個人情報保護法において、個人に関する情報は以下の4つにカテゴライズされています。
- 個人情報
- 仮名加工情報
- 匿名加工情報
- 個人関連情報
個人に関する情報を取り扱う企業は、上記の分類に応じた個人情報保護法のルールを遵守しなければなりません。
今回は個人情報・仮名加工情報・匿名加工情報・個人関連情報について、分類や取扱いの違いなどをまとめました。
個人情報・仮名加工情報・匿名加工情報・個人関連情報の分類
個人情報・仮名加工情報・匿名加工情報・個人関連情報とは、簡潔にまとめると以下の情報を指します。
個人情報:個人を特定できる情報です。
仮名加工情報:個人情報を加工して作成された、他の情報と照合して初めて個人を特定できる情報です。
匿名加工情報:個人情報を復元不可能な形で、個人を特定できないように加工して作成された情報です(他の情報と照合しても個人の特定は不可)。
個人関連情報:個人に関する情報であって、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないものです。
それぞれの法律上の定義と、該当する情報の具体例は以下のとおりです。
個人情報とは
「個人情報」とは、生存する個人に関する情報であって、以下のいずれかに該当するものをいいます(個人情報保護法2条1項)。
(1)その情報に含まれる記述により、特定の個人を識別できるもの(他の情報と容易に照合でき、照合によって特定の個人を識別できるものを含む)
(例)
- 氏名
- 生年月日、連絡先
- 防犯カメラなどに記録された、本人を判別できる映像
- 本人の氏名が含まれるなど、特定の個人を識別できる音声録音
- 特定の個人を識別できるメールアドレス(アドレスに本名が含まれているものなど)
- 出版物やSNSなどで公にされている、特定の個人を識別できる情報
(2)個人識別符号が含まれるもの
(例)
- DNA情報(塩基配列)
- 生体認証情報(顔認証、指紋認証、音声認証など)
- 旅券番号
- 基礎年金番号
- 免許証番号
- 住民票コード
- 個人番号(マイナンバー)
- 健康保険証の被保険者記号、番号
など
仮名加工情報とは
「仮名加工情報」とは、他の情報と照合しない限り特定の個人を識別できないように、個人情報を加工して得られた個人に関する情報をいいます(個人情報保護法2条5項)。
仮名加工情報を作成する際には、以下のすべての措置を講じなければなりません(同法41条1項、個人情報保護法施行規則31条)。
(1)特定の個人を識別できる記述等の全部または一部を削除する
(2)個人識別符号の全部を削除する
(3)不正に利用されることにより、財産的被害が生じるおそれがある記述等を削除する
※いずれも復元可能な規則性を有しない方法による置換を含む
<仮名加工情報の加工例>
「甲野太郎 男性 61歳 検査数値78.4mg」(個人情報)
→「(匿名ID)男性 61歳 検査数値78.4mg」(仮名加工情報)
※別の資料によって、「甲野太郎」と匿名IDの照合が可能
匿名加工情報とは
「匿名加工情報」とは、特定の個人を識別できないように、個人情報を復元不可能な形で加工して得られた個人に関する情報をいいます(個人情報保護法2条6項)。
匿名加工情報を作成する際には、以下のすべての措置を講じなければなりません(同法41条1項、個人情報保護法施行規則31条)。
(1)特定の個人を識別できる記述等の全部または一部を削除する
(2)個人識別符号の全部を削除する
(3)個人情報と連結する符号を削除する
(4)特異な記述等を削除する
(例)年齢が115歳の場合→人数がほとんどいない特異な記述のため、削除する
(5)(1)~(4)のほか、データベース内の他の個人情報との差異などの性質を勘案し、適切な措置を講ずる
※(1)~(4)は、復元可能な規則性を有しない方法による置換を含む
<匿名加工情報の加工例>
「甲野太郎 男性 61歳 検査数値78.4mg」(個人情報)
→「(氏名削除)男性 60代 検査数値70mg台」(匿名加工情報)
個人関連情報とは
「個人関連情報」とは、生存する個人に関する情報であって、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないものをいいます(個人情報保護法2条7項)。
<個人関連情報の例>
- Cookie
- IPアドレス
- 端末ID
- 位置情報
- 閲覧履歴
- 購買履歴
など
個人情報・仮名加工情報・匿名加工情報・個人関連情報に関する取扱いルールの違い
個人情報・仮名加工情報・匿名加工情報・個人関連情報については、各情報の性質に応じて、個人情報保護法において異なる取扱いルールが定められています。
個人情報の取扱いに関するルール
個人情報を取り扱う事業者は、以下のルールを遵守しなければなりません。
(1)利用目的の特定(個人情報保護法17条)
個人情報の利用目的はできる限り特定しなければならず、変更は合理的関連性を有する範囲に限定されます。
(2)目的外利用の制限(同法18条)
本人の同意がある場合、法令に基づく場合などを除き、利用目的の達成に必要な範囲を超えて個人情報を取り扱うことは禁止されます。
(3)不適正利用の禁止(同法19条)
違法・不当な行為を助長し、または誘発するおそれがある方法で個人情報を利用することは禁止されます。
(4)適正な個人情報の取得(同法20条)
偽りその他の不正な手段を用いて個人情報を取得することは禁止されます。また要配慮個人情報については、取得時に本人の同意を得なければなりません。
(5)本人に対する利用目的の通知・公表(同法21条)
取得した個人情報の利用目的は、一部の例外を除き、本人への通知または公表が必要となります。
(6)データ内容の正確性の確保・不必要なデータの消去(同法22条)
保有する個人データは正確かつ最新の内容に保ち、利用する必要がなくなった場合には遅滞なく消去するよう努めなければなりません。
(7)安全管理措置(同法23条)
漏えい・滅失・毀損の防止など、個人データの安全管理のために適切な措置を講ずる必要があります。
(8)従業者・委託先の監督(同法24条、25条)
個人データを取り扱う従業員等や委託先に対して、必要かつ適切な監督を行う必要があります。
(9)漏えい報告等(同法26条)
個人データの漏えい・滅失・毀損などが発生した際には、原則として個人情報保護委員会への報告と本人への通知が義務付けられます。
(10)第三者提供の制限等(同法27条~30条)
個人データを第三者に提供する際には、原則として本人の事前同意が必要です。
また、第三者提供を行う際には、その記録を作成・保存しなければなりません。
さらに、他の事業者から個人データの提供を受ける場合、取得経緯などを確認する必要があります。
(11)保有個人データに関する事項の公表等(同法32条)
保有個人データに関する開示請求、訂正・追加・削除請求、利用停止・消去請求の手続きなどを、本人の知り得る状態に置かなければなりません。
(12)各種請求への対応(同法33条~38条)
本人から保有個人データの開示請求、訂正・追加・削除請求、利用停止・消去請求を受けた際には、個人情報保護法に従った適切な対応が求められます。
(13)苦情の処理(同法39条)
個人情報の取扱いに関する苦情の適切・迅速な処理と、苦情処理体制の整備に努めなければなりません。
仮名加工情報の取扱いに関するルール
仮名加工情報の取扱いに関しては、個人情報の取扱いに関するルールをベースとしつつ、以下の点について異なるルールが定められています。
(1)安全管理措置(個人情報保護法41条2項)
安全管理措置については、仮名加工情報の性質に合わせた基準が定められています(同法施行規則32条)。
(2)目的外利用の制限(同法41条3項)
仮名加工情報の目的外利用は、法令に基づく場合に限定されます。
(3)利用目的の公表(同条4項)
仮名加工情報の利用目的を本人に対して通知する必要はなく、公表義務だけが定められています。
(4)正確性確保の努力義務の免除(同条5項)
仮名加工情報を正確かつ最新の内容に保つ必要はなく、利用の必要性がなくなった場合に遅滞なく消去するよう努めれば足ります。
(5)第三者提供の制限(同条6項)
仮名加工情報の第三者提供は、法令に基づく場合に限定されます。
(6)照合の禁止(同条7項)
本人を識別するために、当該仮名加工情報を他の情報と照合してはいけません。
(7)営業目的での利用の禁止(同条8項)
電話・郵便・電報・ファクシミリ・メールなどによる連絡や、住居の訪問を目的として仮名加工情報を利用してはいけません。
(8)利用目的の変更(同法41条9項、17条2項)
仮名加工情報の利用目的は、事業者が自由に変更できます。
(9)漏えい報告等の免除(同法41条9項、26条)
仮名加工情報の漏えい等が発生した場合には、個人情報保護委員会への報告と本人への通知は免除されます。
(10)開示請求等の適用除外(同法41条9項、32条~39条)
仮名加工情報については、本人による開示請求、訂正・追加・削除請求、利用停止・消去請求は認められていません。
匿名加工情報の取扱いに関するルール
匿名加工情報の取扱いに関しては、個人情報の取扱いに関するルールは適用されない一方で、以下のルールが定められています。
(1)安全管理措置(個人情報保護法43条2項)
安全管理措置については、匿名加工情報の性質に合わせた基準が定められています(同法施行規則35条)。
(2)個人に関する情報項目の公表(同法43条3項)
匿名加工情報を作成したときは、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければなりません。
(3)第三者提供時の公表等(同法43条4項、44条)
作成した匿名加工情報を第三者に提供するときは、当該匿名加工情報に含まれる個人に関する情報の項目と提供方法を公表するとともに、提供先に対して匿名加工情報である旨を明示しなければなりません。
(4)照合の禁止(同法43条5項、45条)
本人を識別するために、当該匿名加工情報を他の情報と照合してはいけません。
(5)各種措置・公表の努力義務(同条6項、46条)
安全管理措置・苦情処理措置など、匿名加工情報の適正な取扱いを確保するために必要な措置を講じ、かつその内容を公表するよう努めなければなりません。
個人関連情報の取扱いに関するルール
個人関連情報についても、個人情報の取扱いに関するルールは適用されない一方で、以下のルールが定められています。
(1)第三者提供時の確認(個人情報保護法31条1項、3項、30条2項)
第三者に個人関連情報を提供する際、提供先が個人データとして取得することが想定されるときは、本人の同意が得られていることなどを確認しなければなりません。
また、確認を受けた提供先の第三者は、偽りの回答をしてはなりません。
(2)第三者提供時の記録作成・保存(同法31条3項、30条3項、4項)
個人関連情報の第三者提供に関する確認を行ったときは、確認記録を作成して1年間(または3年間)保存しなければなりません。
まとめ
個人情報保護法のルールは、事業者が取り扱う情報の種類に応じて多岐にわたります。
個人に関する情報を取り扱う事業者は、法務担当者を増強する、顧問弁護士にアドバイスを求めるなどの対応を通じて、個人情報保護法の正確な遵守に努めてください。