企業の疑問に答える? 経産省が個人情報保護法についての「ガイドライン」公表(ITMedia)
経済産業省から、「個人情報保護法についてのガイドライン」(PDFファイル)が発表されました。7月14日までパブリックコメントを募集するそうです。
個人情報保護法が成立して企業は個人情報の管理の厳格化しないと刑事罰や行政指導の対象になることになりましたが、実務側からは「何をどうすれば責任を果たしたことになるのか分からない」「そもそも『個人情報』って何を指すんだ!?」等の疑問の声が出ていたようです。今回のガイドラインの公表で、その少なくともいくつかの部分が明らかになるでしょう。
では、中身を見ていくことにします。
- 「個人情報」(法2条1項関連)
- 「個人情報」に該当するもの
- 本人の氏名
- 生年月日、連絡先(住所・居所・電話番号)、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報
- 防犯カメラに記録された情報等本人が判別できる映像情報
- 特定の個人を識別できるメールアドレス情報(所属と名前が分かるようなメールアドレスを含む)
- 特定個人を識別できる情報が記述されていなくても、周知の情報を補って認識することにより特定の個人を識別できる情報
- 雇用管理情報(会社が社員を評価した情報を含む。)
- 個人情報を取得後に当該情報に付加された個人に関する情報(取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、又は照合された結果、生存する特定の個人を識別できた場合は、その時点で個人情報となる。)
- 官報、電話帳、職員録等に公表されている情報
- 個人情報に含まれないもの
- 企業の財務情報等、法人等の団体に関する情報(団体情報)
- 記号や数字等の文字列だけから特定個人の情報であるか否かの区別がつかないメールアドレス情報(ただし、他の情報と容易に照合することによって特定の個人を識別できる場合は、個人情報となる。)
- 特定の個人を識別することができない統計情報
- 「個人情報データベース等」(法2条2項、個人情報の保護に関する法律施行令第1条関連)
- 「個人情報データベース等」に含まれるもの
- 電子メールソフトに保管されているメールアドレス帳
- ユーザーIDとユーザーが利用した取引についてのログ情報が保管されている電子ファイル
- 社員が、名刺の情報を業務用パソコン(所有者を問わない。)に入力し、他の社員等も検索できる状態にしている場合
- 人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合
- 氏名、住所、企業別に分類整理されている市販の人名録
- 「個人情報データベース等」に含まれないもの(注:上の「個人情報」には当たるので注意)
- 社員が、他人には容易にわからない独自の分類方法により名刺を分類した状態である場合
- 未整理のアンケートの戻りはがき