個人情報とは具体的に何のこと？個人情報の保護～シリーズ「実践教育法規」～

連載: シリーズ「実践教育法規」

2025.01.28

個人情報の保護に関する法律

「個人情報の保護に関する法律」とは、個人情報の適正かつ効果的な活用が「豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的」として定められたものです（個人情報の保護に関する法律第１条）。

また同法第２条２項２号などの規定に基づいて制定された政令を「個人情報の保護に関する法律施行令」といいます。

個人情報とは

「個人情報」とは生存する個人に関する情報であり、①当該情報に含まれる氏名、生年月日など、特定の個人を識別できるもの（他の情報と容易に照合でき、それにより特定の個人を識別できるものを含む）、もしくは②個人識別符号が含まれるものとされます（個人情報の保護に関する法律第２条１項）。

なお「個人識別符号」は①特定の個人の身体の一部の特徴を電子計算機のために変換した符号、②個人に提供される役務の利用もしくは個人に販売される商品の購入に関して割り当てられる符号のいずれかに該当する符号のうち、政令で定めるものです（同法第２条２項）。

要配慮個人情報

個人情報のうち、本人の人種、信条、社会的身分、病歴、犯罪の経歴など、本人に対する不当な差別、偏見、不利益が生じないよう取り扱いに特に配慮を要するものを「要配慮個人情報」といいます（個人情報の保護に関する法律第２条３項）。

これは①身体障害、知的障害、精神障害（発達障害を含む）その他の心身機能の障害、②健康診断その他の検査結果、③健康診断の結果を踏まえた指導、診療、調剤に関わることなどの情報があてはまります（個人情報の保護に関する法律施行令第２条）。

個人情報の取り扱い

「個人情報の保護に関する法律」第17条において、個人情報取扱事業者は「個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない」「利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない」としています。

第18条では、個人情報取扱事業者は「あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない」「他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない」としています。ただし①法令に基づく場合、②人の生命、身体、財産の保護に必要な場合で本人の同意を得ることが困難なとき、③公衆衛生の向上、児童の健全な育成のために必要な場合で本人の同意を得ることが困難なときなどは適用されません。

学校での適切な扱い

公立学校は「各地方公共団体の個人情報の保護に関する条例」、私立学校および国立学校は「個人情報の保護に関する法律」が適用されます。GIGAスクール構想では１人１アカウントでのクラウド利用が基本となるため、より一層充実した管理体制が求められます。そこでこれまでに紹介した法律、条例などを踏まえ、各学校で「個人情報の利用目的を明確にする」「必要最小限で適切に情報を収集する」「目的外利用はしない」「漏洩や損失がないように安全管理措置を講じる」などの規定を定めるとともに、複数人で管理できる体制の構築、技術的・物理的なセキュリティの構築などが重要となります。

個人情報を保護するためのポイントについては、文部科学省「教育情報セキュリティのための緊急提言」を参照してください。