お知らせ
- 「ITpro Smart」リリース!
- 書籍「IT提案戦術」5月21日発売!
- 電子ブック新刊!「説得・交渉術」など
情報セキュリティ入門
情報セキュリティに関する国内法規(2) --- 個人情報保護に関する法律とガイドライン
2005年に個人情報保護法(個人情報の保護に関する法律)が全面施行されたのは,まだ記憶に新しいところです。今回は国内法規の中から,個人情報保護に関連する法律と,個人情報保護の考え方の基になったガイドラインを勉強します。 個人情報保護に関連する法律が整備された背景コンピュータやネットワークが利用される前は,「情報」は主に紙媒体やマイクロフィルムなどに記録していました。情報は基本的に「モノ」として存在していたので,金庫の中に保管するなどの物理的セキュリティを施すことで,ある程度の安全性が確保できました。 コンピュータが普及し,小さなメディアでも大容量のデータを保存・処理できるようになりました。電子データとして保存しておけば,検索も容易ですし,大量の情報を瞬時にコピーやバックアップが可能です。また,企業や個人がインターネットを業務に活用するのも当たり前となり,ネットワークを利用して大量のデータを短時間で送付することができるようになりました。しかし,こうした半面,紙媒体で情報を保存していたころよりも,情報を流出・漏洩させる危険性が高まりました。 民間企業や行政機関が活動するために,個人情報(特定の個人を識別できる情報)を収集・管理することは,ある意味自然なことです。また,個人情報そのものは,突然登場したわけではありません。個人情報保護法が施行されるに至った背景には,前述のような急速なIT化があります。このような状況の中で個人情報の有用性に配慮し,個人の権利・利益を保護するために,個人情報を収集する事業者に対して,個人情報を適切に取り扱うための決まりごと(=法)の整備が必要になったのです。 個人情報保護関連法案整備までの流れ個人情報の保護に関する取り組み方法(ガイドライン)として,1980年OECD(Organization for Economic Cooperation and Development:経済開発協力機構)が発表したOECD8原則(後述)があります。OECDは加盟国に対して,ガイドラインの内容を考慮するよう勧告しました。これを受けて,日本でも個人情報の保護に関連する法整備が進みます。 1988年には「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が制定されました。これは名前の通り,行政機関が保有している個人情報に対するもので,かつ電子計算機処理に関連するものと対象が限定されていました。もちろん,そのほかの民間組織であっても個人情報は適切に取り扱うべきものです。ただし,法律の下でというわけではなく,ガイドラインなどを基に自主的に取り組むような流れで推移してきました。 2001年に,民間組織も対象とした個人情報保護に関する法律案が国会に提出されました。しかし,この時の法案は「表現の自由を規制することになりかねない」などの理由により,翌2002年に廃案となりました。そして2003年に修正案が提出されて成立し,2005年に全面施行に至りました。 OECD8原則と個人情報保護法OECD8原則とは,OECDの勧告文書「プライバシー保護と個人データの国際流通についてのガイドライン」の中にある基本原則のことです。基本原則が8つ掲げられていることから,「OECD 8原則」と呼ばれています。内容の大枠は以下の通りです。 ・目的明確化の原則/利用制限の原則 ・収集制限の原則 ・データ内容の原則 ・安全保護の原則 ・公開の原則/個人参加の原則 ・責任の原則
この基本原則は日本で施行されている個人情報保護法の基になっています。内閣府のWebサイトにOECD8原則と個人情報保護法(個人情報取扱事業者の義務規定)の対応表があります(図1)。OECD8原則の内容をカバーするように,個人情報保護法の条文が整備されていることがわかります。
>>個人情報保護法の概要
連載新着連載目次へ >>
|
