個人情報の定義とは？該当する情報・しない情報の具体例を紹介

個人情報の正しい取り扱いは、企業にとっての責務です。しかし、「どこまでが個人情報なのか」「プライバシーとの違いは何か」といった基本的な定義を正しく理解していないケースも少なくありません。

この記事では、個人情報の定義や具体例、該当しない情報の見極め方、中小企業が守るべき実務上のポイントなどをわかりやすく解説します。

法令遵守と信頼獲得のために、正しい知識を身につけましょう。

なお、以下資料はコンプライアンスの基本から社内ルール整備、従業員の巻き込み方、よくある初期の失敗までを、わかりやすく具体的に解説しています。

「個人情報の取り扱いなど、コンプライアンスについてどう取り組めばいいかわからない」という人事・総務・労務の担当者の方必見です。ぜひダウンロードしてください

＞＞ゼロから始めるコンプライアンス対応　企業がまず取り組むべき3つのことダウンロードはこちら

個人情報の定義とは？

個人情報とは、「生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報」を指します。また、個人識別符号や他の情報と照合することで個人を特定できる情報も含まれます。

個人情報保護法により、この定義は明確に規定されているため、企業が扱う情報の中で、どこまでが個人情報として該当するのかを理解しておくことが重要です。

参考）政府広報オンライン「「個人情報保護法」を分かりやすく解説。個人情報の取扱いルールとは？」

参考）厚生労働省「本指針における「個人情報」「要配慮個人情報」「匿名加工情報（非識別加工情報）」「匿名化されているもの」等の分類について」

一般的な個人情報の種類

個人情報は大きく分けて「特定個人情報」と「要配慮個人情報」に分けられます。

特定個人情報とは「生存する個人に関する情報であって、特定の個人を識別することができるもの」です。

1. 情報単体で特定の個人を識別することができるもの
2. 他の情報と照合すること(※2)によって特定の個人を識別することができるもの
3. 個人識別符号が含まれるもの

詳細は後述しますが、氏名や顔画像、マイナンバーなどが該当します。

要配慮個人情報とは、「個人情報のうち、その取扱いにとくに配慮を要する記述が含まれるもの」です。

具体的には、診療録、レセプト、健診の結果、ゲノム情報などが挙げられます。

個人情報とプライバシーの違い

「個人情報」と「プライバシー」は混同されがちですが、異なるものです。

個人情報は、個人情報保護法に基づき定義された法的な用語で、氏名や連絡先、生体情報などが対象です。

一方、プライバシーは「私生活の自由や秘密を守る権利」という社会的な概念で、法律の枠を超えた広い意味合いを持ちます。

たとえば、交友関係や家庭内の事情など、個人情報に該当しない内容であっても、それらが本人の同意なく他者に知られたり、公開されたりすることで、プライバシーの侵害となる場合があります。

個人識別符号との関係

個人識別符号とは、個人に割り当てられる符号であり、それ自体が個人情報に該当します。

代表的な例は以下のとおりです。

• マイナンバー
• 運転免許証番号
• 健康保険証の記号、番号

また、指紋や声紋などの生体情報も含まれます。

これらの情報は、他の情報と照合することなく単独で個人を特定できるため、個人情報保護法では自動的に「個人情報」として扱われます。

個人情報に該当する情報の具体例

個人情報保護法では、特定の個人を識別できる情報を「個人情報」として定義しています。

具体的には、以下のとおりです。

• 氏名、住所、電話番号
• メールアドレス、SNSアカウント
• 顔写真、指紋、音声データ

それぞれ詳しく見ていきましょう。

参考）政府広報オンライン「「個人情報保護法」を分かりやすく解説。個人情報の取扱いルールとは？」

氏名、住所、電話番号

氏名・住所・電話番号は、個人情報の中でも最も基本的かつ一般的な情報です。

これらは単体でも個人を特定できる場合が多く、取り扱いは慎重に行う必要があります。

したがって、これらの情報を収集・保管・提供する場合には、事前の利用目的の明示や適切な管理体制が求められます。

メールアドレス、SNSアカウント

メールアドレスは、ユーザー名やドメイン名から特定の個人を識別できる場合、それ自体が単体で個人情報に該当します。

また、SNSのIDは、単体であれば個人情報ではありませんが、ほかの情報と照合することにより特定の個人を識別できる場合、個人情報に該当することがあります。

顔写真、指紋、声紋

顔写真は、単体でも個人を特定できるものであるため、個人情報に該当します。

また、指紋、声紋といった生体情報は「個人識別符号」に該当し、個人情報として扱われます。これらは、情報単体で本人を識別できる性質を持っているためです。

個人情報に該当しない情報とは？

個人情報保護法では、「特定の個人を識別できる情報」を個人情報と定めていますが、その範囲外となる情報も存在します。

具体的には、以下のとおりです。

匿名加工情報・非識別加工情報

• 仮名加工情報
• 統計情報・集計データ

それぞれ詳しく見ていきましょう。

参考）厚生労働省「本指針における「個人情報」「要配慮個人情報」「匿名加工情報（非識別加工情報）」「匿名化されているもの」等の分類について」

匿名加工情報・非識別加工情報

匿名加工情報とは「個人情報保護法等に定める匿名加工基準を満たすように、個人情報を加工したもの」です。

この情報は、法令に定められた条件を満たせば、本人の同意なく第三者提供が可能です。

参考）個人情報保護委員会「匿名加工情報制度について」

仮名加工情報

仮名加工情報とは、ほかの情報と照合しない限り特定の個人を識別できないよう、氏名などを別の符号に置き換えた情報です。

この情報は、企業内部での分析や業務効率化のために活用されるケースが多いです。顧客の満足度調査など、個人名を伏せて集計するようなケースが該当します。

ただし、「仮名加工情報」には「個人情報」に該当するものと、そうでないものがある点に注意が必要です。

仮名加工情報作成の元となった個人情報を合わせて所有している場合は、情報を照合することで個人を特定できるため、個人情報に該当します。

一方で、元となった個人情報を持っていない場合や、処分した場合、その仮名加工情報は個人情報に該当しません。

参考）「個人情報である仮名加工情報と個人情報でない仮名加工情報とは何ですか」

参考）個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（仮名加工情報・匿名加工情報編）」

統計情報・集計データ

統計情報や集計データは、不特定多数の個人に関する情報を数値的にまとめたもので、個人を識別できないことから原則として個人情報には該当しません。

たとえば、「東京都内に在住する30代の男女の平均年収」といった情報は、特定の個人に結びつかないため、法的な規制の対象外です。

ただし、統計データの中に個人が特定されうる詳細情報が含まれる場合や、ほかの情報と組み合わせて特定が可能になる場合は、個人情報と見なされる可能性もあります。

「中小企業が個人情報を扱う時のガイドライン

顧客や従業員の情報を取り扱う限り、企業規模にかかわらず、法令に則った管理が求められます。

中小企業では、専門部署がなく情報管理が属人的になりがちなため、基本的な対応ルールを理解し、実務に落とし込むことが重要です。

個人情報保護法に違反した場合、刑事罰に科されるリスクがあります。法人の代表や従業員が、個人情報を不正な利益を得る目的で提供したり盗用した場合、両罰規定により、行為者に加え、その法人や人にも罰金刑が科される可能性があるのです。

参考）個人情報保護委員会「個人情報取扱事業者等が個人情報保護法に違反した場合、どのような措置が採られるのですか。」

参考記事：個人情報保護法のガイドラインを知っていますか？企業の守りに必要な情報を解説！

参考記事：企業の個人情報保護の重要性を理解しよう！ リスク、対策などを紹介

個人情報を扱う際のチェックリスト

個人情報を安全に管理するには、情報の取得から保管・利用・廃棄に至るまでのすべての工程で注意を払う必要があります。

以下のようなチェックリストを活用し、自社の対応状況を見直してみましょう。

• 個人情報を取得する際、何の目的で利用されるかご本人に伝わっていますか？
• 取得した個人情報を決めた目的以外のことに使っていませんか？
• 取得した個人情報を安全に管理していますか？
• 取得した個人情報を無断で他人に渡していませんか？
• 「自分の個人情報を開示してほしい」とご本人から言われて、断っていませんか？

出典）個人情報保護委員会「すべての事業者に個人情報保護法が適用されます」

漏洩発生時のポイント

どれだけ対策を講じていても、ヒューマンエラーや外部攻撃によって個人情報が漏洩してしまう可能性はゼロではありません。万が一の事態が起きた場合は、まず被害の範囲と原因を特定し、速やかに対応を取る必要があります。

まず最初に行うべきは、被害の範囲と原因の特定です。漏洩した情報の件数や内容を確認し、外部への拡散が懸念される場合は、影響範囲を最小限に抑える措置を講じましょう。

次に、本人および関係機関への報告・通知を行います。個人情報保護委員会への報告や、本人への連絡が必要になるケースもあるため、事前に対応フローを定めておくと安心です。

さらに、再発防止のために社内のルールを見直し、従業員への教育を強化することが求められます。

一度でも事故が起これば、企業の信用は大きく損なわれる恐れがあります。冷静かつ迅速な対応が何よりも重要です。

詳しくは以下の記事をご覧ください。

参考記事：個人情報保護法に違反したときの罰則は？対象の条文と一緒に企業がとるべき対策を解説

参考）政府広報オンライン「「個人情報保護法」を分かりやすく解説。個人情報の取扱いルールとは？」

匿名加工情報に関する事業者の義務

匿名加工情報を取り扱う場合、加工の方法、安全管理、利用状況の公表、そして識別行為の禁止など、具体的なルールを遵守することが求められます。

それぞれ詳しく見ていきましょう。

参考）個人情報保護委員会「匿名加工情報制度について」

適切な加工

匿名加工情報を作成する事業者は、加工をする際、以下の措置をすべて実施しなければなりません。

• 特定の個人を識別することができる記述等の全部又は一部を削除すること。
• 個人識別符号の全部を削除すること
• 個人情報と他の情報とを連結する符号を削除すること
• 特異な記述等を削除すること
• 上記のほか、個人情報とデータベース内の他の個人情報との差異等の性質を勘案し、適切な措置を講ずること

安全管理措置

匿名加工情報であっても、そのまま外部に流出してしまえば、情報の信頼性や企業の信用が損なわれるおそれがあります。

したがって、匿名加工情報を作成する事業者は、以下2つの安全管理措置を行わなければなりません。

• 匿名加工情報の加工方法等情報の漏えい防止
• 匿名加工情報に関する苦情の処理・適正な取り扱い措置と公表

公表義務

匿名加工情報を作成・提供する際には、その情報に含まれる項目や、提供先の範囲などをあらかじめ公表する義務があります。

• 匿名加工情報を作成したとき
  匿名加工情報を作成した事業者は、匿名加工情報の作成後遅滞なく、ホームページ等を利用し、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければなりません。
  
  
• 匿名加工情報を第三者に提供するとき
  匿名加工情報を第三者に提供するときは、予めホームページ等で第三者に提供する匿名加工情報に含まれる項目及び匿名加工情報の提供の方法を公表しなければなりません。
  

なお、「匿名加工情報を作成したとき」とは、加工の作業が完了したときを指します。

識別行為の禁止

加工後の情報を取り扱う場合、以下の行為は禁止されています。

• 自らが作成した匿名加工情報を、本人を識別するためにほかの情報と照合すること
• 受領した匿名加工情報の加工方法等情報を取得すること。また、受領した匿名加工情報を、本人を識別するために他の情報と照合すること

ほかの情報に限定はなく、照合する行為自体が禁止されています。

まとめ

個人情報は、特定の個人を識別できる情報として法的に定義されており、企業にはその適切な管理が求められます。

中小企業においては、定義や該当範囲を正しく理解し、実務に活かすことが重要です。匿名加工情報の適切な取り扱いも含めて、具体的な管理ルールを策定し、信頼される情報管理体制を整えましょう。