AIの学習や分析には大量のデータが欠かせませんが、そこに人の情報が含まれるとき、個人情報保護法のルールが関わってきます。この記事では、同法の中核概念のひとつ「個人データ」を、「個人情報」「保有個人データ」との関係とあわせて整理します。
📖 ひと言でいうと
個人データとは、個人情報保護法上、「個人情報データベース等」を構成する個々の個人情報のことです。つまり、名簿やデータベースのように検索できる形に整理されたまとまりの中に入っている個人情報を指します。
身近な例でいうと、交換した名刺が机の上にバラバラに置かれている状態では、それぞれは「個人情報」です。ところが、それを五十音順のファイルに綴じたり、Excelの顧客リストに入力したりして検索できる状態にすると、その中の1件1件が「個人データ」と呼ばれる存在に変わり、より手厚い管理義務の対象になります。
🖼 1枚でわかる個人データ
📘 公式テキストの説明
日本の個人情報保護法では、「個人データ」を「個人情報データベース等」を構成する個人情報と定義している。具体的には、氏名や生年月日など、特定の個人を識別できる情報を体系的に整理し、容易に検索可能な状態にしたものが該当する。AIの活用においては、大量のデータを処理し、分析することが求められる。その際、個人データの適切な取り扱いが不可欠である。例えば、医療分野でAIを用いて診断支援を行う場合、患者の診療記録や検査結果といった個人データを活用することになる。これらのデータは、個人情報保護法の規定に従い、適切に管理されなければならない。さらに、AIの学習データとして個人データを使用する際には、匿名化や仮名化といった手法を用いて、個人の特定を防ぐ措置が求められる。これにより、プライバシーの保護とデータの有用性の両立が図られる。また、個人データの第三者提供に際しては、本人の同意を得ることや、適切な安全管理措置を講じることが必要である。
ポイントは「データベース等を構成する」という部分です。個人情報そのものではなく、検索可能な形に整理されたまとまりの中の個人情報だけが「個人データ」になります。AIの文脈では、学習用データセットはまさに整理・検索可能なデータの集まりなので、そこに個人情報が入っていれば個人データとしての管理が問われる、という流れで読むと理解しやすいでしょう。
🔍 しっかり理解する
「個人情報データベース等」とは何か
個人情報データベース等とは、個人情報を含む情報の集合物のうち、特定の個人情報をコンピュータで検索できるように体系的に構成したもの、またはそれに準じて紙などでも目次・索引によって容易に検索できるように整理したものを指すとされています。顧客管理システムや会員名簿データベースが典型ですが、五十音順に整理された紙のファイルのように、紙媒体でも該当し得る点に注意が必要です。
なぜ「データベース化」で規制が強まるのか
バラバラの情報よりも、整理されて検索できる情報のほうが、漏えいしたときの被害がはるかに大きくなります。1枚のメモが流出するのと、10万人分の顧客データベースが流出するのとでは、影響の規模が違うことは想像しやすいでしょう。そのため法律は、データベース化された「個人データ」に対して、次のような義務を上乗せしています。
- 漏えい・滅失・毀損を防ぐための安全管理措置
- データを扱う従業者や委託先に対する監督
- 第三者提供の際の原則本人同意(第三者提供の記事で詳述)
- 一定の漏えい等が起きた場合の報告・本人通知
3層構造の中での位置づけ
個人情報保護法の概念は、次のような包含関係で整理できます。外側ほど範囲が広く、内側ほど義務や本人の権利が手厚くなっていきます。
矢印は「範囲が絞り込まれていく」ことを表しています。すべての個人データは個人情報ですが、逆は成り立ちません。この3層構造は、「個人情報」「保有個人データ」それぞれの記事とセットで押さえると盤石です。
💡 具体例で考える
公式テキストにもある医療AIの例を考えてみましょう。病院が診断支援AIを開発するために、患者の診療記録や検査結果を集めたデータセットを作るとします。このデータセットは検索可能に整理された個人情報の集合なので、その中の各患者の記録は「個人データ」に当たります。したがって病院や開発企業には、安全管理措置を講じ、外部へ提供する場合には本人同意などのルールを守ることが求められます。実務では、氏名等を削除する匿名化・仮名化を施してから学習に使うことで、プライバシー保護とデータ活用の両立が図られています。
もうひとつの例は、ECサイトのレコメンドAIです。購買履歴と会員情報を組み合わせた顧客データベースは個人情報データベース等であり、そこから取り出した1人ひとりの履歴は個人データです。これを外部の分析会社に渡すなら、それが「委託」なのか「第三者提供」なのかの整理が必要になります。
⚠️ よくある誤解・紛らわしい用語
- 「個人情報と個人データは同じ意味」ではない — 個人データは、個人情報のうちデータベース等を構成するものに限られます。メモ書きに1件だけ書かれた氏名は個人情報ですが、通常は個人データではありません。
- 「紙の資料は個人データにならない」も誤り — 電子データに限らず、索引付きで容易に検索できるよう整理された紙の名簿なども個人情報データベース等に該当し得ます。
- 保有個人データとの違い — 個人データのうち、事業者自身が開示・訂正・利用停止などに応じる権限を持つものが保有個人データです。個人データの全部が保有個人データとは限りません(委託で預かっているだけのデータなどが典型です)。
- 匿名加工情報との違い — 適切に匿名加工され復元できない状態にした情報は、もはや個人情報・個人データとしては扱われず、別のルールが適用されます。
📝 試験でのポイント
- 「個人情報データベース等を構成する個人情報」という定義の言い回しがそのまま問われることがあります。「個人情報」「保有個人データ」の定義と入れ替えたひっかけ選択肢に注意しましょう。
- 個人情報 ⊃ 個人データ ⊃ 保有個人データという包含関係の並び順を問う形式が想定されます。
- 「安全管理措置」「第三者提供の制限」など、個人データに課される義務と結びつける問題も考えられます。
- AI活用の文脈では、学習データとして使う際の匿名化・仮名化といったプライバシー保護策との組み合わせで出題される可能性があります。
📚 まとめ
- 個人データは「個人情報データベース等」を構成する個人情報です。
- 体系的に整理され容易に検索できる状態がキーワードで、紙の名簿も該当し得ます。
- 個人情報 ⊃ 個人データ ⊃ 保有個人データの3層構造の真ん中に位置します。
- 個人データには安全管理措置や第三者提供の制限などの義務が上乗せされます。
- AIの学習データに個人データを使う際は、匿名化・仮名化などで個人の特定を防ぐ措置が求められます。
