自分のトレーニングも兼ねて、丸山さん@トーマツのBlogにある「
頭の体操その4」にちょっとだけ挑戦してみます。
<事例1>
これは開示請求されたらおそらく対象になっちゃいますねぇ。
個人情報保護法施行令で同法における個人情報の数としてカウントしないものとされているの(氏名・住所・電話番号のみを含むもの)は実質的には電話帳・カーナビなどごく一部で、弁護士名簿のようにそれ以外の情報(おそらくこの場合だと所属弁護士会とかの情報が入ってますよね?)を含む名簿は、同法で言うところの保有個人データとしてカウントすることになってますし。
しかも北岡弁護士が
以前「個人情報取扱事業者になってしまうと、電話帳やカーナビなどの情報について除外規定が働かないため、開示請求等を受けた場合はそれに応じる義務がある」と解説されているように、あくまで電話帳やカーナビ等は「数としてカウントしない」だけで、それらも保有個人データであることには変わりないんですよねぇ。
この点については以前経産省の担当係長にインタビューした際にも話題になったんですが、なかなかうまい解決策がない、というのが実情のようです。
<事例2>
これは結構微妙だと思います。
もしその契約書ファイルに対して代表者名によるインデックス等が用意されている場合や、契約書が電子化されていて代表者名による検索が可能な場合は間違いなく保有個人データでしょうが、単に紙の契約書が番号順でつづって保存してあるだけなら「特定の個人情報を容易に検索することができるように体系的に構成したもの(法第2条2項2号)」ではないと判断されて、保有個人データには当たらない可能性が高いのではないかと思います。
<事例3>
これも微妙でしょう。
結局この例ではまずA野C子さんに関する基本4情報が含まれてますし、おそらくこのケースでも家族情報は電子化された形で保存されているでしょうから、A野C子さんの名前をキーにした検索により、C子さん個人の情報を容易に取得可能になっていると思いますので。
逆に電子化されていない状態(例えば就職活動の履歴書で家族構成が書かれたものを、電子化せずにファイルに綴じた状態)であれば、A野B太郎さんの保有個人データだがA野C子さんの保有個人データではないと判断されることもあり得るでしょうね。
事例4・5については既に丸山さんが回答されているので省略。
以上素人の勝手な予想ですので、予想が当たってるかどうかは一切保証しません(笑)
ただ今の事例2・3でも出てきたように「データを電子化することがかえって企業としてのリスクを高める」という状況が生まれているのは、技術屋の立場からするとあまり面白い状況ではないですよね。いや、理屈としてはわかるんですが。
