個人情報・個人情報データベース等・個人データ・保有個人データの違い

by privacy

プライバシーポリシーを作成する場面に限らず、個人に関する情報を取り扱う上で避けて通ることができないのが、”個人情報”に関連する分類が多く、意外にわかりづらい点であるように感じています。

そこで、個人情報保護法(以下「法」といいます)で定義されている情報の分類のうち、一定の加工をすることで生成されるもの以外で主なものについてご紹介します。

この分類によって適用される法の規定が変わりますので、この記事で挙げる分類はしっかりと把握しておく必要があります。

なお、別記事で取り上げる分類も含めて、法で定義されている分類は次の図のような概念となります。

個人情報

まず基本となるのが「個人情報」で、これは特定の個人を識別することができる情報、または個人識別符号を含むものです。

詳細は別記事にまとめていますので、ご参照ください。

個人情報とは何か?

個人情報データベース等

事業者が取得した個人情報を利用するためにはまず保管する必要がありますが、この保管が適切な形で行われていないと、実際に利用する際に過大な手間がかかったり、望む形での利用ができなくなってしまいます。

そのため、多くの事業者では、取得した個人情報を一定のルールで整形して整然と並べることで、個人情報がまとまった「データベース」を作成することが一般的ではないでしょうか。

このように、個人情報を含む情報の集合体であり、特定の個人情報をパソコンやスマートフォンなどのコンピュータ(電子計算機)を利用して検索することができるように体系的に構成されているもの、または特定の個人情報を容易に検索することができるように体系的に構成されているものを、法では「個人情報データベース等」と定義しています(法16条1項)。

個人情報保護法ガイドライン(以下「ガイドライン」)では、以下のようなものが個人情報データベース等に該当する例として挙げられています。

  • メールアプリに保管されているメールアドレス帳
  • 名刺の情報を業務用パソコン上の表計算ソフト(Excelなど)を用いて入力・整理している場合
  • 個人情報が書かれているカードを氏名の五十音順に整理してインデックスを付した上でファイリングしている場合

なお、たとえ保管されている個人情報が1件だけの場合でも、上記定義に該当する状態なのであれば個人情報データベース等に該当します。

ただし、上記定義に該当する場合であっても、例えば分類者独自の方法で分類されていることで他人にとっては容易に検索できない状態だったり、市販の電話帳など不特定多数の者が随時購入できるものは個人情報データベース等ではありません(個人情報の保護に関する法律施行令(以下「政令」)4条)。

個人データ

先述の個人情報データベース等を構成する個人情報を「個人データ」といいます。

事業者が個人情報を取得した場合、個人情報データベース等を作成することは一般的だと思いますので、基本的には多くの個人情報が「個人データ」に該当することになるかと思います。

ただし、個人情報データベース等を構成する前、例えば名刺交換で受け取った取引先担当者の名刺を、取引先データベースに入力する前に自分のデスクに置いているだけというような場合は、その名刺に記載されている個人情報は「個人データ」ではありません。

保有個人データ

事業者が保管する個人データのうち、事業者が開示・内容の訂正または削除・利用停止・消去および第三者への提供停止(法32条2項、33条〜35条)をすることができる権限をもっているものを「保有個人データ」といいます。

プライバシーポリシーに記載する情報の中で比率が多くなるのが、この保有個人データに対して適用される法による公表等(本人の知り得る状態におく、または本人の求めに応じて遅滞なく回答する)の義務に対応するための記載(下記)です。

  • 個人情報取扱事業者の氏名・名称、住所、代表者氏名(法人の場合)(法32条1項1号)
  • すべての保有個人データの利用目的(法32条1項2号)
  • 開示等の請求等に応じる手続き(法32条1項3号)
  • 講じる安全管理措置(法32条1項4号、政令10条1号)
  • 苦情の申出先(法32条1項4号、政令10条2号)

なお、「その存否が明らかになることにより公益その他の利益が害されるもの」(法16条4項)として以下のいずれかに該当する個人データは「保有個人データ」から除外されます(政令5条)

  • 本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの(例:家庭内暴力被害者の保護団体が保有している加害者および被害者の情報)
  • 違法又は不当な行為を助長し、又は誘発するおそれがあるもの(例:クレーマーリストに含まれている情報)
  • 国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの(例:警備会社が保管している要人の行動予定情報)
  • 犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの(例:振り込め詐欺に利用された口座に関する情報に含まれる情報)