|
個人情報保護法 WISDOM インターネットビジネスと法律より
佐々木美咲 著
第2回 wisdom20051017
1. 「個人情報取扱事業者」〜Question
4月に全面施行された個人情報保護法では、「個人情報取扱事業者」に該当するかどうかで、大きな違いがあります。Q&A形式ですのでみなさんも○か×か考えてみてください。
Q1 私はラーメンの食べ歩きが趣味で、ラーメンブームが始まったころからWEB上でラーメン好きのためのポータルサイトを運営しています。全国から7000人の方が会員として登録していますが、あくまで「趣味」で行っているので、私が「個人情報取扱事業者」に該当する可能性はありません。
Q2 私の会社は、会員制のWEBサイトで観光情報を有料で提供しています。会員登録はWEB上ではなく、FAXのみで受け付けており、FAX用紙をあいうえお順に整理してはいますが、会員をデータベース化してはいませんので、私の会社は「個人情報取扱事業者」には該当しません。
Q3 私のWEBサイトには、会員制の掲示板が合計で70個あって、それぞれ約100人から200人の会員が登録されています。会員名簿は簡単に検索できますが、それぞれの名簿は200人以下なので、私の会社は「個人情報取扱事業者」には該当しません。
Q4 私の会社は、WEBサイト上で通信販売をしています。1ヵ月ごとに顧客の情報を消去してしまうので、「個人情報取扱事業者」には当然該当しません。
Q5 私は、WEBを使った通信販売の勧誘のためのダイレクトメールを送信しています。ダイレクトメールのあて先は、市販されている電話帳CD−ROMを元に自分で加工し、住所・氏名・電話番号を記載した新たな電話帳CD−ROMを使っています。電話帳CD−ROMの個人情報の件数は、個人情報データベースを構成する個人の数に参入しないと聞いたので、私は「個人情報取扱事業者」に該当するはずはありません。
Q6 私は個人情報取扱事業者には該当しないので、個人情報を保護する必要はありません。
2. 「個人情報取扱事業者」〜Answer
A1 ×
「個人情報取扱事業者」とは、個人情報データベース等を「事業」の用に供している者をいいますが、ここでいう「事業」とは、営利事業のみを対象とするものではありません(一定の目的を持って反復継続して遂行される同種の行為であって、かつ一般社会通念上事業と認められるものをいいます)。そのため趣味でやっている個人の方でも個人情報保護法第2条第3項に定義されている個人情報取扱事業者に該当する可能性があります。
「個人情報取扱事業者」に該当すると個人情報保護法上さまざまな義務が課せられます。
A2 ×
A1でも述べましたが、「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいいます。ここでいう「個人情報データベース等」には、コンピュータを用いて検索できるようになっているデータベースに限らず、コンピュータを用いていなくても、年月日順や50音順等の一定の規則に従って整理・分類し、索引などを付けて誰もが特定の個人情報を容易に検索することができるようにしていれば、紙媒体も該当します。FAX用紙をあいうえお順に整理していれば、「個人情報データベース等」に該当するため、これを事業の用に供する会社は「個人情報取扱事業者」です。
A3 ×
個人情報保護法では、「取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」は、「個人情報取扱事業者」から除外されています。政令ではこれを「その事業の用に供する個人情報データベース等を構成する個人の数の合計が過去6ヵ月のいずれの日においても5000人を超えない者」としています。したがって、個々の個人情報データベース等が100人から200人分しかなくとも、同種の個人情報データベース等が70個あれば、取り扱う個人情報データベース等を構成する個人情報が合計7000人分を超えるため、当該会社は「個人情報取扱事業者」に該当します。但し、同一個人の重複分は除かれるため、各掲示板に登録する会員に重複があって、合計が4900人ならば、「個人情報取扱事業者」に該当しないこととなります。
A4 ×
A3でも述べましたとおり、「過去6ヵ月以内のいずれの日においても5000人を超えない」ことが必要です。したがって、毎月個人情報を削除していても、過去6ヵ月以内に1日でも個人情報の数が5000人を超えれば「個人情報取扱事業者」に該当します。
A5 ×
市販されている電話帳や電話帳CD−ROMそのものを個人情報データベースとして利用して事業を行っている場合、「個人情報取扱事業者」には該当しないことがありうる点はみなさまもご存知と思われます。
しかし、個人情報データベース等を構成する個人の数に算入しなくてもよいケースは、(1)その全部又は一部が他人の作成によるものである、(2)それを構成する個人情報として氏名又は住所若しくは居所若しくは電話番号のみを含んでいる、(3)新たに個人情報を加え、識別される特定の個人を増やしたり、他の個人情報を付加したりして、個人情報データベース等そのものを変更するようなことをしていない、との3つの要件を満たす必要があります。具体的には、電話帳や市販のカーナビゲーションシステム、住宅地図等そのものになります。今回のCD-ROMは元の電話帳を加工しているため(3)に抵触しており、個人の数に参入しなくてもよいケースに該当しません。したがって、取扱う個人情報が過去6ヶ月間で一度でも5000人分を超える場合には、「個人情報取扱事業者」に該当します。
A6 ×
「個人情報取扱事業者」に該当しない限りは、個人情報保護法上の義務規定や罰則規定は適用されません。しかしながら、個人情報保護法が施行される前から、個人情報の流出で裁判が起こされたり、お詫びが行われていたりすることからもおわかりのとおり、他人のプライバシーである個人情報を保有する者には、これを適切に保護する責務があります。「個人情報取扱事業者」に該当しない者であっても、プライバシー権の侵害を理由に民事上の損害賠償責任を問われる可能性があるということです。また、同様の理由により「個人情報保護法に違反さえしなければ、個人情報保護対策は十分だ」という考え方も誤りです。
3. 「個人情報」「個人データ」「保有個人データ」〜Question
個人情報保護法では、いわゆる個人情報を「個人情報」、「個人データ」、「保有個人データ」と3段階に分けて定義しています。そのそれぞれによって義務が違います。わかりますか。
Q7 個人情報取扱事業者である私の会社は、WEB上でメールアドレスのみを取得していますが、メールアドレスは個人を特定できないので、個人情報ではありません。
Q8 私の会社ではWEB上でプレゼントキャンペーンを1ヵ月にわたり行い、5000人以上の応募がありました。4月末に締め切って5月10日に抽選し、抽選から6ヵ月経過する直前の11月9日にすべてのデータを消去したので、個人情報保護法上の「個人データ」としての義務は守る必要はありますが「保有個人データ」としての義務を守る必要はありません。
4. 個人情報を取扱うにあたって守らなければならないルール
A7 ×
「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)をいいます。英数字を乱雑に並べたメールアドレスであれば、個人情報には該当しないと考えられますが、taro-yamada@NEC-shoji.ne.jp等は、「NEC商事の山田太郎」と個人が特定できる可能性があるため、個人情報に該当します。
|
コメント(0)
