定義規定
最近は第1条に目的や趣旨、第2条に定義規定をおくのがおきまりになっています。
法律の頭の方で用語の定義をキチンとしておくのです。個人情報保護法にも定義規定があります。そして個人情報保護士試験でも「そもそも○○とは?」という定義が出題されることがありますので、定義規定問題を整理しました。
個人情報データベースとは
個人情報を容易に検索できるように体系化したものを個人情報データベースといいます。
コンピュータで処理するものが典型的ですが、紙媒体のものも含みます。
したがって、誰でも検索できるように整理した名刺ファイルも個人データベースになってしまいます。
ただし、利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものは個人情報データベースから除外されます(平成27年改正)。
したがって、市販の電話帳や住宅地図などは形式的には個人情報データベースですが、これらを購入して通常の利用をする分には個人情報データベースではないということになります。
個人データとは
個人情報データベースを構成する個人情報を「個人データ」と呼びます。
データベースから印字した帳票やバックアップデータも個人データです。
これに対し、データベースに入力する前の帳票は未整理ですから個人データには該当しません。
「個人情報」と「個人データ」がどう違うのかといいますと、個人情報保護法上守るべきルールに差が出てきます。「個人データ」の方が守るべき義務の範囲が広いのです。
- データ内容の正確性の確保(第19条)
- 安全管理措置(第20条)
- 従業者の監督(第21条)
- 委託先の監督(第22条)
- 第三者への提供の制限(第23条)
- 外国にある第三者への提供の制限(第24条)
- 第三者への提供に係る記録の作成(第25条)
- 第三者から提供を受ける際の確認(第26条)
以上8ヶ条は義務の対象が「個人データ」となっています。
単なる個人情報ではなく「個人データ」となると個人情報利用上の義務が厳しくなることをおさえておいてください。
保有個人データとは
個人データのうち開示等の権限があるものを「保有個人データ」といいます。
ただし、6ヶ月以内に消去するものと、存否を明らかにすることにより公益その他の利益が害されるおそれのあるものは除外されます。
存否を明らかにするとまずいデータとは潜水艦の開発担当者であるとか総会屋名簿などが考えられます。
保有個人データに対しては、本人からの開示請求、訂正請求等に応じる義務が生じます。
ちなみに、これら請求権は、自己情報コントロール権(どんな自己情報が集められているのかを知り、不当な扱いがされないよう関与する権利)と呼ばれています。
個人情報取扱事業者
個人情報データベースを事業に用いている者を「個人情報取扱事業者」といいます。
ポイント1 国、地方公共団体、独立行政法人等は該当しない
そもそも行政機関を対象にした個人情報保護法は別に存在するので、個人情報保護法の適用がないからです。
ポイント2 非営利組織や権利能力のない社団は該当する
PTAなどの非営利組織や権利能力のない社団も個人情報取扱事業者になりえます。
ポイント3 5000件要件は廃止された
改正前の個人情報保護法では、取り扱う個人データの数が過去6ヶ月間一度も5000件を超えたことのない事業者は個人情報取扱事業者ではない、としていました。
小規模事業者に個人情報保護法上の重い義務を課さない、という趣旨でした。
しかし、この規定は平成27年改正で削除されましたので、取り扱う個人データの多寡にかかわらず個人情報取扱事業者となります。