個人情報保護法の定義(2条)を見ると、個人に関する情報、個人情報、個人情報データベース等、個人データ、保有個人データとさまざまな定義があり、それだけでパタッと本を閉じたくなります。
そこで図を書いてみました。
つまり親亀の上に子亀がのり、子亀の上に孫亀がのり、さらに孫亀の上にひ孫亀がのっているというイメージです。
そして、個人情報、個人情報データベース等の中の個人データ、保有個人データのどれにあたるかによって、個人情報取扱事業者の義務が異なります。
たとえば、個人情報として会社のどこかに散在しているとしても、個人情報データベース等として利用していない場合には、会社は、正確性の確保、安全管理措置、第三者提供の制限などの義務は負わないのです。
定義はとかく面倒ですが、どの義務を負うかをきちんと理解しておくために重要です。