前回の記事では、個人情報保護士を学ぶことで「体系的な判断基準」が手に入ることをお伝えしました。その体系を構築する上で、すべての起点となるのが「用語の定義」です。
実務において「これは個人情報か?」「どう扱うべきか?」という迷いをなくすために、公的な根拠に基づいた5つの重要概念を整理します。
個人情報:すべての判断の出発点
守るべき対象の最小単位であり、もっとも広い概念です。
- 定義: 生存する個人に関する情報であり、氏名、生年月日その他の記述等により「特定の個人を識別できるもの」を指します。
- 実務のポイント(容易照合性): その情報単体では特定できなくても、他の情報と「容易に照合」でき、それにより個人を識別できるものも含まれます。
要配慮個人情報:取り扱いに「慎重な同意」を要する情報
個人情報の中でも、不当な差別や偏見が生じる可能性がある「機微な情報」を指します。
- 具体例: 人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害の事実など。
- 実務上の重要ルール:
- 原則同意が必須: 通常の個人情報は「通知・公表」で足りますが、要配慮個人情報は原則として「あらかじめ本人の同意」を得なければ取得できません。
- オプトアウトの禁止: 本人の同意なく第三者提供を行う「オプトアウト」の手続きは認められません。
個人情報データベース等:情報の「管理状態」を定義する
ここからは「情報の種類」ではなく、その情報が「どう置かれているか」という管理状態の定義です。
- 定義: 個人情報を含む情報の集合物であって、コンピュータ等で容易に検索できるように体系的に構成したものを指します。
- 実務のポイント: 紙の書類であっても、五十音順にファイリングされ目次があるなど「容易に検索できる状態」であれば該当します。
個人データ:法的な「守備義務」が本格化する単位
実務上で最も意識すべきなのが、この「個人データ」という呼称です。
- 定義: 「個人情報データベース等」を構成する個人情報を指します。
- なぜ重要か: 単なるバラバラの「個人情報」が、データベースという箱に入った瞬間に「個人データ」となります。この段階で、法が定める「安全管理措置」を講じる法的義務が明確に発生します。
保有個人データ:本人の「権利」が及ぶ範囲
企業が長期的に管理し、コントロール権を持っているデータについてです。
- 定義: 個人データのうち、取扱事業者が開示、訂正、利用停止などを行う権限を持つものを指します。
- 実務のポイント: 他社から委託されているだけのデータは、自社に開示権限がないため「保有個人データ」には該当しない場合があります。
まとめ:定義を「層」で理解する
これら5つの定義は、バラバラに存在するのではなく、以下のような階層構造として捉えると実務での判断がスムーズになります。
- 情報の性質を確認する: 通常の「個人情報」か、それとも「要配慮」か?
- 情報の状態を確認する: それは「データベース化」されているか?(=個人データか?)
- 情報の権限を確認する: 自社でコントロール(開示・訂正)できるか?(=保有個人データか?)
この境界線を正しく引けるようになることが、個人情報保護士の知識体系を実地で使いこなすための第一歩となります。
取得から廃棄まで、実務で迷わないためのルールを整理した記事はこちら。
コメント