暗号化しても個人情報は個人情報です

ノートPCに入っている顧客名簿は暗号化してあるので大丈夫だという話を耳にしますが、どんなに強力なソフトを使って暗号化しても、顧客名簿ファイルは個人情報データベースであることに変わりはありません。

暗号化と個人情報保護法

経済産業省のガイドラインによると、冒頭部分、すなわち個人情報の定義に関する解説で次のように述べています。

「個人情報」とは、生存する「個人に関する情報」であって、特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。）をいう。「個人に関する情報」は、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書き等の属性に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化されているかどうかを問わない。

このことから明らかなように、暗号化されていようが、されていまいが、個人情報が含まれているファイルの扱いには細心の注意を払わなければなりません。

個人情報データベースとは

個人情報保護法第２条第３項によると、「『個人情報取扱事業者』とは、個人情報データベース等を事業の用に供している者をいう」となっています。そして、個人情報データベースに含まれる個々の個人情報を個人データと定義し、過去6ヶ月間で5,000件以上の個人データを保有している事業者に対し、さまざまな義務を課しているのです。

では、個人情報データベースとは何でしょうか。
経済産業省のガイドラインによると、

「個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物、又はコンピュータを用いていない場合であっても、カルテや指導要録等、紙面で処理した個人情報を一定の規則（例えば、五十音順、年月日順等）に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものをいう。

となっています。
具体例として、

電子メールソフトに保管されているメールアドレス帳
ユーザーＩＤとユーザーが利用した取引についてのログ情報が保管されている電子ファイル
社員が、名刺の情報を業務用パソコン（所有者を問わない。）に入力し、他の社員等も検索できる状態にしている場合
人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合
氏名、住所、企業別に分類整理されている市販の人名録

をあげています。