「個人情報」という言葉は、日常的によく使います。
しかし「法律上の個人情報とは何か」と問われると、意外と答えにくいものではないでしょうか。名前や住所は個人情報だとわかる。では、メールアドレスは?IPアドレスは?顔写真は?防犯カメラの映像は?
個人情報保護法における「個人情報」の定義を正確に理解することは、この章全体の土台になります。まずここをしっかり押さえていきましょう。
個人情報とは何か
個人情報保護法における個人情報とは、「生存する個人に関する情報であって、特定の個人を識別できるもの」のことです。
ポイントは三つあります。
①生存する個人に関する情報——亡くなった方の情報は、個人情報保護法の対象外です。
ただし遺族のプライバシーに関わる場合など、別の観点から配慮が必要な場面はあります。
②特定の個人を識別できる——「この情報から、誰のことかがわかる」ということが重要です。
「田中太郎、東京都渋谷区○○、電話番号090-XXXX-XXXX」であれば、特定の個人を識別できます。
③他の情報と照合することで識別できる場合も含む——単独では個人を特定できなくても、他の情報と組み合わせることで特定できる場合も個人情報に該当します。
たとえば「会社名+役職」だけでは特定できなくても、「○○株式会社の代表取締役」であれば特定の個人を識別できる場合があります。
個人識別符号とは何か
個人識別符号(こじんしきべつふごう)とは、それ単体で特定の個人を識別できる符号のことで、個人情報保護法上、個人情報として扱われます。
個人識別符号には二種類あります。
一つ目は身体的特徴を変換した符号です。
顔認識データ、指紋データ、声紋データ、虹彩(目の模様)データ、歩行の特徴データ——これらは身体的な特徴をデジタルデータに変換したもので、個人識別符号にあたります。
二つ目はサービス利用等において割り当てられた符号です。
マイナンバー、運転免許証番号、旅券番号(パスポート番号)、健康保険証の被保険者番号——これらも個人識別符号にあたります。
AIの分野では特に、顔認識データや声紋データが個人識別符号にあたることに注意が必要です。
防犯カメラの映像から顔認識AIを使って個人を特定するシステムを開発する場合、個人情報保護法の規制が適用されます。
要配慮個人情報とは何か
要配慮個人情報(ようはいりょこじんじょうほう)とは、不当な差別や偏見、その他の不利益が生じないよう、取扱いに特に配慮が必要な個人情報のことです。
要配慮個人情報に該当するものとして、以下が挙げられます。
人種・民族、信条(思想・信仰)、社会的身分、病歴、犯罪の経歴、犯罪被害の事実、身体・知的・精神障害があること、健康診断の結果、医師による指導・診療・調剤の情報、刑事手続における逮捕・捜索等の事実——これらが代表的な要配慮個人情報です。
通常の個人情報と異なり、要配慮個人情報は本人の同意なく取得することが原則として禁止されています。また、第三者への提供にも、より厳格なルールが適用されます。
AIの医療診断システムや、採用選考に使われるAIを開発する場合、病歴や障害に関する情報が含まれる可能性があり、要配慮個人情報の取扱いに特に注意が必要です。
個人情報保護法が適用される場面
個人情報保護法は、個人情報取扱事業者——個人情報データベース等を事業に使用しているすべての事業者——に適用されます。
かつては「5000件以上の個人情報を保有する事業者」という閾値がありましたが、現在はその閾値が撤廃され、1件でも個人情報を事業に使用していれば適用対象となります。
つまり、小さなスタートアップがAIサービスを開発する場合でも、ユーザーの個人情報を一件でも扱えば、個人情報保護法の規制を受けます。
「うちは小さい会社だから関係ない」は通用しないのです。
まとめ
個人情報 → 生存する個人に関する情報で、特定の個人を識別できるもの。他の情報と照合することで識別できる場合も含む
個人識別符号 → 単体で特定の個人を識別できる符号。顔認識データ・指紋データなどの身体的特徴を変換したものと、マイナンバー・運転免許証番号などのサービス利用等で割り当てられた符号の二種類がある
要配慮個人情報 → 不当な差別や偏見が生じないよう取扱いに特に配慮が必要な個人情報。人種・病歴・犯罪歴などが該当する。本人の同意なく取得することが原則禁止
個人情報取扱事業者 → 個人情報データベース等を事業に使用しているすべての事業者。現在は件数の閾値なく適用される
next ▶ 個人情報の種類と階層 個人データ・保有個人データ