当社は情報化が遅れており、顧客の情報は、一人1枚の紙を使用して記録されています。これを五十音順に並べた上でファイリングして管理しています。このような管理方法を取っている場合、個人情報データベース等を保有しているといえますか。
いわゆる電子データベースでなくても、集積された個人情報に、体系性・検索性が認められれば、個人情報保護法に言う「個人情報データベース等」に該当します。したがって、目的の情報が簡単に見つけられるように構成してあるファイルは、個人情報データベースに該当するでしょう。
大阪の弁護士がIT法務な日常をメモ – 別サイトからインポートしたため記事におかしいところがあるかもしれません。気になるところがあれば教えてください。
いわゆる電子データベースでなくても、集積された個人情報に、体系性・検索性が認められれば、個人情報保護法に言う「個人情報データベース等」に該当します。したがって、目的の情報が簡単に見つけられるように構成してあるファイルは、個人情報データベースに該当するでしょう。
メールアドレスは単純な記号の羅列に過ぎませんので、通常は個人情報に該当しないでしょう。もっとも個人名@会社名.co.jpといった形で、「●●株式会社の××さん」と特定できる場合には、個人情報に当たると判断される可能性があります。
個人情報保護法上は「個人情報」に該当しうるのは「生存する個人」についてのもので無ければならないとされていますので、亡くなられた方の情報は個人情報と見なしません。もっとも通常、そういった記録の場合には喪主の名前も併記されるでしょうから、喪主の個人情報として、保護の対象となる可能性が高いでしょう。
個人情報保護法において個人情報とは「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」とされています。アンケートに記載されている氏名住所等であれば、この情報で特定の個人を識別することが可能になりますので、個人情報といえます。これに対し、市場調査の結果である年齢別の新製品に対する関心の高さは、「関心があると答えた人の割合」といった形で、あくまでも統計情報のみが記載されるのであれば、個人情報にはなりません。
一般に、個人情報の取り扱いにあたっては、個人情報保護法とプライバシー権に配慮する必要があります。まず個人情報保護法については、法律の対象となる個人情報について、第2条1項により、「生存する個人に関する情報であって、当該情報に含まれる 氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」と定義しており、公開済の情報か否かを問うていません。そのため、たとえ公開情報であっても、個人情報保護法における「個人情報」には該当することになります。なお個人情報保護法においては「個人情報」に該当したことにより発生する義務は、利用目的の特定・これによる制限(15・16条)、適正取得(17条)、取得の際の利用目的の通知(18条)程度です。個人情報がデータベース化され、「個人データ」(2条2項)となったときには、正確性の確保(19条)、安全管理措置(20条)、従業者の監督(21条)、委託先の監督(22条)、第三者提供の制限(24条)などが義務として追加されることになります。一方、プライバシー権については、裁判先例上は、プライバシー権が発生するのは、非公開情報のみとされています。そのため既に公的に公開されている個人情報を取り扱う場合には、よっぽどのことが無い限りは、プライバシー権を侵害したと言うことにはならないでしょう。
ある一定の情報が個人情報保護法上の「個人情報」に該当するか否かについては、相対的なものといわれています。つまりある情報が、ある個人情報取扱事業者の元では個人情報に該当し、別の個人情報取扱事業者の元では個人情報に該当しないというケースが生じることになります。ご質問の事例では、御社においては対象となっている情報(会員番号)については個人情報に該当せず、個人情報保護法上の各種の規定は適用されません。一方、委託元においては、会員番号のみであっても、保有している会員名簿によって容易に個人を特定することが出来ます。そのためこの情報は委託元においては個人情報に該当し、個人情報保護法上の各規定が適用されることになります。つまり同じ情報であっても、保有している主体によって、個人情報に該当するかどうかが分かれるということです。
まず判断の前提として各情報が個人情報に該当するかが問題となりますが、ある特定の会社に関する情報であることを前提とすれば、所属組織名、氏名、座席位置が記載されていれば個人の特定が可能ですから個人情報に該当するでしょう。個人情報データベース等への該当性については、この座席図の様に、検索を容易にするための手段が付されていないものの、一方で、各個人情報の一覧性があるものは、判断は微妙になります。もっとも現在の政令及びガイドラインを前提とすれば、該当しないという結論となる可能性が高いでしょう。そしてこの座席表を集めた場合には、個人情報の数は増えますが、検索性は逆に低下することになりますので、個人情報データベース等への該当性はより低くくなります。
個人情報保護法上、個人情報の主体たる本人からの同意が必要なのは、当初の利用目的を超える場合や、第三者提供を行う場合です。公表したり、本人に通知したりしているか否かにかかわらず、当初お客様の個人情報を収集した際の御社の目的に機関誌の送付が含まれているのであれば、今後個人情報保護法施行の際に、機関誌の送付を利用目的として一般に公表すれば、利用目的内の利用ということになるので改めて同意を取得しなくても、今後の機関誌を送付することができます。
個人情報保護法第24条2項は例外として、同条1項によって利用目的が明らかになっている場合を除外しています。そのためホームページが誰でもアクセスできる状態であり、利用目的が具体的に把握できる状態になっているのであれば、「ホームページをご覧ください」と回答することで十分でしょう。
個人情報の利用目的の変更は、変更前の利用目的と合理的な関連性を有する範囲に限られています(個人情報保護法第15条2項)。関連性を認めることのできる範囲で変更する場合には、変更後の目的を本人に通知することが必要です(同法第18条3項)。もっとも大量の個人情報が蓄積されている場合には、目的を通知することは現実的ではない場合が多いでしょう。関連性を認めることができない利用目的に変更する場合には、本人から個別に同意を得ることが必要です(同法第16条1項参照)。大量に蓄積されている個人情報の本人から個別の同意を得るのは、かなりの手間がかかり、余程の工夫がなければ難しい場合が殆どです。このように規制がなかなか厳しくなっていますので、個人情報である情報資産の利用は簡単でない場合が多いでしょう。