個人情報 日本における個人情報保護

ウィキペディア

個人情報

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2024/07/08 01:07 UTC 版)

日本における個人情報保護

この節は特に記述がない限り、日本国内の法令について解説しています。また最新の法令改正を反映していない場合があります。ご自身が現実に遭遇した事件については法律関連の専門家にご相談ください。免責事項もお読みください。

個人情報の保護に関する法律

「個人情報の保護に関する法律」を参照

日本では2005年まで行政機関以外を対象とする包括的な法律はなかったが、個人情報保護法により行政と民間の包括的な法制化が実現した^[20]。

2015年9月9日に追加が発令、2017年5月30日に改正個人情報保護法で施行^[21]。

要配慮個人情報の扱いを追加

「人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」を要配慮個人情報として、人の生命や財産の保護に必要で本人が同意できない状態に置かれてる場合や法機関が実務を行うのに必要と判断した場合などの例外はあるが、原則として取り扱いには本人の同意が必要とする改正が行われた

個人情報の消去義務を追加

必要なくなった個人データをできるだけ消去すること

匿名加工情報に関する規定を追加

外国の第三者への提供の制限を追加

個人情報保護委員会の設置

個人に関する情報

経済産業省の『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン』では、個人情報保護法における「個人に関する情報」を以下のように説明している。

「個人に関する情報」は、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財種、肩書等の属性に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない（中略）。 なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。また、「生存する個人」には日本国民に限られず、外国人も含まれるが、法人その他の団体は「個人」に該当しないため、法人等の団体そのものに関する情報は含まれない（ただし、役員、従業員等に関する情報は個人情報）。 — 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(pdf) p2

個人情報は、まず任意の一人の個人に関する1単位の情報全体であることが必要条件である。その上で、その情報に含まれる記述等により特定の個人が識別されるならば、その「個人に関する情報」全体は個人情報にあたる。

個人情報データベース

個人情報を含む情報をデータベース化した場合、そのデータベースは個人情報データベースとして扱われる。一般にデータベースに登録されている情報1単位をレコードと呼び、個人情報データベースのレコードは個人データとして扱われる。

データベース化されていない個人情報は散在情報である。一方、個人データは、それを含むデータベースにアクセスさえできれば、検索や他のデータベースとのマージを行う等の処理をなすことが散在情報と比べて容易である。したがって、個人情報データベースを扱う事業者は、個人情報取扱事業者として規制のもと、個人データの利活用をすることができる。

個人情報保護法における個人情報・個人データ・保有個人データの位置づけ

個人情報保護委員会は個人情報・個人データ・保有個人データについて、次の表のような位置関係にあるとしている^[22]。

個人情報（特定の個人を識別できる情報など）（個人情報保護法2条1項）

• 整理されていない名刺、アンケート、メモ書き、従業者の記憶にあるものなど
• 整理もされず、検索不能な画像データなど

個人情報データベース等（個人情報保護法2条4項）を構成する個人データ（個人情報保護法2条6項）

• 6か月以内に消去されるデータ
• 当該データの存否が明らかになると違法不当行為が助長されるデータ等
• 競争企業などが、相手を探るために必要なデータ等

処分権限のない受託データ

• 委託先から提供された情報
• 処分権限のない共同利用者
• 業務提携などで提供を受けた情報であって、処分権限のないもの

保有個人データ（処分権限のあるもの）（個人情報保護法2条7項）

開示制限のない、開示可能な範囲のデータ

• 顧客データ
• 従業者データ

その他データ

個人情報等の分類

以下、人を対象とする生命科学・医学系研究に関する倫理指針（本文）（令和４年３月10日一部改正）における個人情報等の分類について例示する^[23][24]。

個人情報

• 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの

  例）氏名、診療情報、記名式アンケート、顔画像等

• 個人識別符号が含まれるもの

  例）ゲノムデータ、国民健康保険被保険者証の保険者番号及び被保険者記号・番号

仮名加工情報

• 個人情報保護法が規定する方法で、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報
• ただし、「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」状態にあれば、当該仮名加工情報は個人情報に該当する（個人情報保護法第二条第一項）

匿名加工情報

• 個人情報保護法が規定する方法で、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの

個人関連情報

• 個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの

  例）ウェブサイトの閲覧履歴、Cookie 等の端末識別子、個人識別符号に該当しないゲノムデー タ

行政機関の保有する個人情報の保護に関する法律

「行政機関の保有する個人情報の保護に関する法律」を参照

脚注

1. ^ “Management of Data Breaches Involving Sensitive Personal Information (SPI)”. Va.gov. Washington, DC: Department OF Veterans Affairs (2012年1月6日). 2015年5月26日時点のオリジナルよりアーカイブ。2015年5月25日閲覧。
2. ^ Stevens, Gina (2012年4月10日). “Data Security Breach Notification Laws”. fas.org. 2015年5月25日閲覧。
3. ^ Greene, Sari Stern (2014). Security Program and Policies: Principles and Practices. Indianapolis, IN, US: Pearson IT Certification. p. 349. ISBN 9780789751676. OCLC 897789345. https://books.google.com/books?id=UbwiAwAAQBAJ&pg=PA349 2015年5月25日閲覧。 
4. ^ “NIST SP800シリーズ”. NRIセキュア. 2016年3月7日時点のオリジナルよりアーカイブ。2016年9月1日閲覧。
5. ^ 一般財団法人日本情報経済社会推進協会（JIPDEC) (2006年5月22日). “JIS Q 15001:2006 個人情報保護マネジメントシステム―要求事項” (PDF). 経済産業省. 2020年12月22日閲覧。
6. ^ 一般財団法人日本情報経済社会推進協会（JIPDEC)『JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項』一般財団法人日本規格協会（JSA）、2017年。 
7. ^ ^{a b} 浅川, 直輝. “「携帯電話番号は個人情報に当たらない」、新経連に真意を聞いた”. 日経クロステック（xTECH）. p. 2. 2015年4月7日閲覧。
8. ^ ^{a b} 高木, 浩光「個人情報保護から個人データ保護へ ―民間部門と公的部門の規定統合に向けた検討（2）」『情報法制研究』第2巻、2017年、88頁、doi:10.32235/alis.2.0_75。 
9. ^ 個人情報保護委員会事務局 (2017年2月). “匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて”. 個人情報保護委員会. 2018年4月9日閲覧。
10. ^ 打川, 和男『プライバシーマーク取得がよ～くわかる本』（第4版）、2018年、10頁。 
11. ^ ^{a b c d e} “諸外国における現状”. 総務省 (2012年2月8日). 2019年2月11日閲覧。
12. ^ Solove 2008, p. 24.
13. ^ 小町谷 2004, p. 50.
14. ^ 大森 2013, p. 239.
15. ^ 大森 2013, p. 243.
16. ^ 大谷, 尚通 (2014年6月10日). “2013年情報セキュリティインシデントに関する調査報告〜個人情報漏えい編〜”. JNSA. 2018年8月24日閲覧。
17. ^ 中日新聞: 朝刊14面. (2019年2月21日) 
18. ^ 朝日新聞. (2016年3月22日) 
19. ^ “TwitterやInstagramにアップされた写真から撮影場所を特定する方法”. GIGAZINE. 2014年7月27日閲覧。
20. ^ 打川和男『プライバシーマーク取得がよ～くわかる本 第4版』2018年、11頁。 
21. ^ “個人情報の保護に関する法律”. e-Gov法令検索. デジタル庁. 2022年1月15日閲覧。
22. ^ 個人情報保護委員会, ed (2017). 個人情報保護法相談標準ハンドブック. 東京都: 株式会社日本法令. p. 64. ISBN 978-4-539-72548-1. OCLC 994728851. https://www.worldcat.org/oclc/994728851 
23. ^ “人を対象とする生命科学・医学系研究に関する 倫理指針” (pdf). 文部科学省・厚生労働省・経済産業省 (2022年3月10日). 2022年9月3日閲覧。
24. ^ “人を対象とする生命科学・医学系研究に関する倫理指針 ガイダンス”. 厚生労働省 (2022年6月6日). 2022年9月3日閲覧。