Case Study

「個人情報保護法(1)」

個人情報保護法という法律があることは、皆様もご存じと思いますが、実際には、誰に対し、
どのような規制がされているのか、もし違反した場合には制裁があるのかなどについては、
意外に知られていないのではないでしょうか。そこで今回は個人情報保護法のさわりを紹介します。
同法は、個人情報の適正な取扱いに関し、国や地方公共団体の責務や、取扱事業者の義務等を定め、個人の権利利益を保護することを目的としています(第1条)。
個人情報の保護は、個人のプライバシーを直接保護するものではなく、プライバシーについては、民法(不法行為)、刑法(名誉毀損罪)などにより保護されています。
「個人」は、生存する個人を指し(故人や団体の情報は含まれません)、「情報」は、特定の個人を識別できるものとして、氏名、生年月日、連絡先等のほか、他の情報との照合で識別可能なもの(例えば、名簿と照合することで個人を特定できるような学籍番号など)も含まれます
(第2条1項)。また、個人情報のうち、「保有個人データ」として定められたものが(同5項)、本人への情報の開示や内容の削除、第三者への提供の停止などの対象になります。
規制の対象は、5000人(電話会社の電話帳や、カーナビに格納されているデータ等は算入しません)を超える、個人情報データベース(個人情報を検索できるように体系的に構成したもの)等を、事業(非営利の事業も含まれます)のために利用している、個人情報取扱事業者です(法人格のない団体や、個人事業者も含まれます)。
過去6ヶ月以内のいずれの日においても特定の個人の数の合計が5000人を超えない小規模事業者や、一般の個人については、対象にならないということになります。その他、個人情報を、新聞社などが報道のために使用する場合や、大学が研究のために使用する場合などは、表現の自由等を制約する恐れがあるという解釈から、取扱業者の適用を受けません
(第50条1項)。
国、地方公共団体、独立事業法人等も、取扱事業者から除かれているのですが(第2条3項)、これは、それぞれを対象とした別の個人情報保護法や、自治体による個人情報保護条例というものが、別に定められているためです。
個人情報保護法は、最小限度の規制を定めたもので、実際には、経済産業省や厚生労働省などが作成したガイドラインによって具体的な内容が策定されており、経済産業省のガイドラインに違反した場合には、同省から勧告や命令等がされます。
企業などが持っている顧客等についての個人情報データベースとしては、パソコンに入力されたデータ、紙に印刷された50音順名簿やカルテ、電子メールソフトに保管されているメールアドレス帳などの形式がありますが、経済産業省のガイドラインでは、他人には容易にわからない独自の方法で分類している会社員の名刺入れや、回収したアンケートはがき等で氏名順などに分類整理されていないものについては、これに該当しないという判断がされています。