メアドや携帯番号は個人情報ではない?
5月30日から、改正個人情報保護法が全面施行され、これまで対象外だった小規模取扱事業者(5000人以下の個人情報を取り扱う事業者)にも同法が適用されるようになる。中小企業は、早急な対応が必要だ。
従来から適用対象だった企業ものんびりしていられない。影島広泰弁護士は次のようにアドバイスする。
「個人情報保護法が成立して14年。担当者が異動になったりIT技術の複雑化などで、勘違いをしたまま管理をしている企業が目立ち始めています」
よくある勘違いは、対象になる情報の種類だ。個人情報は「特定の個人を識別できる情報」を指す。個人情報といえば氏名や住所と考える人も多いが、それ以外でも個人を特定できる情報は保護の対象になる。
たとえば、今回の改正で明確化された「個人識別符号」も、個人情報に含まれる。個人識別符号は、大きく分けて2つ。顔認証や指紋認証などに使われる生体認証データ、そしてパスポート番号やマイナンバーなどの公的な番号だ。これらはいままでグレーな扱いだったが、今後は個人情報として管理する必要が生じる。
一方、同じくグレーでありながら、今回は個人識別符号とならなかった情報もある。メールアドレスや携帯電話番号だ。これらの情報単体では個人を特定できない場合があるからだ。ただし、取り扱いには要注意だ。
「メールアドレスに氏名が入っているものは個人を特定できるので個人情報にあたります。そういったメールアドレスが紛れ込むことを考えると、実務ではすべて個人情報として取り扱わざるをえません。携帯電話番号も、普通は名前と一緒に管理するはずなので、要注意です」