経営コンサルタントコラム　2013年9月26日号

他人事でない個人情報保護（２）～個人情報とは何か、個人情報取扱事業者とは誰か。

前回、個人情報の流出が大企業のみの話ではない、ということをお話ししました。

今回は個人情報とは何か、その定義について見ていきたいと思います。

定義となると、法律ということになります。

個人情報保護については、個人情報保護法という法律がありまして、その第一章総則の二条に定義の規定がのっています。

（定義）

第二条　この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。

基本的に、生存する個人に関する情報ですね。

内容的には、

・氏名

・生年月日

・その他の記述により特定の個人を識別できるもの

というところ。

何かいまいちはっきりしないですよね。

氏名だけでは特定の個人を識別できないんじゃない？

とか

その他の記述って何？

とか

詳細不明なままです。

まあ、基本法律というのはそういうもので（私の勝手な解釈）、実際の運用は政令とかガイドラインとかでされていくことになりますよね。

個人情報保護についても、実際ガイドラインでの運用がなされています。

ガイドラインはその事業別に所轄官庁が分けられています。

その分野計２７分野、ガイドライン数は４０におよびます。

事業全般に関するものは経産省さんの所轄ですので、ここでは経産省のガイドラインを参考に見ていくことにします。

早速ガイドラインを開けると、先の法二条一項の定義の具体的事例が書いてあります。

【個人情報に該当する事例】

事例１）本人の氏名

事例２）生年月日、連絡先（住所・居所・電話番号・メールアドレス）、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報

事例３）防犯カメラに記録された情報等本人が判別できる映像情報

事例４）特定の個人を識別できるメールアドレス情報（keizai_ichiro@meti.go.jp等のようにメールアドレスだけの情報の場合であっても、日本の政府機関である経済産業省に所属するケイザイイチローのメールアドレスであることがわかるような場合等)

事例５）特定個人を識別できる情報が記述されていなくても、周知の情報を補って認識することにより特定の個人を識別できる情報

事例６）雇用管理情報（会社が従業員を評価した情報を含む。）

事例７）個人情報を取得後に当該情報に付加された個人に関する情報（取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、又は照合された結果、生存する特定の個人を識別できた場合は、その時点で個人情報となる。）

事例８）官報、電話帳、職員録等で公にされている情報（本人の氏名等）

かなり範囲が広いですよね。

本人の氏名だけでも個人情報に該当する、という判断がされていますので、氏名だけじゃ特定の個人を識別できないでしょ、という話は無しですね。

さ、話は戻って先の納品書の件。

○山○男　様と記載があるのが普通ですから、やはり個人情報にあたりますね。

なので、これを誤封入すれば個人情報流出になります。

流出・漏えいした事業者が個人情報取扱事業者であれば、ガイドラインに則った対応をとらねばなりません。

それがどのような対応なのか、何をしなければならないか、という前に、新しく出てきました、個人情報取扱事業者という言葉についてお話ししたいと思います。

個人情報取扱事業者とは誰のことをいうのでしょうか？

先程個人情報の定義を見たのと同様、取扱事業者についても、その定義から見ていきましょう。

まずは条文。個人情報保護法２条３項ですね。

３　この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。

一　国の機関

二　地方公共団体

三　独立行政法人等（独立行政法人等の保有する個人情報の保護に関する法律（平成十五年法律第五十九号）第二条第一項に規定する独立行政法人等をいう。以下同じ。）

四　地方独立行政法人（地方独立行政法人法（平成十五年法律第百十八号）第二条第一項に規定する地方独立行政法人をいう。以下同じ。）

五　その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者

基本的に個人情報DBを事業で扱う民間はみんな該当するということですね。

気になるのは除外規定の五の政令。

はい、これも見てみましょう。

（個人情報取扱事業者から除外される者）

第二条　法第二条第三項第五号の政令で定める者は、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数（当該個人情報データベース等の全部又は一部が他人の作成に係る個人情報データベース等であって、次の各号のいずれかに該当するものを編集し、又は加工することなくその事業の用に供するときは、当該個人情報データベース等の全部又は一部を構成する個人情報によって識別される特定の個人の数を除く。）の合計が過去六月以内のいずれの日においても五千を超えない者とする。

一　個人情報として次に掲げるもののみが含まれるもの

イ　氏名

ロ　住所又は居所（地図上又は電子計算機の映像面上において住所又は居所の所在の場所を示す表示を含む。）

ハ　電話番号

二　不特定かつ多数の者に販売することを目的として発行され、かつ、不特定かつ多数の者により随時に購入することができるもの又はできたもの

使っているデータ数が５０００以下だったら事業者ではない、ということですね。

これに当て嵌まれば、個人情報保護事業者がとらねばならない、ガイドライン上の情報漏えい時の対応は必要ない、ということになります。

実際に顧客対応などはガイドライン云々の問題ではなく、やらなくてはいけない話ですので、世間に公表することや、主務大臣への報告が不要、ということになりますね。

５０００データって大きいようで意外にすぐいっちゃうかもしれません。管理顧客数５０００、ということですからね。延べ数です。

さて、言葉の定義があらかたはっきりしたところで、次に情報漏えい時の対応はガイドライン上でどう定められているかについて見ていきましょう。

ちょっと長くなりましたので今回はここまで。つづきは次回。

池田