知っておきたい インターネットにおける 個人情報保護人権
安心して個人情報を取り扱うためには

title

制作:財団法人インターネット協会
監修:弁護士 岡村 久道    

発行: 平成16(2004)年3月
第2刷:平成16(2004)年4月

pdfPDF版はこちらです(3.8MB)

 
第2刷について

第156回国会で「地方独立行政法人法(平成15年法律第118号)」が成立しました。
これに伴い、「地方独立行政法人法の施行に伴う関係法律の整備等に関する法律(平成15年法律第119号)」第6条により、個人情報保護法が一部改正されることになりました。
そこで、この改正を織り込んで個人情報保護法の法文と解説内容とをアップデートしました。

なお、解説中に記載された「個人情報の保護に関する基本方針」が平成16年4月2日閣議決定されました。
 (補足:その後、平成20年4月25日、平成21年9月1日に、一部変更がされております) http://www.caa.go.jp/planning/kojin/kakugi2009.pdf
あわせて、ご参照下さい。
 

リンク・転載・引用は自由ですが、電子メールにてお知らせ下されば幸いです。
ご意見も募集中です。


お知らせ
「インターネットにおけるルール&マナー検定」実施中(受検は無料)!
個人情報保護検定(20問)のコースもありますので、是非チャレンジしてみてください。本ページがテキストになります。
URL:http://rm.iajapan.org/
実施期間:平成17年5月16日~7月15日

アンケート「インターネット上の人権意識調査(個人情報保護編)」結果
実施期間:平成16年3月10日~3月24日
目次
  1. 個人情報保護法の基礎知識
  2. これだけは知っておきたい、個人情報保護
  3. 個人情報の保護に関する法律

個人情報を守るために。
そして、適正に個人情報を取り扱うために。
これだけは知っておきたい、個人情報保護のポイント。

 コンピュータに蓄積された個人情報の大量漏えい事件の多発。ネットを介した個人情報の無断収集やそれらの公開による人権侵害など。ITの進化にともない、個人情報を取り巻く状況は、急速に変化しています。

 平成15(2003)年5月に「個人情報の保護に関する法律」が公布され、平成17(2005)年4月より本格的に施行されることになりました。これにともない個人情報を取り扱う事業者には、遵守すべき義務が課せられることになります。

 個人情報を適正に取り扱うためのポイントについて、企業として、あるいは個人として理解し、対策を講じることが、ますます重要になってきています。

 自分の、あるいは他人の個人情報を守るために。そして、適正に個人情報を取り扱うために。これだけは知っておきたい個人情報保護のポイントをまとめました。ぜひ、ご活用ください。



個人情報保護法の基礎知識

個人情報保護法制の整備
法整備の背景
個人情報保護法の目的と概要
概念としての「個人情報」と「個人情報取扱事業者」
「個人情報」に関する義務
「個人データ」に関する義務
「保有個人データ」に関する義務
実効性を担保するための仕組み


 ◆個人情報保護法制の整備

 個人情報の保護を図るため、民間部門における個人情報の適正な取り扱いに関するルールなどを定めた個人情報保護法が、平成15(2003)年5月30日に公布されました。
 この法律の冒頭に置かれた1条に謳われているとおり、インターネットの普及に代表されるような「高度情報通信社会の進展に伴い個人情報の利用が著しく拡大されていること」を、制定の背景としています。
 全6章59条及び附則によって構成され、公的部門・民間部門に共通した個人情報の保護に関する基本理念などを定めた基本法の部分(第1章から第3章まで)、及び、民間部門の個人情報取扱事業者が負うべき義務などを定めた一般法の部分(第4章から第6章まで)から成り立っています。
 前者の規定部分は公布日に即日施行されました。後者の規定部分も平成17(2005)年4月1日から施行される予定です。この法律を具体化する政令(個人情報保護法施行令)も平成15(2003)年12月に制定されており、さらに政府の基本方針を踏まえて、各省庁が告示としてガイドラインを公表する方法によって、その内容がより具体化される予定です。
 また、この法律では、既存の民間事業者団体などが、主務大臣から「認定個人情報保護団体」として認定を受けて制定する「個人情報保護指針」が、重要な指標となるべく位置づけられています。


zu1

【図表1】個人情報保護法への対応についての具体化ステップ


 ところで、この法律のうち一般法部分は、業種を問わず、民間企業のほぼ全般を対象としています。
 これに対し、公的部門を対象とする一般法として、国の行政機関に適用される行政機関個人情報保護法、独立行政法人等に適用される独立行政法人等個人情報保護法があります。前者は行政機関保有個人情報保護法が今回同時に全面改正されたものです。後者は、最近になって独立行政法人等の制度が設けられたことに応えて、新たに今回制定された法律です。
pic1  また、地方公共団体については、当該地方公共団体自身が定める個人情報保護条例が適用されます。したがって、個人情報を取り扱う部門ごとに、適用される一般法が異なることに注意する必要があります。
 個人が医療機関に受診した場合に、患者として自分の診療記録がどの法律で保護されるのかというケースを例にとって説明してみましょう。
 受診した医療機関が私立病院の場合には個人情報保護法、国立病院(国立がんセンター、国立循環器病センターなど)の場合には行政機関個人情報保護法、最近の独立行政法人化等の波によって従来は国立病院であったものが独立行政法人等に移行した病院(旧国立大学医学部付属病院[国立大学法人]など)の場合には独立行政法人等個人情報保護法、そして地方公共団体が運営する病院(都道府県立病院・市立病院など)の場合には当該地方公共団体が制定した個人情報保護条例の適用対象となります。

zu2
【図表2】法整備の前後における比較

 以下では、民間企業にとってかかわりが深く、コンプライアンス(法令遵守)の見地から、全面施行までに対応が不可欠な個人情報保護法を中心に、できるだけ分かりやすく解説を加えます。

▲ページトップへ

 ◆法整備の背景

 個人情報の保護を目的とする今回の法整備が行われた背景として、次のような要因が指摘されています。
 第1に、現代社会においてコンピュータを使った情報処理が著しい普及を遂げているという点を、指摘することができます。
 すなわち、今日ではコンピュータによる大量・迅速な情報処理が本格化し、預金情報・クレジットカード決済情報などの信用情報、住所・生年月日・学歴などの情報、個人の病歴などといった各種の個人情報が、本人も知らない間に収集され、コンピュータなどの情報機器の中に大量に蓄積される機会が増加しています。
 そうしたなかで、本人の予想しなかった目的に個人情報が使用されるという事態も発生しています。
 また、不正確な内容の個人情報が利用され、これによって本人が類似の名前の破産者と人違いされて金融機関から大切な融資を受けられないなど、深刻な被害を受けるという事件も発生しています。企業の側から見ても、こうした事件が発生することにより、不本意な訴訟を提起されて損害賠償請求を受けたり、顧客の信用を喪失するなど、有形・無形の損失をこうむります。
 さらに、コンピュータに蓄積された大量の個人情報が、不正に漏えいしたり、改ざん・悪用されるといった事態に対する危険性も自覚されています。実際に、わが国でもコンピュータから数万人もしくは数十万人規模の個人情報が大量漏えいするという事件が繰り返し発生しており、そのなかには裁判所に持ち込まれたケースも少なくありません。
pic2
 プライバシーの権利は、もともと米国において一部マスメディアとの関係で「ひとりで放っておいてもらう権利」として19世紀末に誕生しました。これをマスメディアプライバシーと呼ぶことがあります。わが国でも、プライバシ ーの権利を明文で規定した法律は現在でも存在していませんが、さまざまな判例の蓄積によって認められてきており、現在では最高裁判所もプライバシーの権利を承認するに至っています。
 ところが、その後における情報化社会の進展を受けて、前述のような懸念が生じたことから、米国や日本ではプライバシーの権利を自己情報コントロール権として把握する見解が提唱され、また、そうした動向に影響を受けて、欧州諸国でも個人情報保護法制が普及しはじめました。これをコンピュータプライバシーという言葉で呼ぶことができます。こうした動向を受けて、昭和55(1980)年にはOECD(経済協力開発機構)が「プライバシー保護と個人データの流通についてのガイドラインに関する理事会勧告」を採択し、その付属文書として「OECDプライバシーガイドライン」を公表しました。さらに平成7(1995)年には欧州議会及び理事会が「個人データ保護指令」(EU指令)を採択しています。
 わが国ではOECDプライバシーガイドラインに対応するため行政機関保有個人情報保護法が制定されましたが、EU指令は、個人データをEU域外に輸出するための条件として、民間部門を対象とするものも含めて、EU域内並みの個人情報保護法制の確立を求めましたので、わが国でも制度的な対応が求められました。わが国には民間部門を対象とする個人情報保護法制が存在せず、自主的な取り組みに委ねられていただけでしたので、EU指令への対応が必要となった結果、今回の法整備が行われた次第です。このように、OECDプライバシーガイドライン及びEU指令に対応する必要性が存在したことを、第2の要因として指摘することができます。
 ところで、EU指令が制定された時期から、インターネットが急速に普及しはじめました。
 わが国でも、コンピュータから漏えいした大量の個人情報が、名簿業者のホームページ上で販売されたり、無関係なウェブサイトに掲載されるという事件や、セキュリティホールなどが原因でウェブサイトか個人情報が大量漏えいするという事件が続発し、マスメディアなどでも大きく取り上げられています。そのなかには漏えい元ウェブサイトを開設している企業の管理不備によりプライバシーの権利を侵害されたとして、被害者から集団訴訟を起こされたり、大量漏えいした個人情報がファイル交換ソフトによりネット上を流通していることが原因で、本人からプロバイダ責任制限法に基づきプロバイダ宛に発信者情報の開示を請求する訴訟が提起されるというケースも登場しています。
 また、セキュリティが不十分であることが原因でコンピュータ・ウイルスに感染する事例が頻発していますが、こうしたウイルスのなかには、感染者がパソコン内に保管している表計算ファイルなどを勝手に添付したメールを、多くの人に向けて自動的に送り付けるものも登場しており、送り付けられたファイルに入っていた個人情報が、これによって第三者に漏えいするというケースも少なくありません。
 このようにインターネットの不適正な利用によって、大量漏えい事件が多発していることを背景として、総務省が実施した『2003年版通信利用動向調査』によれば、インターネット利用経験者の過半数が、インターネットを利用する際、「プライバシーの保護」について不安・不満などを感じています。こうした状況を、最近ではオンラインプライバシーという言葉で呼ぶ機会も増えています。
 前述した背景の下で、わが国ではこのような個人情報の大量漏えい事件が相次いで発生していたこともあり、平成11(1999)年の住民基本台帳法改正の際に附則で個人情報保護法制の整備が謳われることになったことを契機に、同年から法整備に向けた検討作業が進められ、今回の立法化に至りました。

▲ページトップへ

 ◆個人情報保護法の目的と概要

* 個人情報保護法の目的
 この法律の目的は、個人情報の有用性に配慮しつつ「個人の権利利益」を保護することにあ ります(1条)。
 この法律は、わが国の判例で承認されてきたプライバシーの権利、もしくはその一部として提唱されてきた自己情報コントロール権と、深い関連があるものであることは前述しました。
 しかし、それらの権利概念は必ずしも確立したものとは言えず、その内容等の点で不明確さが残されていることも事実です。これに加えて、それらの権利概念を持ち出すことなく新しい立法によって個人情報の保護を図ることも十分に可能です。
pic3  このような見地から、この法律では、それらの権利概念そのものを法文に明記することなく、「個人の権利利益」の保護という表現が用いられました。それに示されているとおり、この法律は、プライバシーの権利と別個独立の法制度です。したがって、企業が漏えい事故などを今後発生させた場合には、従来のプライバシー権侵害による責任に加えて、新たに個人情報保護法違反の責任という二重の責任を問われることになりました。前者は本人(個人情報によって識別される特定の個人)に対する損害賠償を中心とする責任であり、これから説明するように、後者は主として監督官庁から行政処分を受けるという内容の責任です。
 次に、「個人の権利利益」を保護する際に、「個人情報の有用性に配慮」すべきものであることも本条に明記されています。これは、個人情報の利用が企業にとって有用であるだけでなく、現代では自宅まで宅配便で商品を届けても らうことができたり、高齢者が自宅で介護サービスを受けることができるようになり、利便性が図られていることなどにも示されているように、本人である個人の側にとっても、有用性が存在していることを表しています。
* 個人情報保護法の概要
 1条は、前述の目的を達するために、個人情報の適正な取扱いに関し、【1】基本理念を定めるほか、【2】政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、【3】国及び地方公共団体の責務等を明らかにするとともに、【4】個人情報を取り扱う事業者の遵守すべき義務等を定めるものとしています。
 上記【1】は、この法律の第1章(1条から3条まで)の中で、【2】は第3章(7条から14条まで)、【3】は第2章(4条から6条まで)、【4】は第4章(15条から49条まで)によって、それぞれ規定されています。また、第5章(50条から55条まで)は雑則、第6章(56条から59条まで)は罰則を規定しています。


zu3

【図表3】個人情報保護法の構成(全6章59条及び附則)
<出典・岡村久道『個人情報保護法入門』(商事法務、2003/6)>

 第1章では、前述の目的に加えて、基本理念として「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。」(3条)と謳われているほか、後述のように定義規定(2条)が置かれています。第2章では、この法律の趣旨にのっとり、個人情報の適正な取扱いを確保するために必要な施策を策定して実施する責務を国及び地方公共団体が有するものとされています。国の場合は「総合的に」、地方公共団体の場合は「その地方公共団体の区域の特性に応じて」、それぞれ施策を策定・実施することなどを規定しています。
 第3章では、政府は個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針を定めるべきこと、国の施策について規定しており、【1】地方公共団体等への支援(8条)、【2】苦情処理のための措置(9条)、【3】個人情報取扱事業者による個人情報の適正な取扱いを確保するための措置(10条)を、それぞれ講じるものとするものとされています。「地方公共団体の施策」についての規定であり、【1】保有する個人情報の保護(11条)、【2】区域内の事業者等への支援(12条)、【3】苦情の処理のあっせん等(13条)が規定されています。
 以下では、民間企業にとって最も影響の大きい第4章以下を中心に説明を行います。その概要は、次の図表に記載したとおりです。

zu4

【図表4】個人情報保護法における保護対象
<出典・岡村久道『個人情報保護法入門』(商事法務、2003/6)>

▲ページトップへ

 ◆概念としての「個人情報」と「個人情報取扱事業者」

* 「個人情報」とは何か
 この法律には、さまざまな用語が登場します。
 しかし、第4章に基づき、どのような民間企業が、どのような具体的義務を負うのかという点に限れば、「『個人情報取扱事業者』が『個人情報』について一定の義務を負う」という構造が基本となっています。後述のとおり、取り扱う対象が、「個人情報」のうち「個人データ」と呼ばれるものである場合には義務の内容が加重され、「個人データ」のうち「保有個人データ」と呼ばれるものである場合には、さらにいっそう義務の内容が加重されるという構造になっています。


zu5

【図表5】「個人情報取扱事業者」の義務に関する「積み上げ構造」

 まず、「個人情報」とは、生存する個人を識別することが可能な情報を指すと定義されています(2条1項)。したがって、第1に、「特定の株式会社における昨年度の売上高」というような、法人に関する情報は含まれません。但し、法人の情報であっても同時に役員などの情報が含まれているケースがあり、その限りで「個人情報」に該当する場合があります。
 第2に、個人の情報のうち生存者の情報に明文で限定されています。そのため死者の情報は除外されます。しかし、一見すると死者の情報のように見えても、なお生存する遺族など生存者の情報に該当する場合があります。 pic4  第3に、特定の個人を識別しうることが要件とされています。したがって、「昨年度末における◯◯県内の成人男子住民数」といった、個人識別可能性に欠けた情報は除外されます。しかし、他の情報と容易にマッチングができて識別可能になる場合には「個人情報」となりうることが、明文で規定されています。例えば、インターネット接続プロバイダは、課金などの必要から、接続会員の通信ログ(履歴)を記録・保管していることが普通です。通信ログ自体には、会員IDが記録されることはあっても、会員の個人名が記録されているわけではありませんので、一般の人々にとっては「個人情報」ではありません。しかし、当該インターネット接続プロバイダは、別途保有している会員ID情 報と容易にマッチングができ、これによって特定の個人を識別することが可能になります。したがって、当該インターネット接続プロバイダにとって、通信ログは「個人情報」に該当します。以上の要件を満たす限り「個人情報」に該当することとなります。したがって、コンピュータ処理される電子データだけでなく、非コンピュータ処理情報である紙の情報などについても、これに含まれます。また、公知の情報、インハウス情報(内部管理情報)、評価情報、個人事業主の営んでいる事業に関する情報などについても、この定義規定から除外されていませんので、「個人情報」に含まれることになります。この法律への対応に際し、とかく営業関連の情報ばかりに着目されがちですが、社内の人事情報(インハウス情報)も、人事考課(評価情報)を含めて、この法律にいう個人情報に該当することに留意すべきです。
 一般に判例で認められてきたプライバシーの概念は、(1)私事性、(2)非公知性、(3)一般人から見て公開を欲しない事柄であることが要件とされていますが、個人情報の概念は、これらの要件を要しない点で、プライバシーの概念よりも遙かに広いものであることに注意する必要があります。つまり、取引先担当者から受け取った名刺一枚であっても、この法律にいう個人情報に該当するのです。したがって、この法律について「従来どおりプライバシーを侵さなければいいと考えれば足りる」という程度に軽く考えている人がいるとすれば、それは大きな誤解です。
zu6

【図表6】個人情報とプライバシーの権利
<出典・岡村久道『個人情報保護法入門』(商事法務、2003/6)>

* 「個人情報取扱事業者」とは何か
 この法律によって具体的義務を負うべき「個人情報取扱事業者」とは、主として民間事業者のうち「個人情報データベース等を事業の用に供している者」をいうと定義されています(2 条3項)。
 義務を負うべき者の範囲を「個人情報取扱事業者」に限定した趣旨は、個人情報の取扱いに伴い個人の権利利益が侵害されることの危険性の程度などを考慮して、必要最小限度の規律にとどめるという趣旨に基づいています。
 ここに「個人情報データベース等」とは、特定の個人情報をコンピュータで検索できるように体系的に構成したもの(いわゆる電子データベース)に加えて(同条2項1号)、紙情報であっても、五十音順に整理されたカルテのように特定の個人情報を容易に検索可能なように体系的に構成したものとして政令で定めるものを指しています(同項2号)。
 2号を受けて、個人情報の保護に関する法律施行令1条は、これに含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいうと規定しています。したがって、書籍の形態で市販されている新聞記事縮刷版のように、多くの個人情報が含まれるものであっても個人情報を一定の規則に従って整理されてい ないものなどは2号に該当しません。
 ところで、「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」は、「個人情報取扱事業者」から除外されます(2条3項5号)。施行令2条は、「個人情報の量」との関係で、「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数……の合計が過去6月以内のいずれの日においても5,000を超えない者」と規定しています。したがって、データベース等のレコード数にかかわらず、合計5,000人分以下か否かを基準に決せられます。
 また、同条は主として「利用方法」との関係で、5,000人分の算定にあたり、「当該個人情報データベース等の全部又は一部が他人の作成に係る個人情報データベース等で個人情報として氏名又は住所若しくは居所(地図上又は電子計算機の映像面上において住所又は居所の所在の場所を示す表示を含む。)若しくは電話番号のみが含まれる場合で、これを編集・加工することなくその事業の用に供するときは、当該個人情報データベース等の全部又は一部を構成する個人情報によって識別されます特定の個人の数を除く。」と規定しています。したがって、五十音別電話帳や、個人を特定できる内容のカーナビゲーションシステムを、そのまま使用している限度では、これらを5,000人分の算定に加える必要はありません。
 コンピュータが各社の業務全般に広く使われている現在、このような限定があっても、一定以上の規模の企業であれば、自社が個人情報取扱事業者に該当することは、否定できない事実です。したがって、大規模な企業はもとより、ほとんどの中小企業も、この法律にいう「個人情報取扱事業者」に該当することになるものと思われます。

▲ページトップへ

 ◆「個人情報」に関する義務

* 義務の概要
 「個人情報取扱事業者」が「個人情報」の取扱いについて負うべき具体的な義務の概要は、あらかじめ利用目的をできる限り特定しておき、「個人情報」を取得する際にこれを本人に通知・公表などした上、その利用目的の範囲内でのみ「個人情報」を取り扱うことができるというものです。さらに取得方法は適正なものでなければなりません。

* 利用目的の特定
pic5  まず、あらかじめ利用目的をできる限り特定しておかなければなりません(15条1項)。
 ここに「できる限り特定」とは、どの程度のものを要するのでしょうか。取り扱われるべき個人情報の性質、事業の内容などによって異なりますが、個々具体的な内容を詳細に網羅する必要はない半面、抽象的であっても個々の取扱いが利用目的の達成に必要な範囲内かどうかを実際に判断できる程度の明確性が必要であると考えられています。
 特定した利用目的を事後的に変更することは、「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲」内である場合に限って認められています(同条2項)。後になって「個人情報取扱事業者」が無制限に変更できるとすれば、せっかく利用目的を特定させた意味がなくなりますので、こうした変更に関する制限が設けられています。
 変更可能な範囲に属するかどうかについては、社会通念に照らし、当初の利用目的からみて一般に想定が困難でない程度の関連性が合理的に認められるかどうかによって決せられます。
 しかし、変更可能な範囲かどうか、実際には判断が困難な場合が多いことが予想されます。したがって、事後になって変更できるかどうか悩むよりも、どのような利用目的が将来的に想定されるのかについて、「個人情報」の取得に先立ち自社内部の関係部署間で十分に検討しておくことが望ましいでしょう。

* 利用目的による制限
 第2に、こうして特定された利用目的の達成に必要な範囲内でのみ、「個人情報」を取り扱うことができます(16条1項)。前述のとおり現在では大量に収集され・保管された個人情報が、本人(個人情報によって識別される特定の個人)の予期しない目的で個人情報が取扱われる機会が増えていることを背景に、それによって本人の権利利益が損なわれることを未然に防止しようとする趣旨です。したがって、例えば新製品開発の目的でユーザーから取得したアンケートの住所・氏名データを使って、当該ユーザーに対し自社製品販促用のダイレクトメール(DM)を送り付けるようなことは許されません。もしも、こうしたDMの発送を予定しているのであれば、事前に利用目的に追加しておく必要があります。


zu7

【図表7】利用目的の通知・公表等
<出典・岡村久道『個人情報保護法入門』(商事法務、2003/6)>

▲ページトップへ

 変更可能な範囲を越えて目的外の取扱いを行うためには、改めて事前に本人の同意を得る必要がありますが、同条3項がその例外を定めています。
 具体的には、(1)法令に基づく場合(例:令状捜査を受ける場合)、(2)人の生命、身体又は財産の保護に必要な場合で、本人の同意取得が困難なとき(例:急病の場合)、(3)公衆衛生向上又は児童の健全な育成推進に特に必要な場合で、本人の同意取得が困難なとき(例:疫学調査の場合)、(4)国の機関、地方公共団体又はその受託者の法令上の事務遂行に協力が必要な場合であって、本人の同意取得が当該事務遂行に支障を及ぼすおそれがあるとき(例:税務署の反面調査に協力する場合)には、本人の同意がなくても目的外利用が許されます。

16条3項の該当号数事由具体例
第1号法令に基づく場合令状捜査を受ける場合
第2号人の生命、身体又は財産の保護に必要な場合で、本人の同意取得が困難なとき急病の場合
第3号公衆衛生向上又は児童の健全な育成推進に特に必要な場合で、本人の同意取得が困難なとき疫学調査の場合
第4号国の機関、地方公共団体又はその受託者の法令上の事務遂行に協力が必要な場合であって、本人の同意取得が当該事務遂行に支障を及ぼすおそれがあるとき法令に基づく場合税務署の反面調査に協力する場合

【図表8】目的外の取扱いが可能な場合(第16条第3項)

* 利用目的の通知・公表等
 第3に、個人情報を取得する際には、不正の手段による取得が許されないことは当然ですが(17条)あらかじめ特定しておいた利用目的を、本人に対し通知・公表しなければなりません(18条1項)。これによって本人に対し、自己の「個人情報」に関する利用目的を知る機会が与えられます。
 ここに「通知」とは、通信手段を用いた方法として、文書の郵送、電話、電子メールなどによるほか、直接対面による方法も含まれ、また、「公表」は、インターネット上での公表、パンフレットの配布、事業所の窓口等への書面の掲示、備付け等が含まれます。
 さらに、本人から書面や電子媒体で「個人情報」を直接取得する場合には、あらかじめ利用目的を本人に明示しておく必要があります(同条2項)。このような場合には、「個人情報取扱事業者」が直接本人に通知する機会が存在しており、本人がその際に提供するかどうかを適切に判断するためにも、確実にその本人に伝達することが適切であるという理由に基づいています。この場合、あらかじめ明示する必要がありますので、書面を受け取った後で、利用目的を記載したパンフレットを交付するような場合には、この要件を満たしません。
 本項の「書面」には、「電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む」ことが明記されています。最近では、インターネットを活用した電子商取引などの進展に伴い、ウェブサイトの画面上で顧客に「個人情報」を入力してもらい、画面上の送信ボタンを押すという方法によって「個人情報」を受け取るケースが増えています。このような場合には、入力の際に利用目的を閲覧することができるように画面表示を行うなど、明示するための措置が必要となります。顧客から電子メールで「個人情報」を受け取るような場合も同様です。
 なお、15条2項によって利用目的の変更が認められる場合には、変更後の利用目的を本人に通知・公表する必要があります(18条3項)。


zu9

【図表9】利用目的の通知・公表等
<出典・岡村久道『個人情報保護法入門』(商事法務、2003/6)>

 ところで、企業の立場からすると、事後にトラブルが発生した場合に備えて、きちんと明示したことについての証拠を残しておく必要があります。そのため、受け取るべき書面に利用目的を明記しておくなどの工夫を講じておくことが得策です。具体的には、アンケート用紙に記16入してもらう場合には、当該アンケート用紙に利用目的を印刷しておくという方法が考えられます。メーカーが製品購入者から製品に同梱したユーザー登録葉書を返送してもらうような場合は、登録の利用目的に関する記載を取扱説明書に明記したり、説明文などを製品登録葉書に同封するなどの方法をとるとよいでしょう。雑誌に広告を掲載するとともに綴じ込みのカタログ請求用葉書を投函してもらう場合には、当該広告ページに利用目的を明記するというような方法が考えられます。これらの書面を後日に備えて保管しておくことになります。ウェブページに利用目的を掲載するような場合には、事後の更新によって従来のウェブページ・データが消失してしまわないように、更新の際に従前のデータを別の記憶媒体にコピーして保存しておくなどの方法を講じておくことが望ましい対応方法です。
 以上のような利用目的の通知・公表などを行う義務には、例外が設けられており、(1)それによって本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合(例:病院での検査目的の通知がガンなど重病名の実質的な告知となり本人に重大な精神的苦痛を与える場合)、(2)当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合(例:開発中の新製品に関する営業秘密が明らかとなる場合)、(3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき(例:捜査機関から、捜査協力を求められた関係者が、内偵捜査中の被疑者情報を取得する場合)、(4)取得の状況からみて利用目的が明らかであると認められる場合(例:宅配便事業者が顧客に宅配便送り状の記載を求める場合)には不要です(同条4項)。

18条4項の該当号数事由具体例
第1号それによって本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合病院での検査目的の通知がガンなど重病名の実質的な告知となり本人に重大な精神的苦痛を与える場合
第2号それによって当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合開発中の新製品に関する企業秘密 が明らかとなる場合
第3号国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき捜査機関から、捜査協力を求められた関係者が、内偵捜査中の被疑者情報を取得する場合
第4号取得の状況からみて利用目的が明らかであると認められる場合宅配便事業者が顧客に宅配便送り状の記載を求める場合

【図表10】利用目的の通知、公表等が不要な場合(18条4項)


 ◆「個人データ」に関する義務

* 「個人データ」とは何か
 この法律では、取り扱う個人情報が「個人データ」に該当する場合、さらに多くの義務が個人情報取扱事業者に課せられています。
 ここに「個人データ」とは、前述の「個人情報データベース等」を構成する個人情報をいいます(2条3項)。したがって、「個人データ」とは、「個人情報」のうちの一部であることになります。「個人データ」という言葉を聞いて、電子データだけを思い浮かべる人がいるかもしれませんが、「個人情報データベース等」には、特定の個人情報を容易に検索可能なように体系的に構成した紙の情報も含まれるものであることは前述しました。したがって、「個人データ」にも紙の情報が含まれる場合があることに注意する必要があります。

* データ内容の正確性の確保
 第1に、利用目的達成に必要な範囲内で、正確かつ最新の内容に保つよう努めなければなりません(19条)。わが国でも過去に、信用事故を起こした別人と取り間違えられて不利益を受けたことを理由に損害賠償請求を認めた判例がありますが、本条は本人がこのような不利益を被るような事態が発生することを防止するために規定されたものです。努力義務にとどめられた理由は、何が正確かつ最新の内容なのか、個人情報取扱事業者にとって確認する手段や方法が乏しいので、判断が困難な場合が多いという事実に基づいています。しかし、本条は努力義務にすぎなくても、前述のとおり同時にプライバシー権侵害として本人から責任を追及される場合があることに注意しなければなりません。さらに、この法律自体でも、内容に誤りがあるときは、一定の場合に本人の求めに応じて訂正を行う義務が規定されています(この義務については後述します)。

* 安全管理措置義務
 第2に、個人データにつき安全管理措置を講じなければなりません(20条)。個人データを対象に、いわゆる情報セキュリティを図ることを義務づけた規定となります。これまでも職業安定法や労働者派遣法で情報セキュリティを図ることを義務づけていましたが、ごく限られた領域を対象としたものにすぎず、民間部門を包括的に対象として義務づけた法律は今回が初めてです。
 しかも、この法律は、安全管理措置について従業者(21条)や委託先(22条)に対する監督責任を明記している点でも、わが国で初めての法律です。この法律の立法化に向けた検討作業が開始された平成11(1999)年当時、コンピュータやインターネットからの重大な個人データ大量漏えい事件が頻発し、中でも内部者や委託業者による事件が多発していたことを背景に規定されたものです。従業者に対する監督は、社内規程の整備、機密保持誓約書の徴収、社内教育、社内監査などを中心に図られることになります。委託先に対する監督は、委託契約、機密保持誓約書の徴収などを中心に図られますので、責任の所在を明確化するなどポイントを踏まえた委託契約のひな形を用意しておくことが得策です。また、しっかりと信頼できる委託先を選定することも重要ですので、委託先を選定する際における評価基準を事前に定めておくことも有用です。
 ところで、どの程度の措置を講じておけば安全管理措置義務を果たしたと言えるか、具体的な基準が法文上には示されていません。情報セキュリティ・マネジメントについては、国際規格としてISO/IEC 17799、これを日本工業規格化したものとしてJIS X 1580が、認証基準としてISMS認証基準が、さらに監査については情報セキュリティ監査基準が、それぞれ公表されています。必ずしも法的判断に直結す るものではないとしても、果たすべき安全管理措置義務の目安として、これらの基準を参照することが有用です。

* 安全管理措置義務
 第3に、「第三者提供の制限」が設けられています。個人データを第三者に提供するためには、あらかじめ本人から同意を得る必要があるというものです(23条1項)。
pic6  見ず知らずの企業から、突然、家族の進学や就職祝いを名目にした広告宣伝のダイレクトメールが一方的に送り付けられてきたり、電話勧誘を受けて、わが家の個人情報がどこから流れたのか、不審に感じた経験を持つ人も少なくないはずです。その背景には、現代社会では、企業のマーケティングが目的で膨大な個人情報が収集され、名簿業者などを介して売買される場合があるという事実が存在しています。中でも「個人情報データベース等」に該当するようなものの場合には、そうした危険は大きなものとなります。本条の「第三者提供の制限」は、第三者提供の可否を本人の決定に委ねることによって、こうした事態を避けようとする趣旨に基づくものです。第三者に提供することも利用目的の一つですので、本条は、利用目的に関する前記諸規定の特則としての性格を有しています。
 ここに「あらかじめ」とは、取得時を基準とする考え方もありますが、立法関係者の見解によれば、第三者への提供時を基準と解されています。本項は、第三者提供の可否を本人の意思に委ねる趣旨であり、したがって現に第三者提供される以前の段階で同意が存在すれば、前記趣旨を満たすことになるからです。これに対し、取得時とする説は、第三者提供することも利用目的に該当し、利用目的は18条により取得時に通知・公表等を行う必要があることを理由とするものと思われます。しかし、16条1項は「あらかじめ本人の同意を得」れば目的外利用しうると規定していますので、やはり第三者への提供時を基準と解することに合理性が認められそうです。
 現在ではインターネットのサイトで本人から同意を取得するケースも増えています。このような場合、画面上で「同意する」をクリックさせる方法による場合が少なくありません。
zu11
【図表11】第三者提供制限の仕組みについて
<出典・内閣官房個人情報保護室「法案の論点解説」>

 例外的に同意が不要な場合として、本項でも前述の16条3項の場合と同一内容の事由が規定されていますが、これに加えて、23条は他にも本人の同意を得ずに第三者提供が可能な場合を定めています。
 まず、「オプトアウト(本人の求めによる提供停止)」制度があります(同条2項)。この制度は、あらかじめ「お客様の個人情報を第三者に提供することがお嫌いであれば、弊社宛に申し出ていただけば、いつでも中止させていただきます」など所定の事項を本人に通知、又は本人が容易に知り得る状態に置いて、第三者提供するような場合です。
 次に、やはり同意不要の場合として、同条4項が規定する(1)委託、(2)事業承継、(3)共同利用の場合があります。
 このうち(1)については、百貨店が注文を受けた商品の配送のために宅配業者に個人情報を渡す場合などが想定されています。本人の同意が不要である半面、委託元の個人情報取扱事業者は委託先に対する監督義務を負うとすることによって(22条)、バランスが保たれています。
 (2)については、営業譲渡により譲渡先企業に顧客情報を渡す場合などが想定されます。この場合、譲渡前の利用目的の範囲内でのみ譲渡後も利用できるという条件が付けられることによって(16条2項)、バランスが保たれることになります。
 (3)として観光・旅行業などグループ企業で総合的なサービスを提供する場合などが想定されています。この場合、共同利用者の範囲、利用する情報の種類、利用目的、情報管理の責任者の名称等について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置かなければなりません(23条5項)。一定規模以上の企業であれば子会社を有していることが少なくありませんが、親子会社間における個人データのやりとりであっても、別法人です以上、第三者提供に該当してしまいます。このような場合、(3)を有効活用すべき場面は少なくないはずです。


 ◆「保有個人データ」に関する義務

* 「保有個人データ」とは何か
 「個人データ」のうち、「保有個人データ」に該当するものについては、さらに多くの義務が課されています。これは、「個人情報取扱事業者」が、開示、内容の訂正などのできる権限を有する「個人データ」であって、政令で定める一定期間を超えて継続利用を行う場合ものです(2条5項)。
 この期間については施行令4条で6ヵ月間と定められています。したがって、6ヵ月以内に利用を終了するものについては、「保有個人データ」に当たらないことになります。
 また、「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」が、明文で「保有個人データ」から除外されています。これを受けて施行令3条は、(1)当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの(例:犯罪被害者への援助を行う民間機関が加害者を本人とする個人データを持っている場合)、(2)当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの(例:事業者が株主総会対策のために総会屋を本人とする個人データを持っている場合)、(3)当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの(例:事業者が外国要人を本人とする行動記録などが記録された個人データを持っている場合)、(4)当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの(例:事業者が警察からの捜査関係事項照会の受理、回答の過程で犯罪者を本人とする個人データを持っている場合)という4種類の情報を規定しています。

* 保有個人データに関する事項の公表等
 「保有個人データ」について、「個人情報取扱事業者」は、一定の事項を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます)に置いておく必要があります(24条1項)。ここに本人の知り得る状態に置くとは、前述の「公表」と実質的にほぼ同様の意味です。
 対象となる事項は、(1)当該個人情報取扱事業者の氏名又は名称(1号)、(2)すべての保有個人データの利用目的(2号)、(3)後述の本人からの求めに応じた開示、訂正等に応じる手続(3号)、(4)保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの(4号)です。
 この4号を受けて施行令第5条は、(i)当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先、(ii)当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先を規定しています。
 「保有個人データ」に関する事項の公表制度によって、本人は、どのような利用目的などで「個人情報取扱事業者」が「保有個人データ」を保有しているのかを知ることができるようになります。そして、これにより、次に述べる開示等の求めを個人情報取扱事業者に対して行うことができるようになります。

* 本人関与
 「保有個人データ」に関する事項の公表制度をベースに、「本人関与」と呼ばれる一連の義務が設けられています。
 具体的には、本人の求めに応じて、保有個人データに関し個人情報取扱事業者が、(1)利用目的の通知義務(24条2項)、(2)開示義務(25条1項)、(3)訂正等の義務(26条1項)、(4)利用停止等の義務(27条)であり、この法律では以上のような本人の求めを「開示等の求め」という言葉で総称しています。
 いずれも法文上は、「個人情報取扱事業者」の“義務”の形式で規定されています。しかし、この法律の第4章第1節の表題が「個人情報取扱事業者の義務」とされていることとの関係上、こうした体裁なっているにすぎません。国会審議時に細田IT担当大臣も、「開示、訂正、利用停止、第三者提供に当たっての本人の同意などについて明確に規定していることは、やはり個人のそれぞれの権利を明確にしているものであるということ」(衆議院個人情報の保護に関する特別委員会議録平成15年4月15日(第3号))と答弁しており、立法者意思として、あくまでも法的性格は個人情報取扱事業者に対する「本人の権利」だと考えられています。
zu12
【図表12】本人関与の仕組み
<出典・内閣官房個人情報保護室「法案の論点解説」>

* 利用目的の通知
pic7-1  このうち(1)は、どのような目的で利用されているのかなどの点について本人に通知しなければならないとするものです。これに対し、(i)24条1項により当該本人が識別される保有個人データの利用目的が明らかな場合、(ii)通知により本人又は第三者の権利利益を害するおそれがある場合(例:病院での検査目的の通知がガンなど重病名の実質的な告知となり本人に重大な精神的苦痛を与える場合)、(iii)通知により当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合、もしくは、(iv)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知することにより当該事務の遂行に支障を及ぼすおそれがあるときには、本人に通知する必要はありませんが、通知しない旨の決定をしたときは、本人に対し遅滞なくその旨を通知しなければなりません(24条3項)。

* 開示
pic7-2  次に(2)は、本人に開示しなければならないとするものです。但し、(i)本人又は第三者の権利利益を害するおそれがある場合(例:病院による重病名の告知が本人に重大な精神的苦痛を与える場合)、(ii)当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合(例:嫌がらせなどの目的で繰り返し執拗に同一内容の開示を求める場合)、もしくは、(iii)他の法令に違反することとなる場合(例:電気通信事業法4条が規定する通信の秘密を侵すことになる場合)には、開示を拒否することができます。開示に応じる場合には、書面の交付による方法によって開示を行うことが原則となりますが、開示の求めを行った者が同意した方法があるときは当該方法によることができます(施行規則6条)。これに対し、求められた保有個人データの全部又は一部について22開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければなりません(25条2項)。
 個人情報取扱事業者は、以上の(1)及び(2)を求められたときは、当該措置の実施に関し、実費を勘案した合理的な範囲内で定めた手数料を徴収することができます(30条)。

* 訂正等
pic7-3  さらに(3)は、内容が事実でないときは利用目的達成に必要な範囲で訂正、追加又は削除を行わなければならないとするものです。遅滞なく必要な調査を行い、その結果に基づき、内容の訂正等を行うか、訂正等を行わない旨の決定をするとともに、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含みます)を通知しなければなりません(26条2項)。な通知しなければなりません(26条2項)。なお、評価や判断は、ここにいう事実そのものではありませんので、その内容が誤っているとして訂正等を求められた場合には、これに応じる義務を負いません。しかし、評価などの前提となった事実が誤っているときには、訂正等に応じる義務を負います。

* 利用停止等
pic7-4  最後に、(4)は、利用目的による制限、適正な取得、第三者提供の制限に違反していることが判明したときは、違反是正に必要な限度で利用停止等を行わなければならないとするものです。この場合も、利用停止等を行うか、それとも行わないことを決定するとともに、本人に対し、遅滞なく、その旨を通知しなければなりません。利用停止等に応じる義務を負うのは、前述した違反行為があった場合に限られていますので、それ以外の場合には、この法律では利用停止等に応じる必要はありません。しかし、例えばDMの発送を利用目的としているような場合に、いくら利用停止等の義務がない場合だからといって、嫌がる本人に対しDMを送り続けることが、マーケティングとして有用性を持つ行為なのか疑問があります。むしろ、進んでこれに応じてDMの発送を中止することこそが、企業として顧客満足度を高めることになるのではないでしょうか。この法律が課している義務は最小限のものにすぎず、個人情報取扱事業者として自主的な取り組みを行うことが求められているのです。

* 開示等の求めに応じる手続など
 以上の場合に共通して、本人の求めに応じないことを決定した場合は、本人に対し、その理由の説明に努める義務を負います(28条)。理由を説明することによって、できる限り本人の理解が得られるように努め、また本人が苦情の申し出などを行う場合に対応が容易になるための制度です。
 個人情報取扱事業者は、以上に述べた開示等の求めに対し、対象となる「保有個人データ」を特定するに足りる事項の提示を求めることができます(29条2項)。開示等の求めは、本人自身が行うことができるほか、代理人によってすることもできます(同条3項)。代理人とは、未成年者又は成年被後見人の法定代理人、及び開示等の求めをすることにつき本人が委任した代理人です(施行令8条)。
 個人情報取扱事業者は、開示等の求めを受け付ける方法を定めることができ、その場合、本人は当該方法に従って開示等の求めを行わなければなりません(同条1項)。受け付ける方法として定めることができる事項は、(i)開示等の求めの申出先、(ii)開示等の求めに際して提出すべき書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含みます)の様式その他の開示等の求めの方式、(iii)開示等の求めをする者が本人又は代理人であることの確認の方法、(iv)手数料の徴収方法です(施行令7条)。
 円滑な手続を実施するためには、これらの方法を定めておくことが望ましいものといえるでしょう。このなかでも(iii)の確認方法は重要な意味を持っています。確認が不十分であると、本人に成りすました第三者に対し、誤って重要な「保有個人データ」を開示してしまい、それによって20条違反の漏えい事故が発生するおそれがあるからです。したがって、運転免許証24やパスポートのような、顔写真付きの公的身分証明書などでの確認方法を定めておくことが望ましいものと思われます。
 以上のように、「個人情報」、「個人データ」、「保有個人データ」の順に、個人情報取扱事業者たる企業が負うべき義務は大きくなりますから、企業としては、みだりに「保有個人データ」化、もしくは「個人データ」化せず、また不要な「個人情報」は保有し続けることなく、すみやかに捨て去ることが要請される時代が到来したことが示されています。


 ◆実効性を担保するための仕組み

 個人情報取扱事業者が違反行為を行った場合などに対し、この法律の実効性を担保するためにどのような措置が用意されているのかについて、以下では説明を加えます。
 この法律では、第1に、できる限り当事者間における自主的な解決に委ねるため、複層的(多重的)な苦情処理制度が用意されています。その中心は個人情報取扱事業者自身による苦情処理であり、31条は、個人情報の取扱いに関する苦情の適切かつ迅速な処理、そのために必要な体制の整備に努めなければならないとしています。次に、各種の事業者団体を自主的な申請に基づいて主務大臣が「認定個人情報保護団体」として認定し(37条)、本人の申し出に応じて苦情処理を担当させることにしています(42条)。さらに、地方公共団体も、苦情処理のあっせんその他必要な措置を講ずるよう努めるものとされています(13条)。
pic8  しかし、各社が従来設置してきた苦情処理窓口では対応が困難なことが予想されます。成りすましによる漏えいを避けるため比較的厳格な本人確認を講じることが必要であり、開示等の求めに対し拒否すべきか否かという法的判断も必要だからです。対応を間違えたり不当に遅滞すると、主務大臣から調査を受けたり、本人から訴訟を提起されるおそれがあることも否定できません。専門窓口を設置して、対応マニュアルを作成した上、担当者に対するトレーニングを実施しておくことが望ましいのです。法的判断が困難なケースについて常に相談しうるように、本分野につき専門知識を有する弁護士との連携関係を構築することも必要となります。
 第2に、主務大臣を監督機関としての地位に置き、報告の徴収(32条)、助言(33条)、勧告(34条1項)及び命令を行うことができるものとしています。命令には、勧告を先行させる通常の命令(同条2項)と、勧告を先行させない緊急命令(同条3項)との二種類があります。
 命令違反者は6月以下の懲役又は30万円以下の罰金に処せられ(56条)、両罰規定(違反行為をした者を処罰するだけでなく、その法人自体も処罰対象とする制度)の対象となります(58条)。報告を怠ったり、虚偽報告をした者も30万円以下の罰金に処せられ(57条)、こちらも両罰規定の対象となります(58条)。このように今後は場合によって刑事罰の対象になります。

* コンプライアンスのための社内体制構築
 個人情報取扱事業者としてこの法律を遵守するために、また、プライバシーの権利を侵害したとして責任を負うことにならないためにも、企業は、コンプライアンスのための社内体制を構築する必要があります。そうすることによって、企業として顧客から信頼を勝ち取り、競争力を強化することもできます。
 その際、場当たり的な対応に終始するだけでは不十分となるおそれがありますので、マネジメント・システムを構築することが有益です。計画を立案し(Plan)、それを実施して(Do)、計画どおり実施されているか監査し(Check)、監査の結果を踏まえて不備な点が判明すれば改善していく(Action)、という一連の流れを繰り返すことによって、保護のレベルを継続的に向上させていく仕組みであり、以上の頭文字を取って「PDCAサイクル」と呼ばれています。わが国における個人情報保護のためのマネジメント・システムの代表的なものとしてJIS Q15001が定められており、これに基づく第三者評価制度としてプライバシー・マーク制度があります。
 まず、どのようなポリシーで個人情報を取り扱うのかということを簡潔に整理した「個人情報保護方針」を取締役会などで定め、自社のウェブページなどを利用して対外的に公表する企業が増加しています。この方針を実現するために、この法律の内容などに照らし、基本的な方向性を明確化する目的で基本規程を定め、さらに詳細化するために、さまざまな社内規程を制定することになります(これをさらに詳細化した運用マニュアルを策定することも有用です)。
pic9  個人情報保護を図るための社内組織作りも重要です。経営陣が選任した統括的な個人情報保護管理者を中心に社内体制作りを行い、実施していくことになります。社内の各関係部署から担当者を集めて対応のための社内委員会を設置することが少なくありません。立案に際しては、社内でどのような個人情報が取り扱われているのかについて洗い出し、この法律との関係でどのような措置が必要なのかという点を明確化する必要があります。
 従業者に理解してもらうために、社内規程で教育研修を定め、これを実施することが不可欠となります。それは、安全管理措置に関する従業者に対する監督責任(21条)を果たすことにもなります。
 さらに、監査責任者を選任し、監査の実施体制、監査結果の報告などを社内規程として定め、監査計画に基づき実施した監査結果に基づき、継続的改善に努めるべきことになります。
 以上のとおり、この法律への対応には極めて多くの作業を要することを考えると、全面施行まで残された準備期間を活用するために、早期に対応に着手することが望まれます。
(文責・岡村久道)

▲ページトップへ


これだけは知っておきたい、個人情報保護


pic10

知らない会社から突然DMが送られてきた、電話による勧誘を受けたなど、どなたでもこのような経験をしたことがあるのではないでしょうか。IT化の進展に伴い生活が便利になった半面、簡単に情報の蓄積、加工、編集、流通などが行なえるため、顧客データの流出といった事故も起きています。たとえ実害がなかったとしても、自分の個人情報を誰が保管し、どのように利用しているのかが分からないことに不安を感じている方も多いようです。
 そこで重要性を増してきているのが個人情報保護です。自分の個人情報が漏れるとどのような不利益が起きるおそれがあるのか。日常生活でどのようなことに注意したらよいのか。インターネットを利用する時に注意することは。他人の個人情報を守るためにはどのようなことに気をつけたらよいのかなど。個人情報を漏らさずに、そして自分の情報は自分で守るための、これだけは知っておきたいポイントをご紹介します。

個人情報とは?
個人情報を漏らさないためのポイントは
インターネット上で個人情報を守るためのポイントは


 ◆個人情報とは?
 「個人情報」とは、生存する個人に関する情報であり、特定の個人を識別することができる情報のことです(個人情報保護法2条1項参照)。個人情報には、次の2通りがあります。
  1. その情報に含まれる記述などだけで特定の個人を識別できる情報
    • 名前
    • メールアドレス
    • 住所
    • 顔の画像 など
    • 電話・ファックス番号

  2. 他の情報と容易に照合することができ、それにより特定の個人を識別できる情報
    • プロバイダのログ(通信履歴)と会員情報リスト
    • 弁護士の登録番号と弁護士名簿
    • 社員番号と社員台帳 など
* プライバシーとは(個人情報とプライバシーの関係)
 プライバシーの権利は、憲法などには明文化されていませんが、基本的人権のひとつとして認められています。自己に関する情報(個人情報)の流れをコントロールする個人の権利と解釈する見解が有力であり、自分の情報を無断で公開されたり、不正に流用されたりしない権利、ということができます。個人情報保護法制とプライバシーの権利とは深い関係があり、一緒のものと思われがちですが、個人情報保護法で保護される個人の権利利益は必ずしもプライバシー権とは一致しておらず、個人情報保護とプライバシー保護とは一応別個のものと考えられています。

* 個人情報保護法とは
 住民基本台帳ネットワークの導入や個人情報漏えい事件の多発などを受け、「個人情報の保護に関する法律」が平成15(2003)年5月に成立しました。この法律は、(1)個人情報の適正な取扱いに関する基本理念、(2)政府による基な取扱いに関する基本理念、(2)政府による基本方針・施策の基本となる事項、(3)国・地方公共団体の責務等、(4)個人情報を取扱う事業者の遵守すべき義務などについて定めたものです。なお、法律の全面施行は平成17(2005)年4月1日からになります。

* 個人情報を取扱う事業者が注意しなければならないポイントは
 個人情報保護法と政令では、過去6ヶ月内に一度でも5,000人分を超える個人データを取り扱ったことのある企業に、以下のような義務を課しています。
  1. 利用目的をできる限り特定し、その目的達成に必要な範囲内でのみ個人情報を取り扱える
  2. 個人情報の収集時に、本人に対し利用目的の通知・公表などをする
  3. 個人データにつき正確・最新の内容に保つよう努め、安全管理のため必要・適切な措置を講じる
  4. あらかじめ本人の同意を得なければ、第三者に個人データを提供できない
  5. 保有する個人データにつき、本人の求めに応じて、開示・訂正などを行う
 義務を怠った場合には、主務大臣から命令などを受け、命令違反の場合は罰則を受けますので、全面施行までに対応する必要があります。

* 日本における個人情報保護の動向
1988年12月「行政機関の保有する電子計算機処理に係る個人情報保護に関する法律」
1997年3月通商産業省(当時)ガイドライン策定
1997年12月電子ネットワーク協議会
電子ネットワーク運営における「個人情報保護に関するガイドライン」
1998年4月(財)日本情報処理開発協会プライバシーマーク制度導入
(財)日本データ通信協会個人情報保護マーク制度導入
1998年12月郵政省(当時)ガイドライン策定
1999年3月JIS Q 15001「個人情報保護に関するコンプライアンス・プログラムの要求事項」制定
2003年5月個人情報保護法公布
2005年4月個人情報保護法全面施行


 ◆個人情報を漏らさないためのポイントは

pic11 * 個人情報は人為的に漏れている
 個人情報は、自然に漏れることはほとんどありません。大半は、人為的に漏らされたり、あるいは盗み出されたりしています。情報が漏れたり、盗まれたりするのは、DMで商品の広告や通信販売をする事業者の一部、債務者の転居先を探ろうとする債権取立業者や結婚のため相手の実家の様子を調べたい人など、その情報を欲しがる人がいるからです。
 しかし、個人情報を漏らすのは他人ばかりでなく、意識せずに自分自身が漏らしていることもあります。懸賞サイトやプレゼントへの応募、カタログ請求、アンケートの回答、各種会員登録、サンプル商品の請求などがその一例として挙げられます。

* 自分の情報は自分で守りましょう
 現代社会では、個人情報をどこにも提供せずに生活することはできません。しかし、自分の情報は自分で守る、という意識を持って行動することが大切です。そのためのポイントをいくつかご紹介しましょう。
・街頭で不審な署名やアンケートを求められた
→住所、氏名、電話番号などの記入欄があっても気軽に書かないようにしましょう。
・会員登録をする
→趣味など、直接会員になるのに不要な事項までみだりに書かないようにしましょう。 もし書いて欲しいといわれたら、何のために必要なのか相手に問いただすことも必要です。
・ゴミをだす
→クレジットカード利用明細票、ATM利用明細票など重要な個人情報を含む紙は、読めないよう破棄してからゴミに出しましょう。
→パソコンの場合は、ハードディスクに記録された全データを読めない状態にしてから廃棄してください。データを読めない状態にするためには、専用ソフトあるいはサービス(共に有償)を利用するか、ハードディスク上のデータを金槌や強磁気により物理的・磁気的に破壊すると良いでしょう。
・インターネットを利用する
→アンケートのサイトや懸賞サイトなどには、名前や住所を書き込む部分がありますが、サイトが信頼できるものかどうかを確認しましょう。企業などのサイトではプライバシーマーク、個人情報保護マークなどを掲げているか、個人情報の扱いについてどのようなポリシーがあるかを確認するとよいでしょう。
※それぞれのマークについては次項で説明します。
→画面上で名前や住所などの書き込みをする際には、SSLなど暗号通信に対応しているか確認しましょう。
 このようなことを注意しても個人情報が不正に利用されることがあります。そのような時には、どうしてそういうことになったのかを考え、相手方事業者に苦情を申し入れたり、事態によっては地方公共団体の消費生活センターや監督官庁に相談することも必要です。

* 個人情報漏えい事件・事故を防ぐには
 会員情報漏えいや住民基本台帳データ漏えいなど、個人情報漏えい事件がニュースで取り上げられる機会が増えています。このような事件は、個人の権利利益を害するだけでなく、企業にとっても個人情報保護法の法律違反の責任を問われたり、社会的信用の失墜、取引機会の喪失、顧客離れ、損害賠償など、大きな影響を受けます。企業は、このような漏えい事件を起こさないために次のような対策をすることが効果的です。
  • 個人情報保護基本指針や個人情報保護責任者を定め、企業内での個人情報取扱業務を適正に管理できるような体制を整える
  • 自社で取り扱う個人情報を洗い出し、取扱業務ごとにリスクを評価し、リスクに応じたセキュリティ対策を取れるようにする(帳票の管理、アクセス管理、入退室管理、媒体管理、委託先管理など)
  • 内部によるミスや不正を防ぐために、社員教育を行なうとともに、社内監査を実施する
 このような対策を取ることは、リスク管理のみならず、自社の取り組みを消費者や取引先にアピールすることにもなります。
 また、第三者が評価し、その適切性をマーク表示により消費者に知らせるための制度があります。
 財団法人日本情報処理開発協会で行なっているプライバシーマーク制度は、「個人情報保護に関する事業者認定制度」で「プライバシーマーク」を付与します。認定にあたってはJIS Q 15001に基づいた審査を行い、該当する事業者の事業活動に対して「プライバシーマーク」の使用を認めています。対象となる個人情報は、オンライン/オフラインなどの入手経路を問わず、また、顧客情報のみに限らず、社員情報や採用情報など、自社で保有するすべての個人情報について適用されます。平成16(2004)年3月現在、700社以上が認定を受けています。 mark1
(c)財団法人日本情報処理開発協会
プライバシーマーク事務局
 
 財団法人日本データ通信協会の個人情報保護登録センターでは、適正な個人情報保護措置を講じている事業者の登録を行い、その旨を「個人情報保護マーク」で表示できるようにすることにより、事業者および利用者の個人情報保護意識の向上を図っています。登録の対象となるのは、「電気通信事業者」および「発信者情報通知サービス(ナンバーディスプレイなど)の事業用利用者」です。 mark3
(c) 財団法人日本データ通信協会
個人情報登録センター
 
 一方、日本商工会議所で行っているオンラインマーク制度は、インターネットショッピングの事故を防止するために、通信販売事業者の実在を確認し、かつ、ホームページの表記が通信販売の法令等を守っている事業者であることを審査し、一定の基準をクリアしたショップに対して「オンラインマーク」を発行しています。 個人情報保護に関する認証制度ではありませんが、信頼のおけるショッピングサイトの判断の目安の一つになります。こうしたマークの取得と継続には、それなりのリソースを投じる必要がありますが、リスク低減と信頼性向上により得られるメリットは非常に大きく、今後ますます、第三者認定制度の需要は高まっていくものと思われます。 mark2
(c) 日本商工会議所

<<最近の主な個人情報漏えい事件例>>
年 月業 種事件内容
2004年3月 通販会社 約十万人分の顧客情報の流出のおそれがあることが判明
2004年3月 カード会社 業務委託先の運用するサーバがクラッカーによる不正侵入を受け、約7600人分の顧客情報が流出した可能性があると発表
2004年2月 プロバイダ 約450万人分の会員情報の流出が発覚
2003年11月 公益法人 公益法人サイトから個人情報が引き出され、イベントでセキュリティホール とともに公開
2003年11月 コンビニ 最大18万人分の会員情報が外部に流出している可能性があると発表
2003年11月 化粧品メーカー 化粧品販売サイトからネット経由で顧客の個人情報が流出
2003年6月 コンビニ カード会員情報約56万人分が漏えい
2003年5月 電機メーカー 自治体から預かった戸籍情報の入った磁気テープを宅配便で返送したが、委託先の宅配業者が紛失
2002年5月 エステサロン ウェブサイトから5万人分の個人情報が漏えい。ウェブサーバー上に個人情報ファイルを保存し、アクセス制御をかけていなかった。さらにファイル交換ソフトにより流出した個人情報がネット上で流通
2001年12月 自治体 約22万人分の住民基本台帳データがデータ処理委託先業者から流出、ネット上で販売(1999年5月)。市民3人が原告となって市に対して損害賠償請求。高裁判決で、1人あたり慰謝料1万円、弁護士費用5,000円の賠償
2001年10月 航空券販売 メール販売サービスにおいて顧客メールアドレス3,000人分が流出。メール宛先のCC欄とBCC欄の操作ミス
2001年8月 百貨店 社員が会員カード38万人分の名簿を信用調査会社に売却
2000年8月 ファーストフード サイトからファーストフードのアンケートで収集した個人情報が約100人分漏えい


▲ページトップへ

 ◆インターネット上で個人情報を守るためのポイントは

pic12
 インターネット利用者は日本国内でも5,643万3千人《平成15(2003)年2月時点、『インターネット白書2003』より》を超え、老若男女を問わず誰でも楽しめるコミュニケーションメディアとして親しまれています。インターネットは、ホームページに象徴される ように、世界中に存在する不特定多数の人々に向かって情報が発信できるところに、大きな特色があります。中、小規模の企業や個人であっても、卓越した創意工夫によって多くの人々の関心を集め、世界的なビジネスに発展した例も珍しくありません。ところがその一方、掲示板での他人の個人情報の無断公開、迷惑メールの発信、クッキーやスパイウェアを通じた利用者の閲覧履歴の不適切な収集など、インターネット上で個人情報が濫用される事例が発生しています。
 インターネット上で自分と他人の個人情報を守るためのルールとマナー、そして個人情報に関わるトラブルに巻き込まれた時の対処法など、知っておきたいポイントをまとめました。

* これだけは知っておきたいルール&マナー
  1. インターネットは現実社会の一部であることを認識し、その一員としての自覚と責任を持ちましょう。

  2. 情報を発信する場合は、発信に伴う責任とリスクを認識しましょう。
    以下のような、人権侵害に当たる情報を発信することのないよう、最大限に注意してください。
    • 他人のプライバシーを侵害する情報
    • 他人を誹謗・中傷、または差別する情報
    • 著作権、商標権などの他人の知的財産権を侵害する情報
    • 児童ポルノ

  3. 情報受信者としての自己防衛に努めましょう
    個人情報保護法で事業者の法的責任は定められましたが、被害に遭わないように自己防衛に努めることも必要です。
    万一、トラブルに巻き込まれた場合は、プロバイダが問題解決に協力できる場合もありますが、基本的には当事者間で解決することになります。そのため、次のような自己防衛を図ることが必要です。
    • 個人情報は自分できちんと管理する
      IDやパスワードの管理には細心の注意を払いましょう。IDやパスワードは人に教えたり、見られないようにすることが必要です。そして、パスワードは時々変更することが望ましいでしょう。パスワードは、氏名や電話番号等の個人情報から連想できるものは避け、数字・アルファベット・記号の組み合わせなどとし、安全のためにできるだけ長い桁数を使用するとよいでしょう。また、住所や電話番号等、個人が特定できる情報をネット上に公開することは危険ですから絶対にしないでください。
    • 危険を避ける
      インターネットを利用している人の中には、インターネットの匿名性を利用して、他人に危害を加えようとする人が現実に存在します。危ないな、と思ったら避けること。インターネットの利用には危険が伴うことを十分認識してください。個人情報保護についてもその例外ではありません。
* 知っておきたい豆知識
 ホームページで個人情報などを扱う仕組みとしてクッキー(Cookie)があります。このクッキーは、ショッピングサイトなどで利用者のショッピングカート情報を保持したり、商品送付先を記録して自動入力したり、利用者の購買履歴に合わせてページを表示したりするための小さなファイルです。このようにクッキーは便利な反面、この機能を濫用して、ユーザーに説明せずに個人情報を収集することを目的としてホームページを作る事業者も稀にいます。なお、クッキーに記録された識別番号と、登録された会員情報とをマッチングする場合があり、この場合はクッキーは個人情報に該当すると考えられます。クッキーによって個人が識別されているかどうかはケースバイケースですので、個人情報保護法により保護されるとは限りません。クッキーの利用に際しては、ブラウザの設定で「Cookieを受け入れる」「Cookieを受け入れる前にダイアログを表示」「Cookieブロックする」などが選択できますので、利便性とリスクを自分の責任で判断した上で選択してください。

* 知っておきたいトラブル事例&対策
【事例 1-迷惑メール】
 興味本位で「出会い系サイト」に登録した直後から、アダルト製品を宣伝するメールが届くようになった。
 迷惑メール自体は法律で規制されています。しかし、信用できないサイトに軽い気持ちでメールアドレスを書き込むと、このようなことが起こるケースが多いので、書き込まないよう注意しましょう。

【事例 2-架空請求メール】
 利用した覚えのない高額の有料情報利用料を請求するメールが届いた。支払期日は3日後で、期日までに支払わないと回収手段を講じます、と記載されている。
 支払う必要はありませんので無視すべきです。
 利用したことがないのにネットのコンテンツ料を請求する悪質メールが急増しています。悪質業者が何らかの経路で入手した名簿のアドレスを使ったり、Webページに掲載されているアドレスを拾い上げたりして、そのアドレス宛に根拠のない請求書を大量に送っているのです。請求書を送りつけられた人の中には、恐くて支払ってしまう人もいるかもしれません。それが手口なのです。
 確認や拒否のメールを返信するなどこちらから連絡すると、自分の個人情報が相手に把握される危険がありますし、返信を行ったアドレスに大量のメールが配信され、嫌がらせを受ける場合もあります。
 このようなメールでトラブルになりそうな場合には、消費生活センターに相談したり警察への情報提供にも協力しましょう。

【事例 3-ワン切り】
 携帯電話に電話がかかって1コールで切れてしまい、残っていた着信記録を見ると知らない電話番号だったが、かけ直したら怪しげな音楽が流れて出会い系サイトの案内テープが流れていた。利用料金の請求がくるのかどうか不安である。
 ツーショットダイヤルやアダルト番組の案内だった、という、悪質事業者によるいわゆる「ワン切り」です。携帯電話からはダイヤルQ2につながりません。よってNTTからのダイヤルQ2利用代金としての請求はありません。ただ電話をして、そこで流れている音を聞いたからといって、支払いの義務が生じるわけではありませんし、もちろん請求がくることはありません。
 心当たりのない電話番号の着信にリダイヤルするときは、電話をかけ直さないか電話番号通知を非通知にしてから電話をかけるなどの注意をするようにしましょう。もし、非通知で設定せずに電話をかけてしまって、事業者より確認のための返信電話があった場合は、利用していないことをはっきりと伝え、自分の個人情報は伝えないように注意しましょう。

【事例 4-フィッシング詐欺】
 加入している大手プロバイダを発信名義とするメールが届き、接続料金支払用のクレジットカード番号を再確認する必要があるとして、掲載されたサイトへのアクセスを求める内容だった。クリックしてアクセスすると、カード番号を画面入力するよう求めるメッセージが表示された。
 米国で流行した「フィッシング詐欺」である可能性があります。著名企業の公式メールを装ったメールをユーザーに送り付け、その企業の公式サイトに似せてURL表示まで偽装したニセのサイトにアクセスさせた上、個人情報を入力させて騙し取るという手口の詐欺です。こうしたメールが届いて不自然さを感じた場合には、安易に指示どおり画面入力することなく、必要に応じてメール送信名義人に確認しましょう。誤って画面入力に応じてカード番号を騙し取られたことが判明したときは、ただちにカード番号の変更手続を取るとともに、警察などに相談して下さい。

【事例 5-スパイウェア】
 便利な無料ソフトをダウンロードしてインストールしたら、ポップアップ広告が頻繁に表示されるようになった。私の趣味である車の広告ばかりなので、知らない間にネットサーフィン内容が覗き見されているようで不安である。。
 無料ソフトの中には、ユーザーが知らないうちにバックグラウンドで別プログラムが作動し、閲覧履歴を記録して無断送信し、その内容に基づいてポップアップ広告を勝手に表示するものがあり、「スパイウェア」と呼ばれています。
 無料であっても不審なソフトはみだりにダウンロードして使わないようにしましょう。スパイウェア対策ソフトを導入して、これを除去する方法も有用です。




【関連情報サイトのご紹介】

 もっと個人情報保護について知りたい、もっとインターネットのルールやマナーについて知りたい、もっとトラブルの事例を知りたい、というときには、以下のサイトを参照してください。

 
経済産業省情報政策ユニット 個人情報保護ページ
http://www.meti.go.jp/policy/it_policy/privacy/privacy.htm

財団法人インターネット協会
http://www.iajapan.org/
 ・インターネットを利用する方のためのルール&マナー集
http://www.iajapan.org/rule/
 ・インターネットホットライン連絡協議会
http://www.iajapan.org/hotline/
 ・プライバシー情報管理システム
http://www.nmda.or.jp/enc/privacy/

財団法人日本情報処理開発協会
http://www.jipdec.jp/
 ・プライバシーマーク制度
http://privacymark.jp/

財団法人日本データ通信協会
http://www.dekyo.or.jp/
 ・個人情報保護登録センター

http://www.dekyo.or.jp/hogo/kojin.htm
電子商取引推進協議会
http://www.ecom.or.jp/

個人情報の保護に関する法律
http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/

行政機関の保有する個人情報の保護に関する法律
http://www.soumu.go.jp/gyoukan/kanri/kenkyu.htm

独立行政法人等の保有する個人情報の保護に関する法律
http://www.soumu.go.jp/gyoukan/kanri/030307_2.html

▲ページトップへ


Copyright (C) Internet Association Japan, 2004