改正個人情報保護法の個人情報・個人情報データベース・個人データ?

スポンサーリンク



みなさん、こんにちは

個人情報保護法が改正され、平成29年より施行されましたが、「個人情報」、「個人情報データベース」、「個人データ」、「保有個人データ」、「要配慮個人情報」と、なんとなくわかりますが、具体的なことに掘り下げると間違えてしまいます。

そこで、それぞれを簡略にまとめて、具体的事例をあげてみました。

スポンサーリンク



個人情報(個人情報保護法第2条)

生存する個人に関する情報であって

氏名、性別、生年月日等個人を識別する情報に限らず、個人の身体、財産、職種等の属性に関して、事実、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報、映像・音声による情報も含まれ、暗号化などによって秘匿化の有無は問わない。

●特定の個人を識別できるもの

●他の情報と容易に照合することができ、それによって特定の個人を識別できるもの

個人情報に該当する事例

  1. 本人の氏名
  2. 生年月日、連絡先(住所・電話番号・メールアドレスなど)、会社における職位又は所属に関する情報について、それらと本人の氏名を組合わせた情報
  3. 防犯カメラに記録された情報等、本人が判別できる映像情報
  4. 本人の氏名が含まれる等の理由により、特定の個人を識別できる音声録音情報
  5. 特定の個人を識別できるメールアドレス情報
  6. 個人情報を取得後に当該情報に付加された個人に関する情報(取得時に識別できなくても取得後に新たな情報が付加され、照合された結果、識別できる場合はその時点で個人情報になる)
  7. 官報、電話帳、職員録、法定開示書類(有価証券報告書等)、新聞、ホームページ、SDS等で公にされている特定の個人を識別できる情報

kojinjyouhou-database-youhairy

個人情報データベース等(個人情報保護法第2条4項)

個人情報を含む情報の集合物であって

●特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

  • 特定の個人情報をコンピューターを用いて検索することができるように体系的に構成したもの
  • 紙面で処理した個人情報を一定の規則(50音順など)によって整理・分類し、目次、索引、インデックス等をつけて、特定の個人情報を、他人によっても容易に検索することができるように構成したもの

●特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

電話帳、カーナビゲーションシステム等の除外

  • 不特定かつ多数の者に販売することを目的として発行されたものであった、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。
  • 不特定かつ多数の者により随時に購入することができ、又はできたものであること。
  • 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。

個人情報データベース等に該当する事例

  1. メールアドレスと氏名を組合わせた情報を入力したメールアドレス帳
  2. ユーザーIDと個人情報を容易に照合することができるログ情報が保管されている電子ファイル
  3. 従業員が名刺情報を業務用パソコンで容易に検索できるように入力・整理した表計算ソフトなどの電子ファイル
  4. 人材派遣会社が登録カードを容易に検索できるように、例えば、氏名を50音順に整理し、50音順のインデックスを付けたファイル

個人情報データベース等に該当しない事例

  1. 従業員の名刺入れが他人に自由に検索できる状況に置いていても、他人には容易に検索できない独自の分類方法で名刺を整理・分類した状態である場合
  2. 戻ったアンケートはがきが氏名、住所等により整理・分類されていない状態である場合
  3. 市販の電話帳、住宅地図、職員録、カーナビゲーションシステムなど

個人情報取扱い事業者(個人情報保護法第2条5項)

個人情報データベース等を事業の用に供している者

次の掲げる者は除く

●国の機関・地方公共団体・独立行政法人等・地方独立行政法人

★JISQ15001 2017の適用範囲における、事業の用に供している事業はおっぱん社会通念上事業と認められるものをいい、営利事業だけを対象とするものではない。このため、従業員の個人情報は、事業の用に供している個人情報である。

個人データ(個人情報保護法第2条6項)

個人情報データベース等を構成する個人情報

個人情報データベースに整理・分類する前の個人情報(名刺、他)と、個人データは全くの別物になります。

個人データに該当する事例

  • 個人情報データベース等から外部記録媒体に保存された個人情報
  • 個人情報データベース等から紙面に出力された帳票等に印字された個人情報

個人データに該当しない事例

  • 個人情報データベース等を構成する前の入力用の帳票等に記載されている個人情報

本人(個人情報保護法第2条8項)

「本人」とは、個人情報によって識別される特定の個人をいう

保有個人データ(個人情報保護法第2条7項)

個人情報取扱事業者が、(本人またはその代理人から請求される)開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止(法28条~30条)を行うことができる権限を有する個人データ

個人情報(個人データ)の処理を委託している場合は、原則として委託元が上記の権限を有しており、委託先ではない。

保有個人データからの除外されるもの

「保有個人データからの除外されるもの」意味がわかりにくいのですが、

下記に示す除外される個人情報は、本人から開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の請求があったとしても、存否を明らかにしたり、請求に応じたりする義務がないことを意味しています。

●その存否が明らかになることにより公益その他の利益が害されるもので、以下の4つに該当するもの(個人情報保護法施行令4条)

①本人又は第三者の生命、身体又は財産に危惧が及ぶおそれがあるもの。

 たとえば、家庭内暴力、児童虐待の被害者の支援団体が保有している、加害者および被害者を本人とする個人データがあたるとされています。

➁違法又は不当な行為を助長し、又は誘発するおそれがあるもの

 たとえば、暴力団などによる不当要求の被害防止するためにじぎょうしゃが保有している。そうした要求を行った人物の個人データがあたるとされています。

③国の安全が害され、他国等との信頼関係を損ねるおそれがあるもの。

 たとえば、防衛に関連する平気・設備・機器・ソフトウエアなどの設計または開発をおこなった担当者名が記録された個人データや、警備会社が保有している要人の訪問先や行動予定等の個人データがあたるとされています。

④犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序維持に支障が及ぶおそれがあるもの。

 たとえば、警察から捜査関係事項照会等がなされることによって初めて取得した個人データ、振り込め詐欺に利用された口座に関する情報に含まれる個人データなどがあたるとされています。

●6か月以内に消去することとなるもの

以上、「個人情報」、「個人情報データベース」、「個人データ」、「保有個人データ」、「個人情報取扱事業者」をわかりやすくまとめたものがありましたので、示します。

kojinjyouhou-database-youhairyo

画像元:「ぼちぼち改正個人情報保護法を読む」より

要配慮個人情報(個人情報保護法第2条3項)

不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして、次の1~11までの記述等が含まれる個人情報

  1. 人種(国籍ではない)
  2. 信条(思想・信仰など)
  3. 社会的身分(職業的地位や学歴は含まれない)
  4. 病歴(統合失調症など)
  5. 犯罪の経歴
  6. 犯罪により害を被った事実
  7. 心身の機能の障害があること
  8. 医師等による健康診断等の結果
  9. 医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと
  10. 逮捕・捜査等の刑事手続きが行われたこと
  11. 少年の保護事件に関する手続きが行われたこと。

まとめ

プライバシーマークをしている方々は、JISQ15001 2006では、個人情報保護法の「個人情報」の定義が少し異なっていました。

JISQ15001 2017からは、改正の個人情報保護法に準じていますので、私自身も含め、再度改正の個人情報保護法を再確認していると思います。

そのようなことから、「個人情報」、「個人情報データベース」、「個人データ」、「保有個人データ」、「個人情報取扱事業者」などをまとめてみました。

スポンサーリンク






シェアする

  • このエントリーをはてなブックマークに追加

フォローする