連載
» 2005年04月21日 00時00分 UPDATE

やさしく読む「個人情報保護法」(2):「個人データ」とは何でしょうか? (1/3)

[直江とよみ,NECソフト株式会社]

 2005年4月を迎え、「個人情報の保護に関する法律」(以下、個人情報保護法)が全面施行となりました。皆さんの会社では、法施行に合わせ「個人情報取扱事業者」としての仕組みづくりは整っていますか?

   「個人情報取扱事業者」については第1回を参照してください


 前回、個人情報保護法の概略と、基本的な部分の理解のために「個人情報」の解説をしました。2回目の今回は、個人情報保護法の中で使われている「個人情報データベース等」「個人データ」「保有個人データ」といったキーワードを解説していきます。

 この法律では、情報主体(個人情報を提供する本人)のさまざまな権利と個人情報取扱事業者の義務をうたっていますが、果たして、保有しているすべての個人情報について何から何まで対応しなくてはならないのでしょうか?

 今回も個人情報保護法と、経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を参照しながら解説していきます。

個人情報の保護に関する法律

http://www5.cao.go.jp/seikatsu/kojin/houritsu/index.html

個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン

http://www.meti.go.jp/policy/it_policy/privacy/041012_hontai.pdf


個人情報データベース等とは

 前回、この法律の対象は個人情報取扱事業者であることを解説しました。つまり、個人情報データベース等を事業の用に供している者だけが対象となります。今回は、個人情報データベース等という言葉に注目します。

第二条 第3項

 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。(以下省略)


 法では、以下のように個人情報データベース等を定義しています。

第二条 第2項

 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に揚げるものをいう。

 一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

 二 前号に揚げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの


 ここでのキーワードは2つです。

  1. 「電子計算機を用いて検索することができるように体系的に構成したもの」
  2. 「容易に検索することができるように体系的に構成したもの」

 法で「政令で定めるもの」としている「個人情報の保護に関する法律施行令」(以下、政令)では、次のような定義をしています。

第一条

 法第2条第2項第2号の政令で定めるものは、これに含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。


 電子計算機=コンピュータで個人情報が管理される場合、多くの場合データベースのような形になっています。「体系的に構成したもの」とは、このデータベースのようなものを指しています。コンピュータの処理能力を持ってすれば、何万件、何千万件といった個人情報の中から、1人の個人情報を探し出すことは容易である、といえます。

 また、コンピュータを用いなくても、紙の情報も「検索できるよう体系的に構成」されていれば、個人情報データベース等に当たります。例えば、五十音順や、年月日などで整理されており、目次や索引があり、容易に検索できる形であれば、個人情報データベース等になるということです。

r1202_02.png

 経済産業省のガイドラインでは、個人情報データベース等に該当する事例として以下のようなものを挙げています。

事例1) 電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)

事例2) ユーザーIDとユーザーが利用した取引についてのログ情報が保管されている電子ファイル(ユーザーIDを個人情報と関連付けて管理している場合)

事例3) 従業員が、名刺の情報を業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて入力・整理し、他の従業員等によっても検索できる状態にしている場合

事例4) 人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合

事例5) 氏名、住所、企業別に分類整理されている市販の人名録


 特に、日常の業務の中で蓄積されていく個人情報に「名刺」があります。名刺は、個人の氏名が載っていますので個人情報となりますが、保管の仕方によって、個人情報データベース等に当たることになります。コンピュータに入力しないまでも、部内などで名刺を取りまとめてファイリングし、簡単に検索できるようになっていれば、個人情報データベース等となります。

 これら個人情報データベース等に含まれる特定の個人の数が、5000人を超えることが、個人情報取扱事業者となる条件となります。顧客情報だけでなく、社員・取引先情報も含みますので、よほどの小規模事業者でない限り、個人情報取扱事業者となることがご理解いただけると思います。

 また、個人情報データベース等に関してよく議論されるものに、電話帳やカーナビゲーションシステムがあります。これらも大量の個人情報が含まれるデータベースであることには間違いありません。ただし、これらの情報が配布された(または購入した)もので、加工・追加などすることなく、そのまま利用する限りにおいては「特定の個人の数」には含まれず、法第十九条から二十三条までの義務は適用されないとしています。

 ただし、電話帳やカーナビゲーション内の個人情報を取り出すなどして、ほかのデータベースを作ったり、新たに個人情報を追加したりする場合は、個人情報データベース等に当たりますので注意しましょう。

第十九条 (データ内容の正確性の確保)

 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。

第二十条 (安全管理措置)

 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

第二十一条 (従業者の監督)

 個人情報取扱事業者は、従業者に個人情報を取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

第二十二条 (委託先の監督) 

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

第二十三条 (第三者提供の制限)

 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

 一 法令に基づく場合

 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

 三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

 四 国の機関若しくは地公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。(第2項以下、省略)


       1|2|3 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

Focus

- PR -

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。