.
個人情報保護法への準備は大丈夫?

平成16年も半期決算の時期を迎えました。景気回復とか何とかいうものの、 結構地域や業種が限定されているように見受けられますが、皆様はいかがでしょうか?さて、来年の4月1日より「個人情報保護法」が施行されます。何かと個人情報の漏洩に関するニュースが目に付く今日この頃ですが、他人事だと思っていたら大間違い。気付かないまま個人情報保護法に違反してしまう前に、一度自社の状況をしっかり見直す必要があります。今月の線客万来コーナーでは、施行まであと半年となった「個人情報保護法」 について、一緒に勉強してまいりましょう。


    (基本情報)『個人情報保護法とは』

■ポイント1『個人情報保護法とは』***********************************

個人情報の保護に関する法律(平成十五年法律第五十七号)第一章より (基本理念) 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであり、個人情報を取り扱う者は、以下の原則にのっとり、個人情報の適正な取扱いに努めなければならない。 また、第四章以下の事業者に対する法律部分には、下記のような事業者の義務が記述されています。

(1)利用目的による制限…個人情報は、その利用目的が明確にされるとともに、当該利用目的の達成に必要な範囲内で取り扱われること。
(2)適正な方法による取得…個人情報は、適法かつ適正な方法によって取得されること。
(3)内容の正確性の確保…個人情報は、その利用目的の達成に必要な範囲内において正確かつ最新の内容に保たれること。
(4)安全保護措置の実施…個人情報は、適切な安全保護措置を講じた上で取り扱われること。
(5)透明性の確保…個人情報の取扱いに関しては、本人が適切に関与し得るなどの必要な透明性が確保されること。

***********************************************************************

この法律は、IT化の進展に伴い個人情報の利用が著しく拡大しているため、 個人情報を取り扱う事業者の遵守すべき義務等を定め、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的に制定されたものです。事業者に課された義務については、なかなか判りにくいものがありますが、上記の法律に沿った個人情報の取り扱いが急務となっています。まず、その個人情報とは何なのかについて、詳しく見てまいりましょう。


    どういう情報が個人情報?

======================================================================
第一章 総則 第二条
 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
======================================================================  

つまり、ひとことで言えば「個人を特定できる情報」ということになります。これは、ぱっと思いつく名簿データだけでなく、ATMなどで利用される映像や、音声情報なども対象となります。また、「生存する個人」という記述はあ りますが、亡くなった方でも遺族などの生存している個人に影響がある場合は 個人情報となります。

メールアドレスを考えて見ましょう。田中商事に田中太郎さんという方がい らっしゃったと仮定します。アドレスがT100030@tanaka_syoji.co.jp であれば、個人を特定できないため個人情報には該当しません。しかしながら、アドレスがTarou_Tanaka@tanaka_syoji.co.jp であれば、個人を特定できるため、個人情報に該当してしまいます。このとき、T100030という社員番号が田中太郎さんであるということを示す社員情報の表が同じ場所に保管してあったとします。すると、その場合には前者のメールアドレスでも個人情報となってしまいます。

このように、「個人を特定できる」という意味は、大変広いものです。単純に同じエクセルの表に書いていないということでは無いということをご理解頂けましたでしょうか?

首相官邸「個人情報の保護に関する法律」
http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/

All About Japan 「アナタの個人情報、守られてる?」
http://allabout.co.jp/career/corporateit/closeup/CU20030819A/index2.htm




メールアドレスでも内容によっ ては個人情報になり得るなど、びっくりですね。さて、今回は2回目として、 「個人情報保護法」の対象となる法人は?という点について、掘り下げて見ていくことに致しましょう。

 

    個人情報取り扱い事業者とは?

======================================================================
第一章 総則 第二条
 この法律において「個人情報取扱事業者」とは、個人情報データベース等を 事業の用に供している者をいう。
======================================================================

ただし、個人情報データベースを保持していても、5000人を超える個人情報 を扱っていなければ対象になりません。しかしながら、ここで注意しなければならないのは、期間です。過去6ヶ月以内の1日でも5000人を超える場合には、対象事業者となってしまいます。ダイレクトメールやメールマガジンなどを発行している場合、その相手先の数が5000を超えると対象になりますね。メールマガジンを5000以上の相手先に発信していても、 メールアドレスしか保持しておらず、そのアドレスが個人を特定できる形式で あるものが5000より少なければ、対象事業者にはあたらないと解釈できます。

さて、「事業者」という言葉を使っていますが、「事業」は営利事業だけではありませんのでご注意ください。非営利法人や個人でも個人情報を継続的に扱う場合は個人情報取扱事業者となります。

また、個人情報データベースとは、「個人情報」がどのように集まっているものかというと、「整理されて、他人が容易に検索できる状態になっているもの」です。病院のカルテや学校・会社の名簿、住所録、取引台帳などのように、コンピュータで管理されたものに限らず、紙で保存されているものも対象になります。ですので、6ヶ月以内に1日でも5000人以上のカルテを保持した病院は、対象事業者になるということですね。

さて、それでは、対象事業者はどのようなことに注意して、個人情報を保持 していかなければならないのでしょうか?

首相官邸「個人情報の保護に関する法律」
http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/

All About Japan 「ウチも個人情報取扱事業者?」
http://allabout.co.jp/career/corporateit/closeup/CU20040711A/index.htm




もちろん、対象事業者で無いか ら個人情報を保護しなくて良いというものではありません。信用に足る企業で あることを第一と考える事業主にすれば、だれでも対象事業者という考え方が正しいと言えます。 「では、対象事業者としては何をやらなければならないのか?」を見て行きたいと思います。

 

    個人情報取り扱い事業者の義務とは?

先に記載した「基本情報」欄には、事業者の義務が書かれています。単純に言えば、これらを遵守することが事業者の義務です。たとえば、『(1)利用目的による制限』とは、個人情報を収集する際に、収集の目的を明記し、その目的以外には情報を使わない義務です。「製品サポート情報の送付」という目的で集めた顧客情報に対して、「新製品案内の送付」は違反となります。良く言われるデータ保管の安全性については、『(4)安全保護措置の実施』欄の義務が相当します。つまり、安全に保存するということだけではなく、収集し た個人情報をどのように利用するか、責任を持って維持しているか、個人情報 の本人からの問い合わせに対応できる体制かどうかなど、収集から保存・運用 についての、広い範囲での義務が課されているのです。

事業者が自社のルールを明文化し、顧客に対して開示するためには、それぞれが「プライバシーポリシー」を作成することが必要です。このプライバシーポリシーを作成する中で、今まで何となく運用してきた個人情報について、自社がどうしなければならないのかが明らかになって来ます。これこそが、それぞれの会社にとって一番大切なことではないでしょうか。

沢山の解説サイトがありますので、ぜひ 一度ご覧いただければと思います。

首相官邸「個人情報の保護に関する法律」
http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/

個人情報ドットコム 「プライバシーポリシー構築」
http://www.kojinjoho.com/privacymesure/02.html

ALL About 『合言葉は「個人情報を大切に!」』
http://allabout.co.jp/career/corporateit/closeup/CU20030825A/

 

対象事業者ではなくても、信用に足る企業であるために個人情報保護対策をしっかりと取らなければなりません。誰もがしっかりと認識しなければならない「個人情報保護法」について、事業者の義務である「プライバシーポリシー」の策定方法について、具体的にご紹介したいと思います。

 

    プライバシーポリシーを作るためには
プライバシーポリシーとは、個人情報を取り扱う事業者が顧客の権利を守るために定める方針です。個人情報の収集、処理、および保存方法について、社内のルールを明文化し、必要に応じて公開することが大切です。

内容は、次の項目を満たしている必要があります。個人情報保護法で言う事業者の義務と照らし合わせながら見ていきましょう。

・情報を集める目的(利用目的による制限)
・収集する内容(利用目的による制限)
・情報利用方法(利用目的による制限)
・収集方法(適正な方法による取得)
・情報の訂正・削除方法 (内容の正確性の確保)
・情報廃棄方法(安全保護措置の実施)
・収集した情報の保護方法(安全保護措置の実施)

また、これらのプライバシーポリシーを公開することが、事業者の義務のうちの「透明性の確保」にあたります。企業が営業を終了するときに、どのような措置を講じるのかについても、記載 しておくと良いでしょう。

既に集めた情報についても、収集時に理由としてあげた目的以外の利用は制限しなければなりません。たとえば、手元に顧客情報があるからといって、告知 していない内容のダイレクトメールを送ることはできません。これから集める情報だけが対象ではなく、既に手持ちの情報も対象となりますので、くれぐれもご注意ください。

顧客から信頼される事業者であるために、皆様もそれぞれの事業の中での個人情報の取り扱いについて、今一度見直しされることをお勧めいたします。

首相官邸「個人情報の保護に関する法律」
http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/

個人情報ドットコム 「プライバシーポリシー構築」
http://www.kojinjoho.com/privacymesure/02.html

ALL About 『合言葉は「個人情報を大切に!」』
http://allabout.co.jp/career/corporateit/closeup/CU20030825A/




このページの上に戻る▲