個人情報データベース等、個人情報取扱事業者、個人データの３つの概念は相互に関連していますので、まとめて理解したほうがよいでしょう。

「個人情報データベース等」とは、個人情報を含む情報の集合物で、特定の個人情報を検索できるコンピュータ処理情報と、特定の個人情報を容易に検索できる紙媒体の情報をいいます。

「個人情報取扱事業者」とは、個人情報データベース等を事業のために利用している者をいいます。改正法で個人情報の取り扱う量の制限が取り払われ、多くの法人、団体、個人が個人情報取扱事業者に該当します。遵守しなければならない各種の義務がありますので、チェック要です。

「個人データ」とは、個人情報データベース等を構成する個人情報をいいます。

個人情報データベース等とは

まず条文を確認しましょう。下線を引いた部分が改正法で新たに追加された条文です。

「個人情報データベース等」とは、個人情報を含む情報の集合物で、
①コンピュータを用いて特定の個人情報を検索することができるように体系的に構成したもの（一号）と
②紙媒体で処理している個人情報を目次や索引などで整理・分類し、特定の個人情報を容易に検索することができるようにしたもの（二号）
をいいます。

個人情報と個人情報データベース等の関係は、次の図のようになります。

個人情報データベースを取り扱うと、上記のように矢印が伸びている箇所の各種の義務を負うことになります。

コンピュータ処理情報

①の「電子計算機等を用いて検索することができるように体系的に構成したもの」とは、コンピュータで処理する情報であり、主にデータベースが想定されています。

コンピュータ内に無造作に集積されている情報で、データベースの名前がないものであっても、特定の基準に基づいてアクセス・利用ができる場合には、体系的に検索が可能なものとして個人情報データベースに含まれると説明されています（立法当時の「〔座談会〕個人情報保護基本法制大綱をめぐって」ジュリスト１１９０号（２０００年）１４－１５頁）。

また、立法当時、データベースだけではなく、コンピュータから出力されたマニュアル情報も含まれると説明されています（「〔座談会〕個人情報保護基本法制大綱をめぐって」ジュリスト１１９０号（２０００年）１４－１５頁、個人情報保護法制化専門委員会１３回議事録事務局説明）。
立法当時は、コンピュータに入力することを予定して収集・保有されているマニュアル情報も、個人情報データベース等に含む趣旨の発言がなされていました（上記座談会、個人情報保護法制化専門委員会も同じで「コンピュータ処理ファイルの事前または事後段階のマニュアル情報」と事務局が説明）。
しかし、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン（通則編）」では、個人情報データベース等を構成する前の入力前の帳票等に記載されている個人情報は、「個人データ」に該当しないとされています（１９頁）。したがって、コンピュータに入力前のマニュアル情報は、個人情報データベース等には該当しないと考えられます。

なお、インターネットの検索エンジンは、個人情報としての索引が付されていないことから、「特定の個人情報を」「検索することができるように体系的に構成したもの」ではないとして、「個人情報データベース等」には該当しないとされています（第１５６回国会衆議院個人情報の保護に関する特別委員会議録第６号細田博之国務大臣答弁）。

市販の電話帳、住宅地図、職員録、カーナビゲーションシステムは？

改正法で追加された規定により、これらは、そのままの状態で使用していれば「個人情報データベース等」から除外されることが明確になりました。具体的には、改正個人情報保護法施行令で次の３つの要件が定められました（施行令３条１項）。電話帳、住宅地図、職員録、カーナビは要件の一、二を満たすことは明らかですから、そのままの状態で使用していれば、個人情報データベース等に該当しません。

２００３年の立法当時にも議論がありましたが、改正前の個人情報保護法は、電話帳、住宅地図、職員録、カーナビを「個人情報データベース等」に含んでいました。このため、これらを市販された状態のままで使用している場合に漏えいしても、理論上は安全管理措置違反に問われる可能性があったわけです。
しかし市販された情報のままでの使用の場合、仮に漏えいが起きたとしても、望ましくないとはいえ個人の権利利益の侵害はきわめて小さいといえます。

また、後述するように改正により個人情報取扱事業者に小規模事業者も含まれることになります。このため、必要性の低い規制を撤廃して、新たに個人情報取扱事業者となる事業者の負担をできる限り軽減することが求められていました。

これらの理由から、改正法で個人情報データベース等に該当しないという手当てがなされたわけです。

紙媒体の情報

②の「特定の個人情報を容易に検索することができるように体系的に構成したもの」とは、従前から施行令で「これに含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう」と定めています（施行令３条２項）。

個人の権利利益の侵害の危険性の観点から、コンピュータを用いる場合に匹敵する検索等の処理が可能である紙媒体の情報をいいます。具体的には、カルテのようにカードで検索できるようになっているものが該当するとされました（行政機関等個人情報保護法制研究会第１回議論の内容）。目次や索引等で整理されていれば、これにあたると考えておく必要があります。

個人情報取扱事業者とは

条文は、五号が削除されましたが、その他は変更はありません。

「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいいます。

２００３年に個人情報保護法が立法された際には、「個人情報取扱事業者」とは、ＩＴ社会に特有の個人情報保護システムの構築という側面から、特に法制度の整備の緊要度が高い一定の事業者を切り出したと考えられていました。具体的には、高度情報通信技術を用いて、消費者の消費性向、属性等も含む顧客情報をデータベース化して事業に役立てようとする者を典型例として念頭に置いていたのです（「〔座談会〕個人情報保護基本法制大綱をめぐって」１０－１１頁）。しかし、いまやＩＴを活用する会社や団体は、その規模にかかわらずきわめて多くなり、個人情報取扱事業者に該当しない事業者は少なくなったといえます。

小規模事業者の除外規定の削除

個人情報取扱事業者は、その取り扱う個人情報の量の大小にかかわらず、上記の条文の定義に該当する事業者は個人情報取扱事業者となります。

改正前の個人情報保護法は、ただし書の五号で「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」を除外していました。当時の施行令で、過去６か月以内のいずれの時点でも５０００人以下の個人情報を取り扱っている場合には、いわゆる小規模事業者として個人情報取扱事業者から除外していたのです。

改正法は、この規定を削除しました。これにより、これまで個人情報取扱事業者に該当していなかった中小企業が、新たに個人情報取扱事業者としての各種の義務を負うことになります。

個人情報保護委員会では、ウエブサイトで中小企業サポートページを作っていますので、新しく個人情報取扱事業者に該当する会社、団体、個人は、このページを参考にするとよいでしょう。特に、「はじめての個人情報保護法～シンプルレッスン～」は大変分かりやすく説明してくれています。

法人格の有無、営利・非営利問わず

個人情報取扱事業者は、法人格の有無を問いません。任意団体（自治会、市民団体、クラブ）や個人も、その活動のために個人情報データベース等を利用していれば、個人情報取扱事業者に該当します。

改正前の個人情報保護法は、上述したとおり、取り扱う個人情報により識別される個人の数が５０００人以下の場合には、個人情報取扱事業者から除外される規定がありました、改正法によりこの除外規定は削除されています。
したがって、任意団体や個人が個人情報取扱事業者に該当しうることについて認識を新たにする必要があります。

営利・非営利も問いません。非営利団体（労働組合、ＮＰＯ、ＮＧＯなど）も、その活動のために個人情報データベース等を利用していれば、個人情報取扱事業者となります。

「事業の用に供している」とは？

個人情報取扱事業者に該当するか否かは、データベース等を「事業の用に供している」かどうかが関係します。

「事業の用に供している」とは、事業のために利用しているという意味です。

その利用が一定の目的のために反復継続し、社会的に事業と認められることが必要です。

また、輸送業者、倉庫業者のように、個人情報を預かっているだけで内容に関知していない場合には、これらの個人情報データベース等を「事業に供している」とはいえません。

公的部門の除外

国の機関、地方公共団体、独立行政法人等、地方独立行政法人等の公的部門は、行政機関個人情報保護法、独立行政法人等個人情報保護法といった個別の法律や地方公共団体の条例の中に義務が書かれているため、個人情報取扱事業者から除かれています（上記の条文のただし書はこれらの公的部門の除外を意味しています）。

個人情報取扱事業者の義務

個人情報取扱事業者は、改正個人情報保護法が定める次の義務を負っています。

小規模事業者の安全管理措置

条文上は、個人情報取扱事業者の企業規模にかかわらず一律に義務を課していますが、規模の小さい企業に個人情報の取扱いについて必要を超えた過度の負担が生じることは望ましくありません。そこで、「個人情報保護委員会が、事業者がとるべき法律上の義務の具体的な履行方法等を示す本法の運用に関する指針（ガイドライン）を定めるに当っては、特に事業規模の小さな事業者の事業活動が円滑に行われるよう配慮する」ことになりました（改正個人情報保護法附則１１条）。

その具体化は、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン（通則編）」の別添「講ずべき安全管理措置の内容」を見ると分かります。
従業員の数が１００人以下の個人情報取扱事業者である中小規模事業者について、取り扱う個人データの数量及び個人データを取り扱う従業者数が一定程度にとどまることなどを踏まえて、安全管理措置について手法を例示しています。

ここにいう「中小規模事業者」とは、従業員の数が１００人以下の個人情報取扱事業者をいいます。ただし、個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去６か月以内のいずれかにおいて５，０００を超える者や、委託を受けて個人データを取り扱う者は、取り扱う個人データの数量が多いことから、中小規模事業者には入りません。

義務違反に対する個人情報保護委員会の権限・罰則

これらの義務に違反した場合、個人情報保護委員会による報告や立入検査の対象となり（４０条）、指導や助言（４１条）、勧告や命令（４２条）の対象となり、罰則が科されることもあります。罰則は上記の義務違反によって直ちに科されるものではありませんが、虚偽の報告をしたり立入検査を拒んだりすれば、３０万円以下の罰金（８４条）が科されることがあり、命令に違反すれば６か月以下の懲役や３０万円以下の罰金に処せられることがあります。

施行前の義務違反は？

改正個人情報保護法の施行前から、小規模事業者として個人情報取扱事業者から除外されていた事業者が個人情報を取り扱っていた場合、たとえ施行前に改正法の各義務に違反した行為があったとしても、施行後にその義務違反を問われることはありません。しかし、施行前から保有している個人情報については、利用目的を特定し、安全管理措置を講じる義務が生じていることを忘れてはいけません。施行後に取得した個人情報についてのみ義務を履行すればよいわけではないことに留意する必要があります。

個人データとは

個人データの条文はシンプルです。

「個人データ」とは、個人情報データベース等を構成する個人情報をいいます。改正法で、号数に変更があったほかは、改正前と条文の文言は変わっていません。

「個人情報データベース等」が前提となりますので、「個人情報データベース等」から除外されている市販の電話帳、住宅地図、職員録、カーナビゲーションシステムを構成する個人情報は、個人データには該当しません。

＊本投稿は、拙著『個人情報保護法　逐条分析と展望』青林書院２００３年）に、改正部分を大幅に加筆し修正したものです。