「個人情報」は日常でもよく使う言葉ですが、個人情報保護法には明確な定義があり、G検定でもその正確な理解が問われます。この記事では法律上の定義を出発点に、AI活用との関わり、「個人データ」「保有個人データ」との関係までを整理します。

📖 ひと言でいうと

個人情報とは、生存する個人に関する情報のうち、氏名や生年月日などにより特定の個人を識別できるものをいいます。個人情報保護法の一連のルールは、まずこの「個人情報」に当たるかどうかの判断から始まります。

例えるなら、個人情報は「その情報を見れば、誰のことか分かってしまう情報」です。名前が書いてあれば分かりやすいですが、名前がなくても、他の情報と容易に照らし合わせて本人にたどり着けるなら該当し得る点が、この概念の奥深いところです。

🖼 1枚でわかる個人情報

個人情報=生存する個人を識別できる情報
  • 定義 — 生存する個人に関する情報で、特定の個人を識別できるもの
  • 対象の例 — 氏名・住所・生年月日・電話番号・メールアドレスなど
  • 広がり — 他の情報と容易に照合して識別できるものや個人識別符号も含む
  • 基本ルール — 利用目的の特定と通知・公表、目的の範囲内での利用
  • 位置づけ — 個人情報 ⊃ 個人データ ⊃ 保有個人データの最も外側
つくもち屋「G検定対策」SUMMARY

📘 公式テキストの説明

日本の個人情報保護法における「個人情報」とは、生存する個人に関する情報であり、特定の個人を識別できるものを指す。具体的には、氏名、住所、生年月日、電話番号、メールアドレスなどが該当する。AIの活用が進む現代において、個人情報の取り扱いは一層重要性を増している。AIは大量のデータを処理し、学習することで高精度な予測や分析を行うが、そのデータに個人情報が含まれる場合、適切な管理が求められる。例えば、生成系AIに個人情報を含むプロンプトを入力する際、利用目的の達成に必要な範囲内であることを確認する必要がある。また、第三者提供に該当する場合、本人の同意を得ることが求められる。さらに、AIが生成する出力結果に個人情報が含まれる場合、その取り扱いにも注意が必要である。個人情報保護法では、個人情報の利用目的をできる限り特定し、本人に通知または公表することが求められている。AIの活用においても、これらの規定を遵守し、個人情報の適切な管理を行うことが重要である。

定義の柱は「生存する個人」と「特定の個人を識別できる」の2点です。また後半は、AI活用の3つの場面 — 学習データに使う・プロンプトに入力する・出力に含まれる — のそれぞれで個人情報のルールが顔を出すことを示しています。この「入口から出口まで全部に関わる」イメージを持つと、他のキーワード(利用目的・第三者提供など)ともつながります。

🔍 しっかり理解する

定義の3つの要素

法律上の個人情報は、おおまかに次の3つの要素で構成されると整理できます。

💡 ポイント
  • 生存する個人に関する情報であること — 亡くなった方の情報や法人そのものの情報は、原則としてこの法律の「個人情報」には当たりません。
  • 特定の個人を識別できること — 氏名単体はもちろん、「氏名+生年月日」のような組み合わせも該当します。さらに、その情報だけでは分からなくても、他の情報と容易に照合することで識別できるもの(社員番号と社員名簿の関係など)も含まれます。
  • 個人識別符号を含む場合 — 顔認識データ・指紋データのような身体的特徴をデータ化したものや、マイナンバー・旅券番号のような個人に割り当てられる番号は「個人識別符号」と呼ばれ、それが含まれる情報は単体で個人情報になります。

該当するもの・しないものを対比する

🅰 個人情報に当たり得る例
  • 氏名、顔写真
  • 氏名と結びついた住所・購買履歴
  • マイナンバー等の個人識別符号
  • 他の情報と容易に照合して本人が分かる情報
🅱 原則として当たらない例
  • 誰の情報か分からない統計データ
  • 法人そのものの情報(会社の売上など)
  • 亡くなった方に関する情報
  • 適切に匿名加工され復元できない情報

境界線上の判断は個別の状況によるため、実務では慎重な検討が必要とされていますが、試験対策としては「識別できるか」「生存する個人か」という軸で考えられれば十分です。

AI活用における個人情報の基本ルール

個人情報を取り扱う事業者には、利用目的をできる限り特定し、本人に通知または公表すること、そしてその目的の範囲内で利用することが求められています。AIの学習データ収集はもちろん、生成AIサービスへの入力も「利用」の一場面なので、当初の利用目的の範囲に収まっているかの確認が重要になります。また、外部への提供が第三者提供に当たる場合は、原則として本人の同意が必要です。

💡 具体例で考える

社内の問い合わせ対応を効率化するため、顧客とのやり取り履歴を生成AIに入力して回答文案を作らせる場面を考えます。履歴には顧客の氏名や連絡先が含まれるため、これは個人情報の「利用」に当たります。取得時に示した利用目的(例:「お問い合わせへの対応のため」)の範囲内かを確認し、さらにAIサービス提供者が入力内容を自社モデルの学習に使う設定になっていないかも確認する必要がある、というのが実務での典型的な論点です。

また、生成AIの出力に実在の人物の氏名や経歴が含まれることもあります。出力だからといって自由に使えるわけではなく、それが個人情報に当たる場合には同じルールの下で取り扱う必要があると考えられています。

⚠️ よくある誤解・紛らわしい用語

💡 ポイント
  • 「個人情報=個人データ」ではない — 個人データは、個人情報のうち「個人情報データベース等」を構成するものだけを指す、一段狭い概念です。さらにその内側に、本人からの開示・訂正等の請求対象となる「保有個人データ」があります(個人情報 ⊃ 個人データ ⊃ 保有個人データ)。
  • 「名前を消せば個人情報ではなくなる」とは限らない — 氏名を削除しても、他の情報と容易に照合して本人を識別できる状態なら個人情報のままです。識別できないようにするには、匿名加工情報の基準を満たす加工が必要とされています。
  • 「プライバシー=個人情報」ではない — プライバシーはより広い人格的利益の概念で、個人情報保護法はその保護に関わる代表的な法律ですが、両者は同じものではありません。
  • 要配慮個人情報との関係 — 病歴や犯罪歴など差別や偏見につながりやすい情報は「要配慮個人情報」として、取得に原則本人同意が必要になるなど、より厳格なルールが適用されます。

📝 試験でのポイント

💡 ポイント
  • 「生存する個人に関する情報」「特定の個人を識別できる」という定義の文言は、選択肢の正誤判定でそのまま使われる可能性があります。「死者を含む」とする選択肢は誤りです。
  • 個人情報・個人データ・保有個人データの3層構造の並びを問う問題が想定されます。最も広いのが個人情報です。
  • 生成AIのプロンプト入力・学習データ利用・出力のそれぞれに個人情報のルールが関わる、というAI文脈での出題も考えられます。
  • 利用目的の特定・通知公表とセットで問われることが多いので、「利用目的」のキーワードと合わせて確認しておきましょう。

📚 まとめ

💡 ポイント
  • 個人情報は「生存する個人に関する情報で、特定の個人を識別できるもの」です。
  • 氏名などの直接的な情報のほか、容易照合により識別できる情報や個人識別符号を含む情報も該当します。
  • 個人情報 ⊃ 個人データ ⊃ 保有個人データという階層の、いちばん外側の概念です。
  • 利用目的の特定・通知公表、目的の範囲内での利用が基本ルールです。
  • AIでは学習データ・プロンプト入力・生成物のすべての場面で個人情報への配慮が求められます。