こちらは個人情報保護法の知識とその対策を、個人事業主・中小企業の方に簡単に理解していただくためのサイトです。個人情報保護法対策ポータル〜個人事業主・中小事業主が知っておきたい知識と対策

トップ基礎知識対策の基礎業種別対策小冊子よくある質問メール相談認証制度無料診断リンク集
トップ > よくある質問(FAQ) > 個人情報ってなんだろう?

■個人情報ってなんだろう?

1.個人情報保護法で何がかわるか?

2.個人情報ってなんだろう?

Q 個人情報保護法の「個人情報」の定義について教えていただきたいのですが

Q メールアドレスは個人情報ですか?


Q 名刺は個人情報ですか?


Q 防犯カメラの映像は個人情報ですか?


Q 配送業者に渡すラベルの住所や氏名は個人情報ですか?


Q インターネット上の情報は個人情報ですか?


Q 従業員の情報は個人情報ですか?


Q 個人情報を事業の目的として取扱うのではなく、従業員の名簿として管理しているデータも、取り扱い事業者になるのでしょうか?


Q 過去6ケ月とは、その期間に退職した者の情報が残っていたら数に含めるのでしょうか?


Q 過去6ケ月にあった情報でも、現在削除されていれば除外されるのでしょうか?


Q 取引業者の住所録に記載された取引業者数も個人情報の数に含めるのでしょうか?


Q この法律の趣旨は「個人情報の保護」となっていますが、「法人情報」は適用外なのでしょうか?


Q 現在、防犯カメラを設置しています。経済産業省のガイドラインでは、「個人情報保護法における個人情報について、防犯カメラに記録された情報等本人が識別できる映像も含まれる」とのことですが、どのように対処すれば良いのでしょうか?


Q 個人情報の洗い出しの具体的な方法があれば教えて下さい。

Q 「個人データ」と「保有個人データ」の区別方法は?


Q 経済産業省ガイドラインの (2)個人情報データベース等の部分の「【該当する事例】に某企業で市販しております会社職員録は当てはまるのでしょうか? 電話帳や、カーナビ等のデータは含まれないとありますが、違いがよくわかりません。


Q 本社・支店A・支店Bがそれぞれの個人情報を共有していない場合、本社で管理できる個人情報が3000人分しかない場合は個人情報保護法の対象となるのでしょうか?

3.個人情報保護法で、誰が何をしなければならないの?
4.個人情報保護法を守るだけで良いのだろうか?
5.認証制度の役割は?


Q 個人情報保護法の「個人情報」の定義について教えていただきたいのですが。

A 個人情報保護法では対象情報の定義として「個人情報」「個人データ」「保有個人データ」の3つの概念が使われています。

なぜそんなことをするかと言うと、 法では「個人情報」を特定の個人を識別する情報と、とても広く定義しているため、そのままでは事業者に負担がかかりすぎるからです。

段階的に個人情報の定義を絞り込んでいくことで、事業者にもそれに見合った義務を設定しています。

ですから「個人情報」だからといってガチガチに個人情報保護法で、事業者に義務がかぶさってくるわけではありません。

また、関連した概念に「個人情報データベース等」「個人情報取扱事業者」があり、順を追ってその説明と法律の中での位置づけ等を説明します。

まずは基本中の基本「個人情報」の概念です(あくまでも個人情報保護法の中でのみの考え方ですので、そこは注意してください)。

結論から言えば個人にかかわる情報のほとんどが当てはまります。

そして、当たり前ですが、この概念に該当しない情報は個人情報保護法の適用はありません。

それでは具体的にはどうなているのでしょうか。 

1.個人に対する情報

あまりにも当然で、いちいちそんなこと書くなよ、という感じですが、
法律ってそういうものです。

ですから会社の住所や取引内容といった法人情報は、この法律では該当しません。

ただし、役員の個人の情報は個人情報となると思った方がいいです。
。また、経営の秘密に関する情報 (例えば営業秘密など) は不当競争防止法によって保護されています。

さらに個人の情報というだけで成立しますので、国籍等で区別されることはありません。

2,生存している個人の情報であること

生きている個人の情報であることが条件ですので、既に亡くなっている人の情報は対象になりません。

これは、取得したときは生きていても、後で亡くなった場合は、なくなった時点で個人情報保護法の規制の対象から外れることになります。

うーむ、死に恥はさらしていい、ということなのでしょうか。冗談はおいておいて、注意すべきなのは、一見すると死亡者の情報のようでも、生存する個人とかかわる情報については「個人情報」となる場合がありますので注意が必要です。 具体的にいえば、相続財産に関する情報等があげられます。

3,特定の個人を識別することができる情報

条文上では「氏名、生年月日により」「他の情報と容易に照合することができ、それにより特定の個人を識別することとなるものを含む」

としています。上の氏名、生年月日はあくまで一例ですので、誰の情報だか誰が見ても分かるような情報は「個人情報」になるということです。

そのかわり個人に関する情報をもとに作られた統計情報、
「東京都の行政書士の合計、○○人」は、個人情報になりません。

そのかわりと言ってはなんですが「東京の迷走行政書士」は、googleで検索すると一発で誰か分かるので、個人情報になります。

専門用語で言うと、これを「個人識別性」といいます。

「他の情報と容易に照合することができ‥‥」

つまり、誰かを照合に手間取るような個人情報は、個人情報保護法では「個人情報」として取り扱いません。

一例として、どこかのサイトに私のメールアドレス「ap7k-sum@asahi-net.or.jp」が、それだけでごろんとあっても、それは個人情報としては扱われません。ただし、私のメールアドレスが、soma@somaoffice.jp等、すぐに誰だかわかる場合は「個人情報」となります。

どうしてこの「他の情報と容易に照合することができ‥‥」というカッコ書きが必要かというと、民間の営業の自由に配慮して、過度の規制を避けるためだといわれています。

また、経済産業省のガイドラインでは
「『例えば通常の作業範囲において、個人情報データベース等にアクセスし、照合できる状態』をいい、他事業者への照会を要する場合、当該時儀容社内部でも取扱部門が異なる場合等であって照合することが困難な場合を除く」

とかなり具体的に定められています。だだし、事業者の中での照合の容易性は様々でしょうから、該当するか否かの判断は慎重に行ってください。


Q メールアドレスは個人情報ですか?

A 基本的な考え方は以下の通りです。
 
個人を特定できるものは「個人情報」。 できないものは「個人情報ではない」。

そして、具体的に言いますと、個人名@会社名(例えばsoma@somaoffice.co.jp)は、個人情報となりますが、プロバイダ等が勝手につけて、誰だか分からないようなメールアドレス(例えばceszu@asahi-net.or.jp)は個人情報になりません。 

と、個別のメールアドレスには個人情報と個人情報として扱わなくてよいものがありますが、現実の運用としては、その両方が混在する形での管理となると思います。
その場合は個人情報としてのメールアドレスが含まれるので、個人情報保護法に基づいた管理をする必要があります。

結論を言えば、メールアドレスは個人情報として保護しなければならない、と考えるのが妥当でしょう。


Q 名刺は個人情報ですか?

A 扱いのされ方で個人情報保護法の対象となります。

名刺一枚であっても個人情報になることがあります。

というよりも、扱いのされ方で、個人情報保護法の対象となる、と考えてください。

整理して考えるとこうです。

1.名刺は死亡者のものでなければ個人情報。
 注意するのはこれだけでは個人情報ですが、個人情報保護法の保護の対象ではありません。 

2.その名刺をあいうえお順などで簡単に検索できるよう整理している。
 この時点で法のいう、「個人情報データベース等」に該当する。 

3.全社で個人情報等データベースの個人情報を、五千人以上で六ヶ月以上保有している。
 ここで個人情報取扱事業者となり、個人情報保護法による規制の
対象となる。

個人情報保護法は、上記のような考え方で規制される事業者を決めています。
とても重要なので、この考え方の流れはしっかり把握しておいてください。


Q 防犯カメラの映像は個人情報ですか?

A 本人が特定できる限り、個人情報になります。

へぇーっ、とお思いの方もいらっしゃるでしょうが、防犯カメラの録画映像も、本人が特定できる限り、これは個人情報になります。

本人が特定できることが条件になりますので、後ろ姿だけだったり、画像が不鮮明な場合は、個人情報にあたりません。また、画像にモザイクをかけて誰だか分からなくしたものも、適用除外になるでしょう(防犯カメラにそんなことをする人がいるとは思えませんが)。


Q 配送業者に渡すラベルの住所や氏名は個人情報ですか?

A 個人情報データベースの中身に触れない場合は、個人情報取扱事業者として、個人情報保護法の規制を受けないことになります。

個人情報保護法で規制を受ける事業者の条件として
「個人情報データベース等を事業の様に供している者」としています。

ざくっといえば、事業のために個人情報データベースの中身を使っていること、ということができます。

逆に言えば、個人情報データベースの中身に触れない場合は、個人情報取扱事業者として、個人情報保護法の規制を受けないことになります。 

この具体的な例としては、配送業者が個人情報が入ったCD-ROM等を、単に保管、輸送、などを行う場合です。この場合の配送業者は個人情報保護法の規制の対象外です。
ここで規制を受けるのは、個人情報データベースなどを作成した事業主になります。

ただし、配送業者が横流しなど不正に行為をした場合は、当然ながら一発アウトです(これは個人情報保護法ではなく、刑法、民法の問題)。
個人情報保護法に抵触しないからと言って、他の法律の責任から免れていると、軽々しく考えるのだけは絶対にやめましょう。


Q インターネット上の情報は個人情報ですか?

A 事業の用に用いている事業者は、個人情報取扱事業者として、個人情報保護法の規制を受けます。

仮に個人情報を専用に検索できるデータベースがネット上に存在した場合は、それは個人情報データベース等になり、それを事業の用に用いている事業者は、個人情報取扱事業者として、個人情報保護法の規制を受けます。

では、検索エンジン等はどういう扱いになるのでしょうか。
これはただ単に個人名をキーワードとして検索することができますが、個人情報そのものを事業の用に検索できるわけではありませんので、個人情報データベース等にはあたりません。

しかし、検索エンジン等で検索した結果、公開していない個人情報が公開されていた場合は、そのホームページの管理者に、不当な個人情報の公開を中止するよう求めることはできます。


Q 従業員の情報は個人情報ですか?

A 基本的にはその他の顧客等の個人情報と同様な位置づけで適切な管理を行う必要があります。

うっかりしがちなのがこの就業にかかわる個人情報。 こちらは一般の事業の用に用いる個人情報とは別扱いとして、厚生労働省から独自のガイドラインが出ています。

現在就業している方の分はもちろん、退職者(法律で一定期間の情報の保存が定められています)、応募書類(履歴書など)も含まれます。 
取引先ばかりに目がいきがちですが、こちらも忘れずにしっかり対策を打つ必要があります。

なお、不採用になった方の履歴書などは、不採用通知とともに返却するのがいいでしょう。

うっかり忘れがちなのが従業員の個人情報ではないかと思います。
基本的にはその他の顧客等の個人情報と同様な位置づけで適切な管理を行う必要があります。

厚生労働省のガイドラインでは、個人情報取扱事業者で雇用管理に関する個人情報の取扱う者、としていますが、早い話が六ヶ月の間五千人を超える個人情報を持っている事業者で、従業員がいれば100%適用となります。

六ヶ月の間五千人を超えない場合は、ガイドラインに準じた努力規定としています。

従業員の個人情報の保護に関するポイントは、現在使用されている従業員だけではなく、採用予定者、応募者、退職者にも適用されるということです。

また、雇用に関する書類は法律で一定期間の保管が義務付けられていますので、その定められた期間も含めて適正な管理をする体制の構築が求められています。


Q 個人情報を事業の目的として取扱うのではなく、従業員の名簿として管理しているデータも、取り扱い事業者になるのでしょうか?

A 五千件を超える個人情報を保有している場合は対象となります。


Q 過去6ケ月とは、その期間に退職した者の情報が残っていたら数に含めるのでしょうか?

A 退職者も数に含まれます。退職者の雇用に関する情報は法定で一定期間の保管が義務づけられておりますので、当然に数に含んでください。


Q 過去6ケ月にあった情報でも、現在削除されていれば除外されるのでしょうか? 

A 過去六ヶ月間のうち一日でも五千人以上の個人情報を保有した場合は対象となります。


Q 取引業者の住所録に記載された取引業者数も個人情報の数に含めるのでしょうか?

A 含めてカウントしてください。


Q この法律の趣旨は「個人情報の保護」となっていますが、「法人情報」は適用外なのでしょうか?

A 法人の情報は個人情報保護法の適用除外です。ただし法人の役員などの情報は個人情報足り得ますので、管理の際は注意してください。


Q 現在、防犯カメラを設置しています。経済産業省のガイドラインでは、「個人情報保護法における個人情報について、防犯カメラに記録された情報等本人が識別できる映像も含まれる」とのことですが、どのように対処すれば良いのでしょうか?

A 個人情報保護法で義務づけられているのは、個人情報の取得の目的、管理・使用方法です。このケースでは、防犯目的において設置したこと、またその目的について録画映像を管理・利用することを周知すればよいので、不特定多数の公衆に対しては、”防犯カメラ作動中”の表示があれば、防犯カメラの設置目的や管理・利用方法は明らかにされていると考えられます。


Q 個人情報の洗い出しの具体的な方法があれば教えて下さい。

A 個人情報の洗い出しは御社の個人情報の保護対策にとって、その基礎となる作業ですので細心の注意を払って取り組んでください。

 具体的な方法に関してはどうしても概論的になってしまいますが、その点はご容赦ください。

 まず最初に、法で定められた個人情報保護管理者を、任命していただくのがよろしいと思います。

 その個人情報保護管理者の指示のもとで、部門ごとの個人情報と思われるデータベースその他のもの (紙類で保存されているものも含まれます)、がないかどうか調査し、またその情報の具体的な保存・保管状況を漏れのないよう調査してください。

 また、従業員・退職者・求職者等の雇用関係の個人情報も、その内容と管理のされ方を正確に把握してください。

 また、個人情報の処理を外部に委託している場合は、その委託内容を把握してください。具体例でいえば、お得意様宛のダイレクトメールの発送を外部に委託している場合、どういった項目の個人情報データを渡しているかといった内容です。

 すべての個人情報に関わるデータは、コンピューターで管理されていないものも対象になりますので、その点はくれぐれも漏れがないよう気をつけてください。

 また、法律で個人情報は容易に個人が特定できるものと定められていますが、この解釈については調査時には念頭に置かず、それこそ社員の机にはいっている名刺の有無(具体的な名刺の名前や内容までは調べる必要はないでしよう)まで、お手数とは思いますが調査把握し、後に個人情報保護管理者の判断によって保護するかどうかの結論を出すようにしてください。


Q 「個人データ」と「保有個人データ」の区別方法は?

A 「個人データ」と「保有個人データ」の区別は、その内容ではなく、形態で行います。おおざっぱに言えば、「個人データ」のうち、公的な安全が脅かされるものと六ヶ月内に消去するものを除いたものが、「保有個人データ」になります。


Q 経済産業省ガイドラインの (2)個人情報データベース等の部分の「【該当する事例】事例5)氏名、住所、企業別に分類整理されている市販の人名録」に某企業で市販しております会社職員録は当てはまるのでしょうか? 電話帳や、カーナビ等のデータは含まれないとありますが、違いがよくわかりません。

A 該当する会社職員録がどのようなものなのかわかりませんので、確答は出来ませんが、市販され、その情報を第三者が利用することを前提に本人から了承を取って、販売しているものであるならば問題はないでしょう。
 しっかりと企画されたものであるならば、電話帳などと同じ性質のものだからです。
 しかし、施行前のものですとそこまでしっかり考えて作られていない可能性が強いので、その職員録の情報は使用しない方が良いと思われます。
 ただし、個人情報保護法の施行以後は、このような社員録が外部に提供されることは、大幅に少なくなってゆくと思われます。

 電話帳やカーナビ等のデータは含まれないというのは、これは電話帳やカーナビの情報をそのまま使っただけで、事業者が個人情報保護法の義務を課せられるのは、あまりにも酷だ、という理由で、電話帳・カーナビの利用については個人情報保護法の対象外となっています。

 だだし、電話帳・カーナビの情報であっても、その情報に他の情報を追加したり、情報を変更などの手を加えた場合は、その情報は個人情報保護法の適用を受けます。
 つまり、手を加えた事業者に責任がかかるということになります。

 ですから前述の社員録で適法なものであっても、御社が手を加えられたりした場合は、個人情報保護法の対象になりますので、お気をつけ下さい。


Q 個人情報保護法の対象者に、「2005年4月から5000名以上の個人データを持った事業者すべてに適用されます。」とあります。例えば本社で管理している個人情報が3000人分、支店Aは1500人、支店Bも1500人分の個人情報を持っているとします。合計人数は5000人を越えているので「個人情報取扱事業者」となり個人情報保護法の対象になると思いますが、本社・支店A・支店Bがそれぞれの個人情報を共有していない場合、つまり、上記の例の場合なら本社で管理できる個人情報が3000人分しかない場合は個人情報保護法の対象となるのでしょうか?

A 個人情報保護法は事業所単位ではなく、事業者の単位で個人情報の総計を基に対象事業者かどうかが決まります。
 ですから本社・支店間で個人情報の共有をしていない場合でも5000を超えた個人情報を持っている場合は対象事業者となります。
 ただし、本社・支店が同一人物の個人情報をだぶって持っている場合、重複した数は合計から除いてよい、ということになっています。
 また、5000という数は早晩下げられると予想されていますので、今後の法改正等には十分注意を払っていてください。




■このサイトのプライバシーポリシー

■個人情報保護の基礎知識

個人情報保護法って何の法律?
個人情報って何?
どんなルールができた?
個人情報はどう悪用される?
対策をするとどうなる?しないと?

究極の対策は?

■個人情報保護法対策の基礎

では、具体的な対策の手順は?
対策その1:社内体制の確立
対策その2:社内ルールの策定
対策その3:社外ルールの策定
対策その4:物理的・技術的対策
対策その5:個人情報漏洩保険

■業種別対策

一般の事業者
紹介・派遣業
福祉・介護
病院・診療所・研究施設
学校・塾・予備校

■個人情報保護法対策小冊子

■よくある質問(FAQ)

個人情報保護法で何がかわる?
個人情報ってなんだろう?
誰が何をしなければならないの?
守るだけで良いの?
認証制度の役割は?

■メール相談

■認証制度

無料リスクアセスメント

■リンク集

■運営者紹介

トップ > よくある質問(FAQ) > 個人情報ってなんだろう?
トップ基礎知識対策の基礎業種別対策小冊子よくある質問メール相談認証制度無料診断リンク集
Copyright 2005 個人情報保護法対策ポータル All Right Reserved. 監修:戦略法務研究会 運営:bizknowledge