個人情報保護法

個人の権利と利益を保護するために、個人情報を取扱う事業者に対して個人情報の取扱い方法を定めた法律で、2005年4月1日に全面施行されました。個人情報保護法は６章構成になっており、2003年5月の発布時点では１章から３章までが施行となりました。１章から３章は「国及び地方公共団体の責務」などについて述べられています。一般企業に直接関わる第４章は２年間の施行猶予期間が設けられ、この間に個人情報取扱事業者は個人情報保護体制を確立することが求められています。 またこの法律には第６章に罰則規定があり、管轄の主務大臣の命令に対する違反には罰則が課せられます。

個人情報の解説

＜個人情報取扱事業者に課せられる義務＞個人情報取扱事業者には様々な義務が課せられますが、「１．利用目的の特定・公表」「２．適正管理、利用、第三者への提供」「３．本人の権利と関与」 「４．本人の権利への対応」 「５．苦情の処理」の５つのカテゴリーに大別することができます。

「１．利用目的の特定・公表」

【第１５条】
　個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない。

【第１５条第２項】
　個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

【第１８条第３項】
　個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

あらかじめ個人情報を「第三者に提供」することを想定している場合には、利用目的で、その旨特定しなければなりません。従業員の個人情報についても個人情報保護の対象です。従業員の個人情報を利用する場合であっても、利用目的を具体的に特定し説明しなければなりません。法はいったん同意をとった利用目的を大きく変更することを禁じています。変更できる範囲は「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲まで」としています。それでも、変更したい場合は、「新しい利用目的によって本人の同意をとり直す」ことが必要です。

※補足
例えば、Webサイト上で懸賞の応募受付をする場合、収集する個人情報の利用目的がサイトのどこかに掲載されているだけでは不十分です。利用目的は明確に情報主体（本人）に通知する必要があります。利用目的を単に掲載するだけではなく、入力フォームページ内に利用目的を記載するなど、ユーザーが必ず目にするような位置に掲載して下さい。

「２．適正管理、利用、第三者への提供」

【第１９条】
　個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。

【第２０条】
　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は棄損防止、その他の個人データを安全に管理するための必要かつ適切な措置を講じなければならない。

【第２１条】
　個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

【第２２条】
　個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

【第２３条】
　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

法律では、これだけの記載ですが、企業が最も力を入れて対策をしていかなければならないのは、この部分です。特に第２０条で述べられている「必要かつ適切な措置」を行うためには、組織的・人的・物理的・技術的な広範囲の安全対策をとらなければなりません。

※補足
近年の個人情報流出事件では、外部からの不正アクセスによる情報漏えいは２０％以下で、８０％以上が従業員や業務委託先従業員といった内部の従業者による流出事故や漏えい事件であると言われています。相次ぐ事故・事件に対して、経済産業分野のガイドラインでは特に以下の分野の対策強化を求めています。

• 個人情報を閲覧できる従業者の限定
• 個人情報の持ち出し制限
• 外部からの個人情報への不正アクセス防止策の導入
• 従業者に対する個人情報保護研修の実施
• 個人情報漏えい時は当該本人に速やかに通知
• 事件内容の公表（類似事件の発生回避）

従業者に対する情報セキュリティ対策として、個人データに対する「アクセス制限・アクセス管理、監視」が有効です。また業務マニュアルの規定によって、持ち出し制限や移動時の取り決め、暗号化等　の手順を決め、全て、申請・承認によって処理することを決めて、守らせることも重要です。これらによって、情報漏えい事故を防止し、従業者による情報流出を牽制することが可能です。

「３．本人の権利と関与」

【第２４条　第２項】　利用目的の通知
　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。

【第２５条　第１項】　開示
　政令で定める方法（書面または本人が同意した方法）により、当該保有個人データを開示しなければならない。

(1) 本人又は第三者の生命、身体、財産その他の権利利益を害する恐れがある場合には開示拒否できる。

(2) 個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼす恐れがある場合は開示拒否できる。

【第２６条　第１項、第２項】　訂正等
　内容が事実でないという理由によって該当保有個人データ内容の訂正、追加又は削除を求められた場合には、その内容の訂正等を行わなければならない。

【第２７条　第１項、第２項、第３項】　利用停止等
(1) 利用目的による制限、(2) 適正な取得、(3) 第三者提供の制限に違反していることが判明した場合は是正するために必要な限度で原則として利用停止等を行わなければならない。原則として、保持している個人データの内容や利用目的は、本人の求めに応じて、遅滞無く通知しなければなりません。訂正についても同様です。適用除外事項も幾つかありますが、基本的に本人の求めに応じる義務があります。この場合に重要なことは本人確認です。本人または適正な代理人による依頼で、その申し出の内容が正しい場合のみ訂正に応じます。また「利用目的から見て訂正等が必要ではない場合には、訂正等を行う必要がない」という条項もあります。その場合は訂正等を行わない旨を、遅滞無く本人に通知しなければなりません。

基本的に個人情報は当の本人のものであり、事業者は預かっているのだということを理解していれば本人の権利に対する対応は、適切に実施することができるはずです。

補足情報
本人の求めに「遅延無く＝合理的な期間で」対応するためには、問い合わせ窓口の設置や、問い合わせに応対する要員等の配置に加えて、個人情報のインベントリリストを整備し、個人情報のレジストリ管理が必要になります。
そのために「個人情報保護法対応型、個人情報メタ・データベース」のような機能を整備して、個人情報の在り場所を明確にし、ＩＴの力で遅延無く対応できるようにしておくことも重要です。 ２００５年４月１日以降、情報開示要求が急増することが考えられ、法はこれらの要求を「遅滞なく」処理することをもとめています。この領域はＩＴの利用が有効です。

「４．本人の権利への対応」

【第２８条】　理由の説明
　保有個人データの公表・開示・訂正・利用停止等において、その措置をとらない場合その理由を説明するように努めなければならない。

【第２９条 】　開示等の求めに応じる手続き
　求めに応じる手続きを定めることができる。

1. 開示受付方法の設定
2. 本人確認の実施
3. 代理人による開示請求
4. 本人に過重な負担を強いてはならない

【第３０条】　手数料
　合理的な範囲で手数料を徴収することができる。

個人データの開示等を実施する際には、事業者は開示等(*)の方法を定めることができます。

1. 開示等の求めの受付先
窓口の住所や、FAX先の電話番号などを指定します。
ただし、窓口を不便な場所に限定するなど、本人に過度な負担をかけてはいけません。

2. 提出すべき書面と受付方法
紙面である必要は無く、FAXや電子メールで受け付けるということでも構いません。

3. 本人確認の方法
本人がその場にいる場合は公的な顔写真入り証明書、例えば運転免許証やパスポートで、Ｗｅｂ等の場合にはIDとパスワードで本人確認することが一般的でしょう。

4. 手数料の徴収方法
合理的な範囲内で手数料を徴収することができます。
「実際に料金をいくらに設定できるか」については、法律やガイドラインに記載されているわけではありません、行政の例として、３００円であることが述べられています。
＊開示等とは、保有個人データの利用目的の通知、保有個人データの開示、内容の訂正、追加又は削除、保有個人データの利用の停止又は消去、第三者への提供の停止のことを示しています。

※補足
権利があると、権利を濫用しようとする人は、どうしても現れてしまいます。個人情報保護法が施行されると、クレーマーが利用目的を際限なく問い合わせるようなことがあるかもしれません。
例えば「開示」に関する適用除外では、法は次のように定めています。

※開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

1. 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
事例)
医療機関等において、病名等を開示することにより、本人の心身状況を悪化させるおそれがある場合

2. 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
事例)
試験実施機関において、採点情報のすべてを開示することにより、試験制度の維持に、著しい支障を及ぼすおそれがある場合
事例)
同一の本人から複雑な対応を要する同一内容について繰り返し開示の求めがあり、事実上問い合わせ窓口が占有されることによって他の問い合わせ対応業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがある場合

3. 他の法令に違反することとなる場合
事例)
金融機関が「組織的な犯罪の処罰及び犯罪収益の規制等に関する法律」主務大臣に取引の届出を行っていたときに当該届出を行ったことが記録されている保有個人データを開示することが同法の規定に違反する場合
このような場合は開示をしないことができます。開示をしないということを決めた場合はその理由を本人に通知しなければなりません。

「５．苦情の処理」

【第３１条】　個人情報取扱事業者による苦情の処理

(1) 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。

(2) 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。

個人情報取扱事業者に対して、本人からの苦情に対応する体制を確立することを個人情報保護法で定めています。苦情は基本的に本人と個人情報取扱事業者の間、または認定個人情報保護団体を含めた３者間で解決することがファーストステップとなります。

当事者間で解決しない場合や、重大な内容であるにもかかわらず事業者の対応が不適切な場合は、主務大臣から報告の徴収（事情聴取）があり、その結果、「助言」、更にエスカレーションすると「勧告」、最終的には「命令」が発せられ、「命令違反」には「６ヶ月以下の懲役または３０万円以下の罰金」という罰則が課せられます。

実際に命令違反による刑事罰を受けた企業が、市場や消費者の信頼を再び得ることは大変困難だと思います。また、主務大臣の勧告や命令が発せられる以前に、事件事故の公表が義務づけられていますから、その時点で既に新聞やテレビでニュースとして取り上げられ、会社の評価は大きく失墜することとなります。

日本では「コンプライアンス」というと「遵法」という意味でとらえられていますが、欧米では「コンプライアンス＝苦情対応」が一般的です。

ＣＩＯ：情報担当役員、ＣＰＯ：プライバシー（個人情報保護）担当役員、ＣＩＳＯ：情報セキュリティ担当役員と同様に、ＣＰＣＯ：プライバシーコンプライアンス（個人情報保護苦情対応）担当役員を設置する企業も増えています。