ISMS, プライバシーマークに関するさまざまな資料と役立つリンク集

JIS Q 15001対応|個人情報・個人データ・保有個人データの定義と違いを実務視点で解説

更新日:2024/08/18 (公開日:2009/07/13)
Pマーク解説資料.  4,960 views
※本記事は、ISM Web store が作成・検証したものです。

プライバシーマーク(Pマーク)の取得や適切な個人情報保護マネジメントシステム(PMS)の運用において、すべての出発点となるのが「個人情報とは何か」という定義を正しく理解することです。

しかし、法律やJIS規格の原文は複雑で、個人データ」や「保有個人データ」との違いに迷う方も少なくありません。

本記事では、JIS Q 15001や個人情報保護法に基づき、これら重要用語の定義と区別を、実務ですぐに役立つよう分かりやすく整理して解説します。

目次

Pマーク・個人情報保護法における個人情報、個人データ、保有個人データの違いと定義の全体図(図解)

1. 個人情報とは?(生存者と死者の扱い・容易照合性)

「個人情報」とは、生存する個人に関する情報であって、氏名や生年月日などにより特定の個人を識別できるものを指します。

💡【ポイント】他の情報との「容易照合性」

単体では個人を特定できない情報(例:社員番号や記号)であっても、「他の情報と容易に照合することができ、それにより特定の個人を識別できるもの」であれば、それも個人情報に該当します。

⚠️ JIS Q 15001(Pマーク)における「死者」の情報の扱い

個人情報保護法では「生存する個人」に限定されていますが、JIS Q 15001(Pマーク)のPMS運用においては、原則として個人の生死に関わらず対象情報として捉えるため、法律よりも広くカバーする必要があります。
ただし、同意取得や本人への通知といった要求事項は、実務上「生存者」を前提としています。一方で、リスクアセスメント(安全管理措置)の観点では、死者の情報の漏えいリスクや遺族への配慮も含め、適切に管理することが求められます。

2. 個人情報データベース等とは?(名刺の扱いなど)

個人情報を含む情報の集合物であり、特定の個人情報をコンピュータ等で容易に検索できるように体系的に構成したものをいいます。

身近な例として、Excelで作成した顧客名簿だけでなく、「五十音順に整理され、誰もが容易に検索できる状態の名刺フォルダー」も個人情報データベース等に該当するという判断がなされています。紙媒体であっても規則的に整理されていれば対象となる点に注意が必要です。

【具体的な事例】

  • ExcelやAccessなどで作成した、検索可能な「顧客管理名簿」や「従業員名簿」
  • PCやスマホの連絡先アプリに登録されている「アドレス帳」
  • 【紙媒体の例】 五十音順(あいうえお順)に並べ替え、インデックスを貼って誰もが容易に検索できるように整理された「名刺フォルダー」や「バインダー式の契約書ファイル」

※単に机の引き出しにバラバラに入っているだけの名刺や、時系列で脈絡なくメモしたノートなどは、容易に検索できないため「データベース等」には該当しないと判断される傾向にあります。

3. 個人データとは?

上記で解説した「個人情報データベース等を構成する個人情報」のことです。

データベース化される前のバラバラな情報(散在情報)は単なる「個人情報」ですが、ひとたび検索可能な名簿やシステムに組み込まれると「個人データ」となり、漏えい時の報告義務など、取り扱い上の厳しいルールが適用されます。

【具体的な事例】

  • 顧客管理システム(CRM)から検索・表示した「特定の顧客の住所や電話番号」
  • 社内サーバーのExcel名簿に載っている「社員の顔写真データや生年月日」
  • 五十音順に整理された名刺フォルダーから取り出した「1枚の名刺に記載された情報」

4. 保有個人データとは?

個人データのうち、自社が開示、訂正、追加、削除、利用停止、消去などの権限(コントロール権)を持っているものを指します。本人から「私のデータを開示してください」と求められた際に応じる義務があるデータのことです。

【具体的な事例】

  • 自社のECサイトで会員登録された「ユーザーのマイページ情報」
  • 自社で直接雇用している「従業員の人事評価や給与振込口座の情報」
  • 【該当しない例(他社から委託されたデータ)】 他社からデータ入力や発送業務だけを請け負うために一時的に預かっている「宛名リスト」。この場合、データの開示や修正の権限は委託元(発注側)にあるため、自社にとっての保有個人データには該当しません。

※かつて存在した「6ヶ月以内に消去する短期保存データは除外する」という規定は法改正(2020年改正・2022年4月施行)により撤廃され、現在は保存期間に関わらず保有個人データに含まれます。

5. まとめ:万が一の漏えいリスクに備える

安全管理措置や罰則の多くは「個人データ」以上を対象としていますが、損害賠償請求などの民事上の責任は、データベース化されていない「個人情報」が1件漏えいしただけでも発生する可能性があります。

詳細な法的解釈や最新のガイドラインは個人情報保護委員会(PPC)の公式サイト等に委ねられますが、社内教育やPマーク構築の第一歩として、まずはこの4つの関係性をスッキリ頭に入れておきましょう。

6. お客様の声|よくある質問

当社のサポート窓口には、以下のようなご相談も寄せられています。

Q. Pマークの同意書における「第三者提供」の範囲は、個人データに限定して考えてよいでしょうか?
A. 法令上の義務は「個人データ」が対象ですが、Pマーク運用においては「個人データ」化される前の「個人情報」についても、リスクアセスメントの結果次第で同意(第三者提供の制限)が必要になります。
→ Pマークの同意書における「第三者提供」の範囲は、個人データに限定して考えてよいでしょうかという疑問はこちら
Q. 開示対象個人情報(保有個人データ)とは?台帳の「開示対象有無」の判断基準を教えてください。
A. JIS Q 15001:2023では、「本人から、保有個人データの請求を受けたときは、開示を行わなければならない。」また「特定した個人情報についても、リスクアセスメントの結果を考慮して、保有個人データと同様に開示を行わなければならない。」とされています。
→ 開示対象個人情報(保有個人データ)とは?台帳の「開示対象有無」の判断基準を教えてくださいについてはこちら
Q. 個人情報と個人データの違いとは?管理対象の範囲と特定時の判断基準は?
A. 「住所と氏名があるものは全て厳格に管理すべきなのか」という懸念は、実務効率を考える上で非常に重要な視点です。
→ 個人情報と個人データの違いとは?管理対象の範囲と特定時の判断基準はという疑問はこちら

これらの回答を含め、ISMSサポートブログでは具体的なQ&Aを多数公開しております。実務のヒントとしてぜひご活用ください。

ISM Web store

執筆・監修:ISM Web store カスタマーサポート

ISMS、プライバシーマーク、ISO9001の取得・運用支援において、25年以上のコンサルティング実績を持つ専門チームが執筆しています。現場での指導経験と、数多くの審査対応ノウハウを凝縮して制作した文書・教育用テキストを販売しています。ご購入の有無にかかわらず、無料メールサポートにて専門家が直接お答えします。