トップページ  >  連載  >  個人情報保護法2

個人情報保護法

令和3年11月8日

2.個人情報保護法について②

個人事業取扱事業者とは

個人情報保護法では、個人情報取扱事業者に対して様々な義務が課されています。平成27年の改正により1人でも個人情報を保有している場合は同法の対象となり、個人事業主や中小企業問わず対象となるため、従業員が1人でもいれば、あるいは取引先が1社でもあれば、個人情報取扱事業者として法規制の対象になり得るというお話を前回しました。

では、個人情報取扱事業者の定義は何でしょうか。

個人情報取扱事業者とは、「個人情報データベース等」を「事業の用に供している」者が該当し、例外的に、国の機関や地方公共団体などが除かれています。

(1)個人情報データベース等

個人情報データベース等とは、個人情報をデータベース化するなどして、体系的に整理・記録し、特定の個人情報を識別できるものをいいます。典型例は、パソコンのソフト(Excelなど)を利用して作成した顧客リストです。50音順のように一定の規則に従って整理され索引等が設けられた名簿のような紙媒体も含みます。パソコン等に入力する前の帳票類であっても、50音順など一定の規則性に従って整理されている場合などはそれ自体が個人情報データベース等に該当します。また、一方、広く世の中に出回ることが想定されている市販の電話帳や住宅地図、職員録などは、それらを購入あるいはダウンロードして加工せず利用する限りは個人情報データベース等には該当しません。

そして、個人情報データベース等を構成する個人情報であり、一定の方式により検索可能な状態になっているもの(例えば顧客リストに掲載されている各顧客に関する情報)を「個人データ」といいます。個人情報データベース等を構成するものなので、同じ内容のものでも、個人情報データベース等を構成していないものは個人データにはあたりません。

(2)保有個人データ

個人情報保護法では、「個人データ」をさらに限定した「保有個人データ」という概念を用いて、規制の対象を異ならせています。これは、他事業者の委託を受けて個人情報の入力、編集、加工等を行う事業者(データベース作成事業者など)は、もっぱら委託者の指示に従って業務を行うこととされているため、そもそも個人情報の開示等を行う権限がない場合があること、また、短期間に消滅することとなる個人データの場合、個人の権利利益を侵害する危険性が低く、開示等までの間に消去される可能性も高いことから、個人情報取扱事業者の負担を考えて、開示や第三者提供等の義務の対象から外すのが相当と考えられたためです。

現行法では、保有個人データは、個人情報取扱事業者に開示、訂正等の権限があるもので、かつ6ヶ月以上保有するものとされています。具体的には、自社の事業活動に用いている顧客情報、事業として第三者に提供している個人情報、従業者等の人事管理情報が該当します。一方、保有個人データに該当しない個人データとしては、委託を受けて、入力、編集、加工等のみを行っているものが挙げられます。

ところで、保有個人データについては、令和2年に重要な改正が行われました。

1つは、保有個人データの要件である、6か月以上保有するものという要件を外したことです。つまり、6か月以内に消去される短期保存データも「保有個人データ」に含められることになります。これは、情報化社会の進展により、短期間保有データであっても、その間に漏えい等が発生し拡散する可能性があり、個人の権利利益を侵害する危険性が低いとは限らないことにあります。

さらに、保有個人データの開示方法としては、現行法上は原則書面の交付のみですが、電磁的記録の提供を含め、本人が開示方法を指示できるようになります。個人情報取扱事業者は、原則として、本人が指示した方法により開示するよう義務付けられます。

いずれも施行日は令和4年4月1日です。

 

[個人情報、個人データ、保有個人データの関係]

個人情報保護法では、「個人情報」「個人データ」「保有個人データ」ごとに適用されるルールが区別されています。詳しい内容は今後の連載でご説明します。

(3)事業の用に供していること

事業の用に供しているとは、ある者が行う事業に利用する目的で、個人情報データベース等を役立たせていることをいいます。利用方法は特に限定されません。典型例は、自ら営む事業の顧客管理や従業員管理に利用する目的で自社内において個人情報データベース等を構築し自ら使用する場合ですが、利用する者と提供する者が一致しない場合もあります。例えば、データベース作成事業者のように、他の事業者のために個人情報のデータベースを構築する場合です。委託業務の受託者が委託元の個人情報データベース等を加工等せずにそのまま利用する場合でも、委託された業務を行うために利用するのであれば、事業の用に供していることになります。

また、海外に支店を有している会社の場合、海外支店が日本の事業活動に伴って個人情報データベース等を取り扱っている場合は個人情報取扱事業者に該当しますし、逆に、日本企業の海外支店であっても、個人情報データベース等の取り扱いがもっぱら海外であれば個人情報取扱事業者には該当しません。

なお、事業とは、社会通念上それが事業とみられる程度の社会性があることが必要ですので、個人が私生活で自分のパソコンで個人情報データベース等を利用しているような場合は該当しません。

 

次回は、個人情報取扱事業者にどんな義務が課されているのか、具体例とともに見ていきたいと思います。

top