個人情報保護法改正(1)

 平成29年5月30日より,改正個人情報保護法が施行されました。

 改正法で変更された点について,これから数回に亘って概要を説明していきたいと思います。

 今回は,「個人情報取扱事業者」についてです。

 個人情報保護法は,個人情報取扱事業者と匿名加工情報取扱事業者(匿名加工情報取扱事業者については別途説明します)に対する規制を行う法律です。

 したがって,個人情報取扱事業者ではない者(正確には匿名加工情報取扱事業者でもない者)については,個人情報保護法の規制は及びません。

 もちろん,個人情報保護法の規制が及ばないからといって,何ら法的責任が発生しないということではなく,例えば,個人情報の漏洩を発生させた場合には,不法行為責任を負う余地があります。しかし,個人情報保護法の規制は及ばないので,例えば,個人情報保護委員会による立入検査などはできない,ということになります。

 このように,個人情報保護法の規制が及ぶか否かを画するモノが「個人情報取扱事業者」という概念になります。

 

 ところで,旧法では,過去6か月以内のいずれの時点でも5千人以下の個人情報を取り扱うに過ぎない場合は,「個人情報取扱事業者」から除かれていました。

 しかし,新法ではこの人数要件が撤廃され,その結果,おそらく大部分の事業者が,「個人情報取扱事業者」に該当することとなりました。

 新法では,「個人情報取扱事業者」とは,単に「個人情報データベース等を事業の用に供している者」と定義されています。

 ここで,「個人情報データベース等」という概念が登場してきましたが,これは簡単にいえば「個人情報を含む情報の集合物で,検索可能なもの」を指します。

 典型的には事業者がPC上で管理する自社の社員リスト,顧客リストがこれに当たります(これらのリストであっても当たらない場合もありますが,極めて例外的といって差し支えないでしょう。)。また,PCで管理していなくとも,紙媒体で,容易に検索可能なよう目次などを付して管理している場合も,これに当たります。

 なお,個人情報データベース等は,「個人情報」を含むものでなければ個人情報データベース等に当たりませんので,ここで,「個人情報」とは何かについて説明しておきます。

 「個人情報」とは,「生存する個人に関する情報であって,①特定の個人を識別できるもの,あるいは,②その情報単体では識別不可能であっても,他の情報と容易に照合することができ,それにより特定の個人を識別できるもの,および③個人識別符号が含まれるもの」をいいます。

 まず,「生存する個人に関する情報」というのは,①~③すべてにかかります。したがって,死者に関する情報(それが同時に,生存する個人に関する情報に当たる場合は除きます)は個人情報には当たりません。

 ①の「特定の個人を識別できるもの」というのは,典型的には氏名です。ちなみに,同姓同名の人物がいる場合もあり得ることからすれば,氏名だけでは「特定の個人」を識別できるとまではいえないのではないか,という疑問もあり得るところですが,行政サイドの解釈としては,氏名のみで識別可能としているようです。

 ②の「他の情報と容易に照合可能で,それにより特定個人を識別できるもの」とは,例えば,メールアドレス提供事業者におけるメールアドレス(そのメールアドレス単体では個人を識別不可能なもの)です。メールアドレス単体では個人を識別不可能としても,そのメールアドレスを取得する際,本人がメールアドレス提供事業者に対して氏名等の情報を提供していて,メールアドレス提供事業者内部において,メールアドレスとその本人の氏名等が紐付けられており,容易に照合が可能な場合は,これに当たります。少し横道に逸れますが,このメールアドレスの事例からも分かるとおりで,ある事業者にとっては個人情報に当たる情報でも,第三者にとっては個人情報に当たらない,つまり,個人情報か否かは相対的に決まる場合がある,ということですね。

 ③の「個人識別符号」については別途説明したいと思います。

 いずれにせよ,社員リストや顧客リストは氏名を含む場合が多いと思われますので,その場合は個人情報を含んでいる,ということになります。

 

 以上のように,社員リストや顧客リストをPC上で管理している事業者については,基本的には個人情報取扱事業者に当たり,個人情報保護法における各種規制の対象になる,ということになります。

 次回は,各種規制の内容をご紹介する前提として,個人情報,個人データ,保有個人データといった概念の区別について説明したいと思います。

弁護士 関 善輝