個人情報の考え方についての整理

そもそも論として「個人情報」という言葉自体がとてもあいまいなものになっているので誤解されている。

個人情報保護法の趣旨は、「個人の権利利益」を保護すること

「個人の権利利益」の保護とは、以下を防ぐこと

他人に知られたくない自己の情報をみだりに開示・公表される

自己に関わる情報が知られたために名誉が傷つく

自己に関わる情報が知られたために生活の平穏が乱される

自己に関わる情報が知られたために不当な差別を受ける

個人情報は「個人が関わる情報すべて」と考えるのが正しい。

「個人を識別することができる情報」ではない。

GDPRでは、個人に関わる情報すべてが個人情報となっている。名前を隠すだけでは不十分とされる。

例えば、ゲームのランキングデータ(名前を伏せていても)も個人情報になってしまう。

個人が特定されなければよい?

個人が特定されるかどうか?

個人が特定される情報は、氏名、住所、電話番号、メールアドレスなどの直接情報に限らない。

個人が関わったことを示す情報(間接情報)は、すべて個人を特定することが可能な情報と考えることができる。

名前がわからなくても、その時そこでその振る舞いをしていた、ということがわかれば絞り込めてしまう。

単純に氏名、住所、電話番号、メールアドレスなどの直接情報を隠せば解決ということにはならない。

では、個人に関わる情報はどう取り扱うのが望ましいのか? (検討)

そもそも個人に関わる情報を取り扱わない。(かなり困難)

個人情報を誰がどういう目的で使うのかを明示する。個人情報の利用が合理的であることを示す。

相手に個人情報を渡さないことができる。

相手がどういう個人情報を持っているのかを知ることができる。

これは個人に教えるべきではない情報があるため、困難なことがある。

例えば、個人に関する評価など。

個人情報の利用を拒絶する場合は、個人は自分の個人情報を削除する(削除を要求する)ことができる。

これはやりすぎると、多大なコストがかかるため、実はかなり困難。

例えば、防犯カメラの映像から自分を消せというのは無理。

業務上知りえた秘密は漏らさない。

目的外の利用はしない。

目的を達成した後の個人情報は破棄する。

よくある誤解

個人情報とは個人を特定する情報のことで、その情報が含まれていないなら問題がない。(直感的には正しい)

参考

どういう考え方があるのか?

完全に決定的な論理的問題ではなく、社会的合意の問題である。(しかし、一部の人はそれを理解できない模様)

個人を特定できるとはどういうことか?

「名前、性別、年齢、住所が分からなければそれで十分ではないか」という考え方

「情報を集めた結果、個人が特定されるのではまずい」という考え方

「誰かは分からなくても、個人を特定し続けられるのはまずい」という考え方。

例えば、Cookie には名前、性別、年齢、住所は含まれていないが、

個人が持つ情報はどこまで個人のコントロール権を持つべきか?

「具体的に個人の承認を得た時以外は、誰も利用できてはならない」という考え方

「公的な団体であれば、個人の承認を得なくても利用可能である」という考え方

「収集した組織が別の組織へ渡すことは許されない。」という考え方。

「別の組織であっても下請けなら許される。」という考え方。

開示要求にはどこまで応えるべきなのか?

「自分自身の情報なのだからすべて開示すべき」という考え方

「個人に紐付いていても、組織側の秘密情報は渡すべきではない」という考え方

例えば、「組織の個人に対する評価」は個人に紐付いているが、組織側の秘密情報になり得る。

個人から承認を得る場合、どうするべきか?

「文書に書いておき、その文書へのリンクが示されれば、それで十分である」という考え方

「文書を読んだこと、意思を持って承認をしたことが確認できなければならない」という考え方

よくある「チェックボックスに印を付ける」みたいな儀式が必要。

日本における定義

いわゆる個人情報保護法