パーソナルデータと個人情報の違いとは?活用方法と活用時の注意点を解説

個人情報保護法法律 2020.06.29
パーソナルデータと個人情報の違いとは?活用方法と活用時の注意点を解説

個人にまつわる広範囲な情報を指す「パーソナルデータ」。新たなビジネスの創出や、消費者の利便性向上の実現が期待できる一方、その扱いを巡ってトラブルが起こることも懸念されています。

ここでは、パーソナルデータの概要や個人情報との違い、活用のシーンや取り扱いについて解説します。

1. パーソナルデータとは

パーソナルデータは、総務省が公表する情報通信白書において、以下の情報を含む個人にまつわる広範囲の情報を指すものと定義されています。

  • 個人の属性情報
  • 移動・行動・購買履歴
  • ウェアラブル機器(身体に装着するコンピュータ等)から収集した情報

これらのうち、個人の識別・特定ができないよう加工された情報は「匿名加工情報」と呼ばれ、適切な加工と取り扱いのもと利活用することが認められています。また、2020年6月成立の改正個人情報保護法では、他の情報と照合することで特定の個人を識別することができる「仮名加工情報」という定義が新たに加えられました。仮名加工情報もまた、広義においてパーソナルデータに含まれます。

2. パーソナルデータは個人情報と何が違うの?

個人情報は、個人を識別できる情報を指して使われる言葉です。たとえば、氏名や生年月日などの記述等により個人を識別できるものや、運転免許証や国民健康保険の番号といった「個人識別符号」に分類される情報は、いずれも個人情報として扱われます。

このうち個人識別符号は、以下のような条件に当てはまる複数の情報に該当します。

image2.png

出所:個人情報保護委員会「パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて

このように、発行されたカードや資格に割り当てられる番号だけではなく、DNAの塩基配列や容貌、虹彩・声帯・指紋に至るあらゆる身体的特徴も個人識別符号として扱われます。

一方、パーソナルデータは、個人情報より広義の「個人にまつわるあらゆる情報」を指しており、個人識別の可否にかかわらず個人に関するデータはパーソナルデータに該当します。匿名加工情報もパーソナルデータの一部です。

3. パーソナルデータの活用方法・活用事例

パーソナルデータは、以下のようなシーンで活用されています。

  • Web上で提供するコンテンツをユーザーに最適化
  • 携帯電話の位置情報を人口統計データとして活用
  • 車両の走行状況を収集し、交通流改善や運転の安全性を分析
  • 消費者が個人情報を預託し、被預託者が情報を事業者に提供する情報銀行

最も分かりやすい領域でいえば、ニュースアプリの閲覧時に配信される記事の最適化が挙げられます。これは、ニュースアプリの会員登録時に入力した情報、記事一覧から選択したコンテンツの傾向といったパーソナルデータをもとに、分析と最適化が実行されています。

一方、4つ目に挙げた情報銀行はまだ馴染みのない言葉ですが、今後あらゆるシーンで活用されることが期待されています。個人から個人情報の預託を受け、主に事業者に対して個人情報の第三者提供を行い、そこから得た利益を個人に還元するサービスです。名簿売買のようなグレーな個人情報のやり取りではなく、真っ当なルール・方法にもとづいて個人の同意のもと情報提供が行われるため、関係者全員に利益のある取り組みとして注目が集まります。

4. パーソナルデータの取り扱いにおける注意点

新たなビジネスが創出されたり、消費者に対する価値提供が最適化されたり、パーソナルデータの利活用によってもたらされるメリットの大きさは計り知れません。ただし、パーソナルデータにまつわるルールの整備は最適化されているとはいえず、適切な取り扱いの尺度には検討の余地が残されています。

個人が識別できる個人情報の扱いはともかく、パーソナルデータに分類される「匿名加工情報」の運用も、個人の識別が不可能であるとはいえルールを軽視すべきではないでしょう。

匿名加工情報に関する事業者の義務

パーソナルデータを取り扱う事業者は、法令により定められた以下のような義務を果たすことが求められます。

  • 個人を識別できる記述の全て、あるいは一部を削除・置換する
  • 個人識別符号を全て削除する
  • 個人情報とほかの情報を連結する符号を削除する
  • 直接的でなくても、特徴があり個人特定につながる特異な記述を削除する
  • 匿名加工情報にまつわる情報漏えいの防止
  • 匿名加工情報にまつわる苦情処理・適切な取り扱い措置と公表を行う
  • 匿名加工情報を作成したとき、遅滞なく公表する
  • 第三者に対する匿名加工情報の提供は、あらかじめその方法を公表する

引用:個人情報保護委員会「匿名加工情報制度について」を抜粋・改編

上記の義務を果たすことが定められると同時に、以下の行為が固く禁じられています。

  • 本人識別のため、作成・受領した匿名加工情報をほかの情報と照合する行為
  • 受領した匿名加工情報の加工方法等の情報を取得する行為

引用:個人情報保護委員会「匿名加工情報制度について」を抜粋・改編

新たに創設された「仮名加工情報」とは

個人が企業に対して加工された個人情報の利用停止や消去を求めた際、企業には、名前など個人を特定する情報を復元する必要があり、大きな負担となっていました。そこで、企業内でのデータ分析に用途を限り、かつ利用目的をできる限り特定・公表することにより利用停止や消去の義務を緩めるものとして作られたのが「仮名加工情報」という枠組みです。

仮名加工情報は、個人情報保護の本質や観点を厳格に維持しつつ、ビジネスにおけるビッグデータの利活用に弊害が出ることのないよう猶予を持たせた仕組みだといえます。これにより企業は、ビッグデータの根幹であるデータの「量」を減らすことなく、一定のデータの質を維持できるようになります。

ただし、仮名加工情報を第三者に提供するためには原則として本人の同意が必要になりますので、企業にとっては決して個人情報保護の規制が緩和されるものではありません。

情報管理の注意不足により起こる問題について

2019年、就活サイトの「リクナビ」を通じて収集したユーザーデータをリクルートキャリアが解析して「内定辞退率予測サービス」として商品化。これを企業38社に販売していたことが個人情報保護法に違反するのではないかと指摘され、問題となりました。

リクルートキャリアは「ユーザーからデータ提供の同意を得ていた」と主張していたものの、プライバシーポリシーには第三者に個人情報を提供することを示す文言が含まれておらず、約8,000人の個人情報を同意のないまま販売していたことが判明しました。

これは、社内チェックが十分ではないために重大なプライバシー保護違反を犯してしまった事例として多くの企業が教訓とすべきニュースであり、情報管理が企業の信用にダイレクトに影響を与えるものであることを改めて浮き彫りにしました。

5. まとめ

パーソナルデータは新たなビジネスの創出や消費者の利便性向上が期待される一方、データの扱いを巡ってトラブルが起こることも懸念されています。

すでに欧州ではパーソナルデータの取り扱いが厳格化される傾向にあり、今後は日本もこれにならって情報管理の基準が厳しくなる可能性があります。パーソナルデータを扱う事業者には、今後より一層広くアンテナを張り、情報管理における動向のキャッチアップに努めることが求められています。