|
2005年4月に施行された個人情報保護法により、個人情報の取り扱いをどのように注意していかなければならないのか、3タイプの事例を基に説明していきます。
|
|
|
■ 本稿の概要
|
|
すでに報道やニュースサイト等でご存知のことと思いますが、2005年4月1日をもって
個人情報保護法 (正式名称は「 個人情報の保護に関する法律 」)が施行されています。すでに施行から一ヶ月経ちますが、まだ対応されていない組織も多数見受けられ、浸透するまでは時間がかかると思われます。
以下では、個人情報保護法がどのような法律なのか、3種類の事例を元に解説していきたいと思います。
|
|
|
 |
金融庁より、みちのく銀行に対し個人情報保護法に基づくものとしては法施行後初の勧告が行われました(2005年5月20日)。
|
|
|
|
|
■ 個人情報保護法とは
|
|
個人情報保護法を十分理解しておかなければ、今後個人情報を取り扱うにあたって大きなリスクを伴うことになります。
個人情報保護法は正式名称を「個人情報の保護に関する法律」といい、「 個人情報の取り扱いに関する、個人の権利利益の保護 」を目的とした法律です。
主な内容としては以下の通りです。
|
| 利用目的 |
個人情報の利用目的・範囲を特定し、それを超えて利用してはならない。 |
| 取得 |
個人情報を不正な手段で取得してはならない。また取得の際には、本人に対して利用目的を提示し、了解を得なければならない。 |
| 正確性 |
取得した個人情報は、正確かつ最新の内容を保つよう努める。 |
| 安全管理 |
情報の漏洩、紛失が無いよう適切な措置を講じなければならない。 |
| 従業員、委託 |
情報を扱わせる従業員、委託先については監督責任が生じる。 |
| 第三者への提供 |
本人の了解なしに個人情報を第三者に提供してならない。 |
| 本人の関与 |
個人情報の本人は開示・訂正・利用停止等を求めることができる。また事業者は必要な手続き等を公表する必要がある。 |
|
|
基本的に、「個人の権利利益の保護」のために「個人情報取扱事業者が守るべきルール」という形になっています。また、本法律が適用される事業者は以下の通りです。
- 法人格の有無に関わらず、一般社会通念上事業として認められるものに利用している場合。
- 取り扱う個人情報の量が多い場合。 経済産業省のガイドライン [pdf] では、過去6ヶ月以内に個人情報を5000人分以上取り扱っている者が対象と説明されています。
- 報道機関、宗教団体、政治団体、学術研究期間等以外の組織の場合。特定の目的に限り一部組織では法律の適用対象から除外されています。
個人や法人格を持たない任意団体も法律の対象 となり得ることに注意が必要です。
また、顧客リスト・名刺等を考えると、一定以上の規模の組織の多くは適用対象になるものと考えられます。個人情報保護法には罰則規定があり、違反した事業者に対して「6月以下の懲役又は30万円以下の罰金」が科せられることになります。
|
|
自由民主党の改正案において、従業員(委託先を含む)個人に対する罰則規定を盛り込むことが検討されている模様です。
これは、現在の個人情報保護法が「事業者の監督責任」のみであったため、個人にも罰則規定を設けることでより個人に対する抑止効果が高くなることを期待したものと思われます。
もしこの改正が行われた場合、事業者のみではなく従業員個人に対しても罰則が適用されることとなります(2005年5月16日)。 |
|
|
施行されてから一ヶ月程になりますが、施行前から個人情報漏洩事件が大きく報じられるようになり、現在も毎日のように新たな事件が発生しています。
国民生活センター からは、すでに200件前後の相談が寄せられているとの報告があります。
以降では、3種類のケースを元に、個人情報保護法と法人情報漏洩事件との関連を解説していきます。
|
|
サービス実績
