【初心者向け】個人情報保護法の構成と言葉の定義

どんなことが書いてあるの?

この法律には、個人情報を使う側が守るべきルールと、使われる側が実施できる権利について書かれています。

実は個人情報保護法は3種類あって、みなさんがご存じの個人情報保護法のほかに、対象に応じて独立行政法人等個人情報保護法、行政機関個人情報保護法が存在していました。
”存在していました”と過去形なのは、2022年4月1日からこの3種類が一つの法律に統合されたからです。

この統合により、法律の条番号がガラっと変わりました。
企業等で書類に法律の条番号を入れている場合は要注意です。

大まかな構成を知ろう

この法律の構成をざっくりとした固まりで分けると、

  • 法律の目的やでてくる言葉の説明
  • 民間の企業等が個人情報を取り扱う際のルールの説明
  • 行政等が個人情報を取り扱う際のルールの説明
  • 個人情報保護委員会の業務内容等の説明

という感じです。
企業等が個人情報を取り扱う際のルールについては、私たちの生活にも関わる部分が多いので理解しておくとよいでしょう。

言葉の定義を知ろう

法律ではもう少し細かい言葉の定義がありますが、当サイトでは特に知っておいていただきたい言葉の定義をご紹介します。

個人情報

  • 生存している個人が対象
  • 特定の個人を識別するような情報を指す

この法律では、個人情報として保護すべき対象を生存している個人に関する情報としています。
死者は保護の対象とならないのですが、死者の情報が遺族などの生存する個人を特定するような場合、生存する個人に関する情報となります。

個人情報だよね、と迷わず判断できるのは「氏名」だと思います。
氏名が分かるようなメールアドレスも個人情報になります。
また、Aさんに対してつけた固有の番号についても、他の情報と紐づけた場合にAさんであることが確認できる場合は個人情報になります。
生存している個人を特定できるような情報は個人情報になっちゃいますよ、ということです。

個人情報から判別(識別)される特定個人のことを、個人情報保護法では本人と言っています。

個人情報データベース

  • 個人情報が集まったもの
  • 個人情報を検索しやすいようにしたもの

個人情報データベースは、パソコンへデータ化したもののほか、名刺交換で収集した名刺を名刺フォルダへ順番にならべて見つけやすいようにした場合なども該当します。個人情報が集まったものが対象となるので、例えばもらった名刺を1人だけ持っている、というような場合は個人情報データベースにはなりません。

個人情報取扱事業者

  • 個人情報データベースを一定の目的で継続的に使っている
  • 営利・非営利を問わない

個人情報保護法では、法律で書かれているルールを守るべき対象を民間と行政で分類し、民間でルールを守る対象となる者のことを個人情報取扱事業者と呼んでいます。

商売をやっていて顧客リストを持っています、というケースについては個人情報取扱事業者としてイメージしやすいかと思います。
ここで注意したいのは、営利・非営利を問わないということ。商売で個人情報を取り扱いしている場合だけが対象となるワケではないのです。
例えば、同窓会名簿を管理してます、というケースも個人情報取扱事業者に該当します。

以前は5,000人以下の個人情報を取り扱いしている事業者は対象外でしたが、現在は5,000人以下であっても法律で書かれているルールを守る必要があります。

個人データ

個人情報取扱事業者が管理する「個人情報データベース等」を構成している個人情報のこと

個人情報データベース等から抽出してプリントアウトした個人情報などが該当します。
個人情報データベースを作る前段階にある入力用の紙に書かれた個人情報の場合だと、個人データには該当しないらしいです。
個人データではないけど、個人情報ではある。。分かりにくいですね。

保有個人データ

本人または本人の代理人から開示・訂正・追加や削除・停止等の要望を受けた際に、個人情報取扱事業者が応じる対象としているデータのこと

別の記事でご紹介しますが、本人(私たちのように個人情報を利用される側)は個人情報取扱事業者に対し、保有している個人情報の開示等を求めることができます。
保有個人データとは、私たちが個人情報取扱事業者に対し、情報の開示や訂正等を求めることのできる情報のことをいいます。

情報のありなしを明らかにすることで違法な行為などを助長してしまうようなものについては、開示や訂正等を請求できる対象になりません。