PR

 前回は,委託先管理の観点からSaaS/ASPサービスの個人情報保護対策を取り上げた。今回は,同じ観点から,総務省が策定作業を進めている「郵便」「信書便」の個人情報保護ガイドライン案について考察してみたい。

「信書の秘密」と「個人情報保護」の関係に注意

 「信書」とは,「特定の受取人に対し,差出人の意思を表示し,又は事実を通知する文書」を指す。「郵便」は,郵便法に基づき,郵便事業株式会社(通称は日本郵便)が行う信書及びその他の一定の制限内の物を送達する業務であり,法律上は郵便事業株式会社の独占事業である。郵便窓口業務については,郵便事業株式会社が郵便局株式会社に委託することが義務付けられている。郵便事業株式会社から見ると,郵便窓口業務を郵便局株式会社から受託した簡易郵便局は再委託先に該当する。

 第116回で,総務省の「郵便事業分野における個人情報保護に関する研究会」を紹介した。2008年1月18日には,その報告書が公表されている(「郵便事業分野における個人情報保護に関する研究会の報告書」参照)。

 一方,2003年4月に施行された信書便法に基づき,民間事業者が行う信書の送達事業が「信書便」である。総務省では,2006年12月より「信書便事業分野における個人情報保護に関する研究会」を開催し,2007年7月10日に報告書を公表している(「「信書便事業分野における個人情報保護に関する研究会」の報告書」参照)。

 これら2つの報告書を受けてまとめられたのが,2008年1月18日に公表された郵便及び信書便分野の個人情報保護ガイドライン案である(「「郵便事業分野における個人情報保護に関するガイドライン(案)」及び「信書便事業分野における個人情報保護に関するガイドライン(案)」に対する意見公募」参照)。

 総務省は,ガイドライン制定の趣旨として,以下の2点を挙げている。

  • 郵便・信書便事業者が講じるべき措置の適切かつ有効な実施を図るための指針を定める
  • 郵便法・信書便法で規定された「信書の秘密」に該当する個人情報(差出人・受取人の氏名,住所等も含まれる)の取り扱いに関して特に厳格な実施が求められる事項を定める

 特に注目すべきは,後者に関わる事項である。第115回で取り上げたかんぽ生命の郵便物不着事故を見れば分かるように,企業が郵便・信書便を利用して個人情報を含む文書・データなどを送付する際には,外部委託先として郵便・信書便事業者を監督する責任があるからだ。信書の秘密と個人情報保護の関係についてよく理解しておこう。

委託元企業を左右する郵便・信書便事業者の情報漏えい防止対策

 ところで,「郵便」と「信書便」には相違点もある。郵便事業分野の個人情報保護について,旧日本郵政公社時代は独立行政法人等保護法が適用されていた。だが,2007年10月1日の郵政民営化以降は,個人情報保護法が適用されるようになった。郵便事業分野の個人情報保護ガイドライン案では,郵便事業の事業主体である郵便事業株式会社及び郵便窓口業務を受託する郵便局株式会社が適用対象となっている。

 他方,信書便事業分野の個人情報保護については,従来から個人情報保護法が適用されている。前述の信書便事業の報告書によると,2007年4月末時点で218の事業者が信書便事業に参入している。特徴的なのは,そのうち約9割が貨物運送事業(国土交通省の所管分野)を兼業している点だ。信書便事業分野の個人情報保護ガイドライン案をとりまとめたのは総務省だが,信書便事業者にとっては,「国土交通省所管分野における個人情報保護に関するガイドライン」との整合性確保がビジネス上の重要課題なのである。

 例えば総務省は,郵便・信書便事業を,個人情報保護の重点3分野(医療,金融・信用,情報通信)の一部に位置付けており,通信キャリアや民間放送事業者並みの対応が求められる。また,現行法では信書便事業について業務再委託を制限しており,集配を委託する企業にまで影響が及ぶケースも起こりうる。

 委託先管理の観点から,郵便・信書便事業者の個人情報漏えい防止対策の良し悪しは,一般企業の個人情報管理にも関わってくる点を忘れてはならない。

 次回は,コンピュータウイルスを介した情報漏えい事件を取り上げてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/