社会人（建設業社員）としての基礎知識

　したがって、メールアドレスでも個人情報に該当する可能性があるため、個人情報保護法上、利用目的の特定、利用目的の変更禁止、利用目的の制限、適正な取得、利用目的の通知又は公表という義務に服する必要があります。
A８ ×
　個人情報を６ヵ月以内に消去する場合は「保有個人データ」とはなりませんが、ＷＥＢ上で応募を受け付ける場合は、受け付けた時点から個人情報がデータベース化されるので、６ヵ月の起算点は抽選のときからではなく、初めて応募をＷＥＢ上で受け付けた日からになりますので注意が必要です。
　「個人データ」については、個人情報保護法上、正確性の確保、安全管理措置、従業者の監督、委託先の監督、第三者提供の禁止という義務に服する必要がありますが、「保有個人データ」になるとさらに、利用目的や開示手続、苦情の申出先の公表、本人からの要求に応じた利用目的の通知、開示、内容が真実でないという理由による訂正、追加又は削除、目的外利用、不正取得、同意のない第三者提供を理由とする利用停止の義務に服する必要があります。
　「個人情報」、「個人データ」、「保有個人データ」のおのおのの義務を整理すると以下のような表になります。

5．利用目的と収集時の手続について〜Question

　個人情報を利用する際にはできる限り利用目的を特定しなくてはなりません。どのように特定すればよいのでしょうか。わかりますか。

Q９ 　私の会社では、ＷＥＢ上で個人情報を集めるにあたって、目立たない位置とはいえトップページに利用目的を「事業活動に用いるため」と明記しているので、個人情報保護法上問題はありません。
Q１０ 　私は、ＨＰ上で公表されている人の氏名を集めて名簿にしています。公表されている個人情報なので、特に何もする必要はありません。
Q１１ 　私の会社は、いままで「当社のワイン販売事業における注目商品に関する情報を電子メールにより送信するために利用します。」と利用目的を明示して、会員に電子メールで注目商品の案内をしていましたが、今回は、住所のわかる会員に郵便はがきで案内を送ることになりました。郵便はがきで案内を送る程度は目的外利用とまではいえないため、何らの手続も行う必要はありません。

6．利用目的と収集時の手続について〜Answer

A９ ×
　「利用目的の特定」という点と「利用目的の明示」という２点で誤りがあります。まず１点目、個人情報の利用目的は「可能な限り具体的に特定」しなければなりません。たとえば、「通信販売事業における、新商品に関する情報のお知らせ」など、具体的なもので、単に「事業活動に用いるため」では特定しているとはいえません。
　２点目は、直接本人にＷＥＢ上で個人情報を入力させて取得する場合には、個人情報の「利用目的を明示」しなくてはなりません。ＷＥＢ等ネットワーク上で本人から個人情報を直接取得する場合は、本人が個人情報を送信するボタンをクリックする前等にその利用目的が本人の目にとまるようにしなければなりません（利用目的の内容が示された画面に１回程度の操作でページ遷移するように設定したリンクやボタンでも可能です）。トップページの目立たない位置の記載では「明示」として不十分です。
A１０ ×
　たとえ公表されている個人情報でも、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに利用目的を本人に対し通知するか、公表しなくてはなりません。実務上は、都度利用目的を、本人に通知したりするのは面倒ですので、自社のＷＥＢ上に利用目的を具体的に特定して公表しておくべきでしょう。この場合、いわゆるプライバシーポリシーとあわせて掲載する例が多いようですが、「利用目的」はトップページから１回程度の操作で到達できるページに掲載する必要があります。
A１１ ×
　　このケースのように電子メールで注目商品の案内を送っていたところ、郵便はがきでも送る程度であれば、「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲」ですので目的外利用とまでは言えず、利用目的の変更として許容される範囲に含まれます。しかしながら、今回のように許容される範囲内で利用目的を変更した場合でも、変更された利用目的について本人に通知、又は公表する必要があります。したがって、「何らの手続きも行う必要はありません」は誤りです。
　尚、変更前の利用目的と相当の関連性がない利用目的に変更する場合は、あらかじめ利用目的の変更について本人の「同意」を得なくてはなりません。

7．まとめ

　個人情報保護法では、「個人情報」、「個人データ」、「保有個人データ」という３区分に個人に関する情報を分類し、それぞれに異なった義務を設定しています。個人情報保護法を理解する上では非常に重要な分類ですが、このそれぞれについて管理態様を変えるということは困難と思われます。「保有個人データ」となると管理が非常に煩雑になりますので、実務上は６ヵ月以内に廃棄・消去するということをルール化するという対応方法も検討する必要があるかと思います。
　次回は、引き続きＷＥＢサイトの再チェックを、個人データの適正管理、第三者提供などを中心に考えてみたいと思います。

個人情報保護法　WIＳDOM　インターネットビジネスと法律より
佐々木美咲　著
第２回　wisdom20051017

1.　「個人情報取扱事業者」〜Question

　４月に全面施行された個人情報保護法では、「個人情報取扱事業者」に該当するかどうかで、大きな違いがあります。Ｑ＆Ａ形式ですのでみなさんも○か×か考えてみてください。

Q１ 　私はラーメンの食べ歩きが趣味で、ラーメンブームが始まったころからＷＥＢ上でラーメン好きのためのポータルサイトを運営しています。全国から７０００人の方が会員として登録していますが、あくまで「趣味」で行っているので、私が「個人情報取扱事業者」に該当する可能性はありません。
Q２ 　私の会社は、会員制のＷＥＢサイトで観光情報を有料で提供しています。会員登録はＷＥＢ上ではなく、ＦＡＸのみで受け付けており、ＦＡＸ用紙をあいうえお順に整理してはいますが、会員をデータベース化してはいませんので、私の会社は「個人情報取扱事業者」には該当しません。
Q３ 　私のＷＥＢサイトには、会員制の掲示板が合計で７０個あって、それぞれ約１００人から２００人の会員が登録されています。会員名簿は簡単に検索できますが、それぞれの名簿は２００人以下なので、私の会社は「個人情報取扱事業者」には該当しません。
Q４ 　私の会社は、ＷＥＢサイト上で通信販売をしています。１ヵ月ごとに顧客の情報を消去してしまうので、「個人情報取扱事業者」には当然該当しません。
Q５ 　私は、ＷＥＢを使った通信販売の勧誘のためのダイレクトメールを送信しています。ダイレクトメールのあて先は、市販されている電話帳ＣＤ−ＲＯＭを元に自分で加工し、住所・氏名・電話番号を記載した新たな電話帳ＣＤ−ＲＯＭを使っています。電話帳ＣＤ−ＲＯＭの個人情報の件数は、個人情報データベースを構成する個人の数に参入しないと聞いたので、私は「個人情報取扱事業者」に該当するはずはありません。
Q６ 　私は個人情報取扱事業者には該当しないので、個人情報を保護する必要はありません。

2.　「個人情報取扱事業者」〜Answer

A１ ×
　「個人情報取扱事業者」とは、個人情報データベース等を「事業」の用に供している者をいいますが、ここでいう「事業」とは、営利事業のみを対象とするものではありません（一定の目的を持って反復継続して遂行される同種の行為であって、かつ一般社会通念上事業と認められるものをいいます）。そのため趣味でやっている個人の方でも個人情報保護法第２条第３項に定義されている個人情報取扱事業者に該当する可能性があります。
「個人情報取扱事業者」に該当すると個人情報保護法上さまざまな義務が課せられます。
A２ ×
　A１でも述べましたが、「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいいます。ここでいう「個人情報データベース等」には、コンピュータを用いて検索できるようになっているデータベースに限らず、コンピュータを用いていなくても、年月日順や５０音順等の一定の規則に従って整理・分類し、索引などを付けて誰もが特定の個人情報を容易に検索することができるようにしていれば、紙媒体も該当します。ＦAＸ用紙をあいうえお順に整理していれば、「個人情報データベース等」に該当するため、これを事業の用に供する会社は「個人情報取扱事業者」です。
A３ ×
　個人情報保護法では、「取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」は、「個人情報取扱事業者」から除外されています。政令ではこれを「その事業の用に供する個人情報データベース等を構成する個人の数の合計が過去６ヵ月のいずれの日においても５０００人を超えない者」としています。したがって、個々の個人情報データベース等が１００人から２００人分しかなくとも、同種の個人情報データベース等が７０個あれば、取り扱う個人情報データベース等を構成する個人情報が合計７０００人分を超えるため、当該会社は「個人情報取扱事業者」に該当します。但し、同一個人の重複分は除かれるため、各掲示板に登録する会員に重複があって、合計が４９００人ならば、「個人情報取扱事業者」に該当しないこととなります。
A４ ×
　A３でも述べましたとおり、「過去６ヵ月以内のいずれの日においても５０００人を超えない」ことが必要です。したがって、毎月個人情報を削除していても、過去６ヵ月以内に１日でも個人情報の数が５０００人を超えれば「個人情報取扱事業者」に該当します。
A５ ×
　市販されている電話帳や電話帳ＣＤ−ＲＯＭそのものを個人情報データベースとして利用して事業を行っている場合、「個人情報取扱事業者」には該当しないことがありうる点はみなさまもご存知と思われます。
　しかし、個人情報データベース等を構成する個人の数に算入しなくてもよいケースは、（１）その全部又は一部が他人の作成によるものである、（２）それを構成する個人情報として氏名又は住所若しくは居所若しくは電話番号のみを含んでいる、（３）新たに個人情報を加え、識別される特定の個人を増やしたり、他の個人情報を付加したりして、個人情報データベース等そのものを変更するようなことをしていない、との３つの要件を満たす必要があります。具体的には、電話帳や市販のカーナビゲーションシステム、住宅地図等そのものになります。今回のＣＤ-ＲＯＭは元の電話帳を加工しているため（３）に抵触しており、個人の数に参入しなくてもよいケースに該当しません。したがって、取扱う個人情報が過去６ヶ月間で一度でも５０００人分を超える場合には、「個人情報取扱事業者」に該当します。
A６ ×
　「個人情報取扱事業者」に該当しない限りは、個人情報保護法上の義務規定や罰則規定は適用されません。しかしながら、個人情報保護法が施行される前から、個人情報の流出で裁判が起こされたり、お詫びが行われていたりすることからもおわかりのとおり、他人のプライバシーである個人情報を保有する者には、これを適切に保護する責務があります。「個人情報取扱事業者」に該当しない者であっても、プライバシー権の侵害を理由に民事上の損害賠償責任を問われる可能性があるということです。また、同様の理由により「個人情報保護法に違反さえしなければ、個人情報保護対策は十分だ」という考え方も誤りです。

3.　「個人情報」「個人データ」「保有個人データ」〜Question

　個人情報保護法では、いわゆる個人情報を「個人情報」、「個人データ」、「保有個人データ」と３段階に分けて定義しています。そのそれぞれによって義務が違います。わかりますか。

Q７ 　個人情報取扱事業者である私の会社は、ＷＥＢ上でメールアドレスのみを取得していますが、メールアドレスは個人を特定できないので、個人情報ではありません。
Q８ 　私の会社ではＷＥＢ上でプレゼントキャンペーンを１ヵ月にわたり行い、５０００人以上の応募がありました。４月末に締め切って５月１０日に抽選し、抽選から６ヵ月経過する直前の１１月９日にすべてのデータを消去したので、個人情報保護法上の「個人データ」としての義務は守る必要はありますが「保有個人データ」としての義務を守る必要はありません。

4. 個人情報を取扱うにあたって守らなければならないルール

A７ ×
　「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む）をいいます。英数字を乱雑に並べたメールアドレスであれば、個人情報には該当しないと考えられますが、taro-yamada@NEC-shoji.ne.jp等は、「ＮＥＣ商事の山田太郎」と個人が特定できる可能性があるため、個人情報に該当します。

　例えば、実際はＡ社が個人情報を収集しているのに、Ｂ社が収集しているように偽ることなどです。
　 尚、ＷＥＢサイトの多くがそうであるように、個人情報を本人に記入させるような方法で、本人から直接個人情報を取得する場合は、事前に本人に利用目的を明示しなくてはいけません。
　例えばＷＥＢの場合、個人情報を送信するときに送信ボタンをクリックしますが、そのクリックの前に利用目的が本人の目にとまるようにする必要があります。
　本人に書かせて直接取得するだけでなく、第三者から間接的に個人情報を取得するケースもあると思われますが、このような場合でも利用目的を個人情報の主体である本人に通知したり、公表することが必要です。
(3) 個人データの安全管理に関するルール
　個人情報の漏洩を防ぐ安全管理のために必要かつ適切な措置をとらなければなりません。また、そのために従業員や委託先を適切に監督しなくてはなりません。
　経済産業省のガイドラインでは、この部分が非常に厚く説明されています。参考にすべきでしょう。
(4) 個人データの第三者提供に関するルール
　原則として、事前に本人の同意を得ずに、個人データを第三者に提供してはいけません。
　例外的に、本人の同意を得ずに個人情報を第三者に提供できる場合としては、「法令に基づく場合」や、「個人データの取扱いの全部又は一部を委託する場合」、「共同利用の場合」、そしていわゆる「オプトアウトを行っている場合」（オプトアウトについては、複雑なので別の機会で詳細にご説明したいと思います）などがあります。
(5) 保有個人データの開示等に関するルール
　個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供を行うことのできる権限を有する個人データであって、６ヵ月以上保有する個人データ（保有個人データ）については、原則として、開示に応じたり、誤りがあれば訂正、追加又は削除に応じたり、不法な取扱いがあった場合には利用停止等に応じなければなりません。
　以上のルールの中で「明示」や「通知」、「同意」という用語が出てきますが、個人情報保護法では、その他に「公表」や「本人の知り得る状態」や「本人が容易に知り得る状態」という用語が出てきます。それらのご説明についてはガイドラインや別の機会に譲りますが、個人情報の取得方法などによって、それぞれ使い分けられていますので、注意が必要です。
5.インターネットビジネスと個人情報
　インターネットビジネスをされる場合、ＷＥＢサイトは必須のものです。そのＷＥＢサイトで、どのように、またどのくらい個人情報を取扱っているかによって、個人情報保護法への対応が変わります。
　保有する個人に関する情報は「個人情報」なのか？
　収集されたときは個人情報だったかもしれないけど、自分の手元に来たときはすでに統計データになっていれば、それは個人情報ではありません（但し、個人情報の収集を第三者に委託する場合、委託元としての責任が生じる場合がありますので、注意が必要です）。
　自社は「個人情報取扱事業者」に該当するのか？
　個人情報取扱事業者に該当しなければ、個人情報保護法上の義務や罰則はほとんど関係ありません。但し、上に書いたように基本理念は尊重する必要はあります。また、東京都の条例など、地方公共団体の条例では、保有する個人情報の数にかかわりなく、個人情報の適切な取扱いを努力義務として規定しているものが多くみられます。
　逆に、個人情報取扱事業者に該当すれば、必然的に個人情報保護法や主管省庁の出しているガイドラインの求めている事項に従う必要があります。
　個人情報を取扱う際のルールを守るためには、自社のＷＥＢサイトはどうすれば良いのか？
　などです。
　個人情報保護法が全面施行されてから5ヵ月。しかしながら未だに個人情報の流出や紛失というニュースが後を絶ちません。そのパターンは、不正アクセスやパソコンの盗難というものから、ＵＳＢメモリーやＣＤ−ＲＯＭの紛失というものまで様々です。
　平成17年5月20日には、金融庁から、顧客情報の流出があったある銀行に対して、個人の権利利益を保護するために必要な措置をとるように、具体的には、（1）個人データの安全管理のための措置の実行性の確保と（2）個人データの安全管理を図るための従業者に対する監督の徹底とそれらの措置の報告をするように、個人情報保護法第34条第1項に基づいた勧告がなされました。
　しかし、いまだに個人情報保護法第56条や第58条に基づく罰則が適用されたというニュースはないようです。

個人情報保護法　WIＳDOM　インターネットビジネスと法律より
佐々木美咲　著
第1回　個人情報保護法wisdom20050829
1.　個人情報保護法とは
　個人情報保護法は、個人情報の有用性に配慮しながら、個人の権利や利益を保護することを目的とした法律です。
　 そのため個人情報保護法では、民間事業者の個人情報の取扱いに関して共通する必要最小限のルールを定めるに留まっています。個人情報保護法を遵守していていたとしても、その取扱いが不適切であれば民事上の損害賠償請求の対象となる可能性も十分にあります。そのため、各事業者は、その属する事業分野の実情に合わせて、自律的に取り組むことになりますが、その参考となるのが主管官庁の出すガイドラインです。
　 インターネットビジネスと法律をお読みの多くの方々に関係するのが、経済産業省の出している「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」だと思います。経済産業省のガイドラインでは、従わなかった場合、経済産業大臣から個人情報保護法違反と判断され得る規定（「〜しなければならない。」と記載されています）と、従わなくても個人情報保護法違反と判断されることはないが、個人情報保護の推進のために取り組むことが望ましいとされる規定（「〜望ましい。」と記載されています）によって構成されています。
　 第一回の「個人情報の保護」でも述べましたが、「個人情報保護法」を守ることは当然ですが、「個人情報」を守るということがより重要ですので、そのためにもガイドライン（特に「〜望ましい。」と規定されている事項）を参考にして、個人情報を保護することが必要でしょう。
2. 個人情報とは
　個人情報とは、生存する個人に関する情報で、これに含まれる氏名、生年月日その他の記述によって特定の個人を識別することができるもの（他の情報と容易に照合することにより特定の個人を識別することができることとなるものを含みます）をいいます。
　これをキーワードごとに解体してみますと、個人情報とは、「生存する」、「個人に関する」、「特定の個人を識別できる」情報ということになります。
　 「生存する」とは、解説するまでもなく読んでそのままですが、死者に関する情報でも、例えば遺伝子情報や家族構成情報など、その情報が同時に生存する遺族等の個人に関する情報になる場合もありますので、注意が必要です。尚、日本の法律だからといって日本人の情報だけが対象ではなく、外国の方の個人情報も含まれます。
　次に、「個人に関する」とは、氏名、生年月日、性別等の個人を識別する情報に限ることなく、個人の身体、財産、職種、肩書等の属性に関して事実・判断・評価を表す情報や、映像、音声による情報も含まれます。これらの個人に関する情報には刊行物等によって公にされている情報ももちろん含まれます。電話帳や職員名簿等で一般的に配布されているもので公にされているケースは良くありますが、ここでは公に知られているかどうかは関係ないということです。
　そして、「特定の個人を識別できる」とは、その情報だけで特定の個人を識別できるというものに限らず、身近にある他の情報と照合して容易に特定の個人を識別できることも含むという意味です。例えば、顧客番号を例にとります。ある会社（ここではＡ社とします）が顧客に連番だったり、何らかの方法で番号をつけます。Ａ社においては顧客番号と氏名は必ずひも付けられています。ですから顧客番号単体であったとしてもＡ社にとっては、容易に氏名を関連づけることができるため「特定の個人を識別できる」ことになります。
　以上のことから、個人情報の具体例には、「本人の氏名」や「本人の氏名」と組み合わされた「住所」、「電話番号」、「生年月日」という情報や、撮影された本人が判別できる映像情報などが挙げられます。
　一方、個人情報に該当しないものとして、記号や文字列だけからなる電子メールアドレスが例としてよく挙げられていますが、上に書いたように他の情報と照合して容易に特定の個人を識別できれば、個人情報となりますので注意が必要です。インターネットプロバイダなどは、加入している会員のメールアドレスと住所・氏名を容易にリンクできるでしょうから、インターネットプロバイダにとって、会員の電子メールアドレスは記号や文字列だけからなるものであっても個人情報になります。
　顧客の電子メールアドレスのみをデータベース化している場合は、「taro-yamada@NEC-shoji.ne.jp」のように「ＮＥＣ商事の山田太郎」と個人が特定できる電子メールアドレスと、「ABC12345@〜」記号と文字列のみからなって個人が特定できない電子メールアドレスの２種類が混在しているものと思われます。個人が特定できる電子メールアドレスをデータベースから消去しないかぎり、記号と文字列のみからなる個人が特定できない電子メールアドレスも含んだデータベース全体を個人情報の集合とみなして、取扱うべきでしょう。
　尚、個人情報保護法上は、個人情報について「個人情報」、「個人データ」、「保有個人データ」という使い分けをしています。そのそれぞれによって管理義務等が異なりますので注意が必要ですが、詳しくは次回以降ご説明します。
3. 個人情報取扱事業者とは
　1.の個人情報保護法の解説のところで、個人情報保護法では民間事業者の個人情報の取扱いに関して共通する必要最小限のルールを定めていると書きましたが、この民間事業者のことを個人情報保護法では「個人情報取扱事業者」といいます。
　「個人情報取扱事業者」とは、個人情報データベースを事業活動に利用している事業者のことですが、個人情報データベースに登録される個人情報の件数が過去６ヵ月間一度も５，０００件を超えていない場合は、個人情報保護法上は「個人情報取扱事業者」には該当しません。これは、取扱う個人情報の量からみて個人の権利利益を害するおそれが少ないからという理由です。
　個人情報データベースとは、電話帳やカーナビ情報などの一定の例外を除き、個人情報がデータベース化されたものをいいます。メールソフトのアドレス帳に氏名とメールアドレスを入力したものや、もらった名刺を表計算ソフトに入力したものなども個人情報データベースになります。
　そして、個人情報データベースには、コンピュータに入力された情報のみならず、５０音順など検索可能な状態にファイルされた紙媒体も含みます。
　一方、応募はがきなどが、氏名、住所等で分類整理されていない状態であれば、これは個人情報データベースではありません。
　尚、５，０００件の数え方については、同一個人の重複がある場合は、これは1件として数えます。また、１００件づつの個人情報データベースを５０個ほど事業のために使っていれば、その中の個人情報に重複がない限り５，０００件の要件を満たすことになります。
　一方、データセンターや倉庫業のような業務をされている場合、顧客から情報を預かりますが、その情報が個人情報に該当するかどうかは認識されておらず、これは個人情報データベースを事業の用に供していないので、何件預かっていようとカウントしません。
　他方、従業員情報は通常会社においてデータベース化されていますが、これは会社の事業活動のために利用される個人情報なので、５，０００件のカウントに含まれます。ですから、社員の方が５，０００名以上いらっしゃる会社は、通常個人情報取扱事業者になります。
4. 個人情報を取扱うにあたって守らなければならないルール
　個人情報保護法上、個人情報取扱事業者は、以下のようなルールを守らなくてはいけません。
　しつこいくらい重ねてになりますが、個人情報保護法を守ることは大切ですが、個人情報を保護することがより重要ですので、個人情報保護法上の個人情報取扱事業者に該当されない方も、これらのルールを参考にして個人情報を取扱うべきではないかと思います。尚、個人情報保護法第３条は、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。」と規定しています。個人情報取扱事業者であるかなしかにかかわらず、個人情報を適正に取扱わなくてはならないということが個人情報保護法の基本理念です。
(1) 個人情報の利用に関するルール
　個人情報を取扱う場合、個人情報の利用目的を出来るだけ特定し、その利用目的の達成に必要な範囲を超えて個人情報を取扱ってはなりません。
　例えば、個人情報の利用目的を「商品の発送のため」とした場合、新商品の案内等のダイレクトメールを送ることに使うことは出来ません。
(2) 個人情報の取得に関するルール
　偽りやその他不正な手段によって個人情報を取得することは禁止されます。