個人情報 | 個人データとは?

個人情報とは、氏名、住所、機器の識別番号、口座番号など、個人を特定できる情報のことです。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 「個人データ」および「個人情報」の法的定義に関する説明
  • 個人情報の収集がプライバシーに与える影響を理解する
  • 個人情報保護のための様々な方法を探る

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

個人情報または個人データとは?

個人情報(個人データとも呼ばれる)とは、特定の個人に関連するあらゆる情報のことです。個人情報の最もわかりやすい例としては、氏名、住所、電子メールアドレス、電話番号、医療記録(本人の特定に使用できる場合)などが挙げられます。また、個人情報保護のフレームワークでは、オンライン識別子やインターネットの閲覧履歴など、個人の特定に使える情報はすべて個人情報と見なされます。

インターネット技術により、個人データの収集は以前にも増して広く行われるようになりました。現在、個人情報はさまざまな場所に保存されています。例えば、Webアプリケーション、ソーシャルメディアプラットフォーム、広告ネットワーク、雇用者、医療提供者はすべて、特定の個人に関するデータをデジタル形式で世界中のサーバーに保存している可能性があります。このことは、 データプライバシーにとって重要な意味を持ちます。なぜなら、人々は自分の個人情報を誰が見ることができるかについて、自分が望むほどコントロールできないかもしれないからです。

「個人情報」と「個人データ」には、様々な種類のプライバシー法の下で、いくつかの法的定義があります。この記事では、特に米国とEUで事業を展開する企業にとって現代の重要なプライバシー法であるGDPRとCCPAの定義を紹介します。ただし、世界各国の規制では、それぞれ独自の定義がなされています。

GDPRにおける「個人データ」の定義とは?

EU一般データ保護規則(GDPR)は、EU居住者のデータに適用される包括的なデータ保護法です。GDPRでは、個人データとは、識別可能な自然人に関するすべての情報であると考えられています。これには、仮名化されたデータや、ウェブ閲覧セッションに関連する特定のCookie識別子など、個人の特定に使用できるものが含まれます。GDPRは次のように述べています。

個人データとは特定または特定可能な自然人に関する情報(以下「データ主体」という)を意味します。特定可能な自然人とは、氏名、個人識別番号、位置データ、オンライン識別子などの識別子から、あるいは当該自然人の身体的、生理学的、遺伝的、精神的、経済的、文化的または社会的アイデンティティを含む1つ以上の固有の要素を参照することにより、直接的または間接的に特定できる人物を指します。

CCPAでは「個人情報」をどのように定義しているか?

カリフォルニア州消費者プライバシー法(CCPA)は、米国カリフォルニア州の住民に関するデータを収集する企業に適用されます。CCPAにおいて個人情報は次のように定義されています。

「個人情報とは、特定の消費者または世帯を特定、関連、説明、関連付けることができる、または直接的または間接的に合理的にリンクできる情報のことである。」

CCPAは、個人情報の種類として多くを挙げており、それには、IPアドレス、生体情報、インターネット閲覧履歴などが含まれます。完全なリストは、カリフォルニア州消費者プライバシー法の第1798.140条に記載されています。

PII(個人を特定できる情報)とは?

個人を特定できる情報(PII)とは、個人情報の別称です。この用語は米国では一般的で、いくつかの定義があります。GDPRのようなヨーロッパの法律では、PIIの代わりに「個人データ」という用語を使う傾向があります。

企業は個人情報をどのように保護すべきか?

多くのデータ保護法のフレームワークでは、企業が収集できる個人情報の量が制限されています。企業が機能するために個人情報を収集または保存する必要がある場合には、そのデータの安全性と機密性を保つために十分な予防措置を講じる必要があります。

個人情報保護のための最も重要なステップとして、以下のものがあります。

  • データ収集と保持を制限する。 データは必要以上に長く保持すべきではありません。企業が保有するデータが多ければ多いほど、 データ漏えいの潜在的な影響は大きくなります。
  • 潜在的な侵害からデータを保護する。 データを保護するための最も重要な技術の一つは、暗号化です。組織はシステムを保護するために、 ファイアウォールセキュアウェブゲートウェイ など、他にもさまざまな手段を講じることができます。
  • アクセス制御で内部アクセスを制限する。 アクセス制御によって、許可された者だけがシステムやデータにアクセスできるようになります。不正なアクセスは、データ漏えいやプライバシー侵害に繋がる可能性があります。
  • プライバシーを優先する。企業は、個人情報保護規制への違反を回避するためにも、顧客を保護するためにも、サービスにセキュリティとプライバシーを組み込む必要があります。

その他のステップについては、一般的にデータプライバシー原則として参照される公正な情報慣行に記載されています。

ユーザーが自分の個人情報を保護する方法は?

可能な限り自分の情報の安全性と機密性を保つために、個人ができるいくつかのステップがあります。

HTTPSを使用したWebサイトだけを使用する:TLS暗号化を使用せずにサーバーとやりとりする、データが保護されていないWebサイトは避けましょう。そのようなWebサイトでは、HTTPSではなくHTTPが使用されています。

利用規約とプライバシーポリシーを確認する: これらは、Webサイトやアプリケーションがどの程度の個人情報を収集し、その個人情報がどのように扱われるかを理解するために重要です。

強力なパスワードと二要素認証を使用する:パスワードの使い回しや、簡単に推測できる弱いパスワードの使用は避けましょう。また、 二要素認証(2FA)を使用することで、オンラインアカウントの安全性が格段に向上します。

令状のカナリアを参照する:政府機関との情報共有に関するポリシーが変更されていないかを確認するために、サービスの令状のカナリアをチェックしましょう。

情報共有をオプトアウトする:CCPAの下、カリフォルニア州の住民には、自分の個人情報の販売を拒否する選択肢が与えられます。これにより、自分のデータを参照できるサードパーティの数を制限できます。

Cookieの使用を制御する: 一部のブラウザのCookieには、Webサイトが正常に機能するために必要なものもありますが、不要なCookieを可能な限りブロックすることで、個人のオンライン活動を追跡するサードパーティの数を制限することができます。

エンドツーエンドの暗号化を使用する:エンドツーエンドの暗号化により、メッセージングサービスの提供者を含むすべての人からメッセージの機密性を保つことができます。エンドツーエンドの暗号化の詳細についてはこちらをご覧ください。

安全性と機密性を重視したDNSを使用する: DNSリゾルバは、ユーザーがどのドメインを訪れたかを追跡することがありますが、これは多くの場合、この情報を広告主に販売するためです。 1.1.1.1 のような、機密性を重視したDNSリゾルバを使えば、閲覧履歴を詮索されることなく保護することができます。