「個人情報保護法④」

本日、ブログを担当するシステム開発課の鈴木です。

前回は「個人情報取扱事業者とは」について記載しました。
今回は「個人情報データベース等とは」について記載します。

個人情報データベース等を事業の用に供している者だけが対象となります。
　第二条　第3項
　　この法律において「個人情報取扱事業者」とは、
　　個人情報データベース等を事業の用に供している者をいう。（以下省略）

法では、以下のように個人情報データベース等を定義しています。
　第二条　第2項
　　この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、
　　次に揚げるものをいう。
　　一　特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
　　二　前号に揚げるもののほか、特定の個人情報を容易に検索することができるように体系的に
　　　　構成したものとして政令で定めるもの

ここでのキーワードは2つです。
　１．「電子計算機を用いて検索することができるように体系的に構成したもの」
　２．「容易に検索することができるように体系的に構成したもの」

法で「政令で定めるもの」としている「個人情報の保護に関する法律施行令」（以下、政令）
では、次のような定義をしています。
　第一条
　　法第2条第2項第2号の政令で定めるものは、これに含まれる個人情報を一定の規則に従って
　　整理することにより特定の個人情報を容易に検索することができるように体系的に構成した
情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。

電子計算機＝コンピュータで個人情報が管理される場合、多くの場合データベースのような形に
なっています。
「体系的に構成したもの」とは、このデータベースのようなものを指しています。
コンピュータの処理能力を持ってすれば、何万件、何千万件といった個人情報の中から、
1人の個人情報を探し出すことは容易である、といえます。
また、コンピュータを用いなくても、紙の情報も「検索できるよう体系的に構成」されていれば、
個人情報データベース等に当たります。例えば、五十音順や、年月日などで整理されており、
目次や索引があり、容易に検索できる形であれば、個人情報データベース等になるということです。

経済産業省のガイドラインでは、個人情報データベース等に該当する事例として以下のようなもの
を挙げています。
　事例1） 電子メールソフトに保管されているメールアドレス帳
　　　　　（メールアドレスと氏名を組み合わせた情報を入力している場合）
　事例2） ユーザーIDとユーザーが利用した取引についてのログ情報が保管されている電子ファイル
　　　　　（ユーザーIDを個人情報と関連付けて管理している場合）
　事例3） 従業員が、名刺の情報を業務用パソコン（所有者を問わない。）の表計算ソフト等を
　　　　　用いて入力・整理し、他の従業員等によっても検索できる状態にしている場合
　事例4） 人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを
　　　　　付してファイルしている場合
　事例5） 氏名、住所、企業別に分類整理されている市販の人名録

特に、日常の業務の中で蓄積されていく個人情報に「名刺」があります。名刺は、個人の氏名が
載っていますので個人情報となりますが、保管の仕方によって、個人情報データベース等に当たる
ことになります。
コンピュータに入力しないまでも、部内などで名刺を取りまとめてファイリングし、
簡単に検索できるようになっていれば、個人情報データベース等となります。

これら個人情報データベース等に含まれる特定の個人の数が、5000人を超えることが、
個人情報取扱事業者となる条件となります。顧客情報だけでなく、社員・取引先情報も含みますので、
よほどの小規模事業者でない限り、個人情報取扱事業者となることがご理解いただけると思います。

また、個人情報データベース等に関してよく議論されるものに、電話帳やカーナビゲーション
システムがあります。
これらも大量の個人情報が含まれるデータベースであることには間違いありません。
ただし、これらの情報が配布された（または購入した）もので、加工・追加などすることなく、
そのまま利用する限りにおいては「特定の個人の数」には含まれず、法第十九条から二十三条まで
の義務は適用されないとしています。

ただし、電話帳やカーナビゲーション内の個人情報を取り出すなどして、ほかのデータベースを
作ったり、新たに個人情報を追加したりする場合は、個人情報データベース等に当たりますので
注意しましょう。
　第十九条　（データ内容の正確性の確保）
　　個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ
　　最新の内容に保つよう努めなければならない。
　第二十条　（安全管理措置）
　　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の
　　個人データの安全管理のために必要かつ適切な措置を講じなければならない。
　第二十一条　（従業者の監督）
　　個人情報取扱事業者は、従業者に個人情報を取り扱わせるに当たっては、当該個人データの
　　安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
　第二十二条　（委託先の監督）
　　個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを
　　委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な
　　監督を行わなければならない。
　第二十三条　（第三者提供の制限）
　　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、
　　個人データを第三者に提供してはならない。

　　一　法令に基づく場合
　　二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ること
　　　　が困難であるとき。
　　三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、
　　　　本人の同意を得ることが困難であるとき。
　　四　国の機関若しくは地公共団体又はその委託を受けた者が法令の定める事務を遂行すること
　　　　に対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行
　　　　に支障を及ぼすおそれがあるとき。（第2項以下、省略）

次回は「個人データと保有個人データとは」について記載したいと思います。