個人情報とは
個人情報保護法では、生存する「個人に関する情報」で、特定の個人を識別することができるものを「個人情報」としています。
「個人に関する情報」とは氏名、性別、生年月日に限りません。個人の身体、財産、職種、肩書き、成績など、個人に対する事実・評価・判断を表すすべての情報です。
また、映像・音声などによる情報や、たとえ暗号化された情報であっても個人を識別できる情報が含まれているものは「個人情報」となります。
個人情報に 該当する |
|
---|---|
個人情報に 該当しない |
|
たとえば、chusho.taro@smrj.go.jpのように、メールアドレスから中小機構に所属するチュウショウタロウさんと判断できる場合は個人情報となります。一方で、smrj0001@smrj.go.jpのようにメールアドレスの文字だけで個人を特定できない場合、個人情報とはなりません。
個人情報保護法では、特定の個人情報を容易に検索できるように整理し体系的に構成したものを「個人情報データベース等」としています。
コンピュータで利用できるように電子データ化されたものだけでなく、50音順や年月日順など一定の規則に従って分類・整理したカルテや名刺など、個人を特定するために容易に検索可能な状態になっている場合は「個人情報データベース等」に該当します。
個人情報 データベース等に 該当する |
|
---|---|
個人情報 データベース等に 該当しない |
|
「個人情報データベース等」として身近なものは電子メールソフトのアドレス帳があります。アドレス帳は名前、メールアドレス、所属、電話番号などが登録できるようになっており、キーワード検索やソート機能などを持っています。これを業務のために使用した場合は、個人情報データベース等に該当するのです。
営利・非営利目的を問わず、「個人情報データベース等」を業務に利用し、過去6ヶ月以内に5,000件を超える「個人データ」を保有している場合、「個人情報取扱事業者」となります。
「個人データ」とはデータベース化された個人情報のことで、顧客だけでなく、社員や株主などの個人情報も含んでカウントします。先の例で言えば、電子メールソフトで受信したメールに記載されている電子メールアドレスは、アドレス帳に登録しない限りは「個人データ」ではありません。
ただし、電話会社から提供されている電話帳や市販のカーナビなど、氏名、住所または電話番号のみを含んでいるデータをそのまま利用している場合は、「個人データ」としてカウントする必要はありません。もちろんこれらに新たにデータを追加したり、他の個人情報(役職・所属など)を付加した場合は、「個人データ」としてカウントしなければなりません。
個人情報取扱事業者には以下の義務があります。
「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」など具体的に特定する必要があります。
この場合、取得した情報を名簿として販売することはできません。
インターネット、官報、職員録等から個人情報を取得する場合や、個人情報の第三者提供を受ける場合には、あらかじめ利用目的を公表しておくか、取得後速やかに利用目的を通知する必要があります。
個人情報取扱事業者が義務規定に違反し、不適切な個人情報の取り扱いを行っている場合には、事業を所管する主務大臣が、必要に応じて、事業者に対し勧告、命令などの措置を取ることができますし、事業者が命令に従わなかった場合には罰則の対象となります。