経済産業省は平成16年6月15日、翌17年4月1日の個人情報保護法の全面施行に向けて、所管業界の企業が法律に基づいて個人情報を保護するためのガイドラインを公表しました。
平成15年5月に公布された法律は、個人情報を保護するために企業が守るべきルールを定めていますが、これに基づいて企業がいかなる行動をとるべきかにつき具体例を挙げて示したのがこのガイドラインです。経済産業省が所管する業種は幅広く、大半の企業がガイドラインに則った行動をとることが要求されます。
企業は顧客などから個人情報を取得するときは、その情報をどのような目的で利用するのかを特定しなければなりません。「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのため」程度であれば、利用目的が特定しているといえるのに対し、「当社の事業活動に用いるため」、「当社のマーケティング活動に用いるため」では特定していないことになります。
そして、その利用目的は、情報の取得に際し、本人に通知又は公表されなければなりません。「通知」は面談、電話、メール、郵便、ファックスなどでするものとし、「公表」はホームページへの掲載、パンフレットの備え置き、店舗への掲示などによります。
また、企業は取得した個人情報を本人の同意なくして、当初の利用目的から離れた利用をしてはならないし、また第三者に提供することも禁じられています。ここでの同意は、口頭又は書面での同意、メールでの同意、「同意する」というホームページ上のボタンをクリックすることなどによって得るなどの例が挙げられています。
そして、法律は、企業に対し、個人データの漏洩防止のために必要かつ適切な措置を講じることを要求しています。
これを受けて、ガイドラインは組織的、人的、物理的、技術的安全管理措置をとることを要求しています。例えば、個人情報保護管理者、監査責任者の設置など組織体制の整備、個人データ取り扱いに関する規程の整備と運用(組織的措置)、入社時の情報非開示の契約締結、従業員に対する教育、訓練(人的措置)、入退室管理の実施、盗難に対する対策(物理的措置)、個人データへのアクセス制御、不正ソフトウエア対策(技術的措置)など、網羅的に、しかも事細かに具体的事例を挙げて行動を要求しています。
反対に、「個人データに対してアクセス制限が実施されておらず、アクセス許可されていない従業員がそこから個人情報を入手して漏洩した場合」などは、必要かつ適切な措置を講じているとは言えないとされています。
そのほか、ガイドラインは本人から情報の開示や訂正を求められた場合の手続きについても示しています。
企業が法律に違反しているとして、経済産業大臣から勧告や命令を受けるかどうかは、このガイドラインを基準とすることが明らかにされています。したがって、ガイドラインに沿った行動が取れているかどうかは極めて重要です。
命令を受けても、改善措置をとらなければ、6か月以下の懲役(個人事業者や会社の代表者)や、30万円以下の罰金に処せられることになります。企業の損失がそれだけに留まらず、社会的信用を失ってしまうおそれのあることは最近の漏洩事件を見れば、明らかでしょう。
逆に、このガイドラインができたことで、個人情報の扱いについてのルール整備がされ、情報のより有効な活用が可能となるともいえるでしょう。
平成17年4月1日に向けた企業の準備作業は加速します。
経済産業省、個人情報保護のガイドラインを策定
【関連カテゴリー】