2005年4月から、個人情報保護法が施行され、個人情報を(5000件以上)扱う事業者(個人情報取扱事業者)は個人情報保護法遵守の義務があります。
個人情報保護法は、個人情報の漏洩対策だけに言及しているのではありません。扱う個人の情報に対して、その個人のいろいろな権利(企業にその個人の個人情報を有しているか確認できる権利、その個人情報を修正、削除できる権利など)を認めています。
多くの中小企業では、個人情報保護法に適応できていない状況と思われます。
では、何をすれば良いのでしょうか
個人情報保護法 概要
まずは、実際の個人情報保護法は、どんなものでしょうか。ページ数はA4数ページくらいの分量です。
個人情報保護法 法律 (概要、解説)
上記は、なかなかわかりにくい所も多いかと思います。
そこで、経済産業分野を対象としたガイドラインを経済産業省が出しています。
ここには法律の各項目について解説がされています。(追記:その後改訂されています。下記URL参照)
http://www.meti.go.jp/policy/it_policy/privacy/070330guideline.pdf
それでは、法律の概要を見ていきます。
・基本理念(第3条):この条文が個人情報保護法の基本的な理念を述べています。
| 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。 |
これは、
・取得した顧客(社員)の個人情報は企業のものではなく、顧客(社員)のもの
・企業は個人情報を預かっている
という考えを示しています。
・個人情報取扱事業者の義務の概要は、法律の前身となっているOECD8原則を見た方が分かりやすいです。
OECD8原則と個人情報取扱事業者の義務規定の対応
・下記は条文にある個人情報取扱事業者の義務の条文を要約し、グループごとに分けたものです。
(例外事項などは除いてあります)
| 1. 個人情報入手時の規制 ・ 偽りその他不正の手段により取得してはならない。(第17条) ・ 取得するときは利用目的を通知または公表しなければならない。(第18条2項)2. 個人情報入手後の取扱い規制 ・ 利用目的をできる限り特定しなければならない。(第15条) ・ 利用目的の達成に必要な範囲を超えて取り扱ってはならない。(第16条) ・ 取得したときは理由目的を通知または公表しなければならない。(第18条1項) ・ 正確かつ最新の内容に保つように努めなければならない。(第19条)3. 個人情報入手後の安全管理対策 ・ 安全管理のために必要な措置を講じなければならない。(第20条) ・ 従業員・委託先に対し必要な監督を行わなければならない。(第21,22条) ・ 本人の同意を得ずに第三者に提供してはならない。(第23条) (預託、合併による事業の継承などは含まない。共同利用時は、本人に通知または公表が必要)4. 個人情報入手後の情報主体への対応 ・ 利用目的等を本人の知り得る状態に置かなければならない。(第24条) (本人の求めに応じて遅延無く回答する場合でもよい) ・ 本人の求めに応じて保有個人データを開示しなければならない。(第25条) (実費を勘案して手数料を徴収することも可能(30条)) ・ 本人の求めに応じて訂正等を行わなければならない。(第26条) ・ 本人の求めに応じて利用停止等を行わなければならない。(第27条) (訂正、利用停止等の実施したことの通知も必要) ・ 苦情の適切かつ迅速な処理に努めなければならない。(第31条) |
個人情報保護法律については、一般に販売されている本では、下記の本に定評があるようです。
Q&A 個人情報保護法〔第2版〕 個人情報保護基本法制研究会 編 有斐閣
