個人情報データベース等とは?定義や該当する/しないものの具体例
IT・情報セキュリティ 更新個人情報保護法上の「個人情報データベース等」とは何ですか。どのようなものが該当しますか。個人情報データベース等に関する義務やルールについても教えてください。
「個人情報データベース等」とは、特定の個人情報を検索することができるように体系的に構成された、個人情報を含む情報の集合物をいいます。ただし、利用目的から見て個人の権利利益を害するおそれがないとして一定の条件に当てはまるものは、個人情報データベース等に該当しません。
ほとんどの企業では個人情報データベース等を持っていると思われるため、正確性の確保、安全管理措置、従業者の監督、委託先の監督、漏えい等の報告等、第三者提供の制限という、個人情報取扱事業者として求められる義務を果たさなくてはなりません。
解説
(本記事における略記)
| 略記 | 正式名称・参照情報 |
|---|---|
| 個人情報保護法または法 | 個人情報の保護に関する法律(平成15年法律第57号) |
| 施行令 | 個人情報の保護に関する法律施行令(平成15年政令第507号) |
| 通則編ガイドライン | 個人情報保護員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月30日、令和7年6月一部改正) |
| ガイドラインQ&A | 個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(平成29年2月16日、令和7年7月1日更新) |
| 平成27年改正 | 「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」(平成27年9月9日法律第65号) ※平成29年5月30日に全面施行 |
| 令和2年改正 | 「個人情報の保護に関する法律等の一部を改正する法律」 ※令和4年4月1日に施行 |
個人情報データベース等とは
個人情報データベース等の定義
「個人情報データベース等」とは、個人情報を含む情報の集合物であって、①特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したもの、または②コンピュータを用いないものであっても含まれる個人情報を一定の規則(例:五十音順)に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの、をいいます(法16条1項、通則編ガイドライン2-4)。
たとえば、顧客名簿や従業員名簿が典型例です。
ただし、次の①〜③のすべてを充足するものは、利用方法からみて個人の権利利益を害するおそれが少ないため、個人情報データベース等には該当しません。
- 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法または法に基づく命令の規定に違反して行われたものでないこと
- 不特定かつ多数の者により随時に購入することができ、またはできたものであること
- 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること
個人情報保護法および施行令における規定は以下のとおりです。
この章及び第8章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
施行令4条
1 法第16条第1項の利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものは、次の各号のいずれにも該当するものとする。
一 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。
二 不特定かつ多数の者により随時に購入することができ、又はできたものであること。
三 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。
2 法第16条第1項第2号の政令で定めるものは、同項に規定する情報の集合物に含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するものをいう。個人情報保護法における「個人データ」「保有個人データ」等との違い
「個人データ」とは、個人情報データベース等を構成する個人情報をいいます(法16条3項)。また、「保有個人データ」とは、個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有するものをいいます(法16条4項)。
「個人データ」と「保有個人データ」は、いずれも個人情報保護法上の「個人情報」に該当します。
個人情報保護法上の各種データの位置付けは以下のとおりです。
個人情報保護法における各種データのイメージ
個人情報データベース等に該当するもの
通則編ガイドライン2-4では、個人情報データベース等に該当する事例を次のように示しています。
事例1)電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)
事例2)インターネットサービスにおいて、ユーザーが利用したサービスに係るログ情報がユーザーIDによって整理され保管されている電子ファイル(ユーザーIDと個人情報を容易に照合することができる場合)
事例3)従業者が、名刺の情報を業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて入力・整理している場合
事例4)人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合
上記事例3に関して大雑把に表現すれば、表計算ソフトの特定の行ないし列に個人情報が入力・整理されているのであれば、当該表計算ソフトを用いて作成されたシートは、個人情報をソートすることができる、すなわち特定の個人情報を検索することができるように体系的に構成されているといえるため、個人情報データベース等に該当するものと考えられます。
メールソフトのアドレス帳、一定の規則で整理された名刺等
メールソフトのアドレス帳や一定の規則で整理された名刺については、従業者の私的な使用のみに用いられているのであれば、企業にとっての個人情報データベース等には含まれないと考えられます。しかし、従業者が企業における業務の用に供するために使用しているのであれば、企業の個人情報データベース等に該当することになり得ます(ガイドラインQ&A1-37、1-39)。
従業者が業務上使用している携帯電話等の電話帳に氏名と電話番号のデータが登録されている場合、特定の個人情報を検索できるように個人情報を体系的に構成されているといえるため、個人情報データベース等に該当すると解されます(ガイドラインQ&A1-38)。
カーナビゲーションシステムを購入したユーザーによるルート設定や訪問歴の記録
カーナビゲーションシステムを購入したユーザーによるルート設定や訪問歴の記録は、当該カーナビゲーションシステムに含まれるデータをメモリに入れているにとどまり、「生存する個人に関する他の情報を加え」たことには該当しないことから、当該ユーザーにとっては個人情報データベース等に該当しません(後述3-2参照)。ただし、当該ユーザーにおいて、新たに個人情報等を加えてデータベースの内容を変更した場合は、個人情報データベース等に該当し得るものと考えられます(ガイドラインQ&A1-46)。
個人情報データベース等に入力する前の帳票類
個人情報データベース等に入力する前の帳票等であっても、それに記載された個人情報を五十音順に整理している場合など、特定の個人情報を容易に検索することができるように体系的に構成している場合には、それ自体が個人情報データベース等に該当します(ガイドラインQ&A1-48)。
その他
公開情報であっても、生存する個人に関する情報であって特定の個人を識別できる情報(他の情報と容易に照合できる場合を含む)は、個人情報に該当し、このような情報を集めて、新たに特定の個人情報を検索できるように作成したデータベースは、原則として、個人情報データベース等に該当します(ガイドラインQ&A1-49)。
個人情報データベース等に該当しないもの
通則編ガイドライン2-4では、では、個人情報データベース等に該当しない事例を次のように示しています。
事例1)従業者が、自己の名刺入れについて他人が自由に閲覧できる状況に置いていても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合
事例2)アンケートの戻りはがきが、氏名、住所等により分類整理されていない状態である場合
事例3)市販の電話帳、住宅地図、職員録、カーナビゲーションシステム等
他人には容易に検索できないように分類された名刺入れ
他人には容易に検索できない独自の分類方法により名刺を分類した場合は、個人情報データベース等から除外されます。
市販の電話帳、名簿、カーナビゲーションシステム等
市販されている電話帳などの名簿等は、広く世の中に出回ることを目的として作成・利用されており、それを購入した事業者が当該名簿等をそのまま使用する限りにおいては、たとえ漏えいや第三者への提供等があったとしても、その行為により個人の権利利益の侵害する危険性が少ないことから、個人情報データベース等から除外されます(ガイドラインQ&A1-44)。
また、市販されている名簿等の電子データをインターネット上からダウンロードして購入した場合も同様に個人情報データベース等から除外されます(ガイドラインQ&A1-45)。
ただし、同窓会名簿や自治会名簿等は、個人情報データベース等に該当します 1。このような名簿等が規制なく流通すると、いわゆる名簿屋等に渡ることが考えられ、このような名簿等が個人情報データベース等から除外されることは、いわゆる名簿屋に対する規律を設け、個人情報の大量漏えいに歯止めをかけることの法改正の趣旨にそぐわない 2 ためです。
文書作成ソフトで作成された議事録
文書作成ソフトで作成された議事録は、会議出席者の氏名が記録されているとしても、特定の個人情報を検索することができるように「体系的に構成」されているものとはいえないため、個人情報データベース等には該当しないと解されます(ガイドラインQ&A1-40)。
なお、名簿等、特定の個人情報を検索することができるように体系的に構成されたものは、文書作成ソフトで作成されたものであっても、その他のソフトで作成されたものであっても、個人情報データベース等に該当するものと考えられます。
防犯カメラやビデオカメラなどで記録された映像情報
特定の個人を識別することができる映像情報であれば、個人情報に該当しますが、特定の個人情報を検索することができるように「体系的に構成」されたものでない限り、個人情報データベース等には該当しないと解されます。すなわち、記録した日時について検索することは可能であっても、特定の個人に係る映像情報について検索することができない場合には、個人情報データベース等には該当しないと解されます(ガイドラインQ&A1-41)。
会話の音声の中の個人の氏名等
録音した会話の内容に氏名が含まれていても、当該氏名により容易に検索可能な状態に整理されていない限り、個人情報データベース等に該当しません(ガイドラインQ&A1-42)。
宅配便の送り状等
送り状に氏名等の個人情報が含まれていても、当該送り状を受けた日付順に並べているだけで、特定の個人情報が含まれている送り状を検索し、抽出することが容易にできる状態に整理していない場合には、個人情報データベース等に該当しません(ガイドラインQ&A1-43)。
個人情報データベース等に関する個人情報取扱事業者の義務の概要
個人情報データベース等を事業の用に供している者であれば、当該個人情報データベース等を構成する個人情報によって識別される特定の個人の数の多寡にかかわらず、個人情報取扱事業者に該当します(ガイドラインQ&A1-50)。従業者に関する個人情報データベース等しか保有していない場合であっても、個人情報データベース等を事業の用に供している者は、個人情報取扱事業者に該当します(ガイドラインQ&A1-52)。
なお、かつては、5,000人分以下の個人情報しか取り扱っていない者が個人情報取扱事業者から除外されていましたが、平成27年改正によりこうした除外規定は削除されています。そのため、平成27年改正以降は、事実上、ほぼすべての事業者が個人情報取扱事業者に該当するものと考えられます。
個人情報取扱事業者は、①データ内容の正確性の確保(法22条)、②安全管理措置(法23条)、③従業者の監督(法24条)、④委託先の監督(法25条)、⑤漏えい等の報告等(法26条)、⑥第三者提供の制限(法27条)といった措置を講ずる必要があります。
個人情報取扱事業者の義務等の詳細は、下記の関連記事をご参照ください。
-
個人情報保護委員会「「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集結果」(別紙2)268 ↩︎
-
個人情報保護委員会「「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集結果」(別紙2)269 ↩︎
弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー
弁護士法人三宅法律事務所
弁護士法人三宅法律事務所
弁護士法人三宅法律事務所