これが保有個人データだ!

2005年02月06日

タイプミスを指摘してくれる人まで現れたので、次の説明をしていきましょう。
前回のお約束通り、「保有個人データ」に向けて説明開始です。

説明の順序としては
1. 個人情報
2. 個人情報データベース
3. 個人データ
4. 保有個人データ
というふうになります。

おっと、ここで読むのをやめてしまうとお先真っ暗ですよ。
さぁ、頑張っていきましょう。1. 個人情報
これは前回説明しました。なんでもかんでも個人情報!です。
この説明が正しい証拠として法律を抜粋しておきましょう。

第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

ねっ、正しかったでしょ。個人を特定できる情報ならなんでも個人情報です、ってことです。


2. 個人情報データベース

「個人情報をデータベース化したもの」

っていう説明じゃだめですか?

だめですよね。折角貴重な時間を使って読んで頂いているのでもうちょっと詳しく説明しておきましょう。「個人情報をデータベース化したもの」という説明でも70点くらいは貰えるとおもうのですが、注意点としては、この「データベース」ってものがコンピュータ上のデータベースだけではなく、紙媒体なども含んでいるってことです。紙媒体をデータベースと呼ぶのは違和感がありますが、目次・インデックスなどをつけて検索できるように整理された紙媒体はデータベースに含まれるという定義です。

私の説明だけじゃ不安という人もいるでしょう。法律で確認しましょう。

第二条
2 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。
 一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
 二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの


大丈夫ですね。私の説明と矛盾がありませんよね?
ここでちょっと皆さんの身の回りの個人情報データベースを考えてみてください。
私の周りには

・名刺入れ(五十音順に整理しています)
・メールのアドレス帳(取引先や部門ごとなどに整理しています)

などがあります。ITエンジニアなのにコンピュータ上のデータベースは扱っていないのか、というツッコミはご遠慮ください。(笑)

個人情報保護を少し知っている人ならこれらが個人情報データベースだとすると後々非常に怖いことになりそうな気がしませんか?
個人情報を取得したら月次で保有件数を台帳に記録しろ、と会社で言われている人も多いのではないでしょうか?名刺をもらったり、メールアドレスを登録しただけで台帳に記録することを求めているのでしょうか?それらは意味のあることでしょうか?

ここで重要なお知らせがあります。

でもこれはかなり反対意見が出てくるかもしれません。このような場で発言すべき内容ではないかもしれません。はっきり言って不安です。でも言うべきだと思っています。

「複数の人から容易に検索できるもののみが個人情報データベースである」

あぁ〜、言ってしまった。

個人情報保護の権威ある人にこっぴどく怒られはしないだろうか。
いや、読んでる人もあきれかえってしまうのではないだろうか。
こんなこと誰も言ってませんし、私の勝手な解釈です。

でもこれ絶対必要な定義だと思うんです。

個人情報保護の本質的な意味って、別にやたらと管理業務を増やすことではないんです。個人情報を提供する本人と、取得して利用する側の合意とその合意に基づく利用が重要なんです。そもそも個人情報は提供してあるサービスを受けるということは非常に便利なことで産業の発展に寄与してくることだと思います。その一方で情報の利用が本人のコントロール外(目的外利用や情報漏えいなど)であるとプライバシーの侵害になります。そのための仕組みが個人情報保護です。私の名刺を受け取った人も台帳に記録する必要はないし、私もそんなことはしません。ただ施錠して保管して欲しいですけどね。

そうなんです、施錠できるってのがポイントです。紙媒体であれば自分しか開錠できないところに名刺を保管する。アドレス帳開くまでにパスワードが必要な状態にしておくなど。
そうしておくことによって「複数の人から容易に検索できない」状態にしておけば、個人情報データベースに該当しないことになります。私の理論では...

「やっぱり、お前だけの理論か」

いやいや待ってください。実は私にはつよーい見方がおります。ちょっと安心しましたか?

経済産業省は個人情報保護のガイドラインのなかで個人情報データベース等に該当する例として

「従業員が、名刺の情報を業務用パソコンの表計算ソフト等を用いて入力・整理し、他の従業員等によっても検索できる状態にしている場合」

という事例を紹介しています。言い換えれば他の従業員によって検索できなければ個人情報データベースに該当しないということです。名刺入れを机の上に置いている人は施錠できる場所に移動させてください。または台帳つけるか...

この経済産業省のガイドラインは非常に分かりやすくて、事例も多く掲載されているため具体的で読みやすいので、私も何かにつけて参照しています。金融庁や総務省、厚生労働省なども独自のガイドラインを出していますが、金融・通信・放送・医療などのセンシティブ情報を扱うために非常に厳しくなっています。もちろん該当分野の個人情報を扱う場合はそれぞれのガイドラインに従う必要がありますが、一般的な事業においては経済産業省のガイドラインを参照するのがベストではないかと思います。

でも皆さん、このガイドラインを読むときもちょっと注意してください。悪い言い方をすると所詮お役所が作ったガイドラインですので、一般企業の実態とかけ離れている部分があります。そんなところは軽く笑って読み飛ばす精神的余裕が必要です。

ではちょっと笑ってみましょう。

同じく個人情報データベース等に該当する例として

「電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)」

という事例があります。名刺のほうが圧倒的に情報量は多いのに、アドレス帳は他人が検索できるかどうかを議論せずに個人情報データベースと決めてかかっています。どうやら経済産業省は省内でアドレス帳を共有するすばらしい仕組みがあるのか、アドレス帳を開くまでにPCのログインやメールソフトの起動などでパスワードをかけていないのか、どちらかです。皆さんの会社はそんなことないはずです。この事例が先頭に載っているのでちょっとびっくりしますが、笑い飛ばしましょう。

ついでにもうひとつ、個人情報データベース等に該当しない例として

「従業員が、自己の名刺入れについて他人が自由に検索できる状況に置いていても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合」

なんてことですか。皆さん絶対そんなことしないでください。独自の分類方法がどんなものかしりませんが、個人情報を簡単に他人に見れる状態にしておくのはプライバシーの侵害にあたる可能性大です。


だいぶん、安心してきたのではないですか?
そろそろ大きな声で言ってもいいんじゃないですか?
言っちゃいましょうか?

「複数の人から容易に検索できるもののみが個人情報データベースである」

断言です。

この定義を悪用してWebサイトの管理者が僕だけだから、そこでコンシューマが入力した情報は個人情報データベースではない、っていう言い訳はダメですよ。あくまで管理者本人が自分で収集・入力して、自分だけが利用する場合のみです。


ようやく納得いくまで個人情報データベースの説明ができました!

皆さんも疲れたんじゃないですか?

あと「個人データ」と「保有個人データ」の定義が残っていますが、どうします?
もちろんこの2つもその意味を理解しておかないと前に進めないので説明しますが、今日はこのくらいにしてまたまた次回にしませんか?
たぶん一番大きな山は今日の個人情報データベースなので次回は、残り2つ一気に説明できるでしょう。

お疲れ様でした。
posted by CISO見習い at 14:35 | Comment(0) | TrackBack(0) | 個人情報保護




この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

この記事へのTrackBack URL
http://blog.seesaa.jp/tb/5625146
ほっとけない 世界の貧しさ
当サイトでは頂く「トラックバック」は 訪問して頂いた方にとても、大変お役に立つ情報であると考えています。 そのため、記事に少しでも関係のある物に関しましては大歓迎ですが
■記事と全く関連がないと判断される物
■「宣伝」「誘導」を目的とした物

これらに該当すると判断される「トラックバック」つきましては「削除」させて頂いておりますのであらかじめご了承下さい。 同様に「宣伝と判断されるコメント」も削除させて頂きます。



これだけは知っておきたい個人情報保護
岡村 久道 鈴木 正朝
日本経済新聞社 (2005/01)
売り上げランキング: 3,036
おすすめ度の平均: 4.39
4 とりあえず本
4 フレームワークを知るには良い本
5 「これで十分!!」
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。