前回、個人情報保護法を簡単に説明しましたが、少しおさらいします。
個人情報保護法を違反するとどうなるのか? 事例からリスクヘッジを学ぶ
個人情報保護法とは…
「個人情報の保護に関する法律」 個人情報の適切な取り扱いと保護について定めた法律。平成15年(2003)に成立、2年の準備期間を経て平成17年(2005)に民間も含めて全面施行。高度情報通信社会の進展に伴い、個人情報の利用が著しく拡大したことを背景に、個人情報の有用性に考慮しながら、個人の権利利益を保護することを目的とする。
氏名、住所、生年月日、などの個人に関する情報を適正に扱い、個人の利益や権利を保護することや。国や自治体、事業者などに義務付けている。
とある。ここから、個人情報保護法を更に詳しく解説します。この記事を読めば難解な個人情報保護法もバッチリです。
まず、「個人情報の保護に関する法律」は、下記のような構成で成り立っています。
- 第1章 総則(第1条―第3条)
- 第2章 国及び地方公共団体の責務等(第4条―第6条)
- 第3章 個人情報の保護に関する施策等
- 第1節 個人情報の保護に関する基本方針(第7条)
- 第2節 国の施策(第8条―第10条)
- 第3節 地方公共団体の施策(第11条―第13条)
- 第4節 国及び地方公共団体の協力(第14条)
- 第4章 個人情報取扱事業者の義務等
- 第1節 個人情報取扱事業者の義務(第15条―第36条)
- 第2節 民間団体による個人情報の保護の推進(第37条―第49条)
- 第5章 個人情報保護委員会(第50条―第65条)
- 第6章 雑則(第66条―第72条)
- 第7章 罰則(第73条―第78条)
この記事でわかること
1.「個人情報の保護に関する法律」の基本的理念
2.用語の定義
個人情報とは
個人情報とは、生存する個人の情報であって、特定の個人を識別できる情報(氏名、生年月日等)を含むものを指す。これには、他の情報と容易に照合することができることによって特定の個人を識別することができる情報(学生名簿等と照合することで個人を特定できるような学籍番号等)も含まれる(第2条1項)
「生存する個人」であるから、外国人の情報も個人情報に含まれるが、故人の情報は含まれない。法人等の団体そのものの情報は個人情報に含まれないが、法人等の役員の情報で特定の個人を特定できるものは含まれる。
個人情報データベース等とは
個人データとは
個人情報データベース等を構成する個人情報は個人データと呼ばれる(第2条4項)。
保有個人データ(第2条5項)個dvvvf人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データのことで、以下のもの以外。 その存否が明らかになることにより公益その他の利益が害されるもの(施行令3条)。
当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの。
当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの。
当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの。
当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの。
6か月以内に消去することとなるもの(施行令4条)。
3.国及び地方公共団体の責務・施策
4. 個人情報の取扱事業者の義務
個人情報取扱事業者には様々な義務が課せられます。
利用目的の特定・公表
あらかじめ個人情報を「第三者に提供」することを想定している場合には、利用目的で、その旨特定しなければなりません。従業員の個人情報についても個人情報保護の対象です。
従業員の個人情報を利用する場合であっても、利用目的を具体的に特定し説明しなければなりません。法はいったん同意をとった利用目的を大きく変更することを禁じています。
変更できる範囲は「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲まで」としています。それでも、変更したい場合は、「新しい利用目的によって本人の同意をとり直す」ことが必要です。
・適正管理、利用、第三者への提供
必要かつ適切な措置を行うためには、組織的・人的・物理的・技術的な広範囲の安全対策をとらなければいけません(第20条)。
・組織的安全管理措置
個人情報保護管理者の設置など、組織体制の整備
社内規定の整備と運用
個人データ取扱い台帳の整備
安全管理措置の評価、見直し、改善
事故または違反への対処
・人的安全管理措置
雇用時や契約時において非開示契約を締結
従業員に対する教育・訓練の実施
・物理的的安全管理措置
入退館(室)管理
盗難対策
機器、装置等の物理的な保護
・技術的安全管理措置
個人データへのアクセス認証・制御・記録・権限管理
不正ソフトウエア対策
移送通信時の対策
動作確認時の対策
情報システムの監視
従業者に対する情報セキュリティ対策として、個人データに対する「アクセス制限・アクセス管理、監視」が有効です。
また業務マニュアルの規定によって、持ち出し制限や移動時の取り決め、暗号化等 の手順を決め、全て、申請・承認によって処理することを決めて、守らせることも重要です。
これらによって、情報漏えい事故を防止し、従業者による情報流出を牽制することが可能です。
・本人の権利と関与
原則として、保持している個人データの内容や利用目的は、本人の求めに応じて、遅滞無く通知しなければなりません。訂正についても同様です。適用除外事項も幾つかありますが、基本的に本人の求めに応じる義務があります。
この場合に重要なことは本人確認です。本人または適正な代理人による依頼で、その申し出の内容が正しい場合のみ訂正に応じます。
また「利用目的から見て訂正等が必要ではない場合には、訂正等を行う必要がない」という条項もあります。その場合は訂正等を行わない旨を、遅滞無く本人に通知しなければなりません。
基本的に個人情報は当の本人のものであり、事業者は預かっているのだということを理解していれば本人の権利に対する対応は、適切に実施することができるはずです。
・本人の権利への対応
個人データの開示等を実施する際には、事業者は開示等の方法を定めることができます。
・開示等の求めの受付先
窓口の住所や、FAX先の電話番号などを指定します。ただし、窓口を不便な場所に限定するなど、本人に過度な負担をかけてはいけません。
・提出すべき書面と受付方法
紙面である必要は無く、FAXや電子メールで受け付けるということでも構いません。
・本人確認の方法
本人がその場にいる場合は公的な顔写真入り証明書、例えば運転免許証やパスポートで、Web等の場合にはIDとパスワードで本人確認することが一般的でしょう。
・手数料の徴収方法
合理的な範囲内で手数料を徴収することができます。
「実際に料金をいくらに設定できるか」については、法律やガイドラインに記載されているわけではありません、行政の例として、300円であることが述べられています
・苦情の処理
個人情報取扱事業者に対して、本人からの苦情に対応する体制を確立することを個人情報保護法で定めています。
苦情は基本的に本人と個人情報取扱事業者の間、または認定個人情報保護団体を含めた3者間で解決することが最初にすべきことになります。
当事者間で解決しない場合や、重大な内容であるにもかかわらず事業者の対応が不適切な場合は、主務大臣から報告の徴収(事情聴取)があり、その結果、「助言」、更にエスカレーションすると「勧告」、最終的には「命令」が発せられ、「命令違反」には「6ヶ月以下の懲役または30万円以下の罰金」という罰則が課せられます。
実際に命令違反による刑事罰を受けた企業が、市場や消費者の信頼を再び得ることは大変困難だと思います。
また、主務大臣の勧告や命令が発せられる以前に、事件事故の公表が義務づけられていますから、その時点で既に新聞やテレビでニュースとして取り上げられ、会社の評価は大きく失墜することとなります。
5.違反時の罰則とリスク
個人情報保護を怠り不適正な管理によって情報漏えいした場合、事件・事故の公表によって、企業は重大なダメージを受けます。
個人情報保護法の全面施行に伴い、個人情報取扱事業者は法の定める義務に違反し、この件に関する主務大臣の命令にも違反した場合、「6ヶ月以下の懲役または30万円以下の罰金」の刑事罰が課せられます。
加えて、漏えいした個人情報の本人から、漏えいによる被害や、実被害が無くても、漏えいしたという事実による損害賠償民事訴訟のリスクが発生します。
これらによって、大規模漏えい事件事故の場合は巨額(総額)の賠償金支払いに直面する可能性もあります。
あわせて読みたい
広告費無料で商品が新聞やテレビに取り上げられて月間1万個以上販売する方法
5分で理解!プライバシーポリシーは個人事業主や個人でも必要か?