今回は、個人情報保護法を勉強しようということで、「個人データ」と「保有個人データ」の定義について見てみたいと思います。
個人データとは、要するに、個人情報のデータベースを構成する個々の個人情報のことなので、まずその「個人情報データベース等」の定義から見てみます。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
個人情報データベース等(法16条1項)
「個人情報データベース等」は、文字どおり、個人情報のデータベースのことですが、具体的には以下のようなものです。
個人情報を含む情報の集合物(1項柱書)
ポイントの1つめは、散在する個人情報ではなく、個人情報の塊になっていることです(「個人情報を含む情報の集合物」)。
▽法16条1項
(定義)
第十六条 この章及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一~二 (略)
検索することができるように体系的に構成したもの(1項各号)
ポイントの2つめとしては、単に塊であるだけではなく、検索できるように体系的に構成したものでなくてはなりません(検索性と体系的構成)。
電子データベースとそれ以外の2つがあります。
電子データベース(1号)
これは、コンピューターにより検索可能な電子データのことです(1号)。
▽法16条1項1号
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
具体例としては、例えば、
- 電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)
- インターネットサービスにおいて、ユーザーが利用したサービスに係るログ情報がユーザーID によって整理され保管されている電子ファイル(ユーザーID と個人情報を容易に照合することができる場合)
- 従業者が、名刺の情報を業務用パソコン(所有者を問わない)の表計算ソフト等を用いて入力・整理している場合
が挙げられています(通則ガイドライン2-4)。
電子データベース以外で政令で定めるもの(2号)
これは、紙媒体であっても、五十音順など一定の規則に従って整理・分類され、他人にも容易に検索可能な状態に置いているもののことです(2号)。
一定の規則に従って整理されていることと、目次・索引などにより他人にも容易に検索できることの、両方が求められています(施行令4条2項)。
条文も見てみます。
▽法16条1項2号
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
↓ 政令で定めるもの(施行令4条2項)
2 法第十六条第一項第二号の政令で定めるものは、同項に規定する情報の集合物に含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するものをいう。
具体例としては、例えば、以下のようなものが挙げられています(通則ガイドライン2-4参照)。
該当する例 | 該当しない例 |
---|---|
人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合 | アンケートの戻りはがきが、氏名、住所等により分類整理されていない状態である場合 (∵一定の規則に従って整理されておらず、検索性のある体系的構成になっていない) |
従業者が、自己の名刺入れについて他人が自由に閲覧できる状況に置いていても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合 (∵一定の規則に従って整理されているが、目次・索引その他検索を容易にするためのものを有していない) |
個人情報データベース等からの除外(1項柱書括弧書き→施行令4条1項)
ただし、利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものは、「個人情報データベース等」から除外されます(1項柱書括弧書き)。
具体的には、以下の3要件を全て満たすものが除外されます(施行令4条1項)。
- 不特定かつ多数の者に販売することを目的として発行されたもので、その発行が法令の規定に違反して行われたものでないもの
- 不特定かつ多数の者により随時に購入することができたり、できたもの
- 生存する個人に関する他の情報を加えることなくその本来の用途で利用されているもの
例えば、市販の電話帳、住宅地図、職員録、カーナビゲーションシステムなどがこれに該当し、「個人情報データベース等」から除外されます(ガイドラインQ&A1-44~1-47等参照)。そのため、これらに関しては、「個人データ」に関する義務(例えば第三者提供の制限等)の対象になりません。
条文も見てみます。
▽法16条1項
(定義)
第十六条 この章及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一~二 (略)
↓ 政令で定めるもの(施行令4条1項)
(個人情報データベース等)
第四条 法第十六条第一項の利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものは、次の各号のいずれにも該当するものとする。
一 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。
二 不特定かつ多数の者により随時に購入することができ、又はできたものであること。
三 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。
何だか難しい話のようですが、感覚的にいうと、一般常識に沿うような結論を導くための理屈という感じなので、それほど難しく考えなくてもよいと思います。
例えば、飲食店が自分の店に置いてあるタウンページを来店客に見せるような行為が、(タウンページも個人情報データベース等であるとして)第三者提供の制限等の対象になるとすると、本人の同意や法定の除外事由がない限り違法となり得ることになりますが、この除外があるのでそういうことにはならない、といったことです(岡村久道「個人情報保護法」(第4版)188頁等参照)。
これらはもともと従来から、社会通念上、不特定多数の者のなかで使用されたり流通したりすることを想定して作られているものであるためです。
なお、これら電話帳や住宅地図等の作成・販売業者は、作成・販売にあたって、オプトアウト手続など個人情報保護法令を遵守する必要があります。
上記の除外はこれらの購入者を想定しているもので(除外要件①②参照)、作成・販売事業者まで個人データに関する義務が外れるということではないので、一応念のため。
個人データ(法2条3項)
個人データとは、「個人情報データベース等」を構成している個々の個人情報のことです。
▽法2条3項
3 この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
該当する例
個人データに該当する例としては、
- 個人情報データベース等から外部記録媒体に保存された個人情報
- 個人情報データベース等から紙面に出力された帳票等に印字された個人情報
が挙げられています(通則ガイドライン2-6)。
要するに、「個人情報データベース等」を構成すれば、そこから出た個人情報は、それ自体は断片的であっても、当該事業者にとっては「個人データ」に該当する、ということです(「個人情報」には戻らない)。
【イメージ図】
「個人情報」
↓ 構成
「個人情報データベース等」(個々の個人情報は「個人データ」)
↓ アウトプット
「個人データ」
※「個人情報」には戻らない
抜き出したというだけで「個人データ」でなくなるとすると、「個人データ」に関する義務を容易に免れうることになってしまうためです(岡村久道「個人情報保護法」(第4版)195頁等参照)。
該当しない例
個人データに該当しない例としては、
- 個人情報データベース等を構成する前の入力用の帳票等に記載されている個人情報
が挙げられています(通則ガイドライン2-6)。
ただし、構成前の帳票等であっても、すでに別の形で体系化されていれば、それはそれで個人データになり得るので(以下のQ&A参照)、上記の例は未整理な状態のままのものという前提です。
▽ガイドラインQ&A1-48
個人情報データベース等に入力する前の帳票類であれば、個人情報データベース等に該当しませんか。
個人情報データベース等に入力する前の帳票等であっても、それに記載された個人情報を 50 音順に整理している場合など、特定の個人情報を容易に検索することができるように体系的に構成している場合には、それ自体が個人情報データベース等に該当します。
保有個人データ(法2条4項)
開示等の権限を有するもの
保有個人データとは、さらに特定の条件を満たす個人データです。
具体的には、個人データのなかでも、開示等の権限(開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限)を当該事業者が有するもののことです(法2条4項)。
▽法2条4項
4 この章において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。
例えば、事業者甲社が、業務委託のために自社の保有する個人データを乙社に提供した場合を例にとると、通常は、
- 委託者である甲社は、開示等の権限を有するので、甲社にとっては「保有個人データ」に該当するが、
- 受託者である乙社は、開示等の権限を有しないので、乙社にとっては「保有個人データ」には該当せず、「個人データ」になる、
ということになります。
▽ガイドラインQ&A1-56
個人データの取扱いが委託される場合、当該個人データは委託元と委託先のどちらの保有個人データとなりますか。
特に定めのない限り、委託元の保有個人データになると考えられますが、具体的には個別の事例ごとに判断することとなります。
委託元が、個人データを受託処理する個人情報取扱事業者である委託先に対し、自らの判断で当該個人データの開示等を行う権限を付与していないとき(委託元・委託先間で何ら取決めがなく委託先が自らの判断で開示等をすることができない場合も含む。)は、本人に対する開示等の権限を有しているのは委託元であるため、当該個人データは委託元の「保有個人データ」となります。
なお、”保有個人データ”という語感からはあまり意味がとれないので、言葉の意味はあまり気にしなくてもよいと思います。
個人データのなかでその事業者が開示等の権限を有するものを「保有個人データ」と定義づけたので、「保有個人データ」と「開示等の権限」が対応するものになっている、と形式的に理解した方が早いと思います(管理人的な理解)。
以前は、6か月以内に消去するものは「保有個人データ」に含まれないことになっていたので、語感から意味を感じとる余地もあったと思いますが、今は、このような6か月以上の保有といった限定はなくなっています。
保有個人データからの除外
ただし、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものは、保有個人データから除外されます。
▽法2条4項
4 この章において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。
政令は施行令5条で、以下のような4類型があります(1号~4号)。
(保有個人データから除外されるもの)
第五条 法第十六条第四項の政令で定めるものは、次に掲げるものとする。
一 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
二 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
三 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
四 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
これらも開示等の権限の対象になるとすると、開示請求に対する不開示事由(法33条2項各号)をもって「開示できません(不開示)」と回答したとしても、その保有個人データが存在することが明らかとなりますが、それ自体により第三者の利益等が害される可能性があるからです。
具体例としては、以下のようなものが挙げられています(通則ガイドライン2-7)。
類型 | 具体例 |
---|---|
本人又は第三者の生命、身体又は財産に危害が及ぶおそれ(1号) | 〇家庭内暴力、児童虐待の被害者の支援団体が保有している、加害者(配偶者又は親権者)及び被害者(配偶者又は子)を本人とする個人データ |
違法又は不当な行為を助長し、又は誘発するおそれ(2号) | 〇暴力団等の反社会的勢力による不当要求の被害等を防止するために事業者が保有している、当該反社会的勢力に該当する人物を本人とする個人データ 〇不審者や悪質なクレーマー等による不当要求の被害等を防止するために事業者が保有している、当該行為を行った者を本人とする個人データ |
国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれ(3号) | 〇製造業者、情報サービス事業者等が保有している、防衛に関連する兵器・設備・機器・ソフトウェア等の設計又は開発の担当者名が記録された、当該担当者を本人とする個人データ 〇要人の訪問先やその警備会社が保有している、当該要人を本人とする行動予定等の個人データ |
犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれ(4号) | 〇警察から捜査関係事項照会等がなされることにより初めて取得した個人データ 〇警察から契約者情報等について捜査関係事項照会等を受けた事業者が、その対応の過程で作成した照会受理簿・回答発信簿、照会対象者リスト等の個人データ(※なお、当該契約者情報自体は「保有個人データ」に該当する。) 〇犯罪による収益の移転防止に関する法律(平成 19 年法律第 22 号)第 8 条第1 項に基づく疑わしい取引(以下「疑わしい取引」という。)の届出の有無及び届出に際して新たに作成した個人データ 〇振り込め詐欺に利用された口座に関する情報に含まれる個人データ |
これらについて開示等の請求があった場合、開示等の請求のあった保有個人データは存在しない旨を通知することになります(法33条3項)。
結び
今回は、個人情報保護法を勉強しようということで、「個人データ」と「保有個人データ」の定義について見てみました。
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
個人情報保護法に関するその他の勉強記事
主要法令等・参考文献
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)
参考文献
当サイトではアフィリエイトプログラムを利用して商品・サービスを記載しています