個人情報保護
個人情報保護法
平成15年5月に成立,公布され,平成17年4月全面施行された「個人情報保護法」は,正当に情報を入手し保管する企業などにさまざまな義務と対応を定めたものである.この法律は,本人である個人の権利を定めるのではなく,個人情報を取り扱う事業者が守らなければならない義務を定めたもので,違反した場合には行政処分や罰則が科される,管理責任に関する法律である.
個人情報の保護に関する法律
- 個人情報とは
個人情報保護法で言う個人情報とは,
生存する個人に関する情報であって,当該情報に含まれる氏名,生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ,それにより特定の個人を識別できることとなるものを含む)(第二条第1項)
である.
また,経済産業省のガイドラインでは,
氏名,性別,生年月日等個人を識別する情報に限られず,個人の身体,財産,職種,肩書等の属性に関して,事実,判断,評価を表すすべての情報であり,評価情報,公刊物等によって公にされている情報や,映像,音声による情報も含まれ,暗号化されているかどうかを問わない。なお,死者に関する情報が,同時に,遺族等の生存する個人に関する情報でもある場合には,当該生存する個人に関する情報となる.また,「生存する個人」には日本国民に限られず,外国人も含まれるが,法人その他の団体は「個人」に該当しないため,法人等の団体そのものに関する情報は含まれない(ただし,役員,従業員等に関する情報は個人情報).
と説明されている.
次のような情報も個人情報になる.
- 文字以外に画像や音声,さらに他の情報と照合することにより特定の個人を識別できるもの.
- ディジタルデータ以外の紙ファイルなどで,目次や索引を付けて検索できるようにしているもの.
- その情報が漏洩した場合,該当する本人が不利益になると感じる情報 (厳密には個人情報でないとしても,個人情報と同等の扱いをすべき)
個人情報収集する際には,
- 利用目的を明示する.
- 目的以外で利用する場合には本人の同意を得る.
が必要である.さらに,収集した個人情報の管理を厳格に行う必要があり,従来のように安易な情報収集はできなくなる.交換した名刺なども,パソコンに入力したり,整理して保管すると「個人情報」として適切な管理と利用が求められることになる.
- 個人データ
個人情報保護法では,以下のように個人データを定義している.
個人情報データベース等を構成する個人情報をいう.(第二条第4項)
ここで,「個人情報データベース等」とは,個人情報を含む情報の集合物であって,次に掲げるものをいう.
- 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
- 前号に掲げるもののほか,特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
経済産業省のガイドラインでは,個人データに該当する事例として,以下の2つを挙げている.
- 個人情報データベース等から他の媒体に格納したバックアップ用の個人情報
- コンピュータ処理による個人情報データベース等から出力された帳票等に印字された個人情報
元になる個人情報データベース等そのもの以外にも,コピーや印刷物に含まれる個人情報も個人データであるとしている.要するに,個人情報データベース等のコピーや印刷物も同様に管理をしなければならないということになり,不要なコピーを持つことは管理する対象(個人データ)を増やすことになる.本当に必要なコピーなのか,印刷すべきものなのか,業務の手順を見直し,個人データとして管理する対象を減らすことが重要となる.
これら個人情報データベース等に含まれる特定の個人の数が,5000人を超えることが個人情報取扱事業者となる条件となる.顧客情報だけでなく,社員・取引先情報も含むので,よほどの小規模事業者でない限り,個人情報取扱事業者となる.
- 保有個人データ
個人情報保護法では,以下のように保有個人データを定義している.
個人情報取扱事業者が,開示,内容の訂正,追加又は削除,利用の停止,消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって,その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう.(第二条第5項)
保有個人データとは,個人データから例外を除いたものであるということになる.
経済産業省のガイドラインでは,保有個人データについて,以下のような例外を提示している.
- その存否が明らかになることにより,公益その他の利益が害されるもの.
- 6か月以内に消去する(更新することは除く)こととなるもの.
- 受託して処理しているもの.
6カ月という期間は政令で定められており,6カ月以内に消去するような一時的な個人データについては,保有個人データとして扱う必要はないということになる.6カ月を超えて保有し続ける必要のある個人情報であるかどうかが,保有個人データとして取り扱うかどうかの境目になる.
保有個人データについては,さまざまな義務が規定されている.
- 以下の事項を本人の知り得る状態に置かなければならない.
- 個人情報取扱事業者の氏名または名称
- 利用目的
- 開示などの手続きの方法と,それに伴う手数料
- 本人から開示請求があった場合,遅延なく開示しなければならない.
- 本人から訂正要求があった場合,誤りがあった場合には応じなければならない.
- 本人から利用目的外の利用や同意のない第三者提供について利用停止を求められた場合,応じなければならない.