指紋データやパスポート番号は、それ単体で「個人情報」になる——これを法律上支えているのが個人識別符号という概念です。顔認識など生体データを扱うAIの普及で重要性が増しており、「何が該当し、何が該当しないか」まで整理しておきたいキーワードです。

📖 ひと言でいうと

個人識別符号とは、個人情報保護法において、その符号単体で特定の個人を識別できるものとして政令等で定められた文字・番号・記号などのデータのことです。指紋や顔の特徴をデータ化したもの、パスポート番号やマイナンバーなどが該当するとされています。

例えるなら「その番号・データを見ただけで持ち主が一人に決まる、法律お墨付きのタグ」です。氏名のように文脈と組み合わせて判断するまでもなく、含まれていればその情報は個人情報として扱われます。

🖼 1枚でわかる個人識別符号

個人識別符号 = それ単体で個人を識別できる法定の符号
  • 類型①(身体系) — 指紋・顔・虹彩・声紋・DNAなどの特徴をデータ化した符号
  • 類型②(番号系) — パスポート番号・運転免許証番号・マイナンバーなど公的な番号
  • 効果 — 含まれる情報は、それだけで個人情報に該当する
  • 導入 — 2015年改正(2017年施行)の個人情報保護法で明確化
  • AIとの接点 — 顔認識データなど生体情報を扱うシステムで特に重要
つくもち屋「G検定対策」SUMMARY

📘 公式テキストの説明

個人情報保護法における「個人識別符号」は、特定の個人を識別するための符号を指す。具体的には、指紋や顔認識データ、パスポート番号、運転免許証番号などが該当する。これらの符号は、個人情報として厳格に取り扱われる必要がある。AIの活用が進む中で、個人識別符号の取り扱いは特に重要となる。例えば、顔認識技術を用いたシステムでは、顔画像データが個人識別符号に該当するため、適切な管理が求められる。また、生成AIの利用に際しても、プロンプトに個人識別符号を含める場合、個人情報保護法の規定を遵守する必要がある。個人情報保護委員会は、生成AIサービスの利用に関する注意喚起を行っており、個人情報の適正な取り扱いを求めている。さらに、AI開発者や利用者は、個人識別符号を含むデータの収集や利用に際して、本人の同意を得ることや、データの匿名化・仮名化を検討することが求められる。これにより、プライバシーの保護とAIの活用の両立が図られる。 > > ※補足: 正確には、身体的特徴の場合は顔画像そのものではなく、顔の特徴を認証などに使えるようデータ化(符号化)したものが個人識別符号に当たるとされています。もっとも、特定の個人が写った顔画像自体も通常は個人情報に該当するため、「厳格な管理が必要」という実務上の結論は変わりません。

公式テキストのポイントは、(1)個人識別符号は「特定の個人を識別できる符号」であること、(2)身体系(指紋・顔など)と番号系(パスポート番号など)の具体例、(3)顔認識や生成AIなどAI実務での取り扱い注意、の3点です。

🔍 しっかり理解する

なぜ「個人識別符号」という概念が必要だったのか

個人情報の基本の定義は「氏名や生年月日等により特定の個人を識別できる情報」ですが、指紋データやDNA型データ、各種の番号が個人情報に当たるのかは、かつて解釈に幅がありました。そこで2015年の法改正(2017年施行)で「個人識別符号」というカテゴリが設けられ、該当する符号が含まれていれば、それだけでその情報は個人情報に該当する、と明確化されたとされています。グレーゾーンを立法でつぶした、という位置づけです。

具体的に何が該当するかは法律本体ではなく政令・規則で列挙されており、社会の変化に応じて追加・見直しができる仕組みになっています。

2つの類型: 身体系と番号系

🅰 類型① 身体の特徴を変換した符号
  • DNAの塩基配列データ
  • 顔の骨格・特徴を数値化した顔認識データ
  • 虹彩・声紋・歩行の態様
  • 手指の静脈、指紋・掌紋のデータ
🅱 類型② 個人に割り当てられた番号等
  • パスポート(旅券)番号
  • 運転免許証番号・基礎年金番号
  • マイナンバー・住民票コード
  • 健康保険証の記号番号 など

類型①は「本人の身体そのものから作られる符号」で、認証(生体認証)に使える水準にデータ化されたものが対象とされます。類型②は「公的な制度で個人に一意に割り当てられた番号」です。どちらも「符号から持ち主が一人に決まる」という共通点があります。

該当しないものにも注意

一方で、携帯電話番号、クレジットカード番号、メールアドレスなどは個人識別符号には該当しないとされています。これらは契約や発行のされ方が多様である(法人契約・使い回し等があり得る)ことなどが背景として説明されます。ただし注意が必要なのは、個人識別符号でなくても、氏名などと組み合わせて個人を識別できれば、その情報全体は個人情報に該当し得るという点です。「個人識別符号ではない=規制の外」ではありません。

AI実務との関係

顔認識をはじめとする生体認証AIは、まさに個人識別符号(顔特徴データ・虹彩・声紋など)を生成・利用する技術です。店舗の防犯カメラ映像から顔特徴データを抽出して照合する仕組みを導入すれば、個人情報の取得・利用として利用目的の特定や適正な取得などの規律に服することになります。また、公式テキストが触れるとおり、生成AIのプロンプトに個人識別符号を含む個人情報を入力する行為についても、個人情報保護委員会が注意喚起を行っており、業務利用時のルール整備が求められています。

💡 具体例で考える

スマートフォンの顔認証や指紋認証を思い浮かべてください。端末は顔写真や指紋画像をそのまま保存するのではなく、特徴を数値化した照合用データとして保持しています。このようなデータこそが類型①の個人識別符号のイメージで、漏えいすれば「パスワードのように変更する」ことができない(顔や指紋は取り替えられない)ため、特に厳重な管理が必要とされます。

企業の場面では、勤怠管理に指静脈認証を導入するケースが典型例です。取得する静脈パターンのデータは個人識別符号を含む個人情報として、利用目的の通知・公表、安全管理措置、第三者提供の制限といった個人情報保護法のルールに沿った運用が求められることになります。

⚠️ よくある誤解・紛らわしい用語

💡 ポイント
  • 「個人を特定できそうな番号は全部該当する」わけではない — 携帯電話番号やクレジットカード番号は個人識別符号に該当しないとされています。該当するものは政令等で限定列挙されています。
  • 「該当しなければ個人情報ではない」も誤り — 個人識別符号は「単体で個人情報になる」ことを明確にする仕組みであり、該当しない情報でも他の情報との組み合わせで個人情報になり得ます。
  • 個人データ・要配慮個人情報との混同 — 個人データはデータベース化された個人情報を指す概念、要配慮個人情報は病歴や犯罪歴など特に配慮が必要な情報の類型で、それぞれ別の切り口の用語です。
  • 匿名加工・仮名加工との関係 — 匿名加工情報・仮名加工情報を作る際には、個人識別符号を全部削除(または置き換え)することが加工の要件に含まれるとされています。

📝 試験でのポイント

💡 ポイント
  • 「個人識別符号に該当するものはどれか」という具体例の選別問題が最有力です。指紋データ・顔認識データ・パスポート番号・マイナンバーは該当、携帯電話番号・クレジットカード番号は非該当、が判断の軸になります。
  • 「身体的特徴をデータ化した符号」と「公的に割り当てられた番号」という2類型の枠組みを問う形式が想定されます。
  • 「個人識別符号を含む情報は、それだけで個人情報に該当する」という法的効果の正誤判定も要注意です。
  • 顔認証システムや生成AIへの入力など、AI事例と絡めた出題も考えられます。実務では政令・規則や個人情報保護委員会の最新ガイドラインの確認が前提です。

📚 まとめ

💡 ポイント
  • 個人識別符号は、それ単体で特定の個人を識別できるものとして政令等で定められた符号で、2015年改正の個人情報保護法で明確化されました。
  • 指紋・顔・虹彩などの身体系と、パスポート番号・マイナンバーなどの番号系の2類型があります。
  • 個人識別符号を含む情報は、それだけで個人情報として保護の対象になります。
  • 携帯電話番号などは該当しないとされる一方、組み合わせ次第で個人情報にはなり得る点まで押さえておきましょう。