個人情報と個人データの違いとは?管理対象の範囲と特定時の判断基準は?
大きく、「個人情報」と「個人データ」の違いの認識、「管理すべき」個人情報・個人データを明確に区別いただければと思います。
住所と氏名がある場合、個人が特定できるものは全て「管理すべき個人情報」となると、大変だと思うのですが…。
「個人情報」と「個人データ」の定義の違い、そして「どこまでを管理対象とすべきか」という境界線は、実務担当者が最も頭を悩ませるポイントです。
「住所と氏名があるものは全て厳格に管理すべきなのか」という懸念は、実務効率を考える上で非常に重要な視点です。法律上の定義と、Pマーク(JIS Q 15001)が求める「特定の範囲」を整理して解説します。
1. 「個人情報」と「個人データ」の定義と義務の違い
まず、法律上のステップを整理します。
- 個人情報:
生存する個人に関する情報で、特定の個人を識別できるもの(氏名、住所、生体認証データ、マイナンバーなど)。 - 個人データ:
個人情報を、コンピュータや五十音順のバインダーなどで「検索できるように体系的に構成したもの」を指します。
【重要なポイント】
法律上、安全管理措置(情報の漏洩防止など)の義務が厳格に課せられるのは、主に「個人データ」に対してです。例えば、机の上にたまたま置かれた氏名入りのメモ書き(体系化されていないもの)は「個人情報」ではありますが、法律上の「個人データ」としての厳格な管理義務からは外れる場合があります。
2. Pマーク(JIS Q 15001)における「特定」の考え方
しかし、プライバシーマークを取得・運用する場合、この境界線はより「実務的」になります。規格では、事業者が取り扱う全ての個人情報を「特定」し、台帳などで管理することを求めています。
ご懸念の「大変さ」を解消するためには、以下の「特定の方法」に独自性を持たせるのがベストです。
- 「特定」=「一律にガチガチに固める」ことではない
JIS規格では、全ての個人情報を洗い出す必要がありますが、その後の「リスク分析」において管理の強弱をつけます。 - 管理のメリハリ(独自のアプローチ)
- – 高リスク(個人データ):
データベース化されているもの。アクセス権限の設定やログ管理、暗号化を徹底する。 - – 低リスク(散在する個人情報):
体系化されていないメモや一時的な書類。これらは「台帳には記載する」ものの、対策としては「クリアデスクの徹底」や「廃棄ルールの遵守」といった一般ルールの適用に留める。
- – 高リスク(個人データ):
3. なぜ「住所と氏名」があれば管理が必要なのか?
質問者様が仰る通り、住所と氏名が揃えば特定の個人を識別できるため、基本的には全て管理対象(特定対象)となります。
なぜ「大変でも管理すべき」なのか。それは、万が一漏洩した際の「被害者側の視点」に理由があります。
法律上は「データ」に該当しなくとも、氏名と住所が漏洩すれば、本人にとっては立派なプライバシー侵害であり、名簿業者に悪用されるリスクは変わりません。Pマークは、法律を最低ラインとしつつ、「本人の権利利益の保護」をより高い水準で目指す制度だからです。
4. 実務への落とし所
「全てを完璧に管理しよう」とすると現場は疲弊します。弊社のサンプル文書集では、以下のような運用を推奨しています。
- 資産のグルーピング:
「氏名と住所を含む紙媒体一式」のようにグループ化して管理し、1枚1枚を個別に数える手間を省く。 - リスクに応じた対策:
検索性の高いデジタルデータ(個人データ)にはシステム的対策を、それ以外には物理的・組織的ルールを適用する。
「管理する」とは、情報の重要度(CIA)に応じた「適切な置き場所とルールを決めること」だと定義し直すことで、社内の納得感も高まるはずです。
