個人情報保護法と誓約書

個人情報保護法で従業員の監督、委託業者の監督が義務付けられています。そのため、「情報漏えいしません」とか「第三者に提供しません」とかの誓約書を従業員や出入り業者からを今月末までに取ろうとしているところが結構あります。しかし、一面、個人情報の安全管理を従業員個人や委託業者に押し付けているだけになっているケースもあります。
誓約書の内容が個人情報の保護を越えて、「一切の機密情報を漏洩しません」とかなっている場合は、具体的に何が機密情報かを特定しなければ無責任ですし、個人情報と機密情報は関係ありません。
取引関係にないのに、出入りしているだけで誓約書を取ろうとしている場合もあります。本来、取引関係にない者に個人データや保有個人データを知られることは、情報漏えいにあたり安全管理義務違反です。つまり、漏洩する相手から誓約書を取るのは本末転倒です。泥棒になりそうな人から誓約書をとろうとしているようなものです。
とても守れそうにない、あるいは何を言っているのか分からないような不備な内容の誓約書を無理やり取ろうとしているケースもあり、人権侵害ではないかと思えるようなものもあります。
さらに、具体的な対象や範囲を明確にしないで、賠償責任を誓約書で求めている場合があります。ただ漠然と「個人情報の漏洩などで損害を与えた場合に損害賠償の責任を負います」と個人に誓約させるのはいかがなものかと思うのです。取引業者とは契約書、従業員とは就業規則などで具体的に明確にしておくべきでしょう。
いずれの場合も、自己の安全管理義務や監督義務を誓約書で転嫁しているようにしか思えないものがあります。

個人情報保護法とは 16

最後に実効性の担保、どのような手続きで罰則が科せられるのか考えてみます。ただ、罰金は３０万円以下なのでたいした負担にはなりませんが、その過程で社会的な信用が失われ、事業に大きな損失を受けることになります。また、プライバシーの侵害に当たる個人情報の漏えいには、賠償金の慰謝料の支払いを命じられることもあります。
個人情報保護法では、まず主務大臣が個人情報取扱事業者に個人情報の取扱いに関して報告を求めたり、必要な助言をしたりします。もし、法律の規定に違反している事実があれば、違反行為の停止や取るべき処置を勧告します。それらの処置を実施しなければ命令することになります。
報告を怠ったり、虚偽の報告、勧告に従わない場合は３０万円以下の罰金です。命令に従わないとさらに６月以下の懲役に処せられます。
報告、助言、勧告、命令の順に行政の処分が実行されますが、どのレベルまで実行されるかは違反の程度によるでしょう。しかし、マスコミなどの社会的な批判にさらされ、企業の信頼を失い、謝罪金などの損失は、その違反行為の程度によるものではありません。

個人情報保護法とは 15

開示請求以外に、個人情報の訂正、利用停止または消去を求められた場合の対応があります。個人データの内容が事実でない、例えば住所が違う、電話番号が異なるなどのクレームがあれば、データ内容の正確性の確保の観点からも、調査して訂正しなければなりません。また、不正に取得したり、利用目的を逸脱したデータ項目まで保有しているということで、利用停止やデータの消去を求められ場合には、この法律に違反しているということならば、それを是正する意味で対応しなければなりません。
個人情報には、事実などの客観情報と評価などの主観情報とがあります。客観情報については本人が言っているのであればそれが事実でしょうから訂正すれば良い問題でしょう。しかし、評価情報は必ずしも本人の評価とは異なりますので、評価の観点の違いから訂正しないこともあるでしょう。いずれにしても本人には訂正を行う行わないを通知しなければなりません。
利用停止や消去では、個人情報保護法違反の場合に対応することなので、問題は法律の解釈の違いということになります。適切に取得しているとか、利用目的を逸脱していないとか、いわゆる個人情報の保有者の説明責任を求められていると考えることができます。

個人情報保護法とは 14

個人情報保護法で最も対応の難しいのは開示請求の対応かもしれません。開示の対象は保有個人データで、簡単にいうと６ヶ月以上保有している整理された個人情報です。本人からの開示を求められたら、営業機密でないかぎり開示しなければなりません。ただ、営業機密のハードルはかなり高いため、ほとんど開示せざるをえないことになります。
まず、保有個人データを一元的に管理していなければ、何を開示すべきかも分かりません。社内にある個人情報の棚卸し、個人情報、個人データ、保有個人データに区分しましよう。
保有個人データは基本的には、全て開示することを覚悟しましょう。そのため、本人に開示すると不都合なものは、公表している利用目的から必要でないならば廃棄しましょう。
開示の手続きでは、請求依頼書の書式、本人確認に必要な証明書、手数料、本店への提示方法などを定め、ホームページなどに公表しなければなりません。特に、本人確認は厳密に行う必要があります。

個人情報保護法とは 13

第三者提供の制限があります。個人情報、つまり散在情報は、本人の同意がなくても第三者提供することを利用目的として公表しておけば可能ですが、個人データを第三者提供するには事前に本人同意が必要です。
散在情報とは、知っただけ、メモしただけの個人情報で、それを第三者に教えても、正当な理由があれば大きな問題に発展することはないということです。しかし、個人データは、データ数が多くなるため、一斉にＤＭを送ったり、ランダムに強引な売り込み、詐欺まがいの商売に悪用される危険が高まります。それを防ぐために、本人同意のない第三者提供を禁止していると考えられます。
第三者提供の例外に、共同利用とオプトアウトという方法があります。共同利用はグループの間で共通の個人データを共通の利用目的で利用することです。事前に対象の個人データの項目と利用者の範囲を公表しなければなりません。事後では、それらを変更すことはできません。一方、オプトアウトは本人からの求めがあれば利用を停止するという方法です。この場合も第三者提供することを利用目的とし、データの項目、提供手段または方法、求めによって停止することを本人に通知まては容易に知りえる状態にする必要があります。
容易に知りえるとは、ホームページに公表しておいてもかまいませんが、問合せ先を公表し、問い合わせがあればすぐに回答する体制を整えておくことでもよいとされます。
共同利用、オプトアウトの両方ともどれだけ法に忠実に運用されるかは疑問です。一方で、本人同意のない第三者提供を完全に禁止するのは、経済活動を阻害する危険性があり、どうも妥協の産物のように思えるのです。

個人情報保護法とは 12

従業員の監督とは教育と管理です。教育は個人情報保護の意味を理解をさせることで、個人情報は取得した者のものでではなく、その情報主体である本人のものであるということを理解させることからはじまります。管理は安全管理が中心で、情報漏えい対策のためのルールをどのように守らせるかということになります。
教育では、個人情報保護の意味や法律の内容、それに基づく自社の基本方針やルール(規定)を理解させます。個人情報保護法は、基準があいまいな部分があるため、厳密に考えすぎたり、疎かになりすぎたりする危険があります。経済産業省が出しているガイドラインではより具体的にはなっていますが、必ずしも現実の問題に実際的に答えているとはいえません。そのため、各企業あるいは部門で、実務で直面する具体的な問題への対応方法をＱ＆Ａ集にまとめて徹底するとよいでしょう。
管理は、ルール作りからになりますが、まずは個人情報を棚卸し、リスク分析して、実効性のあるルールを決めます。どのような対策でもリスクを完全には回避しきれません。コストがかかる対策は容易には実行できません。そのため、リスクの損失の大きさや発生頻度とともに効果と費用などを総合的に評価し、理想的なものではなく本当に実施できるものをルールにしなければ徹底できないでしょう。

個人情報保護法とは 11

個人データの安全管理では、漏えい、減失またはき損の防止を求めています。具体的には、入退出管理とデータへのアクセス管理です。
入退出管理ではゾーン管理をしっかりと取り決め、それを実行することです。ゾーン管理とは、どこまでがフリーでどこからがそうでないかを決めます。フリーでない地域では、識別証の着用と入退出の記録をつけるようにします。さらに、関係者の同行が必要な地域、関係者の立会いの必要な地域、施錠管理する地域などを決めていきます。
ゾーン区分は図面にし、各ゾーンの入退出のルールを記入して、各ゾーンの入り口に掲示するとよいでしょう。入退出の記録は面倒なためにずさんになりがちです。来客記録や出勤記録、作業記録などとうまく組み合わせる工夫も必要でしょう。

個人情報保護法とは 10

個人データは正確かつ最新の内容を確保しなければなりません。個人データには、事実などの客観情報と評価などの主観情報とがあるでしょう。客観情報の正確性、主観情報の最新性が問われるかなあと考えます。
客観情報は情報主体(本人)から直接取得しなければその正確性は確保できないでしょう。つまり、本人の協力がなければ正確性の確保は難しく、その前提は本人の同意が不可欠になるわけです。
一方、主観情報は取得側の主観的な情報で、個人情報だけでなくあらゆる情報による総合的なもので、最新性とはその見直し頻度ということになるのかもしれません。
正確性や最新性の程度は、利用目的の達成に必要なということですが、取得者としては法律で規定されるまでもなく当然のことで、本人がどれでけ協力してくれるか、どれだけ最新の情報が得られるかということになります。
真面目に考えると、何だかしっくり行かないような感じがします。

個人情報保護法とは ９

個人情報を集めてコンピュータに入力すると一般に個人データになります。個人データに対しては、データの正確性と安全性、それを取り扱う従業員や委託業者への監督責任、第三者への提供の制限の義務が生じます。
個人情報の集合体が個人情報データベースで、そのデータが個人データになります。個人情報データベースは、体系的に構成されていて容易に検索できるものとなっています。
複数の情報を整理分類すればそれなりに体系的で、特定の個人を探し出す機能があれば容易に検索できると考えられます。よって、個人情報をExcelに入力すれば個人情報データベースになります。
Excelを使わなくても表形式でデータをコンピュータに入力すればデータベースということになり、ほとんどのソフトには検索機能がありますので容易に検索可能となります。
データの正確性や安全管理は、一般にデータベースを借りする上でも必要な事項です。また、それを実効性のあるものにするには、従業員を教育し委託先を指導する必要があります。
第三者提供は、本人が認識または同意している利用目的の範囲を超えて利用されることにつなるため本人の同意が必要になります。

個人情報保護法とは ８

個人情報を5000人分以上持っていて、その情報を仕事に継続的に利用している人は、個人情報の利用目的を特定しなければなりません。もし、特定せずに個人情報を利用していると、利用停止を求められたら、その人の個人情報は目的外利用として利用できなくなります。さて、それで誰が困るのでしょうか。
個人情報保護法を否定するものではありませんが、この法律を無視して利用しても、個人にとって利益になることもありますし、この法律の縛りのために情報を利用しなかったために、個人の利益を損なうということもあります。
例えば、Ａ社が家具を売っていて、今までの顧客に対しては個人情報の利用目的を家具の販売に特定していたとします。ところが、家具の製作技術を利用して、室内のリフォームのサービスを始めたとします。そのすばらしいサービスは、今までの顧客には利用目的が違うために紹介できないとして、サービスの内容を案内でしなかったとします。すると、今までの顧客から「どうして紹介してくれなかったのか、知っていたらへたくそな工務店などには頼まなかったのに」といわれたといったことがおきます。