2005年08月22日
006.個人情報保護法
■大企業の個人情報流出事件
昨今“個人情報漏洩事件”が紙面をにぎわせています。ヤフーBB、ジャパネットたかた、オリエンタルランドの顧客情報流出事件や京都府宇治市の住民基本台帳データ流出事件など、次から次へと個人情報が流出してしまうこのご時勢にもかかわらず、「うちの会社に限っては大丈夫だよ」とのんびり構えている経営者の方は少なくないと思います。
しかし、いよいよ、これらに関連する法律(個人情報保護法)がこの4月1日に全面施行されました。この法律の概要と対策についてこれから触れていきたいと思います。
■個人情報に該当するもの
そもそも個人情報とは、「氏名、住所、生年月日、その他の記述等により特定の個人情報を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」をいい、たとえば住所、年齢、性別、電話番号、趣味、学歴、家族構成などが該当します。この他にも、顔写真や防犯カメラの画像なども、個人が特定できれば個人情報となります。
また、個人情報とは生存する個人(自然人)の情報のことをいうので、原則として死亡した個人や法人の情報は個人情報には当たりません。しかし、死亡した個人の情報であっても、生存者の属性(遺族)情報に該当する場合には個人情報に当たります。また、法人の情報であっても、「株式会社○○○○代表取締役××××」というように、個人の氏名が含まれる場合も個人情報に当たります。
■誰が個人情報保護法の対象となるのか
個人情報保護法は「個人情報取扱事業者」に対して適用され、事業者に対しては個人情報の適正な取り扱いを義務付けて、悪質な違反者は罰せられることになっています。
個人情報取扱事業者とは、「個人情報データベース等を事業の用に供しているもの」をいいます。つまり、体系的に構成した個人情報を営利・非営利を問わず事業に用いている事業者を指します。ただし、管理している個人情報が5000件を超えない事業者は除外されます。
しかし、これだけ個人情報に対する関心が高まっている現在では、個人情報取扱事業者でなくとも無関係とは言い切れません。なぜならば、前記の刑事罰を免れたとしても、ひとたび個人情報漏洩事件を起こせば、被害者から多額の損害賠償請求を受ける可能性があるからです。
■個人情報を取得した際の義務
個人情報保護法では、個人情報取得に際して以下のようなことを義務付けています。
①個人情報の利用目的を明らかにすること
②個人情報の不正な取得の禁止
③個人情報の安全管理処置
④個人情報の正確性の確保
⑤従業員・委託先の監督
⑥個人情報の第三者提供の制限
⑦本人の求めによる情報の開示・利用停止
⑧苦情処理
具体的には、利用目的を定めて公表し、その利用目的以外での個人情報の使用はできません。また、個人情報を取得する際は、本人へ利用目的を通知した上で、同意を取る必要があります。さらに、個人情報を取得後、利用目的を変更する場合や第三者に提供する場合は、再度同意を取る必要があります。
■最後に
個人情報は、詰まるところ人が取り扱うものです。いくら制度として個人情報保護対策を取っても、人の教育をおろそかにしては、次の瞬間、外部へ漏洩する可能性は否定できません。
人の教育を継続的に行うことができるか。個人情報保護対策は、まさにここにかかっているといっても過言ではありません。