前回の「個人情報漏えい事件を斬る(37):NTTデータ偽造カード事件で懸念される規制強化 」では,金融と通信にまたがる個人情報漏えい事件を取り上げた。
金融庁では,偽造・盗難キャッシュカード及びインターネットバンキングにおける不正取引に関して,「情報セキュリティに関する検討会」を立ち上げた(「情報セキュリティに関する検討会」の立ち上げについて )参照)。また,総務省では大手通信事業者ら29社とともに情報セキュリティ対策協議会を設立した(「電気通信分野における情報セキュリティ対策協議会」 参照)。
個別行政レベルでの対応は進んでいるが,省庁横断的な活動はどこまで進んでいるのだろうか。ファイル交換ソフト対策や,「過剰反応」への対応論議のように,社会問題化してから大慌てするような事態は避けてほしいものだ。
個人情報保護法違反の内部通報は公益通報者保護法の想定内
さて今回はコンプライアンス(法令順守)の観点から,2006年4月より本格施行された公益通報者保護法と個人情報保護法の関係について触れてみたい。
公益通報者保護法は,企業や行政機関の不正行為を通報した内部告発者が,解雇や降格,減給といった不利益な扱いを受けないように保護する法律だ。概要については,内閣府国民生活局の「公益通報者保護制度ウェブサイト 」で公開されている。
公益通報者保護法は,全ての法令違反の通報を保護対象としているわけではなく,「個人の生命又は身体の保護,消費者の利益の擁護,環境の保全,公正な競争の確保その他の国民の生命,身体,財産その他の利益の保護にかかわる法律」が対象とされる。個人情報保護法は,公益通報者保護法の別表「通報対象となる法律一覧」 の番号135で対象に規定されている。企業規模の大小に関わらず個人情報取扱事業者は何らかの対応を迫られることになる。
内部通報制度の整備も個人情報保護対策の一環に
「公益通報」の対象となる法令違反行為は,
1.刑罰規定に違反する行為(罰金や懲役等の刑罰が科される法律違反行為)
2.最終的に刑罰規定に違反する行為につながる法令違反行為
(例:個人情報の第三者提供禁止→(禁止違反)→中止等勧告→(勧告違反)→命令→(命令違反)→刑罰)
となっている。
保護の対象となる「公益通報者」は,
1.労働基準法上の労働者(正社員,アルバイト,パートタイマーなど)
2.派遣労働者
3.取引契約(請負契約,業務委託契約など)に基づいて労務を提供する労働者
となる。
直接雇用する企業だけでなく,派遣先企業や発注元企業の個人情報保護法違反も関わってくる。
さらに,通報先としては,
1.事業者内部(労務提供先)
2.行政機関(処分等の権限を有する行政機関)
3.その他の事業者外部(被害の拡大防止等のために必要と認められる者)
の3つがあり,それぞれ要件が定められている。
一定の要件を満たせば,個人情報保護法を所管する行政機関や外部への公益通報も保護されるようになったのである。
個人情報保護法違反の内部告発を想定した公益通報者保護法の施行は,一企業だけでなく取引先企業や業界全体のコンプライアンス(法令順守)にまで影響を及ぼす可能性がある。個人情報保護対策の一環として,内部通報制度を整備する必要があるだろう。中堅・中小企業(SMB)も例外ではない。
次回は,公益通報者保護法を従業員の個人情報保護の観点から考えてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
