中小企業の法律相談

福岡の弁護士、近江法律事務所が提供している法律コラムです。

個人情報保護対策について

1 個人情報保護対策のポイント

2005年4月1日、個人情報の保護に関する法律(個人情報保護法)が全面施行されましたが、各企業における対策は十分になされているでしょうか。

個人情報保護対策を講ずる際にまず必要となるのが、個人情報保護法を知ることと、内部管理体制を構築することです。

個人情報保護対策について

2 定義規定の重要性

個人情報保護法(民間部門)は、個人データの量が過去6ヶ月以内で5000人分を超える個人情報取扱事業者に対して、個人情報を取得する際の利用目的の本人への通知又は公表(法18条)、個人情報の本人の同意のない目的外利用の禁止(法16条1項)、個人データの第3者提供の禁止(法23条1項)、本人からの求めによる保有個人データの開示・訂正・利用停止(法25~27条)等の義務を課しています。また、法の実効性を確保するために、苦情処理(法31条)の義務を課すとともに、主務大臣の関与(法32条以下)等についても規定し、それに従わない場合には罰則(法56条以下)が科せられる場合もあります。

このような個人情報保護法を正確に理解するためには、個人情報保護法の定義規定に留意する必要があります。

個人情報保護法は、2条において、個人に関する情報を、「個人情報」、「個人データ」、「保有個人データ」に分類したうえ、「個人情報」を、氏名、生年月日その他の記述により特定の個人を識別することができる生存者の情報と、「個人データ」を、個人情報データベース等(特定の個人情報を氏名等で検索できるように体系的に整理されたもの)を構成する個人情報と、「保有個人データ」を、個人情報取扱事業者が、本人の求めにより、開示、訂正、利用停止等を行うことを要する個人データとそれぞれ定義しています。

当該個人情報が「個人情報」、「個人データ」、「保有個人デ7ータ」いずれに該当するかによって、個人情報取扱い事業者に課される義務が異なります。

例えば、「個人情報」や「個人データ」は開示等の対象とはなりませんが、「保有個人データ」は開示等の対象となるなどです。

3 各省庁のガイドライン

このように定義規定に留意しながら個人情報保護法を見ても、実務レベルにおいては、どこまでが規制され、どこまで対策を講ずるべきか迷うことも多いのではないでしょうか。

例えば、金融分野においては金融庁が「金融分野における個人情報保護に関するガイドライン」を策定し、事業全般においては経済産業省が「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を策定し、その他、(1)医療1般、(2)医療研究、(3)信用、(4)電気通信、(5)放送、(6)雇用管理、(7)警察、(8)法務、(9)財務、(10)教育、(11)福祉、(12)職業紹介等、(13)労働者派遣、(14)国土交通、(15)農林水産の各分野においても各省庁がガイドラインを策定しています。

各分野のガイドラインの策定状況およびその内容については、国民生活政策ホームページにおける「ガイドライン等の検討状況」によくまとめられています。ただし、最新の状況については、各省庁のホームページを直接参照することをお勧めします。

各省庁のガイドラインを参照する際には、企業の業務内容によっては、適用されるガイドラインが1つのみでなく、複数のガイドラインにまたがることがあることに留意してください。

また、各ガイドラインについては、各省庁のパブリックコメントが付されている場合がありますので、ガイドラインを見てもどのように理解すべきか迷う場合には、各省庁のホームページからパブリックコメントを参照してみることをお勧めします。

4 内部管理体制の構築

各企業においては、個人情報保護法を十分に理解したうえで、(1)組織的安全管理措置、(2)人的安全管理措置、(3)物理的安全管理措置、(4)技術的安全管理措置といった内部管理体制を構築することが必要となります。

(1)組織的安全管理措置とは、安全管理について、従業者の責任と権限を明確に定め、安全管理に対する規定を整備し、その実施状況を確認する措置をいい、(2)人的安全管理措置とは、業務上秘密と指定された個人データの非開示契約の締結や従業者に対する教育等を行う措置をいい、(3)物理的安全管理措置とは、入退室の管理、個人データの盗難の防止等の措置をいい、(4)技術的安全管理措置とは、個人データへのアクセス制御等の措置をいいます。

各安全管理措置の具体的内容については、経済産業省のガイドラインが参考となります。

5 意識改革の必要性

個人情報対策を講ずる際、最も重要となるのが、全従業員が個人情報の適正管理の重要性を認識することです。  従来、企業の多くは、個人情報をたくさん保有していることがその会社の財産だと考えていたかもしれません。しかしながら、個人情報保護法が全面施行され、個人情報について消費者の関心が高まっている今日、ひとたび企業の保有している個人情報が漏洩・悪用されてしまえば、当該企業の社会的信用は失墜し、多大な損失を被ることとなります。

そこで、そのようなリスクを少しでも軽減するため、従来の発想を転換し、全従業員がまず、(1)不必要な個人情報は取得しない、(2)不要となった個人情報は廃棄するという意識を共有することが不可欠となります。

なお、個人データの廃棄を外部に委託する際には、委託先に対して必要かつ適切な監督を行う必要が生じます(法22条)。これは単に契約によって適切に取り扱うよう定めただけで足りるものではありませんので、委託先の選定は慎重に行う必要があります。委託先選定の際には、委託先が個人情報保護に関する民間規格(財団法人日本情報処理開発協会が認定するプライバシーマーク等)を取得しているかが1つの目安となるでしょう。

以上、簡単ですが、個人情報保護対策を講ずる際のポイントにつき論じてきました。いまだ個人情報保護対策が十分でない企業は、以上を参考に、早急に個人情報保護対策を講じてください。

H17.05掲載