TEL&FAX 03-3535-3915 E-mail soudan@office-yamaguchi.com
TEL&FAX 03-3535-3915 E-mail soudan@office-yamaguchi.com
個人情報保護法について
目次
1. 個人情報保護法って何?
2. 個人情報保護法に違反するとどうなる?
3. 個人情報って何?
4. 住民基本台帳と個人情報保護法の関係。
5. 会社の個人情報保護法対策。
6. プライバシーマークについて。
1.個人情報保護法って何?
個人情報保護法が平成17年4月から施行されております。テレビでは、これに関連していろいろと話題にしておりますが、私たち一般人にはあまり生活が変わったという実感はありませんね。強いていえば、このところダイレクトメールが少なくなったという程度でしょうか。ですがテレビや新聞では、住民基本台帳の是非とか、個人情報漏えいといった話題でにぎわっているようです。ここで今更のようですが、個人情報保護法とその周辺の関係を整理してみようと考えました。
まず、個人情報保護法についてですが、新しい法律なので条文の最初に書かれている(目的)を読んでみましょう。参照:http://www5.cao.go.jp/seikatsu/kojin/houritsu/index.html
法律について知りたいと思ったときには、私はこの(目的)のところを読むことにしています。法律の条文は、私たちが普段使わないような難しい言葉で書かれており、いろいろな状況に対応できるように考えうる限り多様な事が書かれています。だから、条文を通しで読んでもよく分からないことがほとんどです。しかし、条文には一つだけ私たちにも分かりやすいルールがあります。それは、最初の(目的)に続く全ての条文は、(目的)を達成するために書かれているということです。ですから、個人情報保護法でもこの(目的)を読んで、「そうゆうことがしたいのか」と分かれば、私たちにとってはこの法律の半分くらいは分かったようなものです。
話をもとに戻します。最近、ネットと呼ばれるパソコンによる通信が盛んに行われるようになりました。ネットの特徴は、大量の情報が手軽に送信できることです。これは便利な反面、悪意や不注意によって大量の情報が流出したり悪用されたりする危険が増大したということです。そこで、ネットを利用することの便利な面を確保しながら危険な面を防ぐために個人情報保護法が作られたのです。
2.個人情報保護法を違反するとどうなる?
個人情報保護法は、基本的なことを定めた法律ですから、私たちの生活に具体的に関係する事柄に関しては、担当省庁や各地方公共団体が、法律や規則を作ってこれを運用しています。個人情報取扱事業者が、この法律を遵守するように監督するのは、業者の属する業種を統括する担当大臣の役目です。
個人情報取扱事業者がこの法律に違反して、個人の権利利益が侵害された場合には、まず、主務大臣は違反行為の中止や是正措置を勧告又は命令します。業者がそれでも違反行為を中止しない場合には、6ヶ月以下の懲役や30万円以下の罰金をこの業者に科すことになります。参照:http://www5.cao.go.jp/seikatsu/kojin/kaisetsu/pdfs/tanpo.pdf
しかし、業者の負うペナルティはこれだけに止まりません。謝罪とかおわびと称し、個人情報提供者全員に商品券や割引券を配布しています。この謝罪は、1件当たり500円から1,000円が相場となっていますから、この法律が適用される最低限5,000件でも250万円から500万円を支出していることになります。なんと、罰金よりもはるかに高額の支出をしているのです。
社会の風の厳しさを感じますね。
3.個人情報って何?
前回は、個人情報保護法に違反した場合のことを書きました。
この法律に違反しないためには、個人情報の内容を知っておいたほうが良いですよね。
この法律でいう個人情報とは、氏名・生年月日その他により特定の個人を識別することができるものとされております。その他には、住所・電話番号・勤め先なんてものが含まれるのでしょうね。誰もがどこかで記入したことがあるものだと思いますが、今例示したものを基本情報と呼ぶそうです。個人情報には、大別してこの基礎情報とプライバシー情報とがあります。
個人情報保護法が話題になる前から、プライバシーという言葉が世の中では使われておりました。プライバシー情報とは、個人の財産情報や医療記録など、他人に知られることに抵抗を感じる情報のことです。こういったプライバシー情報は、個人情報の一部です。ですが個人情報の全てがプライバシー情報というわけではありません。ですから、「これはプライバシー情報ではないから、個人情報保護法の規制を受けない」などと判断してはいけません。
もともと、個人情報保護法はプライバシー保護の目的のために作ろうということになった法律ですから、プライバシー情報はその対象となっていて当然ですよね。この法律では、そういったプライバシー情報への足がかりとなる基礎情報についても規制をしているということでしょうか。
参照:http://www5.cao.go.jp/seikatsu/index.html
4.住民基本台帳と個人情報保護法の関係
ここまで個人情報保護法ついて書いてきてふと思いました。テレビで話題になっていた住民基本台帳と個人情報保護法とは、どんな関係になるのだろう。個人情報の取扱がこれだけ法律で規制されるのだから、住民基本台帳なんて当然違反なんじゃないか、だとしたらなんであんなに話題になるのだろう。
住民基本台帳について考えてみましょう。皆さんのお住まいの地域の役所では、住民票というのがありますよね。最近は、住民票をとると役所の用紙に必要事項が印刷されているはずです。印刷されるということは、住民票用のデータが役所のコンピュータの中に保存されているはずです。この住民票用のデータのうち氏名・生年月日・性別
・住所の4つの情報を、いつでも誰でも閲覧できる、というものです。この4つの情報って個人情報保護法の言っている個人情報ですよね、公開しちゃっていいのでしょうか?
結論は、今の法律では合法ということになります。住民基本台帳は住民基本台帳法という法律に準拠して運営されています。そして、住民基本台帳法は個人情報保護法の特別法なので、住民票の発行をはじめとする市町村の業務に関する部分では、住民基本台帳法が個人情報保護法に優先して適用されるからなのです。
特別法なんてゆう言葉が出てきちゃいましたね。簡単に説明しておきますと、個人情報保護法は適用される人・事項・地域などに限定のない一般法です。これに対して、住民基本台帳法は適用される人・事項・地域などが限定される特別法なのです。そして特別法は一般法に優先して適用される、特別法に定めがなければ一般法が適用される、というルールがあるのです。
参照:http://www.soumu.go.jp/c-gyousei/daityo/juki_shiryo.html
5.会社の個人情報保護法対策
今度は、個人情報保護法に対して会社がとるべき対応について考えてみます。やっと、本業の部分に入ってきたかんじです。
基本的な対応は、3つに分類することができます。
@ プライバシーポリシーの公表
A 安全管理・責任体制
B 従業員への啓発
プライバシーポリシーは、最近色々なところで見かけることが多くなりましたが、日本語にすると個人情報保護方針となります。すでに公表している会社のホームページを見ればお分かりのように、特に決まった形があるわけではありません。ですが、内容はOECDの8原則(参照:http://www5.cao.go.jp/seikatsu/kojin/kaisetsu/pdfs/gensoku.pdf)の2つ、すなわち目的明確化の原則と利用制限の原則が必ず盛り込まれているはずです。加えて、気の利いたところでは、さらにデータ内容の原則と安全保護の原則について会社がどのような対応を採っていて、誰がその責任者なのかが記載されているでしょう。
そして安全管理・責任体制は、先述のプライバシーポリシーを守るために、具体的に会社内の組織が整備されていることを意味します。個人情報を管理する部署では、データ内容の原則と安全保護の原則を、そして、その他の部署では安全保護の原則を守れるような体制を整えていなければなりません。さらに、個人参加の原則に対応できるような部署を設定し、その対処方法をあらかじめ検討しておくべきです。いずれも会社の組織ですから管理責任者が必要であることは言うまでもありませんね。
こうした個人情報保護のための会社の組織が正常に運用されていなければ、ポリシーも体制も無意味なものになってしまうことでしょう。ですから、従業員のみなさんに個人情報保護についての理解と協力を得られるよう周知徹底しておく必要があります。
皆さんは、個人情報保護のための安全管理といった場合、会社の中で具体的にどのようなことを思い浮かべますか?
真っ先に考えつくのは、コンピュータウィルスの問題ですね。悪意のあるコンピュータプログラムが会社外部から侵入して、会社の保有する個人データを送信してしまうという問題については、現在市販されているコンピュータウィルス対策ソフトを会社のコンピュータにインストールし、更新料を支払って稼動させておけばひとまず安心といえるでしょう。
しかし、最近の個人情報流出とか紛失についてのニュースを見ると、その内容は、会社内部の人の個人情報の取扱が適切でなかったために生じているものがほとんどです。ですから、日本国内での個人情報取扱の問題は、会社の外部よりもむしろ内部にあるということです。会社の人間が、個人情報の入ったコンピュータを会社から持ち出す、あるいは個人情報の記載してある文書を会社から持ち出そうとするのを防ぐために、特殊なオフィス用品を利用することも検討した方がよいかもしれません。参照:http://www.kokuyo.co.jp/stationery/ims/
また、外部と内部とを問わず、コンピュータ内の個人情報をネットを使って盗み出そうとする問題については、これを防ぐために今までのウィルス対策ソフトとは考え方の異なる対策ソフトの導入が必要かもしれません。参照:http://www.promisec.com/page/index.asp
そして、いずれの対策をとるにしても、会社で働く人たちの危機意識を喚起しておかなければなりません。どのような対策も、運用するのは人なのですから。
6. プライバシーマークについて
個人情報保護法が施行され、世の中の会社のホームページにはプライバシーポリシーが掲げられるようになると同時に、プライバシーマークという言葉が見られるようになりました。
プライバシーマークは、財団法人日本情報処理開発協会(JIPDEC)が個人情報取扱業者に付与するものです。業者はJIPDECとプライバシーマークの使用許諾の契約を結ぶことで使えるようになります。だからといって、誰でもJIPDECと契約を結べる訳ではありません。このマークは、一般の人が、業者の個人情報の取扱が適切であることを容易に判断することができるように導入されたものです。ですから、契約に先立って業者の個人情報の取扱が適切であるかどうかを、指定機関が審査します。
審査の内容は、制度の趣旨からすると、個人情報保護法対策として先述したしくみの整備と運用の状況が対象になるでしょう。
ここまで、個人情報保護法について書いてきましたが、いかがでしたか?
今まで、テレビで話題になっていたことですが、私が疑問を感じて今更他人に聞けないようなことを調べてみました。一連の内容について、取りまとめてホームページに追加していくつもりです。また、関連事項についてのご質問にも可能な限りお答えいたしますので、ご利用ください。