「個人情報保護法⑤」

本日、ブログを担当するシステム開発課の鈴木です。

前回は「個人情報データベース等とは」について記載しました。
今回は「個人データと保有個人データとは」について記載します。

個人情報保護法では、個人データと保有個人データという言葉を使い分けており、
特に保有個人データについては法律による縛りが多くなります。
何が個人データで、何が保有個人データとなるのかをよく理解することで、
「やらなければならないこと」を整理できます。

1．個人データ
　法では、以下のように個人データを定義しています。
　第二条　第4項
　　この法律において「個人データ」とは個人情報データベース等を構成する個人情報をいう。

　経済産業省のガイドラインでは、個人データに該当する事例として、以下の2つを挙げています。
　　事例1）　個人情報データベース等から他の媒体に格納したバックアップ用の個人情報
　　事例2）　コンピュータ処理による個人情報データベース等から出力された帳票等に印字された個人情報

　元になる個人情報データベース等そのもの以外にも、
　コピーや印刷物に含まれる個人情報も個人データであるとしています。
　要するに、個人情報データベース等のコピーや印刷物も同様に管理をしなければならないと
　いうことになり、不要なコピーを持つことは管理する対象（個人データ）を増やすことになるのです。
　本当に必要なコピーなのか、印刷すべきものなのか、業務の手順を見直し、
　個人データとして管理する対象を減らすことが重要です。

2．保有個人データ
　法では、以下のように保有個人データを定義しています。
　第二条　第5項
　　この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、
　　利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、
　　その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は
　　一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。

　保有個人データとは、個人データから例外を除いたものであるということになります。
　では、どのようなものを例外としているのでしょうか。

　経済産業省のガイドラインでは、保有個人データについて、以下のように例外について解説しています。
　（1）　その存否が明らかになることにより、公益その他の利益が害されるもの。
　（2）　6か月以内に消去する（更新することは除く。）こととなるもの。

　6カ月という期間は政令で定められており、6カ月以内に消去するような一時的な個人データについては、
　保有個人データとして扱う必要はないということになります。
　まずは、6カ月を超えて保有し続ける必要のある個人情報であるかどうかが、
　保有個人データとして取り扱うかどうかのボーダーになるのです。
　保有個人データについては、法第二十四条から三十条でさまざまな「やらなければならないこと」が
　規定されています。

　では、例外（1）「その存否が明らかになることにより、公益その他の利益が害されるもの」は
　何を指すのでしょうか。経済産業省のガイドラインでは、以下のような例を挙げています。
　ここに挙げられているような例外とされる個人データは、保有個人データとはしないということになります。

　例えば、事業者の方が気になさっているものに、いわゆる「クレーマーリスト」があると思います。
　これは、上記例外の悪質なクレーマーなどの個人データに当たりますので、
　保有個人データとしての義務を負う必要はないということです。
　ただし、クレーマーリストであることが分かる状態で、個人情報が漏えいするようなことがあると
　大変ですので、厳重な管理が必要となることはいうまでもありません。

次回は「保有個人データに対する法律」について記載したいと思います。