個人情報保護法の全面施行まであと半年余りとなった。施行後は,個人情報を取り扱う事業者には,事業活動で利用する個人情報を適切に管理することが義務付けられる。個人情報保護や個人情報保護法に関する情報は,さまざまな組織から公開されている。有用な情報が多いものの,探すのに一苦労。そこで本稿では,個人情報やプライバシー保護に関する歴史的な経過をたどりながら,個人情報保護を理解する上で助けとなる資料やガイドラインを紹介する。

 なお,歴史的な経過をたどる前に,まずは一読していただきたい資料を紹介しておく。2004年4月に内閣府から発行された「個人情報の保護に関する基本方針」(PDFファイル)である。この資料では,個人情報保護法を制定するに至った背景や,個人情報保護に関する基本的な事項をまとめている。個人情報保護法の全体像を把握するには有用な資料だ。

OECDプライバシーガイドライン

 それでは,個人情報保護に関する歴史的経緯を見ていこう。個人情報保護に関する指針をまとめた最初のガイドラインとしては「OECDプライバシーガイドライン」が挙げられる。これは,OECD(Organization for Economic Cooperation and Development:経済協力開発機構)によって1980年9月に採択された「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」(原文のPDFファイル)がベースとなっている。

表1●OECDプライバシーガイドライン 8原則
 このガイドラインでは,個人情報保護(プライバシーの保護)について,8つの原則が示されている(表1[拡大表示])。このガイドラインが公開されて以降,個人情報保護に関するさまざまな取り組みは,このガイドラインが基礎となっている。

 OECDプライバシーガイドラインは,個人情報保護を理解するためにだけではなく,個人情報保護を実践するためのガイドラインとしても有用だ。個人情報を保護する体制を整えた企業においても,コンプライアンス・プログラムや顧客対応作業がこの8原則に沿っているかどうかを確認することをお勧めする。

JIS Q 15001とプライバシーマーク制度

 OECDプライバシーガイドラインを受けて,国内でも個人情報保護に関する取り組みが始まった。1997年に経済産業省から民間企業に向けて公開された「個人情報保護ガイドライン:民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」(PDFファイル)である。1999年には「JIS Q 15001:個人情報保護に関するコンプライアンス・プログラムの要求事項」が制定された。

 「JIS Q 15001」は,個人情報保護のコンプライアンス・プログラム策定およびその実施,維持,改善を規定している。個人情報保護の方針や計画の作成,その実施,ならびに監査や見直しを行うためのマネジメント・システムを検討する上で参考になる。

 さらに,「個人情報保護ガイドライン」と「JIS Q 15001」に基づく認定制度として,「プライバシーマーク制度」がスタートした。プライバシーマーク制度の詳細を解説する「プライバシーマーク制度とコンプライアンス・プログラムの留意点」(PDFファイル)では,コンプライアンス・プログラムの構成例や要求事項などが示されている。

 例えば,コンプライアンス・プログラムの構成例として,以下の項目が記載されている。

(1)個人情報保護方針
(2)基本規定 (保護方針を具体化する個人情報保護の原則)
(3)実施および運用の内部規定(監査規定,教育規定,利用の規定,提供の規定,受託先選定基準,廃棄基準,安全管理規定,入退出管理規定等)
(4)実施手順・運用マニュアル等

 企業は,(1)の個人情報保護方針(プライバシー・ステートメント)を積極的に内外に公表し,個人情報保護への取り組み姿勢や責任を示す必要があるだろう。実際,多くの企業がWebで公開している。筆者が所属するNECソフトでも公開している

 また,企業としては,人的な対策を実施することも重要だ。その一つが,コンプライアンス・プログラムでも規定されている教育および訓練である。教育/訓練は,会社のトップを含めた全従業員に対して徹底する必要がある。全員に教育/訓練を施すだけではなく,その理解度を把握する必要もある。教育/訓練によってコンプライアンス・プログラムを周知徹底させることは,プライバジーマークの認定を取得するために不可欠である。

個人情報保護法とガイドライン

 その後国内では,個人情報保護に関する法制化が進められ,2003年に「個人情報保護法:個人情報保護に関する法律」が成立。2003年5月から一部施行され,2005年4月からは全面施行となる。

 2004年に入ると,各監督省庁からはそれぞれの分野の事業者へ向けてガイドラインが公開され始めた。監督省庁がガイドラインを公開する必要があることは,個人情報保護法の第8条で定められている。

 経済産業省は「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(PDFファイル),厚生労働省は「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針について」,総務省は「電気通信事業における個人情報保護に関するガイドライン」を公開している。

 今秋には,金融庁から「金融分野における個人情報保護に関するガイドライン」が公開される予定である。現時点では,金融分野における情報としては,FISC(財団法人 金融情報システムセンター)の調査レポート「個人情報保護法の理解と対策」が参考になる。

表2●個人情報取扱事業者の義務
 各省庁が公開したガイドラインには,個人情報の取り扱いに関する考え方や具体的な事例が記述されている。例えば,経済産業省のガイドラインでは,「個人情報保護法」の第2条で定義されている個人情報の種類と企業の義務が分かりやすく例示されている。それらをまとめると表2[拡大表示]のようになる。

 個人情報保護法の第20条に記述されている安全管理措置の技術的な対策については,本コラムで関連記事を掲載しているので参考にしていただきたい(関連記事1関連記事2関連記事3)。なお,技術的な対策を進めている企業においては,関連するIT製品や情報システムのセキュリティ・安全性についても確認の必要性があるだろう。その手引きとしては,CC(Common Criteria)やST(Security Target)を解説しているIPAの「セキュリティ評価・認証」ページを参考にしてほしい。

 以上,個人情報保護に関する歴史的な経過を追いながら,資料やガイドラインを紹介した。なお,文中で紹介している資料やガイドラインの内容は,発行当時のものである。現在の状況とは異なる場合があるので注意してほしい。


大谷 俊一 (OHTANI Toshikazu) ootaniアットマークmxe.nes.nec.co.jp
NECソフト株式会社 MCシステム事業部セキュリティ部
 IT Pro Securityが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。