個人情報データベースとは?具体例まで解説します!
近年の企業活動において、情報の価値は非常に高く、特に個人情報は厳密に保護される必要があります。一概に個人情報といっても何が個人情報に該当するのか、個人情報データベースとは何を指すのか、正しく理解している人は意外にも少ないかもしれません。
そこで本記事では、個人情報データベースとはどういったものなのか、具体例を交えて解説いたします。
目次
個人情報データベースとは何か?
個人情報データベースとは、簡単に説明すると、個人情報を含む情報が体系化されたものの総称です。
改正後の個人情報保護法では、以下のように定義されています。
“個人情報データベース等とは、個人情報を含む情報の集合物であり、
(1)特定の個人情報をコンピューターを用いて、検索できるように体型的に構成されたもの
(2)コンピューターを用いなくても、個人情報を五十音順などの一定の規則に則って整理し、特定の個人情報を簡単に検索可能なように体型的に構成されたもの”
つまり、紙媒体で保存していたとしても、名前順などで名簿を作成していたり、付箋などで特定の情報を簡単に見つけ出せるようにしている場合は、個人情報データベースに該当します。
個人情報保護法改正の影響
2022年の個人情報改正にあたり、一部情報が「個人情報データベース等」に該当しないことになりました。改正の背景には、市販の電話帳やカーナビ内のデータが関連しています。
市販の電話帳やカーナビ内に存在する氏名や住所などのデータは「個人情報データベース等」の定義に該当しますが、これらが市販されている時に使用する分には、もしその情報が漏洩したとしても個人の権利利益が侵害されることはほぼほぼありません。
しかし改正前の個人情報保護法では、「個人情報データベース等」も定義に該当してしまうため、それを構成する「個人データ」に関しても安全管理措置を要求していました。先述のように形式的にしか該当していないにもかかわらず、個人データにも安全管理措置などを要求することは取り扱い事業者の過度の負担になります。
そのため、改正後の個人情報保護法においては、電話帳やカーナビについて以下の条件を満たすときは、適用除外されるようになりました。
利用目的から判断して個人の権利利益を侵害する可能性がないものとして、
⑴不特定かつ多数のものに販売することを目的に発行されたものであり、その発行が法または法に基づく命令の規定に違反していないこと
⑵不特定かつ多数のものが随時購入することができるまたはできたものであること
⑶生存する個人に関する他の情報を加えることなく本来の用途に供したものであること
上記3つの条件を満たす場合は、適用除外となります。
個人情報データベース内で用いられる情報とそれぞれの違い
そもそも個人情報データベースで扱われる個人にまつわる情報は以下の三つに区分されます。
【個人情報】
生存する特定の個人を識別可能かつ個人識別符号が含まれているもの
例)氏名・生年月日や連絡先・特定の個人を識別可能にする映像や録音データなど
DNAの配列・発声時の声帯振動・パスポート番号など
【個人データ】
個人情報の中でも、特定の個人情報を検索可能なように体系的にまとめられたもの
例)名刺を50音順で管理してまとめたデータ・50音順で整理しまとめられた住所データなど
【保有個人データ】
個人データの中でも、個人情報取扱事業者に開示・訂正・追加・消去・利用停止・提供の停止の権限が与えられており、6ヶ月以上保有されているもの
※注意点
上記に該当する場合においても、保有期間が6ヶ月に満たないものやいかに該当するデータは保有個人データではないので注意が必要です。
・指名や身体などに危害を及ぼす可能性があるもの
・違法行為を助長・誘発する可能性があるもの
・国家の安全を脅かす、また他国や国際機関との関係性を損なう可能性があるもの
・他国や国際機関との交渉に不利になる可能性があるもの
・公共の安全と秩序の維持に支障をきたす可能性があるもの
個人情報データベースの具体例
先述の通り個人情報データベースは個人情報を含むデータを体系的に管理されたものの総称を指します。
紙媒体で管理しているような履歴書をもとに作成した従業員名簿や取引先の一覧、アドレス帳などが具体例として挙げられます。
また紙媒体以外でも、スマートフォンやパソコンなどの電子機器や固定電話・FAX(複合機)なども該当します。
そしてこちらも上記で情報の検索が可能でも、個人の権利利益を侵害する可能性が低いものに関しては個人情報データベースから除外されると説明しました。
しかし注意が必要なのは、個人情報データベースに該当しない市販の電話帳や住宅地図でもメモ書きを加えたり、限られた特定の人のみに販売したりするものに関しては個人情報データベースに該当してしまうことです。
あくまで、市販されているものは対象外になるということではなく、個人の権利利益を侵害するかしないかが判断基準になることを理解しておきましょう。
まとめ
いかがでしたか?
本記事では、個人情報データベースに関して、取り扱うデータの違いや注意点などを解説しました。
各データは取り扱い上のルールも違ってくるため、適正に保管するためにもそれぞれの違いについてしっかり理解した上で扱いましょう。
個人情報データベースを管理する上で、不安を抱えていらっしゃる事業者様は、コンサルティング会社へ相談してみることもおすすめします。
株式会社UPFでは、数多くの企業様の個人情報管理に関してサポートしてきた実績があります。
要配慮個人情報に関してお悩みの企業様・ご担当社様は、Pマーク取得の実績No.1のコンサル会社UPFまでどうぞお気軽にお問い合わせください。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]
