- 作成日 : 2024年2月9日
個人識別符号とは?法的な定義や事業者が気を付けるべき点を解説
個人識別符号とは、特定の個人を識別できるような文字や番号などのうち、法令に定められているもののことです。事業者が個人情報保護法に則って適切に情報を管理するためには、個人識別符号が含まれるデータを正しく利用・管理することが必要です。今回は、個人識別符号の法律上の定義や具体例、情報を適切に扱うためのルールなどを解説します。
目次
個人識別符号の法的な定義
個人識別符号とは、その情報から特定の個人を識別できるような文字や番号、記号などのうち、法令に定められているもののことです。2015年の個人情報保護法改正で、新たに定義された概念です。
個人識別符号が含まれるものは、すべて個人情報に該当します。
個人情報保護法では、個人識別符号は以下のように定義されています。
第2条(定義)
2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
このように、個人識別符号には「個人の身体的特徴に関するもの」と「個人に割り当てられるもの」の2つの定義があるのが特徴です。
以下では、それぞれの具体的な内容について見ていきましょう。
参考:個人情報保護委員会 「個人識別符号」とはどのようなものを指しますか。
1号:個人の身体的特徴に関する個人識別符号
個人の身体的特徴に関する個人識別符号とは、個人を特定できるような身体的な特徴を電子処理のために変換した符号のことです。
電子処理のために変換するとは、コンピューターで使用できるようデジタル化することを指します。
たとえば、顔写真を印刷したものはデジタル化されていないため、個人識別符号には該当しません。一方、顔認証できるようデータ化されたものは、個人識別符号に含まれます。
ただし個人識別符号ではない場合も、個人情報に該当しないわけではありません。顔写真は特定の個人を識別できるものであるため、個人情報として取り扱う必要があります。
2号:個人に割り当てられる個人識別符号
個人に割り当てられる符号とは、公的なサービスや書類において個々に割り振られる符号のことです。マイナンバーやパスポートの番号などが挙げられます。利用者ごとに別の符号が割り当てられるため、符号から個人を特定することが可能です。
公的に割り当てられるものであり、民間の事業者が割り当てた番号は個人識別符号には該当しません。
個人識別符号の具体例
個人識別符号の具体例は、個人情報保護法施行令や個人情報保護法施行規則に記載されています。
具体例は以下のとおりです。
<1号:個人の身体的特徴に関するもの>
以下をコンピューターで使用できるようデータ化したもの
- DNAの塩基配列
- 指紋や掌紋
- 顔写真
- 声帯の振動
- 歩き方
<2号:個人に割り当てられるもの>
- マイナンバー
- パスポートの番号
- 基礎年金の番号
- 国民健康保険や介護保険等の保険者番号・被保険者記号・番号
- 運転免許証の番号
- 住民票コード など
また、以下のような情報については、基本的には個人識別符号には該当しないとされています。
- 携帯電話番号
- 個人識別符号
- クレジットカード番号
- 会員ID
事業者が個人識別符号を取り扱う際の規制
個人識別符号が含まれるデータは個人情報とみなされるため、個人情報保護法の内容に従って取り扱う必要があります。
ここでは、事業者が個人情報を扱う際に遵守しなければならない、主なルールを4つ紹介します。
なお、社内で個人情報の取り扱いに関するルールを定める際は、以下のガイドラインも参考にしてください。
参考:個人情報保護委員会 個人情報の保護に関する法律についてのガイドライン(通則編)
個人情報の利用目的を定める
個人情報を利用する際は、事前に利用目的を具体的に定めましょう。利用目的は、本人に通知する、あるいは公表しなければなりません。
そして、事前に定めた目的の範囲内で情報を利用する必要があります。万が一範囲外の目的で利用する場合は、事前に本人から同意を取得しなければなりません。
なお、個人情報を不正な目的で利用することは禁じられています。
個人情報は安全に管理する
取得した個人情報は、安全に管理しましょう。ずさんな管理をしてしまうと、個人情報が紛失・漏洩する恐れがあります。紙で管理する場合は鍵付きのキャビネットに保管する、パソコンで保管する場合はデータごとにパスワードを設定するなど、安全な状態で管理することが大切です。
従業員や業務委託先が個人情報を取り扱う際も、適切に管理しているか適宜監督しましょう。
第三者へのデータ提供時は本人の同意を得る
社外の第三者に個人情報を提供する際は、原則として本人の同意を得ることが必要です。
本人の同意を得る方法としては、口頭や同意欄へのチェック、同意書への署名などがあります。ただし、口頭での同意は言った・言わないのトラブルにつながる可能性があるため、なるべく書面に残しておきましょう。
ただし、法令に基づく場合や、生命や身体、財産の保護のためにデータ提供が必要であり、本人から同意を得るのが困難な場合などは、例外として同意なく第三者に情報を提供できます。
個人情報の取り扱いに関する本人からの請求には対応する
個人情報の取り扱いについて本人から開示や破棄などの請求があった場合は、対応しなければなりません。
また、本人から個人情報の取り扱いについてクレームを受けた場合は、速やかに対処することが求められます。
なお、個人情報の取り扱いに対する苦情の申し出先や請求手続きについては、事前に本人に通知するか、企業のホームページで公表するなどしておきましょう。
事業者が規制に違反した際のリスクは?
事業者が個人情報保護法に違反した場合は、以下のようなリスクがあります。
- 刑事罰の対象として罰則を科せられるリスク
- 損害賠償責任を問われるリスク
- 社会的な信用を失うリスク
リスクについて正しく理解し、個人情報を正しく取り扱うためのルール作りや社内体制の整備を進めましょう。
ここでは、 事業者が規制に違反した際のリスクについて解説します。
刑事罰の対象として罰則を科せられるリスク
個人情報保護法に違反すると、刑事罰の対象として罰則を科せられるリスクがあります。
違反が事業に関するものである場合は、個人情報を不適切に扱った違反行為者と事業者の双方が処罰の対象となります。
罰則の具体的な内容は以下のとおりです。
| 違反内容 | 違反行為者 | 事業者 |
|---|---|---|
| 個人情報保護委員会の命令に違反した場合 | 1年以下の懲役または100万円以下の罰金 | 1億円以下の罰金 |
| 不正に利益を得る目的で個人情報データベース等を提供・盗用した場合 | 1年以下の懲役または50万円以下の罰金 | 1億円以下の罰金 |
| 個人情報保護委員会に対して虚偽の報告を行った場合 個人情報保護委員会への資料提供や立入検査を妨害した場合 | 50万円以下の罰金 | 50万円以下の罰金 |
参考:e-Gov法令検索 平成十五年法律第五十七号 個人情報の保護に関する法律
損害賠償責任を問われるリスク
個人情報を不適切に扱った結果、個人情報の漏洩や悪用などが発生した場合は、損害賠償責任に問われるリスクもあります。
個人情報のリストやデータベースが流出した場合は、その分被害規模も大きくなります。全員から賠償金を請求され、数十億円規模の多額の賠償金が発生する可能性もゼロではありません。企業の存続が難しくなってしまうこともあるでしょう。
社会的な信用を失うリスク
個人情報をずさんに扱った企業として、社会的な信用を失うリスクにも注意が必要です。これをレピュテーションリスクと呼びます。
社会的な信用が失墜した結果、取引先や顧客が離反したり、経営陣が責任をとって退任を求められたりする場合もあります。
一度失った信用を取り戻すのは容易ではありません。売上が大幅に減少し、企業の存続が脅かされる可能性もあります。
個人識別符号の定義を理解して正しく取り扱おう
個人識別符号には、「個人の身体的特徴に関するもの」と「個人に割り当てられるもの」という、2つの定義があります。個人識別符号が含まれているものは個人情報とみなされ、個人情報保護法の対象です。
個人情報符号について正しく理解しないままデータを扱ってしまうと、知らぬ間に個人情報保護法に違反してしまうリスクがあります。個人情報保護法を遵守できるよう、個人識別符号の定義を理解し、適切に取り扱うようにしましょう。
※ 掲載している情報は記事更新時点のものです。
契約の知識をさらに深めるなら
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談していただくなど、ご自身の判断でご利用ください。
