個人情報の漏洩が後を絶ちません。最近では、ベネッセ（２０１４年）や日本年金機構（２０１５年）のケースが記憶に新しいところです。

また、個人情報の漏洩ではありませんが、ＪＲ東日本が日立製作所にＳｕｉｃａの乗降履歴を提供しようとしたこと（２０１３年）、カルチュア・コンビニエンス・クラブ（ＣＣＣ）が提携先との個人情報の利用方式を共同利用から第三者提供に変更したこと（２０１４年）なども話題となりました。

このように個人情報が話題となる場合、個人情報保護法の内容や個人情報の意味が誤解されており、その結果ネットでの炎上などに結びつくケースが見受けられます。

そこで、個人情報に関する問題の理解を深めるため、「個人情報」の意味について解説します。

◆個人に関する情報 ≠ 個人情報

個人情報保護法は、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）」を「個人情報」として保護の対象としています（個人情報保護法２条１項）。

要するに、個人に関するすべての情報が保護されるわけではなく、①本人が生きていること、②特定の個人を識別することができること（容易照合性のあるものを含む）が必要ということです。

「個人情報」にあたるかどうかの判断にあたり、個々の情報の性質・内容や利用方法等は考慮されませんし、プライバシー侵害のおそれがあるかどうかも問われません。

◆個人識別性の有無をどのように判断するのか

それでは、個人識別性の有無については、どのように判断したらよいのでしょうか。

実はこれがかなりの難問であり、２０１５年９月に個人情報保護法が改正された理由の１つでもあります。

判断基準としては、一般人の判断力や理解力を前提に、情報単体または情報に含まれる項目の組合せから、社会通念上、情報と具体的な人物との間に同一性を認めることができるかどうかにより判断されるといわれます。

その具体例については、経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」にも掲げられています（例：本人の氏名、防犯カメラに記録された情報など）。

しかし、個人識別性の問題は法律解釈が絡むため、実際のビジネスにおいて判断に迷うことがあります。

また、近年では、情報通信技術の発展により、一般人がある情報から具体的な人物を識別できる範囲が広がっており、「個人情報」として取り扱うべきかどうかが不明確なグレーゾーンが拡大してきました。

２０１５年９月に成立した個人情報保護法の改正法は、「個人識別符号」という類型を新設し、保護対象の明確化・客観化を図っています。これだけでグレーゾーンを解消するのは難しいでしょうが、一歩前進といったところですね。

◆容易照合性の判断も難しい

例えば、サービス提供のための会員ＩＤは、それ単体では特定の個人を識別することは難しいでしょう。しかし、会員登録の際などに事業者がユーザの氏名、生年月日等の情報を別途取得しており、会員ＩＤと氏名等の情報とを容易に照合できるのであれば、その事業者にとって「個人情報」にあたります。これが容易照合性の問題です。

この容易照合性の判断も一筋縄ではいきません。

一般的な判断基準としては、特定の個人を識別できない情報について、ある事業者が通常業務における一般的な方法を用いることにより、個人を識別する他の情報との照合が可能な状態にあるかどうかにより判断されるといわれます。

しかし、この容易照合性の有無もまた法律解釈が絡む上、事業者ごとに判断される相対的な概念であるため、ビジネスを行う上で判断に迷うことが多々あるところです。

◆まとめ

このように、ある情報が個人情報保護法上の「個人情報」にあたるかどうかについては、個人識別性と容易照合性がポイントとなります。

しかし、冒頭で指摘した炎上のケースをみると、個人情報保護法上の問題のみならず、プライバシーへの配慮も重要だということを実感させられます。

事業者としては、「個人情報」とそうでない情報とを棲み分けた上で、後者についてもプライバシーに十分配慮した対応が求められます。

本ブログ及びこれに関連する法律相談等については、下記ＵＲＬからお問い合わせください。
http://kondo-law.com/contact/