年々個人情報の取扱いには事業主も消費者も敏感になっていますね。日々、個人情報の流出問題がメディアでも騒がれていますが、この度マイナンバーの施行でさらに個人情報の取扱いには一層気をつけるべき時代にもなりました。そこで今回は今更聞けない個人情報の取扱い方法として、知っておくべき基礎を紹介したいと思います。
そもそも個人情報とは
個人情報とは、個人に対する情報のことで生存している個人であること、特定の個人を識別することができる情報です。会社の住所や取引内容といった法人情報は、個人情報ではありません。個人情報は、「氏名、生年月日により」「他の情報と容易に照合することができ、それにより特定の個人を識別することとなるものを含む」としています。
例えば、メールアドレスだけは個人情報としては扱われません。ただし、そのメールアドレスに名前が入っていたり、メールアドレスと一緒に会社名と名前が一緒に記載してある場合は個人情報になります。つまり、情報単体ではなく誰かを特定できる情報が個人情報となります。
5,000人以上の個人情報を保有している場合
一企業が個人情報を5,000人以上所有している場合は、個人情報取扱事業者となり、個人情報保護法という法律の規制対象になります。
例えばエステ店をチェーン展開している場合、1店舗あたり個人情報の数が5,000人以下でもあっても、そのエステ店チェーンを運営している会社や企業が1つであれば、その会社または企業が持っている個人情報となりますので個人情報保護法の対象です。注意しましょう。
5,000人の個人情報の定義とは
ではそもそも5,000人以上の個人情報を所有している場合の定義とはどのような場合でしょうか。それは、個人情報を体系的に管理または整理されている状態であれば個人情報を保有している。となります。体系的とは、その会社や企業が持つデータベースやプラットフォーム上に保存され管理されていることです。
逆に個人情報として5,000人にカウントされない場合は「個人情報数の合計が過去六月以内のいずれの日においても五千を超えない者とする。」と定めれている通り、6ヶ月以内に削除するデータは「一過性の利用」のため個人情報保護の対象にはなりません。
個人情報保護法の規制対象になると、その管理方法や目的などについて国から様々な義務が課せられます。事業を始めて軌道にのってきたなどして5,000人に到達しそうな場合はその義務をスムーズに行うために事前に知っておいた方がよいでしょう。