.
個人情報保護法施行 対応はできていますか?

平成17年度を迎え、心機一転明るい春の日差しと共に、毎日元気にお過ごしの事業者様は、一体どれぐらいいらっしゃいますでしょうか?毎日出てくる昨年度の決算資料に戦々恐々されているかもしれませんね。しかしながら、スタートダッシュが何より大切。新しいスローガンを掲げ、フレッシュマンを明るく迎えたいものです。
さて、とうとう今月より「個人情報保護法」が施行されました。このコーナーでも昨年10月に特集記事でご紹介したのですが、実際に施行されてから慌てて自社への影響を考えている事業主が多いのも事実。そこで、今月は具体的に今何をしなければならないのかを解説したいと思います。


    個人情報保護法が事業者に求める義務

■おさらい1『個人情報保護法が事業者に求める義務』********************

(1)利用目的による制限…個人情報は、その利用目的が明確にされるとともに、当該利用目的の達成に必要な範囲内で取り扱われること。
(2)適正な方法による取得…個人情報は、適法かつ適正な方法によって取得されること。
(3)内容の正確性の確保…個人情報は、その利用目的の達成に必要な範囲内において正確かつ最新の内容に保たれること。
(4)安全保護措置の実施…個人情報は、適切な安全保護措置を講じた上で取り扱われること。
(5)透明性の確保…個人情報の取扱いに関しては、本人が適切に関与し得るなどの必要な透明性が確保されること。

***********************************************************************

では、4月から具体的にどのような対応が必要になったのでしょうか。特に問題となる、上記の(1)番(2)番と(4)番について十分な意識が必要です。

(1)利用目的による制限への対応
個人情報を集めるときに、その申し込み用紙や記入フォームに利用目的を記載しなければなりません。その内容が「弊社製品の最新情報をお届けするために、お名前とメールアドレスをご記入ください」だったとします。この場合、集めた個人情報は、製品の最新情報を届けるためにしか利用できません。内容に何ら問題が無くても、求人情報や会社情報を送ってはいけないのです。情報を集める時にはできるだけ目的をはっきりさせることが必要です。

(2)適正な方法による取得
ホームページでの問い合わせフォームやポイントカード登録など、顧客情報入力をお客様に対して求める場合は問題ありません。しかしながら、広く公開されている会社代表者情報や、電話帳の情報はどうなるのでしょうか。これらの公開情報は、今までは本人の同意無しに利用が可能でした。しかし、同意は不要ではあるものの、上記の義務のうち(1)番に記載されている利用目的を本人に通知するか、あるいは公表するかの対応が必要になりました。

(4)安全保護措置の実施
実は、この安全保護措置が実施されていないため、各地で個人情報の漏洩事故が起こっています。この安全保護措置を正しく行うことが、事業者にとって最も大変でコストがかかる部分となります。例えば、パソコンのハードディスクに保存された顧客情報が、簡単に誰でもコピーできる状態であれば、それは 安全保護措置が講じられていないことになります。少なくともファイルを開く時にパスワードが設定されているとか、限られた人しか見ることができないフォルダにデータが保存されているなどの対応が必要です。もちろん、パソコンの データだけではありません。顧客台帳を印刷し、保存している場合、鍵付きの引き出しやキャビネットなどで管理しなければなりません。

これらの一つ一つを定めていくことこそ、「社内情報セキュリティ」の管理 方法を明らかにする作業です。この作業が、プライバシーマーク取得の第一歩 となっていくのです。

個人情報保護法対策ガイド(NTTコミュニケーションズ)
http://www.ntt.com/business/p-info/index.html

個人情報保護法対策ポータル(相馬行政書士)
http://www.kojinjyouhou.jp/




では、よく聞く言葉だけれど、詳しいことは良く知らない方も多い「プライバシーマーク」について説明していきましょう。

 

    プライバシーマークとは

公式サイト:http://privacymark.jp/

(プライバシーマーク制度) 第2条
財団法人日本情報処理開発協会(以下「協会」という。)は、日本工業規格「個人情報保護に関するコンプライアンス・プログラムの要求事項 JIS Q 15001」(以下「JIS」という。)に適合して電子計算機処理に係る個人情報 (電子計算機処理の前後におけるマニュアル処理に係る個人情報を含む。以下同じ。)の適切な保護のための体制を整備している事業者に対し、その申請に基づき、その旨の認定(以下「プライバシーマーク付与認定」という。)及び その旨を示す特別の表示であるプライバシーマークの付与(以下「プライバシーマーク付与」という。)を行うプライバシーマーク制度を設ける。

〜 ((財)日本情報処理開発協会  『プライバシーマーク制度設置及び運営要領』より) 〜

ここで出てくる「コンプライアンス・プログラム」とはどういう意味でしょうか。これは、JISによると、「事業者が、自ら保有する個人情報を保護するための方針、組織、計画、実施、監査及び見直しを含むマネジメントシステム」と定義されています。

これはコンピュータプログラム等ではなく、もっと広いものです。つまり、JISが求めるコンプライアンス・プログラムとは、個人情報保護方針を作成し、方針に基づき計画(Plan)を作成し、実施(Do)します。そして監査(Check)を行い、事業者の代表者による見直し(Action)となり継続的改善を繰り返していくことにより、事業者の個人情報保護における管理能力を高めていく全社的な仕組みのことなのです。

では、「プライバシーマーク」を取得することで、どんなメリットがあるのでしょうか。もちろん、第三者が認定するわけですから、個人情報保護に適切に対応している信頼できる業者という証明書になります。それだけでなく、プライバシーマークを取得するために策定する「コンプライアンス・プログラム」 によって、情報セキュリティについての基本的な認識が全社的に高まりますので、そちらのメリットの方が大きいといえるでしょう。

現在、プライバシーマークを取得している企業数は1,294社(2005/04/13現在)です。また、取得に係る費用は、事業規模によって30万円、60万円、120万円の申請料が必要です。このほか、コンサルタントによる取得支援を受ける場合、 別途費用が必要になります。また、期間については、準備にどれぐらい時間を 割くことができるかにもよりますが、一般的に1年ほどかかると考えるのが妥当ではないでしょうか。

では、費用と時間のかかるプライバシーマーク取得は、企業にとって必須のものなのでしょうか?

「目的は個人情報を適切に扱う仕組みを作り上げることです。そのための目標 としてプライバシーマーク取得を目指すのならかまいません。同業他社が取るからウチもという発想で、プライバシーマーク取得が目的になってしまえば本末転倒です。以前、公共工事の入札要件としてISO9000が求められるのではとISO9000取得がブームとなりましたが、その状況によく似ています。」

〜「プライバシーマーク本当に必要?」 AllAboutJapan ( http://allabout.co.jp/career/corporateit/closeup/CU20050307A/ )

あなたの会社にとってのプライバシーマーク、取得するかどうかはさておいて、まずは企業のコンプライアンス・プログラムを策定し、そのPDCA( Plan-Do-Check-Action)をしっかり回すことで企業の情報セキュリティ力を上 げることが肝心なんですね。

大変手間のかかることですが、早めに取り組むことをお勧めいたします。

プライバシーマーク使用許諾事業者一覧
http://privacymark.jp/list/clist

プライバシーマーク制度における料金改定について
http://privacymark.jp/appl/ryoukin3.html




では、法律の施行後、色々な業種でどのような対応がなされてきたのかを見てみましょう。

 

    金融業界では

「複数の金融関係者によると、金融庁ではここ数カ月多数の金融機関で個人情の漏えいなどが発生していることを憂慮、4月1日の個人情報保護法の施行 を受け、全金融機関に対して個人情報管理態勢の一斉点検を行い、その結果を融庁に報告するように指示した。」

〜ロイター 2005年 04月 14日 木曜日
http://www.reuters.co.jp/financeNewsArticle.jhtml?type=economicPolicies&storyID=8177669

点検結果は6月末までに報告することとなっており、現在は各金融機関がその監査作業を行っているものと思われます。この点検は、外部委託先をも含んでいるため、金融機関以外の業種についても同様の作業を行っているのでしょう。

さて、各銀行の具体的な取り組みをご紹介しましょう。

「三井住友銀行」
他行に先駆けて「プライバシーポリシー」を自社のホームページで公開。全銀協会長行として業界の「ひな型」を提示。

「東京三菱銀行」
本部の部長や支店長クラスの約四百五十人を「個人情報管理者」に任命。昨年より従業員による外部記憶媒体の利用を制限。

「みずほ銀行」
どこの部署にどんな種類の個人情報が保管されているかを調査して、一括してファイル化する「情報管理台帳」を作成。

顧客は、「お金だけでなく大切な情報も一緒に預けている」という意識をもって、「資産と同時に情報も安心して預けられる金融機関」を選ぶ目が必要です。


    医療業界では

厚生労働省では、保有する情報の規模にかかわらず、全医療機関が守るべき「医療・介護関係事業者における個人情報の取り扱いのためのガイドライン」 を作成、公開しています。
http://www.mhlw.go.jp/topics/bukyoku/seisaku/kojin/index.html

医療分野・研究分野・福祉分野などの6分野ごとに、様々なガイドラインが策定されており、対象分野の事業者は必ず目を通して行動規範としなければなりません。

では、実際の現場ではどのような取り組みが行われているのでしょうか。読売新聞によると、各病院の取り組みも様々なようです。
http://www.yomiuri.co.jp/iryou/news_i/20050408so11.htm

『東京慈恵会医科大付属病院』
外来受付や会計窓口で、患者に番号カードを配布して呼ぶようにする。名前で呼ぶと、誰が受診しているか他人に分かってしまうのを防ぐため。

『慶応大病院』
入院患者本人の同意を得なければ、家族に病状や退院の見通しなどを一切説明しない。また、見舞客から患者の病室を尋ねられても、本人の了解無しには教えない。

一方で、個人情報保護よりも、安全が第一ということで、特に対応をとらない医療機関もあるそうで、今後も病院によって色々な対応が取られるものと思われます。

ちなみに、厚労省医政局総務課は、

「各病院が医療の安全を最優先にした上で、情報保護がどこまで可能か判断してほしい」としているそうで、現場の対応を様子見するといったところでしょうか。

窓口での対応だけでなく、医療の現場でも難しい問題が存在します。個人情報保護法では、病院側は本人の同意なしに第三者にデータを提供できないとされており、これをそのまま理解すると、がん告知なども本人の同意なしには家族に知らせることができないことになります。現実的には、現状を優先しながら法律と折り合っていくための数々の試みが行われており、今後各病院の取り組みに注目していく必要があると思います。

個人情報保護法 身近な生活にどうかかわるか
http://www.mainichi-msn.co.jp/kurashi/katei/news/20050406dde012070064000c.html




ではネットショップを含む情報処理業界の対応はどうでしょうか?
その前に、倉庫業界の個人情報保護法対応について、今週新たに発表されたニュースをご紹介しましょう。


    倉庫業界では

国土交通省貨物流通施設課はこのほど、倉庫業を対象とした「個人情報保護法」 に関するガイドブックを作成、新法への対応を呼びかけている。ガイドブック では、「個人情報保護法とはどういう法律か」、「どのような倉庫事業者が個人情報保護法の対象となるのか」、「個人情報取扱事業者となる倉庫事業者は個人情報保護法によりどのようなことを求められるのか」((1)個人情報の利用・取得に関するルール(2)適正・安全な管理に関するルール(3)第三者提供に関するルール(4)開示等に応じるルール)、「個人情報保護法に違反するとどのような罰則があるのか」について分かりやすく解説するとともに、Q&A方式でよくある質問に答える構成となっている。
(富士物流:カーゴニュース4月19日号) http://www.fujibuturyu.co.jp/headlines/050425/04.html

このQ&Aには、病院のカルテなど、個人情報データをトランクルームの貨物として預かった場合、倉庫事業者に対して個人情報保護法が適用されるのかなど、具体的な内容が解説されています。事業者の皆さんはぜひご一読ください。

さて、カルテなどを預かった場合にどうなるのか、答えは次の通りです。

「トランクルーム事業者がそのデータを「貨物」として箱ごと保管し、箱の中身が個人情報データであることを知らない場合は、通常の保管行為に当たり個人情報保護法上の規制を受けることはない。しかし、その貨物が荷主から個人情報であることを知らされた場合には、トランクルーム事業者は荷主によりデータの安全管理について監督を受けることとなる。」

倉庫事業者の皆さんには、業務上の対応が必要なんですね。ご注意ください


    ネットショップオーナーは

さて、ではネットショップの対応はどうでしょうか?

ネットショップ開業に際しては、今までも必ず「プライバシーポリシー」の記載が必須でした。そういう意味で、個人情報に対する意識が高い業界であったと言えます。

これは、特定商取引に関する法律など、もともと顔の見えない相手との商取引を公正に行うためにある程度のルールが定められている中、それと同種のお約束として取り組んで来られたからです。

しかしながら、4月1日以降、個人情報の保護に対する具体的な義務が明示されたのを受け、各ショップでは具体的にその対応を行っています。たとえば、今まで個人情報の利用目的 を明示していなかったサイトについては、改めて利用目的をサイト上に明示し、あるいは郵送などの手段で顧客に提示しています。

今後ショップを開設する場合には、既存サイトを参考にして、きっちりとショップのプライバシーポリシーを過不足無く記載する必要がありますので、事業者の義務について特にご注意ください。

さて、個人情報保護法施行から1ヶ月、みなさんの会社では、具体的なアクショ ンを何かとられましたか?

各業界団体から提示されるガイドライン、ニュースを賑わす漏洩事件、手元に送られる個人情報収集目的が記載された事業者からのダイレクトメール・・・ 個人情報保護法はもう他人事ではありません。

まずは個人情報保護の社内ルールを作成し、そのPDCA(Plan-Do-Check-Action)のサイクルで実行して見ませんか?

個人情報保護法対策ガイド(NTTコミュニケーションズ)
http://www.ntt.com/business/p-info/index.html





このページの上に戻る▲