平成26年度 秋期 ITパスポート試験 公開問題 問21 解説 個人情報の定義

個人情報保護法における「個人情報」かどうかの判断基準は、その情報単体、あるいは他の情報と容易に照合することで、特定の個人を識別できるかどうかです。この問題では、匿名性が高く個人を特定できない情報と、社会生活において個人を特定するために用いられる情報の違いを見極めることがポイントです。

個人情報の定義と判断基準

個人情報保護法における個人情報とは、生存する個人に関する情報であって、以下のいずれかに該当するものを指します。

1. 氏名、生年月日、その他の記述等により特定の個人を識別できるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む）。
2. 個人識別符号が含まれるもの（指紋データやマイナンバー、パスポート番号など）。

今回の選択肢をこの基準に当てはめて検討します。

b（取引先企業の役職と社員名）、c（氏名と住所、電話番号）、d（名刺データベース）は、いずれも特定の個人を識別できる情報です。これらは業務や日常生活において、その人個人を指し示すために利用されるため、法律上の保護対象となります。

一方で、a（記号や数字だけからなるハンドルネーム）は、その情報だけでは誰がそのハンドルネームを使っているのかを特定することができません。インターネット上の掲示板やSNSで広く使われるハンドルネームは、それ自体が特定の個人を指し示すものとして登録・管理されていない限り、個人情報には該当しません。

なぜこの知識が重要なのか

ITパスポート試験においてこの問題が出題される背景には、ITの実務現場におけるリスク管理の意識を問う意図があります。

企業が保有するデータベースは、単なる記録の集まりではなく、取り扱いを誤れば重大なプライバシー侵害や情報漏洩事故につながる資産です。「名刺をスキャンして取り込んだ」「顧客リストを作成した」といった日常的な業務が、実は個人情報保護法という法律の枠組みの中で管理されるべき行為であるという認識を持つことは、ITプロフェッショナルとしての最低限の素養です。

例えば、システム開発を行う際、テストデータに本物の氏名や電話番号が含まれていないかを確認するプロセスは、この定義を正しく理解しているからこそ生まれる慎重さです。ハンドルネームのような匿名情報と、名刺のような個人情報を区別して管理できる能力は、適切な情報セキュリティ対策を講じるための第一歩となります。

参考リンク

• 個人情報保護法（個人情報とは）
• 【ITパスポート試験対策】個人情報保護法をわかりやすく解説！
• 【初心者向け】個人情報保護法の基本と、エンジニアが意識すべき「匿名加工情報」について