 |
個人情報保護法の全面施行を目前に多くの企業が個人情報保護法対策に急いでいる。個人情報保護法の特色は、情報提供者・情報主体である個人が、自らの個人情報の取り扱いについて情報開示を求めるなど「本人が関与できる仕組み」が整えられていること。それによって、事業者に苦情を申し立てることも裁判に訴えることも可能だ。その際に重要な役割を果たすのが認定個人情報保護団体とされているが、いったい「どのような資格を持つ団体が認定されるのか」、「認定取得のための手続きは」など、全面施行を目前にした今をもってその全容は明らかでない。
| ●認定個人情報保護団体を知るためには、個人情報保護法の4つの基本ルールを理解 |
2005年4月1日に個人情報保護法が全面施行されることを受け、現在、銀行や消費者金融などの金融機関をはじめ、クレジットカード会社や生命保険や損害保険会社、医療機関、インターネットサービスプロバイダーなど、個人情報を数多く取り扱う可能性のある企業を中心に、個人情報保護法対策が着々と進められているようだ。昨年の秋頃から本格的に企業の個人情報保護法対策も進みだし、「オフィスの入退室管理が急に厳しくなった」とか「取引先の情報が記入してある用紙の廃棄についてシュレッダーにかけることが義務付けられた」といった声も聞かれはじめたようだ。
さて、この個人情報保護法の規定の中に「認定個人情報保護団体」がある。具体的には、個人情報保護法の「第4章 個人情報取扱事業者の義務等」の「第2節 民間団体による個人情報の保護の推進」の第37条「団体の認定」の項目で「個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として、苦情の処理等を行おうとする団体の認定」と示されており、第41条では「対象事業者」の項目で「認定団体による対象事業者(団体の構成員等)の氏名又は名称の公表」などが示されている。
この文面をさらっと読んだだけでは、いったい何のことについて書かれているのか理解しにくいかもしれない。この認定個人情報保護団体とは、いかなる団体なのだろうか?
そのことを理解するために、まず、個人情報保護法を簡潔におさらいしてみよう。個人情報保護法とは、「情報提供者・情報主体である個人(本人)が意図しない個人情報の不正な利用・流用が行われないように」、あるいは、「個人情報を取り扱う事業者が、ずさんな個人情報管理を行わないように」、一定数以上の個人情報を取り扱う事業者を対象に、個人情報の取り扱いついての義務を規定する法律のことである。概要をざっくりと理解するために、以下に示すルールから成り立っていると考えていただければよい。
(1)利用・取得に関するルール
| ・ |
個人情報の利用目的をできる限り特定し、利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはいけない。
|
| ・ |
偽りその他不正な手段によって個人情報を取得することは禁止されている。
|
| ・ |
本人から直接書面で個人情報を取得する場合には、あらかじめ本人に利用目的を明示しなければならない。間接的に取得した場合は、すみやかに利用目的を通知または公表する必要がある。
|
(2)適正・安全な管理に関するルール
| ・ |
顧客情報の漏えいなどを防止するため、個人データを安全に管理し、従業者や委託先を監督しなければならない。
|
| ・ |
利用目的の達成に必要な範囲で、個人データを正確かつ最新の内容に保つ必要がある。
|
(3)第三者提供に関するルール
| ・ |
個人データをあらかじめ本人の同意を取らないで、第三者に提供することは原則禁止される。
|
(4)開示等に応じるルール
| ・ |
事業者が保有する個人データに関して、本人から求めがあった場合は、その開示、訂正、利用停止等を行わなければならない。
|
| ・ |
個人情報の取扱いに関して苦情が寄せられたときは、適切かつ迅速に処理しなければならない。
|
さて、このうち認定個人情報保護団体と関連の深いのは、(4)の「個人情
報の取扱いに関して苦情が寄せられたときは、適切かつ迅速に処理しなければ
ならない」という項目である。
| ●自分の情報は「自分で守る」!? 苦情の受け入れ機関が認定個人情報保護団体 |
上記の(1)〜(4)までの内容を読んでいただければ、個人情報保護法によって、本人の了解なくして個人情報が流用されたり、売買されることが規制されること、個人情報を第三者に提供する際にも、その利用目的を情報提供者・情報主体である「本人に通知して」了解をえなくてはならなくなることなどが理解できるだろう。街角のアンケートで何気なく記入した住所や氏名、メールアドレスなどの情報などをもとにして、しつこくダイレクトメールが送りつけられたり、物品販売の電話がかかってきたりといった経験をしたことのある人も多いかもしれない。平たく言ってしまえば、個人情報保護法が全面施行されれば、アンケート記入時に、その情報をどういった目的で利用するかといったことを明確にしなければならなくなり、これまでのような商売のスタイルは成立しなくなってしまう可能性もあるのだ。
しかも、個人情報保護法には、事業者が保有する個人データに関して情報提供者・情報主体である「本人が関与できる仕組み」が盛り込まれているのが1つの特徴でもある。たとえば、本人からの要求があれば、上記の(4)に示されているように個人情報を開示しなければならないし、個人情報に誤りがあった場合には、訂正・追加、または削除をしなければならない。さらに、個人情報保護法の義務規定に違反していることが判明した場合には、個人は利用停止や個人情報の消去を求めることもできるのだ。
ただし、ここには問題点も指摘されている。本人が関与できる仕組みが整えられている一方で、「情報提供者・情報主体である本人が、苦情処理機関や当該事業者に届け出たり訴え出たりしないと個人情報保護法の持つ効力が発揮されない」ということである。個人情報保護法には「6カ月以下の懲役、または、30万円以下の罰金」といった罰則規定があるが、それには、まず情報提供者・情報主体である本人からの訴えがなければならない。
分かりやすく言えば、「本人が関与できる仕組み」が用意されたことで、「みなさん、自分の個人情報が正しく利用されているかどうか、しっかりチェックしてくださいね」、「もし、不正に利用されている場合には訴え出ましょう」という仕組みなのである。個人情報保護法が全面施行されることで、多くの事業者が個人情報の取り扱いに注意を払うようになるのは確かだが、法律が施行されることで、個人が何もしなくても法律によって「自分の情報が100%守ってもらえる」と考えるのは大きな間違いである。やはり、「自分の個人情報は自分で守る」くらいの気持ちが必要なのだ。そして、情報提供者・情報主体である個人は、「本人が関与できる仕組み」を使って自分の情報の利用状況をチェックし、不正に扱われていると判断した場合には、苦情を訴え出る。その際に、個人からの苦情の受け入れ先となるのが「認定個人情報保護団体」なのである。
次回は認定個人情報保護団体として認定されるまでの手続きが、現状、どこまで明確になっているのかといったことをレポートする。
執筆:下玉利 尚明 氏
本コラムは、ネットアンドセキュリティ総研株式会社発行の「Scan Security Management Vol.089 2005年01月11日号」からの転載です。
|
|
 |
