個人情報保護法は、保護の対象となる情報を「個人情報」、「個人データ」および「保有個人データ」の3つに区分し、この区分ごとに、これらの情報を取り扱う「個人情報取扱事業者」が守るべき義務を定めている。そこで、「個人情報」、「個人データ」、「保有個人データ」および「個人情報取扱事業者」とは何かが問題になる。

(1) 個人情報

① 個人情報

 「個人情報」とは、生存する個人に関する情報であって、以下のいずれかに該当するものをいう。

 個人情報は、「生存する」個人に関する情報であるので、「死者に関する情報」は個人情報に該当しない。

 また、個人情報は「個人に関する情報」とされ、国籍や年齢は要件とされていないので、外国人に関する情報や未成年者に関する情報であっても、個人情報になる。それに対して、法人は個人ではないので、法人に関する情報は個人情報ではない。

Point1 氏名は「個人情報」に含まれる。

Point2 「個人情報」には、「映像」、「音声」による情報を含むので、「マンションの防犯カメラに映る映像」も、それが特定の個人を識別することができるものであるとき〔その映像から本人を判別することが可能であるとき〕は、「個人情報」に該当する。

② 個人識別符号

 「個人識別符号」とは、以下のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。

「個人識別符号」の具体的内容は、政令で定めている。(a)に該当するものとして、指紋認識データ、顔認識データなどが、(b)に該当するものとして、個人番号（マイナンバー）、旅券番号、基礎年金番号、運転免許証番号などが定められている。

 個人識別符号は、それ自体が個人情報となる。

③ 要配慮個人情報

 個人情報のうち一定のものについては、「要配慮個人情報」として、その取得や第三者への提供について特に厳しい規制が設けられている〔原則として、本人の同意が必要になる〕。

 要配慮個人情報に含まれる「政令で定める記述等」とは、以下のとおり。

(2) 個人データ

① 個人データ

② 個人情報データベース等

 「個人情報データベース等」とは、個人情報を含む情報の集合物であって、以下のいずれかに該当するものをいう。

 (a)は、コンピュータで処理できるようにデータ化されたものであり、例としては、メールソフトのアドレス帳などがあげられる。

 (b)の「政令で定めるもの」とは、「個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの」をいう。たとえば、五十音順にインデックスを付けてファイルした名刺などである。

Point 「個人情報データベース等」は、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したものに限らない。たとえば、管理組合の組合員の氏名、電話番号等が記載されている組合員名簿は、コンピュータを用いず紙面で作成されているようなものであっても、五十音順など一定の規則に従って整理・分類され、容易に検索できるような場合は、「個人情報データベース等」に該当する。

③ 個人情報データベース等に該当しないもの

 なお、「利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるもの」は、個人情報データベース等から除かれる。この「政令で定めるもの」とは、以下のいずれにも該当するものである。

 たとえば、市販の電話帳やカーナビゲーションシステム等のナビゲーションシステムに格納されている氏名や住所を示すデータ等が、この個人情報データベース等から除外されるものにあたる。

(3) 保有個人データ

① 保有個人データ

② 保有個人データに該当しないもの

 上記①の要件に該当する個人データであっても、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものは、保有個人データから除かれる。

 保有個人データから除外される「政令で定めるもの」は、以下のとおり。

【個人情報保護法が定める「個人に関する情報」の相互関係】

(4) 個人情報取扱事業者

 個人情報保護法の規制の対象となるのが個人情報取扱事業者である。

① 個人情報取扱事業者

 「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利を問わない。また、「事業者」は法人に限らず、権利能力のない社団または個人であっても、「個人情報データベース等を事業の用に供している」場合は、「個人情報取扱事業者」に該当する。したがって、株式会社などの法人業者だけでなく、個人事業主や、NPO・自治会・管理組合などの非営利組織であっても、個人情報取扱事業者となる。

 メールソフトのアドレス帳などでも個人情報データベース等に該当するため、現実には、ほとんどの「事業者」が「個人情報取扱事業者」に該当することになる。

Point1 マンションの「管理組合」も、管理組合の運営のために「組合員名簿」（区分所有者名簿）を作成している場合は、個人情報取扱事業者に該当する。

Point2 個人情報データベース等を事業の用に供しているのであれば、マンションの「分譲業者」も、マンション「管理業者」も、個人情報取扱事業者に該当する。

② 個人情報取扱事業者に該当しない者

 以下の者は、個人情報保護法の規制の対象となる個人情報取扱事業者から除外される。これらの者については、行政機関個人情報保護法など、別の法律・条例で規制されているからである。

(1) 個人情報の利用

① 利用目的の特定

 たとえば、事業者が、商品の販売に際し、個人から氏名・住所・メールアドレス等を取得する場合には、その利用目的を「商品の発送、関連するアフターサービス、新商品に関する情報の通知のため」のように、特定しなければならない。

② 利用目的の変更

 変更前の利用目的と関連性を有すると合理的に認められる範囲内であれば、利用目的を変更することは可能ということである。

③ 利用目的による制限

 特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合は、あらかじめ本人の同意を得なければならないということである。

④ 利用目的による制限の例外

 以下の場合には、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合であっても、本人の同意は不要である。

⑤ 不適正な利用の禁止

(2) 個人情報の取得

① 適正な取得

② 要配慮個人情報の取得

 法令に基づく場合など、一定の例外はある〔この場合は、本人の同意は不要〕。

Point 個人情報取扱事業者が「要配慮個人情報」を取得する場合は、あらかじめ本人の同意が必要であるので、取得されたくないのであれば、本人は拒否できる。これは、それ以外の個人情報を取得する場合は、あらかじめ本人の同意を得る必要はないということを意味する。つまり、個人情報取扱事業者が氏名等の「要配慮個人情報」以外の個人情報を取得する場合は、本人は、これを拒否することはできない〔個人情報保護法上、本人にそのような権利は付与されていない〕ということである。したがって、たとえば、標準管理規約によれば、新たに組合員の資格を取得した者は、直ちにその氏名を書面により管理組合に届け出なければならないが、氏名が個人情報であることを理由に届出を拒否することはできない。

③ 取得後の利用目的の通知または公表

 個人情報取扱事業者が個人情報を取得する場合は、あらかじめその利用目的を公表していることが望ましいが、公表していない場合は、取得後速やかに、その利用目的を通知または公表しなければならないということである。

Point 個人情報取扱事業者であるマンション管理業者が、管理組合から委任を受けて、組合員名簿を作成する目的で、管理組合の組合員が特定される個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、または公表しなければならない。

④ 直接書面等により取得する際の利用目的の明示

 個人情報取扱事業者が、契約書やはがき等の書面等による記載、ユーザー入力画面への打ち込み等の電磁的記録により、直接本人から個人情報を取得する場合には、本人に利用目的を明示しなければならない。

⑤ 変更した利用目的の公表

 上記(1)②によって利用目的を変更した場合は、変更された利用目的を本人に通知するか、または公表しなければならない。