個人情報保護法の全面施行が平成17年4月1日に迫っています。
各企業は対策の総仕上げに追われており、あるいは、これから急ピッチで間に合わせたいという企業も少なからずあるようです。
これまでもメルマガやホームページの「法律トピックス」で法律や経済産業省のガイドラインの内容をご紹介してきましたが、施行を直前にした今、「企業は何をすべきか」のポイントを改めてご説明します。
なお、データベース内の個人情報(個人データ)が5000人を超えなければ、個人情報保護法による義務付けはありません。
まず、社内に、どのような個人情報が、どのような形で保存されているかを確認することが先決です。
最も注意すべきは顧客リスト、社員リストです。社員情報も個人情報です。これらがデータベースとして整理されていれば、流出の危険性がそれだけ高く、流出したときの被害は大きなものとなります。これらの情報がパソコンに入っているのか、帳簿として保管されているのかによって採るべき対策が決まってきます。
次に、自社が取り扱う個人情報の利用目的を本人ないし外部に向かって告知する措置をとる必要があります。
個人情報は各個人本人からの「預りもの」の側面があるので、告知した利用目的以外に利用することが禁じられています。
具体的には、利用目的をホームページに掲載するのが有用です。契約書やアンケート用紙に個人情報の記入を求める場合、あるいはホームページ上で個人情報の入力を求める場合は、その情報を何に使うかを具体的に示しておかなければなりません。
そして、個人データ漏洩防止のために、各種の安全管理措置を採らなければなりません。法律は、本人の同意なしに第三者に個人データを提供することを禁じており、これを担保する体制を整えなければなりません。
ポイントは、組織的・人的な面で体制を整えること、物理的・技術的な措置を採っておくことです。
組織的・人的措置という面では、社内で「個人情報管理者」を決め、個人データの取り扱い作業者の責任者・担当者を限定します。また、社内の個人情報管理規程を作成し、これを役員、社員に周知徹底します。研修、教育も必要です。
物理的・技術的措置という面では、そのデータベースを取り扱える場所を限定して、盗難防止のための措置をとること、データベースへのアクセス権限を最少とし、識別と認証(IDとパスワードによる認証)を実施し、アクセスを記録すること、そのほか不正ソフトウエア対策、情報システムの監視などの措置を決め、それに従った運用がなされることが重要です。
また、個人情報が「預りもの」であるがゆえに、本人からの開示、訂正、追加、削除、利用停止などの申し出があった場合、一定の条件の下でこれに応じる必要があるため、それに対する体制整備も必要です。その前提として、自社がどのようなデータを、どのような利用目的で保有しているかなどを公表しておく必要があります。これもホームページでするのが有用です。
企業等が法律に違反していれば、監督官庁から勧告や命令を受けることがあります。にもかかわらず、改善措置をとらなければ、6か月以下の懲役(個人事業者や会社の代表者)や、30万円以下の罰金に処せられることになります。企業の損失がそれだけに留まらず、社会的信用を失ってしまうおそれのあることは最近の漏洩事件を見れば明らかでしょう。
以上はあくまでポイントです。当事務所では企業の担当者からのご相談に応じており、対策立案のアドバイスを実施しています。また社員研修の講師代行のご依頼についてもご相談に応じます。
総仕上げに際し、判断に迷う点があるという企業の方、今からでもとにかく何とか最低限のことをやっておきたいという企業の方、どうぞ当事務所の嶋津宛、お電話もしくはメールでご連絡ください。
個人情報保護法の全面施行迫る
【関連カテゴリー】