということで、個人情報の種類について書いてみたいと思います。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
カテゴリー「会社法務」では、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
個人情報の種類
個人情報保護法は、個人に関する情報を分類し、その分類に従って、段階的な義務を事業者に課すという仕組みになっている。
そのため、まずは、個人情報の定義や種類を理解することが重要となる。
個人情報には、以下の4種類がある。
- 個人情報(法2条1項)
- 個人データ(法16条3項)
- 保有個人データ(法16条4項)
- 要配慮個人情報(法2条3項)
段階的な義務を課すというのは①~③であり(①→②→③の順に義務が多くなっていく)、④は少し毛色が異なるが、本記事ではこれらをざっと概観してみる。
個人情報とは(法2条1項)
個人情報とは、生存する個人に関する情報であって、特定の個人を識別することができるものである(法2条1項)。
分節すると、以下の3要件からなる。
- 生存する(生存者性)
- 個人に関する情報であって(個人関連性)
- 特定の個人を識別することができるもの(個人識別性)
よく誤解しがちだが、上記の3要件からもわかるように、非公開の情報に限定されたりはしていない。
「公開されている・されていない」ではなく、「特定の個人を識別できる・できない」が、個人情報の概念の中核である。例えば、名刺に記載されている情報や、電話帳に記載されているような情報も、個人情報に該当する。
プライバシーの概念とは異なる点に注意が必要である。
個人識別性には、①記述等による識別性(1号)、②照合容易性による識別性(1号括弧書き)、③特定識別符号による識別性(2号)、という3パターンがある(▷詳しい関連記事はこちら)。
(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
個人データとは(法16条3項)
個人データとは、個人情報データベース等を構成する個人情報をいう(法16条3項)。
個人情報データベース等とは、特定の個人情報をコンピューターを用いて検索できるように体系的に構成したデータベースや、紙媒体であっても体系的に整理された名簿書類(ex.株主名簿や顧客名簿)などである(法16条1項)。個人データは、これらのデータベースを構成している個々の個人情報のことである。
個人情報データベース等から出力された帳票も(つまり、体系的なデータベースから分離しても)、個人データとなる。
(定義)
第十六条 この章及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
2 (略)
3 この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
保有個人データとは(法16条4項)
保有個人データは、さらに特定の条件を満たす個人データである。
具体的には、個人データのなかでも、開示等の権限(開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限)を当該事業者が有するものである(法16条4項)。
4 この章において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。
例えば、事業者甲社が、業務委託のために自社の保有する個人データを乙社に提供した場合を例にとると、通常は、
- 委託者である甲社は、開示等の権限を有するので、甲社にとっては「保有個人データ」に該当するが、
- 受託者である乙社は、開示等の権限を有しないので、乙社にとっては「保有個人データ」には該当せず、「個人データ」になる、
ということになる。
要配慮個人情報とは(法2条3項)
要配慮個人情報とは、本人に不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する個人情報である(法2条3項)。
人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実(法2条3項参照)のほか、心身の機能の障害、健康診断等の結果、医師等の指導・診療・調剤、刑事事件に関する手続(有罪判決を受けていなくても、被疑者又は被告人として刑事事件の手続が行われたという事実)、少年の保護事件に関する手続(施行令2条参照)がこれに該当する。
▽法2条3項
3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
▽施行令2条
(要配慮個人情報)
第二条 法第二条第三項の政令で定める記述等は、次に掲げる事項のいずれかを内容とする記述等(本人の病歴又は犯罪の経歴に該当するものを除く。)とする。
一 身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること。
二 本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という。)の結果
三 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
四 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。
五 本人を少年法(昭和二十三年法律第百六十八号)第三条第一項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。
要配慮個人情報というネーミングからもわかるとおり、個人情報よりも厳格な義務の対象となっている。
最も重要なポイントは、取得にも本人の同意が必要であることである(法20条2項)。
何だそんなことか?と思うかもしれないが、これはつまり、事業者からすれば、本人の同意又は法定の除外事由がなければ持っているだけでアウトということを意味するので、(当然だが)注意が必要である。
結び
今回は、個人情報保護法を勉強しようということで、個人情報の種類について書いてみました。
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
個人情報保護法に関するその他の勉強記事
参考文献・主要法令等
参考文献
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)