2003年5月に成立した個人情報保護法は,2005年4月1日から全面的に施行される。これに備えて,個人情報を取り扱っている企業では準備を進めていることと思う。全面施行日まで1年以上あるものの,個人情報を守る体制を整えるには時間がかかる。のんきに構えている時間はない。

 先週,Yahoo!BBの451万人分の会員情報漏えいが明らかになった(関連記事)。これだけではなく,昨年から個人情報の漏洩事件は後を絶たない(関連記事)。個人情報保護法の成立や相次ぐ個人情報漏えい事件を受けて,個人情報保護に関するユーザー(顧客)の意識は高まっている。企業としては,全面施行日を待つことなく,できるだけ早急に体制を整える必要がある。そこで今回の記事では,条文を読むだけでは分かりにくい,個人情報保護法のポイントをいくつか紹介したい。

情報の重要度によって管理レベルを変える

 個人情報保護法での「個人情報」とは,「生存する個人」を特定できる情報である。情報の種類については区別していない。しかし,企業においては,情報の種類によって管理方法(管理レベル)を変えるべきだろう。というのも,同じ「個人情報」であっても,万が一漏えいするようなことになれば,情報の種類によって損害賠償額に大きな差が出ることは間違いないからだ。

 もちろん,個人情報はすべて厳重に保護すべきだ。ただし,その“厳重度合い”を情報の種類によって変えるのだ。よりセンシティブな情報には,より厳重なアクセス・コントロールを施し,アクセスできる人間も絞る。すべての個人情報を,考えられる最も厳重な方法で管理できれば一番よいのだが,それでは利用しにくくなる。企業が個人情報を保有するのは,利用するためにほかならない。利便性と情報の重要度を考慮して,情報の種類によって管理レベルを変えることが,企業にとっては現実的である。

 加えて,個人情報保護法では,生存する個人の情報だけを保護の対象としているが,たとえ故人の情報であっても,それが生存する個人に影響与えるような場合には保護の対象になる。この点にも注意したい。

情報提供者の権利も守る

 個人情報保護法では,文字通り,個人情報を安全に管理して保護することを求めている。加えて,情報主体(個人情報を提供する人)の権利を守ることも求めている。具体的には,以下をきちんと実施する必要がある。

(1)利用目的の特定,利用目的による制限
(2)適正な取得,取得に際しての利用目的の通知等
(3)データ内容の正確性の確保
(4)安全管理措置,従業者・委託先の監督
(5)第三者提供の制限
(6)公表等,開示・訂正等,利用停止等
(7)苦情の処理

 (2)において,同法では「個人情報の取得には,その利用目的を情報主体本人に通知し,または公表しなければならない」とし,同意は求めていない。したがって,個人情報を取得する際には,情報主体が容易に認識できるような形で通知あるいは公表していれば,義務は果たしたことになる。

 しかし,(1)および(5)において,「目的の達成に必要な範囲」を超えた個人情報の利用や情報の継承,情報の第三者への提供に際しては,情報主体の同意を必要としているので注意が必要である。「公表すればよい」のだと誤解して,当初Webで公表していた利用目的を「目的の達成に必要な範囲」を超えたものに変更し,変更前に収集した情報を変更後の目的で勝手に利用すると(1)に抵触することになる。

 (4)についても注意が必要だ。企業には,個人情報を取り扱う社員(従業者)への必要かつ適切な監督を義務付けている。これは当然のことだが,同時に委託先に対する必要かつ適切な監督も求めている。個人情報を取り扱う業務委託では,委託先は第三者の扱いとはならないのだ。

顧客と交換した名刺も保護対象に

 個人情報保護法に関する疑問の一つとして,「顧客やパートナーと交換した名刺も保護対象になるのか」ということがよく聞かれる。名刺に書かれている情報は,いうまでもなく個人情報である。それでは,多数の名刺を保有している企業も個人情報保護法の対象になるのだろうか。

 個人情報保護法では,「個人情報データベース等を事業の用に供している者」(第2条)が対象となる。ここで「個人情報データベース等」とは,個人情報を含む情報の集合物であって,次に掲げるもの指すという。

(1)特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
(2)前号に掲げるもののほか,特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

 (1)だけを見ると,コンピュータ・システムにおける「データベース」を指していると考えられるので明快である。しかし(2)を見ると,その範囲は大きく広がりそうだ。一般的なデータベース・システムに個人情報を保存していない場合でも,同法の適用対象になると考えられる。電子計算機を用いなくても,容易に検索できるように体系的に整理していれば対象になるのだ。

 つまり,名刺として(ばらばらに)保有している限り「個人情報データベース等」には含まれないが,名刺に含まれる情報を用いて,例えば会社名や氏名のあいうえお順のリストを作るなどして容易に検索できるように整理していれば,媒体が紙であっても「個人情報データベース等」に含まれると考えられる。

同法が適用されない企業も注意

 個人情報保護法では「個人情報データベース等を事業の用に供している者」,具体的には5000件以上の個人情報を保有する企業や団体が対象となる。5000件未満の場合には,取り扱う個人情報の量からみて,個人の権利を侵害する恐れが少ないとして対象から外される。

 とはいえ,5000件未満だからといって安心してはいられない。個人情報を提供する立場からすれば,5000件以上だろうと未満だろうと関係はない。情報が漏えいすれば,情報主体が不利益を受けることには変わりはない。同法に触れなくても,損害賠償を請求される可能性がある。なによりも,その企業や団体の信用は失墜する。

 個人情報保護法の対象であろうがなかろうが,個人情報を利用しているすべての企業/団体は,同法の求めるレベルを確保しなければ,顧客からの信頼を得ることができないと考えるべきだ。

プライバシーマーク認定取得も有効

 個人情報保護法に対応することは,個人情報を保有するすべての企業/団体に不可欠である。きちんと対応していることを対外的に示す手段としては,プライバシーマーク認定を取得することが有効な手段の一つである。

 プライバシーマーク認定取得で求められる要件は,個人情報保護法への対応に必要な要件をカバーしている。加えて,一度取得しても2年ごとに更新する必要があるので,継続的な改善を推進する助けとなる。認定取得したマークをWebページや名刺などに付けて,顧客やパートナ企業へアピールできるだけではなく,社内の情報保護体制を確立および維持するのにも役立つ。筆者としては,この機会にプライバシーマーク認定を取得することをお勧めする。


東山 栄一 (HIGASHIYAMA Eiichi) higashiyamaアットマークmxc.nes.nec.co.jp
NECソフト株式会社 コンサルティング事業部


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。