|
個人情報保護法(「個人情報の保護に関する法律」)について先月号ではそのガイドラインを元に個人情報保護法の適用される範囲について述べてきた。一言で言うと多くの企業がこの法律の対象範囲になり、その準備をしなければならない ということである。
それでは、どんな対策が必要なのだろうか。いくつかポイントを挙げてみたいと思う。
まず個人情報を収集する場合はその情報の「利用目的」をその個人に明示しなければならないし、その情報を本人の同意を得ない限り当初の「利用目的」以外に利用したり、または第三者に対して提供したりしてはならないと、明確にうたわれている。
これは個人情報を集めそれを横流ししているような、業者に対してきちんと法律で対応していくと言う姿勢を表していると捉えることも出来る。しかし一方で、たとえばホームページ上での問い合わせフォームを作っていたり、店頭に置いておくパンフレットで簡単なアンケートを行っていたりする際にも、その「利用目的」を明確にしなければならなくなってくるのだ。
個人情報データの提供については本人の同意なくしては「第三者」には提供出来ないのだが、その「第三者」にあたるものとして、親会社や子会社などのグループ企業やフランチャイズの親会社とフランチャイズ間も定義されていることに注意しなければならない。
またガイドラインではその「利用目的」記述についてもかなり具体的な表現方法を義務付けている。例えば「当社のマーケティング活動に利用します」ではダメ。「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用」となっていなければいけない。この理由として「本人が、取得された当該本人の個人情報が利用された結果が合理的に想定できる程度に、具体的、個別的に特定しなければならない。」となっている。要するに情報を提供した本人に対して、その情報の使われ方が具体的にわかるようにしなさい ということだろう。
次に注意しなければならないことが、個人情報を扱う事業者の「安全管理措置」を明確に義務付けていることである。一言で言うと「うっかり」や「知らなかったので」では済まなくなっているのである。
ガイドラインでは「適切でない事例」として以下の例をあげている。
事例1) 公開されることを前提としていない個人データが事業者のホームページ上不特定多数に公開されている状態を個人情報取扱事業者が放置している場合
事例2)
組織変更が行われ、個人データにアクセスする必要がなくなった従事者が個人データにアクセスできる状態を個人情報取扱事業者が放置していた場合で、その従事者が個人データを漏えいした場合
事例3)
本人が継続的にサービスを受けるために登録していた個人データが、個人情報取扱事業者による不適切な取り扱いにより滅失又はき損し、本人がサービスの提供を受けられなくなった場合
事例4) 個人データに対してアクセス制御が実施されておらず、アクセスを許可されていない従業者がそこから個人データを入手して漏えいした場合 事例5)
個人データをバックアップした媒体が、持ち出しを許可されていない者により持ち出し可能な状態になっており、その媒体が持ち出されてしまった場合.
事例1などは数年前から大手企業を中心にマスコミを騒がしている情報漏えいの原因そのものである。また事例5などは「バックアップしてあるMOやCD-R」が机の上やパソコンの前に放置されている光景は、もしかしたらこれをお読みのみなさんの会社でも見られることかもしれない。
ここでは文字数が足りないのであえて紹介しないが、企業が組織的に取るべき「安全管理措置」をとる義務として、ガイドラインでは7ページに渡って詳細に記入されている。例えば従業員や委託先へ最低限取るべき措置として、「契約書に含むべき事項はこうだ」とか「個人データを移送する際にはこれらの措置を」とか、かなり詳しく記入されている。このガイドラインにしたがってルールを作成すれば「セキュリティポリシ」の一部も作成できてしまうほどの充実した内容であるので、ぜひご覧いただきたい。
最後にガイドラインでは個人情報保護のためのコンプライアンス・プログラムの策定やその実施を促している。その策定や実施にあたっては日本工業規格
JISQ15001「個人情報保護に関するコンプライアンス・プログラムの要求事項」(当ガイドラインに基づいて改訂される予定)等を、個人データの安全管理措置の実施にあたっては、日本工業規格
JISX5070「セキュリティ技術 − 情報技術セキュリティの評価基準」及び日本工業規格
JISX5080「情報セキュリティマネジメントの実践のための規範」等を参考にしてほしい。
また「個人情報保護に関する考え方や方針に関する宣言(いわゆる、プライバシーポリシー、プライバシーステートメント等)」を策定し、ホームページへの掲載等により公表することが望ましいとなっているので、こちらも用意したほうが良いだろう。
個人情報保護法
http://www5.cao.go.jp/seikatsu/kojin/houritsu/index.html
ガイドライン http://www.meti.go.jp/feedback/data/i40615gj.html
| 