最近は,なんでもかんでも個人情報保護で,弁護士の立場からすると,以前よりも情報の取得が難しくなってきた感があり,訴訟や後見などのいろいろな手続が面倒になってきています。
しかし,それだけ個人情報がシステムとして保護されている状況が定着してきたということで,全体的には好ましいといえるでしょうか。
ところで,一般論として、漠然と個人情報を保護しなければという認識はありますが,法律上どのように規定されているのかは意外に知られていません。そこのところをお知らせするのが今回のレポートの趣旨です。
法律は平成15年に出来た「個人情報の保護に関する法律」です。
個人情報は,「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」と定義されています。
つまり,「亡くなった人」の情報はこの法律では保護されていません。また,「特定の個人」を識別できない情報(例:イニシャルだけ,ありふれた姓名だけ)などは保護対象でありません。但し,それらの情報をまとめて保有していて,いつでも個人を特定できるような状態にしてあるとき(例:公開ファイルはイニシャルだけだが,固有の番号を付けたりして,本名・住所等のファイルに関連づけられている場合やクロス検索機能で簡単に抽出できる場合など)には全体が法律による保護対象になります。
個人情報はだれもが慎重に取り扱わなければならないのですが,この法律では,とくに「個人情報取扱事業者」という定義を設けて,それに該当する場合に限って,法律による種々の規制をかける仕組になっています。もちろん,法律で規制されなくても,自主的に個人情報保護ポリシーを設けることは望ましい事です。
「個人情報取扱事業者」は,現在の基準では,「ある事業のために,過去6ヶ月間を通じて一度でも5000人を超える人数を特定できる情報を管理している者」です。つまり,6ヶ月以内に5001人以上の個人情報を集めていたことが一日でもあれば,個人情報保護法の適用を受けて,次に述べるようないろいろな保護法準拠対策を講じなければなりません。なお,この情報は日本国籍者に限らないので,法人ではない「個人(自然人)」であれば,外国人も数にカウントされます。亡くなった方は含みません。
(1)利用目的の特定: 個人情報を記録する際に,利用目的を決めることです。ここで決めた目的以外には原則として使わないようにします。
(2)利用目的による制限: 本人の事前の同意がないときには,原則として,定めた目的以外のために利用してはいけません。例えば,荷物送付のために聞いた個人情報宛てに,事業の宣伝等のDMを送付したりすることはできません。そのようなことをしたければ,目的に定めておくか,個別に本人の同意をとっておかねばなりません。
(3)適正な取得: 本人をだまして個人情報を聞き出すことは違法です。
(4)取得に際しての利用目的の通知等: 本人には,個人情報の利用目的を知らせておかねばなりません。利用目的をWEB上で公表している例が多いですが,公表していても,新規取引毎に個別に「個人情報利用についてのお知らせ」をするほうがよいでしょう。利用目的が変更された場合には,本人へ通知しなければなりません。
(5)データ内容の正確性の確保: 一旦集めたデータは,正確かつ最新の内容に保つようにする努力義務が課せられています。
(6)安全な管理: 当然ながら,集めたデータが漏洩したり,なくなったりしないようにしなければなりません。
(7)従業者の監督: 安全管理の一環として,従業員の指導監督も必要です。
(8)委託先の監督: データ入力やDM代行業者などへ情報を委託する場合は,その業者がきちんとした個人情報保護ポリシーをもっているかどうか確認すべきでしょう。
(9)第三者提供の制限: 当然ながら,本人の同意なしの個人情報第三者提供は禁止されています。ただし,これにはいくつかの例外があります(例:捜索差押や伝染病検疫の場合など)。
(10)保有個人データに関する事項の公表: いわゆるプライバイシーポリシーです。法律が求めている内容は,①当該個人情報取扱事業者名称,②個人データの利用目的,③開示手数料,④苦情申出先です。
(11)個人データの開示・訂正・利用停止: 本人の求めがあれば,保有している個人データを本人へ開示しなければなりません。その場合は一定の手数料を徴収できます。データがない場合には,データがない旨を回答しなければなりません。
また,本人から訂正を求められたときは,内容確認のうえ,これに応じなければなりません。訂正できないときにはその旨を報告しなければなりません。これは,その本人にとっての不利益情報(例えば,料金滞納の事実や,暴力団関係者である等の事実)が記載されている場合に,生じてくる問題です。
個人データが不正取得・不正利用されている場合は,当該データの利用停止や消去をしなければなりません。
個人情報保護については,各業界の団体が「認定個人情報保護団体」となり,共通のガイドラインを定めている場合もあります。
もし,「個人情報取扱事業者」が法律の定めた措置を執らずに,個人情報漏洩や不正使用などをした場合には,行政から是正勧告が出されることがあります。この勧告に従わなかった場合には,是正命令が出され,さらにそれにも従わないときは刑罰(六月以下の懲役又は三十万円以下の罰金)に処されることもあります。
事業が拡大すると,すぐに個人情報を5000件を越えて保有する状況になると思いますので,それらについての適正な管理をすることが,事業経営課題の一部になってきます。