個人情報とは、個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述、または個人別に付けられた番号、記号その他の符号、画像もしくは音声によって当該個人を識別できる情報です。
当該情報だけでは識別できないが、他の情報と容易に照合することが出来、それによって当該個人を識別できる情報も含みます。
※日本工業規格 JIS Q 15001：1999

逆に言えば、個人を＊簡単に＊識別できない情報は個人情報と定義されていないことになります。

つまり、犯罪歴があっても個人が＊簡単に＊特定できないように流通させることは可能だと思うのです。

例えば、
苗字＋犯罪履歴だけでは、他の情報と付きあわせても個人を特定できませんから、個人情報ではないので流出させても大丈夫かと。
氏名＋犯罪履歴の場合は、微妙ですね。
森喜朗＋犯罪履歴の場合、森喜朗さんは日本に３名いるそうですから、
http://www.nipponsoft.co.jp/products/bldoko/index.html
個人の特定はそう簡単にできないですからねぇ・・・・

犯罪履歴に限らず、普通の人が考える個人情報は、上記の定義ではグレーです。
ですので、ほとんどのプライバシーポリシーでも
個人情報項目は開示できない状況です。

ちなみに１利だけ利点もあって、例えば政治家汚職の場合に、
当該政治家からマスコミに開示請求があっても、
個人が用意に特定できる項目だけ開示すれば良いのでシラを切れます。