「個人情報保護法では,対象とする情報によって負うべき義務が異なる。個人情報すべてに対して,安全管理措置や開示の法的義務があるわけではない」――。三菱総合研究所 情報環境研究本部 情報通信政策研究部 情報セキュリティチーム リーダーの松尾正浩主席研究員は8月25日,シマンテックが開催したワークショップにおいて,個人情報保護法について講演した。以下,同氏の講演内容の一部をまとめた。
個人情報保護法については,その理念は理解しているものの,具体的に「どのような情報が保護対象になるのか」や「どう保護すればよいのか」を分かっていないケースが少なくない。個人情報保護法を理解するためのポイントの一つは,保護の対象となる情報の種類によって,企業が負う義務が異なることを知ることだ。
個人情報保護法において保護対象となる情報には,以下の3種類がある。まず,特定の個人を識別できる情報(他の情報と照合することで識別できる情報を含む)が「個人情報」である。そして,検索できるように体系的に個人情報を構成したもの(データベースなどにしたもの)が「個人データ」となる。
個人データのうち,その企業(個人情報取扱事業者)がデータの開示や内容の訂正をする権限を持ち(その企業が収集した情報であり,委託などで預かっている情報ではないということ),なおかつ保有する期間が6カ月以上のものを「保有個人データ」と呼ぶ。つまり,(企業が保有するすべての情報)>(個人情報)>(個人データ)>(保有個人データ)の関係になっている。
「個人情報」「個人データ」「保有個人データ」のいずれであるかによって,企業が法的に負う義務は異なる。具体的には,開示や利用停止などの義務を負うのは,保有個人データについてだけだ。データの安全管理(安全管理措置)が法的に義務付けられているのは個人データ(保有個人データを含む)で,個人情報には義務付けられていない。
実際には,これらを混同している人は少なくないようだ。「もらった名刺も開示請求があれば見せなければいけないのか」といった質問を受けたことがある。もちろん,道義的な責任と法的な義務は別である。個人データであっても,要求があれば開示したほうが顧客のためである。また,データベース化していない個人情報には安全管理措置の法的義務はないが,企業としてはきちんと管理すべきだ。
とはいえ,「保護対象の情報には3種類あり,種類によって法的義務が異なる」ことを知っておくことは,個人情報保護法を理解するためには重要である。
(勝村 幸博=IT Pro)
