開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2018/07/24

パーソナルデータとは何か? 個人情報との違いや定義を解説する

近年、金融、情報通信をはじめあらゆるビジネス分野で、ビッグデータの利活用についての検討が進められています。「パーソナルデータ」という用語はこうしたデータ活用の促進の文脈の中で比較的幅広い概念で用いられています。そこで、本稿ではパーソナルデータについて、いわゆる個人情報との違いや、今後のビッグデータとしての利活用に向けた展望について解説します。

EYアドバイザリー・アンド・コンサルティング株式会社 梅澤 泉

EYアドバイザリー・アンド・コンサルティング株式会社 梅澤 泉

公認会計士/公認情報システム監査人/公認不正検査士。金融機関、製造業、小売業、サービス業等の会計監査を経て、個人情報保護をはじめとする情報セキュリティ監査や情報システムの企画・開発・運用に係るシステム監査に従事。日本公認会計士協会情報セキュリティ等対応専門委員会委員、ITアシュアランス専門委員会委員。

photo
ビッグデータ利活用のため、パーソナルデータについて正しく理解しておきたい
(© ra2 studio – Fotolia)


個人情報を含む、より広範囲なデータを意味する

 パーソナルデータという用語は法令で明確に定められているわけではありませんが、総務省が発行している『平成29年版 情報通信白書』の中では以下のように定義されています。

「パーソナルデータ」は、個人の属性情報、移動・行動・購買履歴、ウェアラブル機器から収集された個人情報を含む。また、(…中略…)『改正個人情報保護法』においてビッグデータの適正な利活用に資する環境整備のために「匿名加工情報」の制度が設けられたことを踏まえ、特定の個人を識別できないように加工された人流情報、商品情報等も含まれる。そのため、(…中略…)「パーソナルデータ」とは、個人情報に加え、個人情報との境界が曖昧なものを含む、個人と関係性が見出される広範囲の情報を指すものとする。

 日本では2017年5月より改正個人情報保護法(以下「改正法」という)(注2)が施行されたところですが、この中では「個人情報」「個人データ」「保有個人データ」と分類されています。

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

(1) 当該情報に含まれる氏名、生年月日その他の記述等に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

(2) 個人識別符号が含まれるもの
注2:個人情報保護法(改正法)第2条(第1項)※一部の括弧書きは省略

 改正法での「個人情報」の定義は、「(氏名、生年月日その他の記述等により)特定の個人を識別することができるもの」であり、パーソナルデータは改正法で定める個人情報を含んだ、より広範囲な情報(データ)を意味していることになります。

画像
日本の改正法における個人情報の分類

 また、個人情報保護委員会の事務局レポート「匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」においても、「個人情報を含むパーソナルデータ」という書き出しから始まっており、「(特定の個人が識別されるかを問わない)個人に関するデータ」という意味合いで用いられていることがわかります。

画像
個人情報保護委員会もパーソナルデータを個人情報よりも広い概念として捉えている

 なお、2018年5月25日施行のEU一般データ保護規則(General Data Protection Regulation、以下「GDPR」)においても、“Personal data”という用語が定められています。GDPRにおけるPersonal dataは「識別された又は識別され得る自然人に関するあらゆる情報」(注3)と示されます。

 ここには位置データやcookie、広告IDなども含まれていることから、日本の改正法における「個人情報」よりも概念が広く、上述した情報通信白書が定義するパーソナルデータに近いものとなっています。

「個人データ」とは、識別された又は識別され得る自然人(以下「データ主体」という。)に関するあらゆる情報を意味する。識別され得る自然人は、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子、又は当該自然人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照することによって、直接的に又は間接的に、識別され得る者をいう。
注3:GDPR 第4条(1)
画像
改正法の「個人情報」とGDPRの“Personal data”との例示比較

ビッグデータ利活用を促進する「匿名加工情報」とは

 匿名加工情報は、改正法(注4)において制定され、法律やガイドラインで定められた匿名加工を施すことで、本人同意の必要なく、当初の利用目的を越えた利活用や第三者提供が可能になりました。

この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
注4:個人情報保護法第2条(第9項)

 すなわち、匿名加工情報は個人情報には該当しないことから、個人情報としての制約を受けることなくデータを流通させ活用していくことが役割として期待されています。ただし、匿名加工情報の取扱いにあたっては、改正法の中で、「作成方法の遵守」「漏えい防止措置の実施」などいくつかの取決めが定められていることに注意が必要です。

画像
改正法が定める匿名加工情報に関する規制事項

 匿名加工情報に関しては、どのようなプロセスを経て個人情報から生成されるのか、また、生成以降個人を識別できない状態を維持しながら安全管理を確保しつつ流通させていくことができるかどうか、といった点が課題となります。

 こうした論点が整理され、匿名加工情報の活用が実務面において定着するようになるかどうかが、パーソナルデータの利活用の発展にとっての一つの鍵となってくるといえます。

【次ページ】パーソナルデータの利活用に関する課題

お勧め記事

国際標準化 ジャンルのセミナー

国際標準化 ジャンルのトピックス

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!