個人情報の有用性に配慮し、個人の権利利益保護を目的とした個人情報の保護に関する法律が施行された結果、本人の了解を得ない個人情報の流用や売買、譲渡は規制の対象になります。経済産業省の情報政策サイトでは、この法律の経済産業分野を対象としたガイドラインや具体的な対応策が分かるよう、例示を含むQ&Aも公表しています。 これらの権利に関連するものにパブリシティ権やプライバシー権などがあります。
対象となる個人情報
- 生存する個人に関する情報で特定の個人を識別可能なもの(第2条第1項)
この個人情報は氏名、性別、生年月日など個人を識別する情報に限らず、個人の身体、財産、職種、肩書き等の属性に関し、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や映像、音声による情報も含まれ、暗号化の有無を問わないとされます。
- 個人情報データベース等のを検索できるよう体系的に構成したもの(第2条第2項)
カルテや指導要録等、紙面で処理した個人情報を一定の規則に従って整理分類し、特定の個人情報を容易に検索できるよう目次、索引、符号などを付し、他人によっても容易に検索可能な状態においているもので、コンピュータ処理情報や政令で定めるマニュアル処理情報などが対象になります。
個人情報の保有リスク一度取得した個人情報はデータとして再利用することがあるとの理由から、中々消去されないものです。しかし、これらの蓄積は確実にリスクとなるとの認識が必要です。個人情報保護法の適用対象外の事業所でも損害賠償が免除されるわけではありません。
NPO日本ネットワークセキュリティ協会の個人情報漏洩事件に係る損害賠償の算出モデルによれば、過去の裁判結果などから情報内容や事後対応の誠実さなどで、賠償額は千円〜150万円の幅があります。例えば、メルアドで最高4千円位、更に氏名・住所・本籍等を含むと30万円を上回ることさえあります。 現行刑法では、電気は目に見えなくても勝手に電線に繋いで盗めば使用窃盗として罰せられますが、ソフトがないと見えない電子データをメール送信したり、ウェブに公開しても窃盗罪になりません。電子データの保存フロッピーやキャッシュメモリー、CDなどと一緒に盗んで初めて窃盗罪になります。 情報だけでは財物としての客観的な価値がないと言うことです。もちろん、流出に伴う被害があれば民事上の損害賠償の請求ができます。しかし、刑事でないので捜査もされず、相手が行方不明であれば、打つ手がありません。 収集する個人情報が少なくても、セキュリティ対策とネットと切り離した外部記憶装置で、最小限のデータを保存し、不要や期限となった場合は速やかに消去できる体制づくりと意識改革が必要です。
個人情報漏洩賠償責任保険制度個人情報の漏洩リスクに備える保険には、損保各社が取扱っている「個人情報漏洩保険」があります。商工会議所を窓口に小規模企業者が割安保険料で加入できる個人情報漏洩賠償責任保険制度があります。年商2千万円の小売業で賠償損害1千万円(費用損害100万円・免責10万円)の場合、約3万円の保険料です。
ただし、商工会議所会員のために開発した保険のため、商工会議所会員以外は加入できません。この保険は漏洩による事業者の法的な損害賠償及び損害費用となる謝罪広告の掲載・謝罪会見の費用、お詫び状作成と送付費用、見舞金や見舞品の購入費用等での事後対応に必要な費用を幅広く補償しています。
個人情報取扱事業者の義務は個人の権利利益を害する懸念が少ない政令で定める者を除外していますが、プライバシーポリシーの明示を信頼の判断基準として重視されます。
利用方法による制限(第16条)個人情報を収集するときは、利用目的の明示と本人の了解を得る必要があります。
適正な取得(第17条)個人情報を収集するときは、利用目的の通知と公表をしなければなりません。
データ内容の正確性の確保(第19条)個人情報取扱事業者は利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならないとしています。
安全管理の措置(第20条)個人の同意を得ずに第三者に情報提供をしてはいけませんが、情報が従業員から漏洩、盗難、紛失しないように対策を講じると伴に外部委託事業者への監督義務も生じます。
第三者提供の制限(第23条)目的外利用の場合、原則的に事前の本人同意が必要ですが、次の場合は除外されます。
- 法令に基づく場合(例:届け出、通知等)
- 人の生命、身体又は財産の保護に必要な場合(例:急病の場合等)
- 公衆衛生・児童の健全育成に特に必要な場合(例:疫学調査等)
- 国等に協力する場合(例:税務調査に協力する場合)
犯罪捜査に基づく令状がなくても、警察からの正式な捜査協力要請であるなどの事実確認が必要です。後日のために「捜査関係事項照会書」の発行を求め、これに応ずる形で提供するのが望ましく、電話での要請は重要視されない情報と受け止め、開示に応ずるべきではありません。 本人の求めに応じオプトアウトする場合、本人同意がなくても第三者提供が容認されますが、次の項目をあらかじめ通知し、又は本人の知り得る状態にある場合に限定されます。
- 第三者提供すること
- 提供される情報の種類及び内容
- 提供の手段
- 求めに応じて第三者提供を停止すること
なお、第三者に当たらないとは、次の場合が該当します。
- 委託先への提供(委託元に管理責任)
- 合併などに伴う提供(当初の目的の範囲内)
- グループによる共同利用(共同利用する者の範囲や利用目的などを予め明確にしている場合に限る)
利用目的の通知義務(第24条第2項)
保有個人データがどのような目的で利用されているかを原則として、本人に通知しなければなりません。
開示の確保(第25条第1項)本人からの求めに応じ、原則として保有個人データを本人に開示しなければなりません。ただし、開示しないことができる例として次の場合が該当します。
- 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
訂正の確保(26条第1項)保有個人データの内容が事実でない時、利用目的の達成に必要な範囲内で訂正などを行う必要があります。つまり、公開された個人情報が事実と異なる場合は本人の申し出により訂正や削除に応じる必要があり、個人情報の取扱いに関する苦情に対し、遅滞なく適切に対処しなければなりません。
利用停止の確保(第27条第1項、第2項)
違反が判明した場合は違反是正の必要限度内で利用停止等の処分を課すのが原則です。
適用除外規定(第50条)
- 5つの主体5分野活動は個人情報取扱事業者の義務除外で、主務大臣の勧告命令なども適用されない。
- 5つの主体の個人情報保護のために必要な措置を自ら講じ、内容を公表する努力義務があります。
主務大臣の権限の制限(第35条)
- 主務大臣が勧告命令などを行うにあたり、憲法上保障された自由に関わる活動を妨げてはならない。
- 5つの主体5分野活動に対する情報提供行為に主務大臣は権限行使をしないが義務規定は適用する。
罰則この法律に違反しても直ちに罰則があるわけではありません。当事者間での苦情処理による解決ができなかった場合に報告が求められ助言されます。それでも改善せず、個人の権利保護が必要であると認めて、初めて主務大臣の勧告及び命令があります。 この命令に対する違反は6月以下の懲役又は30万円以下の罰金があります。報告義務違反の場合は30万円以下の罰金です。 国の定める一定数以上の従業員を擁する企業や大量カルテを有する医療機関等、個人情報をデータベース化する事業者は個人情報を第三者に提供する際に利用目的を情報主体に通知し、了解を得る必要があり、更に不正流用防止のための管理義務が発生します。
個人情報保護に関するコンプライアンス・プログラムの要求事項のJISQ15001に基づく個人情報の取扱いを適切に行っている事業者に対し、財団法人日本情報処理開発協会はプライバシーマークを付与します。 この制度は経産省の個人情報保護の取組みを受け、民間事業者が積極的に推進する自主規制や努力に刺激を与え、国内の個人情報保護を一層促進させる手段として、事業者団体と協調して実施してます。これにより、消費者や顧客はこのマークを表示する事業者の個人情報の管理体制が適切であるのかどうかを容易に判断することができます。 JIPDECはJISQ15001との適合性を評価する第三者機関としてプライバシーマーク制度を運用していますが、この認定条件はJIS規格に相当するため容易ではありません。 例えば、常時使用する従業員数が20人以下の小規模事業者の場合、申請手数料・現地調査料・マーク使用料等の費用が30万円必要で、更に更新時に22万円を要します。 この他、NPO法人日本技術者連盟が個人情報保護の第三者認証プログラムTRUSTeを運営していますが、取得費はライセンス料金・審査料金があり、他にコンサルティング料金が必要とされる場合があります。
|