「個人情報」の版間の差分
削除された内容 追加された内容
m 句点移動 |
m 脚注を編集 (ProveIt使用) |
||
| 1行目: | 1行目: | ||
'''個人情報'''(こじんじょうほう)とは、任意の一人の個人に関する情報であり、かつその情報に含まれる記述等によって特定の個人を識別できるものを指す。英語では '''personally identifiable information''' ('''PII''') もしくは '''sensitive personal information''' ('''SPI'''),<ref name="MyUser_Va.OPTgov_May_25_2015c">{{ |
'''個人情報'''(こじんじょうほう)とは、任意の一人の個人に関する情報であり、かつその情報に含まれる記述等によって特定の個人を識別できるものを指す。英語では '''personally identifiable information''' ('''PII''') もしくは '''sensitive personal information''' ('''SPI'''),<ref name="MyUser_Va.OPTgov_May_25_2015c">{{Cite web |url=http://www.va.gov/vapubs/viewPublication.asp?Pub_ID=608 |title=Management of Data Breaches Involving Sensitive Personal Information (SPI) |accessdate=May 25, 2015 |date=January 6, 2012 |work=Va.gov |publisher=Department OF Veterans Affairs |archiveurl=https://web.archive.org/web/20150526030226/http://www.va.gov/vapubs/viewPublication.asp?Pub_ID=608 |archivedate=2015年5月26日 |deadlinkdate=2017年9月 |location=Washington, DC}}</ref><ref name="Data Security Breach Notification Laws - R42475">{{Cite web |url=https://www.fas.org/sgp/crs/misc/R42475.pdf |title=Data Security Breach Notification Laws |accessdate=May 25, 2015 |last=Stevens |first=Gina |date=April 10, 2012 |work=fas.org}}</ref><ref name="Security Program and Policies: Principles and Practices">{{Cite book |last=Greene |first=Sari Stern |title=Security Program and Policies: Principles and Practices |url=https://books.google.com/books?id=UbwiAwAAQBAJ&pg=PA349&lpg=PA349&dq=%22Sensitive+Personal+Information%22+SPI+%22Personally+identifiable+information%22&source=bl&ots=J9qIzMKebf&sig=Bdxa9ct4X4_2tmz44jmGCna3ZrE&hl=en&sa=X&ei=PaljVZfkJcvjoASh_4KYDA&ved=0CFQQ6AEwCA#v=onepage&q=%22Sensitive%20Personal%20Information%22%20SPI%20%22Personally%20identifiable%20information%22&f=false |year=2014 |accessdate=May 25, 2015 |publisher=Pearson IT Certification |isbn=9780789751676 |page=349 |location=Indianapolis, IN, US |oclc=897789345}}</ref> より一般には '''personal data''' と呼ばれる。 |
||
== 定義 == |
== 定義 == |
||
[[アメリカ国立標準技術研究所|アメリカ国立標準技術研究所(NIST)]]が発行するコンピュータセキュリティ関連のガイドラインである<ref> |
[[アメリカ国立標準技術研究所|アメリカ国立標準技術研究所(NIST)]]が発行するコンピュータセキュリティ関連のガイドラインである<ref>{{Cite web |url=http://www.nri-secure.co.jp/security/nist/index.html |title=NIST SP800シリーズ |accessdate=2016年9月1日 |publisher=NRIセキュア |archiveurl=https://web.archive.org/web/20160307052857/http://www.nri-secure.co.jp/security/nist/index.html |archivedate=2016-03-07 |deadlinkdate=2021-12-25}}</ref> SP800シリーズの一つ、SP800-122では、個人情報を以下のように定義している: |
||
{{Quotation|組織(agency)によって保全されるれている個人に関する任意の情報で、以下のものを含む<br />1. 個人の身元を識別したり追跡したりするのに使うことができる任意の情報。たとえば名前、[[社会保障番号]]、誕生日や誕生した場所、母親の旧姓、生体情報<br />2. 個人にリンクされているかリンクすることができる他の任意の情報。たとえば医療、教育、財政、および雇用に関する情報。|[http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf NIST SP800-122]}} |
{{Quotation|組織(agency)によって保全されるれている個人に関する任意の情報で、以下のものを含む<br />1. 個人の身元を識別したり追跡したりするのに使うことができる任意の情報。たとえば名前、[[社会保障番号]]、誕生日や誕生した場所、母親の旧姓、生体情報<br />2. 個人にリンクされているかリンクすることができる他の任意の情報。たとえば医療、教育、財政、および雇用に関する情報。|[http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf NIST SP800-122]}} |
||
| 18行目: | 18行目: | ||
名前・年齢・性別・住所・電話番号・E-mailアドレス・[[ソーシャル・ネットワーキング・サービス|SNS]]上の繋がり・学校名・銀行口座・クレジットカード番号など、「だれ」であるか特定される可能性のある情報が個人情報であるのではなく、そのような情報を含む情報全体が個人情報である。 |
名前・年齢・性別・住所・電話番号・E-mailアドレス・[[ソーシャル・ネットワーキング・サービス|SNS]]上の繋がり・学校名・銀行口座・クレジットカード番号など、「だれ」であるか特定される可能性のある情報が個人情報であるのではなく、そのような情報を含む情報全体が個人情報である。 |
||
[[日本産業規格]]の個人情報保護[[マネジメントシステム]]である[[JIS Q 15001]]では、2006年版において、生存する個人に関するという制限がなく死者のデータも含まれるとしていたが<ref>{{Cite web| |
[[日本産業規格]]の個人情報保護[[マネジメントシステム]]である[[JIS Q 15001]]では、2006年版において、生存する個人に関するという制限がなく死者のデータも含まれるとしていたが<ref>{{Cite web |url=https://www.meti.go.jp/policy/it_policy/privacy/jis_shian.pdf |title=JIS Q 15001:2006 個人情報保護マネジメントシステム―要求事項 |accessdate=2020-12-22 |author=一般財団法人日本情報経済社会推進協会(JIPDEC) |authorlink=日本情報経済社会推進協会 |date=2006-05-22 |format=PDF |website=経済産業省}}</ref>、現行の2017年版では個人情報保護法と同一の定義としている<ref>{{Cite book |和書 |author=一般財団法人日本情報経済社会推進協会(JIPDEC) |author-link=日本情報経済社会推進協会 |title=JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項 |year=2017 |publisher=一般財団法人日本規格協会(JSA)}}</ref>。 |
||
上述したどの定義においても、'''たとえ一見して個人を識別できなくとも他の情報と合わせれば個人の識別が可能になる記述を含むものも個人情報'''である。 |
上述したどの定義においても、'''たとえ一見して個人を識別できなくとも他の情報と合わせれば個人の識別が可能になる記述を含むものも個人情報'''である。 |
||
2015年における個人情報保護法改正に際し個人識別符号が条文に追加されたが、[[日本経済団体連合会|経団連]]は「携帯電話番号は、利用者が求めれば即日変更でき、かつ別の利用者が再利用できる。個人を特定できるとはいえない」<ref name=" |
2015年における個人情報保護法改正に際し個人識別符号が条文に追加されたが、[[日本経済団体連合会|経団連]]は「携帯電話番号は、利用者が求めれば即日変更でき、かつ別の利用者が再利用できる。個人を特定できるとはいえない」<ref name="itpro">{{Cite web |url=https://xtech.nikkei.com/it/atcl/watcher/14/334361/040200235/?ST=bigdata&P=2 |title=「携帯電話番号は個人情報に当たらない」、新経連に真意を聞いた |accessdate=2015年4月7日 |last=浅川 |first=直輝 |website=日経クロステック(xTECH) |page=2 |language=ja}}</ref> とし、さらに新経連は「そもそも、文字や数字単体で、個人を特定することはできない。改正法が(2)で示した符号の定義は、事実上は空集合(=どの符号も含まれない)ではないか」<ref name="itpro" /> とし、両団体は携帯電話の番号は個人情報に含まれないと主張した。両団体を始めとした経済界からの法改正への反発は、最終的に「特定の」(法2条2項1号)「特定の利用者若しくは購入者または発行を受ける者を識別することができるもの」(法2条2項2号)といった文言を個人識別符号の定義に挿入することで決着した<ref name=":1">{{Cite journal |last=高木 |author=高木浩光 |first=浩光 |author-link=高木浩光 |year=2017 |date=2017 |title=個人情報保護から個人データ保護へ ―民間部門と公的部門の規定統合に向けた検討(2) |url=https://www.jstage.jst.go.jp/article/alis/2/0/2_75/_article/-char/ja/ |journal=情報法制研究 |volume=2 |page=88 |DOI=10.32235/alis.2.0_75 |doi=10.32235/alis.2.0_75}}</ref>。しかしながら個人識別符号という用語こそ2015年改正時に導入されたものの、昭和63年の行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律制定時には「個人別に付された番号,記号その他の符号」が個人情報の定義に含まれていた<ref name=":1" />。両団体が単体では個人情報にはあたらないと主張した携帯電話番号は、個人に関する情報の中に含まれているならば、たとえそれ自体が個人識別符号ではなくとも単体で個人情報であると解することができる<ref>{{Cite web |url=https://www.ppc.go.jp/files/pdf/report_office.pdf |title=匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて |accessdate=2018年4月9日 |author=個人情報保護委員会事務局 |year=2017 |month=2 |publisher=個人情報保護委員会}}</ref>。 |
||
== 個人情報とプライバシーの保護 == |
== 個人情報とプライバシーの保護 == |
||
個人情報保護の法制化の動きは1980年にOECD理事会からプライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告(OECDプライバシーガイドライン)が発表されたことに始まる<ref>{{Cite book |和書 |author=打川和男 | |
個人情報保護の法制化の動きは1980年にOECD理事会からプライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告(OECDプライバシーガイドライン)が発表されたことに始まる<ref>{{Cite book |和書 |last=打川 |author=打川和男 |first=和男 |title=プライバシーマーク取得がよ~くわかる本 |edition=第4版 |year=2018 |page=10}}</ref><ref name="content" />。OECDプライバシーガイドラインの、収集制限の原則、データ内容の原則、目的明確化の原則、利用制限の原則、安全保護の原則、公開の原則、個人参加の原則、責任の原則の8原則は多くの国の立法に取り入れられた<ref name="content" />。 |
||
=== プライバシー === |
=== プライバシー === |
||
| 33行目: | 33行目: | ||
この節の参考文献: |
この節の参考文献: |
||
*{{ |
*{{Cite book |ref=harv |last=Solove |author=[[:en:Daniel J. Solove|Daniel J. Solove]] |first=Daniel J. |title=[[:en:Understanding Privacy|Understanding Privacy]] |date=2008 |publisher=Harvard University Press |isbn=9780674027725 |location=Cambridge, Mass.}} |
||
*{{Cite web |url=http://www.archives.go.jp/publication/archives/wp-content/uploads/2015/03/acv_15_p48.pdf |title=プライバシーの権利―起源と生成― |accessdate=2016年9月1日 |author=小町谷育子 |date=2004年6月 |format=PDF |publisher=国立公文書館 |ref={{SfnRef|プライバシーの権利|2004}}}} |
|||
*{{Cite web |
|||
*{{Cite web |url=http://mitizane.ll.chiba-u.jp/metadb/up/AN10005460/09127208_27-4_244.pdf |title=千葉大学法学論集 第27巻第4号(2013)アメリカにおける情報プライバシー権の法理 |accessdate=2016年9月1日 |author=大林啓吾 |date=2013 |format=PDF |publisher=千葉大学 |ref={{SfnRef|情報プライバシー権|2013}}}} |
|||
|url=http://www.archives.go.jp/publication/archives/wp-content/uploads/2015/03/acv_15_p48.pdf |
|||
|publisher=国立公文書館 |
|||
|author=小町谷育子 |
|||
|title=プライバシーの権利―起源と生成― |
|||
|date=2004年6月 |
|||
|accessdate=2016年9月1日 |
|||
|format=PDF |
|||
|ref={{SfnRef|プライバシーの権利|2004}} |
|||
}} |
|||
*{{Cite web |
|||
|url=http://mitizane.ll.chiba-u.jp/metadb/up/AN10005460/09127208_27-4_244.pdf |
|||
|publisher=千葉大学 |
|||
|author=大林啓吾 |
|||
|title=千葉大学法学論集 第27巻第4号(2013)アメリカにおける情報プライバシー権の法理 |
|||
|date=2013 |
|||
|accessdate=2016年9月1日 |
|||
|format=PDF |
|||
|ref={{SfnRef|情報プライバシー権|2013}} |
|||
}} |
|||
=== 議論 === |
=== 議論 === |
||
[[国際大学]][[GLOCOM]]教授の[[青柳武彦]]はその著書で、“個人識別情報は本来社会的に共有されるものであり、秘匿すべき対象ではない、たとえば氏名・住所を隠すのでは、郵便も届かなくなる、その一方、現行法では、個人情報を悪用や名誉毀損から十分守ることはできない、能動的な保護が必要である”と唱える<ref>青柳 |
[[国際大学]][[GLOCOM]]教授の[[青柳武彦]]はその著書で、“個人識別情報は本来社会的に共有されるものであり、秘匿すべき対象ではない、たとえば氏名・住所を隠すのでは、郵便も届かなくなる、その一方、現行法では、個人情報を悪用や名誉毀損から十分守ることはできない、能動的な保護が必要である”と唱える<ref>{{Cite book |和書 |last=青柳 |title=情報化時代のプライバシー研究 |publisher=エヌティティ出版}}</ref>。 |
||
=== 組織、領域別の状態 === |
=== 組織、領域別の状態 === |
||
| 67行目: | 49行目: | ||
市町村役場・税務署・警察署のような行政機関には、本籍・住所・家族構成・所得など、極めて重要な個人情報が大量に存在する。 |
市町村役場・税務署・警察署のような行政機関には、本籍・住所・家族構成・所得など、極めて重要な個人情報が大量に存在する。 |
||
2013年(平成25年)の調査報告書によると、[[個人情報漏洩]]のおよそ44%が行政機関経由である<ref> |
2013年(平成25年)の調査報告書によると、[[個人情報漏洩]]のおよそ44%が行政機関経由である<ref>{{Cite web |url=https://www.jnsa.org/seminar/2014/0610/data/A4_incident.pdf |title=2013年情報セキュリティインシデントに関する調査報告〜個人情報漏えい編〜 |accessdate=2018年8月24日 |last=大谷 |first=尚通 |date=2014年6月10日 |publisher=JNSA}}</ref>。 |
||
個人情報が大量に存在するので、個人情報の管理と漏洩の防止を徹底する必要性が高い。 |
個人情報が大量に存在するので、個人情報の管理と漏洩の防止を徹底する必要性が高い。 |
||
| 77行目: | 59行目: | ||
[[国家試験]]、[[国家資格]]の合格者や、[[自己破産]]した者などは、[[官報]]や[[都道府県]]などの[[公報]]で公表される。 |
[[国家試験]]、[[国家資格]]の合格者や、[[自己破産]]した者などは、[[官報]]や[[都道府県]]などの[[公報]]で公表される。 |
||
日本国内に存在する個人情報保護法令の数は約2000にも上る。国の行政機関を対象とする法のみならず、各自治体もそれぞれ個人情報保護条例を制定している。このように多数の個人情報保護法令が存在することにより、各地域・各自治体によって適用すべき法令とその内容が微妙に異なる。[[防衛省]]人材育成課によると、防衛省は、自衛官募集のために高校や大学を卒業する若者(18歳と22歳)の住所、氏名、生年月日、性別について市区町村に名簿提出を毎年求めている。自治体の9割は[[自衛隊]]に当該情報を伝えていた。園田寿[[甲南大学]]法科大学院教授(個人情報問題)は自衛隊の要求に応じて名簿を渡した自治体側の対応を「違法の可能性が高い」とし、住民基本台帳法における「個人情報の目的外利用の禁止」や各自治体制定の[[個人情報保護条例]]に反している疑いがあると批判した<ref>2019年2月21日 |
日本国内に存在する個人情報保護法令の数は約2000にも上る。国の行政機関を対象とする法のみならず、各自治体もそれぞれ個人情報保護条例を制定している。このように多数の個人情報保護法令が存在することにより、各地域・各自治体によって適用すべき法令とその内容が微妙に異なる。[[防衛省]]人材育成課によると、防衛省は、自衛官募集のために高校や大学を卒業する若者(18歳と22歳)の住所、氏名、生年月日、性別について市区町村に名簿提出を毎年求めている。自治体の9割は[[自衛隊]]に当該情報を伝えていた。園田寿[[甲南大学]]法科大学院教授(個人情報問題)は自衛隊の要求に応じて名簿を渡した自治体側の対応を「違法の可能性が高い」とし、住民基本台帳法における「個人情報の目的外利用の禁止」や各自治体制定の[[個人情報保護条例]]に反している疑いがあると批判した<ref>{{Cite news |newspaper=中日新聞 |date=2019年2月21日 |at=朝刊14面}}</ref>。一方、[[自衛隊法]]97条は自治体の首長が[[自衛官]]の募集で「事務の一部を行う」と定め、自衛隊法施行令120条は防衛大臣が自衛官の募集に関して首長に「資料」の提出を求めることができるとしている。この問題は2016年から議論されており、新潟大学大学院の鈴木正朝教授(情報法)は、防衛大臣が自治体に住民基本台帳の情報提供を依頼し自治体がそれに応じることは、住民基本台帳法に提供規定がないことを理由に違法とは言えず、自衛隊法や同施行令に法的根拠があり適法だとした。加えて、情報提供の判断が各々の個人情報保護条例に照らしつつ自治体に委ねられていて、国が各自治体の個々の判断を尊重していることから法の運用としても妥当であり、さらには各自治体が自衛隊に代わって住民基本台帳の情報をもとにダイレクトメールを送れば名簿濫用のリスクも抑制できると同氏は述べた<ref>{{Cite news |newspaper=朝日新聞 |date=2016年3月22日}}</ref>。この件からもわかるように、各自治体によって個人情報保護条例そのものも運用の仕方もまちまちである。 |
||
==== 民間企業 ==== |
==== 民間企業 ==== |
||
| 108行目: | 90行目: | ||
; 特定手法 |
; 特定手法 |
||
: 風景写真やスナップ写真など、一つ一つが個人情報ではない複数の断片的な情報を組み合わせて個人情報を特定できてしまう場合もある。例えば[[デジタルカメラ|デジカメ]]や[[スマートフォン]]で撮影された写真には、特に設定しない限り[[Exchangeable image file format|Exif]]がデフォルトで組み込まれており、ここには撮影日時やGPSで受信した撮影場所(GPS機能がある場合)などが記録されているため、特定が容易である。 |
: 風景写真やスナップ写真など、一つ一つが個人情報ではない複数の断片的な情報を組み合わせて個人情報を特定できてしまう場合もある。例えば[[デジタルカメラ|デジカメ]]や[[スマートフォン]]で撮影された写真には、特に設定しない限り[[Exchangeable image file format|Exif]]がデフォルトで組み込まれており、ここには撮影日時やGPSで受信した撮影場所(GPS機能がある場合)などが記録されているため、特定が容易である。 |
||
: また撮影位置が記録されていない写真から、撮影場所を特定する手法もある。[[風景写真]]の場合は、[[窓ガラス]]や[[車]]の[[ボンネット (自動車)|ボンネット]]などに反射して映り込んだ[[物体]]を調べたり、背景に映りこんだ[[建物]](ビル、店舗の看板など)や[[山]]の配置や標高といった極僅かな情報をヒントに([[Google Earth]]や[[Google ストリートビュー|ストリートビュー]]などで)同じ[[風景]]になるよう位置関係と[[方位|方角]]を合わせて、撮影された場所を特定する手法がある<ref> |
: また撮影位置が記録されていない写真から、撮影場所を特定する手法もある。[[風景写真]]の場合は、[[窓ガラス]]や[[車]]の[[ボンネット (自動車)|ボンネット]]などに反射して映り込んだ[[物体]]を調べたり、背景に映りこんだ[[建物]](ビル、店舗の看板など)や[[山]]の配置や標高といった極僅かな情報をヒントに([[Google Earth]]や[[Google ストリートビュー|ストリートビュー]]などで)同じ[[風景]]になるよう位置関係と[[方位|方角]]を合わせて、撮影された場所を特定する手法がある<ref>{{Cite web |url=https://gigazine.net/news/20140509-osint-track-location/ |title=TwitterやInstagramにアップされた写真から撮影場所を特定する方法 |accessdate=2014年7月27日 |website=GIGAZINE |language=ja}}</ref>。 |
||
: [[ツイッター]]や[[フェイスブック]]などのSNSサービスへ投稿している場合も同様で、行きつけのお店、旅行、仕事関係の内容、フォロー、フォロワーなどの断片情報から、自宅や交友関係、通勤通学先などが特定される危険性もある。 |
: [[ツイッター]]や[[フェイスブック]]などのSNSサービスへ投稿している場合も同様で、行きつけのお店、旅行、仕事関係の内容、フォロー、フォロワーなどの断片情報から、自宅や交友関係、通勤通学先などが特定される危険性もある。 |
||
{{see also|ザ・ムービー事件}} |
{{see also|ザ・ムービー事件}} |
||
| 116行目: | 98行目: | ||
=== 個人情報の保護に関する法律 === |
=== 個人情報の保護に関する法律 === |
||
{{see|個人情報の保護に関する法律}} |
{{see|個人情報の保護に関する法律}} |
||
日本では2005年まで行政機関以外を対象とする包括的な法律はなかったが、個人情報保護法により行政と民間の包括的な法制化が実現した<ref>{{Cite book |和書 |author=打川和男 |
日本では2005年まで行政機関以外を対象とする包括的な法律はなかったが、個人情報保護法により行政と民間の包括的な法制化が実現した<ref>{{Cite book |和書 |author=打川和男 |title=プライバシーマーク取得がよ~くわかる本 第4版 |year=2018 |page=11}}</ref>。 |
||
==== 個人に関する情報 ==== |
==== 個人に関する情報 ==== |
||
| 128行目: | 110行目: | ||
==== 個人情報保護法における個人情報・個人データ・保有個人データの位置づけ ==== |
==== 個人情報保護法における個人情報・個人データ・保有個人データの位置づけ ==== |
||
[[個人情報保護委員会]]は個人情報・個人データ・保有個人データについて、次の表のような位置関係にあるとしている<ref> |
[[個人情報保護委員会]]は個人情報・個人データ・保有個人データについて、次の表のような位置関係にあるとしている<ref>{{Cite book |editor=個人情報保護委員会 |editor-link=個人情報保護委員会 |title=個人情報保護法相談標準ハンドブック |url=https://www.worldcat.org/oclc/994728851 |date=2017 |publisher=株式会社日本法令 |isbn=978-4-539-72548-1 |page=64 |location=東京都 |oclc=994728851}}</ref>。 |
||
{| class="wikitable" |
{| class="wikitable" |
||
| 180行目: | 162行目: | ||
== 欧州における個人情報保護 == |
== 欧州における個人情報保護 == |
||
EUでは1995年に「個人データ処理及びデータの自由な移動に関する個人の保護に関する指令」(EU個人データ保護指令)が出された<ref name="content">{{Cite web |url=https://www.soumu.go.jp/main_content/000150899.pdf|title=諸外国における現状 |
EUでは1995年に「個人データ処理及びデータの自由な移動に関する個人の保護に関する指令」(EU個人データ保護指令)が出された<ref name="content">{{Cite web |url=https://www.soumu.go.jp/main_content/000150899.pdf |title=諸外国における現状 |accessdate=2019-02-11 |publisher=総務省}}</ref>。 |
||
2002年には「個人情報の処理と電子通信部門におけるプライバシーの保護に関する指令」(eプライバシー指令)が出され、2009年に一部改正された<ref name="content" />。 |
2002年には「個人情報の処理と電子通信部門におけるプライバシーの保護に関する指令」(eプライバシー指令)が出され、2009年に一部改正された<ref name="content" />。 |
||
2021年12月24日 (金) 17:54時点における版
個人情報(こじんじょうほう)とは、任意の一人の個人に関する情報であり、かつその情報に含まれる記述等によって特定の個人を識別できるものを指す。英語では personally identifiable information (PII) もしくは sensitive personal information (SPI),[1][2][3] より一般には personal data と呼ばれる。
定義
アメリカ国立標準技術研究所(NIST)が発行するコンピュータセキュリティ関連のガイドラインである[4] SP800シリーズの一つ、SP800-122では、個人情報を以下のように定義している:
組織(agency)によって保全されるれている個人に関する任意の情報で、以下のものを含む
1. 個人の身元を識別したり追跡したりするのに使うことができる任意の情報。たとえば名前、社会保障番号、誕生日や誕生した場所、母親の旧姓、生体情報
2. 個人にリンクされているかリンクすることができる他の任意の情報。たとえば医療、教育、財政、および雇用に関する情報。 — NIST SP800-122
EU一般データ保護規則では以下のように定義している:
「個人データ」は、識別されたまたは識別可能な自然人(「データ主体」)に関するすべての情報を意味する。識別可能な自然人とは、特に、識別子(名前、識別番号、位置データ、オンライン識別子といったもの)を参照するか、または当該自然人の一意性(身体的、生理的、遺伝的、精神的、経済的、文化的、または社会的なもの)に固有な1つ以上の指標を参照することで、直接的または間接的に、識別ができる者をいう。 — GDPR Article 4 (1)
日本の個人情報保護法では以下のように定義している:
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの — 個人情報保護法第2条
名前・年齢・性別・住所・電話番号・E-mailアドレス・SNS上の繋がり・学校名・銀行口座・クレジットカード番号など、「だれ」であるか特定される可能性のある情報が個人情報であるのではなく、そのような情報を含む情報全体が個人情報である。
日本産業規格の個人情報保護マネジメントシステムであるJIS Q 15001では、2006年版において、生存する個人に関するという制限がなく死者のデータも含まれるとしていたが[5]、現行の2017年版では個人情報保護法と同一の定義としている[6]。
上述したどの定義においても、たとえ一見して個人を識別できなくとも他の情報と合わせれば個人の識別が可能になる記述を含むものも個人情報である。
2015年における個人情報保護法改正に際し個人識別符号が条文に追加されたが、経団連は「携帯電話番号は、利用者が求めれば即日変更でき、かつ別の利用者が再利用できる。個人を特定できるとはいえない」[7] とし、さらに新経連は「そもそも、文字や数字単体で、個人を特定することはできない。改正法が(2)で示した符号の定義は、事実上は空集合(=どの符号も含まれない)ではないか」[7] とし、両団体は携帯電話の番号は個人情報に含まれないと主張した。両団体を始めとした経済界からの法改正への反発は、最終的に「特定の」(法2条2項1号)「特定の利用者若しくは購入者または発行を受ける者を識別することができるもの」(法2条2項2号)といった文言を個人識別符号の定義に挿入することで決着した[8]。しかしながら個人識別符号という用語こそ2015年改正時に導入されたものの、昭和63年の行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律制定時には「個人別に付された番号,記号その他の符号」が個人情報の定義に含まれていた[8]。両団体が単体では個人情報にはあたらないと主張した携帯電話番号は、個人に関する情報の中に含まれているならば、たとえそれ自体が個人識別符号ではなくとも単体で個人情報であると解することができる[9]。
個人情報とプライバシーの保護
個人情報保護の法制化の動きは1980年にOECD理事会からプライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告(OECDプライバシーガイドライン)が発表されたことに始まる[10][11]。OECDプライバシーガイドラインの、収集制限の原則、データ内容の原則、目的明確化の原則、利用制限の原則、安全保護の原則、公開の原則、個人参加の原則、責任の原則の8原則は多くの国の立法に取り入れられた[11]。
プライバシー
詳細は「プライバシー」を参照
プライバシーの意味として最もポピュラーな理論の一つ[12]は、ウェスティン(Alan Westin)が1967年の著書「プライバシーと自由」で述べた「自己に関する情報に対するコントロールという権利」[13][14]というものである。日本の憲法学においてもこの考えをベースとした自己情報コントロール権がプライバシーの権利の最有力の解釈になっている[15]。
この節の参考文献:
- Solove, Daniel J. (2008). Understanding Privacy. Cambridge, Mass.: Harvard University Press. ISBN 9780674027725
- 小町谷育子 (2004年6月). “プライバシーの権利―起源と生成―” (PDF). 国立公文書館. 2016年9月1日閲覧。
- 大林啓吾 (2013年). “千葉大学法学論集 第27巻第4号(2013)アメリカにおける情報プライバシー権の法理” (PDF). 千葉大学. 2016年9月1日閲覧。
議論
国際大学GLOCOM教授の青柳武彦はその著書で、“個人識別情報は本来社会的に共有されるものであり、秘匿すべき対象ではない、たとえば氏名・住所を隠すのでは、郵便も届かなくなる、その一方、現行法では、個人情報を悪用や名誉毀損から十分守ることはできない、能動的な保護が必要である”と唱える[16]。
組織、領域別の状態
 |
行政機関
市町村役場・税務署・警察署のような行政機関には、本籍・住所・家族構成・所得など、極めて重要な個人情報が大量に存在する。
2013年(平成25年)の調査報告書によると、個人情報漏洩のおよそ44%が行政機関経由である[17]。
個人情報が大量に存在するので、個人情報の管理と漏洩の防止を徹底する必要性が高い。
なお、かつての住民基本台帳については、第三者により、なおかつ本人の同意も得ずに閲覧も可能であった。住民基本台帳の閲覧制度を使用する者は、便利屋、名簿業者などグレーゾーンな者がほとんどで、窓口で「閲覧」の対象となった情報を、人海戦術の「手書き」で書き写すことで間接的に行政機関から持ち出し、データベースに記録することでダイレクトメール発信などの営利目的で利用されるなどの状況が発生したことや、一部で犯罪目的の使用があったことから、住民基本台帳法の改正が行われ、閲覧が制限されるようになっている。
近年では、役所が外部の民間企業への業務委託(外注、アウトソーシング)がなされる場合も増加しており、その場合には、地方・国家公務員法に基づく守秘義務が適用できないため、外注先での安全管理が図られるよう、発注者が監督することを委託契約で定める行政機関も多くなっている。
国家試験、国家資格の合格者や、自己破産した者などは、官報や都道府県などの公報で公表される。
日本国内に存在する個人情報保護法令の数は約2000にも上る。国の行政機関を対象とする法のみならず、各自治体もそれぞれ個人情報保護条例を制定している。このように多数の個人情報保護法令が存在することにより、各地域・各自治体によって適用すべき法令とその内容が微妙に異なる。防衛省人材育成課によると、防衛省は、自衛官募集のために高校や大学を卒業する若者(18歳と22歳)の住所、氏名、生年月日、性別について市区町村に名簿提出を毎年求めている。自治体の9割は自衛隊に当該情報を伝えていた。園田寿甲南大学法科大学院教授(個人情報問題)は自衛隊の要求に応じて名簿を渡した自治体側の対応を「違法の可能性が高い」とし、住民基本台帳法における「個人情報の目的外利用の禁止」や各自治体制定の個人情報保護条例に反している疑いがあると批判した[18]。一方、自衛隊法97条は自治体の首長が自衛官の募集で「事務の一部を行う」と定め、自衛隊法施行令120条は防衛大臣が自衛官の募集に関して首長に「資料」の提出を求めることができるとしている。この問題は2016年から議論されており、新潟大学大学院の鈴木正朝教授(情報法)は、防衛大臣が自治体に住民基本台帳の情報提供を依頼し自治体がそれに応じることは、住民基本台帳法に提供規定がないことを理由に違法とは言えず、自衛隊法や同施行令に法的根拠があり適法だとした。加えて、情報提供の判断が各々の個人情報保護条例に照らしつつ自治体に委ねられていて、国が各自治体の個々の判断を尊重していることから法の運用としても妥当であり、さらには各自治体が自衛隊に代わって住民基本台帳の情報をもとにダイレクトメールを送れば名簿濫用のリスクも抑制できると同氏は述べた[19]。この件からもわかるように、各自治体によって個人情報保護条例そのものも運用の仕方もまちまちである。
民間企業
民間企業の場合、
- 事業活動に伴う過程で収集される個人情報
- 人材派遣会社への登録などで収集される。
- 在籍する社員および家族の個人情報
- 入社時に身元保証書などを記載させることで収集される。
- 求人や会社説明会などに対して応募してきた人の個人情報
がある。
教育機関
上記の個人情報の他に、生徒の健康診断のデータ、成績・進路希望調査・内申書・在学証明・卒業証書などを扱っている。卒業・退学後も一定期間、書類を保管しなければならない。
かつては、学級ごとに各生徒の緊急連絡網を作っていたが、個人情報保護法の施行後は緊急連絡網を作ることに消極的になっており、代わりに保護者の携帯電話への電子メールなどが使われる場合が多くなった。未成年者の保護のため高校以下では稀だが、大学・大学院生では、研究室のホームページに半ば強制的に名前などを掲載される場合がある。
個人情報保護法では、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者が、学術研究の用に供する目的であるときは、個人情報取扱事業者の義務の適用を受けない(50条)。
家庭
家庭の場合、ゴミとして出した郵便物が何者かによって収集された場合、少なくとも住所と氏名が流出する(探偵が用いる情報収集法の一つで、ゴミ漁りという)。
郵便物によっては、クレジットカード番号や銀行口座番号なども併せて流出し、犯罪の被害に遭う危険性が高まる。このため、郵便物をシュレッダーで裁断後にゴミとして出す家庭が増えている。また、最近は企業側で個人を特定する文字列(口座番号、クレジットカードの番号など)の一部を伏せ字にしている。
インターネット
検索技術の発達により、インターネットで容易に個人情報が収集できるようになった。氏名をサーチエンジンやFacebookなどでエゴサーチ検索すると、その個人の詳細な属性が取得できることがある(同姓同名の、意図しない別人の個人情報が収集される可能性もある)。これは、SNSの普及により増加傾向にある。
なお、サーチエンジンは個人情報保護法の対象外となる。また、インターネットが世界的なネットワークであることから、国際的な個人情報の流出の場合の対処が難しいことや、WinnyやShareなどのファイル交換ネットワークの内部で、流出が止まらないケースがあることが問題視されている。
- 特定手法
- 風景写真やスナップ写真など、一つ一つが個人情報ではない複数の断片的な情報を組み合わせて個人情報を特定できてしまう場合もある。例えばデジカメやスマートフォンで撮影された写真には、特に設定しない限りExifがデフォルトで組み込まれており、ここには撮影日時やGPSで受信した撮影場所(GPS機能がある場合)などが記録されているため、特定が容易である。
- また撮影位置が記録されていない写真から、撮影場所を特定する手法もある。風景写真の場合は、窓ガラスや車のボンネットなどに反射して映り込んだ物体を調べたり、背景に映りこんだ建物(ビル、店舗の看板など)や山の配置や標高といった極僅かな情報をヒントに(Google Earthやストリートビューなどで)同じ風景になるよう位置関係と方角を合わせて、撮影された場所を特定する手法がある[20]。
- ツイッターやフェイスブックなどのSNSサービスへ投稿している場合も同様で、行きつけのお店、旅行、仕事関係の内容、フォロー、フォロワーなどの断片情報から、自宅や交友関係、通勤通学先などが特定される危険性もある。
「ザ・ムービー事件」も参照
日本における個人情報保護
 | この節は特に記述がない限り、日本国内の法令について解説しています。また最新の法令改正を反映していない場合があります。 |
個人情報の保護に関する法律
「個人情報の保護に関する法律」を参照
日本では2005年まで行政機関以外を対象とする包括的な法律はなかったが、個人情報保護法により行政と民間の包括的な法制化が実現した[21]。
個人に関する情報
経済産業省の『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン』には個人情報保護法における「個人に関する情報」を以下のように説明している。
「個人に関する情報」は、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財種、肩書等の属性に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない(中略)。 なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。また、「生存する個人」には日本国民に限られず、外国人も含まれるが、法人その他の団体は「個人」に該当しないため、法人等の団体そのものに関する情報は含まれない(ただし、役員、従業員等に関する情報は個人情報)。 — 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(pdf) p2
個人情報は、まず任意の一人の個人に関する1単位の情報全体であることが必要条件である。その上で、その情報に含まれる記述等により特定の個人が識別されるならば、その「個人に関する情報」全体は個人情報にあたる。
個人情報データベース
個人情報を含む情報をデータベース化した場合、そのデータベースは個人情報データベースとして扱われる。一般にデータベースに登録されている情報1単位をレコードと呼び、個人情報データベースのレコードは個人データとして扱われる。
データベース化されていない個人情報は散在情報である。一方、個人データは、それを含むデータベースにアクセスさえできれば、検索や他のデータベースとのマージを行う等の処理をなすことが散在情報と比べて容易である。したがって、個人情報データベースを扱う事業者は、個人情報取扱事業者として規制のもと、個人データの利活用をすることができる。
個人情報保護法における個人情報・個人データ・保有個人データの位置づけ
個人情報保護委員会は個人情報・個人データ・保有個人データについて、次の表のような位置関係にあるとしている[22]。
| 個人情報(特定の個人を識別できる情報など)(個人情報保護法2条1項) | ||||||
|---|---|---|---|---|---|---|
|
行政機関の保有する個人情報の保護に関する法律
米国における個人情報保護
米国には1974年制定の連邦プライバシー法などがあるが、個人情報の保護は分野別の個別法で対応しておりそれぞれ第三者委員会が定められている[11]。
欧州における個人情報保護
EUでは1995年に「個人データ処理及びデータの自由な移動に関する個人の保護に関する指令」(EU個人データ保護指令)が出された[11]。
2002年には「個人情報の処理と電子通信部門におけるプライバシーの保護に関する指令」(eプライバシー指令)が出され、2009年に一部改正された[11]。
脚注
- ^ “Management of Data Breaches Involving Sensitive Personal Information (SPI)”. Va.gov. Washington, DC: Department OF Veterans Affairs (2012年1月6日). 2015年5月26日時点のオリジナルよりアーカイブ。2015年5月25日閲覧。
- ^ Stevens, Gina (2012年4月10日). “Data Security Breach Notification Laws”. fas.org. 2015年5月25日閲覧。
- ^ Greene, Sari Stern (2014). Security Program and Policies: Principles and Practices. Indianapolis, IN, US: Pearson IT Certification. p. 349. ISBN 9780789751676. OCLC 897789345 2015年5月25日閲覧。
- ^ “NIST SP800シリーズ”. NRIセキュア. 2016年3月7日時点のオリジナルよりアーカイブ。2016年9月1日閲覧。
- ^ 一般財団法人日本情報経済社会推進協会(JIPDEC) (2006年5月22日). “JIS Q 15001:2006 個人情報保護マネジメントシステム―要求事項” (PDF). 経済産業省. 2020年12月22日閲覧。
- ^ 一般財団法人日本情報経済社会推進協会(JIPDEC)『JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項』一般財団法人日本規格協会(JSA)、2017年。
- ^ a b 浅川, 直輝. “「携帯電話番号は個人情報に当たらない」、新経連に真意を聞いた”. 日経クロステック(xTECH). p. 2. 2015年4月7日閲覧。
- ^ a b 高木, 浩光 (2017). “個人情報保護から個人データ保護へ ―民間部門と公的部門の規定統合に向けた検討(2)”. 情報法制研究 2: 88. doi:10.32235/alis.2.0_75.
- ^ 個人情報保護委員会事務局 (2017年2月). “匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて”. 個人情報保護委員会. 2018年4月9日閲覧。
- ^ 打川, 和男『プライバシーマーク取得がよ~くわかる本』(第4版)、2018年、10頁。
- ^ a b c d e “諸外国における現状”. 総務省. 2019年2月11日閲覧。
- ^ Solove 2008, p. 24.
- ^ プライバシーの権利 2004, p. 50.
- ^ 情報プライバシー権 2013, p. 239.
- ^ 情報プライバシー権 2013, p. 243.
- ^ 青柳『情報化時代のプライバシー研究』エヌティティ出版。
- ^ 大谷, 尚通 (2014年6月10日). “2013年情報セキュリティインシデントに関する調査報告〜個人情報漏えい編〜”. JNSA. 2018年8月24日閲覧。
- ^ 中日新聞: 朝刊14面. (2019年2月21日)
- ^ 朝日新聞. (2016年3月22日)
- ^ “TwitterやInstagramにアップされた写真から撮影場所を特定する方法”. GIGAZINE. 2014年7月27日閲覧。
- ^ 打川和男『プライバシーマーク取得がよ~くわかる本 第4版』2018年、11頁。
- ^ 個人情報保護委員会, ed (2017). 個人情報保護法相談標準ハンドブック. 東京都: 株式会社日本法令. p. 64. ISBN 978-4-539-72548-1. OCLC 994728851
関連項目
 | 関連項目が多すぎます。 |
- 個人情報保護法関連五法
- 個人情報の保護に関する法律(個人情報保護法)
- 名簿業者
- 個人情報保護審査会
- 個人情報漏洩
- 行政機関の保有する個人情報の保護に関する法律(行政機関個人情報保護法)
- 住民基本台帳ネットワークシステム
- パーソナル情報
- ビッグ・ブラザー
- プライバシー
- シュタージ
- 忘れられる権利
- 開示請求
- 訂正請求
- 利用停止請求
- 情報公開法
- 情報公開条例
- 信用情報
- スパム (メール)
- 同窓会名簿
- 報道被害
- 疑似個人情報
- JIS Q 15001 - プライバシーマーク
- Yahoo! BB顧客情報漏洩事件
- ベネッセ個人情報流出事件
- 国民総背番号制
- ゴールドウォーター・ルール - アメリカでは、精神科医が診察したことがない患者の情報を公の場で職業的見地で述べないルール