プライバシーポリシーを作成する場面に限らず、個人に関する情報を取り扱う上で避けて通ることができないのが、”個人情報”に関連する分類が多く、意外にわかりづらい点であるように感じています。
そこで、個人情報保護法(以下「法」といいます)で定義されている情報の分類のうち、一定の加工をすることで生成されるもの以外で主なものについてご紹介します。
この分類によって適用される法の規定が変わりますので、この記事で挙げる分類はしっかりと把握しておく必要があります。
なお、別記事で取り上げる分類も含めて、法で定義されている分類は次の図のような概念となります。
個人情報
まず基本となるのが「個人情報」で、これは特定の個人を識別することができる情報、または個人識別符号を含むものです。
詳細は別記事にまとめていますので、ご参照ください。
個人情報データベース等
事業者が取得した個人情報を利用するためにはまず保管する必要がありますが、この保管が適切な形で行われていないと、実際に利用する際に過大な手間がかかったり、望む形での利用ができなくなってしまいます。
そのため、多くの事業者では、取得した個人情報を一定のルールで整形して整然と並べることで、個人情報がまとまった「データベース」を作成することが一般的ではないでしょうか。
このように、個人情報を含む情報の集合体であり、特定の個人情報をパソコンやスマートフォンなどのコンピュータ(電子計算機)を利用して検索することができるように体系的に構成されているもの、または特定の個人情報を容易に検索することができるように体系的に構成されているものを、法では「個人情報データベース等」と定義しています(法16条1項)。
個人情報保護法ガイドライン(以下「ガイドライン」)では、以下のようなものが個人情報データベース等に該当する例として挙げられています。
- メールアプリに保管されているメールアドレス帳
- 名刺の情報を業務用パソコン上の表計算ソフト(Excelなど)を用いて入力・整理している場合
- 個人情報が書かれているカードを氏名の五十音順に整理してインデックスを付した上でファイリングしている場合
なお、たとえ保管されている個人情報が1件だけの場合でも、上記定義に該当する状態なのであれば個人情報データベース等に該当します。
ただし、上記定義に該当する場合であっても、例えば分類者独自の方法で分類されていることで他人にとっては容易に検索できない状態だったり、市販の電話帳など不特定多数の者が随時購入できるものは個人情報データベース等ではありません(個人情報の保護に関する法律施行令(以下「政令」)4条)。
個人データ
先述の個人情報データベース等を構成する個人情報を「個人データ」といいます。
事業者が個人情報を取得した場合、個人情報データベース等を作成することは一般的だと思いますので、基本的には多くの個人情報が「個人データ」に該当することになるかと思います。
ただし、個人情報データベース等を構成する前、例えば名刺交換で受け取った取引先担当者の名刺を、取引先データベースに入力する前に自分のデスクに置いているだけというような場合は、その名刺に記載されている個人情報は「個人データ」ではありません。
保有個人データ
事業者が保管する個人データのうち、事業者が開示・内容の訂正または削除・利用停止・消去および第三者への提供停止(法32条2項、33条〜35条)をすることができる権限をもっているものを「保有個人データ」といいます。
詳細は別記事にまとめていますのでご覧ください。
