PR

5月23日、個人情報の取り扱いを規定した個人情報保護法が成立した。同法が対象とする範囲は広い。顧客のデータベースを持つあらゆる企業は、個人情報の扱い方を根本的に見直す必要がある。少なくとも2年以内に、この法律が示す基準を満たす体制を整えなければならない。

図1●個人情報保護法の要旨
 個人情報保護法の成立により、企業は緊急の対応を迫られている。実際に今年5月末には、個人情報保護法の施行を先取りするような出来事が起きた。

 三井住友銀行は、業務提携しているJTBのグループ会社に顧客の個人情報を提供している。このJTBのグループ会社から郵便物を受け取ったある人物が、三井住友銀行に個人情報の削除を要求したのである。同行はこの人物に謝罪し個人情報を削除した。

 ことは三井住友銀行だけではない。販売促進や顧客管理のためにデータベースで個人情報を管理する企業は、同時に個人情報を保護する義務を負うことになる(図1[拡大表示])。

 個人情報保護法で規定してある義務の施行日は2年以内に政令で決まる。つまり、企業が対策をするために残された日数は2年を切ったわけだ。

 義務の施行日までは個人情報保護法を守らなくてもいい、というわけではない。

 エルティ総合法律事務所の所長である藤谷護人弁護士は、「義務の施行日までの期間に個人情報保護法にのっとった体制作りをすべき」と主張する。「施行前であっても過失などから個人情報保護に関する民事事件が起これば、個人情報保護法に照らし合わせて判決が下るからだ」(藤谷弁護士)。

取得・利用・管理に義務が発生

 個人情報保護法によって、企業は個人情報の取得・利用・管理のすべての面で新たな義務を負うことになる。

 個人情報の取得時には、利用目的を明示することが必要になる。アンケートやWebサイトの会員登録では、分かりやすい場所に何の目的で個人情報を収集しようとしているかを明記しなくてはならない。しかも、ただ書けばよいわけではない。今の企業のWebサイトに散見される、「業務上必要な用途に使用する」などという曖昧あいまいな表現は通用しなくなる。「まず、不適切という判断が下るだろう」と人権問題に詳しい梓澤あずさわ和幸弁護士は指摘する。

 目安としては、「企業同士が契約を交わすときの条項(約款)と同じレベルで利用目的を明記することが望ましい」と内閣官房の植山克郎個人情報保護担当室長補佐は証言する。少なくとも「業務」だけではなく、会社案内に書いてある事業内容のうち、どの事業で個人情報を使うのかくらいは明示する必要があるだろう。

 グループ企業などで個人情報を共同利用するときには、その旨も明記しなければならない。「グループ各社で利用する可能性がある」という表記では不十分だ。これではグループ会社がどの範囲まで指すのか分からない。

図2●企業・団体における個人情報の扱いについて、問題が深刻化した際の流れ

 植山室長補佐は「社名からグループ企業が連想できるような会社であれば問題ないが、それでもグループ企業の社名を併記したほうがよい」と忠告する。

 個人情報を利用する際は適切に管理する義務が生じる。例えば、個人情報を書き換えたり、あらかじめ指定していない第三者に漏らしてはいけない。たとえ過失であっても、これらを守らなければ管理義務違反になる。

 企業が個人情報を管理しているときには、本人から個人情報の開示要求を受けた場合に、開示要求に応えて、どのような情報を何のために保持しているかを伝える義務がある。

 こうした義務を守らなかった場合、基本的には本人からの訂正・利用中止要求を受けて、企業と本人の間で解決することになる。しかし、事態が社会問題に発展するほど深刻な場合は、主務大臣(各業界を管轄する大臣)が介入することもあり得る(図2[拡大表示] )。

対象になる企業や情報は広範囲

 個人情報保護法の求める義務の対象となるのは、どのような企業なのか。梓澤弁護士は「国内すべての企業が対象になるといってよい」と断言する。

 法律では、対象となる企業・団体を「個人情報取扱い事業者」と呼んでいる。これは、個人情報を取得・利用・管理している事業者という意味だ。個人情報を売買して生計を立てている事業者という意味ではない。

 実は同法を巡る国会答弁の中で、「個人情報取扱い事業者」のうち5000件以上の個人情報を扱っている事業者が同法の対象になるとされた。しかし、中小企業でも対象外になるとは限らない。個人情報の定義が広範囲に及ぶためだ。

 個人情報の定義は「個人を特定できるもの」であるため、氏名、住所、電話番号だけでなく、電子メール・アドレス、顔の画像、音声データなども含む。電子データであるとも限らない。名刺や紙の名簿も含む。それらを別々に数えて合計で5000件を超せば対象とするため、たいていの企業が当てはまることになる。

 ここで問題になるのは、どこまでが個人情報保護法の対象となる情報なのかということだ。例えば、営業担当者が飛び込み訪問で集めた名刺を使って、ダイレクト・メールを出したら「当初の目的外の利用」に当たるのか。個人的にExcelで作成した顧客名簿に開示義務は生じるのか。顧客情報の入った携帯電話やPDA(携帯情報端末)を紛失したら、第三者へ情報漏洩したことになるのか、といった疑問が生じる。

 内閣官房の植山室長補佐は「個人情報保護法自体の対象が法人格を持つ団体なので、対象となる個人情報は企業として管理しているものになる」と説明する。例えば、担当者の携帯電話に格納したデータであっても、担当者が個人的に見込み客として登録したものは問題にならない。しかし、企業として重点的に営業をかけるよう上司が指示したために、担当者が携帯電話に登録したデータであれば、個人情報保護法の対象となる可能性がある。

個人情報の管理台帳から作成せよ

図3●企業が実施するべき主な方策

 現実に企業のセキュリティ担当者や、顧客データベース管理者が実施すべき方策は大きく四つある(図3[拡大表示])。個人情報の管理台帳の作成、社内体制の確立、プライバシ・ポリシーの策定や見直し、従業員教育である。

 最初に手がけなければいけないのは、現状把握と個人情報の管理台帳の作成である。どの部署が、どのような個人情報を、何の目的のために、いつ集めたのか。これらを正確に把握する。

 同法の施行以前に収集した個人情報で、利用目的が不明確だったものについては、本人に改めて利用目的を公表し、納得してもらう必要がある。

 本人から個人情報の開示などの要求を受けるために、専用の窓口を設置することも必要だ。窓口といっても組織にする必要はなく、問い合わせに対する責任者を対外的に明示しておけばよい。グループ会社で情報を共有する場合は、どの会社のだれに問い合わせればよいかを決めておく。

 企業としてどのように対処するかを定めた業務フローやマニュアルも同時に整備したほうがよい。「本人から訂正や削除要求があった際に、社内のどこの部署でもバラツキなく、そのデータを修正できるようにする必要がある」(セキュリティ・コンサルタントのインターナショナル・ネットワーク・セキュリティの石井宏幸技術本部長代行)。また、プライバシ・ポリシーを明確に規定していなかった企業は改めて、ポリシーを策定し直す必要がある。

 取るべき対策の中で、最も手間がかかるのは社員に対する啓蒙(けいもう)活動だ。個人情報の取り扱いを、これまで以上に気をつけるように促す必要がある。対象となる社員はシステム部員だけではない。顧客データベースなどを使用する全社員である。「業務において、個人情報を適正に管理することがより高い優先順位を持つことになった」(アクセンチュアの武田 圭史マネジャー)。

 啓蒙活動は社内だけとは限らない。調査の依頼、データの分析などを委託するために外部の企業を利用する際は、細心の注意が必要だ。セキュリティ・コンサルタントのグローバル セキュリティ エキスパートの山崎文明副社長は、「条文の第22条で、委託する個人情報の監督義務がうたわれている。委託先でどのように個人情報を管理しているのか、徹底して調べるべきだ」と指摘する。

 個人情報保護法の成立により、個人情報を取得・保有することのリスクが一気に高まったともいうこともできる。マックス法律事務所の齋藤浩貴弁護士は、「企業はビジネスプランの段階から、本当に必要な顧客データは何なのかを熟慮する必要がある」と話す。

(高下 義弘、矢口 竜太郎)