個人情報保護法が成立，あなたの会社は大丈夫？

吉川和宏

2003.05.26

　いろいろと物議を醸した「個人情報の保護に関する法律（個人情報保護法）」が5月23日，参院本会議で可決した。5月中にも公布され，基本的な部分については直ちに施行され，残りは公布後2年以内に施行されることになる。

　この法律は，個人データを保有する企業や団体に対して，個人情報を取り扱う際の義務を定めたもの。条文では，どのような企業・団体が対象になるのか，また保護すべき個人情報とは何を指すのかなど，あいまいな点が多かったが，国会の審議過程で少しずつ全体像が見え始めた。

　結論をいうと，ある程度の規模を持った企業では，法律に違反した状態になる危険があると予想される。システム部門をはじめとする情報戦略に携わる部署が，対応策を検討したほうがよいだろう。

思わぬ落とし穴に要注意

　個人情報保護法の対象となるのは，「個人情報データベース等を事業の用に供している者」である。法案提出時から小規模の自営業者を適用外としていたが，これまでの国会答弁のなかで「5000人以上の個人データを持って，事業のために使っている事業者」という指針が示された。

　消費者向けにビジネスを展開していれば，顧客サポートなどのために，5000人程度の情報を持っているのが普通だろう。個人事業者でも，ネット通販などを実施していれば個人データを管理しているだろうから対象に含まれる可能性が高い。

　対象となる企業・団体であれば，いくつかの義務を課されることになる。具体的には，(1)本人から請求があった場合は個人データの内容を開示する，(2)個人データを取得した場合は利用目的を本人に通知または公表する，(3)あらかじめ通知あるいは公表した目的以外の用途で個人データを利用しない，(4)個人データが漏えいしないように従業員や委託業者を監督する──といったことだ。

注：(1)については，「当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合」を除き，また「（個人情報取扱事業者は）本人に対し，開示等の求めに関し，その対象となる保有個人データを特定するに足りる事項の提示を求めることができる」としている。また，(2)については，「あらかじめその利用目的を公表している場合を除く」としている。

　しかし，このような体制を構築することは，そうとうハードルが高い。特に問題になるのが(1)だ。自社で保有する個人情報をすべて把握するのが難しいからだ。「うちは，すべての顧客情報をデータベースで一元化しているから大丈夫」などと，対策を怠っていると思わぬ落とし穴にはまってしまうだろう。

　というのも，営業担当者など現場の社員が個人的に収集している情報や，ある部署が独自のキャンペーンなどで収集した情報も，対象に含まれるからだ。例えば，営業担当者が表計算ソフトなどで個人的に管理している見込み客リストが，この例である。いずれも，個人情報保護法を意識しなければ，多くの企業で起こりがちなことだろう。

　さらに，保護の対象となる「個人データベース等」の解釈にも落とし穴がある。条文では「個人情報を含む情報の集合物」に対して「電子計算機を用いて検索することができるように体系的に構成したもの」という定義に加えて，「容易に検索することができるように体系的に構成したもの」が含まれる。

　前者の条件から，データベース管理システムだけでなく，表計算ソフトや年賀状作成ソフト，電子メールのアドレス帳などに蓄えた個人情報も含まれることになる。後者は病院のカルテなどを想定したものだが，営業担当者が個人的に管理している携帯電話の電話帳も含まれる可能性がある。

　こうした状況を考えると，近い将来を含めても個人情報保護法の条件を厳密にクリアできない企業は，少なくはないのではなかろうか。

目的が明確でない情報は蓄積しない

　罰則を受けるまでの過程は次のようなものだ。被害を受けている個人などから，事業者が所属する業種を掌握する主務大臣（実際の運用は委託機関になるものと見られる）に通報があると，「勧告」や「命令」が行われる。この段階に至っても，改善が見られないときに初めて罰則（企業の社員や代表者に6カ月以下の懲役または30万円以下の罰金）が課せられる。

　実際には，勧告や命令の段階で改善する企業がほとんどだろうが，勧告や命令を受けた事実が広まるだけでも，信用問題のうえではマイナスの影響がある。

　こうした状況に陥らないための万能薬があるわけではないが，まず必要なことは，業務の現場にいる社員を含めて，こうした法律が施行されることを知らしめるべきだ。不用意な個人情報の収集と活用は，法律違反になる可能性があることを徹底周知することが欠かせない。さらに情報が様々な部署に散在している大企業であれば，時間やコストがかかるかもしれないが，現時点で保有している個人情報をすべて棚卸しすることも必要だろう。個人情報の問い合わせに対する窓口を決めることも求められる。

　今回の個人情報保護法は，情報の保有に危険が伴うという新たなリスクを提示した。個人情報に限らず，活用されない情報はシステムの運用管理コストや事務コストの増加を招くことになるし，保有期間の長期化とともに情報の鮮度も下がってくる。これからは，利用目的が明確でない情報は企業経営にマイナスの影響があるという側面にも目を向けるべきだろう。