知っておきたい インターネットにおける 個人情報保護と人権 安心して個人情報を取り扱うためには
リンク・転載・引用は自由ですが、電子メールにてお知らせ下されば幸いです。 お知らせ 「インターネットにおけるルール&マナー検定」を実施中(受検は無料)! 個人情報保護検定(20問)のコースもありますので、是非チャレンジしてみてください。本ページがテキストになります。 URL:http://rm.iajapan.org/ 実施期間:平成17年5月16日~7月15日 アンケート「インターネット上の人権意識調査(個人情報保護編)」結果 実施期間:平成16年3月10日~3月24日 目次 個人情報を守るために。
個人情報の保護を図るため、民間部門における個人情報の適正な取り扱いに関するルールなどを定めた個人情報保護法が、平成15(2003)年5月30日に公布されました。
この法律の冒頭に置かれた1条に謳われているとおり、インターネットの普及に代表されるような「高度情報通信社会の進展に伴い個人情報の利用が著しく拡大されていること」を、制定の背景としています。 全6章59条及び附則によって構成され、公的部門・民間部門に共通した個人情報の保護に関する基本理念などを定めた基本法の部分(第1章から第3章まで)、及び、民間部門の個人情報取扱事業者が負うべき義務などを定めた一般法の部分(第4章から第6章まで)から成り立っています。 前者の規定部分は公布日に即日施行されました。後者の規定部分も平成17(2005)年4月1日から施行される予定です。この法律を具体化する政令(個人情報保護法施行令)も平成15(2003)年12月に制定されており、さらに政府の基本方針を踏まえて、各省庁が告示としてガイドラインを公表する方法によって、その内容がより具体化される予定です。 また、この法律では、既存の民間事業者団体などが、主務大臣から「認定個人情報保護団体」として認定を受けて制定する「個人情報保護指針」が、重要な指標となるべく位置づけられています。 【図表1】個人情報保護法への対応についての具体化ステップ
ところで、この法律のうち一般法部分は、業種を問わず、民間企業のほぼ全般を対象としています。
これに対し、公的部門を対象とする一般法として、国の行政機関に適用される行政機関個人情報保護法、独立行政法人等に適用される独立行政法人等個人情報保護法があります。前者は行政機関保有個人情報保護法が今回同時に全面改正されたものです。後者は、最近になって独立行政法人等の制度が設けられたことに応えて、新たに今回制定された法律です。 また、地方公共団体については、当該地方公共団体自身が定める個人情報保護条例が適用されます。したがって、個人情報を取り扱う部門ごとに、適用される一般法が異なることに注意する必要があります。 個人が医療機関に受診した場合に、患者として自分の診療記録がどの法律で保護されるのかというケースを例にとって説明してみましょう。 受診した医療機関が私立病院の場合には個人情報保護法、国立病院(国立がんセンター、国立循環器病センターなど)の場合には行政機関個人情報保護法、最近の独立行政法人化等の波によって従来は国立病院であったものが独立行政法人等に移行した病院(旧国立大学医学部付属病院[国立大学法人]など)の場合には独立行政法人等個人情報保護法、そして地方公共団体が運営する病院(都道府県立病院・市立病院など)の場合には当該地方公共団体が制定した個人情報保護条例の適用対象となります。 【図表2】法整備の前後における比較
以下では、民間企業にとってかかわりが深く、コンプライアンス(法令遵守)の見地から、全面施行までに対応が不可欠な個人情報保護法を中心に、できるだけ分かりやすく解説を加えます。
個人情報の保護を目的とする今回の法整備が行われた背景として、次のような要因が指摘されています。
第1に、現代社会においてコンピュータを使った情報処理が著しい普及を遂げているという点を、指摘することができます。 すなわち、今日ではコンピュータによる大量・迅速な情報処理が本格化し、預金情報・クレジットカード決済情報などの信用情報、住所・生年月日・学歴などの情報、個人の病歴などといった各種の個人情報が、本人も知らない間に収集され、コンピュータなどの情報機器の中に大量に蓄積される機会が増加しています。 そうしたなかで、本人の予想しなかった目的に個人情報が使用されるという事態も発生しています。 また、不正確な内容の個人情報が利用され、これによって本人が類似の名前の破産者と人違いされて金融機関から大切な融資を受けられないなど、深刻な被害を受けるという事件も発生しています。企業の側から見ても、こうした事件が発生することにより、不本意な訴訟を提起されて損害賠償請求を受けたり、顧客の信用を喪失するなど、有形・無形の損失をこうむります。 さらに、コンピュータに蓄積された大量の個人情報が、不正に漏えいしたり、改ざん・悪用されるといった事態に対する危険性も自覚されています。実際に、わが国でもコンピュータから数万人もしくは数十万人規模の個人情報が大量漏えいするという事件が繰り返し発生しており、そのなかには裁判所に持ち込まれたケースも少なくありません。 プライバシーの権利は、もともと米国において一部マスメディアとの関係で「ひとりで放っておいてもらう権利」として19世紀末に誕生しました。これをマスメディアプライバシーと呼ぶことがあります。わが国でも、プライバシ ーの権利を明文で規定した法律は現在でも存在していませんが、さまざまな判例の蓄積によって認められてきており、現在では最高裁判所もプライバシーの権利を承認するに至っています。 ところが、その後における情報化社会の進展を受けて、前述のような懸念が生じたことから、米国や日本ではプライバシーの権利を自己情報コントロール権として把握する見解が提唱され、また、そうした動向に影響を受けて、欧州諸国でも個人情報保護法制が普及しはじめました。これをコンピュータプライバシーという言葉で呼ぶことができます。こうした動向を受けて、昭和55(1980)年にはOECD(経済協力開発機構)が「プライバシー保護と個人データの流通についてのガイドラインに関する理事会勧告」を採択し、その付属文書として「OECDプライバシーガイドライン」を公表しました。さらに平成7(1995)年には欧州議会及び理事会が「個人データ保護指令」(EU指令)を採択しています。 わが国ではOECDプライバシーガイドラインに対応するため行政機関保有個人情報保護法が制定されましたが、EU指令は、個人データをEU域外に輸出するための条件として、民間部門を対象とするものも含めて、EU域内並みの個人情報保護法制の確立を求めましたので、わが国でも制度的な対応が求められました。わが国には民間部門を対象とする個人情報保護法制が存在せず、自主的な取り組みに委ねられていただけでしたので、EU指令への対応が必要となった結果、今回の法整備が行われた次第です。このように、OECDプライバシーガイドライン及びEU指令に対応する必要性が存在したことを、第2の要因として指摘することができます。 ところで、EU指令が制定された時期から、インターネットが急速に普及しはじめました。 わが国でも、コンピュータから漏えいした大量の個人情報が、名簿業者のホームページ上で販売されたり、無関係なウェブサイトに掲載されるという事件や、セキュリティホールなどが原因でウェブサイトか個人情報が大量漏えいするという事件が続発し、マスメディアなどでも大きく取り上げられています。そのなかには漏えい元ウェブサイトを開設している企業の管理不備によりプライバシーの権利を侵害されたとして、被害者から集団訴訟を起こされたり、大量漏えいした個人情報がファイル交換ソフトによりネット上を流通していることが原因で、本人からプロバイダ責任制限法に基づきプロバイダ宛に発信者情報の開示を請求する訴訟が提起されるというケースも登場しています。 また、セキュリティが不十分であることが原因でコンピュータ・ウイルスに感染する事例が頻発していますが、こうしたウイルスのなかには、感染者がパソコン内に保管している表計算ファイルなどを勝手に添付したメールを、多くの人に向けて自動的に送り付けるものも登場しており、送り付けられたファイルに入っていた個人情報が、これによって第三者に漏えいするというケースも少なくありません。 このようにインターネットの不適正な利用によって、大量漏えい事件が多発していることを背景として、総務省が実施した『2003年版通信利用動向調査』によれば、インターネット利用経験者の過半数が、インターネットを利用する際、「プライバシーの保護」について不安・不満などを感じています。こうした状況を、最近ではオンラインプライバシーという言葉で呼ぶ機会も増えています。 前述した背景の下で、わが国ではこのような個人情報の大量漏えい事件が相次いで発生していたこともあり、平成11(1999)年の住民基本台帳法改正の際に附則で個人情報保護法制の整備が謳われることになったことを契機に、同年から法整備に向けた検討作業が進められ、今回の立法化に至りました。
* 個人情報保護法の目的
この法律の目的は、個人情報の有用性に配慮しつつ「個人の権利利益」を保護することにあ
ります(1条)。
この法律は、わが国の判例で承認されてきたプライバシーの権利、もしくはその一部として提唱されてきた自己情報コントロール権と、深い関連があるものであることは前述しました。 しかし、それらの権利概念は必ずしも確立したものとは言えず、その内容等の点で不明確さが残されていることも事実です。これに加えて、それらの権利概念を持ち出すことなく新しい立法によって個人情報の保護を図ることも十分に可能です。 このような見地から、この法律では、それらの権利概念そのものを法文に明記することなく、「個人の権利利益」の保護という表現が用いられました。それに示されているとおり、この法律は、プライバシーの権利と別個独立の法制度です。したがって、企業が漏えい事故などを今後発生させた場合には、従来のプライバシー権侵害による責任に加えて、新たに個人情報保護法違反の責任という二重の責任を問われることになりました。前者は本人(個人情報によって識別される特定の個人)に対する損害賠償を中心とする責任であり、これから説明するように、後者は主として監督官庁から行政処分を受けるという内容の責任です。 次に、「個人の権利利益」を保護する際に、「個人情報の有用性に配慮」すべきものであることも本条に明記されています。これは、個人情報の利用が企業にとって有用であるだけでなく、現代では自宅まで宅配便で商品を届けても らうことができたり、高齢者が自宅で介護サービスを受けることができるようになり、利便性が図られていることなどにも示されているように、本人である個人の側にとっても、有用性が存在していることを表しています。 * 個人情報保護法の概要 1条は、前述の目的を達するために、個人情報の適正な取扱いに関し、【1】基本理念を定めるほか、【2】政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、【3】国及び地方公共団体の責務等を明らかにするとともに、【4】個人情報を取り扱う事業者の遵守すべき義務等を定めるものとしています。 上記【1】は、この法律の第1章(1条から3条まで)の中で、【2】は第3章(7条から14条まで)、【3】は第2章(4条から6条まで)、【4】は第4章(15条から49条まで)によって、それぞれ規定されています。また、第5章(50条から55条まで)は雑則、第6章(56条から59条まで)は罰則を規定しています。 【図表3】個人情報保護法の構成(全6章59条及び附則) <出典・岡村久道『個人情報保護法入門』(商事法務、2003/6)> 第1章では、前述の目的に加えて、基本理念として「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。」(3条)と謳われているほか、後述のように定義規定(2条)が置かれています。第2章では、この法律の趣旨にのっとり、個人情報の適正な取扱いを確保するために必要な施策を策定して実施する責務を国及び地方公共団体が有するものとされています。国の場合は「総合的に」、地方公共団体の場合は「その地方公共団体の区域の特性に応じて」、それぞれ施策を策定・実施することなどを規定しています。
第3章では、政府は個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針を定めるべきこと、国の施策について規定しており、【1】地方公共団体等への支援(8条)、【2】苦情処理のための措置(9条)、【3】個人情報取扱事業者による個人情報の適正な取扱いを確保するための措置(10条)を、それぞれ講じるものとするものとされています。「地方公共団体の施策」についての規定であり、【1】保有する個人情報の保護(11条)、【2】区域内の事業者等への支援(12条)、【3】苦情の処理のあっせん等(13条)が規定されています。 以下では、民間企業にとって最も影響の大きい第4章以下を中心に説明を行います。その概要は、次の図表に記載したとおりです。 【図表4】個人情報保護法における保護対象 <出典・岡村久道『個人情報保護法入門』(商事法務、2003/6)>
* 「個人情報」とは何か
この法律には、さまざまな用語が登場します。 しかし、第4章に基づき、どのような民間企業が、どのような具体的義務を負うのかという点に限れば、「『個人情報取扱事業者』が『個人情報』について一定の義務を負う」という構造が基本となっています。後述のとおり、取り扱う対象が、「個人情報」のうち「個人データ」と呼ばれるものである場合には義務の内容が加重され、「個人データ」のうち「保有個人データ」と呼ばれるものである場合には、さらにいっそう義務の内容が加重されるという構造になっています。 【図表5】「個人情報取扱事業者」の義務に関する「積み上げ構造」
まず、「個人情報」とは、生存する個人を識別することが可能な情報を指すと定義されています(2条1項)。したがって、第1に、「特定の株式会社における昨年度の売上高」というような、法人に関する情報は含まれません。但し、法人の情報であっても同時に役員などの情報が含まれているケースがあり、その限りで「個人情報」に該当する場合があります。
第2に、個人の情報のうち生存者の情報に明文で限定されています。そのため死者の情報は除外されます。しかし、一見すると死者の情報のように見えても、なお生存する遺族など生存者の情報に該当する場合があります。 第3に、特定の個人を識別しうることが要件とされています。したがって、「昨年度末における◯◯県内の成人男子住民数」といった、個人識別可能性に欠けた情報は除外されます。しかし、他の情報と容易にマッチングができて識別可能になる場合には「個人情報」となりうることが、明文で規定されています。例えば、インターネット接続プロバイダは、課金などの必要から、接続会員の通信ログ(履歴)を記録・保管していることが普通です。通信ログ自体には、会員IDが記録されることはあっても、会員の個人名が記録されているわけではありませんので、一般の人々にとっては「個人情報」ではありません。しかし、当該インターネット接続プロバイダは、別途保有している会員ID情 報と容易にマッチングができ、これによって特定の個人を識別することが可能になります。したがって、当該インターネット接続プロバイダにとって、通信ログは「個人情報」に該当します。以上の要件を満たす限り「個人情報」に該当することとなります。したがって、コンピュータ処理される電子データだけでなく、非コンピュータ処理情報である紙の情報などについても、これに含まれます。また、公知の情報、インハウス情報(内部管理情報)、評価情報、個人事業主の営んでいる事業に関する情報などについても、この定義規定から除外されていませんので、「個人情報」に含まれることになります。この法律への対応に際し、とかく営業関連の情報ばかりに着目されがちですが、社内の人事情報(インハウス情報)も、人事考課(評価情報)を含めて、この法律にいう個人情報に該当することに留意すべきです。 一般に判例で認められてきたプライバシーの概念は、(1)私事性、(2)非公知性、(3)一般人から見て公開を欲しない事柄であることが要件とされていますが、個人情報の概念は、これらの要件を要しない点で、プライバシーの概念よりも遙かに広いものであることに注意する必要があります。つまり、取引先担当者から受け取った名刺一枚であっても、この法律にいう個人情報に該当するのです。したがって、この法律について「従来どおりプライバシーを侵さなければいいと考えれば足りる」という程度に軽く考えている人がいるとすれば、それは大きな誤解です。 【図表6】個人情報とプライバシーの権利 <出典・岡村久道『個人情報保護法入門』(商事法務、2003/6)> * 「個人情報取扱事業者」とは何か この法律によって具体的義務を負うべき「個人情報取扱事業者」とは、主として民間事業者のうち「個人情報データベース等を事業の用に供している者」をいうと定義されています(2
条3項)。
義務を負うべき者の範囲を「個人情報取扱事業者」に限定した趣旨は、個人情報の取扱いに伴い個人の権利利益が侵害されることの危険性の程度などを考慮して、必要最小限度の規律にとどめるという趣旨に基づいています。 ここに「個人情報データベース等」とは、特定の個人情報をコンピュータで検索できるように体系的に構成したもの(いわゆる電子データベース)に加えて(同条2項1号)、紙情報であっても、五十音順に整理されたカルテのように特定の個人情報を容易に検索可能なように体系的に構成したものとして政令で定めるものを指しています(同項2号)。 2号を受けて、個人情報の保護に関する法律施行令1条は、これに含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいうと規定しています。したがって、書籍の形態で市販されている新聞記事縮刷版のように、多くの個人情報が含まれるものであっても個人情報を一定の規則に従って整理されてい ないものなどは2号に該当しません。 ところで、「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」は、「個人情報取扱事業者」から除外されます(2条3項5号)。施行令2条は、「個人情報の量」との関係で、「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数……の合計が過去6月以内のいずれの日においても5,000を超えない者」と規定しています。したがって、データベース等のレコード数にかかわらず、合計5,000人分以下か否かを基準に決せられます。 また、同条は主として「利用方法」との関係で、5,000人分の算定にあたり、「当該個人情報データベース等の全部又は一部が他人の作成に係る個人情報データベース等で個人情報として氏名又は住所若しくは居所(地図上又は電子計算機の映像面上において住所又は居所の所在の場所を示す表示を含む。)若しくは電話番号のみが含まれる場合で、これを編集・加工することなくその事業の用に供するときは、当該個人情報データベース等の全部又は一部を構成する個人情報によって識別されます特定の個人の数を除く。」と規定しています。したがって、五十音別電話帳や、個人を特定できる内容のカーナビゲーションシステムを、そのまま使用している限度では、これらを5,000人分の算定に加える必要はありません。 コンピュータが各社の業務全般に広く使われている現在、このような限定があっても、一定以上の規模の企業であれば、自社が個人情報取扱事業者に該当することは、否定できない事実です。したがって、大規模な企業はもとより、ほとんどの中小企業も、この法律にいう「個人情報取扱事業者」に該当することになるものと思われます。
* 義務の概要
「個人情報取扱事業者」が「個人情報」の取扱いについて負うべき具体的な義務の概要は、あらかじめ利用目的をできる限り特定しておき、「個人情報」を取得する際にこれを本人に通知・公表などした上、その利用目的の範囲内でのみ「個人情報」を取り扱うことができるというものです。さらに取得方法は適正なものでなければなりません。 * 利用目的の特定 まず、あらかじめ利用目的をできる限り特定しておかなければなりません(15条1項)。 ここに「できる限り特定」とは、どの程度のものを要するのでしょうか。取り扱われるべき個人情報の性質、事業の内容などによって異なりますが、個々具体的な内容を詳細に網羅する必要はない半面、抽象的であっても個々の取扱いが利用目的の達成に必要な範囲内かどうかを実際に判断できる程度の明確性が必要であると考えられています。 特定した利用目的を事後的に変更することは、「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲」内である場合に限って認められています(同条2項)。後になって「個人情報取扱事業者」が無制限に変更できるとすれば、せっかく利用目的を特定させた意味がなくなりますので、こうした変更に関する制限が設けられています。 変更可能な範囲に属するかどうかについては、社会通念に照らし、当初の利用目的からみて一般に想定が困難でない程度の関連性が合理的に認められるかどうかによって決せられます。 しかし、変更可能な範囲かどうか、実際には判断が困難な場合が多いことが予想されます。したがって、事後になって変更できるかどうか悩むよりも、どのような利用目的が将来的に想定されるのかについて、「個人情報」の取得に先立ち自社内部の関係部署間で十分に検討しておくことが望ましいでしょう。 * 利用目的による制限 第2に、こうして特定された利用目的の達成に必要な範囲内でのみ、「個人情報」を取り扱うことができます(16条1項)。前述のとおり現在では大量に収集され・保管された個人情報が、本人(個人情報によって識別される特定の個人)の予期しない目的で個人情報が取扱われる機会が増えていることを背景に、それによって本人の権利利益が損なわれることを未然に防止しようとする趣旨です。したがって、例えば新製品開発の目的でユーザーから取得したアンケートの住所・氏名データを使って、当該ユーザーに対し自社製品販促用のダイレクトメール(DM)を送り付けるようなことは許されません。もしも、こうしたDMの発送を予定しているのであれば、事前に利用目的に追加しておく必要があります。 【図表7】利用目的の通知・公表等 <出典・岡村久道『個人情報保護法入門』(商事法務、2003/6)>
変更可能な範囲を越えて目的外の取扱いを行うためには、改めて事前に本人の同意を得る必要がありますが、同条3項がその例外を定めています。
具体的には、(1)法令に基づく場合(例:令状捜査を受ける場合)、(2)人の生命、身体又は財産の保護に必要な場合で、本人の同意取得が困難なとき(例:急病の場合)、(3)公衆衛生向上又は児童の健全な育成推進に特に必要な場合で、本人の同意取得が困難なとき(例:疫学調査の場合)、(4)国の機関、地方公共団体又はその受託者の法令上の事務遂行に協力が必要な場合であって、本人の同意取得が当該事務遂行に支障を及ぼすおそれがあるとき(例:税務署の反面調査に協力する場合)には、本人の同意がなくても目的外利用が許されます。
【図表8】目的外の取扱いが可能な場合(第16条第3項)
* 利用目的の通知・公表等
第3に、個人情報を取得する際には、不正の手段による取得が許されないことは当然ですが(17条)あらかじめ特定しておいた利用目的を、本人に対し通知・公表しなければなりません(18条1項)。これによって本人に対し、自己の「個人情報」に関する利用目的を知る機会が与えられます。 ここに「通知」とは、通信手段を用いた方法として、文書の郵送、電話、電子メールなどによるほか、直接対面による方法も含まれ、また、「公表」は、インターネット上での公表、パンフレットの配布、事業所の窓口等への書面の掲示、備付け等が含まれます。 さらに、本人から書面や電子媒体で「個人情報」を直接取得する場合には、あらかじめ利用目的を本人に明示しておく必要があります(同条2項)。このような場合には、「個人情報取扱事業者」が直接本人に通知する機会が存在しており、本人がその際に提供するかどうかを適切に判断するためにも、確実にその本人に伝達することが適切であるという理由に基づいています。この場合、あらかじめ明示する必要がありますので、書面を受け取った後で、利用目的を記載したパンフレットを交付するような場合には、この要件を満たしません。 本項の「書面」には、「電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む」ことが明記されています。最近では、インターネットを活用した電子商取引などの進展に伴い、ウェブサイトの画面上で顧客に「個人情報」を入力してもらい、画面上の送信ボタンを押すという方法によって「個人情報」を受け取るケースが増えています。このような場合には、入力の際に利用目的を閲覧することができるように画面表示を行うなど、明示するための措置が必要となります。顧客から電子メールで「個人情報」を受け取るような場合も同様です。 なお、15条2項によって利用目的の変更が認められる場合には、変更後の利用目的を本人に通知・公表する必要があります(18条3項)。 【図表9】利用目的の通知・公表等 <出典・岡村久道『個人情報保護法入門』(商事法務、2003/6)>
ところで、企業の立場からすると、事後にトラブルが発生した場合に備えて、きちんと明示したことについての証拠を残しておく必要があります。そのため、受け取るべき書面に利用目的を明記しておくなどの工夫を講じておくことが得策です。具体的には、アンケート用紙に記16入してもらう場合には、当該アンケート用紙に利用目的を印刷しておくという方法が考えられます。メーカーが製品購入者から製品に同梱したユーザー登録葉書を返送してもらうような場合は、登録の利用目的に関する記載を取扱説明書に明記したり、説明文などを製品登録葉書に同封するなどの方法をとるとよいでしょう。雑誌に広告を掲載するとともに綴じ込みのカタログ請求用葉書を投函してもらう場合には、当該広告ページに利用目的を明記するというような方法が考えられます。これらの書面を後日に備えて保管しておくことになります。ウェブページに利用目的を掲載するような場合には、事後の更新によって従来のウェブページ・データが消失してしまわないように、更新の際に従前のデータを別の記憶媒体にコピーして保存しておくなどの方法を講じておくことが望ましい対応方法です。
以上のような利用目的の通知・公表などを行う義務には、例外が設けられており、(1)それによって本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合(例:病院での検査目的の通知がガンなど重病名の実質的な告知となり本人に重大な精神的苦痛を与える場合)、(2)当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合(例:開発中の新製品に関する営業秘密が明らかとなる場合)、(3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき(例:捜査機関から、捜査協力を求められた関係者が、内偵捜査中の被疑者情報を取得する場合)、(4)取得の状況からみて利用目的が明らかであると認められる場合(例:宅配便事業者が顧客に宅配便送り状の記載を求める場合)には不要です(同条4項)。
【図表10】利用目的の通知、公表等が不要な場合(18条4項)
* 「個人データ」とは何か
この法律では、取り扱う個人情報が「個人データ」に該当する場合、さらに多くの義務が個人情報取扱事業者に課せられています。
ここに「個人データ」とは、前述の「個人情報データベース等」を構成する個人情報をいいます(2条3項)。したがって、「個人データ」とは、「個人情報」のうちの一部であることになります。「個人データ」という言葉を聞いて、電子データだけを思い浮かべる人がいるかもしれませんが、「個人情報データベース等」には、特定の個人情報を容易に検索可能なように体系的に構成した紙の情報も含まれるものであることは前述しました。したがって、「個人データ」にも紙の情報が含まれる場合があることに注意する必要があります。 * データ内容の正確性の確保 第1に、利用目的達成に必要な範囲内で、正確かつ最新の内容に保つよう努めなければなりません(19条)。わが国でも過去に、信用事故を起こした別人と取り間違えられて不利益を受けたことを理由に損害賠償請求を認めた判例がありますが、本条は本人がこのような不利益を被るような事態が発生することを防止するために規定されたものです。努力義務にとどめられた理由は、何が正確かつ最新の内容なのか、個人情報取扱事業者にとって確認する手段や方法が乏しいので、判断が困難な場合が多いという事実に基づいています。しかし、本条は努力義務にすぎなくても、前述のとおり同時にプライバシー権侵害として本人から責任を追及される場合があることに注意しなければなりません。さらに、この法律自体でも、内容に誤りがあるときは、一定の場合に本人の求めに応じて訂正を行う義務が規定されています(この義務については後述します)。 * 安全管理措置義務 第2に、個人データにつき安全管理措置を講じなければなりません(20条)。個人データを対象に、いわゆる情報セキュリティを図ることを義務づけた規定となります。これまでも職業安定法や労働者派遣法で情報セキュリティを図ることを義務づけていましたが、ごく限られた領域を対象としたものにすぎず、民間部門を包括的に対象として義務づけた法律は今回が初めてです。 しかも、この法律は、安全管理措置について従業者(21条)や委託先(22条)に対する監督責任を明記している点でも、わが国で初めての法律です。この法律の立法化に向けた検討作業が開始された平成11(1999)年当時、コンピュータやインターネットからの重大な個人データ大量漏えい事件が頻発し、中でも内部者や委託業者による事件が多発していたことを背景に規定されたものです。従業者に対する監督は、社内規程の整備、機密保持誓約書の徴収、社内教育、社内監査などを中心に図られることになります。委託先に対する監督は、委託契約、機密保持誓約書の徴収などを中心に図られますので、責任の所在を明確化するなどポイントを踏まえた委託契約のひな形を用意しておくことが得策です。また、しっかりと信頼できる委託先を選定することも重要ですので、委託先を選定する際における評価基準を事前に定めておくことも有用です。 ところで、どの程度の措置を講じておけば安全管理措置義務を果たしたと言えるか、具体的な基準が法文上には示されていません。情報セキュリティ・マネジメントについては、国際規格としてISO/IEC 17799、これを日本工業規格化したものとしてJIS X 1580が、認証基準としてISMS認証基準が、さらに監査については情報セキュリティ監査基準が、それぞれ公表されています。必ずしも法的判断に直結す るものではないとしても、果たすべき安全管理措置義務の目安として、これらの基準を参照することが有用です。 * 安全管理措置義務 第3に、「第三者提供の制限」が設けられています。個人データを第三者に提供するためには、あらかじめ本人から同意を得る必要があるというものです(23条1項)。 見ず知らずの企業から、突然、家族の進学や就職祝いを名目にした広告宣伝のダイレクトメールが一方的に送り付けられてきたり、電話勧誘を受けて、わが家の個人情報がどこから流れたのか、不審に感じた経験を持つ人も少なくないはずです。その背景には、現代社会では、企業のマーケティングが目的で膨大な個人情報が収集され、名簿業者などを介して売買される場合があるという事実が存在しています。中でも「個人情報データベース等」に該当するようなものの場合には、そうした危険は大きなものとなります。本条の「第三者提供の制限」は、第三者提供の可否を本人の決定に委ねることによって、こうした事態を避けようとする趣旨に基づくものです。第三者に提供することも利用目的の一つですので、本条は、利用目的に関する前記諸規定の特則としての性格を有しています。 ここに「あらかじめ」とは、取得時を基準とする考え方もありますが、立法関係者の見解によれば、第三者への提供時を基準と解されています。本項は、第三者提供の可否を本人の意思に委ねる趣旨であり、したがって現に第三者提供される以前の段階で同意が存在すれば、前記趣旨を満たすことになるからです。これに対し、取得時とする説は、第三者提供することも利用目的に該当し、利用目的は18条により取得時に通知・公表等を行う必要があることを理由とするものと思われます。しかし、16条1項は「あらかじめ本人の同意を得」れば目的外利用しうると規定していますので、やはり第三者への提供時を基準と解することに合理性が認められそうです。 現在ではインターネットのサイトで本人から同意を取得するケースも増えています。このような場合、画面上で「同意する」をクリックさせる方法による場合が少なくありません。 【図表11】第三者提供制限の仕組みについて <出典・内閣官房個人情報保護室「法案の論点解説」> 例外的に同意が不要な場合として、本項でも前述の16条3項の場合と同一内容の事由が規定されていますが、これに加えて、23条は他にも本人の同意を得ずに第三者提供が可能な場合を定めています。 まず、「オプトアウト(本人の求めによる提供停止)」制度があります(同条2項)。この制度は、あらかじめ「お客様の個人情報を第三者に提供することがお嫌いであれば、弊社宛に申し出ていただけば、いつでも中止させていただきます」など所定の事項を本人に通知、又は本人が容易に知り得る状態に置いて、第三者提供するような場合です。 次に、やはり同意不要の場合として、同条4項が規定する(1)委託、(2)事業承継、(3)共同利用の場合があります。 このうち(1)については、百貨店が注文を受けた商品の配送のために宅配業者に個人情報を渡す場合などが想定されています。本人の同意が不要である半面、委託元の個人情報取扱事業者は委託先に対する監督義務を負うとすることによって(22条)、バランスが保たれています。 (2)については、営業譲渡により譲渡先企業に顧客情報を渡す場合などが想定されます。この場合、譲渡前の利用目的の範囲内でのみ譲渡後も利用できるという条件が付けられることによって(16条2項)、バランスが保たれることになります。 (3)として観光・旅行業などグループ企業で総合的なサービスを提供する場合などが想定されています。この場合、共同利用者の範囲、利用する情報の種類、利用目的、情報管理の責任者の名称等について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置かなければなりません(23条5項)。一定規模以上の企業であれば子会社を有していることが少なくありませんが、親子会社間における個人データのやりとりであっても、別法人です以上、第三者提供に該当してしまいます。このような場合、(3)を有効活用すべき場面は少なくないはずです。
* 「保有個人データ」とは何か
「個人データ」のうち、「保有個人データ」に該当するものについては、さらに多くの義務が課されています。これは、「個人情報取扱事業者」が、開示、内容の訂正などのできる権限を有する「個人データ」であって、政令で定める一定期間を超えて継続利用を行う場合ものです(2条5項)。
この期間については施行令4条で6ヵ月間と定められています。したがって、6ヵ月以内に利用を終了するものについては、「保有個人データ」に当たらないことになります。 また、「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」が、明文で「保有個人データ」から除外されています。これを受けて施行令3条は、(1)当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの(例:犯罪被害者への援助を行う民間機関が加害者を本人とする個人データを持っている場合)、(2)当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの(例:事業者が株主総会対策のために総会屋を本人とする個人データを持っている場合)、(3)当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの(例:事業者が外国要人を本人とする行動記録などが記録された個人データを持っている場合)、(4)当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの(例:事業者が警察からの捜査関係事項照会の受理、回答の過程で犯罪者を本人とする個人データを持っている場合)という4種類の情報を規定しています。 * 保有個人データに関する事項の公表等 「保有個人データ」について、「個人情報取扱事業者」は、一定の事項を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます)に置いておく必要があります(24条1項)。ここに本人の知り得る状態に置くとは、前述の「公表」と実質的にほぼ同様の意味です。 対象となる事項は、(1)当該個人情報取扱事業者の氏名又は名称(1号)、(2)すべての保有個人データの利用目的(2号)、(3)後述の本人からの求めに応じた開示、訂正等に応じる手続(3号)、(4)保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの(4号)です。 この4号を受けて施行令第5条は、(i)当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先、(ii)当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先を規定しています。 「保有個人データ」に関する事項の公表制度によって、本人は、どのような利用目的などで「個人情報取扱事業者」が「保有個人データ」を保有しているのかを知ることができるようになります。そして、これにより、次に述べる開示等の求めを個人情報取扱事業者に対して行うことができるようになります。 * 本人関与 「保有個人データ」に関する事項の公表制度をベースに、「本人関与」と呼ばれる一連の義務が設けられています。 具体的には、本人の求めに応じて、保有個人データに関し個人情報取扱事業者が、(1)利用目的の通知義務(24条2項)、(2)開示義務(25条1項)、(3)訂正等の義務(26条1項)、(4)利用停止等の義務(27条)であり、この法律では以上のような本人の求めを「開示等の求め」という言葉で総称しています。 いずれも法文上は、「個人情報取扱事業者」の“義務”の形式で規定されています。しかし、この法律の第4章第1節の表題が「個人情報取扱事業者の義務」とされていることとの関係上、こうした体裁なっているにすぎません。国会審議時に細田IT担当大臣も、「開示、訂正、利用停止、第三者提供に当たっての本人の同意などについて明確に規定していることは、やはり個人のそれぞれの権利を明確にしているものであるということ」(衆議院個人情報の保護に関する特別委員会議録平成15年4月15日(第3号))と答弁しており、立法者意思として、あくまでも法的性格は個人情報取扱事業者に対する「本人の権利」だと考えられています。 【図表12】本人関与の仕組み <出典・内閣官房個人情報保護室「法案の論点解説」> * 利用目的の通知 このうち(1)は、どのような目的で利用されているのかなどの点について本人に通知しなければならないとするものです。これに対し、(i)24条1項により当該本人が識別される保有個人データの利用目的が明らかな場合、(ii)通知により本人又は第三者の権利利益を害するおそれがある場合(例:病院での検査目的の通知がガンなど重病名の実質的な告知となり本人に重大な精神的苦痛を与える場合)、(iii)通知により当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合、もしくは、(iv)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知することにより当該事務の遂行に支障を及ぼすおそれがあるときには、本人に通知する必要はありませんが、通知しない旨の決定をしたときは、本人に対し遅滞なくその旨を通知しなければなりません(24条3項)。 * 開示 次に(2)は、本人に開示しなければならないとするものです。但し、(i)本人又は第三者の権利利益を害するおそれがある場合(例:病院による重病名の告知が本人に重大な精神的苦痛を与える場合)、(ii)当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合(例:嫌がらせなどの目的で繰り返し執拗に同一内容の開示を求める場合)、もしくは、(iii)他の法令に違反することとなる場合(例:電気通信事業法4条が規定する通信の秘密を侵すことになる場合)には、開示を拒否することができます。開示に応じる場合には、書面の交付による方法によって開示を行うことが原則となりますが、開示の求めを行った者が同意した方法があるときは当該方法によることができます(施行規則6条)。これに対し、求められた保有個人データの全部又は一部について22開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければなりません(25条2項)。 個人情報取扱事業者は、以上の(1)及び(2)を求められたときは、当該措置の実施に関し、実費を勘案した合理的な範囲内で定めた手数料を徴収することができます(30条)。 * 訂正等 さらに(3)は、内容が事実でないときは利用目的達成に必要な範囲で訂正、追加又は削除を行わなければならないとするものです。遅滞なく必要な調査を行い、その結果に基づき、内容の訂正等を行うか、訂正等を行わない旨の決定をするとともに、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含みます)を通知しなければなりません(26条2項)。な通知しなければなりません(26条2項)。なお、評価や判断は、ここにいう事実そのものではありませんので、その内容が誤っているとして訂正等を求められた場合には、これに応じる義務を負いません。しかし、評価などの前提となった事実が誤っているときには、訂正等に応じる義務を負います。 * 利用停止等 最後に、(4)は、利用目的による制限、適正な取得、第三者提供の制限に違反していることが判明したときは、違反是正に必要な限度で利用停止等を行わなければならないとするものです。この場合も、利用停止等を行うか、それとも行わないことを決定するとともに、本人に対し、遅滞なく、その旨を通知しなければなりません。利用停止等に応じる義務を負うのは、前述した違反行為があった場合に限られていますので、それ以外の場合には、この法律では利用停止等に応じる必要はありません。しかし、例えばDMの発送を利用目的としているような場合に、いくら利用停止等の義務がない場合だからといって、嫌がる本人に対しDMを送り続けることが、マーケティングとして有用性を持つ行為なのか疑問があります。むしろ、進んでこれに応じてDMの発送を中止することこそが、企業として顧客満足度を高めることになるのではないでしょうか。この法律が課している義務は最小限のものにすぎず、個人情報取扱事業者として自主的な取り組みを行うことが求められているのです。 * 開示等の求めに応じる手続など 以上の場合に共通して、本人の求めに応じないことを決定した場合は、本人に対し、その理由の説明に努める義務を負います(28条)。理由を説明することによって、できる限り本人の理解が得られるように努め、また本人が苦情の申し出などを行う場合に対応が容易になるための制度です。 個人情報取扱事業者は、以上に述べた開示等の求めに対し、対象となる「保有個人データ」を特定するに足りる事項の提示を求めることができます(29条2項)。開示等の求めは、本人自身が行うことができるほか、代理人によってすることもできます(同条3項)。代理人とは、未成年者又は成年被後見人の法定代理人、及び開示等の求めをすることにつき本人が委任した代理人です(施行令8条)。 個人情報取扱事業者は、開示等の求めを受け付ける方法を定めることができ、その場合、本人は当該方法に従って開示等の求めを行わなければなりません(同条1項)。受け付ける方法として定めることができる事項は、(i)開示等の求めの申出先、(ii)開示等の求めに際して提出すべき書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含みます)の様式その他の開示等の求めの方式、(iii)開示等の求めをする者が本人又は代理人であることの確認の方法、(iv)手数料の徴収方法です(施行令7条)。 円滑な手続を実施するためには、これらの方法を定めておくことが望ましいものといえるでしょう。このなかでも(iii)の確認方法は重要な意味を持っています。確認が不十分であると、本人に成りすました第三者に対し、誤って重要な「保有個人データ」を開示してしまい、それによって20条違反の漏えい事故が発生するおそれがあるからです。したがって、運転免許証24やパスポートのような、顔写真付きの公的身分証明書などでの確認方法を定めておくことが望ましいものと思われます。 以上のように、「個人情報」、「個人データ」、「保有個人データ」の順に、個人情報取扱事業者たる企業が負うべき義務は大きくなりますから、企業としては、みだりに「保有個人データ」化、もしくは「個人データ」化せず、また不要な「個人情報」は保有し続けることなく、すみやかに捨て去ることが要請される時代が到来したことが示されています。
個人情報取扱事業者が違反行為を行った場合などに対し、この法律の実効性を担保するためにどのような措置が用意されているのかについて、以下では説明を加えます。
この法律では、第1に、できる限り当事者間における自主的な解決に委ねるため、複層的(多重的)な苦情処理制度が用意されています。その中心は個人情報取扱事業者自身による苦情処理であり、31条は、個人情報の取扱いに関する苦情の適切かつ迅速な処理、そのために必要な体制の整備に努めなければならないとしています。次に、各種の事業者団体を自主的な申請に基づいて主務大臣が「認定個人情報保護団体」として認定し(37条)、本人の申し出に応じて苦情処理を担当させることにしています(42条)。さらに、地方公共団体も、苦情処理のあっせんその他必要な措置を講ずるよう努めるものとされています(13条)。 しかし、各社が従来設置してきた苦情処理窓口では対応が困難なことが予想されます。成りすましによる漏えいを避けるため比較的厳格な本人確認を講じることが必要であり、開示等の求めに対し拒否すべきか否かという法的判断も必要だからです。対応を間違えたり不当に遅滞すると、主務大臣から調査を受けたり、本人から訴訟を提起されるおそれがあることも否定できません。専門窓口を設置して、対応マニュアルを作成した上、担当者に対するトレーニングを実施しておくことが望ましいのです。法的判断が困難なケースについて常に相談しうるように、本分野につき専門知識を有する弁護士との連携関係を構築することも必要となります。 第2に、主務大臣を監督機関としての地位に置き、報告の徴収(32条)、助言(33条)、勧告(34条1項)及び命令を行うことができるものとしています。命令には、勧告を先行させる通常の命令(同条2項)と、勧告を先行させない緊急命令(同条3項)との二種類があります。 命令違反者は6月以下の懲役又は30万円以下の罰金に処せられ(56条)、両罰規定(違反行為をした者を処罰するだけでなく、その法人自体も処罰対象とする制度)の対象となります(58条)。報告を怠ったり、虚偽報告をした者も30万円以下の罰金に処せられ(57条)、こちらも両罰規定の対象となります(58条)。このように今後は場合によって刑事罰の対象になります。 * コンプライアンスのための社内体制構築 個人情報取扱事業者としてこの法律を遵守するために、また、プライバシーの権利を侵害したとして責任を負うことにならないためにも、企業は、コンプライアンスのための社内体制を構築する必要があります。そうすることによって、企業として顧客から信頼を勝ち取り、競争力を強化することもできます。 その際、場当たり的な対応に終始するだけでは不十分となるおそれがありますので、マネジメント・システムを構築することが有益です。計画を立案し(Plan)、それを実施して(Do)、計画どおり実施されているか監査し(Check)、監査の結果を踏まえて不備な点が判明すれば改善していく(Action)、という一連の流れを繰り返すことによって、保護のレベルを継続的に向上させていく仕組みであり、以上の頭文字を取って「PDCAサイクル」と呼ばれています。わが国における個人情報保護のためのマネジメント・システムの代表的なものとしてJIS Q15001が定められており、これに基づく第三者評価制度としてプライバシー・マーク制度があります。 まず、どのようなポリシーで個人情報を取り扱うのかということを簡潔に整理した「個人情報保護方針」を取締役会などで定め、自社のウェブページなどを利用して対外的に公表する企業が増加しています。この方針を実現するために、この法律の内容などに照らし、基本的な方向性を明確化する目的で基本規程を定め、さらに詳細化するために、さまざまな社内規程を制定することになります(これをさらに詳細化した運用マニュアルを策定することも有用です)。 個人情報保護を図るための社内組織作りも重要です。経営陣が選任した統括的な個人情報保護管理者を中心に社内体制作りを行い、実施していくことになります。社内の各関係部署から担当者を集めて対応のための社内委員会を設置することが少なくありません。立案に際しては、社内でどのような個人情報が取り扱われているのかについて洗い出し、この法律との関係でどのような措置が必要なのかという点を明確化する必要があります。 従業者に理解してもらうために、社内規程で教育研修を定め、これを実施することが不可欠となります。それは、安全管理措置に関する従業者に対する監督責任(21条)を果たすことにもなります。 さらに、監査責任者を選任し、監査の実施体制、監査結果の報告などを社内規程として定め、監査計画に基づき実施した監査結果に基づき、継続的改善に努めるべきことになります。 以上のとおり、この法律への対応には極めて多くの作業を要することを考えると、全面施行まで残された準備期間を活用するために、早期に対応に着手することが望まれます。
知らない会社から突然DMが送られてきた、電話による勧誘を受けたなど、どなたでもこのような経験をしたことがあるのではないでしょうか。IT化の進展に伴い生活が便利になった半面、簡単に情報の蓄積、加工、編集、流通などが行なえるため、顧客データの流出といった事故も起きています。たとえ実害がなかったとしても、自分の個人情報を誰が保管し、どのように利用しているのかが分からないことに不安を感じている方も多いようです。
「個人情報」とは、生存する個人に関する情報であり、特定の個人を識別することができる情報のことです(個人情報保護法2条1項参照)。個人情報には、次の2通りがあります。
プライバシーの権利は、憲法などには明文化されていませんが、基本的人権のひとつとして認められています。自己に関する情報(個人情報)の流れをコントロールする個人の権利と解釈する見解が有力であり、自分の情報を無断で公開されたり、不正に流用されたりしない権利、ということができます。個人情報保護法制とプライバシーの権利とは深い関係があり、一緒のものと思われがちですが、個人情報保護法で保護される個人の権利利益は必ずしもプライバシー権とは一致しておらず、個人情報保護とプライバシー保護とは一応別個のものと考えられています。 * 個人情報保護法とは 住民基本台帳ネットワークの導入や個人情報漏えい事件の多発などを受け、「個人情報の保護に関する法律」が平成15(2003)年5月に成立しました。この法律は、(1)個人情報の適正な取扱いに関する基本理念、(2)政府による基な取扱いに関する基本理念、(2)政府による基本方針・施策の基本となる事項、(3)国・地方公共団体の責務等、(4)個人情報を取扱う事業者の遵守すべき義務などについて定めたものです。なお、法律の全面施行は平成17(2005)年4月1日からになります。 * 個人情報を取扱う事業者が注意しなければならないポイントは 個人情報保護法と政令では、過去6ヶ月内に一度でも5,000人分を超える個人データを取り扱ったことのある企業に、以下のような義務を課しています。
* 日本における個人情報保護の動向
* 個人情報は人為的に漏れている
個人情報は、自然に漏れることはほとんどありません。大半は、人為的に漏らされたり、あるいは盗み出されたりしています。情報が漏れたり、盗まれたりするのは、DMで商品の広告や通信販売をする事業者の一部、債務者の転居先を探ろうとする債権取立業者や結婚のため相手の実家の様子を調べたい人など、その情報を欲しがる人がいるからです。
このようなことを注意しても個人情報が不正に利用されることがあります。そのような時には、どうしてそういうことになったのかを考え、相手方事業者に苦情を申し入れたり、事態によっては地方公共団体の消費生活センターや監督官庁に相談することも必要です。
しかし、個人情報を漏らすのは他人ばかりでなく、意識せずに自分自身が漏らしていることもあります。懸賞サイトやプレゼントへの応募、カタログ請求、アンケートの回答、各種会員登録、サンプル商品の請求などがその一例として挙げられます。 * 自分の情報は自分で守りましょう 現代社会では、個人情報をどこにも提供せずに生活することはできません。しかし、自分の情報は自分で守る、という意識を持って行動することが大切です。そのためのポイントをいくつかご紹介しましょう。
* 個人情報漏えい事件・事故を防ぐには 会員情報漏えいや住民基本台帳データ漏えいなど、個人情報漏えい事件がニュースで取り上げられる機会が増えています。このような事件は、個人の権利利益を害するだけでなく、企業にとっても個人情報保護法の法律違反の責任を問われたり、社会的信用の失墜、取引機会の喪失、顧客離れ、損害賠償など、大きな影響を受けます。企業は、このような漏えい事件を起こさないために次のような対策をすることが効果的です。
また、第三者が評価し、その適切性をマーク表示により消費者に知らせるための制度があります。
<<最近の主な個人情報漏えい事件例>>
インターネット利用者は日本国内でも5,643万3千人《平成15(2003)年2月時点、『インターネット白書2003』より》を超え、老若男女を問わず誰でも楽しめるコミュニケーションメディアとして親しまれています。インターネットは、ホームページに象徴される
ように、世界中に存在する不特定多数の人々に向かって情報が発信できるところに、大きな特色があります。中、小規模の企業や個人であっても、卓越した創意工夫によって多くの人々の関心を集め、世界的なビジネスに発展した例も珍しくありません。ところがその一方、掲示板での他人の個人情報の無断公開、迷惑メールの発信、クッキーやスパイウェアを通じた利用者の閲覧履歴の不適切な収集など、インターネット上で個人情報が濫用される事例が発生しています。
* 知っておきたい豆知識インターネット上で自分と他人の個人情報を守るためのルールとマナー、そして個人情報に関わるトラブルに巻き込まれた時の対処法など、知っておきたいポイントをまとめました。 * これだけは知っておきたいルール&マナー
ホームページで個人情報などを扱う仕組みとしてクッキー(Cookie)があります。このクッキーは、ショッピングサイトなどで利用者のショッピングカート情報を保持したり、商品送付先を記録して自動入力したり、利用者の購買履歴に合わせてページを表示したりするための小さなファイルです。このようにクッキーは便利な反面、この機能を濫用して、ユーザーに説明せずに個人情報を収集することを目的としてホームページを作る事業者も稀にいます。なお、クッキーに記録された識別番号と、登録された会員情報とをマッチングする場合があり、この場合はクッキーは個人情報に該当すると考えられます。クッキーによって個人が識別されているかどうかはケースバイケースですので、個人情報保護法により保護されるとは限りません。クッキーの利用に際しては、ブラウザの設定で「Cookieを受け入れる」「Cookieを受け入れる前にダイアログを表示」「Cookieブロックする」などが選択できますので、利便性とリスクを自分の責任で判断した上で選択してください。
* 知っておきたいトラブル事例&対策
【関連情報サイトのご紹介】 もっと個人情報保護について知りたい、もっとインターネットのルールやマナーについて知りたい、もっとトラブルの事例を知りたい、というときには、以下のサイトを参照してください。
|