Skip to main content.
*

Archives

This is the archive for February 2011

2011/02/15

義務を負うものは誰か

 この法律による義務は、民間事業者全般が負います。ただし、小規模事業者は除かれているため、個人データを過去6カ月以内に1度でも5千人分を超えて事業に用いたことがある民間事業者となります。また、民間事業者の中でも「個人情報データベース等を事業(非営利事業も含む)の用に供している者」です。

 「個人情報データベース等」とは、個人情報を含む情報の集合物のうち、電子データベースのように、特定の個人情報をコンピューターで検索できるように体系的に構成したもの、もしくは、それ以外のものであって、紙媒体の五十音順名簿や紳士録書籍のように、特定の個人情報を容易に検索可能なように体系的に構成したもの(目次、索引その他検索を容易にするためのものを有するものに限られています)をいいます。

 1枚だけの名刺は、個人情報を含んでいても、「情報の集合物」とは言えません。未整理の名刺の束は、個人情報を含む情報集合物であっても、「体系的に構成したもの」とは言えません。したがって、これらは個人情報データベース等には該当しません。これに対し、名刺の束を50音順ホルダーに収納している場合や、それを住所管理ソフトに入れてデータベース化して整理しているような場合には、個人情報データベース等となります。

義務の内容は3層構造

 この法律では、取り扱う情報の種類を「個人情報」「個人データ」「保有個人データ」の3種類に分けています。

 「個人情報」とは、生存する個人に関する情報であって、特定の個人を識別することができるものをいいます。名前が記載された文書のような場合だけでなく、特定の人の顔が判別できる映像や声の録音も含まれます。また、他の情報と簡単に照合ができ、それにより個人が特定できるものも含まれます。すでに公表されて世間一般に知られている情報(公知情報)も含みます。NTTが配布している50音別電話帳も個人情報です。企業の顧客情報や従業員の雇用管理情報、給与明細書や源泉徴収票だけでなく、試験の合否、従業員に対する人事考課、医師の診断など、判断や評価を示す情報も含まれます。外国人や国外居住者の情報も個人情報に該当し、日本国内における取扱いである限り、この法律上の義務が適用されます。メルアド(電子メールアドレス)は、個人の氏名付きのリストにメルアドの項目が含まれていて個人が識別できるときは個人情報となりますが、一般の人が見て誰のものか判別できないメルアドのみは、原則として個人情報とは言えません。

 「個人情報」について、個人情報取扱事業者は4つの義務を負います。第1に、個人情報を取り扱うに当たり利用目的をできる限り特定しなければならず、第2に、こうして特定した利用目的の達成に必要な範囲でのみ取り扱えます。第3に、個人情報を不正の手段により取得してはならず、第4に、利用目的を取得前に公表しておくか取得後すみやかに本人に通知または公表する必要があります。

 「個人データ」とは「個人情報データベース等を構成する個人情報」を言い、「保有個人データ」とは、個人情報取扱事業者が開示内容の訂正、追加または削除、利用の停止、消去及び第3者への提供の停止を行うことのできる権限を有する個人データを言います。「個人データ」について取扱事業者に課される義務は、「個人情報」について課される義務以外の義務(「データ内容の正確性の確保」等)も課され、「保有個人データ」について課される義務は、さらにその上に新たな義務(「定められた事項を本人の知り得る状態に置く」等)が課されるという、3層にわたる積み上げ構造になっています。