〜理容室・美容室(美容院)経営の法律知識〜

『理美容六法.com』‐理容室・美容室経営の法律知識‐ サイト運営元
お問い合わせ
理容室・美容室(美容院)の開業・経営に必要な行政手続や法律知識について、さまざまな情報を提供しています。理美容室経営者の方や将来独立開業予定の理容師・美容師の方、理美容業界関係者の方は、ぜひお読みください!
5-3.「個人情報」「個人データ」「保有個人データ」の違い
 さて、前節までの記事で、『個人情報』、『個人データ』、『保有個人データ』という言葉が、それぞれ登場しました。そして、個人情報保護法では、この3つの用語は、それぞれ別のものとして定義されており、あてはまるルールも異なってきます。まず、この3つの用語の関係を、図に示します。
 
個人情報

個人データ

保有個人データ

 『個人情報』のうち、一定の条件に当てはまるものが『個人データ』で、さらに『個人データ』のうち、一定の条件に当てはまるものが『保有個人データ』という関係ですね。それでは、この3つの用語について、その違いを説明していきます。

《1:「個人情報」とは?》

 個人情報とは、「生存する個人に関する情報であって、当該情報に含まれる氏名・生年月日その他の記述等により特定の個人を識別することが出来るもの」と定義されています。
 したがって、氏名・生年月日・住所・電話番号はもちろんのこと、メールアドレスや顔の画像、防犯カメラに撮影された映像なども、『特定の個人が識別できる場合には』、個人情報となります。また、お客様に関するものはもちろん、従業員に関する氏名・住所等の情報や、求人に応募してきた人の履歴書も対象となります。

 さらに、「他の情報と容易に照合することができ、それにより特定の個人が識別できるもの」も個人情報に含まれます。例えば顧客名簿をIDで管理している場合、確かに一見するとID(アルファベットや番号など)だけでは個人を特定することはできませんが、ID一覧表が別にあり、その一覧表と照らし合わせれば『容易に』特定の個人が識別できるような場合には、個人情報に該当します。

 一方、適用されるのは「個人情報」ですので、会社などの法人の所在地や財務情報などは除かれます。もっとも、会社の役員個人の情報は「個人情報」にあたります。
 また、外国人は含まれますが、死者に関する情報は除かれます。したがって、すでに死んでしまった人の名刺や年賀状、カルテなどは個人情報には含まれないことになります。ただし、死者の個人情報は、その遺族にとっての個人情報となる場合があるので、注意が必要です。
 なお、特定の個人を識別することができない統計情報は、個人情報には含まれません。

《2:「個人データ」とは?》

 個人データとは、「個人情報データベース等を構成する個人情報」のことをいいます。 そして「個人情報データベース」とは、
  • 特定の『個人情報』を、電子計算機を用いて検索できるように体系的に構成したもの
  • 『個人情報』を一定の規則にしたがって整理することにより、特定の個人情報を容易に検索できるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの
 をいいます。要するに、エクセルなどのソフトを用いてパソコンに入力された個人情報の集まりや、紙のカルテであってもファイルにあいうえお順などで整理されたものは「個人情報データベース」となり、その中の1人1人についての情報が『個人データ』になるということです。

 逆に、整理されていない『個人情報』は、『個人データ』とはなりません。例えば、受け取った名刺は雑然と箱に放り込んであるような状態では、「個人情報」ではあっても「個人データ」とはなりませんが、あいうえお順などに整理してファイルに保管していたり、スキャナーなどでパソコンに入力したりすれば「個人データ」となるということです。

 さて、美容室のカルテの場合ですが、パソコンで検索する電子データ化されたものはもちろんのこと、紙のカルテであっても通常はあいうえお順などに分類整理されているのが通常でしょうから、「個人データ」に該当すると考えられます。
 したがって、5-1.で述べたように、ある美容室のカルテの合計人数が、過去6ヶ月以内に1日でも5,000人を超える場合には、個人情報保護法の適用対象事業者になるということです。

 しかし、この「5,000人」という数にカウントされるのは、『個人データ』であって『個人情報』ではありませんので、パソコン入力前の未整理の名刺や、お客様から回収した未整理のアンケートはがき等は、数に含まれないことになります。

 また、たとえ『個人データ』であっても、「事業の用に供しない」ものはカウントされません。したがって、友人からの年賀状や同窓会名簿などは、事業に使用しない限りカウントされません。
 ただし、「事業の用に供する」場合には、たとえ従業員個人が持っている個人データでもカウントされますので、注意が必要です。例えば、営業マンが会社とは別に独自の見込み顧客リストを持っていて、それを営業活動に利用している場合には、その見込み顧客リストに含まれる個人データの数もカウントされます。

 以上を踏まえた上で、自分の店が5,000件以上の『個人データ』を保有するかをチェックしてみてください。

《3:「保有個人データ」とは?》

 「保有個人データ」とは、個人情報取扱事業者が、開示や内容の訂正、追加又は削除などを行う権限を有する個人データのうち、6ヶ月を超えて継続利用されるものをいいます。早い話が、その個人情報取扱事業者が管理権限を持っている個人データのうち、6ヶ月を超えて継続的に持っているものだと考えていただければ結構です。

 例えば、美容室が顧客カルテを電子化する際、データ処理会社にデータの入力を依頼して、その顧客カルテを預けている場合には、この顧客カルテの個人データは、美容室にとっては「保有個人データ」となりますが、データ処理会社にとっては「保有個人データ」とはなりません。なぜなら、通常はその顧客カルテのデータをお客様に開示したり、記録内容を訂正したり、追加、削除したりする権限を有しているのは委託した美容室であって、受託したデータ処理会社ではないからです。

 したがって、顧客名簿やカルテなどの「個人データ」の管理を自分のお店で行っている美容室では、「個人データ」=「保有個人データ」と考えてもいいでしょう。

 ただし、以下の1.〜4.は「保有個人データ」には含まれません。
 (理美容室ではあまり関係ない話ですので、さらっと読み流してください。)
  1. その個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの (例:家庭内暴力、児童虐待の被害者の支援団体が、加害者及び被害者を本人とする個人データを待っている場合)
  2. その個人データの存否が明らかになることにより、違法又は不当な行為を助長し又は誘発するおそれがあるもの (例:いわゆる総会屋等による不当要求被害を防止するため、事業者が総会屋等を本人とする個人データを持っている場合) (例:いわゆる不審者、悪質なクレーマー等からの不当要求被害を防止するため、その行為を繰り返す者を本人とする個人データを保有している場合)
  3. その個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの (例:製造業者、情報サービス事業者等が、防衛に関連する兵器・設備・機器・ソフトウェア等の設計、開発担当者名が記録された個人データを保有している場合) (例:要人の訪問先やその警備会社が、当該要人を本人とする行動予定や記録等を保有している場合)
  4. その個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの。 (例:警察からの捜査関係事項照会や捜索差押令状の対象となった事業者が、その対応の過程で捜査対象者又は被疑者を本人とする個人データを保有している場合)
 次節以降では、『個人情報』、『個人データ』、『保有個人データ』の、それぞれの取り扱いのルールについてみていきます。