本日も個人情報のお話です。
「これは個人情報ですか?」という質問を時々受けます。
聞かれるくらいなので、回答に困ることが多いのですが、しばし考え込んだ後にふと冷静になり、「意味があるの?」と思ってしまいます。
個人情報保護法上の定義
基本のき、個人情報保護法上の定義は、以下のとおりです(2条1項)。
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等…により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
個人識別符号は決まっているので、検討が必要なときは、
- 生存する個人に関する情報
- 特定の個人を識別できる
の2つを満たすかを基準に判断する、ということはわかります。
「特定の個人を識別することができる」の意味
生存する個人に関する情報かどうかはそれほど悩むところではないので、結局のところ「特定の個人を識別することができる」がポイントで、この点、Q&Aでは次のように説明されています。
Q1-1 「特定の個人を識別することができる」とは、どのような意味ですか。
A1-1 「特定の個人を識別することができる」とは、社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物と情報との間に同一性を認めるに至ることができることをいいます。
これだけを読むと、「そりゃ、そうだろうよ…」という感じでピンときません。
私の理解では、
- 氏名(フルネーム)は、それだけで個人情報(同姓同名がいたとしても)
- 複数の組み合わせで氏名(フルネーム)が推測できれば、それも個人情報
(例:IDが「たろう」で登録されているアドレスが「t-yamada@...」ならセットで個人情報)
なのですが、これ以上はどうであれば「社会通念上、一般人の判断力や理解力をもって…同一性を認めるに至る」と言えるのでしょうか。
メールアドレスやアカウントIDは個人情報か
「これは個人情報ですか?」と社内でよく聞かれるのは、氏名(フルネーム)を含まないメールアドレスやアカウントIDといったものです。誰かのものではあるけれど、これだけでは誰のものかはわかりません。
Q&Aをさらに見ていくと、次のように書いてあります。
Q1-4 メールアドレスだけでも個人情報に該当しますか。
A1-4 メールアドレスのユーザー名及びドメイン名から特定の個人を識別することができる場合(例:kojin_ichiro@example.com)、当該メールアドレスは、それ自体が単独で、個人情報に該当します。これ以外の場合、個別の事例ごとに判断することになりますが、他の情報と容易に照合することにより特定の個人を識別することができる場合、当該情報とあわせて全体として個人情報に該当することがあります。
さらに、総務省のQ&Aにはこのような記載もあります。行政機関個人情報保護法上の個人情報の説明ではありますが、定義は同じなので参考にしてよさそうです。
Q3-2 メールアドレスは個人情報に該当しますか。
A (略)メールアドレスには、個人情報に該当するものとしないものがあります。記号を羅列したもの(例えば「0123ABCD@soumu.go.jp)のように、それだけでは特定の個人を識別できない場合には、個人情報には該当しません。しかし、特定の個人の氏名を記載したもの(例えば「(氏名のローマ字記述)@soumu.go.jp」のように、特定の個人を識別できる場合には、個人情報に該当します。
(略)記号を羅列したメールアドレスであったとしても、例えばそれがある省のある職員のメールアドレスであって、当該省の職員であれば職員名簿等により誰のメールアドレスなのか分かるような場合には、そのようなメールアドレスは、個人情報であるといえます。(略)
「内部の者ならリストと突合して特定可能」というものまで個人情報となれば、どれがそれかなんて外部の者は把握できないので、フリーメールとわかるドメイン以外はもはや個人情報として扱わざるを得ないのではないか…
また、アカウントIDについてもQ&Aで以下のように説明されており、こちらもすべてを把握することは不能であり、個人情報ということにしておくしかなさそうです。
Q1-8 オンラインゲームで「ニックネーム」及び「ID」を公開していますが、個人情報に該当しますか。
A1-8 オンラインゲームにおける「ニックネーム」及び「ID」が公開されていても、 通常は特定の個人を識別することはできないため、個人情報には該当しません。ただ し、「ニックネーム」又は「ID」を自ら保有する他の情報と容易に照合することにより特定の個人を識別できる可能性があり、そのような場合には個人情報に該当し得ます。また、例外的にニックネームやIDから特定の個人が識別できる場合(有名なニックネーム等)には、個人情報に該当します。
つまり、それが個人情報かどうかを事業者側で把握することは事実上不可能なので、ユーザーが自ら入力した情報は個人情報として扱わざるを得ず、ある項目を取り出して「これは個人情報か?」と考えることは、ほぼ意味がない。
コンメンタールも読んだのですが、このへんのことを凡人にわかるようには書いていなかったです…
個人情報と紐づく情報はすべて個人情報
私の個人情報に対するイメージは、まずコアな個人情報があり、そのコアな個人情報と紐づく情報も、紐づく限りは「個人に関する情報」とはいえないものも、すべて個人情報になるというものです。
上記で「これは個人情報?」とつらつら書いてきたのは、何がこの「コアな個人情報」なのかという話でした。
一般企業ではここも明快には判定できないので、広めに考えざるを得ず、それに紐づくものも個人情報だとなると、社内には個人情報がてんこもりで散在していることになります。
この法制度を理解して実態を把握し、最新の状態で保存することに努め、開示等請求に備えろって、DXに着手したばかりの普通の企業には無理難題。。
これが時代の過渡期というものですかね。