個人情報保護法のWEB弁護士相談 - 入門・定義編 -

1. 個人情報・個人データ・保有個人データの違い

個人情報保護法では、個人情報・個人データ・保有個人データがそれぞれ定義されており、同じ法律の中で用語を使い分けています。
それぞれの意味する内容と、定義を使い分けていることの意義を説明します。
インデックス
  • 業務内容

    個人情報・個人データ・保有個人データとは

    個人情報保護法の条文には、個人情報・個人データ・保有個人データの文言が繰り返し登場します。 この3つの違いは何ですか。

    3つとも個人に関する情報を意味する用語ですが、正確な定義はそれぞれ少しずつ違います。
    三者の関係は、「個人情報」のうち一定の要件をみたすものが「個人データ」で、さらに「個人データ」で一定の要件をみたすものが「保有個人データ」である、というものになっています。

    図表

    (園部逸夫=藤原静雄編『個人情報保護法の解説<第三次改訂版>』94ページをもとに作成)

    1. その情報に含まれる氏名、生年月日などの事項により、特定の個人を識別できるもの
      例)氏名、生年月日、これらと紐づけられた会員番号・取引履歴など
    2. 単体では特定の個人を識別できない状態の情報のうち、他の情報と容易に照合することができ、それによって特定の個人を識別できる情報(容易照合性がある情報)
      例)会員番号のみの情報であるが、社内のシステムに会員番号を入力することで氏名が検索できる状態であること
    3. 個人識別符号が含まれる情報
      例)旅券番号(パスポート番号)、個人番号(マイナンバー)

    個人情報と個人データの違い

    「個人情報」と「個人データ」の違いを教えてください。

    ざっくり言うと、個人情報のうち、データベース化されたものが個人データです。
    データベース化、というのは、体系的に整理され、検索できる状態で保存されているということです。
    「データ」という語感からは、デジタル化されたものを指すように思われるかもしれませんが、紙の書類であっても、情報を整理・分類し、目次、索引、符号などをつけて容易に検索できる状態になっていれば、「個人データ」です。

    もう少し具体的に教えてください。

    個人情報保護法の規定に近い表現で言い換えると、個人データの定義は次のとおりです。

    • 個人データ
      個人情報データベース等を構築する個人情報。(個人情報保護法16条3項)
    • 個人情報データベース等
      個人情報を含む情報の集合物であって、特定の個人情報を検索することができるように体系的に構成されたもの。(個人情報保護法16条1項)
      例1)表計算ソフトを用いて入力・整理された顧客情報
      例2)紙の名刺を氏名の五十音順に整理し、五十音順のインデックスをつけてファイリングした名刺帳

    ※例外あり(市販の電話帳、住宅地図など)

    名刺を例に考えてみましょう。

    図表

    従業員が取引先から受け取った名刺は、従業員の名刺入れやキャビネットでばらばら(未整理)の状態で保管されているうちは、個人データには該当しません。(個人情報には該当します。)
    しかし、この名刺を営業事務の担当者が五十音順の名刺帳に綴じたり、顧客情報として表計算ソフトや顧客管理システムに入力したりすると、情報の性質が変化し、個人データになるのです。

    では、データベース化された表計算ソフトから一部の個人情報を紙で印刷したらどうなるのですか。 印刷後の情報は、「個人データ」でなくなり、個人情報に戻るのですか。

    いいえ。 データベースから出力された情報も、「個人データ」に当たります。 「個人データ」の印刷物が作成されたのは、個人データの取扱いの結果であり、個人情報保護法の規制対象とするのが適切だからです。(金融分野問Q&AII-7)

    なぜ個人情報と個人データの定義が使い分けられているのですか。

    「個人データ」は、データベース化された個人情報であるため、ばらばらで未整理の「個人情報」よりも規模や情報としての有用性が大きく、漏洩や滅失などした際の被害が大きくなることが多いと考えられています。

    そこで、「個人情報」については、利用目的に関する規制など、取得・利用に関する規制のみを課すこととし、「個人データ」にのみ、管理・提供などに関する規制を課すこととしているのです。 個人データにのみ課されるルールの代表例は、次のものです。

    1. 安全管理措置(個人情報保護法23条)
    2. 委託先の監督(個人情報保護法25条)
    3. 漏洩や滅失の報告など(個人情報保護法26条)
    4. 第三者提供の制限(個人情報保護法27条)

    個人データと保有個人データの違い

    「個人データ」と「保有個人データ」の違いについて教えてください。

    ざっくり言うと、保有個人データとは、個人データのうち、本人から開示などの請求を受けた場合に応じなければならないもののことです。

    企業が保有している個人データのうち、開示などの請求に応じなくて良いものがあるのですね。

    そのとおりです。 委託元企業の委託を受けて保存している個人データであっても、開示等に応じる権限を与えられていないものは、保有個人データに該当しません。
    個人情報保護法での保有個人データの定義は、おおむね次のとおりとされています。

    • 本人から請求される開示、内容の訂正、追加、削除、利用の停止、消去、第三者への提供の停止の全てに応じることができる権限を個人情報取扱事業者が有する「個人データ」。(個人情報保護法16条4項)

    ※例外あり(悪質クレーマーのデータなど、存否が明らかになることにより公益その他の利益が害されるもの)

    図表

    保存期間が6か月以内の短期保存データも、保有個人データには含まないのですよね。

    いいえ。
    以前はそのような内容が定められていたのですが、2022年4月に施行された個人情報保護法の改正により、保存期間を理由に保有個人データから除外されることはなくなりました。

    そうなんですね。
    短い保存期間のものであっても、慎重に検討する必要がありますね。

    よく質問されるのは、短い期間で削除されることが多い一方、開示請求の対象とされることも多い電話の録音や防犯カメラの録画映像です。
    以前は保存期間が6か月以内であれば、保有個人データに当たらないと解釈することができました。 現在では、個別に検討が必要になりますが、個人情報データベース等の要件である「体系的構成」や「検索性」がなく、そもそも個人データに当たらないことが多く、結論として同じ解釈になることは十分あり得ます。

    保有個人データにのみ適用される規制には、どのようなものがありますか。

    本人からの請求に関する規制が挙げられます。
    代表例としては、次のものが挙げられます。

    1. 利用目的等の通知(個人情報保護法32条2項)
    2. 開示(個人情報保護法33条)
    3. 内容の訂正、追加または削除(個人情報保護法34条)
    4. 利用の停止や消去(個人情報保護法35条)

    Pマークにおける個人情報・個人データ・保有個人データの取扱い

    プライバシーマーク(Pマーク)を取得している企業の場合、個人情報・個人データ・保有個人データの区別に違いはありますか。

    プライバシーマーク(Pマーク)の付与事業者の場合、Pマークの審査を受ける際に、個人情報保護マネジメントシステムについて定めた日本産業規格であるJIS Q 15001の要求事項をみたすための対応を行っています。
    その結果として、個人情報保護法が求める水準を上回る対応を求める内容の社内規程が制定されていることがあります。
    例えば、個人情報の定義について、JIS Q 15001における推奨に従って、死者の個人情報を含むとされていることがあります。
    また、2017年の改正以前のJIS Q 15001では、個人情報と個人データを区別せず、提供規制などの「個人データ」に関する規制を「個人情報」にも及ぼす内容になっていましたので、その内容が社内規程において維持されていないかも確認する必要があります。

    GDPRにおける個人情報・個人データ・保有個人データの取扱い

    GDPR(一般データ保護規則)でも、同じような分類が採用されているのですか。

    GDPRには、個人情報・個人データ・保有個人データという3つの分類を定める規定はなく、全体において「personal data」(パーソナルデータ・個人データ)という用語が使われています。
    ただ、GDPRの適用対象が次の2種類の個人データの取扱いであることを定める条項がありますので、体系的構成や検索性を有しない個人情報に規制を及ぼさないという趣旨が織り込まれていると解釈することができます。(GDPR2条1項)

    • その全部または一部が自動的な手段による個人データの取扱い
    • ファイリングシステムの一部を構成するもの、またはファイリングシステムの一部として構成することが予定されている個人データ
    ご注意いただきたい点
    • 2023年4月1日に施行されている法令等をもとに執筆されています。同日以降の改正の有無については、個別にお問い合わせください。
    • 個人情報保護法では、個人情報・個人データ・保有個人データの用語が使い分けられていますが、記事中では「個人情報」を「個人データ」「保有個人データ」と同じ意味で使用しています。
    • この記事で登場する法令名と資料の略称は、次のとおりです。
      • 個人情報保護法:「個人情報の保護に関する法律」
      • 施行規則:「個人情報の保護に関する法律施行規則」
      • ガイドライン(通則編):「個人情報の保護に関する法律についてのガイドライン(通則編)」
      • ガイドライン(仮名・匿名加工編):「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」
      • 金融分野ガイドライン:「金融分野における個人情報保護に関するガイドライン」
      • 信用分野ガイドライン:「信用分野における個人情報保護に関するガイドライン」
      • Q&A:「個人情報の保護に関する法律についてのガイドライン に関するQ&A」
      • 金融分野Q&A:「金融機関における個人情報保護に関するQ&A」
      • 不正アクセス禁止法:「不正アクセス行為の禁止等に関する法律」
    • 個人情報取扱事業者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。なお、個人の方からの個人情報保護法に関するご相談には、一律対応しておりません。
    執筆者紹介

    弁護士 永井利幸(永井法律事務所 代表弁護士)

    2010年弁護士登録。 金融機関、IT・Webサービス企業、不動産会社などを依頼企業として企業法務案件に継続的に関与しています。 企業のご担当者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。

    詳しいプロフィールはこちら お問い合わせ
    この記事をシェアする

    関連リンク

    「個人情報保護法のWEB弁護士相談 - 入門・定義編 -」(記事一覧)
    関連業務のご紹介
    個⼈情報・マイナンバー

    個⼈情報・マイナンバー

    個人情報保護法/番号法/漏えい対応/データ利活用/セキュリティ/データマッピング

    詳しくはこちら

    ご依頼までの流れ

    1. 資料のダウンロード

    当事務所の業務紹介資料をこちらからダウンロードいただけます。

    永井法律事務所案内 (2.6MB)

    2. ご依頼に向けた初回相談

    当事務所へのご依頼を検討されているご担当者様からの個別のご相談をお受けいたします。
    どうぞお気軽にお問い合わせください。

    初回相談費用 60 分間 無料

    3. 初回相談後の流れ

    初回相談後に、お聞かせいただいたお話の内容をもとに、当事務所が提供できる業務の内容と料金のお見積をご提示いたします。
    料金は、タイムチャージ(弁護士の時間単価×業務に要した時間による積算)を原則としております。
    なお、債権回収案件などでは着手金・報酬金方式をご提案させていただくこともあります。
    また、顧問契約(法律事務基本契約)の締結をご希望される方には、顧問契約のお見積もご提示いたします。

    ご依頼いただける場合の料金のお支払には、銀行振込のほか、クレジットカード(VISA、Mastercard、JCB、AMEX)、PayPay、PayPalをご利用いただけます。(ご依頼内容により銀行振込のみでのお支払いとなる場合がございます。)

    支払い方法

    PDFとしてダウンロードしたい場合は、印刷の設定画⾯で
    「プリンター」を「PDFに保存」に変更してください。