法的には、
『個人情報データベースを事業の用に供している者、ただし以下の者を除く
国の機関、地方公共団体、独立行政法人等
その取り扱う個人情報の量および利用方法からみて個人の権利利益を害するおそれが少ないもの
=除外1 個人の数が過去六ヶ月のいずれの日においても5000人を超えない者
=除外2 他人の作成した、氏名・住所・電話番号のみのデータベースで変更されていないもの』となります。
- 特定の個人の数に参入しない事例
- 電話会社より提供された電話帳および市販の電話帳CD−ROMに掲載されている氏名および電話番号
- 市販のカーナビに格納されている氏名、住所、所在地情報を示すデータ
- 倉庫業、データセンター等の事業で個人情報であるかどうかを認識することなく預かっている場合の個人情報(事業の用に供していないため)
国や地方自治体は別の法律で規制されています。ここで除外されているのは、自社が管理する個人情報の数が5,000人を超えない者 です。つまり、自社の保有・管理する個人情報が5,000人を超えない企業は、個人情報保護法では個人情報取扱事業者とはならず、第四章の義務や第六章の罰則の適用を受けない ということです。
しかし、注意してください。ここで適用を受けないのは、個人情報保護法 の個人情報取扱事業者としての義務 です。5,000人以下の企業は個人情報を保護しないくてもよいわけではありません。万一、個人情報の漏洩があった場合、5,000人の上下に係らず、刑事や民事および社会的な責任は追求されることになります。
この点は、第五章で適用除外を受けている、政治団体・宗教団体等も同様です。むしろ、政治団体・宗教団体が取り扱っている情報は、憲法が保障している、思想・信条・宗教の自由に深く係る情報=センシティブ情報であるため、一般企業以上の慎重な取扱いが望まれていると考えられます。
個人情報保護法では
『個人情報を含む集合物であり、
電子計算機を用いて検索することができるように体系的に構成したもの
容易に検索することができるように体系的に構成したもの』とされています。具体的には、
- 個人情報データベースの事例(○:該当、×:非該当)
- ○ 電子メールソフトのアドレス帳
- ○ 人材派遣会社の登録カードで指名の五十音順でファイルされたもの
- ○ 氏名、住所、企業別に分類整理されている市販の人名録
- × アンケートの戻りハガキで氏名、住所等で分類整理されていない状態である場合
Q.従業員個人しか使用できない名刺、アドレスは
A.企業にとってのデータベースには含まれない。ただし企業活動に利用していれば企業の個人情報データベースに該当する
これもさまざまなケースが考えられます。確認しておきべきなのは、紙の情報であっても個人情報デーベースとなる点、社員が個人的に所有している情報であっても企業活動に利用していれば企業の個人情報データベースとなるという点です。
個人情報保護法によれば、
『個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することとなるものを含む)』となっています。理解するために、具体的事例とQ&Aを見てみましょう。
- 個人情報の事例(○:個人情報に該当するもの、×:該当しないもの)
- ○ 本人の氏名
- ○ 生年月日、連絡先(住所・電話番号等)、会社での職位・所属
- ○ 防犯カメラに記録された情報等、本人が識別できる画像情報
- ○ 雇用管理情報
- ○ 官報、電話帳、職員録等で公にされている情報
- × 団体の情報
- × 特定の個人を識別できない統計情報
Q.メールアドレスは個人情報か?
A.特定の個人を識別できるメールアドレス(例 keizai_ichiro@meiti.go.jp等)は個人情報となる
Q.同姓同名の人もあり、本人の氏名だけでは特定できないのでは?
A.社会通念上特定できると解される
いろいろなケースを考えると混乱してしまいそうです。最終的な結論は法律の専門家に任せるとして、企業としては、「生きている個人を特定できる情報が個人情報である」と理解し、個人情報とされる可能性のある情報は個人情報として取り扱う必要があるでしょう。
個人情報にもランクがあります。
住所、氏名、年齢、性別、生年月日、電話番号は、個人を特定する情報です。個人情報の基礎として、「基本情報」と呼ばれています。この基本情報の他に、「センシティブ情報」と呼ばれる情報があります。個人の信用情報や、個人の資産や負債、収入、支出や過去の債務の情報などは、個人の財産や債務の状況がわかってしまいますので、センシティブ情報として取り扱われます。他にも、他人に知られた場合、差別を引き起こす可能性のある、人種や民族、本籍、信教、思想、医療情報、犯罪歴なども、センシティブ情報となります。
個人情報保護法は次の6つの章で構成されています。
- 第一章 総則(目的、定義、基本理念)
- 第二章 国および地方公共団体の責務等
- 第三章 個人情報の保護に関する施策等
- 第四章 個人情報取扱事業者の義務等
- 第五章 雑則(適用除外等)
- 第六章 罰則
ここでは第一章のうち用語の定義について簡単に説明することにします。第二章と第三章は国や地方自治体の責任や施策について触れた部分です。第四章が個人情報保護法のうち、一般企業にとって最も重要な条文です。これは次のページ以降で触れることにします。
用語の定義を具体的かつ実践的に理解するために、経済産業省のガイドラインと同ガイドラインのQ&A(個人情報保護ガイドライン等に関するQ&A 注.このQ&Aは随時追加されており、内容も具体的で役に立ちます。PDFです。)も適宜引用していきます。
企業は個人情報の保護にむけて、どうやって対応していけばよいのでしょうか?
個人情報保護法を受け、各省庁では、企業が対応を行う際の参考となるような、分かりやすいマニュアル(=ガイドライン)を作成しています。各企業は自社の監督官庁が作成したガイドラインを参考にして、個人情報の保護に取り組むことになります。
厚生労働省(医療一般分野)、金融庁(金融分野)、総務省(電気通信分野)などの省庁がガイドラインを作成しています(詳しくは個人情報参考リンク 各省庁ガイドライン情報を参照ください)。経済産業省も平成16年10月に、「個人情報の保護に関する法律についての経済産業分を対象とするガイドライン」を改訂しています。本サイトでは、最も多くの企業が参考にするであろう、経済産業省のガイドラインに従って個人情報保護への取り組みを検証していくことにします。
