Revised: 2004-11-08; Since: 2004-10-05
本稿は、個人情報保護法関連のメモです。要点を短くまとめた「概要」も参照ください。対策部分は現場向けのものを想定しているので、粒度の細かいものになっています。将来的には、より技術的なものに整理しなおします。
個人情報の流出/漏洩事件に対する罰則を含んだ一連の法律で、2003年5月に成立/公布。政令第507号によって、2005年4月1日より全面施行が予定されています。
個人情報保護法の正式名称は『個人情報の保護に関する法律』で、1980年のOECD(経済協力開発機構)理事会勧告『プライバシー保護と個人データの国際流通についてのガイドライン』の 8 原則に対応する国内法に当たります。
個人情報保護法は、全ての場合に該当する基本方針や用語の定義からなる基本法と、民間の義務と罰則を定めた一般法からなります。他に、行政や独立行政法人などの義務と罰則を定めた一般法や整備法などの関連四法と合わせて、個人情報保護関連五法と呼ばれます。
施行期日や細目については政令によって定められています。
また、個人情報保護法の第七条に挙げられた政府の基本方針が出されています。
正式名称は『個人情報の保護に関する法律』。全六章と附則からなり、第四章が罰則を科せられる義務を定義しています。
これらの義務違反があれば、情報主体による告訴のほか、主務大臣による「勧告」、「命令」、「緊急命令」があり、それらに従わない場合にも罰則が適用されます。
目次 第一章 総則(第一条-第三条) 第二章 国及び地方公共団体の責務等(第四条-第六条) 第三章 個人情報の保護に関する施策等 第一節 個人情報の保護に関する基本方針(第七条) 第二節 国の施策(第八条-第十条) 第三節 地方公共団体の施策(第十一条-第十三条) 第四節 国及び地方公共団体の協力(第十四条) 第四章 個人情報取扱事業者の義務等 第一節 個人情報取扱事業者の義務(第十五条-第三十六条) 第二節 民間団体による個人情報の保護の推進(第三十七条-第四十九条) 第五章 雑則(第五十条-第五十五条) 第六章 罰則(第五十六条-第五十九条) 附則
第一章第二条の全六項目が、法における用語の定義になっているので、まずはそこに目を通すようにお勧めします。
法が保護する「個人情報」とは、生存する特定の個人を識別するものであり、単体で特定個人を識別できるものも、他のものと組み合わせたものも該当します。体格、性別、趣味嗜好などの属性も、個人情報と容易に関連付けられれば個人情報に含みます。
法の課する義務を負う、個人情報を取り扱う事業者を「個人情報取扱事業者」と呼んでいます。
法の第二条第三項第四号で、「個人情報取扱事業者」から除外される、「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」は、政令第507号の第2条にて、次のように定義されています。
その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数(…中略…)の合計が過去6ヶ月以内のいずれの日においても5000を超えない者とする。
細かいことを抜きにすると、「個人情報取扱事業者」は、個人情報によって識別される特定の個人の数の合計が過去六月以内のいずれの日かにおいて五千を超えた事のある、民間の事業者です。
但し、第五章雑則の法第51条にて、第四章の罰則が科せられる義務等から除外される「個人情報取扱事業者」が規定されています。
第五十条 個人情報取扱事業者のうち次の各号に掲げる者については、その個人情報を取 り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、前章の規 定は、適用しない。 一 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。) 報道の用に供する目的 二 著述を業として行う者 著述の用に供する目的 三 大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者 学術 研究の用に供する目的 四 宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的 五 政治団体 政治活動(これに付随する活動を含む。)の用に供する目的 2 前項第一号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実 として知らせること(これに基づいて意見又は見解を述べることを含む。)をいう。 3 第一項各号に掲げる個人情報取扱事業者は、個人データの安全管理のために必要かつ 適切な措置、個人情報の取扱いに関する苦情の処理その他の個人情報の適正な取扱いを 確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなけ ればならない。
以上をまとめると、「個人情報取扱事業者」に該当するのは、民間の、報道/著述/学術研究/宗教/政治の業界を除いた業界で、事業目的による個人情報の利用において、過去六月以内のいずれの日かに、個人情報で識別される生存する個人の数が、五千人を超えた事のある者です。
死者に関する情報が、遺族等の生存する個人に関する情報でもある場合には、生存する個人に関する情報と見做されます。
報道/著述などの除外業界でも、各々の除外業務の「用に具する」場合だけ除外されるものであって、その除外業務以外の目的で利用する場合は、第四章の罰則対象の義務を課せられる可能性が高いといえます。例えば、新聞社のアンケートや読者調査で得られた情報を、報道目的外(個別マーケティングとか)で使うとか、その他、除外業務を通して得た個人情報を、除外業務外の目的で使えば、罰則の対象になると思われます。
本稿において、「可能性」とか「思われる」という曖昧な言い方なのは、施行前で判例がないからです。法律というのは、条文だけでstaticに成立するものではなく、その後の運用が判例を通して規定されるものです。施行前で判例がない法律は、未だ半分しか存在していないといえます。法律=条文+判例です。
個人情報とは、生存する個人に関する情報で、特定の個人を識別することができるものを指します。それ自身で個人情報であるもののほか、相互に関連付けることで特定の個人を識別できる場合などさまざまな形がありえます。
電話番号はどうか、メールアドレスはどうかという議論がありますが、現時点では一概には言えません。
メールアドレスについては、例えば、"学籍番号@大學ドメイン.ac.jp"や"社員番号@会社名.co.jp"であれば、その大學/会社の学籍番号/社員番号の特定個人を指し示しますが、ランダムな文字列であれば、それ自身では特定個人を指し示すことができないので、個人情報ではないとされます。ただし、経団連が、通産省のガイドラインに対して、メールアドレスは全て個人情報に含むべきだとの見解を出していているので、追々、そのように扱われるようになると思われます。何れにせよ、氏名や住所と容易に関連付けられる形で持っていれば、勿論、個人情報の一部です。
今日では多くのメールアドレスが個人名を特定できないようにしてあり、それだけの理由で保護の対象から外すのは合理的でないので、メールアドレスは全て個人情報に該当することとすべきである。
但し、政令第507号の第2条によって、電話帳/カーナビ/地図などの情報のように、「住所/氏名又は電話番語」のみを含むものを、他の情報を追加せずに利用している場合は、個人情報で識別される「特定の個人の数」に参入しません。
政令第2条 法第2条第3項第4号の政令で定める者は、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数(当該個人情報データベース等の全部又は一部が他人の作成に係る個人情報データベース等で個人情報として氏名又は住所若しくは居所(地図上又は電子計算機の映像面上において住所又は居所の所在の場所を示す表示を含む。)若しくは電話番号のみが含まれる場合であって、これを編集し、又は加工することなくその事業の用に供するときは、当該個人情報データベース等の全部又は一部を構成する個人情報によって識別される特定の個人の数を除く。)の合計が過去6ヶ月以内のいずれの日においても5000を超えない者とする。
個人情報を整理したものを「個人情報データベース等」と呼び、それを構成するデータを「個人データ」、個人情報取扱事業者がもつ個人データを「保有個人データ」と呼びます。
個人を識別する情報が含まれて、検索可能であれば全て個人情報データベース等なので、コンピュータ上の電子的ファイルであれば全て該当します。例えば、未整理な名刺情報の入力ファイルや、ユーザID/パスワードが含まれるアクセス・ログなどもその対象になります。電子的ファイルでない、名刺や契約書のような紙媒体などは、索引付け/ソートなどが成されていない場合は、特定個人をみつけるのが困難なので個人情報データベースではありませんが、検索可能な形できちんと整理されていれば個人情報データベース等に含まれます。変な話だけれども。
殆どの企業が、既にセキュリティやプライバシについて、ある程度の対応をとっているでしょう。本法で大きく変わる点は、本人同意のない第三者提供の原則禁止、就業者/委託先の監督義務、個人情報によって識別される特定の個人による自己情報コントロールなどです。
例えば、本人からの個人情報入手時に、利用目的を明示して同意を得る必要があり、保有後は、目的外利用の禁止や本人からの要求/苦情等への対応が義務化されます。違反すると、就業者と企業の何れもが罰せられる可能性があります。
そのためには、社内で保有する個人情報を全て洗い出し、各々に対して、責任者、取得状況、業務における処理内容を見直す必要があります。また、全社員にポリシーと処理手順を周知徹底し、委託先との守秘義務契約等の内容を見直す必要もあります。また、個人からの問い合わせ窓口を設けなければなりませんし、ウェブサイト等も作り直す必要があります。また、監査の仕組みも必要です。
これらの全てを2005年4月1日までに完了することは、ある程度以上規模の大きな企業の場合は不可能かも知れません。個々のアプリケーションや業務の手作業による処理を全て見直すのが不可能な場合でも、ポリシーの策定と周知徹底、個人情報の洗い出し、アクセスログの採取やモニターツールの導入などの監査の仕組みだけは最優先で実施する必要があります。
OECD (経済開発協力機構)の1980年9月の理事会勧告"OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data"(テキスト)(『プライバシー保護と個人データの国際流通についてのガイドライン』)の、 "PART TWO. BASIC PRINCIPLES OF NATIONAL APPLICATION." (第2部 国内適用における基本原理)で規定されている 8 原則。
| OECD 8原則 | 個人情報保護法 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
OECD 8原則と並べてよく紹介されるのが、通称「EU指令」(1995)です。
正式名称は、"on the protection of individuals with regard to the processing of personal data and on the free movement of such data" (95/46/EC)(『個人データ処理に係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令』)。
OECD 8原則を詳細化したものであり、追加された項目として、データの処理を禁止する特別カテゴリーの処理(第8条、第9条)、第三国に対する個人データの移動(第25条、第26条)などがあります。
第三国への移転については、アメリカが安全な移動先であるかが交渉され、2000年5月に合意された通称「セーフ・ハーバー交渉」が有名です。特別カテゴリについては、JIS Q 15001の「センシティブ情報」に該当し、金融庁の個人情報保護法関連ガイドラインでも取り上げられています。
JIS Q 15001で「特定の機微な個人情報」として、収集/利用/提供を原則禁止している個人情報:
個人情報を保護するための対策は、人的/業務的/技術的な各側面が必要です。まずは、情報セキュリティの CIA (Confidentiality:機密性、Integrity:完全性、Availability:可用性)の観点で管理体制を作り、その上で、個人情報に対しては特別な取り扱いが必要になります。
以下のJIS規格については、日本工業標準調査会 (JISC)で閲覧できます。(許されるのは閲覧だけで、ダウンロードしてディスク保存というメニューはありません。文字列のコピーも検索も、ファイルへの直リンクもできません。)
情報セキュリティについては、JIPDECが推進する「ISMS適合性評価制度」があります。これは、ISO/IEC 17799:2000 (BS7799)を翻訳したJIS X 5080:2002「情報セキュリティマネジメントの実践のための規範」に基づいています。もともとは、イギリスのBS7799 Part 1で規定される管理基準がISO/IEC 17799:2000となり、認証評価制度はBS7799 Part 2に準拠しています。
これらも、プライバシのOECD 8原則(1980)と同様、1992年のOECD 9原則"OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security(2002年改訂)"が最初とされています。ポリシーレベルと運用レベルの全ての階層で参照する規範として掲げられ、プライバシを取り扱う土台を構成します。
個人情報保護体制の策定/運営という観点では、JIS Q 15001「個人情報保護に関するコンプライアンスプログラムの要求事項」に基づき、JIPDEC (財団法人 日本情報処理開発協会)が運用する「プライバシーマーク制度」に準拠することが適切です。
プライバシーマーク制度はISMS適合性評価制度と、用語の定義やプロセスに互換性があります。ISMS (Information Security Management System)を確立して PDCA サイクルを継続的に実施することで「ISMS 認証」を取得し、その上でコンプライアンス・プログラム (CP)を策定して PDCA サイクルを継続的に実施することで「プライバシーマーク」を取得できます。
コンピュータシステムのより技術的な側面では、ITセキュリティのプロセスや要素技術について解説した技術文書であるISO/IEC TR 13335 (GMITS: Guidelines for the Management of IT Security)が規範的な文書として参照されます。
製品やシステムなど、個別のセキュリティレベルに対しては、ISO/IEC 15408 "IT Security Evaluation Criteria"が存在します。国内の評価制度は、翻訳であるJIS X 5070「セキュリティ技術 - 情報技術セキュリティの評価基準」に基づき、経済産業省から委託を受けたIPA (独立行政法人 情報処理推進機構)の「ITセキュリティ評価及び認証制度」が実施されています。
個人情報保護法対策は多岐に渡ります。まず保有している個人情報とその業務プロセスを棚卸することが先決です。洗い出されたものに対して、入手から破棄までのライフサイクル全般に渡る処理を見直します。セキュリティ上必要な措置、本人からの苦情等の窓口、就業者や委託先等への教育/訓練が義務化されています。
具体的な対策では、
また、業界別に各監督省庁にてガイドラインが検討/策定されています。これらが、各業界の具体的な活動指針及び講ずべき措置を定めることから、個別に参照する必要があります。特に、金融関連、医療、情報通信の三分野には、厳しい管理義務が設けられる方向だそうです。
これらのガイドラインでは、1995年の通称「EU指令」の条項も一部取り扱われています。例えば、金融庁のガイドラインでは、「政治的見解、信教(宗教、思想及び信条をいう。)、労働組合への加盟、人種及び民族、門地及び本籍地、保健医療及び性生活、並びに犯罪歴に関する情報」をセンシティブ情報とカテゴリして、取得/利用を原則禁止しています。このカテゴリは、「プライバシーマーク制度」のJIS Q 15001と互換性を持ちます。
個人情報に対する責任を負う方は、法の条文と上記のガイドラインを必ず全文読んでください。監督省庁によるガイドラインは、業務改善命令や業務停止命令/業務免許取り消し等の制裁対象になる可能性があります。法令やガイドラインの解説書やセミナーなども活発に開かれていますので、それらを参考にできます。
行政による監視体制が設立されていないので、法の全面施行後の運用時には、情報主体の告訴による個別の訴訟が主となりそうであり、形骸化が危ぶまれてもいますが、集団訴訟化やクレーマ/好事家の一般化に伴い、大規模な問題に発展するリスクも多分にあります。
ここでは一般的と思われる注意点についてまとめます。便宜的に二つに分けましたが、あまり意味はありません。全ての項目が、現場と体制の両面から網羅される必要があります。全ての対策がきちんと取れない場合は、最低でも、各種ログの採取と監査記録を優先するのが良いように思われます。
社内的に体制を含めて検討が必要な項目には、次のようなものが挙げられます。
現場で対応が必要な項目としては、次のようなものが挙げられます。現場でそんなことをやってられるかという意見もありますが、法令が基本的には全員がその内容を知っていることを前提として運用されますので、知らないでは済まされないかもしれません。済むかも知れませんが、自身の業務に関する法令として、個人情報保護法は熟知していることを前提とされると思われます。特に、業界団体や監督省庁のガイドラインは熟知していることを求められるでしょう。何れにせよ、故意と過失の何れかで罰せられる恐れがあるので、自身の身の安全を守るためにも、対策が必要です。非常にだるいのですが、已む得ません。
これらの対策は、既に社内で確立している情報セキュリティ管理プロセスとの競合/二重管理にならないように、整合性が取れた形で組み込むことが必要です。必要に応じて、社内規定の改廃/追加が必要になるでしょう。