1. まとめトップ

個人情報保護とはどういうことですか。プライバシー保護とは違うのですか

個人情報保護法は、個人情報取扱事業者が個人情報の適正な取扱いのルールを遵守することにより、プライバシーを含む個人の権利利益の侵害を未然に防止することを狙いとしています。

個人情報の取扱いとは関係のないプライバシーの問題などは、この法律の対象とはなりません。

プライバシー侵害などが実際に発生した後の個人の権利利益の救済については、従来どおり、民法上の不法行為や刑法上の名誉毀損罪などによって図られることになります。

「個人に関する情報」とはどのような意味ですか。個人の評価に関する情報も含まれるのですか

「個人に関する情報」(法第2条第1項)とは、氏名、性別、生年月日、職業、家族関係などの事実に係る情報のみではなく、個人に関する判断・評価に関する情報も含め、個人と関連づけられるすべての情報を意味します。

メールアドレスは、個人情報に該当しますか

個人の氏名等を含んだリストがあり、その1項目としてメールアドレスが含まれている場合、リストは全体として、また、メールアドレスはその一部として、個人情報に該当します。

また、メールアドレスのみであって、ユーザー名及びドメイン名から特定の個人を識別することができる場合、そのメールアドレスは、それ自体が単独で、個人情報に該当します。

記号や文字がランダムに並べられているものなど、特定の個人を識別することができない場合には、別に取り扱う名簿などとのマッチングにより個人を特定することができない限り、個人情報には該当しません。

カメラで撮影した映像は、「個人情報」に該当しますか

映像や音声であっても、それによって特定の個人が識別できる場合には、「個人情報」に該当します

従業員に関する情報を番号で管理している場合、従業員番号は「個人情報」に該当しますか

従業員番号によって特定の個人が識別できるのであれば、「個人情報」に該当します。

従業員番号それ自体によっては特定の個人が識別できない場合でも、別に管理する名簿などと容易に照合することができるのであれば、その事業者にとっては「個人情報」に該当します。

『無作為な番号が単独で用いられる事はあり得ないので、必ず「個人情報」です』

学籍番号やパソコンIDなども同様です。

『プロバイダで固定 IP アドレスが個人を特定できる情報として管理されている場合、IP アドレスそのものも、個人情報という事になります』

個人情報保護法の義務の対象である「個人情報取扱事業者」とは、どのような者をいうのですか

個人情報保護法第4章から第6章に定める義務の対象となる「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者(民間部門)をいいます(法第2条第3項。Q1-4も参照)。

ただし、事業の用に供する個人情報データベース等を構成する個人情報によって特定される個人の数の合計が、過去6か月以内のいずれの日においても5,000を超えない者は、除外されます。

「個人情報取扱事業者」に該当しない小規模事業者は、個人情報保護法を守る必要はないのでしょうか

事業の用に供する個人情報データベース等を構成する個人情報によって特定される個人の数の合計が、過去6ヶ月以内のいずれの日においても5,000を超えない者は、個人情報取扱事業者から除外されます(Q2-12参照)

これらの「個人情報取扱事業者」から除外される者(たとえば一般私人や小規模な事業者)については、法第4章から第6章の義務は課せられません。

しかし、個人情報保護法の義務は課せられないとしても、「個人情報は、個人の人格尊重の理念の下に慎重に取扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない」(法第3条)という個人情報保護法の基本理念を尊重して、個人情報の保護に自主的に取り組むことが望ましいところです。

なお、事業分野によっては、各省庁の定めるガイドライン(Q1-5参照)において、個人情報取扱事業者に該当しない事業者に対してもガイドラインの遵守を求めている場合があります。

自前の顧客リストなどを使わず、市販の電話帳や名簿のみを利用して事業活動をしているのですが、「個人情報取扱事業者」に該当しますか

一般的な電話帳や名簿、個人の氏名等から住所を検索できるカーナビなどは、「個人情報データベース等」に該当すると考えられます(Q2-10参照)。

しかし、氏名・住所又は居所・電話番号以外の個人情報が含まれていない電話帳や、市販の名簿やカーナビなどを、編集したり、加工したりせずに使用している場合、これらに含まれる個人データによって識別される個人の数は、「個人情報取扱事業者」か否かの基準である、事業者が管理するすべての個人情報データベース等によって識別される個人の数の総和から除外されます(個人情報の保護に関する法律施行令第2条)

そのような「個人情報データベース等」を編集・加工せずに事業の用に供しているかぎり、当該名簿等を持っていることだけで「個人情報取扱事業者」に該当するということはありません。

運送業者が個人情報の入ったCD-ROMを誤配したと後日判明した場合、個人情報保護法上の責任を問われますか

事業者が、個人情報データベース等の内容に触れることなく、他の有体物と同じように運送、販売等を行う場合については、個人データの内容に関知しないため、そもそも「個人情報データベース等を事業の用に供して」いることになりません。

倉庫業者、運送業者、書店などが、このように個人情報データベース等を取り扱っている場合には、個人情報取扱事業者とはならず、個人情報保護法上の責任は生じません

個人情報取扱事業者は、個人情報の利用目的を「できる限り特定する」とは、具体的にはどの程度まで特定する必要がありますか

利用目的を「できる限り特定する」とは、個人情報取扱事業者が、個人情報をどのような目的で利用するかについて明確な認識をもつことができ、個人情報の本人にとっても、自己の個人情報がどのように取り扱われるか予測することができる程度という趣旨です。

このため、特定される利用目的は、できる限り具体的で本人にとって分かりやすいものであることが望ましく、

「顧客サービスの向上のため」というような包括的な利用目的は、利用目的を明確にしたものとはいえないと解されます

社内のみで閲覧できる大学教授リストのデータベースを作成することは、個人情報保護法違反となりますか

個人情報の利用目的を特定する(法第15条)、個人情報を適正に取得する(法第17条)といった、個人情報保護法に規定されたルールに従って個人情報が取り扱われている限り、データベースを作成すること自体が個人情報保護法違反に当たる訳ではありません。

ただし、作成したデータベースが、特定した利用目的の達成に必要な範囲を超えて取り扱われている場合には、個人情報保護法違反の可能性があります(法第16条)。

なお、データベースの社内での閲覧については、それが事業者の行う事業の一環として行われている限り、個人データの第三者提供には当たらず、閲覧に当たってあらかじめ本人の同意を得る必要はありません(法第23条)。

電話回線契約を結んでいる電話会社が、光ケーブル通信事業の勧誘電話をかけてきました。契約の際に取得した個人情報を、別のサービスの案内に利用することは、個人情報保護法に違反しますか

個人情報取扱事業者は、個人情報の利用目的を特定し(法第15条)、その利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、原則として本人の事前の同意が必要です(法第16条第1項)

個人情報の利用目的として他のサービスの案内に利用することを利用目的として定めること自体は可能ですが、契約の時点でその利用目的を定めていなかった場合には、他のサービスの案内に利用することについて本人の同意を得る必要があります

また、個人情報取扱事業者は、本人との間で契約を結ぶことに伴って、契約書などの書面で個人情報を取得する場合には、あらかじめ本人に対してその利用目的を明示することとされています(法第18条第2項、Q3-6参照)

契約の際に取得した個人情報を他のサービスの案内に利用することを利用目的として特定していたとしても、個人情報取扱事業者は、個人情報の取得前に、本人に対してその旨を明確に示すことが必要です。

第三者提供についての同意を得るには、同意書を作成して印鑑を押してもらうなどの手続が必要なのでしょうか

個人情報保護法上、個人データの第三者提供の同意を得る方法については具体的に定められてはいません。このため、文書のほか、電話により口頭で確認するなどの方法なども認められます。ただし、事業分野ごとのガイドライン(Q1-5参照)によっては、同意を原則として書面でとることを求めているもの(金融分野ガイドライン、信用分野ガイドライン等)もありますので、留意が必要です。

名簿を配布するには、どのようにすればよいですか

個人情報保護法の義務規定の対象である個人情報取扱事業者(Q1-4、Q2-12参照)は、以下のいずれかの手続きを行えば、名簿を配布(つまり第三者提供)することができます。

(1) 配布する際に本人の同意を得る場合
(例)個人情報取扱事業者である私立学校においてクラス名簿や緊急連絡網などを配布する場合。
入学時や新学期の開始時に、「生徒の氏名、住所など学校が取得した個人情報については、
クラス名簿や緊急連絡網として関係者へ配布する」ことを明示し、同意の上で所定の用紙
に個人情報を記入・提出してもらう。
※ 例えばクラス全員から同意が得られなかった場合にも、
※ 同意を得ることができた人のみを掲載した名簿の配布はできます。

(2) 同意に代わる措置を取る場合(Q5-15も合わせて参照)
 以下の(i)~(iv)について、あらかじめ、1)又は2)のいずれかの措置を取った上で、
作成した名簿を配布することができます。
1)本人に郵便、電話、電子メール等で通知する
2)事務所の窓口への掲示・備付け、ホームページへの掲載等によって、本人が容易に知る
ことができる状態に置く
  (i)利用目的 (例 緊急連絡網として配布)
  (ii)名簿の内容 (例 氏名、住所)
  (iii)提供方法 (例 関係者へ配布)
  (iv)本人の求めにより名簿から削除すること
※ この際、本人からの求めがあった場合には、名簿から削除しなければなりません。

1 2