Professional Documents
Culture Documents
Nov, 2021 Confidential
Nov, 2021 Confidential
個人情報保護法において「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔
写真などにより特定の個人を識別できる情報のこと。
これには、他の情報と容易に照合することができ、それにより特定の個人を識別することが
できることとなるものも含まれる。
番号、記号、符号などで、その情報単体から特定の個人を識別できる情報で、政令・規則で定
められたものを「個人識別符号」といい、個人識別符号が含まれる情報は個人情報となる。
個人情報
個人識別符号
1
Nov, 2021 CONFIDENTIAL
個人識別符号の定義
(個人識別符号)
第一条 個人情報の保護に関する法律(以下「法」という。)第二条第二項の政令で定める文字、番号、記号その他の符号は、次
に掲げるものとする。
一 次に掲げる身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の
個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの
イ 細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列
ロ 顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌
ハ 虹彩の表面の起伏により形成される線状の模様
ニ 発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化
ホ 歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様
ヘ 手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状
ト 指紋又は掌紋
二 旅券法(昭和二十六年法律第二百六十七号)第六条第一項第一号の旅券の番号
三 国民年金法(昭和三十四年法律第百四十一号)第十四条に規定する基礎年金番号
四 道路交通法(昭和三十五年法律第百五号)第九十三条第一項第一号の免許証の番号
五 住民基本台帳法(昭和四十二年法律第八十一号)第七条第十三号に規定する住民票コード
六 行政手続における特定の個人を識別するための番号の利用等に関する法律 第二条第五項に規定する個人番号
七 次に掲げる証明書にその発行を受ける者ごとに異なるものとなるように記載された個人情報保護委員会規則で定める文字、番
号、記号その他の符号
イ 国民健康保険法(昭和三十三年法律第百九十二号)第九条第二項の被保険者証
ロ 高齢者の医療の確保に関する法律(昭和五十七年法律第八十号)第五十四条第三項の被保険者証
ハ 介護保険法(平成九年法律第百二十三号)第十二条第三項の被保険者証
八 その他前各号に準ずるものとして個人情報保護委員会規則で定める文字、番号、記号その他の符号
個人データ 個人データ
「個人情報データベース等」を構成する個人情報を「個人データ」と
いいます。例えば、名簿を構成する氏名・誕生日・住所・電話番号な
どの個人情報がこれに当たります。 個人保有データ
(該当事業者が所有
保有個人データ 管理するもの)
「保有個人データ」とは、個人データのうち、個人情報取扱事業者
が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者 個人情報
への提供の停止を行うことのできる権限を有するものをいう。した
がって、委託を受けて取り扱っている個人データや、個人情報のうち
体系的に整理されていないものについては、「保有個人データ」には 個人識別符号
該当しない。尚、保存期間6ヶ月以下も保有個人データにあたるとの
旨の法改正が R4 より施行。つまるところ該当事業者が所有して、管
理しているデータ。
Nov, 2021 CONFIDENTIAL
匿名加工情報について
匿名加工情報とは、特定の個人を識別することができないように個人情報を加工し、当該
個人情報を復元できないようにした情報のこと。俗にいうパーソナルデータ(個人を特定
しないデータ、属性データなど)に含まれる。扱う上での義務は以下。
不可逆的な匿名化
• 個人を識別できる記述の全て、あるいは一部を削除・置換する パーソナルデータ
• 個人識別符号を全て削除する
• 個人情報とほかの情報を連結する符号を削除する
• 直接的でなくても、特徴があり個人特定につながる特異な記述を削除す 個人情報
る
適切な管理と透明性の維持
• 匿名加工情報にまつわる情報漏えいの防止
• 匿名加工情報にまつわる苦情処理・適切な取り扱い措置と公表を行う
• 匿名加工情報を作成したとき、遅滞なく公表する
• 第三者に対する匿名加工情報の提供は、あらかじめその方法を公表する
• 個人情報を取り扱うに当たっては、どのような目的で個人情報を利用するのか具体的に特定す
る必要があります。
• 個人情報の利用目的は、あらかじめホームページ等により公表するか、本人に知らせなければ
なりません。
• 個人情報は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により利用しては
なりません。
• 「要配慮個人情報」を取得するときはあらかじめ本人の同意が必要です。
• 取得した個人情報は、利用目的の範囲で利用しなければなりません。
• 取得している個人情報を、特定した利用目的の範囲外のことに利用する場合、あらかじめ本人
の同意が必要です。
次のような漏えい等の事案が発生した場合、又は発生したおそれがある場合は、個人の権利や利益
を侵害するおそれが大きいため、個人情報取扱事業者は、速やかに個人情報保護委員会に報告し、
本人へ通知しなければいけません。
( 1 )要配慮個人情報の漏えい等
例 1 :従業者の健康診断等の結果を含む個人データが漏えいした場合
例 2 :患者の診療情報や調剤情報を含む個人データを記録した USB メモリーを紛失した場合
( 2 )財産的被害のおそれがある漏えい等
例 1 : EC サイトからクレジットカード番号を含む個人データが漏えいした場合
例 2 :送金や決済機能のあるウェブサービスのログイン ID とパスワードを含む個人データが漏えいした場合
( 3 )不正の目的によるおそれがある漏えい等
例 1 :不正アクセスにより個人データが漏えいした場合
例 2 :ランサムウェアなどにより個人データが暗号化され復元できなくなった場合
例 3 :個人データが記載又は記録された書類・媒体などが盗難された場合
例 4 :従業者が顧客の個人データを不正に持ち出して第三者に提供した場合
( 4 ) 1,000 人を超える個人データの漏えい等
例:個人データであるメールアドレスを CC 欄に入力して 1,000 人を超える方々へ一斉送信した場合
• 個人データを本人以外の第三者に提供するときは、原則として、あらかじめ本人の同意が必要です。
ただし、本人の同意を得なくても、例外的に個人データを第三者に提供できる場合があります。
(例) 法令に基づく場合(警察、裁判所、税務署等からの照会)、人の生命・身体・財産の保護に必要で本人の同意取得が困難な場合、公
衆衛生・児童の健全育成に必要で本人の同意取得が困難な場合、学術研究目的での提供・利用、委託・事業承継・共同利用など
• 第三者に個人データを提供した場合は「いつ・誰の・どんな情報を・誰に」提供したか、第三者から
個人データの提供を受けた場合は「いつ・誰の・どんな情報を・誰から」提供されたかを確認・記録
する必要があります。記録の保存期間は原則 3 年です。
• https://www.ppc.go.jp/all_faq_index/faq2-q2-3/#:~:text=%E3%81%A4%E3%81%BE%E3%82%8A%E3%80%81%E3%80%8C%E5%80%8B
%E4%BA%BA%E6%83%85%E5%A0%B1%E3%80%8D%E3%81%AF,%E5%80%8B%E4%BA%BA%E6%83%85%E5%A0%B1%E3%80%8D%
E3%81%AB%E3%81%AA%E3%82%8A%E3%81%BE%E3%81%99%E3%80%82
• https://www.ppc.go.jp/personalinfo/legal/guidelines_anonymous/#a3-2
• https://www.ppc.go.jp/files/pdf/personal_date_cases2019.pdf
• https://www.ppc.go.jp/personalinfo/tokumeikakouInfo/
• https://www.gov-online.go.jp/useful/article/201703/1.html#c1
• https://elaws.e-gov.go.jp/document?lawid=415CO0000000507_20230401_504C
O0000000177
• https://www.soumu.go.jp/main_content/000542668.pdf