個人情報について

たまゆらさん、こんにちは

こういう根源的な疑問は好きです。

個人情報は、おっしゃる通り”(生存する）個人を特定できる情報”です。　”できる”とは、その可能性、危惧があるという意味です。


> ただ、氏名・住所がわかったところで本当に個人を特定（識別）できるか？
> と言えばＮＯだと個人的に思います。
ここで言っているのは、十分条件で、個人を特定するに足りる情報なのだと思います。

可能性、危惧があることを制限や管理対象にすれば、情報漏えいに対して備えることが可能になります。　その目的は個人のプライバシーを守ることです。

具体的に言えば、欲しくもないダイレクトメールが送られてくる、希望もしない訪問販売がくるような状態を防ごうということが、防止すべきことの具体例です。
ですから、氏名と、住所や電話番号の組み合わせは、個人情報として保護すべきものなのです。

> 例えば、Ｃという会社があったとします。従業員10人ほどで、その中で女性従業員はＤさん一人しかいません。
> 「Ｃ社　女性従業員」とだけ書かれた紙を紛失したとします。
> Ｃ社は女性従業員が一人しかいないので、Ｄさんを特定することは可能だと思います。

この場合には、女性が一人しかいないという条件があるので、氏名がなくとも個人が特定できる可能性があります。
但し、問題になるのは、その人に被害がでる危惧があるかです。　”Ｃ社の女性従業員”というだけの紙なら、それには意味がありませんので個人情報とは言えません。
しかし、”Ｃ社女性従業員の平均給与”という情報ならば管理が必要になりますし公開は出来ないでしょう。　つまり”個人が特定できるか”という情報や条件の組み合わせが重要なのだと思います。

> ①具体的に特定の個人を識別できる情報とはどういう意味か？

具体的には、名前と、住所、電話番号や、個人の写真などとの組み合わせで、上記のようなプライバシーの侵害が危惧される情報です。


> ②具体例　（名刺等）
名前と、下記の情報の組み合わせです
住所、電話番号、メールアドレス、写真などで、
名刺そのものも、個人情報として管理が必要です。

但し、不特定多数に勝手に配っている名刺ならば、その時点で守秘情報ではないので、個人情報として管理は不要という解釈は可能かもしれません。

> ③その理由
すでに書いた通り"個人を特定できる、その危惧がある"情報で、特定できるための十分な情報という意味でないからです。

仰るような疑問は、情報の種類や分類により、一意に扱いを定義しようとするからだと思います。
その情報から、プライバシーの侵害が危惧されるかとか、目的外使用の禁止などを考え、個別に判断するべきだと思います。

同じ名刺の情報でも、自身で公開している芸能人や、不特定多数に配った名刺は　開示済みですから管理対象としては除外が出来ます。
一方では、業務上でのみ貰った名刺の情報は、他の目的には使えないのです。　

こうしたルールをどこまで厳しく運用するかは、会社ごとのポリシーなのだと思います。　一方で個人情報の定義や管理を理解することは、必要以上の作業を減らすのだと思います。

外資社員さん

懇切丁寧な説明ありがとうございます。

おかげで大分わかってきた気がします。

ポイントは、

「その情報から、プライバシーの侵害が危惧されるかとか、目的外使用の禁止などを考え、個別に判断するべき」

ということですね。

だた・・・、

新たに２つ疑問が浮かんできましたので、
もし、良ければまたアドバイスいただけないでしょうか？

①防犯カメラの記録について

　これも最初ちょっと微妙に思ってたのですが、
　外資社員さんの説明から考えると、
　外部に漏れると「防犯目的以外の使用」及び
　「いつ、どこにいた」というプライバシーを侵害する恐れがあるという考えでいいんでしょうか？


②他の情報と容易に照合できる情報

　これには２つひっかかることがあります。

　１つめとしては「容易に」とは？ということです。
　例えば、名前と指紋が流出したとします。
　指紋は個人情報となり得ると思うのですが、
　指紋から個人できるのは警察ぐらいしか不可能だと思いますので、
　「容易には照合できない」と考えていいのでしょうか？

　２つめは、
　リストＡとリストＢを組み合わせて個人を特定できる場合です。
　これについては、社内では個人情報になると思います。
　ただ、リストＡのみが外部に漏れた場合は個人情報の流出になるのでしょうか？
　リストＡのみだと特定できないので、この場合は当てはまらないと考えていいのでしょうか？


外資社員さんのおっしゃるとおり、
「情報の種類や分類により、一意に扱いを定義しようしている」というは十分にわかってるのですが、

今度会社の後輩に教えることになりまして・・・。

やっぱり可愛い後輩にちゃんと教えるには、
自分の中での疑問点も解消しておきたいので・・・。


重ねての質問になり本当に申し訳ないのですが、
できればご教授宜しくお願いしますm(__)m

> ①防犯カメラの記録について
> 　外部に漏れると「防犯目的以外の使用」及び
> 　「いつ、どこにいた」というプライバシーを侵害する恐れがあるという考えでいいんでしょうか？

防犯カメラに記録された情報は、個人情報として適切に管理することが求められます。
本来は、個人情報の提供ですから、開示者の同意が必要なのですが、防犯上　必要という合理性と、撮影中であることを明示することで運用されているようです。

現時点では、運用に関する強制法規はなく、個別の市町村などでガイドラインが規定されています。
こちらに静岡県の例が
http://www.pref.shizuoka.jp/kenmin/km-110a/guideline.pdf

> ②他の情報と容易に照合できる情報
> 　例えば、名前と指紋が流出したとします。
> 　指紋は個人情報となり得ると思うのですが、
> 　指紋から個人できるのは警察ぐらいしか不可能だと思いますので、
> 　「容易には照合できない」と考えていいのでしょうか？

まず指紋を集める合理性があるという前提で、例として個人認証用の指紋データで考えてみましょう。
集められたデータが、特定のシステムでしか見られたいとしても、個人情報として適切な管理は必要です。
もちろん、このデータが漏えいして絶対に問題が発生しないと言えれば、個人情報ではないと言い切ることは出来ますが、その場合には問題が無いことに対して大きな責任を負うことになります。
個人情報保護で、会社が心配するべきは、情報漏えいによる会社の信用失墜と、被害者からの民事賠償請求です。
個人情報保護法に則った適切な管理がなければ、会社側の責任は重くなるでしょう。それが怖いから、多くの企業で個人情報として管理するのだと思います。

指紋情報が、社内情報で対外的な信用失墜につながらない、社員に対して担当が謝罪してすめば、特定が出来ないので気にしないという割り切りは可能です。

つまり最終的には、リスク管理の問題なのだと思います。
流出しても被害がないような情報や、暗号化等により特定が困難と判断すれば、管理コストが低い方法を選んでも良いのです。　訴えられるリスクが無いならば、気にしないという割り切りも可能です。
それらの中で、費用対効果、リスクと対策費からの適正化はしても良いのです。　それは会社ごとの判断になると思います。

返事が大変遅くなり申し訳ありませんでした。

質問の上乗せにも丁寧にお答え頂きありがとうございました。

外資社員さんのおかげで個人情報に対する理解を深めることができました。

本当にありがとうございました。