利用者の意図しないところで、個人情報が悪用されるケースが後を絶たない。個人情報を守るには、どうすればいいのか。4人の専門家に5つのテーマごとに話を聞いた。第1回は「個人情報の定義」について――。(全5回)

個人情報の定義がどんどん矮小化

そもそも、個人情報とは何だろうか。個人情報保護に詳しい弁護士の板倉陽一郎氏に聞いた。

※写真はイメージです(写真=iStock.com/taa22)

「個人情報とは(民間の)個人情報保護法によると、次のいずれかに該当するもののことです。

・生きている個人に関する情報で、その情報に含まれる氏名・生年月日やその他の記述によって特定の個人を識別できるもの

・生きている個人に関する情報で、個人識別符号(DNA、指紋、声紋、顔、歩くときの姿勢や歩幅など身体的な特徴を示す情報)が含まれるもの

氏名だけが個人情報、というわけではないのは定義を見ていただければわかると思います。例えば、生年月日は、それ単独では特定の個人を識別できず、他の情報と相まって『特定の個人を識別することができるもの』となります」

だが、個人情報保護法や保護政策に詳しい鈴木正朝新潟大学教授によれば、個人情報の定義が誤解されていることが多いという。

「15年ほど前に民間向けの個人情報保護法ができて、今やこの法律は社会人の必須知識の1つになりました。その際に個人情報の定義である『特定個人の識別ってなんだろう』という疑問を消化できなかった現場では、わかりやすさを優先して、『氏名がわかることだ』とまで矮小化してしまった。そうして、『氏名がわからなければ問題ない』という誤った解釈が流布し一部に定着してしまった感があります」

板倉弁護士も同意する。

「氏名や住所など単一の情報が漏れただけでは、大きな被害があるわけではありません。それより購買履歴などから自分自身の『属性』が勝手に推知され、差別されることのほうが恐ろしいのです」

では、その取り扱いの安全性はどう担保されるのか。

「個人情報保護法では次のルールがあります。『あらかじめ利用目的をできる限り特定しておき、個人情報を取得する際にこれを本人に通知、公表などしたうえで、その利用目的の範囲内でのみ個人情報を取り扱う必要がある』。

つまり、個人情報の取得においては、利用目的を通知、公表していれば同意は必要ではありません」(板倉弁護士)

一方で、詳しくは後述するが、個人情報の第三者への提供については、「原則として、本人の同意がない限りできない」と定められている。この第三者とは、個人情報の持ち主である本人と、その個人情報を取り扱う事業者以外のすべての人、事業者を指す。つまり、同じグループ会社や子会社も第三者であり、本人の同意が必要というわけだ。ただし、委託先への提供、共同利用、事業承継の場合は例外とされ、この例外が「悪用」されることもある。

個人情報の取得においては、利用目的を通知、公表していれば同意は必要ではない

板倉陽一郎
ひかり総合法律事務所パートナー弁護士
消費者庁消費者制度課個人情報保護推進室、政策企画専門官などを経て、16年より現職。