電話帳や名簿は「個人情報データベース等」にあたるか
IT・情報セキュリティ 更新改正個人情報保護法においては、電話帳や名簿が「個人情報データベース等」から適用除外されるということですが本当ですか。
「利用目的から見て個人の権利利益を害するおそれがないもの」として、①不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法または法に基づく命令の規定に違反して行われたものでないこと、②不特定かつ多数の者により随時に購入することができ、またはできたものであること、③生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること、のいずれにも該当するものは、「個人情報データベース等」から除外されます。
解説
目次
※本QAの凡例は注のとおりです1。
個人情報データベース等
「個人情報データベース等」とは、個人情報を含む情報の集合物であって、①特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したもの、または②コンピュータを用いないものであっても含まれる個人情報を一定の規則(例:五十音順)に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの、をいいます(改正前個人情報保護法2条2項、改正前個人情報保護法施行令1条、改正個人情報保護法2条4項、個人情報保護法施行令3条2項)。
具体的には以下のものが「個人情報データベース等」に該当します(個人情報保護法ガイドライン(通則編)2-4)。
電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)
事例2
インターネットサービスにおいて、ユーザーが利用したサービスに係るログ情報がユーザーIDによって整理され保管されている電子ファイル(ユーザーID と個人情報を容易に照合することができる場合)
事例3
従業者が、名刺の情報を業務用パソコン(所有者を問わない)の表計算ソフト等を用いて入力・整理している場合
事例4
人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合
「個人情報取扱事業者」の「個人情報データベース等」を構成する「個人情報」(個人情報保護法2条1項)は、「個人データ」(個人情報保護法2条6項)に該当します。
「個人データ」に該当すると、個人情報取扱事業者は、①データ内容の正確性の確保(個人情報保護法19条)、②安全管理措置(個人情報保護法20条)、③従業者の監督(個人情報保護法21条)、④委託先の監督(個人情報保護法22条)、⑤第三者提供の制限(個人情報保護法23条)といった措置を講ずる必要があります。
改正の背景
市販の電話帳やカーナビゲーションシステム等
市販の電話帳やカーナビゲーションシステム等のナビゲーションシステムに格納されている氏名、住所または居所の所在場所を示すデータなども、「個人情報データベース等」の定義に該当します。
しかしながら、これらが市販されている状態のまま使用する場合は、たとえその中の情報が漏えいしたとしても、その漏えいにより個人の権利利益が害されることはほとんどありません。
それにもかかわらず、「個人情報データベース等」の定義に形式的に該当するからといって、それを構成する「個人データ」についても安全管理措置等を要求することは個人情報取扱事業者にとって過度の負担になるものです。
そこで、旧・経産省ガイドライン(平成26年12月12日厚生労働省・経済産業省告示第4号)では、以下のとおり、電話帳、カーナビゲーションシステム等について、その利用方法からみて個人の権利利益を侵害するおそれが少ないことから、個人情報取扱事業者の義務を課されないものと解釈する、としていました。
個人情報データベース等が、以下の要件のすべてに該当する場合であっても、その個人情報データベース等を構成する個人情報については、個人データとなる可能性も否定できない。しかしながら、その利用方法からみて個人の権利利益を侵害するおそれが少ないことから、個人情報取扱事業者の義務を課されないものと解釈する。
- 個人情報データベース等の全部または一部が他人の作成によるものである。
- その個人情報データベース等を構成する個人情報として氏名、住所(居所を含み、地図上またはコンピュータの映像面上において住所または居所の所在場所を示す表示を含む)または電話番号のみを含んでいる。
- その個人情報データベース等を事業の用に供するにあたり、新たに個人情報を加え、識別される特定の個人を増やしたり、他の個人情報を付加したりして、個人情報データベース等そのものを変更するようなことをしていない。
個人情報データベース等を構成しない個人情報
なお、改正前個人情報保護法においても、「個人情報データベース等を構成する個人情報によって識別される特定の個人の数」から当該個人情報データベース等の全部または一部が他人の作成に係る個人情報データベース等であって、次のいずれかに該当するものを編集し、または加工することなくその事業の用に供するときは、当該個人情報データベース等の全部または一部を構成する個人情報によって識別される特定の個人の数を除かれることとされていました(改正前個人情報保護法施行令2条)。
- 個人情報として次に掲げるもののみが含まれるもの
イ 氏名
ロ 住所または居所(地図上または電子計算機の映像面上において住所または居所の所在の場所を示す表示を含む。)
ハ 電話番号 - 不特定かつ多数の者に販売することを目的として発行され、かつ、不特定かつ多数の者により随時に購入することができるものまたはできたもの
これらに該当するのは、以下のような事例です(旧・経産省ガイドライン2-1-3)。
事例1
電話会社から提供された電話帳および市販の電話帳 CD-ROM 等に掲載されている氏名および電話番号
事例2
市販のカーナビゲーションシステム等のナビゲーションシステムに格納されている氏名、住所または居所の所在場所を示すデータ(ナビゲーションシステム等が当初から備えている機能を用いて、運行経路等新たな情報等を記録する場合があったとしても、「特定の個人の数」には算入しないものとする)
事例3
氏名または住所から検索できるよう体系的に構成された、市販の住所地図上の氏名および住所または居所の所在場所を示す情報
改正内容
全面改正後の個人情報保護法では、「個人情報データベース等」から、利用目的から見て個人の権利利益を害するおそれがないものとして以下の①から③までのいずれにも該当するものが「個人情報データベース等」から除外されることとされています(改正個人情報保護法2条4項、改正個人情報保護法施行令3条)。
- 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法または法に基づく命令の規定に違反して行われたものでないこと。
- 不特定かつ多数の者により随時に購入することができ、またはできたものであること。
- 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。
この改正内容は、上記2の旧・経産省ガイドラインの「電話帳、カーナビゲーションシステム等の取扱いについて」を法令上明文化し、市販の電話帳やカーナビゲーションシステム等のナビゲーションシステムに格納されている氏名、住所または居所の所在場所を示すデータ等が「個人情報データベース等」を構成しないことを明確化したものと考えられます。
「①不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法または法に基づく命令の規定に違反して行われたものでないこと」の要件は、改正前の個人情報データベース等を構成する個人情報から除外される「不特定かつ多数の者に販売することを目的として発行され」(上記2-2)の要件を厳格化し、「その発行が法または法に基づく命令の規定に違反して行われたものでないこと」を要求しています。
「②不特定かつ多数の者により随時に購入することができ、またはできたものであること」の要件は、改正前の個人情報データベース等を構成する個人情報から除外される「不特定かつ多数の者により随時に購入することができるものまたはできたもの」(上記2-2)と同じです。
「③生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること」は、旧・経産省ガイドラインの「電話帳、カーナビゲーションシステム等の取扱いについて」において解釈上の個人情報データベース等から除外するための要件である「その個人情報データベース等を事業の用に供するにあたり、新たに個人情報を加え、識別される特定の個人を増やしたり、他の個人情報を付加したりして、個人情報データベース等そのものを変更するようなことをしていない」ことを法令上の明文にしたものと考えられます。
個人情報データベース等に該当する事例・該当しない事例
個人情報保護法ガイドライン(通則編)2-4では、以下のとおり、個人情報データベース等に該当する事例・該当しない事例を示しています。
事例1
電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)
事例2
インターネットサービスにおいて、ユーザーが利用したサービスに係るログ情報がユーザーIDによって整理され保管されている電子ファイル(ユーザーIDと個人情報を容易に照合することができる場合)
事例3
従業者が、名刺の情報を業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて入力・整理し、他の従業者等によっても検索できる状態にしている場合
事例4
人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合
【個人情報データベース等に該当しない事例】
事例1
従業者が、自己の名刺入れについて他人が自由に閲覧できる状況に置いていても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合
事例2
アンケートの戻りはがきが、氏名、住所等により分類整理されていない状態である場合
事例3
市販の電話帳、住宅地図、職員録、カーナビゲーションシステム等
広く一般に市販されている名簿等は、広く世の中に出回ることを目的として作成、利用されており、それを購入した事業者が当該名簿等をそのまま使用する限りにおいては、たとえ漏えいや第三者への提供等があったとしても、その行為により個人の権利利益の侵害する危険性が少ないことから、個人情報データベース等から除外することとしたものです(PC269)。
電話帳については、無償で頒布される場合であっても、住んでいる場所以外の地域については不特定かつ多数の者に対して広く有料で販売されていることから、個人情報保護法施行令3条1項に該当し、個人情報データベース等から除外されることになります(PC271)。
単に無償頒布されている名簿等やインターネット上で無料掲載されている名簿等は、市販されている名簿等に比べて作成、頒布した事業者が不明確であることが多く、意図せず漏えいした個人情報を利用したものである可能性もあることから、入手した事業者において安全管理措置が講じられる必要があると考えられるため、販売することを目的として発行された名簿等のみを、個人情報データベース等から除外することとされています(PC266)。
同窓会名簿や自治会名簿等が規制なく流通すると、いわゆる名簿屋等に渡ることが考えられ、このような名簿等が個人情報データベース等から除外されることは、いわゆる名簿屋に対する規律を設け、個人情報の大量漏えいに歯止めをかけることの法改正の趣旨にそぐわないこととされています(PC269)。
名刺等の個人情報データベース等への該当性
メールソフトのアドレス帳や一定の規則で整理された名刺については、従業者の私的な使用のみに用いられているのであれば、企業にとっての個人情報データベース等には含まれないと考えられます。しかし、従業者が企業における業務の用に供するために使用しているのであれば、企業の個人情報データベース等に該当することになり得ます(Q&A1-34)。
従業者が業務上使用している携帯電話等の電話帳に氏名と電話番号のデータが登録されている場合、特定の個人情報を検索できるように個人情報を体系的に構成されているといえるため、個人情報データベース等に該当すると解されます(Q&A1-35)。
2017年12月28日(木)12:15:改正個人情報保護法の施行により、内容面を一部修正・追加いたしました。
-
- 個人情報保護法、改正個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
- 改正前個人情報保護法:全面改正前の個人情報の保護に関する法律
- 施行令、改正個人情報保護法施行令:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律の施行に伴う関係政令の整備及び経過措置に関する政令(平成28年10月5日政令第324号)に基づく改正後の個人情報の保護に関する法律施行令
- 個人情報保護法ガイドライン(通則編)、GL(通則編):個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月30日個人情報保護委員会告示第6号)
- PC:「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集結果(個人情報保護委員会:平成28年10月5日)
- Q&A:「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(平成29年2月16日個人情報保護委員会)
弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー