個人情報

提供: miniwiki
2018/8/9/ (木) 01:30時点におけるAdmin (トーク | 投稿記録)による版 (1版 をインポートしました)
(差分) ← 古い版 | 最新版 (差分) | 新しい版 → (差分)
移動先:案内検索

個人情報とは、任意の一人の個人に関する情報であり、かつその情報に含まれる記述等によって特定の個人を識別できるものを指す。英語では personally identifiable information (PII) もしくは sensitive personal information (SPI),[1][2][3] より一般には personal data と呼ばれる。

定義

アメリカ国立標準技術研究所(NIST)が発行するコンピュータセキュリティ関連のガイドラインである[4]SP800シリーズの一つ、SP800-122では、個人情報を以下のように定義している:

組織(agency)によって保全されるれている個人に関する任意の情報で、以下のものを含む
1. 個人の身元を識別したり追跡したりするのに使うことができる任意の情報。たとえば名前、社会保障番号、誕生日や誕生した場所、母親の旧姓、生体情報
2. 個人にリンクされているかリンクすることができる他の任意の情報。たとえば医療、教育、財政、および雇用に関する情報。 — NIST SP800-122

EU一般データ保護規則では以下のように定義している:

「個人データ」は、識別されたまたは識別可能な自然人(「データ主体」)に関するすべての情報を意味する。識別可能な自然人とは、特に、識別子(名前、識別番号、位置データ、オンライン識別子といったもの)を参照するか、または当該自然人の一意性(身体的、生理的、遺伝的、精神的、経済的、文化的、または社会的なもの)に固有な1つ以上の指標を参照することで、直接的または間接的に、識別ができる者をいう。 — GDPR Article 4 (1)

日本の個人情報保護法では以下のように定義している:

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

二 個人識別符号が含まれるもの

— 個人情報保護法第2条

JIS Q 15001:2006(3.1章)でもカッコ内も含め、個人情報保護法とほぼ同一の定義をしているが、JIS Q 15001では個人情報保護法と違い個人情報を生存する個人に関する情報であるという制限がなく、死者のデータも個人情報に含まれる[5]

上述したどの定義においても、たとえ一見して個人を識別できなくとも他の情報と合わせれば個人の識別が可能になる記述を含むものも個人情報である。

2015年における個人情報保護法改正に際し個人識別符号が条文に追加されたが、経団連は「携帯電話番号は、利用者が求めれば即日変更でき、かつ別の利用者が再利用できる。個人を特定できるとはいえない」[6]とし、さらに新経連は「そもそも、文字や数字単体で、個人を特定することはできない。改正法が(2)で示した符号の定義は、事実上は空集合(=どの符号も含まれない)ではないか」[6]とし、両団体は携帯電話の番号は個人情報に含まれないと主張した。両団体を始めとした経済界からの法改正への反発は、最終的に「特定の」(法2条2項1号)「特定の利用者若しくは購入者または発行を受ける者を識別することができるもの」(法2条2項2号)といった文言を個人識別符号の定義に挿入することで決着した。[7]しかしながら個人識別符号という用語こそ2015年改正時に導入されたものの、昭和63年の行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律制定時には「個人別に付された番号,記号その他の符号」が個人情報の定義に含まれていた。[7] 両団体が単体では個人情報にはあたらないと主張した携帯電話番号は、個人に関する情報の中に含まれているならば、たとえそれ自体が個人識別符号ではなくとも単体で個人情報であると解することができる。[8]

個人に関する情報

経済産業省の『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン』には個人情報保護法における「個人に関する情報」を以下のように説明している。

「個人に関する情報」は、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財種、肩書等の属性に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない(中略)。

なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。また、「生存する個人」には日本国民に限られず、外国人も含まれるが、法人その他の団体は「個人」に該当しないため、法人等の団体そのものに関する情報は含まれない(ただし、役員、従業員等に関する情報は個人情報)。

— 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(pdf) p2

個人情報は、まず任意の一人の個人に関する1単位の情報全体であることが必要条件である。その上で、その情報に含まれる記述等により特定の個人が識別されるならば、その「個人に関する情報」全体は個人情報にあたる。

個人情報データベース

個人情報を含む情報をデータベース化した場合、そのデータベースは個人情報データベースとして扱われる。一般にデータベースに登録されている情報1単位をレコードと呼び、個人情報データベースのレコードは個人データとして扱われる。

データベース化されていない個人情報は散在情報である。一方、個人データは、それを含むデータベースにアクセスさえできれば、検索や他のデータベースとのマージを行う等の処理をなすことが散在情報と比べて容易である。したがって、個人情報データベースを扱う事業者は、個人情報取扱事業者として規制のもと、個人データの利活用をすることができる。

プライバシー

"「プライバシー」"

プライバシーの意味として最もポピュラーな理論の一つ[9]は、ウェスティン(Alan Westin)が1967年の著書「プライバシーと自由」で述べた「自己に関する情報に対するコントロールという権利」[10][11]というものである。日本の憲法学においてもこの考えをベースとした自己情報コントロール権がプライバシーの権利の最有力の解釈になっている[12]

この節の参考文献:

組織、領域別の状態

Gnome-globe.svg.png
 この記事はその主題が日本に置かれた記述になっており、世界的観点から説明されていない可能性があります。talkでの議論と[ 記事の発展]への協力をお願いします。2013年5月

行政機関

参照: 行政機関の保有する個人情報の保護に関する法律

市町村役場・税務署・警察署のような行政機関には、本籍・住所・家族構成・所得など、極めて重要な個人情報が大量に存在する。

2013年(平成25年)の調査報告書によると、個人情報漏洩のおよそ44%が行政機関経由である[13]

個人情報が大量に存在するので、個人情報の管理と漏洩の防止を徹底する必要性が高い。

なお、かつての住民基本台帳については、第三者により、なおかつ本人の同意も得ずに閲覧も可能であった。住民基本台帳の閲覧制度を使用する者は、便利屋名簿業者などグレーゾーンな者がほとんどで、窓口で「閲覧」の対象となった情報を、人海戦術の「手書き」で書き写すことで間接的に行政機関から持ち出し、データベースに記録することでダイレクトメール発信などの営利目的で利用されるなどの状況が発生したことや、一部で犯罪目的の使用があったことから、住民基本台帳法の改正が行われ、閲覧が制限されるようになっている。

近年では、役所が外部の民間企業への業務委託(外注、アウトソーシング)がなされる場合も増加しており、その場合には、地方国家公務員法に基づく守秘義務が適用できないため、外注先での安全管理が図られるよう、発注者が監督することを委託契約で定める行政機関も多くなっている。

国家試験国家資格の合格者や、自己破産した者などは、官報都道府県などの公報で公表される。

民間企業

民間企業の場合、

  • 事業活動に伴う過程で収集される個人情報
  • 在籍する社員および家族の個人情報
    • 入社時に身元保証書などを記載させることで収集される。
  • 求人や会社説明会などに対して応募してきた人の個人情報

がある。

事業活動に伴う場合、直接個人を対象とする事業(特に、金融機関クレジットカード信用情報機関・電話会社自動車販売など、取引に対して個人情報の提示を求められる業態)では、大量の個人情報を持っている。また、職業紹介事業者(いわゆる人材バンク)や派遣会社においては、紹介や派遣をされる人物の個人情報を持っている。

それ以外の場合、データの収集は、通信販売のほか、メンバーズカードやポイントカードなどの作成時、懸賞クイズ、景品プレゼントなどで行われることが多い。また各種の名簿を売買する名簿屋も、個人情報をデータベース化し、販売することで業や収入として成り立ち、生活している。

教育機関

上記の個人情報の他に、生徒の健康診断のデータ、成績・進路希望調査・内申書・在学証明・卒業証書などを扱っている。卒業・退学後も一定期間、書類を保管しなければならない。

かつては、学級ごとに各生徒の緊急連絡網を作っていたが、個人情報保護法の施行後は緊急連絡網を作ることに消極的になっており、代わりに保護者の携帯電話への電子メールなどが使われる場合が多くなった。未成年者の保護のため高校以下では稀だが、大学大学院生では、研究室のホームページに半ば強制的に名前などを掲載される場合がある。

個人情報保護法では、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者が、学術研究の用に供する目的であるときは、個人情報取扱事業者の義務の適用を受けない(50条)。

家庭

家庭の場合、ゴミとして出した郵便物が何者かによって収集された場合、少なくとも住所と氏名が流出する(探偵が用いる情報収集法の一つで、ゴミ漁りという)。

郵便物によっては、クレジットカード番号や銀行口座番号なども併せて流出し、犯罪の被害に遭う危険性が高まる。このため、郵便物をシュレッダーで裁断後にゴミとして出す家庭が増えている。また、最近は企業側で個人を特定する文字列(口座番号、クレジットカードの番号など)の一部を伏せ字にしている。

インターネット

検索技術の発達により、インターネットで容易に個人情報が収集できるようになった。氏名をサーチエンジンFacebookなどでエゴサーチ検索すると、その個人の詳細な属性が取得できることがある(同姓同名の、意図しない別人の個人情報が収集される可能性もある)。これは、SNSの普及により増加傾向にある。

なお、サーチエンジンは個人情報保護法の対象外となる。また、インターネットが世界的なネットワークであることから、国際的な個人情報の流出の場合の対処が難しいことや、WinnyShareなどのファイル交換ネットワークの内部で、流出が止まらないケースがあることが問題視されている。

特定手法
風景写真やスナップ写真など、一つ一つが個人情報ではない複数の断片的な情報を組み合わせて個人情報を特定できてしまう場合もある。例えばデジカメスマートフォンで撮影された写真には、特に設定しない限りExifがデフォルトで組み込まれており、ここには撮影日時やGPSで受信した撮影場所などが記録されているため、特定が容易である。
また撮影位置が記録されていない写真から、撮影場所を特定する手法もある。風景写真の場合は、窓ガラスボンネットなどに反射して映り込んだ物体を調べたり、背景に映りこんだ建物(ビル、店舗の看板など)やの配置や標高といった極僅かな情報をヒントに(Google Earthストリートビューなどで)同じ風景になるよう位置関係と方角を合わせて、撮影された場所を特定する手法がある[14]


その他

国際大学GLOCOM教授の青柳武彦はその著書で、“個人識別情報は本来社会的に共有されるものであり、秘匿すべき対象ではない、たとえば氏名・住所を隠すのでは、郵便も届かなくなる、その一方、現行法では、個人情報を悪用や名誉毀損から十分守ることはできない、能動的な保護が必要である”と唱える[15]

脚注

  1. Management of Data Breaches Involving Sensitive Personal Information (SPI)”. Va.gov. Washington, DC: Department OF Veterans Affairs (2012年1月6日). 2015年5月26日時点のオリジナルよりアーカイブ。. May 25, 2015閲覧.
  2. Stevens, Gina (2012年4月10日). “Data Security Breach Notification Laws”. fas.org. . May 25, 2015閲覧.
  3. Greene, Sari Stern (2014). Security Program and Policies: Principles and Practices. Indianapolis, IN, US: Pearson IT Certification. ISBN 9780789751676. OCLC 897789345. Retrieved on May 25, 2015. 
  4. NIST SP800シリーズ NRIセキュア。2016年9月1日閲覧
  5. JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第2版- (pdf) p28 日本情報経済社会推進協会(JIPDEC)
  6. 6.0 6.1 「携帯電話番号は個人情報に当たらない」、新経連に真意を聞いた (2/5)
  7. 7.0 7.1 高木浩光 (2017). “個人情報保護から個人データ保護へ—民間部門と公的部門の規定統合に向けた検討(2)”. 情報法制研究 第2号: 88. 
  8. 匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて”. 個人情報保護委員会. . 2018年4月9日閲覧.
  9. Solove 2008, p. 24.
  10. プライバシーの権利 2004, p. 50.
  11. 情報プライバシー権 2013, p. 239.
  12. 情報プライバシー権 2013, p. 243.
  13. 「2013年情報セキュリティインシデントに関する調査報告~個人情報漏えい編~」[1]
  14. TwitterやInstagramにアップされた写真から撮影場所を特定する方法
  15. 青柳『情報化時代のプライバシー研究』エヌティティ出版

関連項目



http:///http:///mymemo.xyz/mymemo.xyz/wiki/index.php?title=個人情報&oldid=56276」から取得