リスク・マネジメント〜個人情報保護

はじめに

個人情報保護法が施行されるのに先立ち、プライバシー・個人情報保護の基本についてまとめた。今日、個人情報漏洩は企業価値を著しく低下させるものとなっている。信頼の失墜による不買、被害者への慰謝料など、金銭的なダメージも大きい。そのような事がないように、少なくとも内部的な悪意が起こらないよう啓蒙・対策を考ずる必要がある。なお、本テクストの作者は財団法人日本クレジット産業協会主催の「個人情報取扱主任者」資格保有者である。

プライバシーとその歴史

広辞苑によるとプライバシーとは「他人の干渉を許さない各個人の私生活上の自由」とある。

プライバシーがこれまで、どのように考えられ発展してきたかをまとめると次のようになる。

  1. 初めてプライバシーの権利が法的概念として論じられた「プライバシーの権利」『ハーバード・ロー・レビュー』(1890)によると「一人にしておいてもらう権利」
  2. 1905年のペイプジック対ニューイングランド生命保険会社事件判決では、「何人も正式な手続きによらないで自由を奪われない権利」
  3. 日本で初めて、プライバシー権が人格権の一部として認められた『宴のあと』事件では、「私生活をみだりに公開されないという法的保障ないし権利」
  4. ウェスティング『プライバシーと自由』(1967)のなかでは、「個人、グループ又は組織が、自己に関する情報をいつ、どのように、またどの程度他人に伝えるかを自ら決定できる権利」
  5. ミラー『プライバシーへの攻撃』のなかでは、「自己に関する情報の流れをコントロールする個人の能力(権利)」

5の「プライバシーとは自己に関する情報の流れをコントロールする個人の能力(権利)」というのがプライバシー権の定義として世界的に最も一般的となっている考え方である。

国際的な個人情報保護の流れ

近年、情報システムの普及と技術の進歩により、情報の大量且つ迅速な処理が可能になったことに伴い、国境を越えた全世界規模の情報ネットワークが急速に発展している。そんな中で、国際的な個人情報保護の検討が行われてきた。

OECD(経済協力開発機構)

OECDは1980年に「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」を採択した。

その中では、「国内適用における基本原則」(OECD8原則)が提示された。

  1. 収集制限の原則 : 個人データは、適法・公正な手段により、かつ情報主体に通知または同意を得て収集されるべきである。
  2. データ内容の原則 : 収集するデータは、利用目的に沿ったもので、かつ、正確・完全・最新であるべきである。
  3. 目的明確化の原則 : 収集目的を明確にし、データ利用は収集目的に合致するべきである。
  4. 利用制限の原則 : データ主体の同意がある場合や法律の規定による場合を除いて、収集したデータを目的以外に利用してはならない。
  5. 安全保護の原則 : 合理的安全保護措置により、紛失・破壊・使用・修正・開示等から保護すべきである。
  6. 公開の原則 : データ収集の実施方針等を公開し、データの存在、利用目的、管理者等を明示するべきである。
  7. 個人参加の原則 : データ主体に対して、自己に関するデータの所在及び内容を確認させ、または異議申立を保証するべきである。
  8. 責任の原則 : データの管理者は諸原則実施の責任を有する。

EU(欧州連合)

1990年、EC(欧州共同体)理事会は「個人情報保護に関する理事会指令提案」を採択し、構成国に対する調和・統一的目的を達成するためのものとなっている。その指令提案の中には、「第三国への個人情報の移転に関し、その国が十分なレベルの保護を確保している場合に限って行うことが出来る」旨、規定されている。

1995年、EUは新たに「個人データ処理にかかる個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」を採択し、「十分なレベルの保護を確保していない第三国へのデータの移転を阻止する措置を講じる」義務を構成国に課した。

ただし、国として個人データの十分なレベルの保護措置がなくても、企業として個人データの十分なレベルの保護措置があれば、この企業への個人データの移転が可能な「セーフハーバー原則」という例外も存在し、アメリカはこの制度を利用している。

個人情報保護法の制定

個人情報の包括的保護を目的とした法律は、スウェーデンのデータ法(1973)が最初であるといわれている。

アメリカにおける個人情報保護に関する法整備は、分野毎のセクトラル方式がとられており、1970年の「公正信用報告法」は、消費者に関する信用情報を収集、蓄積し、その情報を企業などに提供している消費者信用報告機関に対し、消費者信用、人事、保険その他情報の秘密保護、正確性、関連性について、合理的な措置を取ることを義務づけている。また、消費者自ら情報を閲覧することを認めるなど、民間部門におけるプライバシーを考える上で重要な意味を持っている。

また、1974年の「プライバシー法」は、行政機関等の公的機関における最も基本的なプライバシー保護法で、行政機関にプライバシー保護措置を義務付け、個人にアクセス権を認めている。

1990年以降、OECD原則、EU指令に基づき、多くの国が人情報保護法の制定を行っている。

第三者評価認証制度

アメリカでは、インターネット上の商取引における消費者のプライバシー保護の問題に着目した「プライバシーシール(マーク)プログラム」という第三者評価認証制度がある。例えば、BBB(The Better Business Bureau)やTRUSTe(トラストイー)など。

わが国における個人情報保護法

わが国における法制化としては次のように行われてきた。

2003年の「個人情報の保護に関する法律」は、他の4法律の基本的な事項を規定している。以下、「個人情報の保護に関する法律」について掘り下げる。

「個人情報の保護に関する法律」の目的

個人情報の保護に関する法律の目的は第1条において規定されている。

「高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取り扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務などを明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務などを定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」

個人情報取扱事業者とその義務

個人情報取扱事業者の定義としては、「個人情報データベース等を事業のように供している者」とされ、「個人情報の特定個人の合計が5000を超えないもの」については、適用除外とされている。

個人情報取扱事業者の義務として次のような事項が規定されている。

  1. 利用目的の特定
  2. 利用目的による制限、適正な取得
  3. 取得に際しての利用目的の通知
  4. 適正管理(正確性、安全管理措置、委託先の監督)
  5. 第三者提供の制限(本人同意の原則)
  6. 保有個人データに関する事項の公表
  7. 本人への開示・訂正・利用停止
  8. 開示等の求めに応じる手続き
  9. 主務大臣の勧告及び命令、罰則

個人情報の保護に関する基本方針

個人情報保護法の前面施行(2005年4月1日)に先立ち、政府は「個人情報の保護に関する基本方針」を策定した。これは、個人情報取扱事業者(民間企業)や政府、地方自治体に対して、個人情報保護のために取り組むべき事項や方向性を具体的に示したものである。

特に民間企業に対しては、

  1. 事業者が行う措置の対外的明確化(プライバシーポリシーの策定、二次被害防止策など)
  2. 責任体制の確保(不正アクセス防止対策、個人情報保護管理者の設置、内部関係者の情報持ち出し防止措置、外部委託契約時の責任体制の明確化)
  3. 従業員の啓発(教育研修など)

を重要項目として挙げている。

政府の取り組みについては、総務省が指針の策定を行い、国民に対して情報提供を行うこととしている。また、各省庁は事業分野の実情に応じたガイドラインなどの策定・見直しを早急に検討するほか、事業者団体などが主体的に作成するガイドラインに対して情報提供や助言を行うこととした。特に、医療、金融・信用、情報通信などの分野は「特に適切な取り扱いを確保すべき分野」とした。

個人情報保護のJIS規格

1999年に経済産業省は、民間企業の保有する個人情報の保護と適正管理のために、「個人情報保護に関するコンプライアンス・プログラムの要求事項JISQ15001」を制定した。

JISQ15001は、個人情報の収集、利用、提供のすべての分野について、コンプライアンス・プログラムの最小限の要求事項を規定している。具体的には、コンプライアンス・プログラムの策定において、個人情報保護の方針を作成し、それに基づき計画し、実施し、監査し、見直しを行うことにより継続的に改善を行い、個人情報の管理能力と高めていくことが求められている。

1998年に創設された「プライバシーマーク」はJIS規格制定後、JISQ15001に準拠することが求められている。プライバシーマークは、第三者機関であるJIPDEC((財)日本情報処理開発協会)が評価・認定を行っており、適切性をマークによって知らせるとともに、マーク取得事業者の不適切な行為に対しては、マーク付与取消しなどの措置も取られる。

結語

個人情報の保護に関する基本方針で「特に適切な取り扱いを確保すべき分野」とされている医療、金融・信用、情報通信などの分野においては、第三者機関による認証も含めた形で取り組む必要があるだろう。冒頭でも述べたように、金銭に置き換えてみても情報漏洩に対する対価は大きなものとなっている。たった一人の悪意の手によっても、大きな犠牲を伴う。リスク・マネジメントとして、十分に啓蒙・教育を行うことにより内部的な引き締めを行うとともに、万が一の際にも事前の対策検討・再発防止につとめなければならない。

参考文献

history of update
ver.1.01 2005.02.03 opened to the public and corrected the errors.

「知の経営」推薦図書


今日: 昨日:
since 2008.04.17