これからJAPHICマークを取得しようと考える事業者は、社内における個人情報保護体制を強化し、審査基準をクリアしなければいけません。
また、そのためには、一から細かく個人情報に対する理解を深めることが求められます。
今回は、JAPHICマーク取得を目指す事業者が知っておくべき、個人情報の境界線について解説します。
どこまでが個人情報に該当するのか?
個人情報とは、その名の通り個人に関するデータのことを指していますが、より専門的に言うと、以下のように定義されています。
“生存する個人に関する情報で、当該情報に含まれる氏名や生年月日、その他の記述等により、特定の個人を識別できるもの”
つまり、その情報だけで特定の個人を識別できるもの、または他の情報と簡単に照合でき、特定の個人を識別できるものは、すべて個人情報に該当します。
では、さまざまな情報について、それは個人情報にあたるのか、そうでないのかを見てみましょう。
フルネーム
JAPHICマーク取得を目指す事業者が取り扱う顧客情報、従業員情報、取引先情報などの中には、これらのステークホルダーにおけるフルネームが含まれます。
フルネームについては、それだけで特定の個人を識別できるため、個人情報に該当します。
一方、顧客や従業員などの名字は、単独の場合、特定の個人を識別できませんし、他の情報と容易に照合できるわけでもないため、個人情報には該当しません。
会社名が入ったメールアドレス
JAPHICマークの取得を目指す事業者は、日々さまざまな取引先と連絡を取り合います。
また、取引先との主な連絡手段にはメールが挙げられますが、このときに扱われる会社名が入ったメールアドレスは、個人情報にあたるのでしょうか?
結論からいうと、こちらは個人情報という扱いにはなりません。
個人情報は、あくまで個人に関する情報であり、会社の情報は含まれません。
そのため、特定の個人であるとわかるメールアドレスは個人情報になりますが、会社名のみが含まれているメールアドレスは、個人情報ではないと判断されます。
後ろ姿が映っている映像
JAPHICマーク取得を目指す事業者は、文字列による情報だけでなく、映像による顧客などの情報を所有している場合もあります。
また、所有する映像の中には、顧客などの後ろ姿が映っている映像があるケースもありますが、こちらは個人情報ではありません。
どれだけ姿かたちが特定の個人に似ていても、後ろ姿だけで完全にその個人だと特定することはできません。
もちろん、顔が映っている映像であれば、個人を識別できるため、個人情報として扱われます。
法人情報
先ほど、個人情報はあくまで個人に関する情報であり、法人に関する情報は含まれないという話をしました。
そのため、法人における住所や設立年月日といった情報は、個人情報にはあたりません。
一方、その法人の社長における経歴や氏名といった情報は、個人に関する情報であるため、ホームページなどに掲載されていたとしても、個人情報という扱いになります。
年金コード
年金コードは、老齢年金、遺族年金、障害年金など年金の種類を数値化して表したものであり、年金証書には、基礎年金番号の欄の次に4桁の数字で記載しています。
また、こちらの情報については、もしJAPHICマーク取得を目指す事業者で漏えいしたとしても、個人情報としては扱われません。
ただし、指紋やDHA配列、虹彩模様などの生体情報、運転免許番号、基礎年金番号、個人番号は個人を特定できるため、個人情報となります。
まとめ
ここまで、JAPHICマーク取得を目指す事業者が知っておくべき、個人情報の境界線について解説しましたが、いかがでしたでしょうか?
基本的なところから、個人情報保護に関する体制を強化しなければ、いくらハードルが低いとはいえ、JAPHICマークの審査に落ちる可能性は十分にあります。
また、基盤からしっかりつくり上げることは、マーク取得後の個人情報保護体制を維持することにもつながります。