学べること
- 個人情報保護法における3つの情報分類
- 「個人を特定できる」かどうかの判断基準
- 実務で頻出する具体例と分類
- Cookie・位置情報・閲覧履歴の扱い方
はじめに
「個人情報」と「個人に関する情報」は全く異なる概念です。
この違いを理解しないと、法的義務を誤解したり、不要な規制を受ける可能性があります。
本記事では、個人情報保護法の条文に基づき、この違いを明確に解説します。
法律上の定義(個人情報保護法第2条)
個人に関する情報(上位概念)
生存する個人に関する全ての情報を指す包括的な概念。
以下の4つのカテゴリに分類されます:
個人に関する情報(最上位概念)
├── 個人情報 ← 特定の個人を識別できる
├── 個人関連情報 ← 個人を識別できない
├── 仮名加工情報 ← 個人識別情報を削除
└── 匿名加工情報 ← 復元不可能に加工
個人情報(第2条第1項)
生存する個人に関する情報で、以下のいずれかに該当するもの:
第一号: 氏名、生年月日その他の記述により特定の個人を識別できるもの
- 他の情報と容易に照合して識別できる場合も含む
第二号: 個人識別符号が含まれるもの
- マイナンバー、運転免許証番号、パスポート番号
- 顔認証データ、指紋データ、声紋データ
個人関連情報(第2条第11項)
「生存する個人に関する情報」のうち、以下のいずれにも該当しないもの:
- 個人情報
- 仮名加工情報
- 匿名加工情報
具体例:
- Cookie ID、広告ID
- IPアドレス(単体では個人特定不可)
- ウェブ閲覧履歴
- 性別、年齢、職業(属性情報のみ)
- 位置情報(1日分など、個人特定困難)
決定的な違い: 「特定の個人を識別できるか」
| 分類 | 特定の個人を識別できるか | 法的義務 |
|---|---|---|
| 個人情報 | ✅ できる | 厳格な規制(第三者提供制限、本人同意、開示請求対応など) |
| 個人関連情報 | ❌ できない | 限定的な規制(第三者提供時の確認義務のみ) |
実務で頻出する具体例
ケース1: メールアドレス
| 情報 | 分類 | 理由 |
|---|---|---|
taro.yamada@example.com | 個人情報 | 氏名が含まれ、個人特定可能 |
user12345@example.com | 個人関連情報 | 単体では個人特定不可 |
ケース2: 位置情報
| 情報 | 分類 | 理由 |
|---|---|---|
| 複数日の位置情報 | 個人情報 | 自宅・職場が判明し、個人特定可能 |
| 1日の位置情報 | 個人関連情報 | 単体では個人特定困難 |
| 特定地点の滞在履歴のみ | 個人関連情報 | 個人を識別できない |
ケース3: Cookie・ウェブ履歴
| 情報 | 分類 | 理由 |
|---|---|---|
| Cookie ID + 閲覧履歴 | 個人関連情報 | 単体では個人特定不可 |
| Cookie ID + ログイン情報(氏名等) | 個人情報 | 照合により個人特定可能 |
ケース4: 属性情報
| 情報 | 分類 | 理由 |
|---|---|---|
| 「30歳、男性、東京都在住」 | 個人関連情報 | 特定個人を識別できない |
| 「山田太郎、30歳、東京都在住」 | 個人情報 | 氏名により個人特定可能 |
ケース5: 電話番号
| 情報 | 分類 | 理由 |
|---|---|---|
| 電話番号 + 氏名 | 個人情報 | 氏名により個人特定可能 |
| 電話番号のみ | 個人情報 | 他の情報と容易に照合可能(電話帳等) |
「容易照合性」の判断基準
容易に照合できる = 個人情報
個人情報保護委員会の解釈:
「通常の業務における一般的な方法で、他の情報と容易に照合できる場合」は個人情報に該当
具体例:
- 社内システムで顧客IDから氏名を検索できる → 個人情報
- 自社が保有する別データベースと照合可能 → 個人情報
容易に照合できない = 個人関連情報
具体例:
- Cookie IDのみ(ログイン情報なし) → 個人関連情報
- 匿名アンケート回答(回答者と紐づけ不可) → 個人関連情報
法的義務の違い
個人情報の場合(第4章 第1節)
必須対応
- 利用目的の特定・通知(第15条、第18条)
- 本人同意を得た範囲内での利用(第16条)
- 適正な取得(第17条)
- 安全管理措置(第20条)
- 第三者提供の制限(第23条)
- 原則として本人同意が必要
- 開示・訂正・利用停止請求への対応(第28-30条)
個人関連情報の場合(第26条の2)
必須対応
第三者提供時の確認義務のみ
- 提供先で個人データとなることが想定される場合
- 提供先が本人同意を得ているか確認
免除される義務
- 利用目的の特定・通知
- 開示請求対応
- 訂正・利用停止請求対応
よくある誤解
誤解1: 「個人に関する情報は全て個人情報」
❌ 誤り ⭕ 正解: 個人に関する情報のうち、「特定の個人を識別できる」ものだけが個人情報
誤解2: 「Cookie情報は常に個人情報」
❌ 誤り ⭕ 正解: Cookie単体では個人関連情報。ログイン情報と紐づいた場合に個人情報となる
誤解3: 「匿名化すれば個人情報でなくなる」
⚠️ 注意が必要
- 匿名加工情報(復元不可能) → 個人情報ではない
- 仮名加工情報(識別情報削除) → 個人情報として扱われる
判断フローチャート
生存する個人に関する情報である
↓
YES
↓
特定の個人を識別できる?
(氏名、個人識別符号、容易照合性)
↓
YES → 【個人情報】
(厳格な規制対象)
↓
NO
↓
匿名加工情報・仮名加工情報?
↓
NO → 【個人関連情報】
(限定的な規制)
実務での注意点
1. 複数情報の組み合わせに注意
個別では個人関連情報でも、組み合わせると個人情報になる
例:
- Cookie ID(単体) → 個人関連情報
- Cookie ID + 購入履歴 + 配送先住所 → 個人情報
2. 時間経過による変化
蓄積により個人関連情報 → 個人情報に変化する場合がある
例:
- 位置情報(1日分) → 個人関連情報
- 位置情報(30日分) → 個人情報(自宅・職場が特定可能)
3. 外部データとの照合可能性
自社では個人関連情報でも、提供先で個人情報になる場合
例:
- Cookie ID(自社) → 個人関連情報
- Cookie ID(提供先がログイン情報保有) → 個人情報
- この場合、第26条の2(個人関連情報の第三者提供制限)が適用
2026年の改正動向
個人情報保護委員会が2024年6月27日に公開した「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」によれば、以下の点が検討中:
- 個人関連情報の範囲見直し
- Cookie規制の強化
- 国際的な整合性の確保
引き続き最新情報を確認することが重要です。
まとめ
✅ 重要ポイント
| 項目 | 個人情報 | 個人関連情報 |
|---|---|---|
| 定義 | 特定の個人を識別できる | 個人を識別できない |
| 例 | 氏名+属性、マイナンバー | Cookie ID、閲覧履歴 |
| 法的義務 | 厳格(本人同意、開示請求対応等) | 限定的(第三者提供時のみ) |
| 変化 | 組み合わせにより個人関連情報から変化する場合あり | 蓄積により個人情報になる場合あり |
🔑 実務での判断基準
-
その情報単体で特定の個人を識別できるか?
- YES → 個人情報
- NO → 次へ
-
他の情報と容易に照合して特定の個人を識別できるか?
- YES → 個人情報
- NO → 個人関連情報
-
時間経過や蓄積により個人情報に変化する可能性はあるか?
- YES → 定期的に再評価が必要
参考資料
公式ガイドライン
- 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
- 個人情報保護委員会FAQ「個人情報」「個人データ」「保有個人データ」とは
- 個人情報保護委員会FAQ「個人関連情報」とは
条文
解説記事
執筆日: 2026-02-17 最終更新: 2026-02-17 参照法令: 個人情報の保護に関する法律(令和5年改正版)
個人情報と個人関連情報の違いを正確に理解し、適切なデータ管理を実現しましょう!