『改正個人情報保護法について』 その①　弁護士　齋藤　拓

第１　はじめに

平成２７年９月３日に個人情報の保護に関する法律
（以下「個人情報保護法」といいます。）が改正され，
平成２９年５月３０日に施行されました。

改正法により，すべての事業者が規制の対象となることになりました。

改正前は，検索できるように体系的に構成された個人情報によって
識別される特定の個人の数が５０００以下の事業者は，規制の対象外でしたが，
改正法ではこの要件が撤廃されました。

よって，今回の改正によってはじめて個人情報保護法の適用対象となる
事業者も相当数に上るものと思われます。

そこで今回は，事業者が個人情報保護法上負う義務のうち，
特に重要なものについてご説明します。

第２　事業者はどのような義務を負うことになるのか？

個人情報保護法上，事業者が負う義務の中でも特に重要なものとしては，

１．個人情報の利用目的を特定して本人に通知又は公表する義務
２．目的外利用の禁止
３．個人データの漏えい等を防止するための安全管理措置を講じる義務
４．個人データの第三者提供に係る本人の同意の取得及び記録の保存義務

が挙げられます。

第３　「個人情報」と「個人データ」とは？

前記４つの義務の中には，「個人情報」と「個人データ」という用語が登場します。
そこで，この２つの用語を解説します。

１　「個人情報」とは？
「個人情報」とは，「特定の個人を識別することができる」情報のことをいいます。
氏名や生年月日はもちろん，一般人の容貌が写っている写真も，個人情報にあたります。

たしかに，その一般人のことを知らない方がその写真を見ても誰かはわかりませんが，
写っている容貌から特定の個人を識別することが可能であることから，
個人情報にあたることになります。

また，それ自体では特定の個人を識別することができなくても，
「他の情報と容易に照合することができ，それにより特定の個人を識別できる」場合には，
その情報も個人情報にあたります。

たとえば，ある会社が顧客等を管理するために付与している管理番号は，
それ自体では特定の個人を識別することはできませんが，
顧客等を管理するデータベースと照合すれば容易に特定の個人を識別できるのであれば，
個人情報にあたります。

さらに，「個人識別符号が含まれるもの」も個人情報にあたります。
「個人識別符号」とは，指紋認証や顔認証などの生体認証データと，
運転免許証の番号，パスポート番号，マイナンバーなどの公的な符号のことをいいます。

２　「個人データ」とは？

特定の個人情報を，コンピュータで検索できるように体系的に構成したものや，
紙面に掲載された情報で，特定の個人情報を容易に検索できるように体系的に構成したものは，
「個人情報データベース等」と呼ばれます。
そして，個人情報データベース等を構成している個人情報が「個人データ」とされます。
たとえば，顧客等に記名式で協力してもらったアンケート用紙そのものは，
「個人情報」です。これを，データベースに入力したり，
五十音順に整理してファイリングしたりすると，
「個人情報データベース等」となり，整理された情報は「個人データ」となります。

（その②に続きます！次回は「事業者が負う４つの義務について」です。）