平成17年２月15日、NTT西日本ソリューションラボ13階ホールで、平成16年度第２回「情報通信活用セミナー」が開催されました。第１部は」個人情報保護制度の概要と最近の動向〜個人情報保護法で何が変わるか〜」と題し、４月から施行される個人情報保護法の基礎知識などについて専門家の立場からわかりやすく解説されました。

　第２部は「元気をつくる「大谷流」コーチング〜吉本躍進の秘密はコーチングにあった〜」。コーチングや吉本の裏話などがユーモアたっぷりに語られ、会場も和やかな笑いに包まれました。

個人情報保護法成立の理由
　昨年、個人情報保護法が成立し、今年４月１日から全面施行されることになりました。なぜ、個人情報保護が問題にされるようになり、個人情報保護法が成立したのでしょうか。個人情報保護と非常に関わり合いのあることばに「プライバシー」がありますが、個人情報保護とプライバシーは必ずしもイコールではありません。

プライバシーが法律で守られるべきだという思想は、人の生命、財産を守るべきだという考えに比べると、比較的新しい考え方です。1890年代、ウォーレンとブランダイスが書いた「プライバシーの権利」という論文が、一つの契機であるといわれています。そこで主張されているのは「人間には自分が望まないことを詮索されない、一人にしておいてもらう権利がある」ということ。その後、アメリカでは裁判などでもプライバシー問題が扱われるようになり、プライバシーの権利が法律上保護されるようになってきました。

1960年代になると、大企業や中央政府がコンピュータの利用を始め、それらが保有する個人情報がコンピュータで管理・利用されるようになりました。そこで出てきたのは個人情報の名寄せなどによってプライバシーが侵害されるのではないかという懸念です。一つひとつはプライバシーの侵害とは無縁のようでも、集積されたり、分析されたりすることによって思いも寄らない情報が明らかになるのではないかと考えられるようになりました。そこで、自分に関する情報をコントロールする権利を認めるべきではないかという意見が出てきました。

現在、個人情報保護といわれているのもこの文脈を受けています。自分に関する情報は情報の軽重にかかわらずある程度自分でコントロールできるようにすべきだという考え方が背景にあります。しかし方で、個人情報を使わないと社会経済が成り立たない部分もあります。そこで、保護と利用のバランスをどのようにとるべきかが重要になってくるのです。

海外の個人情報保護
アメリカでは1960年代に「自分に関する情報をコントロールする権利」の必要性が提唱され、1970年代には「公正信用報告法」をはじめ、いくつかの法律が成立しました。これはクレジットカード等の信用情報について、適正な取扱いのルールを定めた法律です。さらに1974年にはプライバシー法が成立しました。これは連邦政府が保有する個人情報に関する法律です。

アメリカの法律はこのように分野ごとに規制する法律を設けています。個人情報を取り扱う機関や分野、情報の内容によって危険度が異なるという考え方があり、極力実態に応じた規制をすることによってビジネスに支障にならないよう配慮しようというものです。業界の自主規制を尊重しようという考え方も根強くあります。

一方ヨーロッパではアプローチが異なり、包括的な個人情報保護法を設けるという考え方が強く支持されています。プライバシーや個人情報に関しては、それを監督する独立専門の監督機関が設けられ、個人情報の取り扱いに目を光らせています。加えて、個人情報取扱事業者は監督機関への届け出が法律で義務づけられていることもあります。これは規制する上で違反を取り締まりやすいというメリットがありますが、手間がかかる上、本当に効果があるかという点でも評価の分かれるところです。

ヨーロッパでは、1973年にスウェーデンで成立したデータ法をはじめ、様々な国で個人情報保護法に相当する法律が成立していきます。当然国家間で取り扱いに違いがでてきますが、ヨーロッパでは各国の交流が活発なので取り扱いに差があると問題が発生します。そこでOECDが1980年に個人情報保護に関する８原則を定め、基本的な考え方の統一を試みました。これは非常に評価が高く、現在も個人情報保護の考え方の目安になっています。少し大括りにいうと、目的を明らかにしてその範囲で集めて利用すること、取り扱いは正確・安全にきちんとすること、本人が確認や訂正を要求できるようにすること、が求められています。

EUは統合をすすめていますが、その中で1995年に10月に「EU個人データ保護ダイレクティブ」が採択されました。EU加盟国は「処理過程にある個人データまたは移転後処理することを目的とする個人データの第三国への移転は、この指令の他の規定に従って採択されたその国の規定の遵守を損なうことなく、当該第三国が十分なレベルの保護を確保している場合に限って行うことができるということを規定しなければならない」という規定が盛り込まれています。

これは包括的な個人情報保護法のない日本やアメリカ等の諸国にかなりインパクトのある規制で、個人情報のやりとりができないということは、ビジネスが成立しないということになりかねません。ある意味では個人情報保護法の制定にもつながっているといえます。

日本の個人情報保護
日本でも昭和63年に行政機関が保有する個人情報についての法律が成立していますが、民間部門については業界のガイドラインやプライバシーマークなどの自主規制で保護が図られていました。そのような中でEUのデータ保護ダイレクティブなどが登場し、国際的に個人情報保護を求める声が高まってきました。

もう一点、個人情報が注目されるようになった背景にはインターネットの本格的な普及が上げられます。個人情報が漏えいした時に広まる範囲が大幅に拡大しました。こういった状況を受けて、2003年5月に個人情報保護法が成立し、この４月１日からは個人情報取扱事業者の義務が全面的に施行されることになります。

個人情報保護法とはどういう法律か
個人情報保護法は、個人情報保護に関する基本法制と、個人情報取扱事業者に対する規制の二つの大きな性格を有しています。個人情報保護法の主な特徴としては、次のような点を挙げることができます。

１．すべての個人情報（個人を特定できる情報）を対象とする
２．現在許されている利用はできるだけ制限しない（当初の考え方）
３．内部利用については原則として本人の同意を要求しない
４．外部提供については原則として本人の同意を求める
５．情報主体（本人）が不適正な取り扱いをチェックする機会を確保する
６．行政が個人情報の取り扱いを規制する（行政的規制）
７．行政による命令等に従わなかった者に対して罰則を科す

この法律で規制を受ける個人情報取扱事業者とは、5000件を超える個人情報データベース等を「事業の用に供している」事業者、つまり5000人を超える個人情報を持ち、それでビジネスをしている事業者とされています。5000件というのはそれほど高いハードルではありません。ただし、他人が作成したデータベースで、氏名、住所居所（地図を含む）電話番号のみが含まれる者を、編集・加工せずに事業の用に供する場合は例外とされています。つまり、電話帳を業務に使っているだけでは個人情報にならないということです。ただ、情報を自分なりにアレンジできるものなどは個人情報データベース等になる可能性があるので、それを使ってビジネスをしていれば個人情報取扱事業者になるのではないかといわれています。つまり、情報は意外に持っているもので、自社が個人情報取扱事業者に当たる可能性は高いということを理解していただければと思います。

個人情報取扱事業者は何をしなければならないのか
個人情報保護法では広い意味での個人情報を３種類に分け、それぞれ違う規制をしています。
○個人情報　特定の個人と結びつく情報
　利用目的の特定、利用目的による制限（15条、16条）
　適正な取得や取得に際しての利用目的の通知等の義務（17条、18条）
○個人データ　電子化または体系化された個人情報
　データの正確性、最新性の確保（19条）
　安全管理措置義務、従業者、委託先の監督義務（20〜22条）
　第三者提供の原則禁止（23条）
○保有個人データ　６カ月以上保有する個人データ
　保有個人データの利用目的や開示等に必要な手続き等についての公表
　保有個人データの本人からの求めに対して開示、訂正、利用停止等に応じる義務

もし、個人情報の目的外利用や個人情報漏えいが発生した場合、当該企業はどのような法律的責任が問われるのでしょうか。まず思いつくのは損害賠償です。損害賠償自体は個人情報保護法とは直接関係はありませんが、宇治市の住民基本台帳漏えい事件では１件あたり１万円プラス弁護士費用とされ、ソフトバンクBBの個人情報漏えい問題では一人500円のお詫びが支払われました。これは今後、裁判や世論の行方で変化すると考えられます。

また、個人情報に違反すると、法律に従って、主務大臣の勧告や助言、命令違反に対する処罰などもあります。しかし、一番問題になるのはまず、企業イメージの低下。もう一点は取引条件に与える影響。取引先としては個人情報を漏えいした企業との取引は避けたいと考えるかも知れません。こうした点から、個人情報漏えいは、法律と関係のない部分でダメージになる可能性があると思われます。

事業者は何をしなければならないのか
事業者が最初にしなければならないのは、自社にどんな個人情報があるのかを確認すること。まずは個人情報を取り扱う可能性のある業務をリストアップし、情報の取得から消去までの手順を確認しましょう。個人情報を所有していることによって漏えいのリスクがあるということを考慮し、取得から消去までのプロセスを確認する必要があります。また、顧客情報以外に従業員情報やシステム関係の情報でも個人情報になっている可能性があるので、見落としは要注意です。

個人情報の取得段階では、まず利用目的を特定すること。個人情報を取得する際に、どのように利用目的を知らせているか確認しましょう。また、通知・公表の義務を果たしているでしょうか。この対応を早めにしておく必要があります。

利用段階で注目されるのは、まずセキュリティの問題です。個人情報の漏えいを100％防止する完全なセキュリティを確保することは不可能ですが、万一の場合にセキュリティ確保のための管理体制やチェック体制などの努力が客観的に評価できるようにしておくことが大事です。漏えいの原因を特定するためにも、この体制は整えておく必要があります。ほかに、個人のパソコンなど、小さなシステムも見落としがないよう注意しましょう。

委託先に関しては、個人情報保護法で委託先の監督義務が明記されており、責任が問われます。したがって再委託先も含め、どこに委託されているのかと、選定基準は明確かどうかを確認することが大切です。個人情報取扱に関する契約書、誓約書が適切であること、委託契約終了時に個人情報の返却、消去を義務づけていることなども確認した方がよいでしょう。

従業者に対する監督義務も課せられています。全従業員に対する教育、周知や啓発も重要ですが、個人情報の取り扱い状況が把握されていること、就業規則や誓約書が適切であること、不適正な取り扱いがあった場合はチェック可能かどうかも重要になってきます。

個人情報の消去や本人からの請求についても、注意事項を挙げておきます。まず、保有期間が適切・明確に定められているでしょうか。不要なデータは消去し、情報はシェイプアップした方がよいでしょう。

本人から個人情報の開示請求があった場合、それに対してどういう回答をするのか、社内で方針を決めておきます。開示しないのであれば、その理由を明確に伝える必要があります。また、例えばダイレクトメールを送る目的で個人情報を使用しないでほしいといわれた場合に確実に全てを止めることができるでしょうか。

特に、４月の法律施行当初は様々な苦情や請求がくる可能性があります。企業としても心構え、対応の準備が必要です。まずはすぐにできることから対策をはじめていただければと思います。