個人情報の定義について

改正個人情報保護法における個人情報の定義について説明します。

日本の個人情報保護法は定義にあいまいなところがあり,事業者が法にふれないよう個人情報の利活用に二の足を踏んでいるという意見が産業界などにありました。改正個人情報保護法では,個人情報をより明確に定義することによってデータの利活用促進とともに,個人情報の主体(本人)の不安軽減が期待されています。

個人情報保護法では,「個人情報」とは、生存する個人に関する情報であって,特定の個人を識別できるものです。「識別されている」とは,1人分の個人データが,別の個人データと違う人のものであると区別される状態です。「特定の個人」とは,「生存する個人」一人を指し示しているということです。素性がなにもかもわかっている必要はなく,「あの人!」と言えるということです。

個人情報

  1. まず,従来から,氏名,生年月日,住所,顔画像などは個人情報でした。

  2. 今回の改正で,定義の明確化のために,個人識別符号という概念が導入されました。 個人識別符号とは,旅券番号,基礎年金番号,免許書番号,住民票コード,個人番号(マイナンバー),保険証番号などです。

  3. さらに,データ化された身体的特徴として,DNA,顔,虹彩,声,歩行姿勢・態様,静脈(手指),指紋やこれらの組み合わせが政令で指定されています。

  4. クレジットカード番号,携帯電話番号,サービスIDなどは,個人識別符号ではないということになりました。 ただし,それは特定の個人を識別限りであって,多くの場合は個人情報として取りあつかう方がよいでしょう。

  5. また,SUICA事案で問題となった,移動履歴やさまざまな行動履歴,クレジットカードの利用履歴などは,識別符号がなければ1件のデータは個人情報ではありません。しかし,データが蓄積されると,履歴だけで特定の個人のパターンを区別する可能性が高くなります。

  6. 取り扱いに注意が必要な要配慮個人情報も定義されています。

もう一つ注意しておかなければならないのは,技術的な観点では,識別できてしまえば特定されてしまう可能性が高いということです。あるプライバシー保護の研究者にお聞きした話ですが,k-匿名化でいうと,k=10ぐらい(識別の単位が10人)はないと危ないよね,ということでした。データ依存で決めることですが,法律で「特定の個人を識別できるかどうか」になっているからといって,識別さえできなければよいというものではないでしょう。