個人情報保護法概要とノウハウ

個人情報保護法とは


個人情報保護法は、個人情報の保護に関する5つの法律(5法案)から構成されています。
これらの法律により、官民すべての個人情報を扱うものに対して、個人情報の適切な扱いをすすめるというものが個人情報保護法です。


基本理念の部分は公布と共に施行されており、実質的な内容である「個人情報取扱事業者の義務」「雑則」「罰則」については、2005年(H17年)4月より施行されます。


保護の対象となる個人情報は、事業を営むために必要とされる全ての個人情報(氏名、生年月日その他の記述等により特定の個人を識別することができる情報)を保護しなければなりません。


個人情報保護法が適用されるされるのは、個人情報が過去6月以内に5000件を超える全ての企業が対象となります。
5000件以下であれば、適用除外となりますが、個人情報には顧客情報や従業員に関する情報も含まれますから、よほどの小規模事業者以外は対象となります。


また、義務違反があった場合には、主務大臣より、当該違反行為の中止、違反を是正するために必要な措置をとるべき旨を勧告されます。
これに対して適切な対応が成されない場合は、6ヶ月以下の懲役か30万円以下の罰金罰則が企業に課せられます。


では、もう少し詳しい内容をご説明しましょう。


関連5法案の概要


個人情報保護法は、次の5法案から構成されています。


(1)個人情報保護法(基本法制)

基本法部分と一般法部分から構成されています。
基本法部分には、「個人情報は個人の人格尊重の理念の下、適正に取扱わなければならない」という基本理念と、国・地方公共団体が適正な個人情報の取扱いのための施策策定、実施する責務を有することを示しています。
一般法部分は、民間の個人情報取扱事業者の義務等、ビジネスに直接に関係する内容が書かれています。



(2)行政機関個人情報保護法
 

国の行政機関における個人情報の適正な取扱い、保有制限、利用目的の明示、目的利用の原則禁止、適正な管理と公表、本人関与、訂正・利用停止請求制度、不服申立て、罰則などを定めています。



(3)独立行政法人等個人情報保護法

独立行政法人、特殊法人及び認可法人等132法人を対象として、個人情報の取扱の規範、管理のルール、本人の関与、救済制度、罰則などを定めています。


行政機関、独立行政法人等における罰則規定」には、次の内容が書かれています。


  ・コンピュータ処理されている個人データの漏えい:
      二年以下の懲役又は百万円以下の罰金

  ・不正な利益を図る目的での個人情報の提供又は盗用:
     一年以下の懲役又は五十万円以下の罰金

  ・職務の用以外の用に供する目的で職権を濫用した個人の秘密の収集:
     一年以下の懲役又は五十万円以下の罰金


(4)情報公開・個人情報保護審査会設置法

行政機関及び独立行政法人等における情報の開示、訂正、利用停止決定等に対する不服申立てに関する諮問機関として、現存の「情報公開審査会」を改組し、「情報公開・個人情報保護審査会」を設置することを定めています。



(5)整備法

登記、刑事訴訟、特許等情報の適用除外、府省設置法(所掌事務変更等)の改正などが定められています。


個人情報を定義する


「個人情報の保護に関する法律」において、『生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。』とされています。


また、「JISQ15001:個人情報保護に関するコンプラアンス・プログラムの要求事項」においては、『個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述、または個人別に付けられた番号、記号その他の符号、画像もしくは音声によって当該個人を識別できるもの。(当該情報だけでは識別できないが、他の情報と容易に照合することができ、それによって当該個人を識別できるものを含む)』とされ、基本的には同じ事が書かれています。


つまり、該当する個人情報は、「個人を特定し得る情報」全てとなります。



個人に関わる情報として、まず思いつくのが、「氏名」「生年月日」「性別」「住所」、これらの情報は、住民基本台帳などから、誰もが容易に入手可能な情報であり「住民基本四情報」などと呼ばれています。これだけあれば完璧に個人を特定できます。

これ以外にも「電話番号」「勤務先」「職業・職種」、更に、「国籍・人種」「本籍」「家族構成」「学歴」「職歴」「結婚・離婚歴」「賞罰」「趣味・嗜好」「特技」「所得」「取引銀行・クジットカード番号」「信仰・宗教」「身長・体重」「血液型」「写真(肖像)」など、個人を特定できる情報に多くの個人情報があります。

例えば、会社入社時、保険加入時、アンケートに回答するときなど、これまであまり意識せずに個人情報を提供していたことになります。
更に、業種や職種によっては、こんな情報もあります。
「妊娠経験」「成績記録」「犯罪歴)」「病歴・手術歴」「音声・声紋」「身体機能」「性癖」「取得 不動産情報」「DNA鑑定情報」「友人関係」なども個人を特定できる個人情報となります。

それ以外にも、次の情報も個人情報として扱われます。



他の情報と容易に照合して個人を特定できる情報

それぞれが単独の情報では個人を特定するに至らない場合でも、「他の情報を容易に照合することができる場合」にも個人情報とされます。
例えば、Aという1つの表だけでは個人を特定できないので個人情報を扱っているとは言えないが、Bという別表と照合するれば特定個人の氏名と趣味が照合できる場合は、これらのA表、B表が個人情報となります。
一つのリストだけでは分からないが、二つ以上の情報を組み合わると、個人を特定できてしまう情報を指しています。




生存する個人に関する情報

個人情報保護法の中には「生存する個人に関する情報」とあります。
これは「既に亡くなった人の情報は対象外」と単純に考えつきますが、注意が必要です。
例えば、その情報の中に生存中親族との関係などが含まれた情報で、その情報には生存する親族が含まれている場合には、その情報が「生存する個人に関する情報」となります。

従って、あらゆる「人」について、断片的な情報であっても「個人情報」と成り得る。と考えておくべきです。




センシティブ情報

日本語では「機微な情報」という表現がなされ、「個人の社会生活に大きく影響する可能性のある個人情報」がセンシティブ情報です。
「JISQ15001個人情報保護に関するコンプラアンス・プログラムの要求事項」においては、下のような具体的な項目が掲げられていますが、個人情報保護法においては、その判断は個人によって大きく異なるため、定義が困難として盛り込まれていません。
しかし、こうした情報を扱うことは避けるべきです。また、「利用目的を明確化」、「利用目的外の使用禁止」の観点からも、これらの情報収集を正当化することは難しいと思います。


「JISQ15001個人情報保護に関するコンプラアンス・プログラムの要求事項」
 4・4・3・2 特定の機微な情報の収集禁止
      a)思想,信条及び宗教に関する事項。
      b)人種,民族,門地,本籍地(所在都道府県に関する情報を除く。),身体・精神
       障害,犯罪歴,その他社会的差別の原因となる事項。
      c)勤労者の団結権,団体交渉及びその他団体行動の行為に関する事項。
      d)集団示威行為への参加,請願権の行使,及びその他の政治的権利の行使に関
       する事項。
      e)保健医療及び性生活。






具体的な個人情報

企業(個人事業を含む)における個人情報は具体的には、顧客情報(ユーザ情報)、従業員に関する情報(インハウス情報)も個人情報に含まれます。
個人が特定できる情報で、管理されている(データや台帳などで業務上必要なため管理されている)状態のものは、全てが、「個人情報」となります。

本法律は、「事業の用に供する」場合に適用する。となりますので、事業を営むために必要とされる個人情報が管理の対象となります。
例えば、次のようなものが個人情報となります。



<顧客情報>
顧客リスト<住所、勤務先、購入記録・・・>、DMリスト、クレーム情報、 営業日報、アンケート結果、会員番号・パスワード/暗証番号・・・

<取引先情報>
名刺、会議議事録、契約書・・・

<社員情報>
履歴書、健康診断書、厚生年金・雇用保険等の情報、扶養家族届、給与・賞与明細、人事評価記録、出退勤記録、議事録、コンピュータなどのパスワード…



個人情報取扱事業者とは


個人情報保護法において、個人情報を管理する上で義務を課せられる対象となる人、会社等を、「個人情報取扱事業者」と表現しています。



「個人情報取扱事業者」とは

第二条3項に次のように定義されています。


この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。
ただし、次に掲げる者を除く。

1.国の機関
2.地方公共団体
3.独立行政法人等
4.その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ない
  ものとして政令で定める者




「個人情報データベース」

この法律の中では「個人情報を含む情報の集合物」であって、「電子計算機を用いて検索可能な体系的に構成したもの」に加えて「個人情報を容易に検索可能な体系的に構成したもので政令で定めるもの」とあります。

コンピュータ上で管理する個人情報全てと、紙ベースであっても、住所録等などは個人を検索するためのものとしてその対象になります。
「名刺」は、きちんと整理・管理された「名刺ホルダー」などは対象になりそうですが、少数枚の 名刺を整理せずに保管している場合などは、個々に社会通念に従って判断されることになります。




「事業に用に供している」

「事業の用に供している」ということは、事業運営に必要な情報ということです。
ここでいう「事業」とは、「一定の目的をもって反復継続して遂行される同種の行為の総体を指し 、営利、非営利の別を問わない。」とされていますから、企業は個人情報取扱事業者の対象となります。




適用外となる「政令で定める者」

四項で、個人情報の量及び利用法によっては政令で適用外とすることが書かれています。
政令では、「個人情報が数の合計が過去6月以内のいずれの日においても5000を超えない者とする。」としています。
5000件以下であれば、適用除外となる方向ですが、個人情報には顧客に関する情報はもちろん、従業員に関する情報も含まれますから、よほどの小規模事業者以外はこの対象となり得ます。




適用除外

第五十条で示された、放送機関、新聞社、通信社その他の報道機関、著述を業として行う者、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者、宗教団体、政治団体などが、その活動目的に供する個人情報は適用除外となります。
ただし、それぞれの事業の目的外に収集された個人情報は対象となります。


企業の義務、罰則


企業の多くが「個人情報取扱事業者」に該当し、個人情報を適切に扱うための義務が定められ、そうした義務に抵触すると罰則が与えられることになります。どのような義務(努力義務を含む)が課せられるのかをまとめると、以下のようになります。



企業の義務

1)利用目的の明確化

  ・利用目的をできる限り特定しなければならない。
  ・利用目的を達成するために必要な範囲を超えて取り扱ってはならない。
  ・利用目的を情報主体(個人情報を保有する本人)に通知又は公表しなければならない。
  ・利用目的を変更したときは、情報主体に通知又は公表しなければならない。

2)不正取得の禁止
  ・偽りその他不正の手段により個人情報を取得してはならない。

3)個人情報の管理
  ・正確かつ最新の内容に保つように努めなければならない。
  ・安全管理のための必要な措置を講じなければならない。

4) 監督
  ・従業者・委託先に対し必要な監督を行わなければならない。

5)第三者供与
  ・本人の同意を得ずに第三者に提供してはならない。
   * 共同利用について、あらかじめ本人から同意を得ている範囲での提供は適用外と
     する。
   * 利用目的を達成するための業務委託の場合、提供は適用外とする。
   * 合併等による事業継承時の提供は適用外とする。

6)本人の関与
  ・事業者名、利用目的等を本人の知り得る状態にして置かなければならない。
  ・本人の求めに応じて保有個人データを開示しなければならない。
  ・本人の求めに応じて訂正等を行わなければならない。
  ・本人の求めに応じて利用停止等を行わなければならない。
  ・適切かつ迅速な苦情の処理に努めなければならない。

開示、訂正、利用停止等については、合理的な理由(それをおこなうためには、一般常識で理解できないくらいの膨大な費用がかかる場合や、想像を絶する手間がかかり現実的でない場合など)がある場合は、応じない決定可能だが、本人に遅滞なく、その旨を通知しなければなりません。







罰 則

これらの義務違反があった場合には、主務大臣より、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告されます。
これに対して適切な対応が成されない場合は、罰則が適用されます。
また、従業員が行なった違反に対しても、その企業は罰則の対象となります。




< 罰則の流れ>

義務違反 → 主務大臣の勧告・命令 → 命令違反→ 罰則 →  6ヶ月以下の懲役

又は30万円以下の罰金



どう対応すれば良いか


先に個人情報保護法の概要を書きましたが、なかなか重い内容です。
個人情報保護法の基本的な部分は公布の日から施行されており、その他の義務、罰則規定等は、2005年(H15年)4月より施行されています。

本ホームページでも事故情報を公開していますが、社会全体が個人情報保護に対して非常に関心を持っています。対応を怠ると、事業上において大きな損失を受けることになります。




「どのように対応するか」

企業規模や業種、保有する個人情報量などによって異なりますが、一般的な手順をご紹介致します。



1)個人情報保護責任者を選任する

法律では、従業員、委託先を含めて適切な監督を行なうことが求められています。
また、企業で保有する全ての個人情報が対象となりますので、従業員が個別管理している個人情報等も一元管理する必要があります。
社外社内からの苦情処理を対応できる体制を確保することなどを考えると、全社が一丸となって取り組まなければなりません。
そこで、個人情報保護活動の責任者を決め 全社単位での活動を進めてください。
全社規模での活動ですから、取締役などの責任を持った立場の人を選任すべきです。



2)個人情報を洗い出す

「個人情報」と思われる全ての情報をリストアップし、その利用目的を明確にして、不要な情報は廃棄したり、情報漏洩等に対するリスクを把握して適切な管理方法を定めておく必要があります。

それぞれの個人情報について次のような項目を設定して整理しましょう。

 1、個人情報のデータベースや、個人情報の書かれている帳票の名称、個人情報の項目
 2、利用目的
 3、個人情報項目と利用目的
 4、取得方法、取得経路
 5、利用者、利用部門、情報の管理者、管理部門
 6、利用目的等の通知・公開方法
 7、最新情報への更新方法
 8、漏洩時等のリスク分析
 9、情報を安全に管理するための方法
10、開示要求・訂正等の要求、利用停止等の要求への対応方法
11、廃棄の方法、保有期限



3)個人情報管理の体制をつくる

個人情報を扱うためのルールを定め、その運用を監視し、意識の向上のための教育を実施し、罰則ルールを決め、個人情報の安全管理のためのマネジメントシステムを構築することが不可欠です。

1、個人情報管理に関する組織体系(苦情処理手順等も含む)、管理者の権限と責任を明確にし
  、全社で取り組む体制を構築します。
2、個人情報の管理方法、利用手順などをルール化します。
3、個人情報の適切な扱いに関して遵守できない従業員に対する罰則規定を設けます。
4、個人情報保護に関する意識の向上、モラルの維持、安全管理(コンピュータセキュリティー
  等も含む)に関する知識の習得など、継続的、計画的な教育プログラムを作成し全員に教育
  を実施します。
5、ルール等の運用を監視し、必要に応じて改善します。



4)まとめ

個人情報保護法への対応は、非常に大変な作業であることをご理解いただけたと思います。
また、すぐにでも取り組まなければ時間切れとなってしまうことを痛感されたと思います。
社内のリソースだけで、これらの事を実現できるか不安を感じられた方も多いと思います。


取り組みに当たって、1つヒントを出すとすれば、実は、個人情報保護法の対応作業と、プライ バシーマーク認証のために必要となる活動内容はおおむね同じなのです。
社内だけのリソースで、こんな事はできないと感じられたら、当社の「ナレッジシェアdo」サービスを利用頂くことで、確実な個人情報保護活動の対応、プライバシーマーク認証取得・維持まで短期間・低価格で実現いただけます。
「ナレッジシェアdo」サービスの詳細は、こちらです。ナレッジシェアdo


手遅れにならないためにも、すぐに行動を起こしてください。



Copyright(c) Knowledge Solutions Corporation.