|
来年4月からいよいよ個人情報保護法(「個人情報の保護に関する法律」)が全面施工される。ここではこの6月に経済産業省から発表されたガイドラインからいくつかピックアップをしてみるので、貴社において対策を立てる際の参考にしていただきたい。
そもそも「個人情報保護法」とは「個人情報」を「事業者」に対してきちんと保護することを義務付ける為の法律である。では「個人情報」とはいったい何が対象となるのであろうか?この疑問にガイドラインは具体的な例をあげて答えている。
例えば本人の氏名はもちろん、生年月日や住所だけでなく会社における職位や所属に関する情報も個人情報であるといっている。ということはお客様からいただいた名刺の情報はこの法律では立派な「個人情報」として定義付けられてしまうのである。実際にガイドラインでは実例の3としてあがっているのだ。
余談になるが「特定の個人を識別こすることができる」メールアドレスは個人情報であり、数字や記号等で表記された「特定個人の情報であるか否かの区別の付かない」メールアドレスは個人情報でないという。すなわち「arishiro@yeswecan.co.jp」は「ありしろがイエスウィキャンに所属している」と推察が出来るので個人情報。 「123456@nifty.com」 はニフティを使っていることまでは分かるが個人が特定できないので個人情報ではないのだ。
個人情報の集合体であるデータベースの定義についても事例をあげて述べている。パソコン等に記録されている情報等が真っ先に思いつくと思うが、一方で「人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合」とか「氏名、住所、企業別に分類整理されている市販の人名録」など、要するに何も電子データだけでなく紙のデータも分類整理してあればデータベースであるのだ。
一方、アンケートの戻りはがきについて、氏名住所等で分類されていないものはデータベースではないと言っているので、個人情報保護法とは整理整頓好きな事業者はデータベースを持つ確率が高くなる=リスクが大きくなる という法律なのだ!(そんなことないか・・・)
「事業者(個人情報取扱事業者)」の定義を見てみよう。「個人情報」の数が、もしくは「個人情報データベース」の情報数が過去6ヶ月の間1日でも5000件を超えたそれらを保有している場合は個人情報保護法の適用される「事業者」とされている。したがってお客様の情報をデータベースに登録してあり、社員が端末から検索できるような状態にしている場合は、この法律では「事業者」となってしまうのだ。これは皆さんの中では結構当てはまるのではないだろうか。この法律はプロパイダや名簿屋さんだけの話だ、では済まないのである。
例えば「暇だからショッピングサイトでも立ち上げようかしら」なんて軽い気持ちで運営を始めた小物類を扱うサイトが、思いのほか人気になり、数年で顧客数が5000を越えた時点で、この法律で言う「事業者」となり個人情報を保護する義務が発生するのである。
先輩が 「おい、この箱にたまっている街頭でとったアンケート、まとめておけ!」「えー5000枚もあるんですよ。今度の休日出勤したときにやるんで勘弁してください。」と答えた後輩が次の日曜日にアンケートを50音順に整理した瞬間にその会社は個人情報を保有する「事業者」となり義務の違反を犯すと「罰則」の対象となってしまう可能性があるのである。
横道にそれるようだが、ここで「なぜ5000件なのか?」という大きな疑問が生じるのである。なぜ4900件でも5100件でも無く5000件なのか?これに対して経済産業省では「個人情報取扱事業者から除外される個人情報の量については、個人データの取扱いに配慮すべき規模であること、事業者自らが個人情報取扱事業者に該当するか否かを容易に判断できるものであることが必要であり、国会での御審議を踏まえ、5000件としています。」という禅問答のような回答が帰ってきている。(http://www5.cao.go.jp/seikatsu/kojin/kangaekata.pdf)誰か翻訳してください。
とにかく5000件を超えていなければ今回の法律でいう「事業者」とはならないのだが、その他にも「国の機関、地方公共団体、独立行政法人」等は対象外であると定義されており、また大学や研究機関も「学術研究を目的」としている場合に限って「事業者」とはならないそうである。
まず貴社の中に「個人情報」もしくは「個人情報データベース」が5000件以上あるかどうか確認することが必要になってくる。そうして不幸にも(?)対象の「事業者」であることが判明した場合、「個人情報」の取り扱いについての「義務」が発生し、それを守らない場合は最悪の場合、罰則の対象となるので対策を立てて準備をしておかなければならないのである。
来月は事業者が取るべき「義務」とそれを怠った場合の「罰則」について述べてみたいと思う。たとえば顧客情報を親会社から子会社に渡した場合、法律違反になる可能性があるのだ。
まとめ
個人情報保護法(個人情報の保護に関する法律)とは
・ 「事業者」に対して「個人情報」の保護を「義務」付けた法律
「事業者」←過去半年間に1日でも5000件以上の「個人情報」を保有している者 「個人情報」←氏名の他、個人を特定できる情報を含むもの
「個人情報データベースに該当する事例」(ガイドラインから) 事例1)
電子メールソフトに保管されているメールアドレス帳
事例2) ユーザーIDとユーザーが利用した取引についてのログ情報が保管されている電子ファイル
事例3) 社員が、名刺の情報を業務用パソコン(所有者を問わない。)に入力し、他の社員等も検索できる状態にしている場合
事例4) 人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合
事例5) 氏名、住所、企業別に分類整理されている市販の人名録
「個人情報データベースに該当しない事例」 事例1)
社員が、自己の名刺入れについて他人が自由に検索できる状況に置いていても、他人には容易にわからない独自の分類方法により名刺を分類した状態である場合
事例2) アンケートの戻りはがきで、氏名、住所等で分類整理されていない状態である場合
個人情報保護法
http://www5.cao.go.jp/seikatsu/kojin/houritsu/index.html
ガイドライン http://www.meti.go.jp/feedback/data/i40615gj.html
| 