個人情報と個人データの違いは?プライバシーマークにおいて理解必須!

この記事は約5分で読めます。

プライバシーマークを取得していく中で、個人データという単語が出てきます。

個人データと個人情報は、似ていますが個人情報保護法において別々に定義されています。
プライバシーマークを取得・運用していくにあたり定義について理解しておくことは重要になりますので、このブログを通してご理解いただけたら何よりです。

また、LRMでは、2022年4月全面施行の個人情報保護法改正に伴い、企業が対応すべきポイントをまとめた資料を無料で配布しています。こちらからダウンロードできますので、ぜひご活用ください。

個人情報とは

個人情報の定義については、個人情報保護法に次のようにあります。

第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの

「個人情報保護法2条1項1号、2号」引用

簡単に言うと、その情報から個人が容易に識別できるものは個人情報という扱いになります。
例を挙げると、本人の氏名、本人がわかる映像、生年月日や住所などの情報と本人の指名を組み合わせた情報などがあります。

氏名や、顔写真のようなものだけでなく、個人と結びつけられている番号や符号についても個人情報に当たります。例えば、マイナンバーやパスポート番号は、個人に割り振られており、特定のデータベースにかけることで番号から特定の個人を識別することができます。

個人データとは

個人情報保護法において、「個人データ」とは、次のように定義されています。

3 この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

「個人情報保護法16条3項」引用

個人情報データベース等とは、一定の規則に従って整理されて容易に検索可能な状態になっているものです。
つまり、まとめられた情報の中から簡単に検索しほしい情報を見つけ出せる状態になります。

例として、50音順に整理されている名刺ホルダー、メールツールのアドレス帳、IDと個人情報を関連付けて保管されているデータベースが挙げられます。

個人データは、個人情報よりも取扱いにおいて規制が多くなります。その理由としては、個人情報がデータベース化すると、大量漏えいの危険性が高く、他の方法との紐づけが容易で本人の権利を侵害してしまう恐れが高まるからです。

また、プライバシーマークにおいて保有個人データという言葉も出てきます。

保有個人データとは、個人データのうち、「保有個人データ」については、個人情報を取り扱う事業者が開示・訂正・利用停止等の義務が課されています。
個人情報保護法において、「保有個人データ」とは、次のように定義されています。

4 この章において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。

「個人情報保護法16条4項」引用

個人情報を取り扱う事業者は、「個人情報」→「個人データ」→「保有個人データ」という順番で取扱いにおいての義務が多くなっています。

個人情報と個人データの違いをまとめると…

個人を特定することができる情報についてはすべて個人情報の扱いであり、その中で、データベース化され容易に検索できる状態になってるものが個人データということになります。

名刺を例に挙げますと、名刺自体は個人情報に当たります。
ただし、名刺を個人で特に規則性なく保管している場合は個人データには当たりません。

個人データに当たる場合というのは、五十音順にファイリングされていたり、ツールを使用し検索できるように保管されている場合になります。

個人情報については、利用目的の特定、本人への通知が義務図けられています。
個人データについては、上記に加え、安全管理措置の実施、委託先の監督、第三者提供の制限等の義務が加わります。

プライバシーマークにおいて

では、プライバシーマークの規格上において、個人情報の取扱いについて個人情報保護法との違いはあるのでしょうか。

A.3.3.1個人情報の特定

組織は、特定した個人情報については、個人データと同様に取り扱わなければならない。

個人情報の特定においては、事業のために取り扱っているすべての個人情報を洗い出し、一つの台帳にまとめることが求められています。
ここで事業のために用いている個人情報として特定された個人情報は、PMSの適用範囲に入ることから個人データと同様の取扱いが求められていることになります。

最後に

「個人情報」「個人データ」「保有個人データ」の定義について紹介いたしました。
プライバシーマークを取得するにあたって、これらの定義の違いを認識しておくことは重要となります。

また、LRMでは、2022年4月全面施行の個人情報保護法改正に伴い、企業が対応すべきポイントをまとめた資料を無料で配布しています。こちらからダウンロードできますので、ぜひご活用ください。

認証取得を目指すPマーク
タイトルとURLをコピーしました