法令解釈や企業の対応ポイントを具体的な事例を挙げながら示しており、個人情報保護の取組みにきわめて重要な指針。最低限行なうべきとしている措置を確認し、実行しておくことが重要になる。
個人情報保護法を受けた形で、2004年には政府の基本方針が発表され、経済産業省、総務省、厚生労働省、文部科学省など、各省庁のガイドラインが制定された。多発した漏洩事故を受け、基本方針・ガイドラインなどには、各事業者で行なうべき取組みについて具体的に記載されている。
個人情報を漏洩させた場合に、政府の基本方針やガイドラインに沿った対策が行なわれていなければ、行政処分の対象とされる可能性が高いといえる。
企業に求められるのは、結果として個人情報を絶対に漏洩しないことではなく、“適切に扱うための取組み”にほかならない。

経済産業分野のガイドライン
所管する事業がきわめて多い経済産業省は、2004年6月、他省庁に先駆けて「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」（経済産業分野ガイドライン）を策定・公表した。
経済産業分野ガイドラインは、所管する業種の実態に応じた個人情報保護法の適用をまとめた指針である。すべての業種を網羅しているわけではないものの、法令解釈や企業の対応ポイントを具体的な事例を挙げながら示しており、個人情報保護の取組みに極めて重要な指針となる。全58ページからなり、以下の項目について記載されている。
（１）　目的及び適用範囲
（２）　法令解釈指針・事例
１、定義（法第２条関連）
２、個人情報取扱事業者の義務等
３、民間団体付属の研究機関等における個人情報の取扱いについて
（３）　「勧告」、「命令」及び「緊急命令」についての考え方
（４）　ガイドラインの見直し
（５）　個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格
従業員の雇用管理に関する個人情報については、経済産業大臣と厚生労働大臣が共同で作成し、両大臣が共同で法を執行する、としている。このガイドラインは、経済産業省のホームページからPDF形式によるダウンロードが可能である。

事業者が行なうべき安全管理措置
個人情報取扱事業者にとって個人情報保護法対策上、気になるのは漏洩対策であろう。しかし、情報セキュリティの世界では、どんなにお金をかけても100％はないといわれている。安全管理についても、各ガイドラインが最低限行なうべきとしている措置を確認し、実行しておくことが重要になる。そのことにより自主的な取組みがあったことについて、客観的に認められるからである。
経済産業分野ガイドラインでは、さらに詳細として安全管理措置として講じることが望まれる事項が記載されているが、その事項については事業者の規模や業務実態に応じて変わってくるので、「講じなければならない」とはされていない。
一度、経済産業分野ガイドラインをはじめとする各省庁のガイドラインを確認していただき、「講じなければならない事項」について、自社ではどのように対応できるのかの検討をお勧めしたい。

著者
當摩　祐子（株式会社シーピーデザインコンサルティング　コンサルタント、ISMS審査員、情報セキュリティアドミニストレーター）
２００６年９月末現在の法令等に基づいています。