個人情報とは

個人情報保護法では、生存する「個人に関する情報」で、特定の個人を識別することができるものを「個人情報」としています。

「個人に関する情報」とは氏名、性別、生年月日に限りません。個人の身体、財産、職種、肩書き、成績など、個人に対する事実・評価・判断を表すすべての情報です。

また、映像・音声などによる情報や、たとえ暗号化された情報であっても個人を識別できる情報が含まれているものは「個人情報」となります。

個人情報に該当する	本人の氏名生年月日、連絡先（住所・電話番号・メールアドレス）、所属・役職などを、本人の氏名と組み合わせた情報特定の個人を識別できるメールアドレス防犯カメラなどの映像情報電話や会議などを録音した音声情報雇用管理情報（会社が従業員を評価した情報、健康診断の結果なども含む）電話帳、職員録などで公にされている情報
個人情報に該当しない	企業の財務情報など団体そのものに関する情報（団体情報）特定の個人を識別できないメールアドレス特定の個人を識別できない統計情報

個人情報に
該当する

本人の氏名
生年月日、連絡先（住所・電話番号・メールアドレス）、所属・役職などを、本人の氏名と組み合わせた情報
特定の個人を識別できるメールアドレス
防犯カメラなどの映像情報
電話や会議などを録音した音声情報
雇用管理情報（会社が従業員を評価した情報、健康診断の結果なども含む）
電話帳、職員録などで公にされている情報

個人情報に
該当しない

企業の財務情報など団体そのものに関する情報（団体情報）
特定の個人を識別できないメールアドレス
特定の個人を識別できない統計情報

たとえば、chusho.taro@smrj.go.jpのように、メールアドレスから中小機構に所属するチュウショウタロウさんと判断できる場合は個人情報となります。一方で、smrj0001@smrj.go.jpのようにメールアドレスの文字だけで個人を特定できない場合、個人情報とはなりません。

個人情報保護法では、特定の個人情報を容易に検索できるように整理し体系的に構成したものを「個人情報データベース等」としています。

コンピュータで利用できるように電子データ化されたものだけでなく、50音順や年月日順など一定の規則に従って分類・整理したカルテや名刺など、個人を特定するために容易に検索可能な状態になっている場合は「個人情報データベース等」に該当します。

個人情報データベース等に該当する	名刺や会員情報を業務で使用するパソコンに表計算ソフトなどを使って入力・整理し、他の従業員からも検索できる状態にしている場合名刺や申込書などを50音順・年月日順などで分類・整理し、目次・索引などをつけてファイリングしていて、他の従業員からも閲覧できる状態にしている場合氏名、住所、企業別に分類整理されている市販の人名録
個人情報データベース等に該当しない	名刺入れなどを他の従業員が自由に閲覧できるようになっていても、他人には容易に検索できない独自の分類方法で整理した状態の場合や、まったく未整理の状態である場合アンケートの戻りはがきや会員情報の記入用紙が、氏名・住所などで分類・整理されていない場合

個人情報
データベース等に
該当する

名刺や会員情報を業務で使用するパソコンに表計算ソフトなどを使って入力・整理し、他の従業員からも検索できる状態にしている場合
名刺や申込書などを50音順・年月日順などで分類・整理し、目次・索引などをつけてファイリングしていて、他の従業員からも閲覧できる状態にしている場合
氏名、住所、企業別に分類整理されている市販の人名録

個人情報
データベース等に
該当しない

名刺入れなどを他の従業員が自由に閲覧できるようになっていても、他人には容易に検索できない独自の分類方法で整理した状態の場合や、まったく未整理の状態である場合
アンケートの戻りはがきや会員情報の記入用紙が、氏名・住所などで分類・整理されていない場合

「個人情報データベース等」として身近なものは電子メールソフトのアドレス帳があります。アドレス帳は名前、メールアドレス、所属、電話番号などが登録できるようになっており、キーワード検索やソート機能などを持っています。これを業務のために使用した場合は、個人情報データベース等に該当するのです。

営利・非営利目的を問わず、「個人情報データベース等」を業務に利用し、過去6ヶ月以内に5,000件を超える「個人データ」を保有している場合、「個人情報取扱事業者」となります。

「個人データ」とはデータベース化された個人情報のことで、顧客だけでなく、社員や株主などの個人情報も含んでカウントします。先の例で言えば、電子メールソフトで受信したメールに記載されている電子メールアドレスは、アドレス帳に登録しない限りは「個人データ」ではありません。

ただし、電話会社から提供されている電話帳や市販のカーナビなど、氏名、住所または電話番号のみを含んでいるデータをそのまま利用している場合は、「個人データ」としてカウントする必要はありません。もちろんこれらに新たにデータを追加したり、他の個人情報（役職・所属など）を付加した場合は、「個人データ」としてカウントしなければなりません。

個人情報取扱事業者には以下の義務があります。

１．利用目的の特定、利用目的による制限

個人情報を取り扱う際には、利用目的をできる限り特定しなければならない。
特定された利用目的以外で個人情報を取り扱ってはならない。

「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」など具体的に特定する必要があります。
この場合、取得した情報を名簿として販売することはできません。

２．適正な取得、取得に際しての利用目的の通知

偽りやその他不正な手段によって個人情報を取得してはならない
個人情報を取得したときは、本人に速やかに利用目的を通知又は公表しなければならない。また、本人から直接書面で取得する場合には、あらかじめ本人に利用目的を明示しなければならない。

インターネット、官報、職員録等から個人情報を取得する場合や、個人情報の第三者提供を受ける場合には、あらかじめ利用目的を公表しておくか、取得後速やかに利用目的を通知する必要があります。

３．正確性の確保

利用目的の範囲で、個人データを正確かつ最新の内容に保つよう努めなければならない。

４．第三者提供の制限

あらかじめ本人の同意を得ないで、他の事業者など第三者に個人データを提供してはならない。
本人の求めに応じて第三者提供を停止することとしており、一定の事項をあらかじめ通知等しているときは、本人の同意を得ずに第三者提供することが可能である。
委託の場合、合併等の場合、一定事項の通知等を行い特定の者と共同利用する場合は第三者提供とはみなされない。

５．開示、訂正、利用停止等

保有個人データの利用目的、開示等に必要な手続、苦情の申出先等について本人の知り得る状態に置かなければならない。
本人からの求めに応じて、保有個人データを開示しなければならない。
保有個人データの内容に誤りのあるときは、本人からの求めに応じて、訂正等を行わなければならない。
保有個人データを法の義務に違反して取り扱っているときは、本人からの求めに応じて、利用の停止等を行わなければならない。

６．苦情の処理

本人から苦情などの申出があった場合は、適切かつ迅速な処理に努めなければならない。
本人からの苦情を、適切かつ迅速に処理するため、苦情受付窓口の設置、苦情処理手順の策定等必要な体制を整備しなければならない。

７．罰則

個人情報取扱事業者が義務規定に違反し、不適切な個人情報の取り扱いを行っている場合には、事業を所管する主務大臣が、必要に応じて、事業者に対し勧告、命令などの措置を取ることができますし、事業者が命令に従わなかった場合には罰則の対象となります。

８．企業に求められる取り組み

プライバシーポリシーの策定・公表等、事業者が行う措置を対外的に明確化する。また、個人情報の漏えい等の事案が発生した場合には、二次被害の防止等の観点から、可能な限り事実関係を公表する。
個人情報保護管理者を設置する等、個人情報の安全管理について事業者内部の責任体制を確保するための仕組みを整備する。また、個人情報の取り扱いを外部に委託する場合は、委託元と委託先のそれぞれの責任等を明確に定めるなど実効的な監督体制を確保する。
教育研修の実施等を通じて、実際に事業者の内部において個人情報を取り扱うことになる従業者の個人情報保護意識を徹底する。

１． 利用目的の特定、利用目的による制限

２． 適正な取得、取得に際しての利用目的の通知

３． 正確性の確保

４． 第三者提供の制限

５． 開示、訂正、利用停止等

６． 苦情の処理

７． 罰則

８． 企業に求められる取り組み