個人情報保護法が施行されるのに先立ち、プライバシー・個人情報保護の基本についてまとめた。今日、個人情報漏洩は企業価値を著しく低下させるものとなっている。信頼の失墜による不買、被害者への慰謝料など、金銭的なダメージも大きい。そのような事がないように、少なくとも内部的な悪意が起こらないよう啓蒙・対策を考ずる必要がある。なお、本テクストの作者は財団法人日本クレジット産業協会主催の「個人情報取扱主任者」資格保有者である。
広辞苑によるとプライバシーとは「他人の干渉を許さない各個人の私生活上の自由」とある。
プライバシーがこれまで、どのように考えられ発展してきたかをまとめると次のようになる。
5の「プライバシーとは自己に関する情報の流れをコントロールする個人の能力(権利)」というのがプライバシー権の定義として世界的に最も一般的となっている考え方である。
近年、情報システムの普及と技術の進歩により、情報の大量且つ迅速な処理が可能になったことに伴い、国境を越えた全世界規模の情報ネットワークが急速に発展している。そんな中で、国際的な個人情報保護の検討が行われてきた。
OECDは1980年に「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」を採択した。
その中では、「国内適用における基本原則」(OECD8原則)が提示された。
1990年、EC(欧州共同体)理事会は「個人情報保護に関する理事会指令提案」を採択し、構成国に対する調和・統一的目的を達成するためのものとなっている。その指令提案の中には、「第三国への個人情報の移転に関し、その国が十分なレベルの保護を確保している場合に限って行うことが出来る」旨、規定されている。
1995年、EUは新たに「個人データ処理にかかる個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」を採択し、「十分なレベルの保護を確保していない第三国へのデータの移転を阻止する措置を講じる」義務を構成国に課した。
ただし、国として個人データの十分なレベルの保護措置がなくても、企業として個人データの十分なレベルの保護措置があれば、この企業への個人データの移転が可能な「セーフハーバー原則」という例外も存在し、アメリカはこの制度を利用している。
個人情報の包括的保護を目的とした法律は、スウェーデンのデータ法(1973)が最初であるといわれている。
アメリカにおける個人情報保護に関する法整備は、分野毎のセクトラル方式がとられており、1970年の「公正信用報告法」は、消費者に関する信用情報を収集、蓄積し、その情報を企業などに提供している消費者信用報告機関に対し、消費者信用、人事、保険その他情報の秘密保護、正確性、関連性について、合理的な措置を取ることを義務づけている。また、消費者自ら情報を閲覧することを認めるなど、民間部門におけるプライバシーを考える上で重要な意味を持っている。
また、1974年の「プライバシー法」は、行政機関等の公的機関における最も基本的なプライバシー保護法で、行政機関にプライバシー保護措置を義務付け、個人にアクセス権を認めている。
1990年以降、OECD原則、EU指令に基づき、多くの国が人情報保護法の制定を行っている。
アメリカでは、インターネット上の商取引における消費者のプライバシー保護の問題に着目した「プライバシーシール(マーク)プログラム」という第三者評価認証制度がある。例えば、BBB(The Better Business Bureau)やTRUSTe(トラストイー)など。
わが国における法制化としては次のように行われてきた。
2003年の「個人情報の保護に関する法律」は、他の4法律の基本的な事項を規定している。以下、「個人情報の保護に関する法律」について掘り下げる。
個人情報の保護に関する法律の目的は第1条において規定されている。
「高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取り扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務などを明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務などを定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」
個人情報取扱事業者の定義としては、「個人情報データベース等を事業のように供している者」とされ、「個人情報の特定個人の合計が5000を超えないもの」については、適用除外とされている。
個人情報取扱事業者の義務として次のような事項が規定されている。
個人情報保護法の前面施行(2005年4月1日)に先立ち、政府は「個人情報の保護に関する基本方針」を策定した。これは、個人情報取扱事業者(民間企業)や政府、地方自治体に対して、個人情報保護のために取り組むべき事項や方向性を具体的に示したものである。
特に民間企業に対しては、
を重要項目として挙げている。
政府の取り組みについては、総務省が指針の策定を行い、国民に対して情報提供を行うこととしている。また、各省庁は事業分野の実情に応じたガイドラインなどの策定・見直しを早急に検討するほか、事業者団体などが主体的に作成するガイドラインに対して情報提供や助言を行うこととした。特に、医療、金融・信用、情報通信などの分野は「特に適切な取り扱いを確保すべき分野」とした。
1999年に経済産業省は、民間企業の保有する個人情報の保護と適正管理のために、「個人情報保護に関するコンプライアンス・プログラムの要求事項JISQ15001」を制定した。
JISQ15001は、個人情報の収集、利用、提供のすべての分野について、コンプライアンス・プログラムの最小限の要求事項を規定している。具体的には、コンプライアンス・プログラムの策定において、個人情報保護の方針を作成し、それに基づき計画し、実施し、監査し、見直しを行うことにより継続的に改善を行い、個人情報の管理能力と高めていくことが求められている。
1998年に創設された「プライバシーマーク」はJIS規格制定後、JISQ15001に準拠することが求められている。プライバシーマークは、第三者機関であるJIPDEC((財)日本情報処理開発協会)が評価・認定を行っており、適切性をマークによって知らせるとともに、マーク取得事業者の不適切な行為に対しては、マーク付与取消しなどの措置も取られる。
個人情報の保護に関する基本方針で「特に適切な取り扱いを確保すべき分野」とされている医療、金融・信用、情報通信などの分野においては、第三者機関による認証も含めた形で取り組む必要があるだろう。冒頭でも述べたように、金銭に置き換えてみても情報漏洩に対する対価は大きなものとなっている。たった一人の悪意の手によっても、大きな犠牲を伴う。リスク・マネジメントとして、十分に啓蒙・教育を行うことにより内部的な引き締めを行うとともに、万が一の際にも事前の対策検討・再発防止につとめなければならない。
history of update
ver.1.01 2005.02.03 opened to the public and corrected the errors.
今日: |
|
since 2008.04.17 |
Copyright(C) 2005 - 2008 irkb.jp All Rights Reserved.