やっと保有個人データ

2005年02月13日

前回の続きで

3. 個人データ
4. 保有個人データ


を説明していきます。

これでようやく言葉の定義ができあがりですね。3. 個人データ

これは簡単です。

「個人情報データベースの1件1件のデータのこと」

でいいんじゃないですか。一応法律確認しておきましょう。

4 この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

異論のないところでしょう。「個人情報」と「個人情報データベース」を忘れてしまった人は前回のを復習してくださいね。今後も出てきますよ。

注意点としては個人情報データベースからデータを取り出して、バックアップしたものや印刷したものも「個人データ」である、という点です。

逆に、個人情報データベースに入力する前の帳票などは、「個人情報」ですが「個人データ」ではありません。


4. 保有個人データ

ようやくここまできました。
そろそろ言葉でその意味を推測できるようになってきたのでは?

「保有している個人データ」

そのままなのですが、「保有している」というのがこの場合難しいです。
法律を見てその難しさを実感してください。

5 この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。

ゆっくり説明していきましょう。

まずは、「個人情報取扱事業者」ですが、これも難しい定義はありますが、「うちの会社は何か個人情報データベース持ってるよなぁ」って思ったら、あなたの会社は個人情報取扱事業者だと思って間違いありません。

「開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限」っていう部分ですが、会社は本人からいろんな問い合わせを受けて対応しますよね。

「先月登録したんですが、メルマガ届きません。どのように登録されているか確認したいんですけど。」

「引越ししたので住所変更してくださーい」

「なんかメルマガ面白くないのでもういらないです」

皆さんちゃんと対応してますよね?しなきゃだめですよ。
そもそも企業が収集した個人データって、企業のものではなく、本人のものですよ。本人が確認したり、訂正したりするような手段を与えるのは企業として当たり前なんです。

「じゃなんで"権限"なんていうんだよ」

確かに。個人データ=保有個人データのように聞こえてしまいます。

個人データであって、保有個人データでない例を理解すると簡単です。

ある企業(委託者)からあなたの会社(受託者)がシステムの開発・運用受託を請け負ったとします。分かりやすいので期間限定のキャンペーンのシステムとしましょう。
エンドユーザは委託者が行っているキャンペーンに応募します。受託者の会社のことはどこにもユーザには見えません。

この場合、さきほどの開示・訂正などの権限はどちらが持っていますか?

分かんないですよね。

本来的には当初に委託者・受託者で決めておくべきです。そうすればその契約書や覚書などに書いてありますからそれを見れば分かります。別にどちらがその権限を持っていてもいいです。最近は法律施行を前にして契約書や覚書などを締結する例が増えてきているのでいい兆候です。

じゃ、決めていないときは?

受託者は本人から問い合わせがあっても勝手に開示したり、個人データを訂正したりしてはいけません。委託者に確認してから行いましょう。

分かりましたよね。あなたの会社(受託者)は委託者との取り決めや指示がない限り、開示・訂正などができないので、「権限がない」のです。
つまりその場合、受託者にとっては個人データあっても保有個人データではない、ということになります。委託者にとっては個人データであり、かつ保有個人データでもあります。いいですよね。

これまでで9割方説明終わりです。


一応全部説明すると、

「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」

あまり関係ありません。普通の企業で該当するとすれば
・総会屋
・悪質なクレーマー
の個人データくらでしょうか。

えっ、関係あるって?
大変な仕事されてるんですね。個別にご相談にのりますよ。

おっと、大事なことが残ってましたね。あと1割。

「一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。」

その政令とは

「法第2条第5項の政令で定める期間は、6月とする。」

ホントですか。いいんですか。

やりましたね。6ヵ月以内に消去する予定の個人データは保有個人データではありません。

皆さん、なぜ私が「個人情報を削除するタイミングを決めておけ」っていうのか分かりましたか。

正確に言うと

「個人データを消去する日時をあらかじめ決めておいて、それが6ヶ月以内なら、当該個人データは保有個人データとはならないため....」

くどくど説明はいいですよね。削除するタイミング決めておけばいいんです!


ようやく、言葉の定義終わりましたね。
他にも色々定義がありますが、この4つをしっかり覚えていれば大丈夫です。別に弁護士になるわけでもありませんからね。

この4つの定義は分かったとして、意味するところはどんなところでしょう?
次回ちょっとまとめてみますね。実はそれが個人情報保護の核心だったりするので。
posted by CISO見習い at 00:05 | Comment(0) | TrackBack(0) | 個人情報保護




この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

この記事へのTrackBack URL

ほっとけない 世界の貧しさ
当サイトでは頂く「トラックバック」は 訪問して頂いた方にとても、大変お役に立つ情報であると考えています。 そのため、記事に少しでも関係のある物に関しましては大歓迎ですが
■記事と全く関連がないと判断される物
■「宣伝」「誘導」を目的とした物

これらに該当すると判断される「トラックバック」つきましては「削除」させて頂いておりますのであらかじめご了承下さい。 同様に「宣伝と判断されるコメント」も削除させて頂きます。



これだけは知っておきたい個人情報保護
岡村 久道 鈴木 正朝
日本経済新聞社 (2005/01)
売り上げランキング: 3,036
おすすめ度の平均: 4.39
4 とりあえず本
4 フレームワークを知るには良い本
5 「これで十分!!」
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。