第７回　個人情報保護法(２)

弁護士　尾　崎　宏　明

１　はじめに

以前、個人情報の保護に関する法律（以下「個人情報保護法」といいます）についてその概略をお伝えしましたが（第554号参照）、今回は個人情報保護法の規定についてより具体的にお伝えしたいと思います。

２　個人情報保護法の適用される事業者とは

個人情報保護法は全ての事業者に適用されるわけではなく、個人情報の取扱の少ない事業者には適用されません。個人情報保護法は、個人情報をデータベース化している（必ずしもコンピュータで処理されたものに限らず、一定の規則（五十音順、年月日順など）に従って整理されていれば足ります）事業者で過去６か月以内にこれらの個人情報を5000人分以上保有する者に適用されることとなります。ただ、5000人の中には顧客だけでなく従業員も含まれますので注意が必要です。

３　個人情報保護法にいう「個人情報」とは

また、そもそも、個人情報保護法にいう「個人情報」とは、生存する個人に関する情報であって、特定の個人を識別できるもの、または、それ自体では特定の個人を識別できなくても、他の情報と容易に照合でき、それにより特定の個人を識別できるものを言います。

この定義によれば「個人情報」の範囲は相当に広く、「個人情報」には、一般に他人に知られたくないような情報（資産状況、病歴など）だけでなく、氏名・住所・生年月日・性別等の特定の個人を識別可能なものは全て含まれ、さらに、特定の個人が識別可能な状態になってさえいれば音声等も含まれることとなります。

４　「利用目的」の特定

そして、個人情報保護法によれば、個人情報保護法を適用される事業者が「個人情報」を取り扱う場合には、個人情報を利用する目的を特定しておかなければならないとされています。

そして、この利用目的の特定については、本人に個人情報がどのように利用されるのか予測できるようにするため「できる限り」特定しなければなりません。

この点、経済産業省のガイドラインによれば、「当社の事業活動に用いるため」「当社の提供するサービスの向上のため」「当社のマーケティング活動に用いるため」というような一般的なものでは特定として不十分であると述べられていますので、利用目的を具体的に特定するため、個人情報の利用目的を個別に検討していく必要があります。

５　最後に

個人情報保護法によれば、事業者は、特定した利用目的の範囲内でしか個人情報を利用できず、また個人情報を取得する際には、原則として、本人に対し、利用目的を通知もしくは公表しなければならないとされています。

したがって、個人情報保護法の適用を受ける事業者は、個人情報保護法が施行されるまでに、個人情報の利用目的を特定し、施行に備えておく必要があることになります。