個人情報データベース : 電子化されていない情報でも該当するのか

当社は情報化が遅れており、顧客の情報は、一人1枚の紙を使用して記録されています。これを五十音順に並べた上でファイリングして管理しています。このような管理方法を取っている場合、個人情報データベース等を保有しているといえますか。

いわゆる電子データベースでなくても、集積された個人情報に、体系性・検索性が認められれば、個人情報保護法に言う「個人情報データベース等」に該当します。したがって、目的の情報が簡単に見つけられるように構成してあるファイルは、個人情報データベースに該当するでしょう。

メールアドレスの個人情報該当性 : メールアドレスは個人情報か

メールマガジンを発行していますが、申し込みの際にはメールアドレスと年齢、性別のみを提供してもらってます。このメールマガジンの受信者一覧表は個人情報を含んでいることになりますか?

メールアドレスは単純な記号の羅列に過ぎませんので、通常は個人情報に該当しないでしょう。もっとも個人名@会社名.co.jpといった形で、「●●株式会社の××さん」と特定できる場合には、個人情報に当たると判断される可能性があります。

非生存者(死者)の個人情報保護 : 死者の個人情報は法律上の個人情報か

葬儀屋を経営していますが、お亡くなりになられた方がどのようなお式を挙げられたのかについての情報が集積しています。この情報は個人情報にあたりますか?

個人情報保護法上は「個人情報」に該当しうるのは「生存する個人」についてのもので無ければならないとされていますので、亡くなられた方の情報は個人情報と見なしません。もっとも通常、そういった記録の場合には喪主の名前も併記されるでしょうから、喪主の個人情報として、保護の対象となる可能性が高いでしょう。

統計情報の個人情報該当性 : アンケートと集計結果それぞれの該当性

ある新製品を企画するにあたり市場調査を行う予定です。無作為に抽出した対象者から氏名や住所、年齢、性別まで記載していただいたアンケートを収集します。この市場調査の結果は個人情報保護法上個人情報にあたりますか。

個人情報保護法において個人情報とは「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」とされています。アンケートに記載されている氏名住所等であれば、この情報で特定の個人を識別することが可能になりますので、個人情報といえます。これに対し、市場調査の結果である年齢別の新製品に対する関心の高さは、「関心があると答えた人の割合」といった形で、あくまでも統計情報のみが記載されるのであれば、個人情報にはなりません。

公開されている個人情報の取り扱いについて:公の情報も個人情報に該当するのか

商業登記簿や特許公報には代表者や出願人の個人情報が掲載されており、一般的に公開されているかと思います。このような情報も法律上保護されるのでしょうか。

一般に、個人情報の取り扱いにあたっては、個人情報保護法とプライバシー権に配慮する必要があります。まず個人情報保護法については、法律の対象となる個人情報について、第2条1項により、「生存する個人に関する情報であって、当該情報に含まれる 氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」と定義しており、公開済の情報か否かを問うていません。そのため、たとえ公開情報であっても、個人情報保護法における「個人情報」には該当することになります。なお個人情報保護法においては「個人情報」に該当したことにより発生する義務は、利用目的の特定・これによる制限(15・16条)、適正取得(17条)、取得の際の利用目的の通知(18条)程度です。個人情報がデータベース化され、「個人データ」(2条2項)となったときには、正確性の確保(19条)、安全管理措置(20条)、従業者の監督(21条)、委託先の監督(22条)、第三者提供の制限(24条)などが義務として追加されることになります。一方、プライバシー権については、裁判先例上は、プライバシー権が発生するのは、非公開情報のみとされています。そのため既に公的に公開されている個人情報を取り扱う場合には、よっぽどのことが無い限りは、プライバシー権を侵害したと言うことにはならないでしょう。

個人情報の定義:自社では個人の特定ができないが委託元では特定可能な情報は該当するか

会員システムに関する業務を受託しています。会員番号のみを委託元から預かりますが、会員名簿を保有していないので、当社での個人の特定は不可能です。もっとも委託元では対照可能ですから個人の特定可能です。この情報(会員番号)は個人情報に該当しますか。

ある一定の情報が個人情報保護法上の「個人情報」に該当するか否かについては、相対的なものといわれています。つまりある情報が、ある個人情報取扱事業者の元では個人情報に該当し、別の個人情報取扱事業者の元では個人情報に該当しないというケースが生じることになります。ご質問の事例では、御社においては対象となっている情報(会員番号)については個人情報に該当せず、個人情報保護法上の各種の規定は適用されません。一方、委託元においては、会員番号のみであっても、保有している会員名簿によって容易に個人を特定することが出来ます。そのためこの情報は委託元においては個人情報に該当し、個人情報保護法上の各規定が適用されることになります。つまり同じ情報であっても、保有している主体によって、個人情報に該当するかどうかが分かれるということです。

個人情報への該当性:社内の座席表は個人情報か

会社で日常的に使っている座席図にはレイアウト図の上に名前や組織名及び電話番号が掲載されています。この座席図やこれを集めたものは個人情報データベース等に該当しますか?

まず判断の前提として各情報が個人情報に該当するかが問題となりますが、ある特定の会社に関する情報であることを前提とすれば、所属組織名、氏名、座席位置が記載されていれば個人の特定が可能ですから個人情報に該当するでしょう。個人情報データベース等への該当性については、この座席図の様に、検索を容易にするための手段が付されていないものの、一方で、各個人情報の一覧性があるものは、判断は微妙になります。もっとも現在の政令及びガイドラインを前提とすれば、該当しないという結論となる可能性が高いでしょう。そしてこの座席表を集めた場合には、個人情報の数は増えますが、検索性は逆に低下することになりますので、個人情報データベース等への該当性はより低くくなります。

利用目的の通知:DMや機関誌の送付に送付先個人の同意は必要か

当社ではおつきあいのあるお客様に当社の機関誌を送付しています。個人情報保護法上、こういった機関誌を送付する際に、送付先の個人から同意を取得する必要はありますか?

個人情報保護法上、個人情報の主体たる本人からの同意が必要なのは、当初の利用目的を超える場合や、第三者提供を行う場合です。公表したり、本人に通知したりしているか否かにかかわらず、当初お客様の個人情報を収集した際の御社の目的に機関誌の送付が含まれているのであれば、今後個人情報保護法施行の際に、機関誌の送付を利用目的として一般に公表すれば、利用目的内の利用ということになるので改めて同意を取得しなくても、今後の機関誌を送付することができます。

利用目的の通知 : 公表している場合にも通知は必要か

 当社では個人情報の利用目的をホームページに掲載しております。この場合、ご本人から利用目的の通知を求められた場合、やはり通知をしないといけないのでしょうか。それともホームページをご覧下さいとお伝えすればよろしいのでしょうか。

個人情報保護法第24条2項は例外として、同条1項によって利用目的が明らかになっている場合を除外しています。そのためホームページが誰でもアクセスできる状態であり、利用目的が具体的に把握できる状態になっているのであれば、「ホームページをご覧ください」と回答することで十分でしょう。

利用目的の変更 : 保有している個人情報の利用目的の変更の手続きはどういったものか

当社には長年収集されてきた個人情報が蓄積されており、これらは当社の資産であると考えています。収集した際の目的は様々ですが、個人情報保護法もこの情報を活用できるように、利用目的を変更したいと考えています。どうすれば変更できますか。

個人情報の利用目的の変更は、変更前の利用目的と合理的な関連性を有する範囲に限られています(個人情報保護法第15条2項)。関連性を認めることのできる範囲で変更する場合には、変更後の目的を本人に通知することが必要です(同法第18条3項)。もっとも大量の個人情報が蓄積されている場合には、目的を通知することは現実的ではない場合が多いでしょう。関連性を認めることができない利用目的に変更する場合には、本人から個別に同意を得ることが必要です(同法第16条1項参照)。大量に蓄積されている個人情報の本人から個別の同意を得るのは、かなりの手間がかかり、余程の工夫がなければ難しい場合が殆どです。このように規制がなかなか厳しくなっていますので、個人情報である情報資産の利用は簡単でない場合が多いでしょう。