【クロスメディアキーワード】個人情報保護法
個人情報保護法は2005年4月1日から施行されたが、その後も個人情報の漏えい事故は多数発生している。
対策の重要性
個人情報保護法対策では、内部規定や組織体制を整えることも大変な作業だが、実質的に有効な内部管理を実現することも難しい。したがって、個人情報を取り扱う多くの方々は、個人情報保護法を理解し、管理体制のレベルを継続的に高めていくことが必要である。継続的な管理レベルの向上は、個人情報に対する倫理力を高め、個人情報に関する事故を起こしにくい体質への成長を促す。
適用範囲
個人情報保護法は基本法(第一章から三章)として、民間企業だけでなく独立行政法人や地方公共団体などにも厳格な義務を課している。一般法としては、行政機関個人情報保護法や独立行政法人等個人情報保護法、地方公共団体や地方独立行政法人に対する個人情報保護条例がある。民間企業(個人情報取扱事業者)については、個人情報保護法の第4 章以下が適用される。
氏名や住所などを組み合わせた情報から、生存中の個人を特定できる場合は、組み合わせの情報が「個人情報」となり、一定の要件を満たす「個人情報」データベースを事業で取り扱う事業者は、「個人情報取扱事業者」として法的な義務を負うことがある。したがって、自身の所属している組織が「個人情報取扱事業者」に該当するか、適切に判断することが求められる。
監督官庁は、管轄の組織を導くために、個人情報保護のためのガイドラインを策定し、公表をしている。「個人情報取扱事業者」に該当する組織は、該当するガイドラインに従った対策を立てる必要がある。事業免許を取得し事業を行っている場合や、法令に影響を受けて事業を行っている場合には、当該免許を管理している監督官庁がどこであるかを調べるとよい。また、原則としてどのような法人でも、雇用に関する個人情報は厚生労働省ガイドラインが適用される。
「個人情報取扱事業者」は個人情報を取得する際、その利用目的を特定し、本人に通知しなければならない義務がある。取得した個人情報は、本人の同意無く第三者に提供することができないが、裁判所や国税局、警察捜査の協力要請など法的な理由に基づく場合はその限りではない。
個人情報
個人情報とは、特定の個人を識別できる情報である。特定の個人を識別する方法は、名前や住所だけではない。コードや番号などで特定できたり、音声や画像、映像などにより識別される場合も含まれる。
また、個人情報は、個人が秘密にしているようなプライバシーに関する情報とは性質が異なるため、注意が必要である。個人情報保護法は、個人情報の取扱を規制しており、プライバシーの保護をしているわけではない。
個人データ
個人情報保護法が規定する義務のほとんどは、個人データに関する取扱いである。個人情報と個人データは必ずしも一致はしない。個人データは、「個人情報データベース等」を構成する個人情報である。「個人情報データベース等」には、コンピューターのデータ、紙媒体のものも含まれる。映像や音声も検索が可能な状態であれば、「個人情報データベース等」に該当する。
保有個人データ
本人から開示や訂正などに関する要求を受けることが求められるものは、保有個人データである。保有個人データは、個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去、第三者への提供の停止を行うことができるすべての権限を有する個人データである。これらの権限の一部を有さない場合には、保有個人データにはならない。さらに、6 カ月以内に消去されるものや、存否が明らかになることにより公益その他の利益が害されるものは、保有個人データに当たらない。※
※保有個人データに当たらない例示
1. 本人または第三者の生命、身体または財産に危害が及ぶとき
2. 違法または不当な行為を助長したり、誘発するとき
3. 国の安全が害するとき
4. 犯罪の予防、鎮圧または捜査そのほかの公共の秩序の維持に支障が及ぶとき
個人情報保護法の要求事項
個人情報保護法は、個人情報、個人データ、保有個人データに分け、要求事項を規定している。事業者は、これらの要求を理解することが求められる。「取得や収集するときは、個人情報」であり、「取得や収集した後は、個人データ」「本人に対する義務を有するものは、保有個人データ」と簡単な区分けができる。
罰則
主務大臣は、個人情報取扱事業者に対し、報告の徴収、助言、勧告、命令、緊急命令の権限を持つ。不適正な個人情報の取扱いをしている事業者の存在が認められる場合には、命令および緊急命令を行うことができる。事業者が必要な対応を行わない場合は、6 カ月以下の懲役または30 万円以下の罰金が科せられる。
個人情報のリスク
個人情報保護法に違反した場合は、主務大臣からの改善命令を受ける。実際に漏えい事故を起こした場合には、損害賠償や企業イメージの低下による事業上の損失を招く恐れがある。すでに法制度が整備されている海外の企業と円滑に取引を行うためにも、個人情報の適切な取扱いは不可欠なものとなる。
個人情報保護対策
個人情報保護の対策を行うには、個人情報に関するリスク分析が必要となる。リスク評価には、個人情報の質的な要素と量的な要素がある。セキュリティー対策を完全に実施することは、極めて困難である。費用対効果を最大限に考慮し、対策を検討するべきである。漏えいや不適切な利用などの事象が発覚した際には、関係各所に速やかに正確な情報を連絡し、原因の特定とその後の対策を確実に講じることが大切である。個人情報を取扱う組織として、個人情報取扱いに関する規定作成だけではなく、事故対応マニュアルの作成を行うことも個人情報保護対策になる。
JAGAT CS部
Jagat info 2013年5月号より転載