来年4月に「個人情報保護法」(個人情報の保護に関する法律)が施行される。
この法律によって企業が受ける影響は大きく、多くの企業が現在その対策に取組んでいる。
皆さんの会社ではいかがだろうか。もし、大企業だけに関係ある法律だと思っていたら大きな間違いである。
顧客が存在する事業者の大半は、この法律を適用されるはずである。改善が見られない事業者に対しては、大臣による「勧告」「命令」そして最悪の場合「刑事罰」まで準備されている。
まず「個人情報保護法」の概要を説明したうえで、来年の4月までにやらなければならないことについて述べる。
● 個人情報保護法の目的
本法は「個人情報を取り扱う事業者が遵守すべき義務等を定めることにより、個人の権利利益を保護すること」を目的としている。
ここでいう「個人の権利利益」とは、①利用目的の通知又は公表、②セキュリティの確保、③第三者提供の制限、④本人関与・苦情処理といったことである。これらにより消費者の不安を払拭する狙いがある。
逆に言えば対策が不備な企業にとっては、上記「権利利益」が侵害されたとして、情報主体である個人から損害賠償や差止め請求等で、訴えられるリスクが格段に高まるという認識を強く持つべきである。
●
個人情報保護法の概要(キーワードの理解)
本法を理解するうえで、以下のキーワードが重要である。
|
No
|
キーワード
|
内 容
|
|
1
|
個人情報
|
生存する個人に関する情報で、氏名、生年月日その他の記述等により特定の個人を識別することができるもの。
【該当例】氏名・生年月日、連絡先、映像情報、個人が特定できるメールアドレス、雇用管理(従業員)情報、電話帳等の公開情報等
【不該当例】法人等団体情報(役員・従業員に関する情報は個人情報)、特定の個人を識別できない統計情報等
|
|
2
|
個人情報データベース等
|
特定の個人情報をコンピュータもしくは紙面で一定の規則(50音順等)で整理・分類し、目次、索引等を付し他人によって検索することができるよう体系的に構成した情報の集合体
【該当例】メールアドレス帳、顧客情報DB、氏名順に整理された人材登録カード、会員名簿等
【不該当例】アンケートの戻りはがきで、氏名等で分類整理されていない状態の場合
|
|
3
|
個人データ
|
「個人情報データベース等」を構成する個人情報
|
|
4
|
個人情報取扱事業者
(注1)
|
5000人以上の個人情報データベース等を事業(営利事業以外も含まれる)の用に供している者。法人格のない任意団体や個人であっても対象となる。
|
|
5
|
保有個人データ
|
個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止のすべてを行うことができる権限を有する「個人データ」
|
(注1) 上記「個人情報取扱事業者」に該当しない場合は、本法の適用外となる。
しかし筆者の私見であるが、少なくとも事業を行っている者(法人格にかかわらず)については、5000人という個人情報の数に関わらず、次に述べる「個人情報取扱事業者の義務」を遵守することをお勧めする。本法の遵守事項が社会に徹底され始めると、それらを守っていない企業は、顧客からは「非常識な企業」と思われるはずである。
● 個人情報取扱事業者の義務
上記「個人情報取扱事業者」遵守すべき項目の概略は、以下のとおりである。
法律で定められた義務でありこれに反すれば違法ということになる。(実際の各義務規定には適宜除外事由がある)
|
個人情報保護法の条文
|
対象
|
|
個人情報利用目的による制限等
|
個人情報全般
|
|
|
① 利用目的をできる限り特定しなければならない(第15条)
|
|
② 特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない(第16条)
|
|
適正な取得、正確性の確保、安全性管理措置等
|
|
|
① 偽りその他不正の手段により個人情報を取得してはならない。(第17条)
|
|
② 取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。(第18条)
|
|
③ 個人データを正確かつ最新の内容に保つよう努めなければならない。(第19条)
|
個人データ
|
|
④ 取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。(第20条)
(注)漏洩時の被害・事業の性質・リスクに応じた、必要かつ適切な措置であること
|
|
⑤ 従業員・委託先に対して必要な監督を行わなければならない(第21、22条)
|
|
第三者提供の制限
|
|
|
①
本人の同意を得ないで、個人データを第三者に提供してはならない。 (第23条)
(注)例外:オプトアウト(本人の求めに応じて提供を停止できることとしている場合)
|
|
本人の関与
|
保有個人データ
|
|
|
①利用目的等を本人の知り得る状態に置かなければならない。(第24条)
|
|
②本人の求めに応じて保有個人データを開示・訂正・利用停止等を行わなければならない。(第25~27条)
|
|
苦情の処理
|
個人情報全般
|
|
|
① 苦情の適切かつ迅速な処理に努めなければならない(第31条)
|
これらの義務規定を遵守するために、具体的に何をやらなければならないかは次回で述べる。
【参考資料】「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
平成16年9月経済産業省(http://www.meti.go.jp/policy/it_policy/privacy/privacy.htm)
■松枝憲司(まつえだけんじ)
㈱ビジネスソリューション代表取締役
(社)中小企業診断協会東京支部中央支会常任理事 NPO日本システム監査人協会理事
活動分野 経営と情報のコンサルティング、システム監査
著書 「経営情報化100の誤解」「情報システム部」など、その他多数
