個人情報保護法 (2005/07/07改定)

2005年4月1日より個人情報保護法が施行されました。
今回は、個人情報保護法の概要と事業者が具体的にどのような対応をすべきなのかを説明します。
個人情報保護法については様々なサイトや書籍で解説されていますが、省略されている部分などがありますので、やはり一度は法律に直接目を通すことが必要でしょう。
個人情報保護法は、首相官邸ホームページで概要や法律、解説などが公開されています。
概要や解説ではなく是非法律を直接読んで見てください。
　

■個人情報保護法のポイント

個人情報を扱う場合は、利用目的をできる限り明確にすること

どの程度明確にすべきなのかは、具体的に示されていませんが、次のような場合は明確にしているとはいいがたいでしょう。
・当社の営業上必要と思われる範囲で活用します。
・当社からの電子メールの配信に利用します。
それでは、どの程度明確にするかですが、次の場合は明確にしているといえるのではないでしょうか。
・当社製品のユーザーとして登録し、今後のサポートやお問合せの対応に利用します。
・当社の新製品情報の電子メールやダイレクトメールによる送信を行います。
ただ、利用目的をあまりに限定してしまうと、データの使い道がなくなる可能性もありますので、長期的な観点から利用目的を定める必要があります。

個人情報は利用目的を変更する場合も取得時の利用目的と相当な関連性を有することが必要

基本的に個人情報の利用目的は、収集した時の利用目的から変更してはならないというのが、大前提となっています。
第15条2項に「・・・変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない」とありますが、ここでも具体的な基準は示されていませんので、個人情報を収集する際には利用目的の十分な検討が必要になります。

本人の同意を得ないで利用目的の範囲を超えた使い方をしてはならない。

利用目的を収集したときと変更する場合は、一人一人同意を得なくてはならないということです。同意ですから単に通知したり明示するだけでは事足りないということに注意が必要です。

合併等により合法的に個人情報を入手した場合にも本人の事前の同意なしに当初の利用目的の範囲を超えた使い方をしてはならない。

会社の合併等で合併前のそれぞれの会社の個人情報は、合併後も合併前の利用目的の範囲でしか利用できないということです。
そのため、合併後も個人情報を別々に管理して利用目的を変更せずに利用するか、新たに利用目的を定めて、利用目的が変更となる個人に同意をとらなくてはならないのです。

不正な手段で個人情報を入手してはならない。

これは、当たり前のことですから説明するまでもないでしょう。

事前に利用目的を公表しないで個人情報を取得した場合、本人に利用目的を通知または公表しなければならない

この場合は、本人に対して通知又は公表ですから同意までは求めていないことになります。

本人との間で契約等の際に書面やWEBサイトなどで個人情報を入手する場合も、あらかじめ利用目的を明示しなければなりません。

契約書その他の紙媒体によるものだけでなく、ホームページのお問合せや注文などのフォームなども利用目的を明示する必要があるということです。
したがって、ホームページなどは、利用目的を明示する修正を行う必要が多くの企業に出てきます。

取得した段階の利用目的と関連性を認められる範囲において変更した場合には、新たな利用目的を本人に通知または公表しなければならない

利用目的の変更は同意が必要ですが、例外的に変更前の利用目的と相当の関連性を有する場合は通知または公表することで変更することができるということです。

個人データを正確かつ最新に保つように努める

これは、個人データを利用できる状態に維持することが大切だということです。

個人データの漏えい、滅失又はき損の防止等がないよう安全管理のための必要かつ適切な処理を講じなければならない。

実質的に企業がもっとも注意しなければならないのが、この漏洩等でしょう。
具体的にどのような処置を講じる必要があるかは示されていませんので、扱う個人情報の内容や件数などを総合的に判断して必要十分な方法で安全管理に努める必要があるでしょう。
具体的な、対策については別に説明します。

個人データを扱う従業員の必要かつ適切な監督を行わなければならない。

個人情報の漏洩は、内部の人間が関与している場合が大半といわれています。従業員等を信じて任せたいところですが、仮に悪意を持ってデータを悪用したり持ち出そうとしても実行できない体制を作ることが求められているわけです。

個人データの取扱を委託する場合には、委託先の必要かつ適切な監督を行わなければならない。

個人データの取扱いを委託することは特に制限されていませんが、委託した場合には漏洩等が起きないように監督する必要があります。

あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

本人の同意が必要であり、原則として通知や公表ではないことに注意が必要です。

あらかじめ本人に通知してある利用目的が第三者へ個人情報の提供で、提供される個人情報の項目や提供される手段や方法、ならびに本人の求めに応じて個人データの提供を中止することについて通知してあれば、同意を得ないで第三者に情報を提供することができる。

これは第三者に提供することを目的とした場合のごく限られた例外処置であり、通常の場合は該当しないでしょう。

個人情報取扱事業者の氏名又は名称、個人データの利用目的等を当該本人の知りえる状態に置かなければならない。

本人の求めに応じて遅滞なく回答するのでもよいとされていますが、あらかじめ明示しておくことが望ましいと言えるでしょう。

事業者の氏名又は名称
すべての保有個人データの利用目的
本人が識別される保有個人データの開示手続き
個人データの内容の訂正、追加又は削除手続き
個人データの利用の停止又は消去手続き
個人データの第三者への提供の停止手続き

本人から、個人データの利用目的の通知を求められたときは、原則として本人に遅滞なく通知しなければならない。

事業者の権利又は正当な利益を害するおそれがある場合、取得の状況からみて利用目的が明らかであると認められる場合等は、必ずしも通知する必要はありません。
但し、その場合通知しないことを本人に通知しなければなりません。

本人から、当該本人が識別される保有個人データの開示を求められたときは、原則として本人に延滞なく通知しなければならない。

事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合等には開示を拒否することが出来ます。
但し、開示しないことを本人に通知しなければなりません。

保有個人データの本人からデータの内容が事実でないという理由で訂正、追加又は削除を求められたときは、原則として遅滞なく必要な調査を行い、訂正等を行わなければならない。

訂正等を行ったときも、行わない決定をしたときも本人に通知しなければなりません。

保有個人データの本人からデータの取扱や第三者提供などの違反を理由として当該保有個人データの利用の停止又は消去を求めれられ、その理由に間違いがなければ原則として遅滞なく、データの利用を停止又は消去しなければならない。

利用停止等に多額の費用を要する場合など、それに代わる措置をとることでも良いとされています。

事業者は保有個人データの利用目的の通知、保有個人データの開示の実施に際し実費を勘案して合理的な範囲で手数料を徴収することができる。

本来無料であることが望ましいと思いますが、無料とすることで相当数の要求が予測される場合などは、手数料を設定する事も必要になるでしょう。
手数料額は、具体的に示されていませんが実費程度と考えれば、200円〜300円高くても500円程度ではないでしょうか。

個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。

個人情報保護法が施行されることにより、事業者の個人データの取扱に対して関心が高まることから、きちんとした取扱をしないと苦情も増えることになるのは、間違いありません。
法律のある無しにかかわらず苦情に対してはできるだけ速やかに対応するのが原則であることは説明するまでもないでしょう。

個人情報保護法に違反し、主務大臣の命令に違反した場合等に6ヵ月以下の懲役又は30万円以下の罰金。主務大臣から個人情報の取扱いに関する報告の指示に報告をしなかったり、虚偽の報告をした場合は、30万円以下の罰金。

この件については特に説明は必要ないでしょう。

■個人情報保護法 Q&A

携帯電話のメールアドレスは個人情報に該当するか

ドメインの部分が携帯各社のものなので、メールアドレスだけでは個人を特定できないことから法的には個人情報には該当しないようです。
しかし、携帯電話のメールアドレスは様々な方法で悪用されることも十分考えられますので、個人情報として扱ったほうがよさそうです。

メーラーの受信トレイの個人情報を含む注文メール等は、個人情報保護法の対象となるか。

メーラーには検索機能もありますので、受信トレイなどに個人情報を含むメールが削除されずに残っていれば該当します。
メーラーに個人情報を含むメールを残さずにデータベースなどに情報を移行してメールは削除すべきでしょう。

個人情報の管理を外部に委託する場合は、事前に確認しておく必要があるか。

委託と第三者への提供は別ですので、委託であれば事前に確認しておく必要はありません。

個人情報を集めた時点が、個人情報保護法の施行前である場合は、利用方法等をどのように説明すればいいのか。

法の施行前、つまり、2005年3月31日までに集めた個人情報については、個人情報の利用目的等の通知などは行う必要はありません。

「個人情報取扱事業者」に該当する前に利用目的等を明確にせずに収集した個人情報の取扱はどのなるのか。

個人情報保護法の適用は受けませんので、利用目的等を通知しなくても法的には求められていません。

通知又は公表について

法律で通知や公表となっているところについては、同意までは要求していませんので本人に知らせればいいと言うことになります。

明示について

通知や公表と同じで、同意までは要求されていませんが、より分かりやすく誰でも見逃すことがないようにすることと考えられます。

同意について

同意についての具体的な方法は示されていませんが、「・・・の内容に同意いただけない場合は、このメールを＊週間以内に返信してください。」というような方法は望ましくありません。
メールを読んでいないことも考えれれますので、きちんと同意の意思が確認できる方法をとるべきでしょう。

個人情報の範囲

個人情報は何もお客様のものだけではありません。従業員のデータも該当しますし、面接の履歴書なども個人情報に該当します。

■まとめ