そもそも個人情報保護法とは何だろうか。2005年4月から施行された法律で、正式には「個人情報の保護に関する法律」と呼ぶ。国・地方公共団体はもちろんのこと、その他の個人情報を取り扱う事業者が守るべき個人情報に関する義務を定めている。この事業者とは小規模事業者を除く民間事業者全体を指す。ただ、場で実際に個人情報を扱うのは従業員である。法律では事業者を対象としているが、従業員一人ひとりが守らなくてはならない。つまり、会社勤めや自営業をしているなら、個人情報保護法は他人事で済まされる問題ではないということだ。
まず、この法律の目的は第1条に述べられている。
第1条:「この法律は、高度情報通信社会の進展に伴ない個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」
ちょっと長すぎていまいち一読しただけではいまいち内容がわからないかと思う。ポイントとなるのは、「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」という部分である。個人情報をビジネスに活用することが発展する一方で、やりすぎによるその個人情報に対応する個人の権利の侵害を防ぐことを目的としているわけだ。つまり、どこからどこまでにおいて、個人情報を活用してよいのかということを明確にしたわけだ。この法律が成立したのは2003年の5月であった。その背景にあるのはインターネットやコンピュータの普及による個人情報を利用したビジネスの利用拡大があります。また、個人情報が一旦流出してしまうと、それを完全に回収することは事実上不可能となってしまう。さらに、インターネットの世界に流れてしまうと、流出先の範囲が大規模になってしまい、しかも回収は不可能である。その深刻さは、WinMXやWinnyのネットワークで「個人情報」で検索してしまうと明らかである。例えば、集団レイプ事件を起こした早稲田大学スーパーフリーに所属するメンバー表、エステTBCの容姿ランクを含む個人情報、キンタマウイルス(Winnyで蔓延するウイルスの一種)に感染することによって流出した個人のデスクトップ画像やマイドキュメント内のデータなどである。こうしたものが、すぐに見つかるはずだ。
個人情報保護法が2005年に施行されたのには様々な要因がある。
第1に、PC、携帯電話、イン単−ネットなどの情報機器の誕生・普及により、新しい情報伝達手段が構築され、大量の情報が世界中からすぐに広まるようになったからである。これは個人情報保護法が「高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ」と謳っていることからもわかる。
第2に、この情報技術の発達により、個人情報の持ち出しが容易になったことです。例えば、CD-RやDVD-Rなどの存在である。また、最近のアタッカーの傾向として、USBメモリースティック、USB接続可能な小型HDDなどを使っている。実際にYahooBBの個人情報漏れの事件ではネットカフェにUSBでHDDを接続して、個人情報のDBをダウンロードしていた。その情報は膨大で、DVD-RやCD-Rに収まりきれないほどだったので、已むなくHDDに記録したと聞く。また、違う例を出すと、名簿屋で売買されている個人情報のほとんどが内部犯行によって持ち出されているという統計結果が出ている。
ひとことで個人情報といっても、組織によって様々な定義を提唱している。個人情報保護法では、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの」と2条1項で述べられている。
ここで重要な点は「生存」と「識別」というキーワードである。
「生存」ということは、生きている個人を指す。これは当然と思うかもしれないが、他の定義では死者の情報も個人情報に含めるとする場合もある。あくまで個人情報保護法では死者の情報は含めないということをしっかり覚えて欲しい。
次に、「識別」というキーワードであるが、これは特定の個人が特定できるということを指す。特定につながる情報として、氏名・住所・生年月日・電話番号などがある。これらは当然だとすぐにわかるが、他には顔写真・映像・音声なども含まれている。また、それだけでは特定の個人を識別できないような情報であっても、他の情報と組み合わせれば容易に照合できる情報であれば、それらも個人情報に含まるのだ。
例1:「tokyo_tarou@ruffnex.oc.to」というメールアドレスがあったとする。アットマークより前の「tokyo_tarou」という文字列を見ると、「東京太郎」さんということが一発でわかってしまう。ということはこういったメールアドレスは明らかに個人情報である。
それでは、「3141592@ruffnex.oc.to」というメールアドレスはどうだろうか。アットマークより前の「3141592」という文字列から個人を特定することはできませんが、他の情報としてユーザーIDが「3141592」の人物の氏名は「東京太郎」であると対応付けされ
たデータベースがあったとする。そうすると、「3141592@ruffnex.oc.to」=ユーザーID「3141592」=「東京太郎」と関連付けできてしまい、最終的に個人を特定できてしまう。つまり、こうした無作為な文字列を使ったメールアドレスであっても、場合によっては個人情報になってしまうのである。よって、一般にはメールアドレスも個人情報として取り扱うのが普通となってしまう。
例2:インターネットショッピングのWebサイトを運営している会社において、会員番号・性別・年齢・商品購入履歴の記載しかないリストからマーケティング資料を作成してサービス企画の立案をしている場合には注意が必要である。
このリストには氏名が記載されていないので、個人情報にならないように思えるかもしれない。しかし、会員番号と名前が記載されている別のリストと照合すれば個人が特定できる。通常同一社内であれば、容易に個人を照合することが可能である。よって、この場合は氏名が記載されていないリストも個人情報になる。
例1:氏名などが記入され個々には個人情報に該当するが、まったく整理されていないアンケート用紙の束
例2:業務日誌
前項で個人情報については理解できたと思う。個人情報保護法では、さらに個人情報の一形態として、個人データ・個人情報データベース等・保有個人データというものを定義している。
個人情報データベース等とは、次の,泙燭廊△里發里板蟲舛気譴襦
,魯灰鵐團紂璽燭離如璽燭箸靴童朕余霾鵑含まれ、それが体系的に構成されて検索できるようになっている状態である。一方、△魯灰鵐團紂璽燭鰺用していなくても、名刺が五十音図に並んでいたり、個人情報の紙情報の目次や索引が付いていて容易に検索できる状態である。
個人データとは、個人情報データベース等を構成する個人情報である。つまり、個人情報データベースはあくまで集合体のことで、この集合体に含まれる要素が個人データなのだ。例えば、名刺を五十音図に並べておけば、それは立派な個人情報データベースであり、中身の情報は単なる個人情報から個人データへ格上げされる。
ところで個人情報取扱事業者の定義をする際に、個人情報データベース等を構成する個人情報によって識別される特定の個人の数という言葉を使っている。個人データという言葉を使っていないことに注意して欲しい。
個人データのうち次の要件をすべて充足するものの数を除いたものが「特定の個人の数」となる。
典型的な例として、電子帳やカーナビに記録されている氏名・電話番号などは、特定の個人の数に入らない。なぜなら、これらは利用方法からみて個人の権利利益を侵害する恐れが少ないことから、個人情報取扱事業者の義務を課さないものと解釈されている。
保有個人データとは、個人情報取扱事業者が次の行為を行う権限すべてを有する個人データである。
さらに、その存在の有無が明らかになることにより公共の利益を侵害するものとして政令で定める個人データ、または6ヶ月以内に消去される個人データは保有個人データから除外される。
[補講]金融機関においては、警察などから受けた捜査関係事項照会の対象情報、振り込めさぎに利用された口座に関する情報、犯罪収益との関係が疑われる取引の届出の対象情報は保有個人データには含まれない。 ◇
[補講]更新は消去に含まれない(金融庁ガイドライン第2条第6項)。 ◇
これらの権限のひとつでも有さない場合には、保有個人データにはならない。
保有個人データの取扱いは個人情報保護法第4条で規定されている。
例1:企業が入力作業の委託を受けて委託先から預かる個人データは、勝手に内容の訂正や追加などはできないので、保有個人データには該当しない。
例2:6ヶ月以内に処分する個人データなら、開示請求が来ても開示などするを法的に必 要はないということである。ただし、法的に必要ないからといってすべて拒否すれば、顧客からの信用は下がってしまうだろう。
個人情報・個人情報データベース等・個人データ・保有個人データという4つの概念について紹介した。これらのものの関係は集合論の集合と要素の関係で表すこともできる。
まず電子データや紙媒体の文書などありとあらゆる情報によって、世界は覆われている。これを表現すると次のようになる。
電子データ1,電子データ2,…∈(情報の集合) 紙媒体の文書1,紙媒体の文書2,…∈(情報の集合)
ここで氏名というデータがあったとする。これは上と同様に次のように情報の集合の要素のひとつである。
Aさんの氏名,Bさんの氏名∈(情報の集合)
この「Aさんの氏名」は個人を特定でき、さらに生存している人の情報であったすると、個人情報のひとつといえる。なお見づらいので、ここから「1」「2」の表記を省略します。
氏名∈(個人情報の集合体)
個人情報には氏名の他にも様々なものがある。例えば、生年月日・電話番号・住所などがそうである。よって、個人情報の集合体はこうした個人情報がすべて集まったモノと同一になる。
(個人情報の集合体)={氏名,生年月日,電話番号,・・・}
ところで、個人情報の集合体を個人情報データベース等と呼ぶことは説明しました。よって、書き直すと次のようになる。
(個人情報データベース等)={氏名,生年月日,電話番号,・・・}
氏名・生年月日などといった具体的なものでなく、一般化させるために個人情報1、個人情報2といった言葉を使えば次のように書き換えられる。よくわからなければ、「個人情報1=氏名」、「個人情報2=メールアドレス」などと考えてもらって結構だ。
(個人情報データベース)={個人情報1,個人情報2,・・・}
これこそが個人情報データベースと個人情報の関係式である。
次に個人データという言葉ですが、「個人情報データベースの要素」という定義であった。つまり個人情報と同一になる。
個人情報1=個人データ1 個人情報2=個人データ2
混乱してないでしょうか? 様々な個人情報保護法の本を見ると個人情報と個人データが混在しているのはこのためだ。本当に紛らわしいものである。厳密には個人情報データベース等になりうる個人情報だけが、個人データとイコールになると理解してください。
「データ」というとデータベースの構築しやすいイメージ、一方「情報」というと紙媒体もあるので、データベースの構築がしにくいイメージがあるでしょう。名刺などの紙媒体ならインデックス化はできますが、大小異なる大きさの用紙に書かれた情報はインデックス化しにくいだろう。よって、個人情報を扱う側にとっては個人データの方がやりやすいわけだ。
それでは先に進もう。最後の保有個人データだが、これは「個人情報取扱事業者が開示、内容の訂正・追加・削除、利用停止、消去、第三者への提供の停止」などといった権限のすべてを有する個人データである。さらに、6ヶ月以上保有する個人データでなければならない。
よって、「個人データ1=保有個人データ1」ということもありえれば、「個人データ2≠保有個人データ2」ということもありえる。よって、個人データの集合(=個人情報データベース等)のほうが、保有個人データの集合より大きいということがわかる。
(保有個人データの集合)⊂(個人情報データの集合)
最後に、簡単にまとめておこう。
個人情報→個人データ→個人保有データ
矢印の方向にしたがい、機密度が高くなっていく。つまり、取扱いを注意すべき内容となっているわけだ。セキュリティ資格の問題文で戸惑ってしまわないように、この3者をきちんと分けて考えることができるようにしておくべきだ。
個人情報とプライバシー情報はまったく別の概念である。
プライバシー情報とは、次の条件をすべてみたすものを指す。
個人情報の定義とまったく異なることが明らかである。個人情報は「生存」と「識別」がポイントであって、私生活上の情報(服装や髪型など)かどうかは関係ない。そして、事実かどうかも関係ない。
例:
プライバシーの問題については個人情報保護法の対象ではなく、そのようなプライバシーが侵害された場合にはこれまで通り民法上の「不法行為」や刑法上の「名誉毀損罪」などによって救済措置が取られることになる。
一般にビジネスにおいて個人データを使う場合は、個人情報とプライバシー情報の両面の性格を持つことが多いので、個人情報保護法の義務だけでなく、民事法上の問題ともあわせて考える必要がある。
個人情報の漏洩リスクは、漏洩した個人情報の質と量によってもその影響度が異なる。
個人情報の質的重要性の高いものを上から列挙する。
これらの個人情報は一度流出することで、本人またはその周囲の人に永続的な不利益を与える可能性がある点で漏洩防止に注意すべき性質の情報である。
生体認証情報は一度漏洩するとその情報を取り消すことができない。生体認証情報は本人の指紋・虹彩・手や指の静脈・DNAといった個人的な特徴をとらえて記録した個人情報であるため、パスワードのように内容を書き換えることができない。そのため生体認証情報は質的に非常に重要なものととらえる必要がある。
本人しか知りえない情報のこと。こうした情報が漏洩した場合には、その本人に対して大きな精神的苦痛を与えることになる。特に病歴・家系・家柄・本籍地に関する情報などがそうである。もちろん機微な情報の取扱いには注意が必要である。
クレジットカードの情報は、クレジットカードの不正利用により二次的損害をもたらす可能性がある。また、電話番号や家族の情報が漏洩した場合も、振り込め詐欺や架空請求などによる被害を引き起こす可能性がある。
一般的には個人情報を大量に保管している顧客データベースと一部の個人情報が記載されている表計算ソフトウェアのファイルでは、顧客データベースのほうが大きなリスクがある。多量の個人情報を扱っている部分のリスクをまず認識する必要がある。
個人情報のリスクに対する対策は次のように行う。
色々列挙したが、効果的な対策を実際に実施するためには個人情報の質的重要性と量的重要性を勘定して対策を決定することが必要となる。まずはルールを作り、それを適切に運用していくことになるが、すべての情報に対して高いレベルの対策をする必要はない。対策のためのコストが、リスクによって発生すると想定される損失額を上回る場合は再検討をするべきだろう。
個人情報取扱事業者とは、法第2条第3項で「個人情報データベース等を事業の用に供している者をいう」と定義されている。「事業」という言葉が出てくるが、これはデータを何度も利用するという意味であって、別に営利目的かどうかは関係ない。つまり、非営利であっても個人情報取扱事業者に含まれるということである。
しかしながら、「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令を定める者」は個人情報取扱事業者から除外される。ここでいう量(特定の個人の数)とは、具体的に5,000件と決められている。もっと厳密にいえば、6ヶ月間以上保有している個人データが5,000件を超えていれば、個人情報取扱事業者とされてしまうわけだ。会社や団体であった場合、それに属する個人が保有する個人データもカウントされる。
ちなみに、電話帳をそのまま加工せずに使用する場合、電話帳に掲載されている個人データはカウントしない。しかしながら、電話した結果をデータとして残した場合、それはある種のデータベースとして成りうるので、個人データとしてカウントされてしまう。
個人情報取扱事業者に該当すると、個人情報保護法の義務を課せられる。
個人情報事業者は保有個人データに関してどのような目的で利用するのかを本人に知らせる「利用目的の通知」、本人の求めに応じて行う「開示」「訂正」「利用停止」などを行わなければならない。
個人情報を取得することは、書面による直接取得する場合とそれ以外の方法で取得する場合がある。取得の方法によって利用目的の伝達方法が異なってくるため、それぞれの場合に応じた対応が必要である。
間接取得 | ・インターネット上で本人が自発的に公にしている個人情報の取得 ・官報や職員録などからの個人情報の取得 ・電話による問い合わせやクレームのように本人により自発的に提供される個人情報の取得 |
直接取得 | ・窓口などでの口頭による個人情報の取得 ・契約書や申込みに記入されている個人情報の取得 |
個人情報保護法では、利用目的の範囲を超えた個人情報の取扱いを禁じている。「誰が」「どんな事業のため」「どう利用する」の3つの視点として、できる限り利用目的を明確にすることが重要である。
よい例:「ご記入された氏名、住所、電話番号は、名簿として販売することがあります」
悪い例:「マーケティング活動に用いるため」
悪い例は、何をいっているかあいまいでまったくわからないはずだ。それに比べてよい例は、具体的な利用目的が提示されており、個人情報を提供する側も安心できる。こうして利用目的を明確にして始めて、個人情報を集めることができる。
利用目的を偽って個人情報を取得してはいけない。申請書や契約書を使って情報を取得することは直接取得となり、そのときは本文中に利用目的(直前に解説した1-1)を記載して、本人に説明(このときは明示)する。
また、子供から本人や家族の個人情報を聞き出すことは違法である。子供は判断能力が乏しいから、このように決まっている。これは日本だけの流れではなく、世界中でも子供から情報を聞き出すのを禁止していることが多い。
明示とは本人に対して利用目的が明確に認識できるようにすることである。
例:
間接取得のときは、個人情報を取得した本人にその旨を通知または公表しなければならない。また、窓口などでの口頭による個人情報の取得の場合は直接取得に含まれるが、このときは通知しなければならない。
通知とは本人に対して利用目的を直接知らせることである。
例:
公表とは利用目的を広く一般に知らせることである。
例:
勝手に1-1で提示した目的以外の使い方をするのは原則として禁じられている。
もし後で目的外の使い方を希望する場合は、本人にあらためて同意を得る必要がある。個人情報を目的外で利用することとして、次の2つの場合が考えられる。
ケース1については変更した利用目的を本人に対して通知または公表する必要がある。
ケース2については個人情報取扱事業者はあらかじめ本人の同意を得なければならない。「同意を得る」とは、本人が承諾することの意思表示を個人情報取扱事業者が認識することをいう。例えば、同意する旨を本人から口頭または書面で確認すること、本人による同意する旨のWebページ上のボタンをクリックすること。なお、金融庁ガイドラインでは、同意の形式を「原則として書面によるもの」としている。
例:与信管理のために取得した個人信用情報を自社の従業員採用活動に利用したという事例があった。これは明らかにケース2の場合の目的外利用になる。
個人データは4つの安全管理対策を施さなければならない。これは経済産業省ガイドラインで示されているものである。
各安全管理措置を講じる際に望まれる事項を具体的に示している。それぞれの観点から多方面に安全管理措置を講じる必要があるので、すべてを一度に築き上げることは容易ではない。よって会社の環境を理解して優先度の高いものから対策を講じていくことが望ましい。
また、個人データを委託先に提供する場合は、上記の4つの安全管理対策を満たしているかどうかチェックし、定期的に監督する責任がある。
個人データは時間とともに風化してしまう情報がある。生年月日などは変化しませんが、氏名は結婚時に苗字が変わる可能性がある。また、職業などもそうだろう。よって、個人データの内容をなるべく正確にするために、定期的に最新のデータに更新するように努める義務がある。
個人データを第三者に提供する際には、取得時に本人の同意が必要である。あらかじめ本人の同意を得ずに個人データを第三者に提供することは原則的にできないのだ。
しかしながら絶対にそうとは限らない。個人データを第三者へ提供してもよいケースとして法令に基づく場合などの次の4つが規定されている。これらは社会公共の利益や他の権利利益を保護する必要性が、第三者提供の同意を得ることによって守られる本人の利益を上回る場合として規定されているのだ。
第三者提供する際の特権として、オプトアウトという仕組みがある。
オプトアウトとはは事業者の原則的な取扱いに対して、例外的に取り扱うことを本人が要求できる制度である。原則的な方法から外れること(アウト:out)を選択(オプト:opt)である。本人の求めに応じて個人データの第三者提供を停止する手続きが確保されている場合、本人の同意がなくても個人データの第三者提供が認められる。
一方、オプトインとは事前に本人の許可が必要であることである。
個人データを第三者に提供する場合には、原則としてあらかじめ本人の同意が必要であったが、個人情報取扱事業者が一定の条件を満たせばオプトアウトにより個人情報を提供することが認められている。
具体的にいうと、次の事項についてあらかじめ本人に通知するか、または本人が容易に知り得る状態に置いているときは本人の同意を得なくても当該個人データを第三者に提供することができる。
ただし、2と3について変更をする場合は、変更する内容についてあらかじめ本人に通知し、または本人が容易に知り得る状態に置かなければならない。
個人データの第三者提供において、オプトアウトが認められている理由は大量の個人データを広く一般に提供するような事業を想定しているからである。
例:
ただしこうした事業を行っている場合でも、本来であれば一人ひとりから本人の同意を得た上で提供されていることが本人の権利利益保護の観点からは理想的である。しかし現実問題として一人ひとりから同意を得るのは困難である。そこで、事前に個人データの第三者提供に関する情報を開示し、事後的には個人データの第三者への提供を停止して欲しいという本人の意思を反映できる機会を作るという、最低限の手続きを取ることを条件に、第三者提供の特権としてオプトアウトが認められているのである。
この仕組みによって、社会的に有用的のある事業の発展と個人情報の本人の権利利益保護のバランスを取っているのである。
保有する個人データの内容に関して、「開示」「訂正」「利用停止」(「消去依頼」)を本人から受け付けることができるように、窓口を設置する。この本人の求めに応じて行う3つの事柄を総称して「開示等の求め」と呼ばれる。
1:会社は顧客からの「開示等の求め」に対応できる仕組みを作っておかなければならない。もし「開示等の求め」があった場合は、まず申請書に記載してもらう。手続きに用いる用紙は、一般に「開示申請書」「変更等申請書」「利用停止等申請書」の3つがある。顧客サービスの観点から考えると、「開示等の求め」を行う本人が簡単に入手できるように、PDFデータをホームページに用意しておいたり、郵送やFAXでも配布したりといったことを考えなければならない。
2:申し出の受け付けと同時に本人確認の手続きを行う。それらが、開示のための要件を満たしているかをチェックし、本人への回答となる。事業者によっては、手数料の徴収、対象となる保有個人データを特定するための書類などの提出を本人に求めます。訂正や利用停止要求に対しては手数料は請求できない。手数料の金額は顧客の負担と実際のコストのバランスで決定する。あくまで経費の実費だけ請求できるのであって、それに人件費や利益を乗せることはできない。具体的には100〜1,000円程度、現金ではなく切手、振込みではなく郵送で対応している個人情報取扱事業者が多いようだ。この手数料の徴収には、嫌がらせ目的の「開示等の求め」の抑止効果もある。
本人確認は重要である。ここが甘いと、なりすましによって情報漏洩のきっかけとなってしまう。こうした事態を防ぐためにも、本人確認や代理人確認をしっかり確立しておく。
来所(本人) | 運転免許証、健康保険証、写真付き住基カード、パスポート、年金手帳、外国人登録証明書、印鑑証明書と実印 |
来所(代理人) | 本人と代理人の運転免許証など(他は本人の来所と同じ)、弁護士の場合は登録番号、代理を示す旨の委任状 |
オンライン(本人) | IDとパスワード |
郵送・FAX(本人) | 運転免許証などのコピー、住民票の写しなど |
電話(本人) | 一定の登録情報(生年月日など)、コールバック |
こうした「開示等の求め」の手続き方法は、個人情報取扱事業者側で決定することができる。具体的な方法がわかるように、ホームページで明確に示しておくのが望ましいだろう。
しかし、「開示等の求め」の例外も経済産業分野ガイドラインで定められている。
特に、4番目の自明の場合が重要である。出前業者や宅配業者が商品配送のために送付書に記載してもらう場合は、基本的に利用目的の明示は不要である。しかし、商品配送だけに利用する場合であっても、利用目的を通知・公表しておくのが無難といえる。
3:利用停止・消去依頼に関しては、次の3つのいずれにも個人データを保有する側(個人情報取扱事業者)が違反していなければ、受け入れなくてもOKである(もちろん受け入れてもよい)。
いずれも、きちんとした運用の仕方をしていればひっかからない条件ばかりである。つまり、悪い使い方をしていなければ利用停止・消去依頼を受け付けなくてもよいということになる。
本人から開示請求があっても次に該当する者に対しては応じなくてもよい。
ここで25〜27条に着目して欲しい。この3つは「開示等の求め」にあたる。よって、保有個人データの場合は「開示等の求め」に対応するために、窓口設置義務があるわけだ。逆にいえば、個人情報や個人データなら「開示等の求め」の義務はないわけである。
主務大臣は個人情報取扱事業者に対して、報告の徴収・助言・勧告・命令・緊急命令の権限を持っている。
主務大臣の措置 | 違反時の罰則 |
報告徴収 | 未報告・虚偽報告に対して、30万円以下の罰金 |
助言 勧告 | 特になし |
命令 緊急命令 | 必要な対応をしなかった場合に対して、6ヶ月の懲役または30万円以下の罰金 |
個人情報保護法には、6ヶ月以下の懲役刑を始め、30万円以下の罰金刑・10万円 以下の科料などが規定されている。
社長やCPO(チーフプライバシーオフィサー)などの担当役員・マネージャーなどの行為者は6ヶ月以下の懲役または30万円以下の罰金に処せられ、法人そのものは30万円以下の罰金に処せられる。
また個人情報保護法は事業者を規制するものなので、一般の従業員がこの法律で罰せられることは通常ない。しかしプライバシーの侵害といった他の法律で法的責任を追及される可能性はある。
そしてグループ企業であっても、別組織である以上は個人データを本人の同意なしに使いまわすことができない。これは第三者提供にあたるからである。もしグループ企業と共同利用して個人データの漏洩が発生した場合、親会社が子会社の責任をとらざるをえない場合がある。
ここで重要なことをいい忘れた。実は個人情報漏洩事件を起こしたら、例外なくすべての企業が罰則を受けるわけではないのだ。まず始めに担当省庁の大臣が勧告を出す。勧告を受け入れなければ次に命令を出す。この命令に従わなかった場合にようやく刑罰が執行されるのだ。
また十分な安全管理対策を取っていて、その状態で情報が漏れても罰則を受けないのである。つまり組織的安全対策・人的安全管理・物理的セキュリティ・情報セキュリティの4つ(0x07の2-2)をある一定のレベル以上で運営していればよいことになる。
情報漏洩が発覚したら何をしなければならないのか、その手順の例を次に示す。万が一に備えて、漏洩時の対応マニュアルを整備し、日頃から準備しておくこと。
1:これ以上の情報漏洩を防ぐために、情報システムの外部・内部アクセスをすべてシャットアウトする。そのためには全システムの運用を緊急停止する。
2:加害者が社内のAさんというところまで判明していたら、逃げないように捕まえたいところですが、そうはいかない。現行犯でなければ我々一般人は逮捕できないのである。
加害者が特定されていないとき、タイミングよく(悪く?)金銭の要求などの恐喝を受けた場合、そのやり取りを録音して、顧問弁護士と対策を練ること。「恐喝をしてきた人物=情報漏洩に関与した人物」の可能性が考えられるからだ。
3:個人情報保護責任者を中心に緊急会議を招集する。
4:監督官庁の主務大臣に電話やFAXで事件の報告を行う。
5:警察に被害届けを出し、加害者がわかっていれば身柄を拘束してもらい逮捕してもらうことにする。それと共に告訴・告発を行う。恐喝があった場合は警察に任せる。
6:専用の問合せ窓口を即座に開設して、被害者からの苦情・問合せに備える。窓口として、Webページに専用問い合わせ用の電話番号やメールアドレスを公開する。
7:広報部と連携して緊急記者会見・広報発表を行い、被害者に対して二次被害の恐れがあることを公表する。その後に電話・電報・速達を利用して、被害者一人一人に事件を通知して、二次被害の防止に全力を上げる。
8:情報漏洩個所を特定し、セキュリティ強化を行う。
9:漏洩した個人情報をできる限り回収するように努める。
10:全社員を招集し、事故発生状況を通知する。
11:その後の事故状況については随時被害者に報告する。
12:各部署で再発防止のためのディスカッションを行い、組織体制の見直し・意 識の引き締めを行う。
13:主務大臣の指導にしたがい、勧告や命令などの行政処分を受ける。
14:被害者から損害賠償請求または訴訟を起こされた場合には、真摯に対応していく。なお、見舞金の支払いや金券の支給は損害賠償金とまったく関係がないので注意して欲しい。
企業による条件や環境によって変わってくるが、多くの漏洩事例から主な原因がわかる。それは次の7つである。ひとつでも該当する状況が存在すれば、いつ個人情報を漏洩してもおかしくない状況にあるといえる。
監督官庁は管轄の企業を指導するために、個人情報保護のためのガイドラインを策定し、公表している。個人情報取扱事業者に該当した企業は、該当するガイドラインにしたがった対策を立てる必要がある。自社が事業免許を取得して事業を行っている場合、何らかの法律に影響を受けて事業を行っている場合には当該免許を管理している監督官庁はどこか調べておくべきである。
また原則としてどの企業であっても、雇用に関する個人情報は厚生労働省ガイドラインが適用される。
個人情報保護法では第15条〜第36条に個人情報取扱事業者に対する義務が定められているが、その中でも次の3つの条項が漏洩リスクと密接にかかわってくる。
上記3つの条文自体には具体的な方法論についての記載はないが、各省庁所管の事務所などのために個人情報の適正な取扱いの具体的指針として制定されたガイドラインが参考になる。