個人情報保護法とJIS Q15001(プライバシーマーク制度)が最近話題となっている。この法律は平成17年4月から全面施行される。そのため、個人情報を扱う産業界では対応に躍起になっている。氏名・年齢・男女・所属組織・住所・電話・メールアドレス…を仕事で扱うデータを扱う事業所は、従前より一層配慮しなくてはならない。
まず、この法律ができた背景を説明すると、1980年に発表されたOECDの8原則から出発する。国際的な情報化が進む中で、各国の法制度に差があると各国間の情報の流通に支障をきたしてしまう。また、IT社会の進展に伴い、個人情報やプライバシーの保護に関する社会的要請が強まり、それに対して新たな法整備を際の国際的なガイドラインとしてこの原則が提唱された。日本の場合、昭和63年12月に「行政機関の保有する電子計算機処理に係る個人情報の保護の法律」が交付されたが、法制化が遅れたため(個人情報保護法は平成14年に一度廃案となり15年3月に国会承認、全面施行は平成17年4月)、JISで対応しプライバシーマーク制度を先行させ、欧米とのギャップを埋めてきた。それがようやく法制化され、はじめに行政機関が対応することとなった(マスコミ等一部適用除外分野もある)。
企業は法律の遵守と共に、地方自治体の条例、経済産業省、厚生労働省のガイドラインそして業界団体が提唱するガイドラインを遵守することとなる。それは、JISQ15001がベースとなっており、法律と相関関係にあることを理解されたい。
■社内体制の整備と規定の用意
「プライバシーマーク」はJIS Q15001個人情報保護のコンプライアンスプログラムの要求事項に準じた運用をする組織を財団法人日本情報処理開発協会(JIPDEC)
http://www.jipdec.jp が審査し、適合していれば使用許諾を受けることができる(全国で平成11月現在1,000事業所を超えた)。個人情報保護の上でプライバシーマークの使用が社会的信用を得る上でベストであろうが、使用許諾を受けずとも法律の趣旨に従って個人情報を扱えば問題は起こりにくい。そのためには、自社のプライバシーポリシーを確立、宣言し、社内体制の整備、ルール化を行い安全管理措置を施し、従業員教育の徹底、監査、見直しを行う一連のPDCAサイクルを回す。そして顧客との契約、協力企業との関係をキチンと確立されたい。
社内には、個人情報保護管理者、監査責任者を置き、苦情があった場合の対応窓口を指名しておく。さらに自社が保有するすべての個人情報を特定するための手順を確立し、特定した個人情報に関するリスク(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなど)を調査の上、適正な保護措置を講じない場合の影響を認識しなければならない。つまり、委託されて保有する個人情報、自社で収集した個人情報(従業員の情報も含む)の使用、提供、管理の方法、手順を決めなければならない、
社内規定として6つの規定も用意する必要がある。
(1)
社内の各部門及び階層における個人情報を保護するための権限及び責任の規定、
(2) 個人情報の収集、利用、提供及び管理の規定、
(3)
情報主体からの個人情報に関する開示、訂正及び削除の規定、
(4) 個人情報保護に関する教育の規定、
(5) 個人情報保護に関する監査の規定、
(6) 内部規程の違反に関する罰則の規定である。
この内、罰則規定は就業規則を改定されればいい。
■個人情報の利用の安全性確保の要件
経済産業省からは、ガイドラインの中で、個人情報の利用の安全性の確保を求められている。個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなど個人情報に関するリスクに対して、合理的な安全対策を講じる必要がある。組織的、人的、物理的、技術的な安全措置である。詳しくは、以下のようになる。
(1) 組織的安全管理措置、
(2) 人的安全管理措置、
(3) 物理的安全管理措置、
(4) 技術的安全管理措置、
以上のような、規定は、各会社の事業内容に照らして各社が設定することになる。特に、個人情報はデータベース化されているケースが多く、パソコンの管理、社内のLAN,インターネット(メール等)上で安全面に注意するために、ID・パスワードの利用はもとより、クッキーやSSLといった暗号化の技術も導入すべきであろう。
■契約の徹底、従業員教育、万一の際の対応
また、個人情報取り扱いの契約関係で委託する顧客と契約書を交わすことは、重要である。さらに処理を再委託(下請け、印刷)する場合にも、規定に従った契約は必要となる。委託先の監督も義務付けられている。委託によってデータ処理だけを受注している企業であっても充分心得ておかなくてはならない。そのためには、従業員教育徹底、社内監査体制の強化は当然のこととなる。
しかし、セキュリティに完璧はない。ハッカーによる不正アクセスによる盗難、従業員のうっかりミス、システム上のトラブルも予想される。そうした場合の対応策の準備、是正・予防措置も必要である。
この他、情報主体からの情報開示要求、情報提供の拒否、苦情処理の方法も予め規定しなくてはならない。苦情対応にあたって、自社のみで難しい場合は業界団体との相談、行政機関と対応を行うこととなる。
一部に、「なぜこんなに面倒な手続きが必要なんだ?」という声を聞く。しかし、最近多発している個人情報流失事件は、流失の件数が多い場合、数百万件にものぼっている。これらの事案も根底には、情報システムの「高度化」、インターネットの普及がある。情報化社会の対価と考えるしかない。そして一旦流失してしまった情報は絶対に戻ってくることはない。そこが最も怖いことであり、仮に流失させてしまった場合の個企業の信用と損害はこれまた測りしれないものだということを覚悟しておかなくてはならない。1データ500円の賠償というケースもあった。1万件の流失があったとして賠償は、単純に500万円だが、その企業の信用失墜はどうように図れるか? このための損害保険も登場している。
この法律の施行を前に『なぜ』という疑問が湧くのかもしれない。ここは社会の要請と割り切り、日々扱う情報の大切さを再認識しなければならないのかもしれない。
消費者サイドも自身のプライバシーを保護(防衛)する方策を考えなければならない。
|