 |
個人情報保護法の全面施行を目前に多くの企業が個人情報保護法対策に急いでいる。個人情報保護法の特色は、情報提供者・情報主体である個人が、自らの個人情報の取り扱いについて情報開示を求めるなど「本人が関与できる仕組み」が整えられていること。それによって、事業者に苦情を申し立てることも裁判に訴えることも可能だ。その際に重要な役割を果たすのが認定個人情報保護団体とされているが、いったい「どのような資格を持つ団体が認定されるのか」、「認定取得のための手続きは」など、全面施行を目前にした今をもってその全容は明らかでない。
個人情報保護法の特色の1つとして、事業者が保有する個人データに関して情報提供者・情報主体である「本人が関与できる仕組み」が盛り込まれていることがあげられる。このことは前回でも紹介した。たとえば、本人からの要求があれば、個人情報を保有する事業者等は個人情報を開示しなければならないし、個人情報に誤りがあった場合には、訂正・追加、または削除をしなければならない。個人情報保護法の義務規定に違反していることが判明した場合には、個人は利用停止や個人情報の消去を求めることもできる。
さらに、この情報提供者・情報主体である個人は「本人が関与できる仕組み」を使って自分の情報の利用状況をチェックし、不正に扱われていると判断した場合には、苦情を訴え出ることも可能である。その際に、個人からの苦情の受け入れ先となるのが「認定個人情報保護団体」である。
さて、ここまでは、認定個人情報保護団体に関する非常に大雑把な説明である。ここからは少し細かく検討してみよう。
まず、いったい「誰が」この認定個人情報保護団体となるのだろうか? それについては、個人情報保護法の第二節 第三十七条で次のように示されている。
「個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、主務大臣の認定を受けることができる。」
この条文の中の「次に掲げる業務」とは、「個人情報の取扱いに関する苦情の処理」や「個人情報の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供」、「対象事業者の個人情報の適正な取扱いの確保に関し必要な業務」などである。つまりは「苦情処理を受け付け」たり、「事業者が個人情報を適正に扱うようにアドバイスをしたり」する役割を引き受けようじゃないかという「法人」(厳密には法人でなくてもよいが)であれば、「主務大臣の認定をうけること」で認定個人情報保護団体となることができるのだ。
それでは、そのような法人とはいったいどこをさすのか? 内閣府や経済産業省などにヒアリングした結果によると、「法人」とはされているものの民間企業が認定個人情報保護団体となるケースはあまり予想はされていなく、各種業界団体や各種協会などが認定個人情報保護団体となることが想定されているようだ。
そうなると認定個人情報保護団体をとりまく図式が少し明確になってくるようだ。たとえば、自動車販売の業界では顧客情報などの個人情報を大量に扱うが、そういった業界では「○○自動車販売協会」などの業界団体・協会があるだろう。自動車販売の業界であれば、そのような業界団体・協会が主務大臣である経済産業大臣に申請し、認定を受けることで認定個人情報保護団体となるのである。同じように、金融業界の団体や協会であれば金融大臣に、通信事業者の団体や協会であれば総務大臣に申請して、主務大臣の認定を受けることになる。一般の消費者は「個人情報が不当に扱われている」と判断した場合に、その事業者が属する業種・業界の認定個人情報保護団体がどこかを調べて、そこに苦情を申し立てればいいことになる。各業種や業界に最低1つないしは2つの認定個人情報保護団体があれば、一般市民にとっても苦情の申し立て窓口が明確化されて、その役割と効用がわかりやすいだろう。
| ●民間の力を活用して個人情報保護の不平や不満を解決する |
ところで、認定個人情報保護団体は、なぜ、「民間」がその役割を担うのであろうか。国が専門の機関を設置してその役割を担当させてもいいのではないか。この背景には、個人情報保護法が「民間分野における個人情報の保護に関して」、「民間団体による自主的な取組を尊重し、政府等が支援していくことを基本的な考え方としている」ことがある。 認定個人情報保護団体の制度とは、こうした考え方に沿って、苦情の処理や個人情報の適正な取扱いの確保を目的として業務を行う民間団体を主務大臣が認定する制度であり、いわば「民間の力をフル活用して」個人情報の保護を推進しようというものなのだ。認定個人情報保護団体が認定されることで、個人にとっては苦情を申し出る窓口が明確化され、一方、認定個人情報保護団体の認定を受けた各種団体や協会、そして、その団体や協会が管轄する事業者においては、個人情報保護の業務への信頼性が得られることとなる。言葉を換えれば、「○○○の業界の認定個人情報保護団体は××協会」と明らかになれば、その認定個人情報保護団体が所轄の業界の事業者がちゃんと個人情報を取り扱うかについて常に目を光らせ、「個人からの苦情の申し立てを受け入れます」という姿勢を示すこととなる。そこに信頼性が生まれるのである。
2004年4月に閣議決定された政府の「個人情報の保護に関する基本方針」でも、「6 個人情報取扱事業者等が講ずべき個人情報の保護のための措置に関する基本的な事項」の「(2)認定個人情報保護団体に関する事項」と、「7 個人情報の取扱いに関する苦情の円滑な処理に関する事項」において以下のように定められている。
| 6 |
個人情報取扱事業者等が講ずべき個人情報の保護のための措置に関する基本的な事項
(1)各省庁における認定の促進
認定個人情報保護団体は、苦情処理において、個人情報取扱事業者自身による取組を補完し、問題の自主的、実際的な解決を図るとともに、各事業等分野におけるガイドライン等の策定等を通じて事業者の個人情報保護の取組を支援する等、民間部門における主体的な取組に、きわめて重要な役割が期待されており、その仕組みが十分に活用されることが必要である。
|
| 7 |
個人情報の取扱いに関する苦情の円滑な処理に関する事項
個人情報の利用・提供あるいは開示・不開示に関する本人の不平や不満は、訴訟等によるのではなく、事案の性質により、迅速性・経済性等の観点から、むしろ苦情処理の制度によって解決することが適当なものが多いと考えられる。法は、苦情処理による国民の権利利益の保護の実効を期すため、個人情報取扱事業者自身の取組により苦情を解決することを基本としつつ、認定個人情報保護団体、地方公共団体等が苦情の処理に関わる複層的な仕組みを採っている。この仕組みが円滑に機能するためには、これらの関係機関がそれぞれの役割分担に応じて適切に取り組むとともに、緊密な連携を確保することが必要である。
|
さっと読んだだけでは分かりにくいが、重要なのは「民間部門における主体的な取組に、きわめて重要な役割が期待されて」いること、「本人の不平や不満は、訴訟等によるのではなく(中略)、迅速性・経済性等の観点から、むしろ苦情処理の制度によって解決することが適当なものが多いと考えられる」ということである。認定個人情報保護団体とは、つまりは、個人情報保護に関連する不平や不満を「民間の力」で「苦情処理の制度」によって解決しましょうという取り組みなのだ。
| ●全面施行時までには認定取得のためのガイドラインが明確に |
ここまで、「誰が」認定個人情報保護団体となるのかについて、「民間の業界団体や協会など」ということを明確にし、そして、なぜ国の機関でなく「民間の団体・協会などが認定個人情報保護団体となるのか」については「不平・不満の解決には訴訟などよりも苦情処理の制度が望ましく」、その制度を推進するには「民間部門における主体的な取組み」が重要であるとの認識によるものであることを記した。
さて、そこで現在、いったい、どのような業界団体や協会が認定個人情報保護団体の認定取得に動きだしているのだろうか。内閣府、経済産業省などにヒアリングした結果では、残念ながら現時点では、その数や名称などはまったく明らかにされていない。ある情報サービスなどに関する業界団体では、「認定個人情報保護団体の認定を取得する意向はある」としながらも、「現時点では、どのような資格が必要であり、また、どのような手続きが必要とされるのか。そのガイドラインというべきものがまだ定まっていないようだ。所轄の省庁からも知らされてはいない」と現状を語る。つまり、ガイドラインが定められていないので、認定取得に動き出そうにも動き出せない状況というのだ。経済産業省に取材をした時点(2004年12月上旬)では「近いうちにガイドラインを策定するが時期については、現時点では明確にできない」との回答だった。
しかし、個人情報保護法の全面施行は2005年4月1日。もう目前に迫っている。間に合うのか? そのことについては、業界団体・協会などでは、「全面施行時に、いくつかの認定個人情報保護団体が設立されていることは理想」としながらも、「実際には2005年4月1日までに『認定個人情報保護団体の認定取得のための詳細』が定められ、実際に認定を取得した団体が登場するのは全面施行以降」と認識しているようだ。経済産業省でも、「(認定取得のための)ガイドラインが明確に定められるのが、2005年4月1日の完全施行以降になる可能性はない」としている。確かに、全面施行時に「認定個人情報保護団体とはこういった団体で認定取得のためには『具体的に』こうして下さい」と決まっていれば、その時点で実際に認定を取得した業界団体や協会が存在していなくても法律としての体裁は整う。
認定個人情報保護団体については、現時点では、法律をじっくりと読み込めば、その全容を明らかにすることはできる。しかし、実際に認定を取得しようとする業界団体や協会が、「今、何をしてどのように動けばいいのか」と考えたときに、そのことを示してくれる具体的なガイドラインはないようだ。先述の情報サービスに関する業界団体は、「認定取得の意向はあるが、今はまだ動いていない。取材するには、時期がまだ早いでしょう(笑)。もう少しして、具体的な動きがあったら、もちろん取材にも応じます」とのことだった。Scan編集部では引き続き取材を進め、今後、認定個人情報保護団体の認定を取得した団体や協会の事例などを紹介していく予定である。
執筆:下玉利 尚明 氏
本コラムは、ネットアンドセキュリティ総研株式会社発行の「Scan Security Management Vol.089 2005年01月11日号」からの転載です。
|
|
 |
