西山

個人情報データベースとPマーク


 

プライバシーマーク(Pマーク)の規格であるJIS Q 15001においては聞き慣れないかもしれませんが、個人情報保護法に出てくる用語として「個人情報データベース」というものがあります。

「個人情報データベース」とは何でしょうか? プライバシーマーク(Pマーク)の運用にもかかわるこの点を今回は考えてみましょう。

 

「個人情報データベース」とは?

個人情報保護法第2条で個人情報データベースが定義されていて、そこては「個人情報を含む情報の集合物」が個人情報データベースであると定義づけられています。

とはいえ「個人情報を含む情報の集合物」のすべてが個人情報データベースに当たるのではなく、次の要件を満たすものだけが個人情報データベースとされています。

特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

この定義によれば、個人情報をまとめ、検索できるように整理したものが個人情報データベースに該当するということが理解できます。

 

媒体は問わない

おそらくほとんどすべてのプライバシーマーク(Pマーク)取得会社が何らかの形で個人情報データベースを保有しているのではないでしょうか。

個人情報データベースには電子データの個人情報で構成されたものが含まれます。また紙に記入または印字された個人情報で構成されたものも要件に合致する限り個人情報データベースに該当します。

 

個人情報データベースに含まれるもの

個人情報データベースに含まれるものの具体例を考えてみましょう。

紙媒体のものでいえば、顧客の情報が記載された帳票をファイリングし、あいうえお順に並べてインデックスをつけたものは個人情報データベースに該当します。電子データではありませんが、容易に検索できるように体系化されているからです。

プライバシーマーク(Pマーク)取得会社がWebサイトを運営している場合で、ユーザー情報とログ情報が紐づけられているデータベースを管理している場合、それも個人情報データベースに該当します。

従業員に関する個人情報(たとえば氏名や住所など)がエクセルなどで一覧にされている場合も個人情報データベースとみなされます。

 

個人情報データベースに含まれないもの

逆に個人情報であっても、容易に検索できるように体系的に整理されていないものはデータベースに該当しません。

顧客や取引先の名刺を個々の社員が持っているものの体系立ててファイリングされていないような場合は個人情報データベースではありません。個人情報ではありますが、容易に検索したり更新したりできないためです。

また一般に向けて販売する目的で発行された個人情報の集合物は個人情報データベースの定義外とされています。電話帳などがそれに該当します。

 

個人情報データベースは単なる個人情報に比べて保護の必要性が高いといえます。プライバシーマーク(Pマーク)取得会社として自社が保有する個人情報データベースを把握し、適切に管理することが大事です。

・こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 西山