個人情報
この記事はその主題が日本に置かれた記述になっており、世界的観点から説明されていない可能性があります。(2013年5月) |
個人情報(こじんじょうほう)とは、特定の個人(人間、自然人)を識別することができる情報を指す。
概要
現代社会ではコンピュータの利用が家庭でも一般的になり、個人情報のデータベース化と、データベースを収容したファイルのコピーが容易になったことで、様々な業務でデータの集積が進んでいるが、こうした情報が無制限に利用できるようになると、個人および家族のプライバシーが第三者に容易に把握されてしまう危険が高まってきた(例えば、クレジットカードの利用状況、出身校、勤務先、家族構成、通院歴など各種のデータが結合されると、個人、家族、所属する企業の秘密もあらわになってしまうおそれがある)。
そのため、個人情報の取扱いに関心が高まり、規制が必要とされ、法制度の整備が行われてきた。
個人情報には
- 氏名
- 性別
- 生年月日、年齢
- 本籍、住所
- 住民票コード、個人番号(マイナンバー)
- 固定電話の番号
- 勤務場所
- 職業
- 収入(月収、年収)
- 家族
- 本人および家族の写真
- 指紋、静脈パターン、虹彩、DNAの塩基配列などの生体情報
- メールアドレス(携帯電話、スマートフォン用も含む)
- コンピュータネットワークのIPアドレス・リモートホスト・MACアドレス・HTTP cookie
などの情報で、かつ個人を特定できる場合に該当する(2条)。
逆にいずれかに該当しても、個人を特定することができなければ、個人情報には該当しない。例えば、「収入」と「職業」の2項目だけでは、該当する労働者は数万人単位も存在しうるため、容易に個人を特定できない。逆に、「住所」や「固定電話番号」のいずれか1項目だけでも個人を特定される危険がある。
なお、生体情報については、技術の高度化に伴ってその個人特定性が徐々に強まる傾向があり、個人情報該当性の判断が難しい場合が見られる。
これらの個人情報は、現在ではコンピュータ上のデータベース(Microsoft Access、Excelなど)の形で記録されていることが主流となっており、データがCDやDVD、USBメモリやハードディスクドライブなどの記録メディアへ容易にコピーできるうえ、ソフトさえあれば個人でも閲覧可能であることや、記録メディアの小型・大容量化の相乗効果により、個人情報漏洩が起こりやすい。
参考として、アメリカ国内の大学生に対して発行される学生証には、身長、体重、髪や目の色なども記載されている事実も、個人情報の概念を語る上では有用である。これは様々な人種や移民が生活する、アメリカ合衆国ならではの体制といえる[1]。
携帯電話番号の扱い
経団連では、「携帯電話番号は、利用者が求めれば即日変更でき、かつ別の利用者が再利用できる。個人を特定できるとはいえない」とし、携帯電話の番号は個人情報に含まれないと主張している。理由として「携帯電話番号は、利用者が求めれば即日変更でき、かつ別の利用者が再利用できるので個人を特定できるとはいえない」と主張している[2]。
個人情報と法律
日本
個人情報の保護に関する法律(個人情報保護法)の定義では、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により「特定の個人を識別することができるもの」(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの=例えば学籍番号など=を含む)をいう。つまり、上記に該当しない情報であっても、「勤務場所」や「生年月日」といった「複数の情報の組み合わせ」により、「その個人を特定しうる情報」も個人情報になる(死者に関する情報であっても、遺族の生存する個人に関する情報でもある場合は、その生存する個人に関する情報となる)。
メールアドレスについては、経済産業省が「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を策定した際に、「特定個人を識別できる場合には個人情報だが、そうでない場合は個人情報ではない」としている。しかし、これについて日本経済団体連合会は、「メールアドレスはすべて個人情報に該当するとすべき」と修正を求めている。
プライバシーと個人情報
プライバシーと個人情報は重なり合っている部分もあるが、異なる概念だ。例えば、封書の「表面の宛名や発信者の情報が個人情報」であり、「封書の中身がプライバシー情報」だ、と考えるとわかりやすい。個人情報を保護することはプライバシーを保護することに通じるが、プライバシーと個人情報とは異なる。また、個人情報を保護一辺倒にしたのでは社会が成り立たないので、利用も意識しておく必要がある。
プライバシー情報とは、私生活をみだりに公開されないという法的権利に基づく情報のことをさす。
プライバシー情報は、次の三つをすべて満たす情報をいう。
- 個人の私生活上の事実(それらしく受け取られる可能性のあるものも含む)に関する情報であること。
- 公知になっていないこと。
- 通常は公開を望まない内容であること。
ネット上で扱われるプライバシー情報には、次のものなどがある。
- 利用したサービス
- 閲覧したページの履歴
- 検索したキーワード
- 送受信したメールの内容
- 利用した時間帯
- 携帯端末の個体識別情報
- 購入した商品
- 利用環境
- 性別
- 郵便番号
- 職業
- 年齢
- スリーサイズ
- 身長
- 体重
ただし、本人が自ら公開している場合はプライバシー情報とはならない。
組織、領域別の状態
行政機関
市町村役場・税務署・警察署のような行政機関には、本籍・住所・家族構成・所得など、極めて重要な個人情報が大量に存在する。
2013年の調査報告によると、個人情報漏洩のおよそ44%が行政機関経由である[3]。
個人情報が大量に存在するので、個人情報の管理と漏洩の防止を徹底する必要性が高い。
なお、かつての住民基本台帳については第三者により、なおかつ本人の同意も得ずに閲覧も可能であった。住民基本台帳の閲覧制度を使用する者は、便利屋、名簿業者などグレーゾーンな者がほとんどで、窓口で「閲覧」の対象となった情報を、人海戦術の「手書き」で書き写すことで間接的に行政機関から持ち出し、データベースに記録することでダイレクトメール発信などの営利目的で利用されるなどの状況が発生したことや、一部で犯罪目的の使用があったことから、住民基本台帳法の改正が行われ、閲覧が制限されるようになっている。
近年では、外部の民間企業への業務委託(外注、アウトソーシング)がなされる場合も増加しており、その場合には、地方・国家公務員法に基づく守秘義務が適用できないため、外注先での安全管理が図られるよう発注者が監督することを委託契約で定める行政機関も多くなっている。
国家試験、国家資格の合格者や、破産した者などは、官報や都道府県などの公報で公表される場合がある。
民間企業
民間企業の場合、
- 事業活動に伴う過程で収集される個人情報
- 人材派遣会社への登録などで収集される。
- 在籍する社員および家族の個人情報
- 入社時に身元保証書などを記載させることで収集される。
- 求人や会社説明会などに対して応募してきた人の個人情報
がある。
事業活動に伴う場合、直接個人を対象とする事業(特に金融機関、電話会社、自動車販売など取引に対して個人情報の提示を求められる業態)では、大量の個人情報を持っている。また、職業紹介事業者(いわゆる人材バンク)や派遣会社においては、紹介や派遣をされる人の個人情報を持っている。
それ以外の場合、データの収集は、通信販売のほか、メンバーズカードやポイントカードなどの作成時、懸賞クイズ、景品プレゼントなどで行われることが多い。また各種の名簿を売買する名簿屋も、個人情報をデータベース化し、販売することで業や収入として成り立ち、生活している。
教育機関
上記の個人情報の他に、生徒の健康診断のデータ、成績、進路希望調査などを扱っている。卒業後も一定期間、書類を保管しなければならない。
かつてはクラスごとに各生徒の緊急連絡網を作っていたが、個人情報保護法の施行後は緊急連絡網を作ることに消極的になっており、代わりに保護者の携帯電話への電子メールなどが使われる場合が多くなった。未成年者の保護のため高校以下では稀だが、大学、大学院生では研究室のホームページに半ば強制的に名前などを掲載される場合がある。
個人情報保護法では、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者が、学術研究の用に供する目的であるときは、個人情報取扱事業者の義務の適用を受けない(50条)。
家庭
家庭の場合、ゴミとして出した郵便物が何者かによって収集された場合、少なくとも住所と氏名が流出する(探偵が用いる情報収集法の一つで、ゴミ漁りという)。
郵便物によっては、クレジットカード番号や銀行口座番号なども併せて流出し、犯罪の被害に遭う危険性が高まる。このため、郵便物をシュレッダーで裁断後にゴミとして出す家庭が増えている。また、最近は企業側で個人を特定する文字列(口座番号、クレジットカード番号など)の一部を伏せ字にすることが増えている。
インターネット
検索技術の発達により、インターネットで容易に個人情報が収集できるようになった。氏名をサーチエンジンやFacebookなどで検索すると、その個人の詳細な属性が取得できることがある(同姓同名の、意図しない別人の個人情報が収集される可能性もある)。
なお、サーチエンジンは個人情報保護法の対象外となる。また、インターネットが世界的なネットワークであることから、国際的な個人情報の流出の場合の対処が難しいことや、ウィニーやシェアなどのファイル交換ネットワークの内部で流出が止まらないケースがあることが問題視されている。
またGoogleマップやGoogle Earthなどのインターネットサービスを併用することで、個人の情報を取得できる場合もある。例えば風景写真でも、窓ガラスや水などの反射するものに映り込んだ物体を調べたり、背景に映りこんだ建物(ビル、店舗の看板など)や山といったごくわずかな情報をヒントに(Google Earthやストリートビューなどで)同じ風景になるよう位置関係と方角を合わせて、撮影された場所を特定する手法がある[4]。
個人情報保護
OECDプライバシーガイドライン 8原則
「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」(以下、OECDプライバシーガイドライン)は、1980年9月23日に採択され、2013年7月11日に改正、2013年9月9日に公開された [5] [6]。
- 収集制限の原則
- データ内容の原則
- 目的明確化の原則
- 利用制限の原則
- 安全保護の原則
- 公開の原則
- 個人参加の原則
- 責任の原則
個人情報保護を逆手に取った悪用
個人情報保護法を形式的な理由に(法律で定義する個人情報とは全く異なるものの個人情報という名前をよいことに)、説明責任を逃れる手法が数多く採られる悪影響が挙げられる。個人情報保護法に基づく保護の対象(保護法益)は、あくまでも生存する個人に関する情報のみであり、「企業による献金額」「企業内の情報」「単純な数字のみ」など「個人情報に当たらないもの」の説明を拒む理由として、都合よく曲解されることがある。
このような風潮に対し、「共有」の考察が個人意思の尊重を欠いた不十分なものであり、非現実的な例を用いた極論になるが、国際大学GLOCOM教授の青柳武彦はその著書で、“個人識別情報は本来社会的に共有されるものであり、秘匿すべき対象ではない、たとえば氏名・住所を隠すのでは、郵便も届かなくなる、その一方、現行法では、個人情報を悪用や名誉毀損から十分守ることはできない、能動的な保護が必要である”と唱える[7]。
脚注
- ^ 大修館書店『社会人のための英語百科』(監修 大谷泰照、堀内克明)173頁
- ^ 「携帯電話番号は個人情報に当たらない」、新経連に真意を聞いた (2/5)
- ^ 「2013年情報セキュリティインシデントに関する調査報告~個人情報漏えい編~」[1]
- ^ TwitterやInstagramにアップされた写真から撮影場所を特定する方法
- ^ “OECDプライバシーガイドライン(仮訳)について”. JIPDEC (2014年). 2015年12月12日閲覧。
- ^ “Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data” (PDF). OECD (2013年7月11日). 2015年12月12日閲覧。
- ^ 青柳『情報化時代のプライバシー研究』エヌティティ出版