個人情報とは

2003.12.24, kit

 JIS Q 15001 の「定義」や 個人情報保護法の定義 にもありますが、 直接/間接を問わず個人を特定できる情報であり、 電子化された情報はもちろんのこと、紙のものも含みますし、 画像や音声データも含んでます。 「できる」とは、技術革新やマッチングなど 将来の可能性も含めてということになるでしょう。 そうしないと、ある日突然、個人情報として扱ってなかったものを 個人情報として扱わなければならなくなるリスクがあるかもしれません。

 よく、「電子メールアドレスだけは個人情報か?」との質問を受けましたが、 JIS Q 15001 にある「他の情報と容易に照合することによって」 という条件を満たすのか? 満たさないのか? メールアドレスは、構成が様々で、 ISP 系のメールアドレスですと無意味な記号かもしれませんが、 会社ですと会社のドメインが付いていたりしますし、 @(アットマーク)の前は苗字や名前やその両方だったりすることも多いでしょうし、 .name ドメインであれば、フルネームになったりもするでしょう。 メールアドレスを個人情報と思わない消費者もいるかもしれませんが、 自らの都合や勝手な思い込みではなく、 個人情報を広く捉えておく必要があるでしょう。 メルマガなどでメールアドレスだけ扱っているとしても、 「開示・訂正・削除」の対応は必要なはずですので、 「個人情報保護」と近いことは行っているのではないかと思います。

 また「ユーザID 単体では個人情報になるか?」とかよく質問がありましたが、 自社のデータベースには、氏名や住所などの 個人情報保護法(保護法) や JIS Q 15001 の定義によると、それ単体では個人を特定できなくても、 「他の情報と容易に照合することができ、 それにより特定の個人を識別することができることとなるもの」 であれば個人情報になります。 「第三者が」という記述は特にないので、 「容易に」というのは、 社内で容易に他の情報とマッチングさせて個人を識別できうる状態であれば、 個人情報になると思います。 これは Cookie についても同様かと思います。

 保護法では、 個人情報を構成する個々の情報を「個人データ」と別に定義されているようです。 メールアドレス、ユーザ ID、 Cookie は少なくとも「個人データ」の範疇に入るでしょう。 ただ、他の個人情報の“取り扱いレベル”と同じにする必要はなく、 “個人情報に関する リスク” によってメリハリをつけるのは可能ということになります。 そういう風に考えてみると、 あらゆるものが「個人データ」とも見なされるかもしれませんし、 それらが連結(マッチング)されることによって「個人情報」になりうると考えられるでしょう。 状況や時代によって個人情報の捉え方も変わってきますので、 個人情報の特定 をきちんと行う必要があるでしょう。