前回は,日本のBtoC-EC(企業消費者間電子商取引)市場の主要顧客層である子どもの個人情報保護の観点から,改正が予定されている経済産業分野における個人情報保護ガイドラインについて取り上げた。ティーン層のEC利用などBtoC-EC市場の状況については,経済産業省の「平成17年度電子商取引に関する市場調査」に日米比較の結果等がまとめられているので参照してほしい。
さて今回は,従業者の個人情報保護の観点から,改正ガイドラインについて考えてみたい。
経済産業省と厚生労働省が共同作成した従業者情報の取扱い指針
経済産業分野における個人情報保護対策で忘れてならないのは,情報サービス業を中心に,システム構築・運用,アウトソーシングサービスなどの業務受託企業として,金融,通信,医療など,経済産業省以外の省庁が所管する分野の個人情報保護対策にも深く関わっている点だ。
例えば,第47回のケースのように,受託企業におけるノート・パソコンやUSBメモリーの利用に関する内部規程の有無や従業者向け盗難・紛失対策への取り組み状況によって,委託元の企業・団体の個人情報管理責任が左右される事態が起きている。
さらに,過去の個人情報漏えい事件を見ると,物理的・技術的安全管理措置よりも組織的・人的安全管理措置上の問題が原因で発生したと思われるケースが圧倒的に多いのが実態だ。当然,正社員のみならず,契約社員,パート社員,アルバイト社員,派遣社員などを含めた従業者全体の監督が求められるが,同時に,従業者自身の個人情報の取扱いについても注意する必要がある。例えば,顧客データの物理的安全管理措置として社内に防犯カメラを設置している場合,カメラに映った従業者本人を識別できる映像情報も,個人情報に該当することになる。従って,モニタリングを行う部門には映像情報の慎重な取扱いが求められる。
このように,人事以外の部門の担当者も,厚生労働省の雇用管理に関する個人情報保護ガイドライン(「厚生労働分野における個人情報の適切な取扱いのためのガイドライン等」参照)を頭に入れておかなければならないケースが増えつつある。
そこで,経済産業分野の改正ガイドラインでは,従業者の個人情報の取り扱い部分について,経済産業省所管業種の事業者が個人情報保護法に関する対応について全て理解できるようにするため,経済産業省と厚生労働省が共同で作成作業を行っている。経済産業省の所管業種が多岐にわたることもあり,従業者の個人情報管理に関連する部分が改正ガイドライン全体に占める割合は小さい。だが,組織的・人的対策の根幹に関わるテーマなので,内容について十分確認しておいた方がいい。
委託先の監督や共同利用時の個人情報管理もポイント
システム構築・運用,アウトソーシングサービスなどの業務受託企業の場合,従業者の管理以上に重要なのが,再委託先の管理である。同じ会社の従業者であれば,就業規則などの内部規程が適用できるが,他の会社の従業者相手になると一筋縄ではいかない。個人情報保護法の施行後,委託元企業が個人情報を取り扱う委託先企業に対して過度の負担を課す「過剰反応」も見受けられるようになった。しかし,委託契約だけでコントロールしようとしても限界がある。
そこで,ガイドライン改正案は,委託先の監督に関連して,優越的地位にある者が委託者の場合に,受託者に不当な負担を課している事例を明示している。具体的には,「本人からの損害賠償請求に係る責務を,安全管理措置に係る責任分担を無視して一方的に受託者に課すなど,優越的地位にある者が委託者の場合,受託者に不当な負担を課すことがあってはならない」と示している。
さらに,個人データの共同利用のケースについて,共同利用者の範囲に委託先事業者が含まれる場合であっても,委託先との関係は共同利用とならないことを明示している。例えば,複数の企業が合同でイベントを行う場合,従業者なのか,委託先なのか,共同利用先なのか曖昧になりがちだ。第68回で取り上げたように,イベント告知メールの誤送信で個人情報が流出したケースは多いので,企画段階で対策を講じておく必要がある。
経済産業分野の個人情報保護ガイドライン改正というと,プライバシーマーク制度に関連する部分に視線が行きがちだが,それ以外にも重要なポイントがある点を忘れないでほしい。
次回は,最近の個人情報漏えい事件について取り上げてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
