■ 個人情報保護法と企業の対応

なぜ今、個人情報漏えい対策が必要なのでしょうか？
情報機器やインターネット等、情報通信の発達や派遣社員の増加、アウトソースの活用など、業務形態の変化により大量の個人情報が瞬時に漏えいする危険性が増大しています。今年の4月より施行された個人情報保護法により、プライバシーに対する個人の意識は相当高まっています。
万一、個人情報が漏えいすると、被害者への損害賠償金や訴訟費用、謝罪広告、お詫び状郵送費等、多大な経済的な損失が予想されますので真剣な取り組みが必要となります。
では、この個人情報保護法の概要と企業の対応について見てみましょう。

1.個人情報保護法とは

「漏えいだけでなく、個人情報の取り扱い方法を全般的に対象とするもの」です。
個人情報保護法は、高度情報通信会社の進展に伴い個人情報の利用者が著しく拡大していることにかんがみ、個人情報の不適切な取り扱いによって、さまざまな「個人の権利利益」が侵害されることを未然に防止するために、個人情報を取り扱う際に守るべき適正なルールなどを定めた法律です。したがって、個人情報そのものを保護することを目的としているのではなく、あくまでも、「個人の権利利益｣の保護が目的であり、法律の目的を定めた第一条にそのことが明記されています。
また、個人情報の漏えい事故が発生したような場合に、被害者が加害者に損害賠償請求をするための法律でもありません。この法律の条文には損害賠償に関する規定は置かれていません。
つまり、この法律は、個人情報を取り扱う際のルールを定めるものであり、それによって｢個人の権利利益｣を侵害する恐れがある事故の発生を予防しようとするものです。

2.義務を負う「個人情報取扱事業者」とは

民間事業者のうち、「個人情報データベース等を事業の用に供している者」であって、データベースや名簿などに含まれる個人情報を、過去6ヶ月以内に一度でも五千人分を超えて事業に用いたことのある民間事業者は、「個人情報取扱事業者」として、法律が定める義務を負うことになります。個人情報データベース等は、自分で構築・作成したものであるということが要件とされていませんので、他人が作成した住所録ＣＤ−ＲＯＭを購入したり、使用承諾を受けて事業に使用しているにすぎない場合でも、「個人情報取扱事業者」にあたります。
例外的に、五十音別電話帳や、カーナビゲーションシステム、市販の住宅地図を編集・加工せずにそのままの形で使用している限度では、それらは五千人分の算定の対象外とされています。
しかし、コンピュータが事業者の事業全般に広く使われている現在、大規模な事業者はもとより、ほとんどの中小企業も「個人情報取扱事業者」に該当することになるでしょう。
法は、「個人情報」、「個人データ」、「保有個人データ」の語を使い分けており、個人情報取扱事業者に課せられた義務はそれぞれ加重されていきます。

3.違反するとどうなるか

この法律は、できる限り当事者間における自主的な解決に委ねており、その中心は個人情報取扱事業者自身による苦情処理です。
また、「認定個人情報保護団体」が消費者の申し出に応じて苦情処理を担当し、さらに、国や地方公共団体も、苦情処理のあっせんその他必要な措置を講ずるよう努めるものとされています。
しかし、それでも常に適切な解決がされるとは限りません。そこで、主務大臣を監督機関として個人情報取扱事業者に対して、報告徴収→助言→勧告→命令という順に行うことができるものとしています。
まず、主務大臣は、個人情報取扱事業者から個人情報の取扱いに関して報告を徴収したり、必要な助言を行います。報告を怠ったり、虚偽の報告を行った場合には罰則（30万円以下の罰金）の対象になります。助言、勧告に従わない場合であっても、罰則の対象にはなりませんが、その後の命令に従わないものは、6ヶ月以下の懲役または30万円以下の罰金に処せられます。それと同時に、法人も３０万円以下の罰金に処せられます。
また、前記のような事態になった場合 、民事上の損害賠償責任を負わなければならない事態も考えられ、経済的な損失のみならず社会的な信用も失いかねません。

4.「個人情報」の取扱事業者の義務

｢個人情報｣とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む）をいいます。
個人情報取扱事業者の義務として、まず、個人情報を取り扱うにあたり、 �@、利用目的をできる限り特定しなければならず、�A当該利用目的の達成に必要な範囲内でのみ取り扱わなければなりません。�B個人情報を取得する場合、不正の手段により取得してはならず、�C利用目的を取得前に公表しておくか、取得後、すみやかに本人に通知または公表する必要があります。�D特に本人から書面で直接取得する場合には、あらかじめ明示することを要します。

5.「個人データ」の取扱事業者は義務がさらに追加

情報の集合物である「個人情報データベース」を構成する個人情報を｢個人データ｣といいます。取り扱う個人情報が「個人データ」に該当するときには、個人情報に関する義務にプラスして、さらに多くの義務が個人情報取扱事業者に課せられます。
個人データを対象とする個人方法取扱事業者に対しては、さらに加わる義務として、�@個人データを正確で最新の内容に保つよう努めなければなりません。�A漏えい、滅失または毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じ、従業員と委託先に対する監督を行わなければなりません。�B個人データを第三者に提供するには、あらかじめ本人の同意を得なければなりません。

6.保有個人データ

「保有個人データ」とは、個人情報取扱事業者が開示、内容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止のすべてに応じることができる権限を有する個人データをいいます。
｢保有個人データ｣に該当する場合は、開示、訂正、利用停止等に関して、さらに多くの義務が上積みされます。

7.企業の対応

政府の基本方針は、個人情報の保護のために事業者が講ずべき主要な措置として、次の３つの事項を求めています。
�@事業者の個人情報保護に関する考え方や方針に関する宣言（いわゆる、プライバシーポリシー）の策定・公表による、事業者が行う措置の体外的明確化、�A個人情報保護管理者の設置を含めた責任体制の確保、�B教育研修の実施などを通じた啓発による従業員の個人情報保護意識の徹底です。
プライバシーポリシーの公表は、この法律で定める公表、もしくは本人が用意に知りえる状態におかなければならない事項と併せ、事業者のウェブページに掲載する方法をとれば、通知と比べて漏れがなく、安価でかつ迅速的な対応が可能です。
以上、いろいろと面倒な対応が要求されますが、個人情報を事業に用いる事業者としては、社会の信頼を得るためにも、対応を研究し、専門家の助言も取り入れながら、しっかりと取り組んでいく必要があるでしょう。