個人情報保護法を読んでいると、似たような言葉が何度も登場します。
「個人情報」「個人データ」「保有個人データ」——これらはすべて「個人に関する情報」を指しているように見えますが、法律上は明確に異なる概念です。
この三つの違いを理解することは、「どんな義務が生じるのか」を判断するために欠かせません。なぜなら、個人情報保護法上の義務は、情報の種類・階層によって異なるからです。
ロシアのマトリョーシカ人形をイメージしてみてください。一番外側の大きな人形が「個人情報」、その中に「個人データ」、さらにその中に「保有個人データ」が入っている——そんな入れ子構造になっています。
個人情報・個人データ・保有個人データの違い
個人情報は、前のページで学んだ通り、「特定の個人を識別できる情報」全般を指します。紙のメモに書かれた顧客の名前も、頭の中で覚えている取引先の連絡先も、すべて個人情報です。
個人データは、個人情報のうち、個人情報データベース等を構成するものを指します。個人情報データベース等とは、個人情報をコンピュータで検索できるように体系的にまとめたもの——つまりエクセルの顧客リストや、データベースに登録された会員情報などがこれにあたります。
紙のメモに書かれた一件の顧客情報は「個人情報」ですが、それをシステムに入力して顧客データベースの一部にした瞬間、「個人データ」になります。
データベースに入ることで、大量の情報を瞬時に検索・抽出できるようになり、プライバシーへのリスクが高まるため、より厳格な扱いが求められます。
保有個人データは、個人データのうち、事業者が開示・訂正・削除などの権限を持つものを指します。
ポイントカードのたとえで考えてみましょう。
あなたがA店でポイントカードを作ったとき、A店はあなたの住所・電話番号などのデータを自社のシステムで管理しています。A店は「開示・訂正・削除の権限」を持っているので、このデータはA店にとっての保有個人データです。あなたが「住所が変わったので訂正してください」と請求すれば、A店には応じる義務があります。
では、A店がそのデータ管理をB社(システム会社)に委託した場合はどうでしょうか。B社はデータを物理的に預かって管理していますが、「このデータを開示していいか」「削除していいか」を自分では決められません。すべてA店の判断を仰がなければならない。つまりB社は権限を持っていないため、B社にとってはこのデータは保有個人データではありません。
一方、A店はデータを物理的に持っていなくても、開示・訂正・削除の権限はA店にあります。だからA店にとっては引き続き保有個人データです。
「誰が開示・訂正・削除を決める権限を持っているか」——それが保有個人データかどうかを判断するポイントです。保有個人データに対しては、本人からの開示請求・訂正請求・削除請求に応じる義務が生じます。
三つの階層を図で整理する
三つの関係を整理するとこうなります——
個人情報(最も広い概念)
└ 個人データ(データベース化されたもの)
└ 保有個人データ(開示・訂正・削除の権限を持つもの)
外側の概念ほど広く、内側に行くほど義務が厳格になります。
「個人情報」に課される義務より「個人データ」に課される義務の方が多く、「保有個人データ」には本人からの各種請求に応じる義務まで加わります。
なぜこの区別が重要なのか
AIの開発・運用の場面で、この区別が重要になる具体的な場面を考えてみましょう。
たとえば、ユーザーの行動データを収集してAIモデルを学習させるサービスを開発しているとします。収集したユーザーデータをデータベースに格納した時点で、そのデータは「個人データ」となり、安全管理措置(データの漏洩を防ぐための対策)を講じる義務が生じます。
さらに、そのデータを自社で管理・開示・削除できる状態にある場合、「保有個人データ」として、ユーザーから「私のデータを見せてください」「私のデータを削除してください」と請求された場合に応じる義務が生じます。
「個人情報だから気をつければいい」ではなく、「どの階層の情報か」によって義務の内容が変わる——この理解が、個人情報保護法を正しく扱うための出発点です。
next ▶ 個人情報を扱う事業者の義務 利用目的・第三者提供・委託