企業法務、個人情報保護、コンプライアンス、内部監査、IT・AI・データ法務で迷いやすい該当性判断を、定義、手順、具体例、契約、漏えい対応まで体系的に整理します。
まず、個人情報、個人データ、保有個人データの位置関係と実務上の分岐点を整理します。
まず、個人情報、個人データ、保有個人データの位置関係と実務上の分岐点を整理します。
個人データと個人情報の違いと該当性は、個人情報保護法を理解するうえで基本となる論点です。個人情報は、生存する個人に関する情報で、氏名などにより特定の個人を識別できるもの、または個人識別符号が含まれるものです。個人データは、その個人情報のうち、検索可能な個人情報データベース等を構成するものです。
この違いは用語整理にとどまりません。個人データになると、安全管理措置、従業者・委託先の監督、漏えい等報告、第三者提供規制、外国第三者提供規制、第三者提供記録・確認義務などが本格的に問題になります。さらに保有個人データに当たると、開示、訂正、利用停止、第三者提供停止などの本人請求対応も加わります。
次の整理は、概念の階層と義務がどこで重くなるかを表しています。読者にとって重要なのは、上位概念から順に確認することで、漏えい対応、外部提供、本人請求対応の判断を取り違えにくくなる点です。下に進むほど、管理体制や契約で確認すべき事項が増えると読み取ってください。
法人情報、統計情報、機械データなどと切り分けます。
特定個人を識別できる情報、または個人識別符号を含む情報です。
検索可能な個人情報データベース等を構成する個人情報です。
事業者が開示、訂正、利用停止等に応じる権限を有する個人データです。
次の比較は、企業法務が最初に確認する二つの問いを表しています。なぜ重要かというと、個人情報の段階で問題になる義務と、個人データになってから問題になる義務が異なるためです。まず識別可能性を見て、次に検索可能な体系的集合物に入っているかを確認する、という順番を読み取ってください。
| 判断段階 | 問い | 概念 | 実務上の意味 |
|---|---|---|---|
| 第1段階 | 生存する個人に関する情報で、特定個人を識別できるか、または個人識別符号を含むかを確認します。 | 個人情報 | 取得、利用目的、目的外利用、適正取得、利用目的通知・公表などが問題になります。 |
| 第2段階 | その個人情報が、検索可能な体系的集合物である個人情報データベース等を構成しているかを確認します。 | 個人データ | 安全管理措置、漏えい等報告、第三者提供、委託先監督などが本格的に問題になります。 |
実務では、「氏名があるか」だけでは足りません。生存する個人に関する情報か、単体または容易照合で識別できるか、個人識別符号が含まれるか、検索可能なデータベースや台帳を構成しているか、事業の用に供しているか、本人請求に応じる権限があるか、特別類型に該当しないかを順に確認します。
個人情報、個人情報データベース等、個人データ、保有個人データの定義を順番に確認します。
個人情報は、生存する個人に関する情報で、特定の個人を識別できるもの、または個人識別符号が含まれるものです。氏名、生年月日、住所、性別、顔画像のような典型例だけでなく、身体、財産、職種、肩書、評価、判断などを表す情報も、個人に関する情報に含まれ得ます。
個人情報は秘密情報に限られません。公開されている役員略歴、ウェブサイト上の講演者プロフィール、新聞記事に掲載された氏名、SNSで本人が公表している肩書なども、特定の個人を識別できる限り、個人情報になり得ます。
死者そのものに関する情報は、原則として個人情報ではないと整理されます。ただし、死者に関する情報が同時に遺族その他の生存する個人に関する情報でもある場合には、その生存する個人との関係で個人情報に該当し得ます。外国人の情報も、国内企業が取り扱う場合には日本法上の個人情報該当性が問題になります。
次の比較は、法人情報と個人情報の境界で迷いやすい情報を表しています。BtoBの現場では法人情報と担当者情報が混在しやすいため、どの情報が自然人に結び付くかを読み取ることが重要です。
| 情報 | 個人情報該当性の考え方 |
|---|---|
| 株式会社Aの代表取締役Bの氏名・経歴 | Bという生存する個人を識別できるため、個人情報になり得ます。 |
| 取引先担当者Cの会社メールアドレス | Cを識別できる場合は、個人情報になり得ます。 |
| 会社代表電話番号 | 特定個人を識別しない限り、通常は個人情報ではありません。 |
| 部署共通メール sales@example.co.jp | 特定個人を識別しない限り、通常は個人情報ではありません。 |
| 名刺に記載された氏名、所属、役職、メールアドレス | 通常、個人情報に該当します。 |
個人情報該当性の中心は、特定の個人を識別できるかどうかです。本人の氏名、顔画像、本人が判別できる映像、氏名を含む音声録音、個人を特定できるメールアドレスなどは、情報単体で識別できる典型例です。
また、情報単体では氏名が分からなくても、他の情報と容易に照合でき、それにより特定個人を識別できる場合があります。たとえば、顧客IDだけでは本人が分からなくても、同じ会社内で顧客IDと氏名の対応表を容易に参照できるなら、その顧客IDに紐づく購買履歴や問い合わせ履歴は個人情報に該当し得ます。
個人識別符号は、情報単体から特定の個人を識別できるものとして政令で定められた文字、番号、記号その他の符号です。DNA塩基配列、顔、指紋、虹彩、声紋、歩行態様、手指静脈、掌紋などの身体特徴を電子計算機用に変換した符号のうち、一定基準を満たすものなどが問題になります。
顔認証テンプレート、指紋認証テンプレート、声紋認証データなどは、画像や音声そのものとは別に個人識別符号該当性を検討する必要があります。従業員の入退室管理、勤怠管理、PCログイン認証、店舗の顔識別カメラ、金融・医療・ヘルスケアサービスでは、高度な管理が必要になりやすい領域です。
個人情報データベース等は、個人情報を含む情報の集合物で、特定の個人情報をコンピュータで検索できるよう体系的に構成したもの、または紙であっても一定の規則に従って整理され、目次、索引、符号などにより容易に検索できるものです。電子メールソフトのアドレス帳、ユーザーIDで整理されたログ情報、名刺情報を表計算ソフトに入力・整理したもの、登録票を五十音順インデックスで整理したものなどが典型です。
ここでのポイントは、大量にあることではなく、検索可能性と体系性です。10件でも検索可能なCRMなら個人情報データベース等になり得ます。一方、1万件のアンケートはがきでも、氏名・住所等で分類整理されず容易に検索できない状態なら、直ちに個人情報データベース等とはいえない場合があります。
個人データは、個人情報データベース等を構成する個人情報です。個人情報 + 個人情報データベース等を構成している情報 = 個人データ、という式で整理できます。紙の申込書が未整理のまま保管されている段階では個人データではない可能性がありますが、顧客管理システムに入力した時点や、五十音順索引付きの紙台帳に整理した時点で個人データになる可能性があります。
次の比較は、入力前帳票、システム入力後、出力物、持出し媒体、紙台帳の違いを表しています。漏えい対応では形式的な媒体よりも、検索可能な集合物を構成するか、またはデータ化予定があるかが重要です。〇と△の差から、管理水準を下げてよい場面ではなく、早い段階から個人データ相当の管理を検討すべき場面を読み取ってください。
| 場面 | 個人情報 | 個人データ | 実務上の留意点 |
|---|---|---|---|
| 入力前の申込書が未整理で保管されている | 〇 | △ | 取得予定・データ化予定がある場合、管理上は個人データ相当で扱うことが安全です。 |
| 顧客管理システムに入力された情報 | 〇 | 〇 | 安全管理措置、漏えい等報告、第三者提供規制などが問題になります。 |
| 顧客管理システムから出力したPDF一覧 | 〇 | 〇 | 出力物も個人データに該当し得ます。 |
| CRMから抽出したCSVをUSBに保存 | 〇 | 〇 | 持出し、暗号化、アクセス権限、ログ管理が必要になります。 |
| 氏名順に整理された紙台帳 | 〇 | 〇 | 紙でも検索可能なら個人データになり得ます。 |
保有個人データは、個人データのうち、個人情報取扱事業者が開示、内容の訂正・追加・削除、利用停止、消去、第三者提供停止などに応じることのできる権限を有するものです。個人情報、個人データ、保有個人データの関係は、個人情報 ⊃ 個人データ ⊃ 保有個人データです。
委託先が個人データを取り扱っていても、開示・訂正・利用停止等に応じる権限を持たない場合、委託先にとって保有個人データに該当しないことがあります。一方、委託元企業は本人対応を行う権限を有することが多く、保有個人データとしての公表事項、本人確認、請求受付、検索・抽出、第三者提供記録の開示、不開示時の理由説明、期限管理などを整備する必要があります。
要配慮個人情報、個人関連情報、仮名加工情報、匿名加工情報を、基本概念との関係で整理します。
個人情報と個人データの判断では、特別類型を見落とさないことが重要です。なぜなら、通常の個人情報・個人データとしての義務に加えて、取得同意、第三者提供、加工方法、提供先管理、再識別リスクなどの追加確認が必要になるためです。次の一覧では、各類型がどの場面で問題になるかを読み取ってください。
人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害の事実、障害、健康診断結果、医師等による指導・診療・調剤など、取扱いに特に配慮を要する情報です。原則として取得や第三者提供に本人同意が必要とされ、オプトアウト提供は認められていません。
生存する個人に関する情報で、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しない情報です。Cookie、広告ID、閲覧履歴、位置情報、興味関心情報などが、提供先で個人データとして取得されることが想定される場面で重要になります。
個人情報を加工し、他の情報と照合しない限り特定の個人を識別できないようにした個人に関する情報です。対応表などの照合情報が残るため、匿名ではなく、利用目的、第三者提供制限、照合情報管理を設計する必要があります。
個人情報を加工し、特定の個人を識別できず、復元もできないようにした個人に関する情報です。単なる氏名削除、仮ID化、ハッシュ化とは異なり、法令・ガイドラインに沿った加工、安全管理、公表、明示、識別行為禁止などの要件が問題になります。
医療、ヘルスケア、保険、人事労務、採用、障害者雇用、金融犯罪対策、不祥事調査では要配慮個人情報が問題になりやすいです。広告配信、DMP、アプリ解析、位置情報マーケティング、データクリーンルーム、外部ID連携では、個人関連情報の提供先確認が重要になります。研究開発、AIモデル改善、不正検知、サービス改善、行動分析、内部監査では、仮名加工情報や匿名加工情報の設計が問題になります。
情報単位で切り出し、識別可能性、データベース性、保有個人データ、特別類型を順番に確認します。
該当性判断では、データベース全体ではなく、項目、レコード、ファイル、ログ、出力帳票、バックアップ、添付ファイル、APIレスポンス、AI学習データなどの情報単位で検討します。CRMであれば、顧客ID、氏名、メールアドレス、電話番号、会社名、部署・役職、商談履歴、購買履歴、契約書PDF、通話録音、サポートチケット、アクセスログなどを分けて見る必要があります。
次の手順図は、企業内で該当性を判断する順番を表しています。なぜ重要かというと、前の段階を飛ばして外部提供や漏えい報告だけを検討すると、個人関連情報や保有個人データの論点を見落としやすいためです。上から順に進み、最後に特別類型と業法上の規律を確認する流れを読み取ってください。
項目、ファイル、ログ、帳票、出力物などに分けます。
法人情報、統計情報、機械データと混在していないかを見ます。
単体識別と容易照合の両方を確認します。
顔特徴量、指紋、免許証番号、マイナンバーなどを確認します。
CRM、台帳、表計算、紙の索引などの検索可能性を見ます。
開示、訂正、利用停止等に応じる権限を確認します。
要配慮個人情報、個人関連情報、仮名加工情報、匿名加工情報などを確認します。
次の一覧は、識別可能性を判断するときによく出る情報と判断の方向性を表しています。データ項目ごとの性質が違うため、同じシステム内でも一律に扱わないことが重要です。氏名の有無だけでなく、対応表やログイン情報と照合できるかを読み取ってください。
| 情報 | 判断の方向性 |
|---|---|
| 氏名 | 原則として個人情報です。 |
| 氏名 + 会社名 + 部署 | 個人情報に該当します。 |
| 顔が判別できる写真・動画 | 個人情報に該当します。 |
| 顧客IDのみ | 対応表と容易照合できるなら個人情報になり得ます。 |
| Cookie IDのみ | 自社で特定個人を識別できなければ個人情報でない可能性があります。ただし個人関連情報や提供先での個人データ化に注意が必要です。 |
| メールアドレス | 氏名・所属等が推認できる場合や対応表がある場合は個人情報になり得ます。 |
| IPアドレス | 単体では常に個人情報とは限りませんが、ログインID等と容易照合できる場合は個人情報になり得ます。 |
| 位置情報 | 単発では個人情報でない場合もありますが、連続蓄積により個人を識別できる場合は個人情報になり得ます。 |
| 統計化された年代別購買割合 | 特定個人との対応関係が排斥されていれば個人情報ではありません。 |
検索可能な体系的集合物を構成しているかは、CRM、SFA、MAツール、名刺管理ツール、EC会員DB、アプリ会員DB、予約管理DB、採用管理システム、従業員台帳、給与計算システム、問い合わせ管理表、クレーム台帳、事故報告台帳、株主名簿、研修受講者リスト、紙の五十音順ファイルなどを確認します。
保有個人データかどうかは、会社が本人対応窓口を持っているか、開示・訂正・削除・停止を決定できるか、委託元・委託先のどちらが本人対応権限を持つか、法令保存義務があるか、存否を明らかにすることで本人・第三者の生命身体財産や公共安全などに支障が生じる例外に当たらないかを確認します。
名刺、フォーム、採用、人事、Cookie、M&A、AIなど、企業法務で迷いやすい場面を整理します。
次の一覧は、企業実務で頻出する場面ごとの該当性と対応ポイントを表しています。なぜ重要かというと、同じ個人情報でも、名刺入れ、名刺管理アプリ、CRM、データルーム、AI学習用データセットなど、管理状態によって個人データ該当性が変わるためです。各項目では、情報の性質と管理状態の両方を読み取ってください。
氏名、会社名、部署、役職、電話番号、メールアドレスは通常、個人情報です。営業担当者が自分の名刺入れに入れているだけなら個人データでない可能性がありますが、名刺管理アプリに取り込み会社全体で検索可能にすれば、個人データになる可能性が高いです。
氏名、メールアドレス、相談内容は送信時点で通常は個人情報です。問い合わせ管理システムやCRMに自動登録される場合は個人データになります。入力ページ改ざんでは、データ化予定の有無も漏えい等対応で重要です。
履歴書、職務経歴書、ポートフォリオ、面接評価、適性検査、リファレンスチェック結果は、通常、応募者本人の個人情報です。採用管理システムに登録されれば個人データになり、健康情報などが含まれる場合は要配慮個人情報も確認します。
氏名、住所、家族情報、給与、評価、勤怠、健康診断結果、ストレスチェック、懲戒、ハラスメント相談、休職、労災、社会保険、税務、退職情報は典型的な個人情報です。人事システムや労務台帳を構成すれば個人データです。
担当者氏名、部署、役職、会社メールアドレス、商談履歴、契約交渉メモ、クレーム履歴、接待履歴、反社チェック結果などは、取引先法人の情報であると同時に担当者個人に関する情報です。
本人が判別できる映像は個人情報に該当し得ます。日時、場所、カメラ番号、人物特徴、顔認証結果などにより検索可能に整理される場合、個人データに該当する可能性があります。
Cookie、広告ID、端末ID、IPアドレス、閲覧履歴、位置情報は、それ自体で常に個人情報になるわけではありません。ただし、会員ID、メールアドレス、電話番号、ログイン情報、購買履歴と容易に照合できる場合は個人情報になり得ます。
従業員リスト、役員報酬、顧客リスト、取引先担当者、訴訟資料、ハラスメント調査資料、労務紛争資料、医療・保険関連情報、反社チェック資料など、多くの個人データがデータルームで問題になります。
AI開発、機械学習、レコメンド、不正検知、チャットボット改善、音声解析、画像解析では、入力データ、学習データ、評価データ、ログ、プロンプト、出力結果、フィードバックデータの各段階で該当性が変わり得ます。
名刺交換では、商談・連絡・案内送付が通常想定されやすい一方、マーケティングメール配信、グループ会社共同利用、外部MAツール連携、広告配信連携を行うなら、プライバシーポリシーや名刺管理運用規程で明確化します。問い合わせフォームでは、WAF、改ざん検知、送信先監視、TLS、管理画面アクセス制御、reCAPTCHA、ログ監査、委託先監督を検討します。
採用では、採用目的、選考連絡、入社手続、将来採用案内、タレントプール登録、外部適性検査、リファレンスチェック、採用代行委託、海外グループ共有などを明確にします。従業員情報では、労働法、労働安全衛生法、税法、社会保険法令、マイナンバー法、就業規則、労使協定、社内規程との整合性が重要です。
Cookie・広告IDでは、Cookie表示だけでなく、個人情報保護法、電気通信事業法、景品表示法、プラットフォーム規約、広告配信事業者契約、CMP設定、同意ログ、オプトアウト導線を確認します。AI利用では、AI利用規程、データ分類、学習利用の利用目的、委託・共同利用・第三者提供、外国移転、モデル出力への個人情報混入、プロンプトログ保存、再識別リスク、削除請求対応を検討します。
個人情報、個人データ、保有個人データの各段階で、企業が確認すべき義務を比較します。
次の表は、個人情報の段階で問題になる主な義務を表しています。ここでは、データベース化の前でも、取得と利用目的に関する規律が出発点になる点が重要です。各義務が、取得時の表示、社内利用、要配慮個人情報の取得可否にどう関わるかを読み取ってください。
| 義務 | 実務上の意味 |
|---|---|
| 利用目的の特定 | 何のために利用するかを、本人が合理的に想定できる程度に具体化します。 |
| 利用目的による制限 | 特定した利用目的の達成に必要な範囲を超えて利用しないよう管理します。 |
| 不適正利用の禁止 | 違法・不当な行為を助長・誘発するおそれがある方法で利用しないよう確認します。 |
| 適正取得 | 偽りその他不正の手段により取得しないよう取得経路を確認します。 |
| 利用目的の通知・公表 | 取得時に利用目的を通知または公表し、直接書面取得では原則として明示します。 |
| 要配慮個人情報の取得規制 | 原則として本人同意が必要になるため、取得項目と同意導線を確認します。 |
次の表は、個人データになると加わる主な義務を表しています。個人データ該当性が重要なのは、管理措置、監督、報告、提供、記録といった運用負荷が一気に増えるためです。どの義務がシステム管理、委託先管理、インシデント対応に直結するかを読み取ってください。
| 義務 | 実務上の意味 |
|---|---|
| データ内容の正確性確保等 | 利用目的の達成に必要な範囲で正確・最新に保ち、不要になれば遅滞なく消去するよう努めます。 |
| 安全管理措置 | 漏えい、滅失、毀損防止等のため、リスクに応じた必要かつ適切な措置を講じます。 |
| 従業者の監督 | 正社員だけでなく、契約社員、嘱託社員、パート、アルバイト、役員、派遣社員なども含めて監督します。 |
| 委託先の監督 | 取扱いを委託する場合、契約、監査、報告、再委託管理などを通じて必要かつ適切な監督を行います。 |
| 漏えい等報告・本人通知 | 報告対象事態が生じた場合、個人情報保護委員会への報告・本人通知を検討します。 |
| 第三者提供制限 | 原則として、あらかじめ本人同意なく第三者提供しないよう確認します。 |
| 外国第三者提供制限 | 外国にある第三者への提供では、追加の同意、情報提供、相当措置確認が問題になります。 |
| 第三者提供記録・確認 | 提供時・受領時の記録作成、保存、確認を運用に組み込みます。 |
次の表は、保有個人データになると加わる本人請求対応を表しています。保有個人データの判断を見落とすと、プライバシーポリシー、本人確認、検索・抽出、回答期限、理由説明が不足します。本人対応に必要な窓口と裏側のデータ検索体制を読み取ってください。
| 義務 | 実務上の意味 |
|---|---|
| 公表等 | 事業者名、利用目的、請求手続等を本人の知り得る状態に置きます。 |
| 開示 | 本人からの請求に応じ、保有個人データを開示するための手続を整えます。 |
| 第三者提供記録の開示 | 第三者提供記録について、検索と回答の方法を整えます。 |
| 訂正等 | 内容が事実でない場合等に訂正・追加・削除を検討します。 |
| 利用停止等 | 法違反取得、目的外利用、不適正利用、不要化等に応じて停止・消去を検討します。 |
| 第三者提供停止 | 違法な第三者提供等がある場合に停止を検討します。 |
| 理由説明 | 全部または一部対応しない場合に理由説明に努めます。 |
第三者提供、委託、共同利用、事業承継を、同じ外部共有として一括りにせず分類します。
個人データを外部に共有する場面では、第三者提供、委託、共同利用、事業承継を区別します。なぜ重要かというと、同じ外部共有でも、本人同意の要否、通知・公表事項、委託先監督、契約条項が異なるためです。次の判断の流れでは、共有先が第三者に当たるか、委託や共同利用として整理できるかを読み取ってください。
メール送信、共有リンク、API、データルーム、管理画面アカウント付与などを確認します。
発送代行、給与計算、クラウド、コールセンター、保守などを確認します。
契約、再委託、監査、事故報告、終了時消去を定めます。
本人同意、法定例外、共同利用、事業承継、外国移転を確認します。
個人データを第三者に提供する場合、原則として、あらかじめ本人の同意が必要です。ここで重要なのは、第三者提供規制の対象が原則として個人データである点です。個人情報であっても個人データでない場合には、法27条の直接対象にならないことがありますが、利用目的、適正取得、契約上の秘密保持、プライバシー侵害、不法行為、業法、本人期待との関係から、自由に提供できるとは考えにくい場面があります。
個人データの取扱いの全部または一部を、利用目的の達成に必要な範囲で委託することに伴って提供する場合、提供先は第三者に該当しない扱いになることがあります。この場合でも、委託先監督義務が課されるため、目的外利用禁止、再委託条件、安全管理措置、事故報告、監査、返還・消去などを契約に入れます。
共同利用では、共同利用する旨、共同利用される個人データの項目、共同利用者の範囲、利用目的、管理責任者の氏名・名称・住所・代表者氏名等を、本人に通知し、または本人が容易に知り得る状態に置く必要があります。グループ会社間の顧客情報共有、ポイントプログラム、共同キャンペーン、医療・介護連携などでは、本人から見て予期し得る範囲かを確認します。
合併、会社分割、事業譲渡等による事業承継に伴って個人データが提供される場合、提供先は第三者に該当しない扱いとなることがあります。ただし、承継後も承継前の利用目的の範囲内で利用する必要があります。M&Aの交渉段階では、利用目的、取扱方法、漏えい等時の措置、交渉不調時の措置を契約で定めることが重要です。
漏えい等報告の中心が個人データであること、データ化予定の情報にも注意することを整理します。
漏えい等対応では、個人データかどうかが重大な分岐になります。もっとも、取得し、または取得しようとしている個人情報で、個人データとして取り扱われる予定のものが含まれる場面にも注意が必要です。問い合わせフォーム、申込フォーム、資料請求フォーム、採用応募フォームのように送信後にDB登録される予定の情報は、入力段階でも実質的な保護対象として扱うことが安全です。
次の時系列は、漏えい等事案が発覚した後に確認する順番を表しています。なぜ重要かというと、初動で被害拡大防止、影響範囲、報告対象該当性を取り違えると、速報・確報・本人通知・委託先対応が遅れるためです。期間表示から、3〜5日、30日、60日の目安を読み取ってください。
事業者内部における報告、アクセス遮断、誤送信先への削除依頼、ログ保全、関係部署招集を行います。
漏えい、滅失、毀損、不正アクセス、誤送信、設定ミス、ランサムウェアなどの態様を確認します。
報告対象事態を知った時点から概ね3〜5日以内を目安に速報の要否を確認します。
通常の報告対象事態では、原則30日以内の確報を見据えて事実関係と再発防止策を整理します。
不正目的のおそれ等がある場合は、60日以内の確報を見据えて調査を進めます。
次の表は、事故類型ごとに個人情報・個人データ該当性と報告・通知の検討ポイントを表しています。媒体や件名だけで結論を決めず、データ化予定、検索可能性、要配慮性、権利利益侵害リスクを見ることが重要です。〇、△、×の違いから、形式的分類だけでなく実質的なリスクを読み取ってください。
| 事故類型 | 個人情報 | 個人データ | 報告・通知の検討 |
|---|---|---|---|
| 未整理の紙アンケートを紛失 | 〇 | △ | データ化予定、件数、要配慮性、権利利益侵害リスクを確認します。 |
| 顧客DBのCSVを誤送信 | 〇 | 〇 | 報告対象事態該当性を直ちに確認します。 |
| 採用管理システムが不正アクセス被害 | 〇 | 〇 | 速報、確報、本人通知、公表、委託先対応を検討します。 |
| 会社代表電話番号リスト流出 | △ | △ | 特定個人を識別する担当者情報が含まれるか確認します。 |
| 匿名化済み統計表の公開 | × | × | 再識別可能性、少数セル、組み合わせリスクを確認します。 |
| 顔認証テンプレート漏えい | 〇 | 〇 | 個人識別符号・要配慮性に準じた高リスク対応を検討します。 |
漏えいは、個人データが外部に流出することです。誤送付、誤送信、設定ミスによるインターネット上の閲覧可能状態、盗難、不正アクセスによる窃取などが典型です。毀損は、個人データの内容が意図しない形で変更されることや、内容を保ちつつ利用不能な状態になることをいいます。ランサムウェアにより個人データが暗号化され復元不能になった場合などが問題になります。
氏名、公開情報、BtoB、社内利用、クラウド、匿名化、漏えい対応について、よくある誤解を整理します。
次の一覧は、企業法務でよく見られる誤解と、確認すべき考え方を表しています。なぜ重要かというと、誤った前提でデータ分類を行うと、利用目的、委託、第三者提供、漏えい対応、本人対応の設計がずれるためです。各項目では、何を根拠に再確認すべきかを読み取ってください。
氏名がなくても、顧客ID、会員ID、端末ID、メールアドレス、顔画像、位置履歴、購買履歴などにより、単体または容易照合で特定個人を識別できれば個人情報になり得ます。
公開情報でも、特定個人を識別できれば個人情報です。公開役員情報、登壇者情報、SNS公開プロフィール、新聞記事、官報情報、登記情報に含まれる個人名等も注意が必要です。
法人そのものの情報は個人情報ではありませんが、法人担当者、役員、従業員、個人事業主に関する情報は個人情報になり得ます。
社内利用か外部提供かは、個人データ該当性の基準ではありません。検索可能な個人情報データベース等を事業に使っていれば、社内利用だけでも個人データです。
クラウド利用は、委託、第三者提供、単なる保管、外国移転、共同利用など、実態により評価が異なります。契約上の権限と運用実態を確認します。
単なる氏名削除、ID化、ハッシュ化、マスキングは、匿名加工情報とは限りません。容易照合や再識別可能性があれば、個人情報・個人データとして扱う必要があります。
法26条上の報告対象でない可能性があっても、契約違反、信頼毀損、プライバシー侵害、不法行為、労務問題、業法違反、行政対応、広報対応につながることがあります。
特に、クラウド事業者が個人データを取り扱うのか、利用権限を持つのか、再委託・海外保管があるのか、契約上の安全管理措置があるのかは、契約書と実態を合わせて確認します。匿名化についても、匿名加工情報として扱うなら、法定の加工基準、公表、明示、識別行為禁止などを満たす必要があります。
データ分類と新規サービス審査で使える確認項目を整理します。
次の表は、データマッピングや新規サービス審査で使う分類項目を表しています。なぜ重要かというと、個人情報該当性だけでなく、保有個人データ、要配慮性、外部提供、保存期間、漏えい時の報告可能性まで一つの記録で追えるためです。空欄を埋めることで、後続の契約・規程・システム権限に反映すべき点を読み取ってください。
| チェック項目 | 記録欄 |
|---|---|
| 対象データ名 | 会員登録情報、問い合わせログ、採用応募者情報などを記録します。 |
| 情報主体 | 顧客、従業員、応募者、取引先担当者、患者、株主等を記録します。 |
| 生存する個人に関する情報か | Yes / No / 不明で記録します。 |
| 単体で識別できるか | 氏名、顔画像、メールアドレス等を確認します。 |
| 容易照合により識別できるか | 対応表、会員ID、顧客ID、ログイン情報等を確認します。 |
| 個人識別符号を含むか | 顔特徴量、指紋、免許証番号等を確認します。 |
| 個人情報に該当するか | Yes / No / 要検討で記録します。 |
| 個人情報データベース等を構成するか | CRM、表計算、紙台帳、ログDB等を確認します。 |
| 個人データに該当するか | Yes / No / 要検討で記録します。 |
| 開示等に応じる権限を有するか | 委託元、委託先、共同利用責任者などの役割を確認します。 |
| 保有個人データに該当するか | Yes / No / 要検討で記録します。 |
| 要配慮個人情報を含むか | 健康、障害、犯罪、信条等を確認します。 |
| 個人関連情報に該当するか | Cookie、広告ID、閲覧履歴等を確認します。 |
| 仮名加工情報・匿名加工情報か | 加工方法、照合情報、再識別リスクを記録します。 |
| 第三者提供・委託・共同利用の有無 | 提供先、契約、同意、通知、公表を確認します。 |
| 外国移転の有無 | 国、受領者、同意、情報提供、相当措置を確認します。 |
| 保存期間・削除基準 | 法令保存、業務必要性、削除手順を確認します。 |
| アクセス権限 | 部署、担当者、委託先、管理者を記録します。 |
| 漏えい時の報告対象可能性 | 要配慮、財産的被害、不正アクセス、件数等を確認します。 |
NDA、委託契約、M&A、SaaS契約で、個人データの取扱いを実装します。
NDAだけでは、個人データ取扱いに必要な利用目的、アクセス制御、再委託、外国移転、削除、監査、インシデント報告、本人請求対応を十分にカバーできないことがあります。個人データを外部に預ける場合は、秘密保持だけでなく、個人情報保護法上の委託先監督や安全管理措置を契約に反映します。
次の表は、委託契約に入れる条項の骨子を表しています。なぜ重要かというと、委託先に個人データを渡す場面では、本人同意の要否よりも、委託業務の範囲と監督義務の実装が中心になることが多いためです。各条項から、目的外利用、再委託、事故報告、終了時消去をどこで縛るかを読み取ってください。
| 条項 | 確認内容 |
|---|---|
| 目的 | 受託者は、委託業務の遂行に必要な範囲でのみ個人データを取り扱うことを定めます。 |
| 目的外利用の禁止 | 受託者は、委託者の事前書面承諾なく、委託業務以外の目的で個人データを利用しないことを定めます。 |
| 安全管理措置 | 個人情報保護法、ガイドライン、委託者の情報セキュリティ基準に従い、必要かつ適切な安全管理措置を講じることを定めます。 |
| 再委託 | 委託者の事前承諾、再委託先への同等義務、再委託先監督、海外再委託の有無を定めます。 |
| 事故報告 | 漏えい、滅失、毀損、不正アクセス、目的外利用その他事故またはそのおそれを知ったときの報告期限、調査協力、本人通知、当局報告協力を定めます。 |
| 返還・消去 | 契約終了時または委託者の指示があった場合の返還、消去、廃棄、証跡提出を定めます。 |
SaaS契約では、標準約款だけでなく、DPA、セキュリティ資料、サブプロセッサ一覧、データ所在地、監査報告書、SOC2、ISO/IEC 27001、暗号化、バックアップ、ログ、削除仕様、AI学習利用有無を確認します。約款に「個人データを取り扱わない」と書かれていても、サポート担当が管理画面にアクセスできる、ログを解析する、海外拠点が保守する、障害解析でデータコピーを取得する場合は、契約文言と実態を一致させる必要があります。
台帳、三線管理、規程体系により、判断結果を日常運用へ反映します。
個人データ管理の出発点は、データマッピングです。どの部署が、どの個人情報を、どの目的で、どこから取得し、どこに保存し、誰に提供し、いつ削除するかを一覧化します。法務判断は、台帳、契約、規程、システム権限、監査証跡に反映されて初めて実務上の意味を持ちます。
次の表は、個人データ管理で最低限整備したい台帳を表しています。なぜ重要かというと、個人情報の取得から委託、第三者提供、外国移転、インシデント、本人請求までを分断せずに追跡できるためです。どの台帳がどのリスクを管理するかを読み取ってください。
| 台帳 | 内容 |
|---|---|
| 個人情報取扱台帳 | データ項目、利用目的、保存場所、担当部署、保存期間を記録します。 |
| 委託先台帳 | 委託業務、委託先、再委託、契約日、監査結果を記録します。 |
| 第三者提供台帳 | 提供先、提供項目、根拠、同意取得、記録保存期間を記録します。 |
| 共同利用台帳 | 共同利用者範囲、項目、利用目的、管理責任者を記録します。 |
| 外国移転台帳 | 国、受領者、移転根拠、情報提供、相当措置確認を記録します。 |
| インシデント台帳 | 発生日、発覚日、影響範囲、報告、通知、再発防止を記録します。 |
| 本人請求台帳 | 請求種別、本人確認、回答期限、対応結果を記録します。 |
次の一覧は、三線管理における役割分担を表しています。個人データは法務だけでもITだけでも管理できないため、事業部、管理部門、内部監査がそれぞれ何を見るかを明確にすることが重要です。各線が担う日常管理、規程・教育、独立検証の違いを読み取ってください。
事業部、営業、人事、マーケティング、カスタマーサポート、IT運用が、取得、利用、保存、削除、日常管理を行います。
現場運用法務、コンプライアンス、個人情報保護担当、情報セキュリティ、リスク管理が、規程、審査、教育、モニタリングを行います。
管理機能内部監査が、規程と実態の乖離、未登録SaaS、独自スプレッドシート、退職者アカウント放置、マーケティングタグ追加などを独立して検証します。
独立検証法務、プライバシー、IT、内部監査、士業など、関係者ごとの実務視点を整理します。
次の一覧は、専門職ごとの実務視点を表しています。なぜ重要かというと、個人データの判断は法令解釈だけでなく、契約、システム、監査、労務、税務、知財、M&Aの現場で具体化されるためです。各職種がどの論点を担うかを読み取ってください。
個人情報該当性、個人データ該当性、第三者提供、委託、共同利用、外国移転、漏えい等報告、本人請求、行政対応、訴訟リスクを統合的に確認します。
データマッピング、PIA、DPIA、本人請求、漏えい等対応、当局報告、Cookie同意管理、共同利用公表、外国移転管理を担います。
アクセス制御、認証、暗号化、ログ監視、脆弱性管理、バックアップ、削除、権限棚卸し、DLP、CASB、SIEM等を実装します。
委託先台帳にないSaaS利用、営業部門の独自スプレッドシート、個人PCへの名刺データ保存、退職者アカウント放置など、規程と実態の乖離を検証します。
財務DD、税務申告、給与計算、源泉徴収、マイナンバー、従業員・労務・社会保険・職務発明情報などの取扱いで、委託先または独立した個人情報取扱事業者としての役割を明確にします。
検索流入向けの確認観点と、企業法務で押さえる基本原則を整理します。
次の表は、個人データと個人情報の違いと該当性を扱うページや社内資料で確認したい品質観点を表しています。なぜ重要かというと、定義だけでなく、判断手順、具体例、義務差分、参考資料、免責の観点をそろえることで、読者が実務に落とし込みやすくなるためです。各項目から、不足しやすい説明を読み取ってください。
| 項目 | 確認内容 |
|---|---|
| タイトル | 個人データと個人情報の違いと該当性を自然に含めます。 |
| メタディスクリプション | 法令定義、違い、該当性、実務対応を簡潔に示します。 |
| 冒頭要旨 | 結論を最初に示します。 |
| 見出し | 定義、判断手順、具体例、義務差分、FAQを構造化します。 |
| 出典 | 個人情報保護委員会、e-Gov法令検索、内閣法制局などの公的情報を優先します。 |
| 更新 | 法改正・ガイドライン更新に合わせて確認します。 |
| 読者導線 | チェックリスト、具体例、契約実務、漏えい対応へ誘導します。 |
| 法的免責 | 個別案件では専門家相談が必要である旨を示します。 |
個人データと個人情報の違いと該当性を一文でまとめると、個人情報は識別可能な生存個人に関する情報で、個人データはその個人情報が検索可能な個人情報データベース等を構成した段階の情報です。
この違いは、定義論にとどまりません。個人データになると、安全管理措置、従業者監督、委託先監督、漏えい等報告、第三者提供、外国移転、記録義務が本格的に発生します。保有個人データになれば、本人請求対応が必要になります。要配慮個人情報、個人関連情報、仮名加工情報、匿名加工情報、マイナンバー、業種別規制が絡む場合には、さらに精密な判断が求められます。
次の強調事項は、企業法務で判断を運用に移すための基本原則を表しています。迷ったときの方向性を確認し、データベース性、保有個人データ、外部共有、台帳・契約・権限への反映までつなげることが重要です。
容易照合性、データベース性、事業利用、委託・共同利用・第三者提供、外国移転、保存期間、本人対応権限まで一体として確認します。
個人データと個人情報の違いについて、一般的な制度説明として回答します。
一般的には、個人情報の方が広い概念です。個人データは、個人情報のうち、個人情報データベース等を構成するものとされています。ただし、具体的なデータ分類は、情報の内容、管理状態、検索可能性、事業利用の実態によって変わる可能性があります。
一般的には、紙の申込書に氏名等が記載されていれば個人情報に当たるとされています。個人データかどうかは、検索可能な体系的集合物を構成しているかによって変わります。未整理の状態では個人データでない可能性がありますが、五十音順、顧客番号順、索引付きで整理されれば個人データになり得ます。
一般的には、氏名、メールアドレス、顧客ID等により特定個人を識別でき、検索・並べ替え・抽出が可能なExcelファイルであれば、個人情報データベース等を構成し、個人データに該当する可能性が高いと考えられます。具体的には項目、権限、保存場所、利用目的を確認する必要があります。
一般的には、名刺1枚は個人情報に当たるとされています。個人データかどうかは管理状態によって変わります。名刺管理アプリや会社共有DBに取り込まれれば個人データになり得ますが、個別の状況は検索可能性や共有範囲を確認する必要があります。
一般的には、顧客ID単体で本人が分からなくても、会社が顧客IDと氏名等の対応表を容易に照合できるなら、個人情報になり得ます。購買履歴、問い合わせ履歴、行動ログも、顧客IDを通じて本人と紐づくなら個人情報・個人データとして扱う必要があります。
一般的には、Cookieや広告IDは、それ自体で常に個人情報になるわけではありません。ただし、会員IDやメールアドレス等と容易に照合できる場合は個人情報になり得ます。個人情報に該当しない場合でも、個人関連情報として第三者提供規制が問題になることがあります。
一般的には、特定の担当者を識別できるメールアドレスであれば、個人情報に該当し得ます。たとえば、氏名や氏名のローマ字が含まれる会社メールアドレスは、個人情報と判断されやすいです。部署共通アドレスなどは、特定個人を識別するかを確認する必要があります。
一般的には、利用目的の達成に必要な範囲内で個人データの取扱いを委託する場合、提供先は第三者に該当しないため、第三者提供同意が不要となる場合があります。ただし、委託先監督義務があるため、契約、監査、再委託管理、安全管理措置を整える必要があります。
一般的には、法26条の漏えい等報告は個人データの漏えい等を中心にしています。ただし、一定の場合には、取得し、または取得しようとしている個人情報で個人データとして取り扱われる予定のものが含まれる可能性があります。具体的には、データ化予定、漏えい態様、権利利益侵害リスクを確認する必要があります。
一般的には、匿名加工情報は個人情報そのものとは別の制度ですが、作成、提供、識別行為禁止等の規律があります。単に氏名を削除しただけでは匿名加工情報とは限りません。匿名加工情報として扱うには、法令・ガイドラインに沿った加工と運用を確認する必要があります。