暗号化しても個人情報は個人情報です

(1/1)
個人情報を取り扱う人のイラスト
ノートPCに入っている顧客名簿は暗号化してあるので大丈夫だという話を耳にしますが、どんなに強力なソフトを使って暗号化しても、顧客名簿ファイルは個人情報データベースであることに変わりはありません。

目次

暗号化と個人情報保護法

個人情報保護委員会のガイドラインによると、冒頭部分、すなわち個人情報の定義に関する解説で次のように述べています。
「個人情報」とは、生存する「個人に関する情報」であって、「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。)」(法第2条第1項第1号)、又は「個人識別符号が含まれるもの」(同項第2号)をいう。
「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。
このことから明らかなように、暗号化されていようが、されていまいが、個人情報が含まれているファイルの扱いには細心の注意を払わなければなりません。

個人情報データベースとは

個人情報保護法第2条第3項によると、「『個人情報取扱事業者』とは、個人情報データベース等を事業の用に供している者をいう」となっています。そして、個人情報データベースに含まれる個々の個人情報を個人データと定義し、過去6ヶ月間で5,000件以上個人データを保有している事業者に対し、さまざまな義務を課しているのです。では、個人情報データベースとは何でしょうか。

個人情報保護委員会のガイドラインによると、
個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物をいう。また、コンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順等)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものも該当する。
となっています。

具体例として、
  • 電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)
  • インターネットサービスにおいて、ユーザーが利用したサービスに係るログ情報がユーザーIDによって整理され保管されている電子ファイル(ユーザーIDと個人情報を容易に照合することができる場合)
  • 従業者が、名刺の情報を業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて入力・整理している場合
  • 人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合
をあげています。

名刺フォルダもアドレス帳も個人情報データベース

前述の顧客名簿ファイルが個人情報データベースであることは明らかですが、名刺フォルダに整理してある名刺も個人情報データベースです。
したがって、名刺フォルダをデスクの上に出しっぱなしにしているのは好ましい状態ではありません。退社時に、鍵のかかる引き出しに入れておくべきです。メーラーに入っているアドレス帳も個人情報データベースです。

ノートPCはもちろんのこと、携帯電話のアドレス帳も個人情報データベースですので、運用には注意が必要です。また、社員情報や入社応募してきた学生の情報も個人情報です。

個人情報の数は支社・支店も含めてカウントするので、顧客情報を加えれば、ある程度の規模の企業では、簡単に5,000件を突破すると思います。たとえ、あなたが保有している顧客情報が数十件だったとしても、企業全体としてカウントしますから、個人情報保護法に沿って運用しなければなりません。

参考URL

(通則編)]:個人情報保護委員会
(この項おわり)
header