このページをはてなブックマークに追加このページを含むはてなブックマーク このページをlivedoor クリップに追加このページを含むlivedoor クリップ

目次

個人情報保護法とは?

 そもそも個人情報保護法とは何だろうか。2005年4月から施行された法律で、正式には「個人情報の保護に関する法律」と呼ぶ。国・地方公共団体はもちろんのこと、その他の個人情報を取り扱う事業者が守るべき個人情報に関する義務を定めている。この事業者とは小規模事業者を除く民間事業者全体を指す。ただ、場で実際に個人情報を扱うのは従業員である。法律では事業者を対象としているが、従業員一人ひとりが守らなくてはならない。つまり、会社勤めや自営業をしているなら、個人情報保護法は他人事で済まされる問題ではないということだ。

 まず、この法律の目的は第1条に述べられている。

第1条:「この法律は、高度情報通信社会の進展に伴ない個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」

 ちょっと長すぎていまいち一読しただけではいまいち内容がわからないかと思う。ポイントとなるのは、「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」という部分である。個人情報をビジネスに活用することが発展する一方で、やりすぎによるその個人情報に対応する個人の権利の侵害を防ぐことを目的としているわけだ。つまり、どこからどこまでにおいて、個人情報を活用してよいのかということを明確にしたわけだ。この法律が成立したのは2003年の5月であった。その背景にあるのはインターネットやコンピュータの普及による個人情報を利用したビジネスの利用拡大があります。また、個人情報が一旦流出してしまうと、それを完全に回収することは事実上不可能となってしまう。さらに、インターネットの世界に流れてしまうと、流出先の範囲が大規模になってしまい、しかも回収は不可能である。その深刻さは、WinMXやWinnyのネットワークで「個人情報」で検索してしまうと明らかである。例えば、集団レイプ事件を起こした早稲田大学スーパーフリーに所属するメンバー表、エステTBCの容姿ランクを含む個人情報、キンタマウイルス(Winnyで蔓延するウイルスの一種)に感染することによって流出した個人のデスクトップ画像やマイドキュメント内のデータなどである。こうしたものが、すぐに見つかるはずだ。

なぜ施行されたか

 個人情報保護法が2005年に施行されたのには様々な要因がある。

 第1に、PC、携帯電話、イン単−ネットなどの情報機器の誕生・普及により、新しい情報伝達手段が構築され、大量の情報が世界中からすぐに広まるようになったからである。これは個人情報保護法が「高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ」と謳っていることからもわかる。

 第2に、この情報技術の発達により、個人情報の持ち出しが容易になったことです。例えば、CD-RやDVD-Rなどの存在である。また、最近のアタッカーの傾向として、USBメモリースティック、USB接続可能な小型HDDなどを使っている。実際にYahooBBの個人情報漏れの事件ではネットカフェにUSBでHDDを接続して、個人情報のDBをダウンロードしていた。その情報は膨大で、DVD-RやCD-Rに収まりきれないほどだったので、已むなくHDDに記録したと聞く。また、違う例を出すと、名簿屋で売買されている個人情報のほとんどが内部犯行によって持ち出されているという統計結果が出ている。

個人情報保護法が確立されるまでの流れ

  1. 1946年 基本的人権制定
    • 三島由紀夫の『宴のあと』事件(1964年)により、憲法13条の中の「個人の尊重や幸福追求権」を根拠にプライバシー権を最初に認める。
  2. 1980年代 情報社会の権利
    • 「一人にしておかれる権利」、「事故情報コントロール権」を併せ持つと考えられるようになる。
  3. 1999年
    • 住民基本台帳ネットワークシステムの導入。
    • 包括的個人情報保護に関する法律が検討。
  4. 2003年 個人情報保護法確立
    • 個人の権利利益を保護することを目的とする。
    • 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることをかんがみ、その適正な取扱いが図らなければならない。

個人情報

 ひとことで個人情報といっても、組織によって様々な定義を提唱している。個人情報保護法では、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの」と2条1項で述べられている。

 ここで重要な点は「生存」と「識別」というキーワードである。

 「生存」ということは、生きている個人を指す。これは当然と思うかもしれないが、他の定義では死者の情報も個人情報に含めるとする場合もある。あくまで個人情報保護法では死者の情報は含めないということをしっかり覚えて欲しい。

 次に、「識別」というキーワードであるが、これは特定の個人が特定できるということを指す。特定につながる情報として、氏名・住所・生年月日・電話番号などがある。これらは当然だとすぐにわかるが、他には顔写真・映像・音声なども含まれている。また、それだけでは特定の個人を識別できないような情報であっても、他の情報と組み合わせれば容易に照合できる情報であれば、それらも個人情報に含まるのだ。

例1:「tokyo_tarou@ruffnex.oc.to」というメールアドレスがあったとする。アットマークより前の「tokyo_tarou」という文字列を見ると、「東京太郎」さんということが一発でわかってしまう。ということはこういったメールアドレスは明らかに個人情報である。
 それでは、「3141592@ruffnex.oc.to」というメールアドレスはどうだろうか。アットマークより前の「3141592」という文字列から個人を特定することはできませんが、他の情報としてユーザーIDが「3141592」の人物の氏名は「東京太郎」であると対応付けされ たデータベースがあったとする。そうすると、「3141592@ruffnex.oc.to」=ユーザーID「3141592」=「東京太郎」と関連付けできてしまい、最終的に個人を特定できてしまう。つまり、こうした無作為な文字列を使ったメールアドレスであっても、場合によっては個人情報になってしまうのである。よって、一般にはメールアドレスも個人情報として取り扱うのが普通となってしまう。

例2:インターネットショッピングのWebサイトを運営している会社において、会員番号・性別・年齢・商品購入履歴の記載しかないリストからマーケティング資料を作成してサービス企画の立案をしている場合には注意が必要である。
 このリストには氏名が記載されていないので、個人情報にならないように思えるかもしれない。しかし、会員番号と名前が記載されている別のリストと照合すれば個人が特定できる。通常同一社内であれば、容易に個人を照合することが可能である。よって、この場合は氏名が記載されていないリストも個人情報になる。

個人情報のうちで個人データに含まれないもの

  • 個人情報データベース等を構成していないものである。

例1:氏名などが記入され個々には個人情報に該当するが、まったく整理されていないアンケート用紙の束

例2:業務日誌

個人データと保有個人データ

 前項で個人情報については理解できたと思う。個人情報保護法では、さらに個人情報の一形態として、個人データ・個人情報データベース等・保有個人データというものを定義している。

個人情報データベース等

 個人情報データベース等とは、次の,泙燭廊△里發里板蟲舛気譴襦

  1. 特定の個人情報をコンピュータにより検索することができるように体系的に構成したもの
  2. 特定の個人情報を容易に検索することができるように体系的に構成したもの

 ,魯灰鵐團紂璽燭離如璽燭箸靴童朕余霾鵑含まれ、それが体系的に構成されて検索できるようになっている状態である。一方、△魯灰鵐團紂璽燭鰺用していなくても、名刺が五十音図に並んでいたり、個人情報の紙情報の目次や索引が付いていて容易に検索できる状態である。

個人データ

 個人データとは、個人情報データベース等を構成する個人情報である。つまり、個人情報データベースはあくまで集合体のことで、この集合体に含まれる要素が個人データなのだ。例えば、名刺を五十音図に並べておけば、それは立派な個人情報データベースであり、中身の情報は単なる個人情報から個人データへ格上げされる。

 ところで個人情報取扱事業者の定義をする際に、個人情報データベース等を構成する個人情報によって識別される特定の個人の数という言葉を使っている。個人データという言葉を使っていないことに注意して欲しい。
 個人データのうち次の要件をすべて充足するものの数を除いたものが「特定の個人の数」となる。

  1. 個人情報データベース等の全部または一部が他人の作成によるものである。
  2. 当該個人情報データベース等を構成する個人情報として氏名・住所・電話番号のみを含んでいる。
  3. 当該個人情報データベース等を利用するに当たって、新たに個人情報を加えたり、他の個人情報を付加したりして、個人情報データベース等そのものを変更するようなことをしていない。

 典型的な例として、電子帳やカーナビに記録されている氏名・電話番号などは、特定の個人の数に入らない。なぜなら、これらは利用方法からみて個人の権利利益を侵害する恐れが少ないことから、個人情報取扱事業者の義務を課さないものと解釈されている。

  • 金融機関では個人情報データベース等から記録媒体へダウンロードされたもの、および紙面に出力されたもの(コピーも含む)も、個人データに含めて扱われる(金融庁ガイドライン第2条第3項)。

保有個人データ

 保有個人データとは、個人情報取扱事業者が次の行為を行う権限すべてを有する個人データである。

  • 開示
  • 内容の訂正・追加・削除
  • 利用の停止
  • 消去
  • 第三者への提供の停止

 さらに、その存在の有無が明らかになることにより公共の利益を侵害するものとして政令で定める個人データ、または6ヶ月以内に消去される個人データは保有個人データから除外される。

[補講]金融機関においては、警察などから受けた捜査関係事項照会の対象情報、振り込めさぎに利用された口座に関する情報、犯罪収益との関係が疑われる取引の届出の対象情報は保有個人データには含まれない。 ◇

[補講]更新は消去に含まれない(金融庁ガイドライン第2条第6項)。 ◇

 これらの権限のひとつでも有さない場合には、保有個人データにはならない。

 保有個人データの取扱いは個人情報保護法第4条で規定されている。

例1:企業が入力作業の委託を受けて委託先から預かる個人データは、勝手に内容の訂正や追加などはできないので、保有個人データには該当しない。

例2:6ヶ月以内に処分する個人データなら、開示請求が来ても開示などするを法的に必 要はないということである。ただし、法的に必要ないからといってすべて拒否すれば、顧客からの信用は下がってしまうだろう。

集合論で捉える

 個人情報・個人情報データベース等・個人データ・保有個人データという4つの概念について紹介した。これらのものの関係は集合論の集合と要素の関係で表すこともできる。

 まず電子データや紙媒体の文書などありとあらゆる情報によって、世界は覆われている。これを表現すると次のようになる。

電子データ1,電子データ2,…∈(情報の集合)
紙媒体の文書1,紙媒体の文書2,…∈(情報の集合)

 ここで氏名というデータがあったとする。これは上と同様に次のように情報の集合の要素のひとつである。

Aさんの氏名,Bさんの氏名∈(情報の集合)

 この「Aさんの氏名」は個人を特定でき、さらに生存している人の情報であったすると、個人情報のひとつといえる。なお見づらいので、ここから「1」「2」の表記を省略します。

氏名∈(個人情報の集合体)

 個人情報には氏名の他にも様々なものがある。例えば、生年月日・電話番号・住所などがそうである。よって、個人情報の集合体はこうした個人情報がすべて集まったモノと同一になる。

(個人情報の集合体)={氏名,生年月日,電話番号,・・・}

 ところで、個人情報の集合体を個人情報データベース等と呼ぶことは説明しました。よって、書き直すと次のようになる。

(個人情報データベース等)={氏名,生年月日,電話番号,・・・}

 氏名・生年月日などといった具体的なものでなく、一般化させるために個人情報1、個人情報2といった言葉を使えば次のように書き換えられる。よくわからなければ、「個人情報1=氏名」、「個人情報2=メールアドレス」などと考えてもらって結構だ。

(個人情報データベース)={個人情報1,個人情報2,・・・}

 これこそが個人情報データベースと個人情報の関係式である。

 次に個人データという言葉ですが、「個人情報データベースの要素」という定義であった。つまり個人情報と同一になる。

個人情報1=個人データ1
個人情報2=個人データ2

 混乱してないでしょうか? 様々な個人情報保護法の本を見ると個人情報と個人データが混在しているのはこのためだ。本当に紛らわしいものである。厳密には個人情報データベース等になりうる個人情報だけが、個人データとイコールになると理解してください。

 「データ」というとデータベースの構築しやすいイメージ、一方「情報」というと紙媒体もあるので、データベースの構築がしにくいイメージがあるでしょう。名刺などの紙媒体ならインデックス化はできますが、大小異なる大きさの用紙に書かれた情報はインデックス化しにくいだろう。よって、個人情報を扱う側にとっては個人データの方がやりやすいわけだ。

 それでは先に進もう。最後の保有個人データだが、これは「個人情報取扱事業者が開示、内容の訂正・追加・削除、利用停止、消去、第三者への提供の停止」などといった権限のすべてを有する個人データである。さらに、6ヶ月以上保有する個人データでなければならない。
 よって、「個人データ1=保有個人データ1」ということもありえれば、「個人データ2≠保有個人データ2」ということもありえる。よって、個人データの集合(=個人情報データベース等)のほうが、保有個人データの集合より大きいということがわかる。

(保有個人データの集合)⊂(個人情報データの集合)

まとめ

 最後に、簡単にまとめておこう。

個人情報→個人データ→個人保有データ

 矢印の方向にしたがい、機密度が高くなっていく。つまり、取扱いを注意すべき内容となっているわけだ。セキュリティ資格の問題文で戸惑ってしまわないように、この3者をきちんと分けて考えることができるようにしておくべきだ。

個人情報とプライバシー情報の違い

 個人情報とプライバシー情報はまったく別の概念である。

 プライバシー情報とは、次の条件をすべてみたすものを指す。

  • 個人の私生活上の情報
  • まだ社会一般の人が知らない情報
  • 一般人なら公開を望まない内容の情報

 個人情報の定義とまったく異なることが明らかである。個人情報は「生存」と「識別」がポイントであって、私生活上の情報(服装や髪型など)かどうかは関係ない。そして、事実かどうかも関係ない。

例:

  • 個人情報:名刺、クレジットカード、パスポートなど
  • プライバシー:服装の好み、休日の過ごし方、性癖、家庭の内情など

 プライバシーの問題については個人情報保護法の対象ではなく、そのようなプライバシーが侵害された場合にはこれまで通り民法上の「不法行為」や刑法上の「名誉毀損罪」などによって救済措置が取られることになる。

 一般にビジネスにおいて個人データを使う場合は、個人情報とプライバシー情報の両面の性格を持つことが多いので、個人情報保護法の義務だけでなく、民事法上の問題ともあわせて考える必要がある。

漏洩リスクを変化させる要因

 個人情報の漏洩リスクは、漏洩した個人情報の質と量によってもその影響度が異なる。

個人情報の質的重要性

 個人情報の質的重要性の高いものを上から列挙する。

  • 生体認証情報
  • 機微情報
  • クレジットカード情報
  • 電話番号

 これらの個人情報は一度流出することで、本人またはその周囲の人に永続的な不利益を与える可能性がある点で漏洩防止に注意すべき性質の情報である。

生体認証情報

 生体認証情報は一度漏洩するとその情報を取り消すことができない。生体認証情報は本人の指紋・虹彩・手や指の静脈・DNAといった個人的な特徴をとらえて記録した個人情報であるため、パスワードのように内容を書き換えることができない。そのため生体認証情報は質的に非常に重要なものととらえる必要がある。

機微な情報

 本人しか知りえない情報のこと。こうした情報が漏洩した場合には、その本人に対して大きな精神的苦痛を与えることになる。特に病歴・家系・家柄・本籍地に関する情報などがそうである。もちろん機微な情報の取扱いには注意が必要である。

クレジットカードの情報・電話番号・家族の情報

 クレジットカードの情報は、クレジットカードの不正利用により二次的損害をもたらす可能性がある。また、電話番号や家族の情報が漏洩した場合も、振り込め詐欺や架空請求などによる被害を引き起こす可能性がある。

個人情報の量的重要性

 一般的には個人情報を大量に保管している顧客データベースと一部の個人情報が記載されている表計算ソフトウェアのファイルでは、顧客データベースのほうが大きなリスクがある。多量の個人情報を扱っている部分のリスクをまず認識する必要がある。

  • 顧客データベース
  • 表計算ソフトウェアのファイル
  • 1件の情報

個人情報に係わるリスクとその対策

 個人情報のリスクに対する対策は次のように行う。

  1. 個人情報のたな卸しを実施し、保有する個人情報を網羅的に把握する。
  2. 不要な個人情報を廃棄・消去する。
  3. 個人情報に対するアクセス管理を記録する。
  4. 個人情報に対するアクセスログを記録する。
  5. 個人情報保護法に対応した内部規制を整備する。
  6. 個人情報保護法に対応した管理責任者を任命し管理体制を構築する。

 色々列挙したが、効果的な対策を実際に実施するためには個人情報の質的重要性と量的重要性を勘定して対策を決定することが必要となる。まずはルールを作り、それを適切に運用していくことになるが、すべての情報に対して高いレベルの対策をする必要はない。対策のためのコストが、リスクによって発生すると想定される損失額を上回る場合は再検討をするべきだろう。

個人情報取扱事業者

 個人情報取扱事業者とは、法第2条第3項で「個人情報データベース等を事業の用に供している者をいう」と定義されている。「事業」という言葉が出てくるが、これはデータを何度も利用するという意味であって、別に営利目的かどうかは関係ない。つまり、非営利であっても個人情報取扱事業者に含まれるということである。

 しかしながら、「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令を定める者」は個人情報取扱事業者から除外される。ここでいう量(特定の個人の数)とは、具体的に5,000件と決められている。もっと厳密にいえば、6ヶ月間以上保有している個人データが5,000件を超えていれば、個人情報取扱事業者とされてしまうわけだ。会社や団体であった場合、それに属する個人が保有する個人データもカウントされる。

 ちなみに、電話帳をそのまま加工せずに使用する場合、電話帳に掲載されている個人データはカウントしない。しかしながら、電話した結果をデータとして残した場合、それはある種のデータベースとして成りうるので、個人データとしてカウントされてしまう。

 個人情報取扱事業者に該当すると、個人情報保護法の義務を課せられる。

個人情報保護法による義務

 個人情報事業者は保有個人データに関してどのような目的で利用するのかを本人に知らせる「利用目的の通知」、本人の求めに応じて行う「開示」「訂正」「利用停止」などを行わなければならない。

1:3つの取得義務

 個人情報を取得することは、書面による直接取得する場合とそれ以外の方法で取得する場合がある。取得の方法によって利用目的の伝達方法が異なってくるため、それぞれの場合に応じた対応が必要である。

間接取得・インターネット上で本人が自発的に公にしている個人情報の取得
・官報や職員録などからの個人情報の取得
・電話による問い合わせやクレームのように本人により自発的に提供される個人情報の取得
直接取得・窓口などでの口頭による個人情報の取得
・契約書や申込みに記入されている個人情報の取得

1-1:目的特定 <取得するための目的をきちんと説明しているかどうか>

 個人情報保護法では、利用目的の範囲を超えた個人情報の取扱いを禁じている。「誰が」「どんな事業のため」「どう利用する」の3つの視点として、できる限り利用目的を明確にすることが重要である。

よい例:「ご記入された氏名、住所、電話番号は、名簿として販売することがあります」

悪い例:「マーケティング活動に用いるため」

 悪い例は、何をいっているかあいまいでまったくわからないはずだ。それに比べてよい例は、具体的な利用目的が提示されており、個人情報を提供する側も安心できる。こうして利用目的を明確にして始めて、個人情報を集めることができる。

1-2:適正取得 <取得方法が適正かどうか>

 利用目的を偽って個人情報を取得してはいけない。申請書や契約書を使って情報を取得することは直接取得となり、そのときは本文中に利用目的(直前に解説した1-1)を記載して、本人に説明(このときは明示)する。

 また、子供から本人や家族の個人情報を聞き出すことは違法である。子供は判断能力が乏しいから、このように決まっている。これは日本だけの流れではなく、世界中でも子供から情報を聞き出すのを禁止していることが多い。

 明示とは本人に対して利用目的が明確に認識できるようにすることである。

例:

  • 申込み用紙への利用目的の明確な記載
  • インターネットで申込みを受け付ける場合、別画面に利用目的を表示

1-3:通知・公表の準備 <トラブルを回避するための準備>

 間接取得のときは、個人情報を取得した本人にその旨を通知または公表しなければならない。また、窓口などでの口頭による個人情報の取得の場合は直接取得に含まれるが、このときは通知しなければならない。

 通知とは本人に対して利用目的を直接知らせることである。

例:

  • 受付窓口で口頭で利用目的を伝える
  • 郵便や電子メールなどで利用目的を伝える

 公表とは利用目的を広く一般に知らせることである。

例:

  • 自社のWebサイトのわかりやすい場所に利用目的を掲載すること
  • 利用目的を記載した用紙の事務所への据え置き
  • 利用目的を記載したポスターの店舗への掲示
  • 利用目的のパンフレットへの記載

2:4つの利用義務

2-1:目的内利用 <目的の範囲を超えてはいけない>

 勝手に1-1で提示した目的以外の使い方をするのは原則として禁じられている。

 もし後で目的外の使い方を希望する場合は、本人にあらためて同意を得る必要がある。個人情報を目的外で利用することとして、次の2つの場合が考えられる。

  1. 利用目的と相当の関係性を有すると合理的に認められる範囲内ではないが、変更のために必要な手続きを行わずに個人情報を利用する。
  2. 取得時に特定された利用目的の達成に必要な範囲を越えて個人情報を利用する。

 ケース1については変更した利用目的を本人に対して通知または公表する必要がある。

 ケース2については個人情報取扱事業者はあらかじめ本人の同意を得なければならない。「同意を得る」とは、本人が承諾することの意思表示を個人情報取扱事業者が認識することをいう。例えば、同意する旨を本人から口頭または書面で確認すること、本人による同意する旨のWebページ上のボタンをクリックすること。なお、金融庁ガイドラインでは、同意の形式を「原則として書面によるもの」としている。

例:与信管理のために取得した個人信用情報を自社の従業員採用活動に利用したという事例があった。これは明らかにケース2の場合の目的外利用になる。

2-2:安全管理・監督 <個人データの漏洩を防ぐためにセキュリティを高める>

 個人データは4つの安全管理対策を施さなければならない。これは経済産業省ガイドラインで示されているものである。

  • 組織的安全管理措置
    • 個人データの安全管理措置を講じる組織体制の整備
    • 個人データの安全管理措置を定める規定等の整備と規定等にしたがった運用
    • 個人データの取扱い状況を一覧できる手段の整備
    • 個人データの安全管理措置の評価・見直し・改善
    • 事故または違反への対処
  • 人的安全管理措置
    • 雇用契約時および委託契約時における非開示契約の終結
    • 従業員に対する教育・訓練の実施
  • 物理的安全管理措置
    • 入退館(室)管理の実施
    • 盗難などの防止
    • 機器・装置などの物理的な保護
  • 技術的安全管理措置
    • 個人データのアクセスにおける識別と認証
    • 個人データへのアクセス制御
    • 個人データへのアクセス権限の管理
    • 個人データへのアクセスの記録
    • 個人データの移送・送信時の対策
    • 個人データを取り扱う情報システムの動作確認時の対策
    • 個人データを取り扱う情報システムの監視

 各安全管理措置を講じる際に望まれる事項を具体的に示している。それぞれの観点から多方面に安全管理措置を講じる必要があるので、すべてを一度に築き上げることは容易ではない。よって会社の環境を理解して優先度の高いものから対策を講じていくことが望ましい。

 また、個人データを委託先に提供する場合は、上記の4つの安全管理対策を満たしているかどうかチェックし、定期的に監督する責任がある。

2-3:正確性の確保 <個人データの更新>

 個人データは時間とともに風化してしまう情報がある。生年月日などは変化しませんが、氏名は結婚時に苗字が変わる可能性がある。また、職業などもそうだろう。よって、個人データの内容をなるべく正確にするために、定期的に最新のデータに更新するように努める義務がある。

2-4:第三者提供の制限 <勝手に情報を漏らしてはならない>

 個人データを第三者に提供する際には、取得時に本人の同意が必要である。あらかじめ本人の同意を得ずに個人データを第三者に提供することは原則的にできないのだ。

 しかしながら絶対にそうとは限らない。個人データを第三者へ提供してもよいケースとして法令に基づく場合などの次の4つが規定されている。これらは社会公共の利益や他の権利利益を保護する必要性が、第三者提供の同意を得ることによって守られる本人の利益を上回る場合として規定されているのだ。

  • 法令に基づく場合(例:届出、通知など)
  • 人の生命・身体・財産の保護に必要な場合(例:急病の場合など)
  • 公衆衛生・児童の健全育成に特に必要な場合(例:疫病調査など)
  • 国の機関や地方公共団体などに協力する場合(例:税務調査への協力など)

 第三者提供する際の特権として、オプトアウトという仕組みがある。
 オプトアウトとはは事業者の原則的な取扱いに対して、例外的に取り扱うことを本人が要求できる制度である。原則的な方法から外れること(アウト:out)を選択(オプト:opt)である。本人の求めに応じて個人データの第三者提供を停止する手続きが確保されている場合、本人の同意がなくても個人データの第三者提供が認められる。

 一方、オプトインとは事前に本人の許可が必要であることである。

 個人データを第三者に提供する場合には、原則としてあらかじめ本人の同意が必要であったが、個人情報取扱事業者が一定の条件を満たせばオプトアウトにより個人情報を提供することが認められている。
 具体的にいうと、次の事項についてあらかじめ本人に通知するか、または本人が容易に知り得る状態に置いているときは本人の同意を得なくても当該個人データを第三者に提供することができる。

  1. 第三者への提供を利用目的とすること
  2. 第三者に提供される個人データの項目
  3. 第三者への提供の手段または方法
  4. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

 ただし、2と3について変更をする場合は、変更する内容についてあらかじめ本人に通知し、または本人が容易に知り得る状態に置かなければならない。

 個人データの第三者提供において、オプトアウトが認められている理由は大量の個人データを広く一般に提供するような事業を想定しているからである。

例:

  • 住宅地図を作成して販売している場合
  • 公知の情報をデータベース化してDM用の名簿を作成している場合
  • DMの発送などの個人データの取扱いを外部委託した場合
  • 合併その他の事由によって、事業の継承がなされた場合
  • 特定の者との間での共同利用

 ただしこうした事業を行っている場合でも、本来であれば一人ひとりから本人の同意を得た上で提供されていることが本人の権利利益保護の観点からは理想的である。しかし現実問題として一人ひとりから同意を得るのは困難である。そこで、事前に個人データの第三者提供に関する情報を開示し、事後的には個人データの第三者への提供を停止して欲しいという本人の意思を反映できる機会を作るという、最低限の手続きを取ることを条件に、第三者提供の特権としてオプトアウトが認められているのである。
 この仕組みによって、社会的に有用的のある事業の発展と個人情報の本人の権利利益保護のバランスを取っているのである。

3:窓口設置 <開示・訂正の対応>

 保有する個人データの内容に関して、「開示」「訂正」「利用停止」(「消去依頼」)を本人から受け付けることができるように、窓口を設置する。この本人の求めに応じて行う3つの事柄を総称して「開示等の求め」と呼ばれる。

1:会社は顧客からの「開示等の求め」に対応できる仕組みを作っておかなければならない。もし「開示等の求め」があった場合は、まず申請書に記載してもらう。手続きに用いる用紙は、一般に「開示申請書」「変更等申請書」「利用停止等申請書」の3つがある。顧客サービスの観点から考えると、「開示等の求め」を行う本人が簡単に入手できるように、PDFデータをホームページに用意しておいたり、郵送やFAXでも配布したりといったことを考えなければならない。

2:申し出の受け付けと同時に本人確認の手続きを行う。それらが、開示のための要件を満たしているかをチェックし、本人への回答となる。事業者によっては、手数料の徴収、対象となる保有個人データを特定するための書類などの提出を本人に求めます。訂正や利用停止要求に対しては手数料は請求できない。手数料の金額は顧客の負担と実際のコストのバランスで決定する。あくまで経費の実費だけ請求できるのであって、それに人件費や利益を乗せることはできない。具体的には100〜1,000円程度、現金ではなく切手、振込みではなく郵送で対応している個人情報取扱事業者が多いようだ。この手数料の徴収には、嫌がらせ目的の「開示等の求め」の抑止効果もある。
 本人確認は重要である。ここが甘いと、なりすましによって情報漏洩のきっかけとなってしまう。こうした事態を防ぐためにも、本人確認や代理人確認をしっかり確立しておく。

来所(本人)運転免許証、健康保険証、写真付き住基カード、パスポート、年金手帳、外国人登録証明書、印鑑証明書と実印
来所(代理人)本人と代理人の運転免許証など(他は本人の来所と同じ)、弁護士の場合は登録番号、代理を示す旨の委任状
オンライン(本人)IDとパスワード
郵送・FAX(本人)運転免許証などのコピー、住民票の写しなど
電話(本人)一定の登録情報(生年月日など)、コールバック

 こうした「開示等の求め」の手続き方法は、個人情報取扱事業者側で決定することができる。具体的な方法がわかるように、ホームページで明確に示しておくのが望ましいだろう。

 しかし、「開示等の求め」の例外も経済産業分野ガイドラインで定められている。

  • 明示すると本人や第三者の生命・身体、財産などに被害を及ぼすおそれがある場合
  • 個人情報取扱事業者の権利や正当な利益を害するおそれがある場合
  • 国に機関や地方高調団体が法令の定める義務を行う際、協力する必要があり、利用目的を明らかにすることが事務の遂行に支障を及ぼすおそれがある場合
  • 取得状況から利用目的が明らかであると認められた場合

 特に、4番目の自明の場合が重要である。出前業者や宅配業者が商品配送のために送付書に記載してもらう場合は、基本的に利用目的の明示は不要である。しかし、商品配送だけに利用する場合であっても、利用目的を通知・公表しておくのが無難といえる。

3:利用停止・消去依頼に関しては、次の3つのいずれにも個人データを保有する側(個人情報取扱事業者)が違反していなければ、受け入れなくてもOKである(もちろん受け入れてもよい)。

  • 利用目的違反(本人の同意を得ずに、利用目的の範囲を超えて個人情報を利用した場合)
  • 取得違反(偽りや不正な手段によって個人情報を取得した場合)
  • 第三者提供違反(本人の同意を得ずに、個人情報を第三者に提供した場合)

 いずれも、きちんとした運用の仕方をしていればひっかからない条件ばかりである。つまり、悪い使い方をしていなければ利用停止・消去依頼を受け付けなくてもよいということになる。

 本人から開示請求があっても次に該当する者に対しては応じなくてもよい。

  1. 脅迫・悪意ある者
  2. 理由も何もないのに何度もクレームを申し込む者(クレーマー)
  3. クレームの際の氏名・住所が適当(愉快犯)
  4. 医者?

まとめ

個人情報(2条1項)

  • 15条(利用目的の特定)
  • 16条(利用目的による制限)
  • 17条(適正な取得)
  • 18条(取得に際しての利用目的の通知等)
  • 19条(データ内容の正確性の確保)

個人データ(2条4項)

  • 19条(データ内容の正確性の確保)
  • 20条(安全管理措置)
  • 21条(従業者の監督)
  • 22条(委託先の監督)
  • 23条(第三者提供の制限)

保有個人データ(2条5項)

  • 24条(保有個人データに関する事項の公表等)
  • 25条(開示)
  • 26条(訂正等)
  • 27条(利用停止等)

 ここで25〜27条に着目して欲しい。この3つは「開示等の求め」にあたる。よって、保有個人データの場合は「開示等の求め」に対応するために、窓口設置義務があるわけだ。逆にいえば、個人情報や個人データなら「開示等の求め」の義務はないわけである。

個人情報取扱事業者に対する罰則

 主務大臣は個人情報取扱事業者に対して、報告の徴収・助言・勧告・命令・緊急命令の権限を持っている。

主務大臣の措置違反時の罰則
報告徴収未報告・虚偽報告に対して、30万円以下の罰金
助言
勧告
特になし
命令
緊急命令
必要な対応をしなかった場合に対して、6ヶ月の懲役または30万円以下の罰金

 個人情報保護法には、6ヶ月以下の懲役刑を始め、30万円以下の罰金刑・10万円 以下の科料などが規定されている。

 社長やCPO(チーフプライバシーオフィサー)などの担当役員・マネージャーなどの行為者は6ヶ月以下の懲役または30万円以下の罰金に処せられ、法人そのものは30万円以下の罰金に処せられる。

 また個人情報保護法は事業者を規制するものなので、一般の従業員がこの法律で罰せられることは通常ない。しかしプライバシーの侵害といった他の法律で法的責任を追及される可能性はある。

 そしてグループ企業であっても、別組織である以上は個人データを本人の同意なしに使いまわすことができない。これは第三者提供にあたるからである。もしグループ企業と共同利用して個人データの漏洩が発生した場合、親会社が子会社の責任をとらざるをえない場合がある。

 ここで重要なことをいい忘れた。実は個人情報漏洩事件を起こしたら、例外なくすべての企業が罰則を受けるわけではないのだ。まず始めに担当省庁の大臣が勧告を出す。勧告を受け入れなければ次に命令を出す。この命令に従わなかった場合にようやく刑罰が執行されるのだ。

 また十分な安全管理対策を取っていて、その状態で情報が漏れても罰則を受けないのである。つまり組織的安全対策・人的安全管理・物理的セキュリティ・情報セキュリティの4つ(0x07の2-2)をある一定のレベル以上で運営していればよいことになる。

情報漏洩の発覚

 情報漏洩が発覚したら何をしなければならないのか、その手順の例を次に示す。万が一に備えて、漏洩時の対応マニュアルを整備し、日頃から準備しておくこと。

1:これ以上の情報漏洩を防ぐために、情報システムの外部・内部アクセスをすべてシャットアウトする。そのためには全システムの運用を緊急停止する。

2:加害者が社内のAさんというところまで判明していたら、逃げないように捕まえたいところですが、そうはいかない。現行犯でなければ我々一般人は逮捕できないのである。

 加害者が特定されていないとき、タイミングよく(悪く?)金銭の要求などの恐喝を受けた場合、そのやり取りを録音して、顧問弁護士と対策を練ること。「恐喝をしてきた人物=情報漏洩に関与した人物」の可能性が考えられるからだ。

3:個人情報保護責任者を中心に緊急会議を招集する。

4:監督官庁の主務大臣に電話やFAXで事件の報告を行う。

5:警察に被害届けを出し、加害者がわかっていれば身柄を拘束してもらい逮捕してもらうことにする。それと共に告訴・告発を行う。恐喝があった場合は警察に任せる。

6:専用の問合せ窓口を即座に開設して、被害者からの苦情・問合せに備える。窓口として、Webページに専用問い合わせ用の電話番号やメールアドレスを公開する。

7:広報部と連携して緊急記者会見・広報発表を行い、被害者に対して二次被害の恐れがあることを公表する。その後に電話・電報・速達を利用して、被害者一人一人に事件を通知して、二次被害の防止に全力を上げる。

8:情報漏洩個所を特定し、セキュリティ強化を行う。

9:漏洩した個人情報をできる限り回収するように努める。

10:全社員を招集し、事故発生状況を通知する。

11:その後の事故状況については随時被害者に報告する。

12:各部署で再発防止のためのディスカッションを行い、組織体制の見直し・意 識の引き締めを行う。

13:主務大臣の指導にしたがい、勧告や命令などの行政処分を受ける。

14:被害者から損害賠償請求または訴訟を起こされた場合には、真摯に対応していく。なお、見舞金の支払いや金券の支給は損害賠償金とまったく関係がないので注意して欲しい。

漏洩の原因分析

 企業による条件や環境によって変わってくるが、多くの漏洩事例から主な原因がわかる。それは次の7つである。ひとつでも該当する状況が存在すれば、いつ個人情報を漏洩してもおかしくない状況にあるといえる。

  • システム上の脆弱性の放置
  • 委託先を信用しすぎる傾向
  • 情報機器の利便性を歓待し、脆弱性を無視
  • データ管理ルールの未整備・不徹底による機密情報に関する意識欠如
  • ウイルス対策の不徹底
  • 性善説に立った業務データ管理
  • 事務所・車上荒しなどによるノートPCなどの盗難被害対策の不徹底

ガイドラインにしたがう

 監督官庁は管轄の企業を指導するために、個人情報保護のためのガイドラインを策定し、公表している。個人情報取扱事業者に該当した企業は、該当するガイドラインにしたがった対策を立てる必要がある。自社が事業免許を取得して事業を行っている場合、何らかの法律に影響を受けて事業を行っている場合には当該免許を管理している監督官庁はどこか調べておくべきである。
 また原則としてどの企業であっても、雇用に関する個人情報は厚生労働省ガイドラインが適用される。

 個人情報保護法では第15条〜第36条に個人情報取扱事業者に対する義務が定められているが、その中でも次の3つの条項が漏洩リスクと密接にかかわってくる。

  • 第20条:安全管理措置
  • 第21条:従業員の監督
  • 第22条:委託先の監督

 上記3つの条文自体には具体的な方法論についての記載はないが、各省庁所管の事務所などのために個人情報の適正な取扱いの具体的指針として制定されたガイドラインが参考になる。

義務を果たすためにとるべき方策

目的特定

  • 個人情報取扱事業者の義務
    • 理由目的ができる限り特定しなければならない(15条)。
    • 利用目的の達成に必要な範囲を超えて取り扱ってはならない(16条)。
    • 本人の同意を得ず第三者に提供してはならない(23条)。
  • とるべき方策の例
    • ホームページ、契約書、規約、申込書など各書面の条項を整備する。
    • あらかじめ第三者に提供することを予定しているのであれば、その旨をホームページ、契約書、規約、申込書など各書面に記載する。
    • 数社間で共同利用することが予定されているのであれば、その旨および共同利用者の範囲、データ管理者の名称などにつきホームページ、契約書、規約、申込書など各書面に記載する。

取扱い

  • 個人情報取扱事業者の義務
    • 偽りその他不正の手段により取得してはならない(17条)。
    • コンプライアンスプログラム(CP)を策定し、従業員に周知徹底する。
  • とるべき方策の例
    • 正確かつ最新の内容に保つよう努めなければならない(19条)
    • データの頻繁な更新、チェックを心がける。

管理

  • 個人情報取扱事業者の義務
    • 安全管理のために必要な措置を講じなければならない(20条)
    • 従業者・委託先に対する必要な監督を行わなければならない(21、21条)
  • とるべき方策の例
    • システムのセキュリティに留意する。
    • データベースを暗号化、パスワード化する。
    • 社内教育を徹底し、就業規則、関係社内規定などを整備する。
    • 秘密保持誓約書などを活用する。
    • 委託先への監督を十分なものにする。
    • 秘密保持契約などを活用する。委託契約を整える。
    • 委託先の基準を社内規定で作成する。
    • 委託先を調査し、調査履歴を保管し、後日の監査に備える。

通知

  • 個人情報取扱事業者の義務
    • 取得したときは利用目的を通知または公表しなければならない(18条)
  • とるべき方策の例
    • ホームページ上でプライバシーポリシーを公表する。
    • 社内システムを整備する。

利用目的

  • 個人情報取扱事業者の義務
    • 制約者その他の書面に記載された個人情報を取得する場合は、あらかじめ利用目的を明示しなければならない(18条2項)
  • とるべき方策の例
    • 契約書、申込書、ホームページなどに利用目的を明記する。

訂正・開示

  • 個人情報取扱事業者の義務
    • 利用目的などを本人の知り得る状態に置かなければならない(24条1項)
    • 本人の求めに応じて利用目的を通知しなければならない(24条2項)
    • 本人の求めに応じて保有個人データを開示しなければならない(25条)
    • 本人の求めに応じて訂正などを行わなければならない(26条)
    • 本人の求めに応じて利用停止などを行わなければならない(27条)
  • とるべき方策の例
    • 社内ルールを確立する。
    • 個々の利用目的をすぐに確認できるようにシステムを工夫する。

苦情

  • 個人情報取扱事業者の義務
    • 苦情の適切かつ迅速な処理に努めなければならない(36条)
  • とるべき方策の例
    • ヘルプデスク機能を活用する。

金融機関における個人情報保護

  • 金融機関は犯罪収益移転防止法により、疑わしい取引を当局に届けなければならない。この場合、顧客情報の守秘義務、個人情報保護法上の第三者提供の制限などは免除される。
    • 個人情報取扱事業者は個人情報を目的の範囲内で使用すべきという義務を負うが、法令に基づく場合は目的の範囲外でも問題ない旨が規定されている(個人情報保護法第16条第3項第1号)。
    • 個人情報データベースを構成する個人情報、即ち個人データを本人の同意なく第三者に提供できるかという点は、法令の基づく場合には個人データを第三者に提供できるとされている(個人情報保護法第23条第1項第1号)
  • 一般に金融機関では顧客との取引の適切な管理を目的として「顧客カード」や「顧客情報カード」という資料を作成していることが多い。こうした顧客カードの内容は、一般に各種申し込みの記入事項をベースとして、別途ヒアリングした内容、独自調査に基づく情報などによって作成されている。
    • こうした顧客カードは個人情報保護法の管理の対象となる。よって、顧客から顧客カード閲覧の申し出があった場合は、原則としてこれに応じなければならない。

個人情報保護法 vs. 金融機関の守秘義務

  • 個人情報保護法
    • 管理対象:個人情報データベースを構成する個人情報を保持している場合
    • 当該個人と金融機関の間で契約や合意などがまったく存在しなくても管理責任が発生する。
  • 金融機関の守秘義務
    • 契約関係にない個人との間では守秘義務は発生しない。
      • ただし、潜在的な見込み客は管理対象。
    • 守秘義務に反して情報を漏洩した場合、民事責任は発生するが、法律で罰せられることは想定しない。ただし、各業法による行政処分を受ける可能性はある。

各法律との関係

個人情報保護法

  • 個人情報取扱事業者が主務大臣からの命令に違反したときは6ヶ月以下の懲役または30万円以下の罰金に処せられる。

刑法

  • 窃盗などは紙媒体やCDのような有体物を対象としており、有体物ではない情報そのものについては対象としていない。つまり、情報そのものではなく、情報の記録された媒体の保護を通じて情報を保護するという仕組みになっている。よって、情報自体の不正漏洩行為に対する刑法的保護には限界がある。

不正防止法

  • 詐欺などの行為や窃盗、不正アクセス行為により取得した営業秘密を不正の競争の目的で、使用・開示した者に対しては、10年以下の懲役もしくは1,000万円以下の罰金が書せられる。

金融商品取扱法(インサイダー取扱規制)

  • 金融商品取扱法上のインサイダー規制は、非公開情報の入手そのものを禁止するものではなく、非公開重要情報を使って有価商品の売買を行い、証券市場の公正性を行うことを防止するものである。

個人信用情報機関への提供

  • 金融庁ガイドラインでは、個人データを個人信用情報機関に提供する場合、金融機関が本人の同意を得ることを求めている。
  • この場合の同意を得る書面には、通常の第三者提供の文言に加えて、「個人データが個人信用情報機関の会員企業として個人データを利用する者」を表示すべきとされている。-個人情報保護法上、オプトアウト措置を取ることにより、個人データの第三者停居具亜可能となっているが、金融庁ガイドラインは個人信用情報機関への個人データの提供はオプトアウト措置によって行いように規定している。
    • 「金融分野における個人情報取扱事業者は、与信事業に係る個人の返済能力に関する情報を個人信用情報機関へ提供するにあたっては、法第23条第2項を用いないこととし、本状第3項に従い本人の同意を得ることとする」(金融庁ガイドライン第13条第5項)

金融実務と顧客情報管理

預金取引

  • 預金口座申込書から得られる情報は一般的に体系的に管理されるため、個人データ(かつ顧客データ)に該当し、厳格な管理が必要となる。
  • 取得した情報を預金取引のみに利用する場合、利用目的を明示する必要はないが、家族などの情報提供を受ける場合は原則としてその利用目的の明示・同意の取得が必要である。
  • 預金取引以外に情報を利用する場合は利用目的の明示・同意の取引が必要である。

振込取引

  • 振込取引で振込依頼人や振込先の個人情報を取得するときは、個人情報取得時に義務付けられている利用目的の「公表」「通知」「明示」は不要である。
    • なぜならば、こうした場面での個人情報の取得は「取得の状況から見て利用目的が明らかであると認められる場合」に該当するからである(個人情報保護法第18条第4項第4号)。
  • 振込取引以外の利用をするのであれば、あらかじめ利用目的の明示などを行う必要がある。
  • 振込依頼人・振込受取人間でそれぞれの個人データが提供されることは当然同意があると考えられる。
  • ATMを利用した悪意の個人データ入手を防ぐ必要がある。
    • 振込依頼人が誤った口座番号を入力したために、受取人以外の個人データが表示される場合があり、この場合は同意のない個人データの第三者提供とみなされてしまう。また、悪意のある第三者が個人データ入手のためにこの方法を利用することがあるので、金融機関はシステムや防犯カメラなどによる対応により、こうした事態が発生すること自体を未然に防ぐ必要がある。
  • 預金口座がその口座の利用状況から見て、振り込め詐欺などに悪用されている可能映画あると見込まれた場合、または実際に利用されたことを発見した場合、役職員は直ちに自社のコンプライアンス部門または担当部門に報告し、その口座の利用状況を確認し、金融機関として口座の利用を停止するかを決定する必要がある。
    • また、犯罪収益移転防止法の規定に基づき、金融庁に対して直ちに「疑わしい取引の届出」を行う必要がある。
    • 必要に応じて警察などにも届出を行う必要がある。

融資取引

  • 借入申込書などから得られる個人情報は一般的に個人データに該当することになるため、厳格な管理が必要になる。
  • 与信業務においてもセンシティブ情報の入手は禁じられている。
  • 融資に際して個人情報を取得する場合は、利用目的について本人の同意を得る必要がある。
  • 法人融資に際して入手する法人情報は、個人情報保護法上の管理の対象外であるが、通常の顧客情報管理の対象となり、厳格な管理が必要となる。
  • 代表者や保証人の情報は体系的に整理するなど管理方法によっては個人データに該当するので、個人情報保護法に則った管理が必要である。
  • 信用情報機関への情報提供はすでに利用目的に明示されているはずだが、後々トラブルにならないためにも説明を必要とする。
  • 信用照会に対する回答は個人データの第三者提供となる。
    • 本人からの同意が必要であるが、基本約定書などに規定を設けて同意をもらう方法もある。

手形交換取引

  • 手形交換取引では、金融機関は支払金融機関(第三者)に対して個人データを提供していることになる。この第三者提供は本人の同意があると考えられるため、あらためて同意を得るなどの措置は必要ない。

債権譲渡

  • 債務者は借入申し込みにあたり債権譲渡に同意しているものと考えられるため、個人データの譲渡先などへの提供も同意があるとみなせる。
  • 融資取引ではローン申し込み受付などの際に同意を得ておくことが望ましい。

投資信託取引

  • 投資信託取引の開始時には顧客カードの作成が必要となり、所定の個人情報を取得することになる。入手した個人情報は個人情報保護法の保護・管理対象になるため、適切な取扱いが求められる。
  • 顧客カードにより取得した情報の目的外利用は制限される。

保険商品の窓口販売

  • 保険募集時に取得する被保険者の保険・健康に関する情報は、金融機関が取得などを禁止されている機微情報に該当するが、保険業に必要な範囲で本人の同意を得て取得することは認められている。
  • 成約に至らなかった見込客の個人情報は、継続して保有することに合理的な理由がない限り破棄することが望ましい。

貸金業者の貸金業務

  • 貸金業務での個人情報保護は他の金融サービス業者と同様である。
  • 信用情報機関から入手した情報で返済能力に関するものは、返済能力の調査以外の目的で利用しない措置(ルール・手続きの整備・教育など)が必要である。

M&A業務

  • 金融機関が企業間のM&Aに関するアドバイザリー業務を行うにあたり、売り手企業や買い手企業の個人顧客データや従業員などの個人データを入手し、それぞれに提供することが考えられる。
  • 入手した情報は極めて厳格に管理する必要がある。
  • 個人情報の入手・提供は、業務委託契約に基づくものと考えられる。

参考文献

  • 『超図解ビジネスmini 誰でもわかる最新個人情報保護法』
  • 『早わかり!図解&実例 よくわかる!「個人情報」と「個人認証」』
  • 『個人情報保護対策 見直し・強化 実践マニュアル』
  • 『図解よくわかる個人情報保護法』
  • 『【図解】よくわかるISMSとプライバシーマーク』
  • 『個人情報はこうして盗まれる』
  • 『SEという仕事 上司の考えること、部下の考えること』
  • 『2004/2005年版 情報セキュリティアドミニストレータコンパクトブック』
  • 『ISMS認証取得ハンドブック Ver.2.0対応』
  • 『平成16年度 情報セキュリティアドミニストレータ合格教本』
  • 『フレッシュマンの個人情報取り扱いQ&A』