個人情報データベース等とは?
要件・具体例・関連用語との違い・
個人情報取扱事業者の義務などを解説!
| おすすめ資料を無料でダウンロードできます ✅ 【2022年4月施行】個人情報保護法改正の新旧対照表 (解説つき) |
- この記事のまとめ
-
「個人情報データベース等」とは、個人情報を含む情報の集合物であって、特定の個人情報を検索できるようにしたものです。
例えば、
✅メールアドレス帳
✅ウェブサービスのユーザー情報が記録されたファイル
✅表計算ソフトに入力された名刺情報
などが個人情報データベース等に当たります。個人情報データベース等を事業の用に供している者は「個人情報取扱事業者」に当たり、個人情報・個人データ等の取り扱いについて、個人情報保護法に基づく義務を負います。顧客などの個人情報データベース等を管理する事業者は、個人情報保護法の遵守を徹底しましょう。
この記事では「個人情報データベース等」について、要件・具体例・関連用語・個人情報取扱事業者の義務などを解説します。
個人情報データベース? 部署ごとの顧客データベースは適切に管理しているはずですけれど…
データベースと名の付くもの以外でも、例えばメーラーの中にある名前とメールアドレスのリストなども、「個人情報データベース等」に当たると考えられます。以下で「個人情報データベース等」とは何か、確認しましょう。
※この記事は、2023年6月27日に執筆され、同時点の法令等に基づいています。
※この記事では、法令名を次のように記載しています。
- 個人情報保護法(または法)…個人情報の保護に関する法律
- 令…個人情報の保護に関する法律施行令
目次
個人情報データベース等とは
「個人情報データベース等」とは、個人情報を含む情報の集合物であって、特定の個人情報を検索できるようにしたものです。
個人情報データベース等の要件
個人情報データベース等に当たるのは、以下の①~③をいずれも満たすものです(法16条1項、令4条)。
- 個人情報データベース等の要件
-
①個人情報を含む情報の集合物であること
②以下のいずれかに該当すること
(a) 特定の個人情報を、電子計算機を用いて検索することができるように体系的に構成したもの
(b) (a)のほか、①の集合物に含まれる個人情報を一定の規則に従って整理することにより、特定の個人情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するもの③以下のいずれにも該当しないこと
(a) 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が個人情報保護法または同法に基づく命令の規定に違反して行われたものでないこと
(b) 不特定かつ多数の者により随時に購入することができ、またはできたものであること
(c) 生存する個人に関する他の情報を加えることなく、その本来の用途に供しているものであること
上記②(a)については、特定の個人情報を検索可能な電子ファイルが想定されています。
上記②(b)については、紙媒体などアナログのファイルであって、容易に特定の個人情報を検索できるものが想定されています(五十音順のインデックスを付しているなど)。
個人情報データベース等の具体例
例えば以下のものは、個人情報データベース等に該当します。
✅ 電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)
✅ インターネットサービスのログ情報を、ユーザーIDによって整理および保管する電子ファイル(ユーザーIDと個人情報を容易に照合できる場合)
✅ 業務用PCに保存された名刺情報の表計算ファイル
✅ 人材派遣会社の登録カード(アナログ)を氏名の五十音順に整理し、五十音順のインデックスを付したもの
など
個人情報データベース等に該当しないものの具体例
これに対して、以下のものは個人情報データベース等に該当しません。
・他人には容易に検索できない独自の分類方法に従って名刺を分類し、保管している名刺入れ
→特定の個人情報を容易に検索することができるように体系的に構成したものではないため、個人情報データベース等に該当しません(②(b))。
・ユーザーアンケートの戻りはがきが、氏名や住所などによって分類整理されていない状態
→特定の個人情報を容易に検索することができるように体系的に構成したものではないため、個人情報データベース等に該当しません(②(b))。
・市販の電話帳、住宅地図、職員録
→不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が個人情報保護法または同法に基づく命令の規定に違反して行われたものでないため、個人情報データベース等に該当しません(③(a))。
・カーナビゲーションシステム(ルート設定や訪問歴が記録されたもの)
→生存する個人に関する他の情報を加えることなく、その本来の用途に供しているものであるため、個人情報データベース等に該当しません(③(c))。
ただし、ユーザーにおいて新たに個人情報等を加えて、データベースの内容を変更した場合には、個人情報データベース等に該当する可能性があります。
個人で管理している、貰った日付順の名刺ファイルや、年賀状の束は「個人情報データベース等」じゃないんですね、よかった…。
名刺やはがきも、容易に検索できるようなデータベース化がされていると、「個人情報データベース等」に該当する場合もあります。要件を認識しておきましょう。
個人情報データベース等に関連する用語・それぞれとの違い
個人情報データベース等と関連するものとして、個人情報保護法では以下の用語が定義されています。
- 個人情報取扱事業者
- 個人データ
- 保有個人データ
- 仮名加工情報データベース等
- 匿名加工情報データベース等
- 個人関連情報データベース等
個人情報取扱事業者|個人情報データベース等を事業の用に供する者
「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供する者です。ただし、以下の者は個人情報取扱事業者に該当しません(法16条2項)。
- 国の機関
- 地方公共団体
- 独立行政法人および法別表第一に掲げる法人
- 地方独立行政法人
個人情報取扱事業者は、個人情報および個人データの取り扱いに関して、個人情報保護法に基づく義務を負います(「個人情報データベース等を取り扱う個人情報取扱事業者の義務」で後述)。
個人データ|個人情報データベース等を構成する個人情報
「個人データ」とは、個人情報データベース等を構成する個人情報です(法16条3項)。
「個人情報」とは、生存する個人に関する情報であって、以下のいずれかに該当するものをいいます(法2条1項)
- 当該情報に含まれる氏名、生年月日その他の記述等により、特定の個人を識別できるもの(他の情報と容易に照合でき、それによって特定の個人を識別できるものを含む)
- 個人識別符号(法2条2項)が含まれるもの
個人情報保護法では、総体である個人情報データベース等の取り扱いについて規制を定めることにより、個々の個人データ(個人情報)の保護を図っています。
保有個人データ|個人情報取扱事業者が保有する個人データ
「保有個人データ」とは、以下の①および②をいずれも満たす個人データです(法16条4項、令5条)。
① 個人情報取扱事業者が以下の権限を有するもの
・開示
・内容の訂正、追加、削除
・利用の停止
・消去
・第三者への提供の停止
② その存否が明らかになることにより、以下のいずれかの事態が生じるおそれがないもの
・本人または第三者の生命、身体または財産への危害
・違法または不当な行為の助長または誘発
・国の安全が害されること、他国や国際機関との信頼関係が損なわれること、他国や国際機関との交渉上不利益を被ること
・犯罪の予防、鎮圧、捜査、その他の公共の安全と秩序の維持への支障
保有個人データについては、個人情報取扱事業者に対する開示請求権・訂正等請求権・利用停止等請求権などが本人に認められています(法33条~35条)。
仮名加工情報データベース等
「仮名加工情報データベース等」とは、仮名加工情報を含む情報の集合物であって、以下のいずれかに該当するものです(法16条5項、令6条)。
① 特定の仮名加工情報を、電子計算機を用いて検索できるように体系的に構成したもの
② 当該情報の集合物に含まれる仮名加工情報を、一定の規則に従って整理することにより、特定の仮名加工情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するもの
「仮名加工情報」とは、個人情報に含まれる記述等の一部または個人識別符号の全部を削除して、他の情報と照合しない限り特定の個人を識別することができないように加工して得られた、個人に関する情報です(法2条5項)。
(例)
血液検査のデータにつき、本人の氏名だけを削除したもの(別の資料で氏名とデータの照合が可能な場合)
「A野B太 男性 35歳 検査数値65.2mg」
→「男性 35歳 検査数値65.2mg」
仮名加工情報データベース等を事業の用に供している者を「仮名加工情報取扱事業者」といいます(法16条5項)。
仮名加工情報は、それだけでは本人を特定できない情報です。そのため、仮名加工情報取扱事業者に課される義務は、個人情報取扱事業者よりも緩やかになっています(法41条・42条)。
匿名加工情報データベース等
「匿名加工情報データベース等」とは、匿名加工情報を含む情報の集合物であって、以下のいずれかに該当するものです(法16条6項、令7条)。
① 特定の匿名加工情報を、電子計算機を用いて検索できるように体系的に構成したもの
② 当該情報の集合物に含まれる匿名加工情報を、一定の規則に従って整理することにより、特定の匿名加工情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するもの
「匿名加工情報」とは、個人情報に含まれる記述等の一部または個人識別符号の全部を削除して、特定の個人を識別することができないように加工して得られた、個人に関する情報です(法2条6項)。
(例)
血液検査のデータにつき、本人の氏名を削除した上で、年齢や検査数値を概数(およその数)に変更したり、範囲で表したりしたもの
「A野B太 男性 35歳 検査数値65.2mg」
→「男性 30代 検査数値60mg台」
匿名加工情報データベース等を事業の用に供している者を「匿名加工情報取扱事業者」といいます(法16条6項)。
匿名加工情報は、他の情報と照合しても本人を特定できないため、仮名加工情報よりもさらに匿名性の高い情報といえます。そのため、匿名加工情報取扱事業者に課される義務は、仮名加工情報取扱事業者よりもさらに緩やかです(法43条~46条)。
個人関連情報データベース等
「個人関連情報データベース等」とは、個人関連情報を含む情報の集合物であって、以下のいずれかに該当するものです(法16条6項、令8条)。
① 特定の個人関連情報を、電子計算機を用いて検索できるように体系的に構成したもの
② 当該情報の集合物に含まれる個人関連情報を、一定の規則に従って整理することにより、特定の個人関連情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するもの
「個人関連情報」とは、生存する個人に関する情報であって、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないものです(法2条7項)。
(例)
・Cookie
・IPアドレス
・端末ID
・位置情報
・ウェブサイトの閲覧履歴
・ECサイトでの購買履歴
など
個人関連情報データベース等を事業の用に供している者を「個人関連情報取扱事業者」といいます(法16条7項)。
個人関連情報には、本人を特定し得る情報が含まれていません。そのため個人関連情報取扱事業者に対しては、個人情報保護法の規制の大部分が適用されません。
ただし個人情報保護を強化する観点から、個人関連情報取扱事業者には、第三者提供時の確認や記録の作成・保存が義務付けられています(法31条)。
個人情報データベース等を取り扱う個人情報取扱事業者の義務
個人情報取扱事業者には、個人情報保護法によって以下の義務が課されています。
① 個人情報の利用に関する義務
・利用目的の特定(法17条)
・目的外利用の禁止(法18条)
・不適正な利用の禁止(法19条)
② 個人情報の取得に関する義務
・適正な取得(法20条)
・利用目的の通知・公表等(法21条)
③ 個人データの管理に関する義務
・データ内容の正確性の確保・消去(法22条)
・安全管理措置(法23条)
・従業者の監督(法24条)
・委託先の監督(法25条)
・漏えい等の報告・通知(法26条)
④ 個人データの第三者提供に関する義務
・第三者提供の制限(法27条・28条)
・第三者提供に係る記録の作成・保存(法29条)
・第三者提供を受ける際の確認およびその記録の作成・保存(法30条)
⑤ 個人データに関する本人の権利への対応義務
・保有個人データに関する事項の公表・通知(法32条)
・本人の開示請求等への対応(法33条~39条)
⑥ 個人情報の取り扱いに関する苦情処理の努力義務(法40条)
個人情報取扱事業者の義務については、「個人情報取扱事業者とは」の記事で詳しく解説しているので、併せてご参照ください。
最新の記事に関する情報は、契約ウォッチのメルマガで配信しています。ぜひ、メルマガにご登録ください!
| おすすめ資料を無料でダウンロードできます ✅ 【2022年4月施行】個人情報保護法改正の新旧対照表 (解説つき) |
参考文献
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)平成28年11月(令和4年9月一部改正)」
