ぼちぼち改正個人情報保護法を読む-2条(定義:個人情報データベース等・個人情報取扱事業者・個人データ)

個人情報データベース等、個人情報取扱事業者、個人データの3つの概念は相互に関連していますので、まとめて理解したほうがよいでしょう。

「個人情報データベース等」とは、個人情報を含む情報の集合物で、特定の個人情報を検索できるコンピュータ処理情報と、特定の個人情報を容易に検索できる紙媒体の情報をいいます。

「個人情報取扱事業者」とは、個人情報データベース等を事業のために利用している者をいいます。改正法で個人情報の取り扱う量の制限が取り払われ、多くの法人、団体、個人が個人情報取扱事業者に該当します。遵守しなければならない各種の義務がありますので、チェック要です。

「個人データ」とは、個人情報データベース等を構成する個人情報をいいます。

個人情報データベース等とは

まず条文を確認しましょう。下線を引いた部分が改正法で新たに追加された条文です。

(定義)
第2条
4 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

 

「個人情報データベース等」とは、個人情報を含む情報の集合物で、
①コンピュータを用いて特定の個人情報を検索することができるように体系的に構成したもの(一号)と
②紙媒体で処理している個人情報を目次や索引などで整理・分類し、特定の個人情報を容易に検索することができるようにしたもの(二号)
をいいます。

個人情報と個人情報データベース等の関係は、次の図のようになります。

個人情報データベースを取り扱うと、上記のように矢印が伸びている箇所の各種の義務を負うことになります。

コンピュータ処理情報

①の「電子計算機等を用いて検索することができるように体系的に構成したもの」とは、コンピュータで処理する情報であり、主にデータベースが想定されています。

コンピュータ内に無造作に集積されている情報で、データベースの名前がないものであっても、特定の基準に基づいてアクセス・利用ができる場合には、体系的に検索が可能なものとして個人情報データベースに含まれると説明されています(立法当時の「〔座談会〕個人情報保護基本法制大綱をめぐって」ジュリスト1190号(2000年)14-15頁)。

また、立法当時、データベースだけではなく、コンピュータから出力されたマニュアル情報も含まれると説明されています(「〔座談会〕個人情報保護基本法制大綱をめぐって」ジュリスト1190号(2000年)14-15頁、個人情報保護法制化専門委員会13回議事録事務局説明)。
立法当時は、コンピュータに入力することを予定して収集・保有されているマニュアル情報も、個人情報データベース等に含む趣旨の発言がなされていました(上記座談会、個人情報保護法制化専門委員会も同じで「コンピュータ処理ファイルの事前または事後段階のマニュアル情報」と事務局が説明)。
しかし、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」では、個人情報データベース等を構成する前の入力前の帳票等に記載されている個人情報は、「個人データ」に該当しないとされています(19頁)。したがって、コンピュータに入力前のマニュアル情報は、個人情報データベース等には該当しないと考えられます。

なお、インターネットの検索エンジンは、個人情報としての索引が付されていないことから、「特定の個人情報を」「検索することができるように体系的に構成したもの」ではないとして、「個人情報データベース等」には該当しないとされています(第156回国会衆議院個人情報の保護に関する特別委員会議録第6号細田博之国務大臣答弁)。

市販の電話帳、住宅地図、職員録、カーナビゲーションシステムは?

改正法で追加された規定により、これらは、そのままの状態で使用していれば「個人情報データベース等」から除外されることが明確になりました。具体的には、改正個人情報保護法施行令で次の3つの要件が定められました(施行令3条1項)。電話帳、住宅地図、職員録、カーナビは要件の一、二を満たすことは明らかですから、そのままの状態で使用していれば、個人情報データベース等に該当しません。

一 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。

二 不特定かつ多数の者により随時に購入することができ、又はできたものであること。

三 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。

 

2003年の立法当時にも議論がありましたが、改正前の個人情報保護法は、電話帳、住宅地図、職員録、カーナビを「個人情報データベース等」に含んでいました。このため、これらを市販された状態のままで使用している場合に漏えいしても、理論上は安全管理措置違反に問われる可能性があったわけです。
しかし市販された情報のままでの使用の場合、仮に漏えいが起きたとしても、望ましくないとはいえ個人の権利利益の侵害はきわめて小さいといえます。

また、後述するように改正により個人情報取扱事業者に小規模事業者も含まれることになります。このため、必要性の低い規制を撤廃して、新たに個人情報取扱事業者となる事業者の負担をできる限り軽減することが求められていました。

これらの理由から、改正法で個人情報データベース等に該当しないという手当てがなされたわけです。

紙媒体の情報

②の「特定の個人情報を容易に検索することができるように体系的に構成したもの」とは、従前から施行令で「これに含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう」と定めています(施行令3条2項)。

個人の権利利益の侵害の危険性の観点から、コンピュータを用いる場合に匹敵する検索等の処理が可能である紙媒体の情報をいいます。具体的には、カルテのようにカードで検索できるようになっているものが該当するとされました(行政機関等個人情報保護法制研究会第1回議論の内容)。目次や索引等で整理されていれば、これにあたると考えておく必要があります。

個人情報取扱事業者とは

条文は、五号が削除されましたが、その他は変更はありません。

(定義)
第2条
5 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)第2条1項に規定する独立行政法人等をいう。以下同じ。)
四 地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する地方独立行政法人をいう。以下同じ。)

 

「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいいます。

2003年に個人情報保護法が立法された際には、「個人情報取扱事業者」とは、IT社会に特有の個人情報保護システムの構築という側面から、特に法制度の整備の緊要度が高い一定の事業者を切り出したと考えられていました。具体的には、高度情報通信技術を用いて、消費者の消費性向、属性等も含む顧客情報をデータベース化して事業に役立てようとする者を典型例として念頭に置いていたのです(「〔座談会〕個人情報保護基本法制大綱をめぐって」10-11頁)。しかし、いまやITを活用する会社や団体は、その規模にかかわらずきわめて多くなり、個人情報取扱事業者に該当しない事業者は少なくなったといえます。

小規模事業者の除外規定の削除

個人情報取扱事業者は、その取り扱う個人情報の量の大小にかかわらず、上記の条文の定義に該当する事業者は個人情報取扱事業者となります。

改正前の個人情報保護法は、ただし書の五号で「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」を除外していました。当時の施行令で、過去6か月以内のいずれの時点でも5000人以下の個人情報を取り扱っている場合には、いわゆる小規模事業者として個人情報取扱事業者から除外していたのです。

改正法は、この規定を削除しました。これにより、これまで個人情報取扱事業者に該当していなかった中小企業が、新たに個人情報取扱事業者としての各種の義務を負うことになります。

個人情報保護委員会では、ウエブサイトで中小企業サポートページを作っていますので、新しく個人情報取扱事業者に該当する会社、団体、個人は、このページを参考にするとよいでしょう。特に、「はじめての個人情報保護法~シンプルレッスン~」は大変分かりやすく説明してくれています。

法人格の有無、営利・非営利問わず

個人情報取扱事業者は、法人格の有無を問いません。任意団体(自治会、市民団体、クラブ)や個人も、その活動のために個人情報データベース等を利用していれば、個人情報取扱事業者に該当します。

改正前の個人情報保護法は、上述したとおり、取り扱う個人情報により識別される個人の数が5000人以下の場合には、個人情報取扱事業者から除外される規定がありました、改正法によりこの除外規定は削除されています。
したがって、任意団体や個人が個人情報取扱事業者に該当しうることについて認識を新たにする必要があります。

営利・非営利も問いません。非営利団体(労働組合、NPO、NGOなど)も、その活動のために個人情報データベース等を利用していれば、個人情報取扱事業者となります。

「事業の用に供している」とは?

個人情報取扱事業者に該当するか否かは、データベース等を「事業の用に供している」かどうかが関係します。

「事業の用に供している」とは、事業のために利用しているという意味です。

その利用が一定の目的のために反復継続し、社会的に事業と認められることが必要です。

また、輸送業者、倉庫業者のように、個人情報を預かっているだけで内容に関知していない場合には、これらの個人情報データベース等を「事業に供している」とはいえません。

公的部門の除外

国の機関、地方公共団体、独立行政法人等、地方独立行政法人等の公的部門は、行政機関個人情報保護法、独立行政法人等個人情報保護法といった個別の法律や地方公共団体の条例の中に義務が書かれているため、個人情報取扱事業者から除かれています(上記の条文のただし書はこれらの公的部門の除外を意味しています)。

個人情報取扱事業者の義務

個人情報取扱事業者は、改正個人情報保護法が定める次の義務を負っています。

義務 条文
利用目的の特定 法15条
利用目的の制限 法16条
適正な取得 法17条
取得に際しての利用目的の通知等 法18条
データ内容の正確性の確保等 法19条
安全管理措置 法20条
従業者の監督 法21条
委託先の監督 法22条
第三者提供の制限 法23条
外国にある第三者への提供の制限 法24条
第三者提供に係る記録の作成等 法25条
第三者提供を受ける際の確認等 法26条
保有個人データに関する事項の公表等 法27条、32条、33条
開示 法28条、32条、33条
訂正等 法29条、32条
利用停止等 法30条、31条、32条
理由の説明等 法31条
苦情の処理 法35条
匿名加工情報の作成等 法36条

小規模事業者の安全管理措置

条文上は、個人情報取扱事業者の企業規模にかかわらず一律に義務を課していますが、規模の小さい企業に個人情報の取扱いについて必要を超えた過度の負担が生じることは望ましくありません。そこで、「個人情報保護委員会が、事業者がとるべき法律上の義務の具体的な履行方法等を示す本法の運用に関する指針(ガイドライン)を定めるに当っては、特に事業規模の小さな事業者の事業活動が円滑に行われるよう配慮する」ことになりました(改正個人情報保護法附則11条)。

その具体化は、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」の別添「講ずべき安全管理措置の内容」を見ると分かります。
従業員の数が100人以下の個人情報取扱事業者である中小規模事業者について、取り扱う個人データの数量及び個人データを取り扱う従業者数が一定程度にとどまることなどを踏まえて、安全管理措置について手法を例示しています。

ここにいう「中小規模事業者」とは、従業員の数が100人以下の個人情報取扱事業者をいいます。ただし、個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6か月以内のいずれかにおいて5,000を超える者や、委託を受けて個人データを取り扱う者は、取り扱う個人データの数量が多いことから、中小規模事業者には入りません。

義務違反に対する個人情報保護委員会の権限・罰則

これらの義務に違反した場合、個人情報保護委員会による報告や立入検査の対象となり(40条)、指導や助言(41条)、勧告や命令(42条)の対象となり、罰則が科されることもあります。罰則は上記の義務違反によって直ちに科されるものではありませんが、虚偽の報告をしたり立入検査を拒んだりすれば、30万円以下の罰金(84条)が科されることがあり、命令に違反すれば6か月以下の懲役や30万円以下の罰金に処せられることがあります。

施行前の義務違反は?

改正個人情報保護法の施行前から、小規模事業者として個人情報取扱事業者から除外されていた事業者が個人情報を取り扱っていた場合、たとえ施行前に改正法の各義務に違反した行為があったとしても、施行後にその義務違反を問われることはありません。しかし、施行前から保有している個人情報については、利用目的を特定し、安全管理措置を講じる義務が生じていることを忘れてはいけません。施行後に取得した個人情報についてのみ義務を履行すればよいわけではないことに留意する必要があります。

個人データとは

個人データの条文はシンプルです。

(定義)
第2条

6 この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

 

「個人データ」とは、個人情報データベース等を構成する個人情報をいいます。改正法で、号数に変更があったほかは、改正前と条文の文言は変わっていません。

「個人情報データベース等」が前提となりますので、「個人情報データベース等」から除外されている市販の電話帳、住宅地図、職員録、カーナビゲーションシステムを構成する個人情報は、個人データには該当しません。

 

*本投稿は、拙著『個人情報保護法 逐条分析と展望』青林書院2003年)に、改正部分を大幅に加筆し修正したものです。

 

弁護士(第二東京弁護士会所属・弁護士・NY州弁護士) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 法律事務所Legal i プラスを2021年設立 Information Law, Internet Law, Intellectual Property Lawなど、iから始まる法律を中心に業務を行っています。 このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。