プライバシーと個人情報保護

個人情報保護法

【構造】

個人情報保護法は、個人情報保護法制全体の基本法（1～3章）であると同時に、民間の個人情報保護に関する一般法（4～6章）でもある。

・個人情報保護法制全体の基本法として、目的規定、定義、基本理念、国・地方公共団体の責務、とるべき施策を定める。

・民間の個人情報保護に関する一般法として、民間事業者（個人情報取扱事業者）が遵守すべき具体的な規律を定める。

個人情報保護法のほか、各事業分野に適合した個人情報の取扱いを具体的に定めたガイドラインを所管省庁が出している。

【基礎的な概念　－　個人情報】

個人情報保護法2条1項の定義を要約すると、個人情報とは、生存する個人に関する情報で、氏名、生年月日、個人識別符号（会員番号、ID、端末番号など）により特定の個人を識別できるもの。

死者に関する情報は、個人情報に該当しない。

【基礎的な概念　－　個人データ】

個人情報保護法16条3項の定義によると、個人データとは、個人情報データベース等を構成する個人情報をいう。

検索できない個人情報は該当しない。

【基礎的な概念　－　保有個人データ】

個人情報保護法16条4項の定義を要約すると、保有個人データとは、個人データのうち、個人情報取扱事業者が開示や内容の訂正等で関与する権限が認められるもの

【基礎的な概念　－　特定個人の識別と照合容易性】

「個人情報」に該当するためには、

①個人情報に関する情報に含まれる氏名、生年月日その他の記述等により特定個人が識別できる場合
②当該情報に含まれる記述等によっては特定個人の識別はできないが、他の情報と容易に照合することができ、それによって識別できる場合（照合容易性がある場合）

がある。

【基礎的な概念　－　要配慮個人情報】

2015年の個人情報保護法の改正により、「要配慮個人情報」の概念が新設された。

個人情報保護法2条3項の定義を要約すると、個人情報のうち、人種、信条、社会的身分、病歴、犯罪歴、犯罪被害等である。これは、従来一般に「センシティブ情報」などと言われてきたものである。

これらは、不当な差別や偏見等不利益を生むおそれがあることから、特に慎重な配慮が要求されるため、一般の個人情報とは区別して厳格な規律がなされる。

【基礎的な概念　－　個人情報取扱事業者】

個人情報保護法16条2項の定義を要約すると、個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者のことである。事業とは営利事業に限定されないので、NPOのような非営利事業を行う者も個人情報取扱事業者になり得る。

【個人情報データベースに該当するものの例】

紙ベースのデータであっても、該当する場合があるという点に注意が必要である。

＜例＞

・病院のカルテなど、紙面で処理した個人情報を一定の規則（例えば、50音順や年月日順）に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付している場合。

・電子メールソフトに保管されているアドレス帳で、メールアドレスと氏名を組み合わせた情報を入力している場合。

・ユーザーIDとユーザーが利用した取引についてのログ情報が保管されている電子ファイルは、ユーザーIDを個人情報と関連付けて管理していれば、個人情報データベースに該当する。

・従業員が、名刺の情報を業務用パソコンの表計算ソフト等を用いて入力・整理し、他の従業員等によっても検索できる状態にしている場合（他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合は、該当しない）。

・人材派遣会社が、登録カードを氏名の50音順に整理し、50音順のインデックスを付して紙媒体のファイルに保管している場合（氏名や住所等で分類整理されていない状態であれば、該当しない）。