はじめに
個人情報保護法には、「個人情報」と似た用語として、「個人データ」や「保有個人データ」という用語があります。また、これに関連する用語として、「個人情報データベース」という用語もあります。
本項では、これらの用語の意義がそれぞれどのように異なるのか、また、それぞれの用語は、個人情報保護法でどのように規律されているのかについてご説明します。
「個人情報」とは
まず、出発点となる「個人情報」については、個人情報保護法で、次のように定義されています。
「第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの」
(詳しくは、「個人情報保護法の「個人情報とは」」の記事をご確認ください。)
ここで、誤解されがちな点ですが、「個人情報」は、氏名等の、それ単独で特定の個人を識別することができる情報に限られません。氏名等の特定の個人を識別することができる情報に紐付けられた情報も、「個人情報」に含まれます。よって、例えば性別や年令などの、それ自体では、特定の個人を識別することができない情報も、氏名等に紐付けられていれば、個人情報にあたります。
他の情報との容易照合可能性
この「紐付けられている」に関して、社内に2つ以上のデータベースがある場合が問題になります。
例えば、一つの会社内に、氏名等のユーザー情報を所管する部門(総務課)とクレーム対応をする所管(CS課)とが別々にあったとします。これらの部署は、それぞれ独自のデータベースで情報を管理しており(総務課のものをDB①、CS課のものをDB②とします。)、DB②では、クレーム情報は、個人を特定できないユーザーIDのみで管理していたとします。
この場合、DB②の情報は、それ単独では特定の個人を識別できないため「個人情報」にあたりません。しかし、社内でDB①とDB②を組み合わせて利用することができれば(DB①にユーザーIDが登録されているなど)、DB②の情報も、誰の情報であるか特定することができてしまいます。
このように、DB②のみでは個人情報にあたらない場合でも、DB①と組み合わせることで特定の個人を識別することができれば、DB②も氏名等に紐付けられているといえ、個人情報にあたります。
即ち、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる場合には、それ単独では特定の個人を識別できない情報も、個人情報にあたるということになります(2条1項1号末尾の括弧書き)。
但し、社内規程等で、データベース間の照合が厳格に禁止されているなどの場合には、他の情報と「容易に」照合することができるとはいえませんので、この情報(先ほどの例でいえばDB②)は個人情報にあたりません。
個人情報データベース、個人データとは
個人情報データベースとは、個人情報を検索可能なようにデータベース化したものです。個人データとは、このデータベースに保存されている個人情報をいいます。
よって、「個人情報」のうち、データベース化されたものが「個人データ」といえます。
個人情報と個人データの規制の違い
「個人データ」は、データベース化され、検索可能な情報ですので、これが漏洩・悪用等されないように①取得・利用、②保管、③提供のいずれの場面においても、厳格な規制に服さなければなりません。
しかし、データベース化されていない個人情報は、利活用することが困難ですので、漏洩・悪用等の心配は比較的小さいといえます。また、このような情報にまで厳格な規制をすると、事業者の負担が過度に大きくなってしまいます。
このため、「個人情報」については、先ほどの3つのうち、①取得・利用の場面のみ規制があり、②、③の場面の規制はありません。
保有個人データとは
自社にあるデータベース化された個人情報全てが「個人データ」にあたりますが、その中には、発注元から委託を受けて使用している「個人データ」など、自社が保有しない個人データも含まれます。このような個人データは、その会社にとって、その内容を訂正したり、利用を停止するといったことを判断する立場にありません。
よって、個人データのうち、自社が保有する「保有個人データ」のみが、本人からの開示請求等の対象となります。
おわりに
このように、個人情報保護法の用語は、相互に似通っていますが、その意味や規制するところはそれぞれ異なりますので、気をつけて理解したいところです。
スポットでのご相談やご依頼もお受けしておりますので、ご気軽にお問合せください。
お問い合わせフォームはこちら