« 新タイプの“楽器”?『Patatap』が面白すぎるので、ぜひ他の方の演奏も楽しみたい! | トップページ | Twitterで応答が速いダイス(サイコロ)botを作ってみた »

2014/04/12

「個人情報」の定義の解釈について混乱してきたので誰か教えてください

「個人を特定する情報が個人情報である」と信じているすべての方へ(1/6):企業のIT・経営・ビジネスをつなぐ情報サイト EnterpriseZine (EZ)
この記事を読んでいるうちに、「個人情報」の定義の解釈について、混乱してきてしまいました。
覚書を兼ねて、以下に自分の解釈・疑問点などを書きましたので、認識誤り等ご指摘いただけると幸いです。

■「個人情報」の定義

個人情報の保護に関する法律

(平成十五年五月三十日法律第五十七号)

<中略>

第一章 総則

<中略>

(定義)

第二条  この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

<後略>

個人情報の保護に関する法律

■自分的なりの解釈

Photo

こういうイメージで解釈していたのですが。

■タイトルの言わんとすることはわかるつもり

記事のタイトルである、 に関しては、「個人を特定する情報が個人情報である」というのが、(主として髙木氏が解説されている内容によって)誤解だというのはすんなり納得できます。
上図の例では、①で、赤字で下線が引かれている「個人を特定する情報」だけではなく、これを含む、緑の四角で囲った全体が「個人情報」である、ということ。

■混乱したのはこの辺り

件の記事中で首をひねったのは、主に山本氏の発言について。

山本 <中略>

 「個人情報」と言われたときに、「名前や住所が入っていなければ個人情報ではないのである」という不思議な解釈でプライバシーポリシーを運用してしまっている企業もけっこうございまして、

「個人を特定する情報が個人情報である」と信じているすべての方へ(1/6):企業のIT・経営・ビジネスをつなぐ情報サイト EnterpriseZine (EZ)

山本 非常に重要なところですよね。実際、「氏名、連絡先さえ抜いておけば個人情報ではないのである」という誤解が非常に広がっているという状態だと思います。

「個人を特定する情報が個人情報である」と信じているすべての方へ(1/6):企業のIT・経営・ビジネスをつなぐ情報サイト EnterpriseZine (EZ)

これらを一律に、「誤解」と言い切ってしまうのはどうなのかと思った次第です。

確かに、『名前や住所が入っていなければ』『氏名、連絡先さえ抜いておけば』と言った際、発言者が上図の②のようなケース(特定個人識別情報を紐づけ出来る形で分離)を想定しているのであれば、これは明らかに誤解でしょう。
ですが、③のようなケース(特定個人識別情報およびこれを照合可能な情報を含まない情報)を想定しているのであれば、これは誤解とは言えないと思っているのですが…自分の認識が誤っているのでしょうか?

なお、記事中で「個人情報」の誤解例として挙げられているYahoo! JAPANのプライバシーポリシーについては、

髙木 購入履歴や利用日時の情報も、氏名等により特定の個人が識別されるデータとして存在すれば、法律上の個人情報なんですけどね。

「個人を特定する情報が個人情報である」と信じているすべての方へ(1/6):企業のIT・経営・ビジネスをつなぐ情報サイト EnterpriseZine (EZ)

ということで、上図では②のケースに該当しているという解釈です。

もし、購入履歴や利用日時といった情報(属性情報)が、特定個人識別情報に紐づけされていない状態でデータとして保存されるのであれば、上図の③のケースに相当し、(法律上の)個人情報にはあたらない、という認識でいます。

« 新タイプの“楽器”?『Patatap』が面白すぎるので、ぜひ他の方の演奏も楽しみたい! | トップページ | Twitterで応答が速いダイス(サイコロ)botを作ってみた »

パソコン・インターネット」カテゴリの記事

覚書」カテゴリの記事

コメント

 最後の例はちょっと微妙なところだけど、そのデータ単体では紐付けされていなくても、他のデータと照らし合わせることによって特定可能な場合は、個人情報に該当します・・・より正確には個人情報を特定可能なデータとして機密扱いになります。
 要はデータの内容如何で該当するか否か決まります。

 例えは4月11日にAという商品が1個売れたというデータがあったとして、当日当該商品が1000個ぐらい売れた、というのであれば、それだけでは誰が買ったデータか判らないけど、当日1個しか売れていないのであれば特定可能になるので、れっきとした個人情報に・・・
 ・・・がしかし、1000個売れていた場合でも、少なくともそれを買った1000人は特定できてしまうので、個人情報に準ずる情報として扱われます。

 かように扱いが難しいのですが、どちらにしても機密情報として厳重に管理されるべき情報ではあります・・・

さっそくコメントどうもです。

| 他のデータと照らし合わせることによって特定可能な場合は

ああ、一応、そういうのをひっくるめて「照合不可の場合」と書いたつもりでした。

記事中の図の例でも、例えば『その日時に登録した人はこれこれというデータをSNS側が持っていたら、その時点で「照合可能」となる』、という類の突っ込みは予測できたので。

まぁ、程度問題というか、法律の「他の情報と容易に照合することができ」の“容易”の解釈にもよりそうですが…。

あと、「個人情報に準ずる」というのは企業等の方針にも依存するので、「個人情報」の(法的な)定義とは異なってきますよね。
まずは、現時点の法的な定義の解釈をしっかりと把握したかったので…。

>まぁ、程度問題というか、法律の「他の情報と容易に照合することができ」の“容易”の解釈にもよりそうですが…。
>あと、「個人情報に準ずる」というのは企業等の方針にも依存するので、「個人情報」の(法的な)定義とは異なってきますよね。

 まぁそういうことです・・・私が前の会社で情報セキュリティ担当していた頃は、丁度個人情報保護法とかが出来た時期だったので、あーでもないこーでもないとかなり議論しましたねぇw

 結局、情報管理意識の高いところだと、「法定の個人情報」をやや拡大解釈して、個人情報にとどまらず情報を段階的にランク付けして管理してましたわ・・・「個人情報に準ずる情報」とかいうのもその流れで・・・めんどくせぇwww

コメントを書く

(ウェブ上には掲載しません)

トラックバック

« 新タイプの“楽器”?『Patatap』が面白すぎるので、ぜひ他の方の演奏も楽しみたい! | トップページ | Twitterで応答が速いダイス(サイコロ)botを作ってみた »

戻るリンク追加

カレンダー

2020年3月
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

ココログカレンダーPlus(旧2)

検索


    • Web全体 サイト内
    • 蔵書のISBNを入力して下さい
    • はじめる前
      初級者向け
      上級者向け
      ブログ紹介
      結果を表示

コメントリストツリー化

無料ブログはココログ