金融庁は、10月1日付で「金融機関における個人情報保護に関するQ&A」を公表しました。かなり踏み込んだ内容も含まれており、参考になります。
特に気になったポイントを列記します。

------------------------------
(問-5)個人情報が五十音順等に整理されておらず、コンピュータを用いたデータベースにランダムに入力されているが、サーチ機能等で容易に検索が可能な場合には、当該データベースは「個人情報データベース等」に該当するのか。
(答)
「個人情報データベース等」のうちコンピュータを用いたものとは、特定の個人情報をコンピュータを用いて検索できるように体系的に構成したものをいいます(個人情報保護法第2 条第2 項第1号、ガイドライン第2 条第2 項)。
検索可能であれば、常に「個人情報データベース等」に該当するわけではありません。例えば、通常のコンピュータであれば、氏名等の文字を手がかりにしてテキスト情報に含まれる個人情報を検索することができますが、それだけでは「個人情報データベース等」には該当しません。個人情報としてのそれぞれの属性(氏名、生年月日等)に着目して検索できるように体系的に構成されている必要があります。
------------------------------

とのこと。この考え方を準用すると、通常のメールソフトはメールアドレスや本文テキスト内に含まれる文字列をキーワードとして指定して検索をかけることができますが、個人情報データベース等にあたらないという可能性が出てきますね。

------------------------------
(問-7)顧客から提出された書類と「個人データ」について、
〃戚鷭馘の書類の形で本人から提出され、これからデータベースに登録しようとしている情報は「個人データ」に該当するか。
▲如璽織戞璽垢謀佻燭靴晋紊侶戚鷭馘は「個人データ」に該当するか。
その後データベースから例えば紙にメモするなどして取り出された情報は、「個人データ」に該当するのか。それとも当該メモ自体が容易に検索可能な形で整理されていないのであれば、「個人データ」ではない「個人情報」として扱われるのか。
せ罎離瓮發任呂覆口頭で第三者に伝えた場合はどうか。
(答)
「個人データ」とは、「個人情報データベース等を構成する個人情報」をいいます(個人情報保護法第2 条第4 項)。データベース化されていない個人情報は、たとえ通常データベース管理される性質のもので、かつ、これからデータベース化される予定であったとしても、「個人データ」には当たりません。
また、記載されている情報がデータベース化され、「個人データ」となったとしても、契約書等の書類そのものは、「個人情報データベース等を構成する」とは言えないため、「個人データ」には該当しません。
もっとも、当該契約書等が、ファイリングされるなどして、それ自体「特定の個人情報を容易に検索することができるよう体系的に構成したものであって、目次、索引、符号等により一般的に容易に検索可能な状態に置かれている」と言える場合には、当該契約書等は「個人情報データベース等を構成する」と言え、「個人データ」に該当します。
また、「個人情報データベース等」から紙面に出力されたものやそのコピーは、それ自体が容易に検索可能な形で体系的に整理された一部でなくとも、「個人データ」の「取扱い」の結果であり、個人情報保護法上の様々な規制がかかります。
「個人情報データベース等」から紙にメモするなどして取り出された情報についても、同様に「個人データ」と解される可能性があります。
なお、その出力されたものやそのコピーが、委託先や第三者に提供された場合は、当該委託先や第三者にとっては、(その出力されたものやコピーが容易に検索可能な形で体系的に整理されない限り)当該情報は「個人データ」には該当しないと考えられます。但し、委託元や第三者提供元にとっては、それらを委託・提供する行為は「個人データ」の「取扱い」であり、個人情報保護法上の様々な規制がかかります。
「個人データ」を口頭で第三者に伝えるという行為も「個人データ」の「取扱い」にあたると解される可能性があります。但し、例えば、金融機関において「個人情報データベース等」を参照しつつ顧客の氏名を店内で呼ぶ場合等、「個人データ」の内容及び取扱いの具体的内容について社会通念上妥当な範囲であれば、「個人データ」の「漏えい」には当たらないと解されます。
------------------------------

かなり踏み込んで書いてますね。
データベース化する前の紙は個人データにならないということですね。

------------------------------
(問-15) 「個人データ」の漏えい事案等が発生した場合の公表は、どこまで厳密に行う必要があるのか。
例えば、インターネット上でファイル交換を行うソフトウェアの使用により、「個人情報」が流出した場合にも、必ず公表をしなくてはいけないのか。
(答)
実務指針においては、「二次被害の防止・類似事案の発生回避等の観点からの漏えい事案等の事実関係及び再発防止策等の早急な公表を実施しなければならない。」(義務規定)とされていますが、例えば、インターネット上でファイル交換を行うソフトウェアの使用により、「個人情報」が流出した場合、回収が不可能であり、当該事案の発生を公表することで当該個人情報が更に検索・共有され、被害が拡大することも予想されます。
そもそも実務指針において公表を義務付けている主旨は、当該データの本人である個人の権利保護のためであって、公表によりかえって二次被害を誘引する場合など、個人の権利利益を保護するため公表しない方が望ましいと認められるような場合にまで事案の公表を求めているものではありません。
------------------------------

というわけで、Winnyによる情報流出時には公表しないほうがよいというLAC(ラック)の丸山氏の考え方が支持されています。

(私のコメント)
今回のQ&Aは、あくまでも金融分野におけるQ&Aでしかありませんが、踏み込んだ内容が多く、一つの参考事例として大変有益です。

http://www.fsa.go.jp/news/19/20071001-3.html







●週に一回程度、更新情報をお届けします。
こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)