社会人（建設業社員）としての基礎知識

を除く。」等とする必要があります。今まで使用していた秘密保持契約書のフォーマットに個人情報の保護の規定を書き加える場合には注意が必要です。

トップビジネスの知恵インターネットビジネスと法律 第二弾 第3回 個人情報保護法の再チェック 個人データの適正管理と第三者への提供

3.　第三者への提供〜Question

Q１ 　私の会社（個人情報取扱事業者に該当することを前提とします。以下同じ）は、顧客に無断で顧客名簿を親会社に提供しています。私の会社と親会社は、親子会社の関係なので、顧客名簿を顧客に無断で提供しても個人情報保護法に違反しません。
Q２ 　私の会社は、会員情報を第三者に提供していますが、会員からの求めがあれば第三者への個人データの提供をやめることにしていますので、いわゆるオプトアウトにあたり、問題ありません。
Q３ 　システムキッチンを販売している当社は、フライパン等の調理器具を販売している子会社と一体となって「総合調理システム」の販売を行っています。購入申込書には個人情報の利用目的として「総合調理システムの納品及びアフターサービス、新商品のご案内にのみ利用します。」と明示し、購入申込書をデータ化した「総合調理システム」の顧客データは当社が管理しています。当社が子会社に「総合調理システム」顧客データを渡して、子会社が調理器具の新商品のご案内を行うことは、利用目的の範囲内なので、なんらの通知も同意取得も必要ありません。
Q４ 　システムキッチンを販売している当社は、このたび「総合調理システム」を販売することになりました。そこで、当社は、当社の所有している「システムキッチン」顧客名簿を利用して「総合調理システム」に関するダイレクトメール（ＤＭ）を発送することにし、ＤＭ発送業務を、ＤＭ発送業者に委託しました。当社の顧客名簿をＤＭ発送業者に提供する行為には、なんらの通知も同意取得も必要ありません。尚、顧客には個人情報取得時に「総合調理システムに関するＤＭ発送」という利用目的が明示されているものとします。


4．第三者への提供〜Answer

A１ ×
　個人情報保護法第２３条では、「個人情報取扱事業者は、（略）あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。」としています。
ここにいう「第三者」とは、個人情報取扱事業者であるあなたの会社と個人情報の主体である本人以外の者ということですが、次の３つのケースは第三者に当たらないとされています。

（1） 利用目的の達成に必要な範囲内において個人データの取り扱いに関する業務の全部又は一部を委託する場合の受託者
（2） 合併、分社化、営業譲渡等により事業が承継され、個人データが移転される場合の承継者
（3） 定められた要件を満たした上で、個人データを特定の者との間で共同して利用する場合の共同利用者
また、以下の場合は、本人の同意なく第三者への提供ができることになっています。
(1) 法令に基づく場合。
　 例えば刑事訴訟法第２１８条（令状による捜査）や地方税法第７２条の６３（事業税に係る質問検査権）などによる場合は、強制力を伴っていて回答が義務付けられるため本人の同意なく個人データを第三者提供することができます。
(2) 人の生命、身体又は財産の保護のため。
　 この場合は本人の同意の取得が困難な場合に限られますが、例えば、急病の時に、本人の血液型や家族の連絡先を医師や看護師に提供する場合や、意図的に業務妨害を行う者の情報について情報交換される場合などがあたります。
(3) 公衆衛生の向上や児童の健全な育成の推進のため。
　 この場合も本人の同意の取得が困難な場合に限られます。
(4) 国の機関や地方公共団体等への協力
　 本人の同意を得ることにより公的機関の事務の遂行に支障を及ぼすおそれがある場合で、例えば税務署職員や警察など公的機関等の任意の求めに応じる場合などがあたります。

設問の場合、上で述べた第三者にあたらない場合、第三者提供できる場合のいずれにも該当しませんので、顧客に無断で親会社に顧客名簿を提供することは、個人情報保護法に抵触します。

A２ ×
　個人情報保護法第２３条第２項では、第三者提供におけるオプトアウトを行っている場合には、本人の同意なく、個人データを第三者に提供することができるとしています。
　「第三者提供におけるオプトアウト」とは、個人データを第三者に提供する前に、以下の情報を本人に通知、又は容易に知り得る状態に置くことを言います。

(1) 第三者への提供を利用目的とすること。
(2) 第三者に提供される個人データの項目（例：氏名、住所、電話番号等）
(3) 第三者への提供の手段又は方法（例：プリントアウトして交付等）
(4) 本人の求めに応じて第三者への提供を停止すること。

　設問の場合、会員からの求めがあれば第三者への個人データの提供を停止することを実施するのみで、上記各事項を通知、又は容易に知り得る状態に置くことを行っていませんので、個人情報保護法の定めるオプトアウトの条件を満たさず、問題となります。
　オプトアウト手続きは、例えば「当社は、○○会社に対して、顧客名簿内の氏名・住所をデータファイル形式で提供させていただきます。提供の停止をご希望される方は、○○窓口までご連絡下さい。」などとＨＰ上に記載することになります。
A３ ×
　Ａ１で述べたように、子会社は原則として「第三者」ですが、例外的に共同利用者であれば第三者には当たりません。このケースは親会社と子会社が「総合調理システム」の顧客名簿の共同利用者としての要件を満たすかどうかが問題となります。
共同利用する場合は、共同利用する前に以下の情報を本人に通知、又は容易に知り得る状態に置く必要があります。

(1) 共同して利用される個人データの項目（氏名、住所、電話番号等）
(2) 共同利用者の範囲（範囲が明確であれば個別に列挙する必要はありません）
(3) 共同して利用する個人データのすべての利用目的
(4) 本個人データの管理について責任を有する者の氏名又は名称（第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する者を「責任を有する者」といいます）

　設問の場合には、利用目的の記載はあるものの、子会社が共同利用者である旨、共同して利用される個人データの項目、個人データの管理責任者の通知、又は容易に知り得る状態に置く措置がなく、子会社は第三者に該当してしまうため、本人の同意を得ずに提供することは問題があるということになります。

A４ ○
　「総合調理システム」のＤＭの発送をＤＭ発送業者に委託することは、総合調理システムに関するＤＭ発送という利用目的の達成に必要な範囲内において個人データの取り扱いに関する業務の一部を委託する場合にあたりますので、第三者提供にはあたらず、本人に何らかの通知をする必要や同意を取得する必要はありません。
　Ｑ３のケースでは、子会社は親会社の委託を受けてＤＭを発送するわけでなく、子会社の商品（調理器具）のＤＭを発送する、すなわち、個人データの取り扱いに関する業務の一部を受託しているわけではないため、このケースでは総合調理システムの顧客名簿の共同利用に関する通知、又は用意に知り得る状態に置く措置が必要でした。
　一方、資本関係のない別会社であるＤＭ発送業者に顧客データを渡す場合でも、利用目的の達成に必要な範囲内において個人データの取り扱いに関する業務の一部を委託しているだけであれば何らの措置も不要です。
　この場合、子会社（Ｑ３のケースでは共同利用者）に対しては監督義務は生じませんが、ＤＭ発送業者（Ｑ４のケースでは第三者・委託先）に対しては個人情報保護法第２２条に定められる委託先の監督義務が生じます。

5．まとめ

　今回は個人データの適正管理と、第三者提供について考えてみました。
個人データの適正管理は、自社や自社の従業員だけでなく、派遣社員や委託先にまで目を配らなくてはなりません。
また、技術的な面や物理的な面はお金をかければある程度のことはできますが、人的な面や組織面ではやはり自らこれを行うことが必要です。大変な作業になりますが、個人情報の漏えいを防ぐためには、取扱われている個人情報の内容に応じてバランスの取れた安全管理措置を取らなくてはなりません。
一方、第三者提供の方は、これは第三者提供なのか、それとも単に委託なのか、はたまた共同利用なのかなど考え方が非常に複雑です。
第三者提供であれば提供先の監督義務はありませんが、委託であれば委託先の監督は必要です。これらのことをちゃんと理解して適切な個人情報の提供を行うようにして下さい。
次回は、引き続きＷＥＢサイトの再チェックを、保有個人データに関する事項の公表、開示等について考えてみたいと思います。

個人情報保護法　WIＳDOM　インターネットビジネスと法律より
佐々木美咲　著
第３回　個人情報保護法の再チェック
個人データの適正管理と第三者への提供wisdom20060110

1.　個人データの適正管理について〜Question

Q１ 　個人情報取扱事業者であるマンションの隣人は、主宰するセミナーの参加申込書をデータベース化してDM（ダイレクトメール）を送っていますが、データ入力前の申込書（紙）は、「あいうえお」順などに整理することもなく雑多にダンボールに詰め込んで、マンションの廊下に放置しています。これは個人情報保護法に違反していると思います。
Q２ 　私の会社（個人情報取扱事業者に該当することを前提とします。以下同じ）は、個人情報データベースを安全に管理するために、サーバールームの入退室管理システムとして、手のひらの静脈を利用した生体認証システムを導入しました。サーバー以外に個人情報データベースは存在しないため、当社の安全管理対策は万全です。
Q３ 　私の会社は、従業員に個人データを取り扱わせるにあたっては、安全管理を図るため従業員の監督を行っています。一方、派遣社員は雇用関係にないので、個人データを取扱う派遣社員の監督は特に行わず、派遣元との間で「個人情報の取扱いに関する契約書」を交わしています。当社の個人データの取り扱いに関する従業者の監督はこれで問題ありません。
Q４ 　私の会社は、個人データの取扱いの一部を他の業者に委託していますが、委託先として、プライバシーマークを取得している企業を選定することとしているので、これ以上は何もする必要がありません。
Q５ 　私の会社は、個人情報を業務委託先に預託するにあたっては、必ず秘密保持契約書を締結するようにしています。
個人情報保護法の全面施行にあわせ、今まで利用していた秘密保持契約書のフォーマットに個人情報に関する条項を追加して次のようにしました。
「被開示者は、開示者が秘密と明示した情報及び個人情報（以下、あわせて「機密情報」という）を第三者に開示・漏えいしてはならない。但し、機密情報が、（1）開示の時点で既に公知であった場合、（2）開示後、被開示者の責によらずに公知となった場合、（3）独自に開発されたことを被開示者が証明した場合、（4）第三者から秘密保持義務を負わずに適法に取得した場合を除く。」
これで業務委託先との契約に不備はありません。

2.　個人データの適正管理について〜Answer

A１ ×
　個人情報保護法第２０条では「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と規定しています。「個人データ」であれば個人情報保護法上の安全管理措置義務が生じるというわけです。（前回の４．の表をご覧下さい）
「個人データ」とは「個人情報取扱事業者が管理する「個人情報データベース等」を構成する個人情報」をいい、「個人情報データベース等」とは、「特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物、又はコンピュータを用いていない場合であっても、カルテや指導要録等、紙面で処理した個人情報を一定の規則（例えば五十音順、年月日順等）に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているもの」をいいます（個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン（以下、「経済産業省ガイドライン」といいます）II．１．（２））。
雑多にダンボールに詰め込まれたデータ入力前の申込書（紙）は、一定の規則に従って整理・分類されておらず、容易に検索はできないため、個人情報データベース等を構成する個人情報、すなわち「個人データ」には該当せず、隣人の行為は個人情報保護法の安全管理措置には違反していないと言えるでしょう。（尚、データ入力後の申込書（紙）といえども、整理・分類されていなければ「個人データ」には該当しません）
しかし、個人情報保護法は、遵守しなければ国から罰則の適用を受ける可能性のある行政法に過ぎません。個人情報保護法に違反しないからといっても、隣人による申込書を放置する行為は、不用意な個人情報漏えい事故として、申込書を記入した本人との関係で民事上の損害賠償責任を生じるおそれのある行為であることは言うまでもありません。また、損害賠償にいたらなかったとしても、不用意な個人情報漏えい事故を起こしてしまえば、以後その隣人の主宰するセミナーへの出席者が減ってしまうだろうということは容易に想像がつきます。個人情報保護法を守ることも大切ですが、個人情報を守ることがより重要だという典型的な例です。
A２ ×
　個人情報を保存するサーバーを物理的に隔離してしまえば、個人情報を守ることができるように思われるかもしれません。しかし、実際の漏えい事件が元従業員や外部委託先から起きていることから経済産業省ガイドラインでは、以下の4つの安全管理措置を講じなければならない、としています。
（1） 「組織的安全管理措置」
　個人データの安全管理措置を定める規程等の整備と運用、組織体制の整備
（2） 「人的安全管理措置」
　 　従業者等との秘密保持契約の締結や、教育・訓練の実施
（3） 「物理的安全管理措置」
　 　入退館管理や盗難防止
（4） 「技術的安全管理措置」
　 　個人データへのアクセス管理や不正ソフトウェア対策
入退室管理などの物理的安全管理措置は費用さえかければ簡単に準備できますが、入退室権限を与えられた者が故意に情報を漏洩しようとすることは止められません。一つの安全管理措置を重点的に行うのではなく、事業の性質や個人データの取扱状況等に起因するリスクに応じて必要かつ適切な安全管理措置をバランス良く講じることが必要です。

A３ ×
　個人情報保護法第２１条では、個人データの安全管理が図られるよう従業者の監督を行わなければならないとしています。ここにいう「従業者」とは、正社員、契約社員、パート社員、アルバイト社員のみならず、取締役、監査役、派遣社員なども含まれます。したがって、派遣元との間で契約を取り交わすだけでは不十分で、派遣社員に対しても、Ａ２で述べた４つの安全管理措置を遵守させるよう監督する必要があります。
A４ ×
　プライバシーマーク制度は、個人情報の取り扱いについて適切な保護措置を講ずる体制を整備している事業者を認定して、その旨を示すマーク（プライバシーマーク）を付与する制度です。プライバシーマークの取得の有無は、委託先の選定にあたり一定の信頼のおける基準であることは確かですが、それだけでは不十分です。
個人情報保護法第２２条では、取り扱いの委託をした個人データの安全管理が図られるよう、委託先に対する必要かつ適切な監督を行わなければならないとしています。「プライバシーマークを取得している企業を委託先として選定していること」のみをもって、委託先に対する「必要かつ適切な監督」を行なっているとは言えません。委託契約に個人データの取り扱いに関する安全管理措置を盛り込むとともに、その措置が行われているかどうかを適宜確認するなどのことが必要です。
尚、委託先に必要以上な安全管理措置を義務付けたり、プライバシーマークの取得を義務付けたりすることは、委託者に不当な負担を課すとして、独占禁止法上問題となる場合もありますので注意が必要です。
A５ ×
　よくある機密保持契約書には、設問にあるように機密保持義務の例外として「公知」の情報をあげています。
一方、個人情報の場合、住所録や電話帳などで「公知」となっているものもあります。しかし、個人情報は公知であるからといって保護の必要がなくなるものではありません。したがって「但し、個人情報以外の機密情報であり、かつ、当該情報が（1）開示の時点で既に公知であった場合、（2）開示後、被開示者の責によらずに公知となった場合、（3）・・・・

　したがって、メールアドレスでも個人情報に該当する可能性があるため、個人情報保護法上、利用目的の特定、利用目的の変更禁止、利用目的の制限、適正な取得、利用目的の通知又は公表という義務に服する必要があります。
A８ ×
　個人情報を６ヵ月以内に消去する場合は「保有個人データ」とはなりませんが、ＷＥＢ上で応募を受け付ける場合は、受け付けた時点から個人情報がデータベース化されるので、６ヵ月の起算点は抽選のときからではなく、初めて応募をＷＥＢ上で受け付けた日からになりますので注意が必要です。
　「個人データ」については、個人情報保護法上、正確性の確保、安全管理措置、従業者の監督、委託先の監督、第三者提供の禁止という義務に服する必要がありますが、「保有個人データ」になるとさらに、利用目的や開示手続、苦情の申出先の公表、本人からの要求に応じた利用目的の通知、開示、内容が真実でないという理由による訂正、追加又は削除、目的外利用、不正取得、同意のない第三者提供を理由とする利用停止の義務に服する必要があります。
　「個人情報」、「個人データ」、「保有個人データ」のおのおのの義務を整理すると以下のような表になります。

5．利用目的と収集時の手続について〜Question

　個人情報を利用する際にはできる限り利用目的を特定しなくてはなりません。どのように特定すればよいのでしょうか。わかりますか。

Q９ 　私の会社では、ＷＥＢ上で個人情報を集めるにあたって、目立たない位置とはいえトップページに利用目的を「事業活動に用いるため」と明記しているので、個人情報保護法上問題はありません。
Q１０ 　私は、ＨＰ上で公表されている人の氏名を集めて名簿にしています。公表されている個人情報なので、特に何もする必要はありません。
Q１１ 　私の会社は、いままで「当社のワイン販売事業における注目商品に関する情報を電子メールにより送信するために利用します。」と利用目的を明示して、会員に電子メールで注目商品の案内をしていましたが、今回は、住所のわかる会員に郵便はがきで案内を送ることになりました。郵便はがきで案内を送る程度は目的外利用とまではいえないため、何らの手続も行う必要はありません。

6．利用目的と収集時の手続について〜Answer

A９ ×
　「利用目的の特定」という点と「利用目的の明示」という２点で誤りがあります。まず１点目、個人情報の利用目的は「可能な限り具体的に特定」しなければなりません。たとえば、「通信販売事業における、新商品に関する情報のお知らせ」など、具体的なもので、単に「事業活動に用いるため」では特定しているとはいえません。
　２点目は、直接本人にＷＥＢ上で個人情報を入力させて取得する場合には、個人情報の「利用目的を明示」しなくてはなりません。ＷＥＢ等ネットワーク上で本人から個人情報を直接取得する場合は、本人が個人情報を送信するボタンをクリックする前等にその利用目的が本人の目にとまるようにしなければなりません（利用目的の内容が示された画面に１回程度の操作でページ遷移するように設定したリンクやボタンでも可能です）。トップページの目立たない位置の記載では「明示」として不十分です。
A１０ ×
　たとえ公表されている個人情報でも、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに利用目的を本人に対し通知するか、公表しなくてはなりません。実務上は、都度利用目的を、本人に通知したりするのは面倒ですので、自社のＷＥＢ上に利用目的を具体的に特定して公表しておくべきでしょう。この場合、いわゆるプライバシーポリシーとあわせて掲載する例が多いようですが、「利用目的」はトップページから１回程度の操作で到達できるページに掲載する必要があります。
A１１ ×
　　このケースのように電子メールで注目商品の案内を送っていたところ、郵便はがきでも送る程度であれば、「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲」ですので目的外利用とまでは言えず、利用目的の変更として許容される範囲に含まれます。しかしながら、今回のように許容される範囲内で利用目的を変更した場合でも、変更された利用目的について本人に通知、又は公表する必要があります。したがって、「何らの手続きも行う必要はありません」は誤りです。
　尚、変更前の利用目的と相当の関連性がない利用目的に変更する場合は、あらかじめ利用目的の変更について本人の「同意」を得なくてはなりません。

7．まとめ

　個人情報保護法では、「個人情報」、「個人データ」、「保有個人データ」という３区分に個人に関する情報を分類し、それぞれに異なった義務を設定しています。個人情報保護法を理解する上では非常に重要な分類ですが、このそれぞれについて管理態様を変えるということは困難と思われます。「保有個人データ」となると管理が非常に煩雑になりますので、実務上は６ヵ月以内に廃棄・消去するということをルール化するという対応方法も検討する必要があるかと思います。
　次回は、引き続きＷＥＢサイトの再チェックを、個人データの適正管理、第三者提供などを中心に考えてみたいと思います。

個人情報保護法　WIＳDOM　インターネットビジネスと法律より
佐々木美咲　著
第２回　wisdom20051017

1.　「個人情報取扱事業者」〜Question

　４月に全面施行された個人情報保護法では、「個人情報取扱事業者」に該当するかどうかで、大きな違いがあります。Ｑ＆Ａ形式ですのでみなさんも○か×か考えてみてください。

Q１ 　私はラーメンの食べ歩きが趣味で、ラーメンブームが始まったころからＷＥＢ上でラーメン好きのためのポータルサイトを運営しています。全国から７０００人の方が会員として登録していますが、あくまで「趣味」で行っているので、私が「個人情報取扱事業者」に該当する可能性はありません。
Q２ 　私の会社は、会員制のＷＥＢサイトで観光情報を有料で提供しています。会員登録はＷＥＢ上ではなく、ＦＡＸのみで受け付けており、ＦＡＸ用紙をあいうえお順に整理してはいますが、会員をデータベース化してはいませんので、私の会社は「個人情報取扱事業者」には該当しません。
Q３ 　私のＷＥＢサイトには、会員制の掲示板が合計で７０個あって、それぞれ約１００人から２００人の会員が登録されています。会員名簿は簡単に検索できますが、それぞれの名簿は２００人以下なので、私の会社は「個人情報取扱事業者」には該当しません。
Q４ 　私の会社は、ＷＥＢサイト上で通信販売をしています。１ヵ月ごとに顧客の情報を消去してしまうので、「個人情報取扱事業者」には当然該当しません。
Q５ 　私は、ＷＥＢを使った通信販売の勧誘のためのダイレクトメールを送信しています。ダイレクトメールのあて先は、市販されている電話帳ＣＤ−ＲＯＭを元に自分で加工し、住所・氏名・電話番号を記載した新たな電話帳ＣＤ−ＲＯＭを使っています。電話帳ＣＤ−ＲＯＭの個人情報の件数は、個人情報データベースを構成する個人の数に参入しないと聞いたので、私は「個人情報取扱事業者」に該当するはずはありません。
Q６ 　私は個人情報取扱事業者には該当しないので、個人情報を保護する必要はありません。

2.　「個人情報取扱事業者」〜Answer

A１ ×
　「個人情報取扱事業者」とは、個人情報データベース等を「事業」の用に供している者をいいますが、ここでいう「事業」とは、営利事業のみを対象とするものではありません（一定の目的を持って反復継続して遂行される同種の行為であって、かつ一般社会通念上事業と認められるものをいいます）。そのため趣味でやっている個人の方でも個人情報保護法第２条第３項に定義されている個人情報取扱事業者に該当する可能性があります。
「個人情報取扱事業者」に該当すると個人情報保護法上さまざまな義務が課せられます。
A２ ×
　A１でも述べましたが、「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいいます。ここでいう「個人情報データベース等」には、コンピュータを用いて検索できるようになっているデータベースに限らず、コンピュータを用いていなくても、年月日順や５０音順等の一定の規則に従って整理・分類し、索引などを付けて誰もが特定の個人情報を容易に検索することができるようにしていれば、紙媒体も該当します。ＦAＸ用紙をあいうえお順に整理していれば、「個人情報データベース等」に該当するため、これを事業の用に供する会社は「個人情報取扱事業者」です。
A３ ×
　個人情報保護法では、「取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」は、「個人情報取扱事業者」から除外されています。政令ではこれを「その事業の用に供する個人情報データベース等を構成する個人の数の合計が過去６ヵ月のいずれの日においても５０００人を超えない者」としています。したがって、個々の個人情報データベース等が１００人から２００人分しかなくとも、同種の個人情報データベース等が７０個あれば、取り扱う個人情報データベース等を構成する個人情報が合計７０００人分を超えるため、当該会社は「個人情報取扱事業者」に該当します。但し、同一個人の重複分は除かれるため、各掲示板に登録する会員に重複があって、合計が４９００人ならば、「個人情報取扱事業者」に該当しないこととなります。
A４ ×
　A３でも述べましたとおり、「過去６ヵ月以内のいずれの日においても５０００人を超えない」ことが必要です。したがって、毎月個人情報を削除していても、過去６ヵ月以内に１日でも個人情報の数が５０００人を超えれば「個人情報取扱事業者」に該当します。
A５ ×
　市販されている電話帳や電話帳ＣＤ−ＲＯＭそのものを個人情報データベースとして利用して事業を行っている場合、「個人情報取扱事業者」には該当しないことがありうる点はみなさまもご存知と思われます。
　しかし、個人情報データベース等を構成する個人の数に算入しなくてもよいケースは、（１）その全部又は一部が他人の作成によるものである、（２）それを構成する個人情報として氏名又は住所若しくは居所若しくは電話番号のみを含んでいる、（３）新たに個人情報を加え、識別される特定の個人を増やしたり、他の個人情報を付加したりして、個人情報データベース等そのものを変更するようなことをしていない、との３つの要件を満たす必要があります。具体的には、電話帳や市販のカーナビゲーションシステム、住宅地図等そのものになります。今回のＣＤ-ＲＯＭは元の電話帳を加工しているため（３）に抵触しており、個人の数に参入しなくてもよいケースに該当しません。したがって、取扱う個人情報が過去６ヶ月間で一度でも５０００人分を超える場合には、「個人情報取扱事業者」に該当します。
A６ ×
　「個人情報取扱事業者」に該当しない限りは、個人情報保護法上の義務規定や罰則規定は適用されません。しかしながら、個人情報保護法が施行される前から、個人情報の流出で裁判が起こされたり、お詫びが行われていたりすることからもおわかりのとおり、他人のプライバシーである個人情報を保有する者には、これを適切に保護する責務があります。「個人情報取扱事業者」に該当しない者であっても、プライバシー権の侵害を理由に民事上の損害賠償責任を問われる可能性があるということです。また、同様の理由により「個人情報保護法に違反さえしなければ、個人情報保護対策は十分だ」という考え方も誤りです。

3.　「個人情報」「個人データ」「保有個人データ」〜Question

　個人情報保護法では、いわゆる個人情報を「個人情報」、「個人データ」、「保有個人データ」と３段階に分けて定義しています。そのそれぞれによって義務が違います。わかりますか。

Q７ 　個人情報取扱事業者である私の会社は、ＷＥＢ上でメールアドレスのみを取得していますが、メールアドレスは個人を特定できないので、個人情報ではありません。
Q８ 　私の会社ではＷＥＢ上でプレゼントキャンペーンを１ヵ月にわたり行い、５０００人以上の応募がありました。４月末に締め切って５月１０日に抽選し、抽選から６ヵ月経過する直前の１１月９日にすべてのデータを消去したので、個人情報保護法上の「個人データ」としての義務は守る必要はありますが「保有個人データ」としての義務を守る必要はありません。

4. 個人情報を取扱うにあたって守らなければならないルール

A７ ×
　「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む）をいいます。英数字を乱雑に並べたメールアドレスであれば、個人情報には該当しないと考えられますが、taro-yamada@NEC-shoji.ne.jp等は、「ＮＥＣ商事の山田太郎」と個人が特定できる可能性があるため、個人情報に該当します。

　例えば、実際はＡ社が個人情報を収集しているのに、Ｂ社が収集しているように偽ることなどです。
　 尚、ＷＥＢサイトの多くがそうであるように、個人情報を本人に記入させるような方法で、本人から直接個人情報を取得する場合は、事前に本人に利用目的を明示しなくてはいけません。
　例えばＷＥＢの場合、個人情報を送信するときに送信ボタンをクリックしますが、そのクリックの前に利用目的が本人の目にとまるようにする必要があります。
　本人に書かせて直接取得するだけでなく、第三者から間接的に個人情報を取得するケースもあると思われますが、このような場合でも利用目的を個人情報の主体である本人に通知したり、公表することが必要です。
(3) 個人データの安全管理に関するルール
　個人情報の漏洩を防ぐ安全管理のために必要かつ適切な措置をとらなければなりません。また、そのために従業員や委託先を適切に監督しなくてはなりません。
　経済産業省のガイドラインでは、この部分が非常に厚く説明されています。参考にすべきでしょう。
(4) 個人データの第三者提供に関するルール
　原則として、事前に本人の同意を得ずに、個人データを第三者に提供してはいけません。
　例外的に、本人の同意を得ずに個人情報を第三者に提供できる場合としては、「法令に基づく場合」や、「個人データの取扱いの全部又は一部を委託する場合」、「共同利用の場合」、そしていわゆる「オプトアウトを行っている場合」（オプトアウトについては、複雑なので別の機会で詳細にご説明したいと思います）などがあります。
(5) 保有個人データの開示等に関するルール
　個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供を行うことのできる権限を有する個人データであって、６ヵ月以上保有する個人データ（保有個人データ）については、原則として、開示に応じたり、誤りがあれば訂正、追加又は削除に応じたり、不法な取扱いがあった場合には利用停止等に応じなければなりません。
　以上のルールの中で「明示」や「通知」、「同意」という用語が出てきますが、個人情報保護法では、その他に「公表」や「本人の知り得る状態」や「本人が容易に知り得る状態」という用語が出てきます。それらのご説明についてはガイドラインや別の機会に譲りますが、個人情報の取得方法などによって、それぞれ使い分けられていますので、注意が必要です。
5.インターネットビジネスと個人情報
　インターネットビジネスをされる場合、ＷＥＢサイトは必須のものです。そのＷＥＢサイトで、どのように、またどのくらい個人情報を取扱っているかによって、個人情報保護法への対応が変わります。
　保有する個人に関する情報は「個人情報」なのか？
　収集されたときは個人情報だったかもしれないけど、自分の手元に来たときはすでに統計データになっていれば、それは個人情報ではありません（但し、個人情報の収集を第三者に委託する場合、委託元としての責任が生じる場合がありますので、注意が必要です）。
　自社は「個人情報取扱事業者」に該当するのか？
　個人情報取扱事業者に該当しなければ、個人情報保護法上の義務や罰則はほとんど関係ありません。但し、上に書いたように基本理念は尊重する必要はあります。また、東京都の条例など、地方公共団体の条例では、保有する個人情報の数にかかわりなく、個人情報の適切な取扱いを努力義務として規定しているものが多くみられます。
　逆に、個人情報取扱事業者に該当すれば、必然的に個人情報保護法や主管省庁の出しているガイドラインの求めている事項に従う必要があります。
　個人情報を取扱う際のルールを守るためには、自社のＷＥＢサイトはどうすれば良いのか？
　などです。
　個人情報保護法が全面施行されてから5ヵ月。しかしながら未だに個人情報の流出や紛失というニュースが後を絶ちません。そのパターンは、不正アクセスやパソコンの盗難というものから、ＵＳＢメモリーやＣＤ−ＲＯＭの紛失というものまで様々です。
　平成17年5月20日には、金融庁から、顧客情報の流出があったある銀行に対して、個人の権利利益を保護するために必要な措置をとるように、具体的には、（1）個人データの安全管理のための措置の実行性の確保と（2）個人データの安全管理を図るための従業者に対する監督の徹底とそれらの措置の報告をするように、個人情報保護法第34条第1項に基づいた勧告がなされました。
　しかし、いまだに個人情報保護法第56条や第58条に基づく罰則が適用されたというニュースはないようです。