ビジネスわかったランド (総務・庶務)
危機管理事項
個人情報保護法のあらましと企業が行なうべき対策は
個人情報保護法は、個人情報の取扱いについて、遵守すべき義務およびそれに違反したときの罰則を定めている。個人情報を扱う企業としては、次のようなしかるべき対策をきちんと講じる必要がある。
個人情報保護法の目的とは
個人情報保護法が施行され、いままで利用してきた個人情報が使えなくなるのではないかと不安を感じている企業も多いかもしれない。しかし、個人情報保護法は、あくまで企業による個人情報の利用価値を認めていて、その取扱いについて定めた法律で、第1条でその目的を次のように記している。
「個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」
実際、個人情報の有効活用は、ビジネス上の大きなテーマになっていると同時に、その情報の出所である個人にとっては情報の不適切な取扱いに対する不安が高まっている。
そこで、個人情報の取扱いに関する基本的なルールを確立し、利用と保護のバランスを図ろう、というのがこの法律の趣旨である。
法的保護の対象となる個人情報の種類
個人情報保護法を理解するうえでまず欠かせないのが、個人情報の定義である。同法では、個人情報を以下の3つに分け、それぞれの取扱いについて義務規定を定めている。
1 個人情報
特定の個人が識別可能な情報……名刺・氏名・住所・性別・生年月日・防犯カメラの映像・録音した音声・会員番号(=個人を識別するために作成した番号は、付与した事業者にとっては容易に照合可能であるため個人情報と考えられる)・銀行口座情報・クレジットカード番号など・特定の個人と紐付けされた購買履歴やアンケート情報等
2 個人データ
個人情報データベース等(データか紙かを問わず、検索可能なファイル)を構成する個人情報……顧客データベース・カルテ・得意先企業から業務委託されたDM送付先リスト・お歳暮送り先リスト・従業者情報リスト・卒業者名簿
3 保有個人データ
個人データのうち、事業者が6か月以上保有し、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行なうことのできる権限を有する個人データ
(注) 存否が明らかになることにより、公益等の利益が害されるものとして政令で定めるもの(本人や第三者の生命、身体、財産に危害が及ぶおそれがあるものなど)を除く
個人情報取扱事業者に課せられる義務とは
個人情報保護法は、個人情報取扱事業者に対し、その取扱い方についてさまざまな義務を定めている。その義務規定の概要は、以下のとおり(図表1参照)。
(1) 利用目的の特定(変更、範囲外の利用)
個人情報を取り扱うにあたっては、その利用目的をできる限り特定しなければならない。また、その利用目的を達成するための範囲を超えて個人情報を取り扱ってはいけない。
(2) 取得
偽ったり、その他の不正な手段で個人情報を取得してはいけない。また、事前に利用目的を公表していない場合は、取得時、速やかに本人に利用目的を通知または公表しなければならない。書面に記載された個人情報を取得する場合は、事前に利用目的を明示しなければならない。
(3) 適正管理
個人データは、利用目的を達成する範囲内において、正確かつ最新の内容に保つよう努力しなければならない。
個人データの漏洩や滅失、毀損を防ぐために必要かつ適切な措置を講じなければならない。また、従業者や委託先に対して、必要かつ適切な監督を行なわなければならない。
(4) 提供
あらかじめ本人の同意を得ないで、個人データを第三者に提供してはいけない。
(5) 公表等
保有個人データの利用目的や、開示の手続方法、訂正・利用停止の申出先などについて、本人の知り得る状態に置かなければいけない。
(6) 本人の求めへの対応
また、本人から開示、訂正、利用停止等の求めがあったときは、応じなければいけない。
(7) 苦情処理
本人から苦情があったときは、迅速に適切な処理をするよう努めなければならない。また、そのために、苦情の受付窓口の設置や苦情処理手順の策定など、必要な体制を整えるよう努めなければならない。
個人情報保護法の罰則
個人情報保護法は、個人情報の不適切な取扱いに対して直接、罰則を科すようには定めてはいない。図表2のように、是正措置を施さない者に対する最終的な制裁として最高で6か月以下の懲役、または30万円以下の罰金と定められている。
ただし、主務大臣の「命令」に従わずに刑罰の対象となると、刑罰を受けるのは違反を犯した張本人だけではない。違反者本人に加え監督責任のある法人にも罰金刑が科せられる。
個人情報保護法のほか、地方条例でも罰則が規定されているものもある。
著者
當摩 祐子(株式会社シーピーデザインコンサルティング コンサルタント、ISMS審査員、情報セキュリティアドミニストレーター)
2006年9月末現在の法令等に基づいています。
個人情報保護法の目的とは
個人情報保護法が施行され、いままで利用してきた個人情報が使えなくなるのではないかと不安を感じている企業も多いかもしれない。しかし、個人情報保護法は、あくまで企業による個人情報の利用価値を認めていて、その取扱いについて定めた法律で、第1条でその目的を次のように記している。
「個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」
実際、個人情報の有効活用は、ビジネス上の大きなテーマになっていると同時に、その情報の出所である個人にとっては情報の不適切な取扱いに対する不安が高まっている。
そこで、個人情報の取扱いに関する基本的なルールを確立し、利用と保護のバランスを図ろう、というのがこの法律の趣旨である。
法的保護の対象となる個人情報の種類
個人情報保護法を理解するうえでまず欠かせないのが、個人情報の定義である。同法では、個人情報を以下の3つに分け、それぞれの取扱いについて義務規定を定めている。
1 個人情報
特定の個人が識別可能な情報……名刺・氏名・住所・性別・生年月日・防犯カメラの映像・録音した音声・会員番号(=個人を識別するために作成した番号は、付与した事業者にとっては容易に照合可能であるため個人情報と考えられる)・銀行口座情報・クレジットカード番号など・特定の個人と紐付けされた購買履歴やアンケート情報等
2 個人データ
個人情報データベース等(データか紙かを問わず、検索可能なファイル)を構成する個人情報……顧客データベース・カルテ・得意先企業から業務委託されたDM送付先リスト・お歳暮送り先リスト・従業者情報リスト・卒業者名簿
3 保有個人データ
個人データのうち、事業者が6か月以上保有し、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行なうことのできる権限を有する個人データ
(注) 存否が明らかになることにより、公益等の利益が害されるものとして政令で定めるもの(本人や第三者の生命、身体、財産に危害が及ぶおそれがあるものなど)を除く
個人情報取扱事業者に課せられる義務とは
個人情報保護法は、個人情報取扱事業者に対し、その取扱い方についてさまざまな義務を定めている。その義務規定の概要は、以下のとおり(図表1参照)。
(1) 利用目的の特定(変更、範囲外の利用)
個人情報を取り扱うにあたっては、その利用目的をできる限り特定しなければならない。また、その利用目的を達成するための範囲を超えて個人情報を取り扱ってはいけない。
(2) 取得
偽ったり、その他の不正な手段で個人情報を取得してはいけない。また、事前に利用目的を公表していない場合は、取得時、速やかに本人に利用目的を通知または公表しなければならない。書面に記載された個人情報を取得する場合は、事前に利用目的を明示しなければならない。
(3) 適正管理
個人データは、利用目的を達成する範囲内において、正確かつ最新の内容に保つよう努力しなければならない。
個人データの漏洩や滅失、毀損を防ぐために必要かつ適切な措置を講じなければならない。また、従業者や委託先に対して、必要かつ適切な監督を行なわなければならない。
(4) 提供
あらかじめ本人の同意を得ないで、個人データを第三者に提供してはいけない。
(5) 公表等
保有個人データの利用目的や、開示の手続方法、訂正・利用停止の申出先などについて、本人の知り得る状態に置かなければいけない。
(6) 本人の求めへの対応
また、本人から開示、訂正、利用停止等の求めがあったときは、応じなければいけない。
(7) 苦情処理
本人から苦情があったときは、迅速に適切な処理をするよう努めなければならない。また、そのために、苦情の受付窓口の設置や苦情処理手順の策定など、必要な体制を整えるよう努めなければならない。
個人情報保護法の罰則
個人情報保護法は、個人情報の不適切な取扱いに対して直接、罰則を科すようには定めてはいない。図表2のように、是正措置を施さない者に対する最終的な制裁として最高で6か月以下の懲役、または30万円以下の罰金と定められている。
ただし、主務大臣の「命令」に従わずに刑罰の対象となると、刑罰を受けるのは違反を犯した張本人だけではない。違反者本人に加え監督責任のある法人にも罰金刑が科せられる。
個人情報保護法のほか、地方条例でも罰則が規定されているものもある。
著者
當摩 祐子(株式会社シーピーデザインコンサルティング コンサルタント、ISMS審査員、情報セキュリティアドミニストレーター)
2006年9月末現在の法令等に基づいています。
