個人情報保護法対策室 : プライバシーコンサルタントのコラム : 第2回

個人情報保護法対策室
トップページ

個人情報保護法とは

・

第2回

「個人情報取扱事業者」であるかどうかの判断。

2004/12/21
プライバシー・コンサルタント
渡部大也

簡単に言えば、個人データを５０００件以上もっている事業者（企業・団体）は個人情報保護法の対象となる「個人情報取扱事業者」です。

「個人情報取扱事業者」は、個人情報保護法や基本方針、分野別ガイドラインを遵守することが求められ、主務大臣の命令に違反した場合は「罰則」が課せられます。

つまり、個人情報保護体制を整備しなければならないということになります。

■ ５,０００件の内容は？

個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去６カ月以内のいずれの日においても５,０００件を超える企業や団体が「個人情報取扱事業者」です。
ということは・・・・・例えば、「日本太郎」氏の個人情報が社内の何処に何件あろうと、識別される個人の数は“１”で良いということで、そのような特定の個人の数の合計が５,０００件以上になる事業者ということになります。
では、ある日だけ個人情報が５,５００件くらいに膨らみますが通常は２,０００件以下というケースはどうでしょうか。法の解釈から言えば「個人情報取扱事業者」にあたらないということになります。しかし、それではこの企業は良き企業市民として個人情報保護に取り組む必要がないのかというと、そんなことはありません。例え、「個人情報取扱事業者」でなくても、プライバシー、表現の自由、通信の秘密などは、憲法上保障されている人権と解釈されていますから、個人情報は当該本人から預かっている情報として、適切に保護しなければならないのです。

■ ５,０００件にカウントする必要のない個人情報は？

個人情報データベース等が、以下の要件のすべてに該当する場合は、その個人情報データベース等を構成する個人情報によって識別される特定の個人の数は「特定の個人の数」には算入しません。

(１)	個人情報データベース等の全部又は一部が他人の作成によるものである。
(２)	その個人情報データベース等を構成する個人情報として氏名、住所（居所を含み、地図上又はコンピュータの映像面上において住所又は居所の所在場所を示す表示を含む。）又は電話番号のみを含んでいる。
(３)	その個人情報データベース等を事業の用に供するに当たり、新たに個人情報を加え、識別される特定の個人を増やしたり、他の個人情報を付加したりして、個人情報データベース等そのものを変更するようなことをしていない。

【特定の個人の数に算入しない事例】（経済産業分野のガイドラインより）

事例１）	電話会社から提供された電話帳及び市販の電話帳CD-ROM等に掲載されている氏名及び電話番号
事例２）	市販のカーナビゲーションシステム等のナビゲーションシステムに格納されている氏名、住所又は居所の所在場所を示すデータ
事例３）	氏名又は住所から検索できるよう体系的に構成された、市販の住所地図上の氏名及び住所又は居所の所在場所を示す情報

【事業の用に供しないため特定の個人の数に算入しない事例】（経済産業分野のガイドラインより）

事例）	倉庫業、データセンター（ハウジング、ホスティング）等の事業において、当該情報が個人情報に該当するかどうかを認識することなく預かっている場合に、その情報中に含まれる個人情報

Ａ社はデーターセンター事業者でホスティングサービスをしています。お客様との間で、「個人情報」であることが通知された上で委託契約書、個人情報保護覚書を締結しています。つまり明確に個人情報であることを認識しています。この場合、Ａ社はこの個人情報を「特定の個人の数」に算入すべきでしょうか？

確かにこの事業者は当該情報が個人情報に該当するかどうかを認識しています。したがって算入しない事例にあたらず、５０００件の中に含まなければなりません。

整理すると以下のようになります。

この情報は・・・
　・個人情報保護の対象とすべき「個人情報」である
　・個人情報取扱事業者の条件である５０００件の個人データに含めるべき「個人データ」である
　・本人等からの『開示・訂正・使用停止等の請求に応える権限を有する「保有個人データ」』ではない

▲ ページTOP

>>	第３回　：意外とできていないこと。「２００５年４月１日までに措置しておくべき事項」をご存じですか？

<<	第１回　：個人情報保護体制の現状日本の企業の約３割はインシデント時に適切な説明ができない？

>>	INDEX に戻る

このサイトについて

｜

サイトマップ

｜

個人情報保護について