|
個人情報保護法(保護法)
第2条の定義によると、
JIS Q 15001:1999
で言う「個人情報」について、3つに分類されてます(保護法の定義より若干加筆・修正しました)。
| 個人情報 |
生存する 個人に関する情報であって、当該情報に含まれる氏名、
生年月日その他の記述等により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、
それにより特定の個人を識別することができることとなるものを含む。) |
| 個人データ |
個人情報の内、
- 特定の 個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
- (上記以外に) 特定の 個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
の2つ
|
| 保有個人データ |
個人データの内、
- 開示、内容の訂正、追加又は削除、利用の停止、
消去及び第三者への提供の停止を行うことのできる権限を有する個人データ
- 上記の内、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの、
又は一年以内の政令で定める期間以内に消去することとなるものを 除外する
|
とあります。これらの関係は、
-
個人情報 ⊇ 個人データ ⊇ 保有個人データ
と 部分集合 の関係にあるかと思います。
「保有」の意味は「持っている/手元にある」という意味ではなく、
JIS Q 15001:1999
で言うところの「開示・訂正・削除・拒否の対象な」という意味になります。
該当するデータの種類や保存期間は、
1年以内に発布される政令で定められる(リストアップされる?)こととなるようです。
で、
保護法
第四章「個人情報取扱事業者の義務等」でどのように使われているかというと、
| 個人情報 |
・利用目的の特定(第15条)
・利用目的による制限(第16条)
・適正な取得(第17条)
・取得に際しての利用目的の通知等(第18条)
・個人情報取扱事業者による苦情の処理(第31条)
|
| 個人データ |
・データ内容の正確性の確保(第19条)
・安全管理措置(第20条)
・従業者の監督(第21条)
・委託先の監督(第22条)
・第三者提供の制限(第23条)
|
| 保有個人データ |
・保有個人データに関する事項の公表等(第24条)
・開示(第25条)
・訂正等(第26条)
・利用停止等(第27条)
・理由の説明(第28条)
・開示等の求めに応じる手続(第29条)
・手数料(第30条)
|
と、それぞれ、取得時と苦情受付時、保管・利用・提供時、
本人からの開示・訂正・削除・停止などの要求時、と分かれています。
状況に応じて段々フィルタリングがかかっていくような感じでしょうか。
- (取得時) (保管・利用・提供時) (開示・訂正・利用停止)
- 個人情報 → 個人データ → 保有個人データ
- (苦情の処理)
取得時には、個人データ として扱うか否かに関わらず、
個人情報全般として扱わないといけませんし、
安全管理、
従業者管理・委託先監督や、
第三者提供に関しては、開示・訂正・利用停止の有無に関わらず
データ化(電子化)した 個人データ について措置をとらなければならない。
保有個人データ については、
開示・訂正・利用停止などの措置に対応しなければならないが、
しない場合には理由を通知しなければならない。
苦情処理については、個人情報 全般について対処しなければならない。
最後に、私見になりますが、
プライバシーマークの審査にも関わること で、
保護法
での「保有」という意味が 単独でも成り立つとすると、
保護法は第4章以外は既に有効ですし、法律は JIS(日本工業規格) よりも優先するかと思います。
JIS Q 15001:1999
で改めて定義されない状況では、JIS Q 15001:1999 でも
この「保有」の意味を適用できるということになるかと思います。
つまり、JIS Q 15001:1999 の 4.3.1 項には、
-
事業者は自ら“保有”するすべての個人情報を特定するための手順を確立し、
...
とあります。
受託物件は保護法の「保有」の定義には
当てはまらない と思いますし、
第四章以外は既に施行されているので、5/23 の保護法成立以降、
「委託を受けた個人情報は JIS Q 15001:1999 の 対象外」
ということが明確になったとも言えるのではないかと思います。
まぁ、保護法の定義に関わらず、もともと受託物件は
保有
ではなく、「委託元から“借りている”」のではないかと思いますけど。
|