2005年4月の「個人情報の保護に関する法律」(以下「個人情報保護法」)全面施行が目前となりました。毎日のように、個人情報漏えいのニュースが報道され、企業人として危機を感じている方も多いのではないでしょうか?
この連載では、この法律を守るべきなのは誰なのか、何を守るのか、守るということは何をするということなのか、そんな観点で個人情報保護法を解説していきたいと思います。
個人情報保護法とは、読んで字のごとし「個人情報」を保護するための法律です。個人情報保護法の成立を受け、経済産業省は「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」において、法案で使われている用語(例:個人情報、個人データ、保有個人データなど)や、安全管理の具体的な例を公開しています。
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
http://www.meti.go.jp/policy/it_policy/privacy/041012_hontai.pdf
また、これを受けて、各省庁においても業界ごとのガイドラインの策定・公開が進められています。業界ごとのガイドラインには、より具体的な例示などが盛り込まれていますが、基本的な理解をしておくことが重要です。
今回は、個人情報保護法を抜粋しつつ、法でいうところの「個人情報」について、経済産業省のガイドラインを参照しながら解説していきます。
個人情報保護法とは
(目的)
第一条 この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の順守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
高度情報通信社会とあるように、情報が電算化されたために大量流出する事件・事故が非常に多くなってきています。インターネットの普及により、流出する個人情報の量と流出する範囲が格段に大きくなったことは、この問題をより深刻にしています。個人情報保護法により企業の個人情報に対する管理体制構築が促進され、相次ぐ個人情報の流出をストップすることが期待されています。
個人情報保護法を理解するにあたり、基本理念について再確認しておきましょう。経済産業省のガイドラインでも「公益上必要な活動や正当な事業活動までも制限するものではない」といっているように、企業が個人情報を使うことを何から何まで制限するものではなく、「個人情報を正しく扱いましょう」ということが基本理念なのです。つまり、法をよく理解して、個人情報の正しい扱い方を企業内で取り決めることが必要なのです。
また、参照したいキーワードに、日本工業規格(JIS)が定めた「個人情報保護に関するコンプライアンス・プログラムの要求事項(JIS Q 15001)」があります。
JIS Q 15001では、事業者が保有する個人情報を保護するための方針、組織、計画、実施、監査および見直しというマネジメントシステムを構築するための要求事項を記しています。JIS Q 15001の要求事項は、個人情報保護法よりも厳しいとされており、より高いレベルの仕組みづくりに利用されています。
【プライバシーマーク制度(財団法人日本情報処理開発協会)】
JIS Q 15001の要求事項に準拠しているかを審査し、プライバシーマークの使用を認める制度
個人情報とは
個人情報保護法では、以下のように「個人情報」を定義しています。
キーワードは3つです。
- 「生存する個人に関する情報」
- 「特定の個人を識別することができるもの」
- 「他の情報と容易に照合することができるもの」
Copyright © ITmedia, Inc. All Rights Reserved.