「商工とやま」H17年5月号

特集
個人情報保護法全面施行 〜対策は万全に〜

 近年IT化の進展に伴い個人の情報や顧客情報のデータベース化やファイル化等、官民を通じて大量の個人情報が処理されています。こうした個人情報の取り扱いは今後ますます拡大していくと予想されており、個人情報は、その性質上いったん誤った取り扱いをすると個人や企業に取り返しのつかない被害を及ぼすおそれがあります。実際、あるネット関連企業から顧客情報(住所、氏名、電話番号、メールアドレス等)約460万件が流出しました。また、最近では某大手都市銀行から、顧客約27万件分のデータが記録されたマイクロフィルムが紛失して大問題になるなど、顧客データの漏えい事件が相次ぎ、情報化社会のマイナス面が、ここ数年大きな問題になっています。
 こうした状況を踏まえ、プライバシーを含む個人の権利や利益が侵害されることを未然に防ぐことを目的に、平成15年5月に「個人情報保護に関する法律」(以下個人情報保護法)が成立、公布され本年4月1日から全面施行されました。
 個人情報とは何か、どのような対応が求められるのかを紹介します。


◆ 個人情報とは?

 個人情報保護法では、「個人情報」が保護や管理の対象になっていますが、まずこの個人情報とは何でしょうか。法律では、“生存する個人に関する情報であって、特定の個人を識別できるもの”と定義しています。個人の氏名や生年月日、住所、電話番号、職業などはもちろん、映像や音声であっても本人を識別できれば個人情報となります。また、所得や取引銀行、クレジットカード番号等は個人の経済活動に関する情報になり資格、著書、論文等の社会的活動に関する情報も個人情報の対象となります。



◆ 「個人情報取り扱い事業者」とは?

 「個人情報取り扱い事業者」とは、個人情報データベース等を事業の用に供している者をいいます。この事業とは、あらゆる業種が該当し、営利・非営利を問いません。企業のほか、特定非営利活動法人(NPO)などの組織も対象になります。なお、個人情報保護法を守る義務がある事業者は、過去6カ月間連続して5000件を超える個人情報を有する事業者と定義されています。



◆ 整理した名刺バインダーも個人情報データベース

 では、個人情報保護法での個人情報データベース等とは、なんでしょう?
 法律では、個人情報を含む情報の集合体であって、パソコンなどで検索できるように体系的に構成されているものを定義しており、個人情報保護対象に位置づけています。これは、紙媒体にも適用されます。
 例えば、サラリーマンなどがよく使用している名刺バインダーですが、このバインダーで名刺を五十音順に整理して検索できる状態で保管していた場合「個人情報データベース」とみなし対象となります。
 また、電話帳や市販の地図などを、加工せずそのまま使う場合は対象になりませんが、これらのデータを抜き出し、自社の表計算ソフトなどで加工して使用する場合は、データベースに含まれます。
 総合すると、個人に関するあらゆる情報が個人情報であり、非常に広範囲なものだと言えます。



◆ どのように取り組んだらよいか

 まず、個人情報取得事業者には次の義務が生じます。

○利用目的の明確化と目的内の利用
○偽りその他不正な手段による個人情報収集の禁止
○事前の本人同意及び利用目的の本人への明示
○安全対策と委託先の監督・社員の監督
○本人の同意なしの第三者への情報提供の禁止
○開示・訂正・利用停止依頼への対応
○本人から苦情などの申出への迅速な処理


 それでは具体的にどのように、取り組んだらよいのでしょうか。事業者の取り組みにあたっては、次の3つが重要なポイントとなります。

(1)個人情報保護方針の策定・公表
 事業所が個人情報保護に対して、どのような姿勢で臨むのかなどを対外的に明確化する。また、個人情報の漏えい等が発生した場合には、二次被害の防止等の為、可能な限り事実関係を公表する。

■個人情報保護方針記載項目(例)
1.当社の個人情報保護の考え方
2.個人情報の利用目的
3.個人情報の第三者提供
4.個人情報の管理責任者
5.個人情報に関する問合わせ先
※注意が必要なのは利用目的で、特殊な利用目的の業務があれば、どんな個人情報をどういった利用目的で利用するのか細かく記載する必要があります。


(2)個人情報保護管理者の設置等、社内管理体制の確保
 個人情報の安全管理について事業所内部の責任体制を確保するための仕組みを整備する。また、個人情報の取扱いを外部に委託する場合は、委託元と委託先それぞれの責任等を明確に定めるなど、実効的な監督体制を確保する。


(3)社員教育の徹底
 教育研修の実施等を通じて、実際に事業者の内部において個人情報を取り扱うことになる社員の個人情報保護意識を徹底する。



◆ 早急な対策が必要

 個人情報の漏えいが発覚した場合、企業が受ける影響および損失は非常に大きなものと考えられます。
 短期的には、緊急対応の実施による巨額のコストの発生、社会的信用の低下。また、長期的には、漏えいした個人情報による二次被害の発生や、信用回復への対応など、対応を誤れば企業の存続にかかわる危機に発展する可能性もあります。そのためにも早急な対応が必要になります。



◆ 個人情報の管理はお客様への礼儀

 個人情報に対する意識が高まっている現在、たとえ個人情報の保有が5000件を超えない企業であっても、情報を漏えいされた本人から、プライバシー侵害を理由として、損害賠償を請求される可能性のあることには変わりはありませんし、万が一漏えい事故が起これば、企業の信用低下は避けられません。
 それぞれの業種・業態、規模にかかわらず、個人情報保護の問題は企業・個人にとって、かかわりが深く重要なものです。個人情報の徹底管理こそお客様への義務と企業の社会責任であるということを念頭におき、適切な対応を図っていただければと思います。



○個人情報保護法関連ページ
▼内閣府
 http://www5.cao.go.jp/seikatsu/kojin/index.html
▼経済産業省
 http://www.meti.go.jp/policy/it_policy/privacy/privacy.htm



情報漏えい事故から会社を守る! 商工会議所の会員限定!!
「個人情報漏えい賠償責任保険制度」

 日本商工会議所では、全面施行された個人情報保護法に対応した「個人情報漏えい賠償責任保険制度」を創設しました。本制度は商工会議所の会員企業のために開発された独自の保険制度で、全国各地の商工会議所で取扱いができる団体保険制度となっており、商工会議所の会員企業であれば加入できます。

【保険制度の主な特徴】
(1)保険料は、スケールメリットを十分に活かし、個別契約するよりも割安な水準を実現
(2)無料でリスク診断サービスを提供し、加入者はその診断結果によって、個人情報管理に関する社内体制を把握し、漏えい防止対策などに結果を活かすことができます。
(3)募集を行う保険会社は国内大手損保会社をはじめとする11社(2004年度)となっており、全国ほとんどの代理店で加入手続きが可能です。

【保険金の支払い対象】
○商工会議所会員企業が所有・使用・管理する(していた)個人情報が漏えいし、保険期間中に、法律上の損害賠償責任を負担することによって被る損害賠償金や訴訟費用などの賠償損害
○事故解決のために要した法律相談費用、事故対応費用、広告宣伝活動費用、コンサルティング費用、見舞金・見舞品購入費用などの費用損害。
○オプションとして、コンピュータ・ウィルスの感染による他人に対する損害など情報システム・ネットワークに関連する事故による損害を対象とすることも選択可能。

【商品パターン】
(1)保険金の支払限度額の大小を加入者が選択できるように5パターンを用意(支払限度額が3億円以上の場合はフリープランを選択)。
(2)保険料は、加入者の業種、売上高によって算出し、加入者口座からの引落しによって徴収。

【参加損害保険会社(11社)2004年度】※50音順
・あいおい損害保険
・朝日火災海上保険
・共栄火災海上保険
・スミセイ損害保険
・セコム損害保険
・損害保険ジャパン
・東京海上日動火災保険
・ニッセイ同和損害保険
・日本興亜損害保険
・富士火災海上保険
・三井住友海上火災保険

■お問い合わせ先 制度参加損害保険会社の代理店までお問い合わせ下さい。

■本制度に関するホームページ
 日本商工会議所 http://www.jcci.or.jp/sangyo/rouei-hoken/


▼商工とやま記事別index  ▼戻る