知って得する！話題のトレンドワード（第6回）ポイント解説！スッキリわかる「個人情報」

（「個人情報保護法」における）「個人情報」とは

①個人情報
生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報のこと。これには、他の情報と容易に照合でき、それにより特定の個人を識別できるものも含まれる。生年月日や電話番号などは、単体では特定の個人を識別できない情報だが、氏名などと組み合わせることで特定の個人を識別できるため、個人情報に該当する。また、メールアドレスについてもユーザー名やドメイン名から特定の個人（○○社所属の△△さん、など）を識別することができる場合は、それ自体が単体で個人情報に該当する。

事例 1）本人の氏名

事例 2）生年月日、連絡先（住所・電話番号・メールアドレス）、会社における職位、または所属に関する情報について、それらと本人の氏名を組み合わせた情報

事例 3）防犯カメラに記録された情報など、本人が判別できる映像情報

事例 4）本人の氏名が含まれるなどの理由により、特定の個人を識別できる音声録音情報

事例 5）特定の個人を識別できるメールアドレス。例えば
「kojin_ichiro@example.com」のようにメールアドレスだけの情報でも、example社に所属するコジンイチロウのメールアドレスであることがわかる場合など

事例 6）個人情報を取得後に付加された個人に関する情報（取得時には生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加、または照合された結果、生存する特定の個人を識別できる場合は、その時点で個人情報に該当する）

事例 7）官報、電話帳、職員録、法定開示書類（有価証券報告書等）、新聞、ホームページ、SNSなどで公にされている特定の個人に関する情報

②個人識別符号が含まれる情報
「個人識別符号」とは、番号、記号、符号などのうち、その情報単体から特定の個人を識別できる情報で、政令・規則で定められたものをさす。この個人識別符号が含まれる情報は個人情報とされる。

（1）個人の身体のデータ
身体の一部の特徴を電子処理のために変換した符号で、顔認証データ、指紋認証データ、虹彩、声紋、歩行の態様、手指の静脈、掌紋など

（2）個人に割り振られる公的な番号
サービス利用や書類において利用者ごとに割り振られる符号で、パスポート番号、基礎年金番号、運転免許証番号、住民票コード、マイナンバー、保険者番号など。

人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により被害を受けた事実の他、身体障がい・知的障がい・精神障がいなどの障がいがあること、医師等により行われた健康診断その他の検査の結果、保健指導、診療・調剤情報、本人を被疑者または被告人として逮捕などの刑事事件に関する手続きが行われたこと、非行・保護処分等の少年の保護事件に関する手続きが行われたことの記述などが含まれる個人情報

①個人情報を取得・利用するとき

・個人情報取扱事業者が個人情報を取り扱うに当たっては、どのような目的で個人情報を利用するのか具体的に特定する必要がある。個人情報の利用目的は、あらかじめウェブサイトなどで公表するか、本人に知らせなければならない。

・個人情報は、違法または不当な行為を助長し、または誘発するおそれがある方法で利用してはならない。

・「要配慮個人情報」を取得するときは、あらかじめ本人の同意が必要。

・取得した個人情報は、利用目的の範囲内で利用する。

・取得している個人情報を、特定した利用目的の範囲外に利用する場合は、あらかじめ本人の同意が必要。

②個人データを保管・管理するとき

・個人情報取扱事業者は、個人データの漏えいなどが生じないよう、安全に管理するために必要な措置を講じなければならない。例えば、紙で管理する場合は鍵のかかるキャビネットに保管する、パソコンで保管する場合はファイルにパスワードを設定する、セキュリティ対策ソフトを導入する、など。

・従業者や委託先においても、個人データの安全管理が図られるよう、必要かつ適切な監督を行う。

・個人データの漏えいなどが発生し、個人の権利利益を害するおそれが大きい場合は、個人情報保護委員会に報告、本人に通知する義務がある。

③個人データを第三者に提供するとき

・個人データを本人以外の第三者に提供するときは、原則として、あらかじめ本人の同意が必要となる。ただし、本人の同意を得なくても、例外的に個人データを第三者に提供できる場合がある。例えば、法令に基づく場合（警察、裁判所、税務署などからの照会）、人の生命・身体・財産の保護に必要で本人の同意取得が困難な場合、公衆衛生・児童の健全育成に必要で本人の同意取得が困難な場合、学術研究目的での提供・利用、委託・事業承継・共同利用など。

・外国にある第三者に提供する際には、次のいずれかを満たす必要がある。

　1）あらかじめ本人の同意を得る
同意を得る際に、その外国の個人情報保護制度や、提供先が講じる保護措置などの情報を本人に提供する必要がある。

　2）外国にある第三者が適切な体制を整備している
提供先における個人データの取り扱い実施状況などの定期的な確認および問題が生じた場合の対応の実施、さらには本人の求めに応じて移転先における個人情報保護委員会が定める基準に適合する体制の整備の方法に関する情報などを提供する必要がある。

　3）外国にある第三者が個人情報保護委員会が認めた国または地域に所在している

・第三者に個人データを提供した場合は「いつ・誰の・どんな情報を・誰に」提供したか、第三者から個人データの提供を受けた場合は「いつ・誰の・どんな情報を・誰から」提供されたかを確認・記録する必要がある（記録の保存期間は原則3年）。

④本人から保有個人データの開示等を求められたとき

・本人からの請求があった場合は、保有個人データの開示、訂正、利用停止などに対応する必要がある。

・個人情報の取り扱いに対する苦情を受けたときは、適切かつ迅速に対処する必要がある。

・以下の内容について、ウェブサイトで公表するなど、本人が知り得る状態にしておかなければならない。

　1) 個人情報取扱事業者の氏名または名称、住所

　2) 全ての保有個人データの利用目的

　3) 保有個人データの利用目的の通知の求めまたは開示などの請求手続

　4) 保有個人データの安全管理のために講じた措置

　5) 保有個人データの取り扱いに関する苦情の申出先

・第三者に個人データを提供した記録も開示請求の対象となる。

・保有個人データの開示方法について、電子データなどによる提供を含め、本人が請求した方法で対応する必要がある。