(1)指 針
現在、個人情報保護マークやシールを付与している団体が沢山あります。専門的知識も必要であり、費用もかかりますが、これらの機関が要求する書類を作成申請し、体制を整備して行く方法もあります。しかし、プライバシー・リスク・マネジメントや情報セキュリティシステムには、最高かつ唯一の方法があるものではなく、各企業が重点を置くリスク項目を選択し、合理的判断と資源配分計画の中で実施してゆくべきものです。
個人情報保護法は全6章、59条から構成されています。その規制原理は、@取得利用規制(同意または目的範囲によるコントロール、利用主体の限定)、Aセキュリティの確保、B情報主体の権利行使への対応の3つです。そして、特に企業にとって重要な部分が第4章に規定されています。まず、企業は本章に定められた法的要請を最低限満たす「情報システムとセキュリティ・ポリシー」を策定し、訴訟の場においても、これを主張立証できる仕組みを作ることから始めましょう。
(2)条文の理解−文理解釈の徹底
まず、個人情報保護法の条文を「1.個人情報(15-18,31条)」「2.個人データ(19-23条)」「3.保有個人データ(24-30条)」の3つの視点で読んでみましょう。特に企業にとって重要な部分が第4章に規定されています。本法は「個人情報」を「状態」によって、3つに区分しています。
@ここで「1.個人情報」とは、生存する個人に関する情報で、特定の個人を識別できるもの、及び他の情報と容易に照合して特定の個人を識別できるものを言います。CookieやWEBビーコン、グリーティング等の情報技術により個人情報を取得する場合、本人の承諾を必要とすること勿論です。
A「2.個人データ」とは、個人情報が検索可能なように体系的に整理されているものを言います。表計算ソフトやデータベースは勿論、紙の名簿でも50音順等に整理されていればこれに該当します。
B「3.保有個人データ」とは、個人データのうちで、その企業が開示、訂正、追加、削除等の処理を権限に基いて行えるものを言います。単なる「パンチ」のみを受託されて処理を行う業者の名簿は、当該業者に変更権限がありませんので、保有個人情報ではありません。
(3)必要かつ適切な措置(20条)
業界ごとに監督官庁からガイドラインが出されています。各官庁のホームページにアクセスすれば誰でも無料で入手できます。例えば経済産業省では、2004年6月15日に「個人情報保護に関する法律についての経済産業分野を対象とするガイドライン」を最初に示しています。特に20条の安全管理措置に対しては、「1.組織的措置」「2.人的措置」「3.物理的措置」「4.技術的措置」の4つに分けて、11ページに渡り詳細に記しています。これを元に、チェックシートを作成しながら進めて行きます。
|
個人情報保護法とは
サポート・デスク
