ぃぇぁ!ソフトウェア・エンジニアーのかずです!!
法律についての専門教育を受けた事は無いので、軽い気持ちで読んでね。

ソフトウェア・エンジニアリングではときに法律の知識が必要になるものなので、 そこで得た知識をまとめて公開することによって、さらに詳しい人から訂正とかくると良いなという企画です。

※知識を手に入れる事は大切ですが、困ったときは専門家に相談してください。

お題

今回はいわゆる個人情報保護法から、個人情報取扱事業者の定義をまとめます。

平成十五年法律第五十七号 個人情報の保護に関する法律から、第二条 第4項, 第5項です。

前提知識として前回の個人情報の定義が必要なので、適時ご参照ください。

条文

第二条

  • 4 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
    • 一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
    • 二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
  • 5 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
    • 一 国の機関
    • 二 地方公共団体
    • 三 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等をいう。以下同じ。)
    • 四 地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。以下同じ。)

(整形のためにリスト化しています。)

ソースコードは大事です。
わからなくなったらここに戻ってきましょう。

第二条 第4項 個人情報データベース等

4 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。

「個人情報データベース等」という用語が新たに定義されています。

個人情報を 含む 情報の集合物が「個人情報データベース等」なので、個人情報以外も入っていることがわかります。

そして個人情報を含めば全てではなく、特定のものだけだ書かれています。
具体的には以下の号で書かれています。

第二条 第4項 第1号

一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

これはデータベースやSpreadsheetなどのことですね。
もちろん他の方法で保存されていても検索さえできればここに含まれることになります。

我々が扱う個人情報が紙ということは稀なので、基本的には個人情報が入っているものは「個人情報データベース等」ということで良さそうです。

第二条 第4項 第2号

  • 二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

第1号以外ということなので、電子計算機を用いていないものが入っていそうです。

平成十五年政令第五百七号 個人情報の保護に関する法律施行令の第三条 第2項に書かれています。

(個人情報データベース等)
第三条

  • 2 法第二条第四項第二号の政令で定めるものは、これに含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。

容易に検索できれば「個人情報データベース等」ということになります。

どのようなものが想定されているのかガイドラインを見ていきましょう。

  • 人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合

紙の資料のファイリングなどで、探しやすいものを指すようです。

該当しない事例としては以下のようなものが書かれています。

  • 従業者が、自己の名刺入れについて他人が自由に閲覧できる状況に置いていても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合
  • アンケートの戻りはがきが、氏名、住所等により分類整理されていない状態である場合

政令で定めるものを除く

第4項の本文に戻ります。

(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)

今まで見てきた第1号・第2号に該当した場合でも、政令でさらに対象外に指定されているものがあるとされています。
平成十五年政令第五百七号 個人情報の保護に関する法律施行令の第三条 第1項に書かれています。

(個人情報データベース等)
第三条

  • 法第二条第四項の利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものは、次の各号のいずれにも該当するものとする。
    • 一 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。
    • 二 不特定かつ多数の者により随時に購入することができ、又はできたものであること。
    • 三 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。

これは1から3までの号全てに該当したもの限定です。
ガイドラインの例では以下のように書かれています。

  • 市販の電話帳、住宅地図、職員録、カーナビゲーションシステム等

市販の電話帳はもとの法律文だと「個人情報データベース等」ですが、この政令によって「個人情報データベース等」ではなくなっています。

ただし、あくまでこれらが「個人情報データベース等」では無いというだけで、中に入っている情報は「個人情報」のままだということに注意が必要です。

個人情報ではなくなる要件は個人情報の回を参照してください。

第二条 第5項 個人情報取扱事業者

タイトルの「個人情報取扱事業者」です。

5 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。

「個人情報データベース等」について確認してきた理由はここにあります。
「個人情報」を取り扱っているかどうかではなく、「個人情報データベース等」を取り扱っているかどうかで決まるんですね。

つまり、市販の電話帳を取り扱っている場合「個人情報」は取り扱っていることになりますが、「個人情報取扱事業者」 ではない ということになります。

事業の用に供している者

この表現が法律以外ではあまり見ない表現なので、我々のような門外漢だと都合よく解釈しがちな気がします。

そんなときのガイドラインを確認してみます。

  • ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問わない。

お金をもらっていなくても、なにか目的を持って継続的に作業している場合は事業とのことです。

  • また、個人情報データベース等を事業の用に供している者であれば、当該個人情報データベース等を構成する個人情報によって識別される特定の個人の数の多寡にかかわらず、個人情報取扱事業者に該当する。
  • なお、法人格のない、権利能力のない社団(任意団体)又は個人であっても、個人情報データベース等を事業の用に供している場合は個人情報取扱事業者に該当する。

法人でなくても、扱っている件数が少なくても個人情報取扱事業者ですよとのことです。
働く上ではボーダーライン間際には関わらなさそうですが、趣味でのプログラミングには注意が必要ですね。

次に掲げる者を除く。

こちらは4つほど挙げられていますが、国や地方自治体を除くという内容なのであまり意識する必要はないかと思われます。

行政機関の個人情報の取り扱いについては別の法律が定められており、共同開発する時には別途勉強が必要になりそうです。

まとめ

  • 個人情報取扱事業者は個人情報データベース等を事業のために取り扱う事業者
  • 個人情報データベース等は法律用語

今回も個人情報取扱事業者になったら何をしないといけないのかなどは出てこないまま終わってしまいました。

今後義務や責任などについては取り扱うのですが、長すぎて大変なので今日はここまで。