情報セキュリティ検定をはじめ、個人情報に関する検定を開催中。(財)情報協。

 

個人情報保護対策

 

個人情報取扱事業者とは

 

(2005.11.27)

 

 

個人情報保護法では、

「この法律において個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。

 

1.国の機関

2.地方公共団体

3.独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)第2条第1項に規定する独立行政法人等をいう。以下同じ。)

4.その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者(第2条第3項)

 

と規定されている。

 なお、ここでいう「事業」とは、一定の目的を持って反復継続して遂行される同種の行為であり、営利事業のみを対象とせず、法人格のない任意団体や個人であっても個人情報取扱事業者に該当し得る。合わせて「個人情報の保護に関する法律施行令」の政令第2条において、「政令で定める者」について

 

「法第2条第3項第5号の政令で定める者は、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれの日においても5000を超えない者とする。」

 

と具体的な数値と共に定義されている。よって個人情報データベース等の個人データが5000件を越えない場合には個人情報取扱事業者とは見なされない。ただし、事業分野別のガイドラインでその件数について5000件以下でも認定される場合もありえるため、確認しておく必要がある。

 

 また、「特定の個人の数」について、個人情報データベース等が以下の3つの要件のすべてに該当する場合は、上記の「特定の個人の数」には加算されない。

 

1.個人情報データベース等の全部又は一部が他人の作成によるものである。

2.その個人情報データベース等を構成する個人情報として氏名、住所(居所を含み、地図上又はコンピュータの映像面上において住所又は居所の所在場所を示す表示を含む)又は電話番号を含んでいる。

3.氏名又は住所から検索できるように体系的に構成された、市販の住所地図上の氏名及び住所又は居所の所在場所を示す情報

 

 難しく述べているが、簡単に言い換えれば、例えば電話帳やカーナビゲーションに含まれる氏名や電話番号や住所などの個人データの件数は「特定の個人の数」に含まなくても良いということである。