1.個人情報保護法とは
平成17年4月に始まった個人情報に関して、理解しましょう。個人情報保護法について、「組織における内部不正防止ガイドライン(http://www.ipa.go.jp/files/000044615.pdf)」の解説を引用します。
(1) 個人個人情報の保護に関する法律(個人情報保護法)
 個人情報の漏えいや不正利用等から、個人の権利利益を保護するために、個人情報を取り扱う事業者の順守すべき義務(安全管理措置や従業員と委託先の監督義務等)を規定しています。この義務規定に事業者が違反し、不適切な個人情報の取り扱いを行っている場合には、事業を所管する主務大臣が事業者に対し勧告、命令等の措置をとることができます。命令に従わなかった場合には、罰則の対象になります。
ここにありますよに、この法律は、「個人情報を取り扱う事業者の順守すべき義務を規定」しています。対象は「事業者」ですから、個人は対象になりません。
友達の連絡先を教えてからといって、少なくとも、個人情報保護法で罰せられることはありません。

2.法の目的
消費者庁のサイト(http://www.caa.go.jp/planning/kojin/)では、個人情報保護法に関して、「個人の権利利益を保護することを目的として、民間事業者の皆様が、個人情報を取り扱う上でのルールを定めています」と述べています。

ここにあるように、このように、「民間事業者」を対象とした法律であることが一つのポイントです。

3.個人情報保護法の対象
個人情報保護法義務の対象は、個人ではなく「個人情報取扱事業者」です。すべての企業ではなく、事業の用に供する個人情報データベース等を構成する個人情報によって特定される個人の数の合計が、過去6か月以内のいずれの日においても5,000を超えない場合は除外されます。 

4.「個人情報」の定義を確認しましょう。
個人情報保護法では、個人情報を以下のように定義しています。
この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
ポイントは、「特定の個人を識別することができる」ことです。
情報セキュリティスペシャリスト試験_SE成子 


では、氏名だけでも個人情報?
法律の定義がかなりあいまいではありますが、氏名だけでも個人情報とされます。同姓同名が多いような名前であれば、個人を特定できるかはわかりません。ただ、剣持成子という名であれば、それほど多くはいないでしょうから、個人を特定できることもあるでしょう。つまり、特定できるのであれば個人情報です。
kojin
さて、上記の監視カメラで撮影した情報,会社名や所在地などの法人に関する情報はどうなのでしょうか。以下を確認ください。

5.個人情報に関するQ&A
消費者庁の以下のサイトがよくまとまっています。この中からいくつか抜粋します。
http://www.caa.go.jp/planning/kojin/pdf/gimon-kaitou.pdf

Q1.メールアドレスは、「個人情報」に該当しますか。

A1.ユーザー名及びドメイン名から特定の個人を識別することができる場合、個人情報に該当します。一方、記号や文字がランダムに並べられているものなどは、個人情報には該当しません。

Q2.死者の情報は、個人情報保護法の保護の対象になりますか。

A2.生存する個人に限定されているので、対象外です。

Q3.カメラで撮影した映像は、「個人情報」に該当しますか。

A3.それによって特定の個人が識別できる場合には、「個人情報」に該当します

Q4.法人に関する情報は、「個人情報」に該当しますか。

A4.会社名や所在地は「個人情報」ではありません。しかし、法人情報の中に、役員の氏名などの個人に関する情報が含まれている場合には、その部分については、「個人情報」になります。

6.安全管理措置
過去問(H27秋IP問24)では、以下の記述があります。
個人情報保護法では個人情報取扱事業者に対して安全管理措置を講じるとを求めている。経済産業分野のガイドラインでは,安全管理措置は技術的安全管理措置,組織的安全管理措置,人的安全管理措置,物理的安全管理措置に分類している。
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(http://www.meti.go.jp/press/2014/12/20141212002/20141212002.pdf)から引用すると、その具体的な内容は以下です。
①組織的安全管理措置
組織的安全管理措置とは、安全管理について従業者の責任と権限を明確に定め、安全管理に対する規程や手順書を整備運用し、その実施状況を確認することをいう。

②人的安全管理措置
人的安全管理措置とは、従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うことをいう。

③物理的安全管理措置
物理的安全管理措置とは、入退館(室)の管理、個人データの盗難の防止等の措置をいう。

④技術的安全管理措置
技術的安全管理措置とは、個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置をいう。

過去問(H20秋SW)を解いてみましょう。
問77 経済産業省“個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン"の物理的安全管理措置に該当するものはどれか。
ア 個人データの安全管理に関わる従業者の役割及び責任についての教育・訓練を実施する。
イ 個人データの漏えいなどの事故が発生した場合の,代表者などへの報告連絡体制を整備する。
ウ 個人データを取り扱う情報システムへのアクセスの成功と失敗の記録を取得する。
エ 個人データを取り扱う情報システムを,ICカードによる入退室管理を実施している室内に設置する。
アは人的安全管理措置、イは組織的安全管理措置、ウは技術的安全管理措置です。
正解はエです。