ビジネスで個人情報を取り扱う場合、取扱いや流通が簡単になり使いやすくなるため、個人情報をデータ化することも多いでしょう。
また、必ずしもデータ化せずとも、何らかの方法で使いやすく整理等をすることがあると思います。
ところで、個人情報保護法は、「個人情報」のうちデータベース化されたものについて、「個人データ」としてこれを取り扱うこととしています。
個人情報保護法による規制については別途まとめる予定ですが、「個人データ」に該当する個人情報は、「個人情報」と比べ、より個人情報保護法による規制が強くなっています。
ですから、何が単なる「個人情報」を超えて「個人データ」となるのか、という点は非常に重要だと考えられます。
では、個人情報保護法でいう「個人データ」(個人情報保護法2条6項)とは何かを見て行くこととしましょう。
個人情報保護法2条6項によると、「個人データ」とは、「個人情報データベース等を構成する個人情報」のことを指します。
個人情報保護法第2条第6項 この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
とすると、今度は「個人情報データベース等」とは何だろう、という疑問が当然出てくると思います。
そこで、「個人情報データベース等」の定義規定である同法2条4項を簡潔にまとめると、次のような定義がされていることがわかります。
なお、「個人情報データベース等」、ひいては「個人データ」の該非の判断において最も重要なのは、特定の個人情報を(容易に)検索することができるように体系的に構成されているか否かという点になります。
したがって、「個人データ」とは、以上の3つの要件をみたす「個人情報データベース等を構成する個人情報」をいいます。
コンピューターで検索できない情報であるからといって「個人データ」に該当しないわけではない、という点には注意が必要です。
なお、除外事由に該当するものの例としては、市販の電話帳や住宅地図等が挙げられます。
(以下、関連条文引用)
個人情報保護法第2条第4項 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの同法施行令第3条 法第2条第4項の利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものは、次の各号のいずれにも該当するものとする。
一 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。
二 不特定かつ多数の者により随時に購入することができ、又はできたものであること。
三 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。
2 法第2条第4項第2号の政令で定めるものは、これに含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。
結局何が「個人情報データベース等」に該当して、結果としてどういう「個人情報」が「個人データ」に該当するのか、という疑問も出てくるかと思います。
そこで、名刺を例にして簡単に説明すると、「個人情報データベース等」の該非については、次のとおりとなります。
したがって、同じ例で言うと、「個人データ」の該非については、次のとおりとなります。
以下、ガイドライン等の引用となります。
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」p17によると、「個人情報データベース等」に該当する事例と該当しない事例として、それぞれ次のようなものが挙げられます。
【個人情報データベース等に該当する事例】
事例1) 電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)
事例2) インターネットサービスにおいて、ユーザーが利用したサービスに係るログ情報がユーザーIDによって整理され保管されている電子ファイル(ユーザーIDと個人情報を容易に照合することができる場合)
事例3) 従業者が、名刺の情報を業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて入力・整理している場合
事例4) 人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合
【個人情報データベース等に該当しない事例】
事例1) 従業者が、自己の名刺入れについて他人が自由に閲覧できる状況に置いていても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合
事例2) アンケートの戻りはがきが、氏名、住所等により分類整理されていない状態である場合
事例3) 市販の電話帳、住宅地図、職員録、カーナビゲーションシステム等
また、個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」pp9-12によると、個人情報データベース等の該非について、それぞれ次のようなことがわかります。
また、前記ガイドラインp19によると、「個人データ」に該当する事例と該当しない事例として、それぞれ次のようなものが挙げられます。
【個人データに該当する事例】
事例1) 個人情報データベース等から外部記録媒体に保存された個人情報
事例2) 個人情報データベース等から紙面に出力された帳票等に印字された個人情報
【個人データに該当しない事例】
事例) 個人情報データベース等を構成する前の入力用の帳票等に記載されている個人情報
冒頭で少しだけ触れたように、「個人データ」は「個人情報」と比べ、個人情報を取り扱う事業者に課される規制が厳しくなります。
しかし、「個人情報」を含むデータ(「個人データ」を意味しない単なる「データ」の意味です。)を共有するにあたって、本人の同意なき第三者提供の禁止等の規制は、支障になるとも言い得ます。
したがって、もちろんケースバイケースではありますが、あえて検索性のある体系化をせず、「個人情報」を「個人データ」化しないということも、戦略としてはあり得ます。
他方で、「個人データ」化しなければ「個人情報」の容易検索性が失われるわけですから、「個人データ」とした場合の規制に服する際のコストと「個人データ」化しない場合のデータの取扱いのコストを、それぞれ比較検討した上で判断することが必要と考えられます。
受付: 10:00~18:00 / 土日祝を除く