【比較解説】個人情報・個人データ・保有個人データ3つの違い

データ管理・活用 2021.01.25
【比較解説】個人情報・個人データ・保有個人データ3つの違い

個人情報保護法には「個人情報」「個人データ」「保有個人データ」という、3つの似た用語が登場します。本記事では、それぞれの定義や違い、取り扱いにおけるルールを説明します。

1. 個人情報・個人データ・保有個人データの定義

個人情報保護法の個人にまつわる情報は以下の3つに区別されます。

項目

概要

個人情報

生存する特定の個人を識別できるもの、および個人識別符号(次章で解説)が含まれるもの

個人データ

個人情報のうち、特定の個人情報を検索できるよう体系的に構成したもの

保有個人データ

個人データのうち、個人情報取扱事業者に開示・訂正・消去等の権限があり、6ヶ月を超えて保有するもの

次章より、それぞれの詳しい定義と取り扱いにおけるルールをご説明します。

2. 個人情報とは?

個人情報は、氏名や生年月日など個人が識別できるもの、および個人識別符号が含まれるものを指します。

個人情報保護委員会が公表する「個人情報の保護に関する法律についてのガイドライン(通則編)」では、「個人が識別できるもの」として以下が挙げられています。

  • 本人の氏名、生年月日や連絡先などと本人の氏名を組み合わせた情報
  • 防犯カメラに記録された情報など、本人を判別できる映像データ
  • 本人の氏名が含まれるなどの理由から、特定の個人を識別できる録音データ
  • 氏名・会社名が含まれるなどの理由から、特定の個人を識別できるメールアドレス

次に、「個人識別符号が含まれるもの」の一例として下記が挙げられています。

  • DNAを構成する塩基の配列
  • 顔の骨格や皮膚の色、目・鼻・口などの位置や形状で決まる容貌
  • 発声時の声帯の振動、声門の開閉や声道の形状・変化
  • パスポートの番号や基礎年金番号、免許証の番号や住民票コード

上記のような身体的特徴をコンピューターで扱えるよう変換したもの、および個人に割り振られた番号が個人識別符号に該当します。

個人情報の取得に関してはいくつかのルールがあります。

個人情報にまつわる基本的なルール

概要

利用目的をできる限り特定する

利用目的は特定し、合理的に認められる範囲を超えて変更してはならない

取得時に利用目的の通知・公表等を行う

あらかじめ利用目的を公表している場合を除き、利用目的を本人に通知・公表しなければならない

個人情報は利用目的の範囲内で取り扱う

本人の同意を得ないまま、利用目的の範囲を超えて個人情報を取り扱ってはならない

適正な方法で個人情報を取得する

不正な手段を用いて個人情報を取得することはできない

苦情に迅速かつ適切に対処する

個人情報の取り扱いに関する苦情に、いち早く適切に対処できるよう努めなければならない

3. 個人データとは?

個人データとは、個人情報データベース等を構成する個人情報のことです。

個人情報保護法が定義する個人情報データベース等とは、特定の個人情報を検索できるように体系的にまとめられたものを指します。

たとえば、名刺を整理して、特定の個人情報を検索できるよう五十音順でまとめれば、これは個人情報データベース等に該当するでしょう。

ただし、机の上に無造作にちりばめた複数の名刺は、体系的にまとめられていないため個人情報データベース等とはいえません。

この場合は、個人データに該当しない個人情報だといえるでしょう。

なお、個人データを取り扱う際にも、いくつかのルールに従う必要があります。

個人データにまつわる基本的なルール

概要

データ内容の正確性の確保

個人データを正確かつ最新の情報に保つよう努めなければならない

安全管理措置

個人データの漏えい、滅失や毀損(きそん)などを防止する安全管理のための措置を講じなければならない

従業者の監督

個人データの安全管理を図るため、取り扱う従業者に適切な監督を行わなければならない

第三者提供の制限

法令に基づく場合、人の生命・身体・財産の保護に必要となる場合などの例外を除き、本人の同意を得ず個人データを第三者に提供してはならない

4. 保有個人データとは?

保有個人データは、個人情報取扱事業者が以下の対応を実施できる権限を持った個人データを指す言葉です。

  • 開示
  • 内容の訂正
  • 追加・削除
  • 利用の停止
  • 消去
  • 第三者への提供の停止

上記に該当しても、6ヵ月以内に削除する個人データや以下に該当する個人データは保有個人データに分類されません。

  • 生命や身体、財産に危害を及ぼす恐れのあるもの
  • 違法行為や不当行為を助長し、または誘発する恐れのあるもの
  • 国の安全が害される、また他国や国際機関との信頼関係を損ねる可能性があるもの
  • 他国や国際機関との交渉時に不利益を被る可能性があるもの
  • 犯罪の予防・鎮圧・捜査など公共の安全と秩序の維持に支障が及ぶ恐れのあるもの

保有個人データにまつわる主なルールは、以下のとおりです。

保有個人データにまつわる基本的なルール

概要

保有個人データに関する事項の公表等

個人情報取扱事業者の氏名・名称、保有個人データの利用目的などを本人の知り得る状態(遅滞なく回答する場合を含む)に置かなければならない

保有個人データの開示

本人から保有個人データの開示を求められたとき、政令で定められた方法によって遅滞なく開示しなければならない

保有個人データの訂正等

保有個人データの内容が事実でなく、本人が訂正・追加・削除を求めた場合には、遅滞なく調査を行い保有個人データの訂正等を行わなければならない

保有個人データの利用停止等

保有個人データが規定に違反して扱われている、あるいは違反して取得されており、本人からデータ利用の停止・消去を求められたかつその求めに理由があった場合、違反を是正するために必要な限度で遅滞なく利用停止等を行わなければならない

理由の説明

本人から求められた措置の全部・一部について、その措置をとらない、あるいは異なる措置をとる旨を通知する場合は、その理由を説明するよう努めなければならない

開示等の求めに応じる手続

個人情報取扱事業者は、開示等の求めを受け付ける方法を定めることができ、本人は定められた方法に従って求めを行わなければならない

手数料

個人情報取扱事業者は、保有個人データの利用目的の通知、開示を求められたとき、当該措置の実施に関して合理的な範囲で手数料を徴収できる

なお、概要内に記述される本人は「データの主体」を指しており、個人情報取扱事業者は「国の機関や地方公共団体などの一部組織を除く、個人情報データベース等を事業のために継続利用している事業者」を指しています。

5. まとめ

ここまで、個人情報・個人データ・保有個人データの違いや取り扱いルールを解説しました。

個人情報・個人データ・保有個人データは、それぞれ似たような言葉ですが、定義も取り扱いルールも異なります。正しく認識して情報管理ができるよう、ぜひ本記事を参考にして適切な対応を心がけましょう。

パーソナルデータの取扱いにお悩みの方に

  • 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
  • 誰にどこまで同意を取ったか管理するのが大変…
  • ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
  • 同意は管理できても他社システムを上手く連携して使えないと…

Trust 360で、すべて解決!