セキュリティ
個人情報とは? 定義・範囲など押さえておきたい基本を解説
近年、インターネットサービス上で個人情報をやり取りする機会が増えています。個人情報の取り扱いなどは「個人情報保護法」で定められており、サービスの提供者などの個人情報を収集・活用する企業は適切に対応しなければなりません。
この記事では、個人情報の基礎知識として、個人情報の範囲や企業・組織における保護の重要性、取り扱い方について簡単に解説します。
個人情報とは
個人情報とは、生存する特定の個人を識別できる情報です。個人情報の適正な取り扱いなどについての法律である「個人情報保護法」では、次のように定義されています。
「この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの」
より詳しくは、この後の「個人情報の具体例」で解説します。
個人情報の範囲
個人情報の具体例や、個人情報とみなされない情報としてはどのようなものが考えられるでしょうか。ここでは、それぞれ具体的な例を挙げながら解説します。
個人情報の具体例
前述のとおり、生存する個人を識別できる情報であれば、それらは全て個人情報となります。例えば、次のようなものが挙げられます。
- 氏名
- 電話番号
- 住所
- 生年月日
- 顔認識データ
- 指紋認識データ
- パスポート
- 運転免許証
- マイナンバー
など
顔認識データやパスポートなどは「個人識別符号が含まれるもの」です。個人識別符号とは、身体的特徴を電子計算機の用に供するために変換した符号、または対象者ごとに異なるように付与される符号に該当する情報で、単体で個人情報に該当します。
個人情報とみなされる情報
前述の具体例のなかで「生年月日だけでは個人を特定できないのではないか?」と思った方もいるのではないでしょうか。確かに生年月日単体では特定の個人を識別することはできません。しかし、例えば氏名などの情報と組み合わせると識別できるようになるため、個人情報に該当します。個人情報を取り扱う際には、他の情報との組み合わせにも注意しなければなりません。
個人情報とみなされない情報
特定の個人を識別できないように加工した「匿名加工情報」や、他の情報と照合しない限り特定の個人を識別することができない状態まで加工する「仮名加工情報」は、個人情報とみなされません。匿名加工情報や仮名加工情報は、個人情報と比べて「漏えい等報告等」「開示・利用停止等の請求対応」の対象外となり、取り扱いやすくなります。
例えば、事業者間で消費者(サービス利用者)の行動履歴などを共有してサービスの改善に活かす、といったような使い方が可能です。
企業・組織における個人情報の保護の重要性
インターネットサービスが普及して利便性が向上した一方で、個人情報の漏えい事故などによるリスクが高まっています。個人のプライバシー意識も高まっており、個人情報を提供する消費者(サービス利用者)としても、個人情報の取り扱いに関しては厳しい目を向けています。
企業・組織としては、サービス利用者が安心してサービスなどを利用できるように環境を整えなければなりません。適正な個人情報の取り扱いは企業・組織の義務です。個人情報の取り扱いなどは「個人情報保護法」で定められ、年々厳格化しています。企業・組織における個人情報の保護は、義務であり企業活動を続ける上で欠かせないものとなっています。
個人情報保護法に関しては、こちらの記事で詳しく解説しているため併せてご覧ください。
→「個人情報保護法をわかりやすく解説|企業に求められる対応とは?」
企業・組織における個人情報の取り扱い
企業・組織において個人情報を取り扱う際には、以下の点に注意することが重要です。
個人情報を取り扱う上での注意点
個人情報の保護のために企業・組織は、取得時、利用時、保管時、他者に渡すとき、開示を求められたときに応じて守るべき基本的なルールが存在します。これらの基本的なルールをしっかりと守り、適正に取り扱うことが重要です。
また、前述のとおり、生年月日などの情報は単体では個人を特定し得る情報とはいえませんが、複数の情報と組み合わせることで個人情報として取り扱う必要があります。どこまでの情報が個人情報で、どのように取り扱う必要があるのか、という点を明確にした上で取り扱うようにしましょう。
企業が実施すべき具体的な対策
個人情報を取得する際には「利用目的」などをWebサイトや店頭などで告知します。また、他者に渡す可能性がある場合は、事前に利用者の許諾を得ることも重要です。この場合、本人が反対しない限り個人情報の第三者提供を同意したものとみなす「オプトアウト方式」は、法改正により事前にオプトアウト手続きをしていることを個人情報保護委員会に届け出なければならないため注意しましょう。
保管する際はセキュリティ対策ソフトを導入し、マルウェアへの感染を防ぐだけでなく、個人情報の電子ファイルを暗号化する、紙媒体の場合はキャビネットに鍵をつける、などの対策が必要です。併せて、従業員一人ひとりに個人情報に関する教育を行い、組織全体で個人情報を保護する意識をもつ必要があります。
個人情報は生存する特定の個人を識別できる情報であり、氏名や生年月日などの情報が該当します。単体では個人を特定できないとしても、複数の情報を組み合わせることで特定できる場合は個人情報となるため注意しましょう。
今や、個人情報の保護は企業・組織の義務となっており、個人情報の適正な取り扱いは企業・組織における重要な課題の一つです。個人情報の流出などが発生した場合には、企業・組織の存続に関わるほどの多大な影響を及ぼしかねません。
日立ソリューションズ・クリエイトでは、企業から漏えいした情報を調査し、改善案を提供する「漏えい情報調査サービス」を提供しています。当社のホワイトハットハッカーが漏えい情報の報告や、リスクに対する改善案を提案し、企業におけるサイバーセキュリティインシデントへの対応力を強化するサービスです。事故発生後だけでなく、サイバーセキュリティインシデントの発生を予防し、より安全な事業を継続したいと考えるお客さまにおすすめです。