|
個人情報保護法 WISDOM インターネットビジネスと法律より
佐々木美咲 著
第3回 個人情報保護法の再チェック
個人データの適正管理と第三者への提供wisdom20060110
1. 個人データの適正管理について〜Question
Q1 個人情報取扱事業者であるマンションの隣人は、主宰するセミナーの参加申込書をデータベース化してDM(ダイレクトメール)を送っていますが、データ入力前の申込書(紙)は、「あいうえお」順などに整理することもなく雑多にダンボールに詰め込んで、マンションの廊下に放置しています。これは個人情報保護法に違反していると思います。
Q2 私の会社(個人情報取扱事業者に該当することを前提とします。以下同じ)は、個人情報データベースを安全に管理するために、サーバールームの入退室管理システムとして、手のひらの静脈を利用した生体認証システムを導入しました。サーバー以外に個人情報データベースは存在しないため、当社の安全管理対策は万全です。
Q3 私の会社は、従業員に個人データを取り扱わせるにあたっては、安全管理を図るため従業員の監督を行っています。一方、派遣社員は雇用関係にないので、個人データを取扱う派遣社員の監督は特に行わず、派遣元との間で「個人情報の取扱いに関する契約書」を交わしています。当社の個人データの取り扱いに関する従業者の監督はこれで問題ありません。
Q4 私の会社は、個人データの取扱いの一部を他の業者に委託していますが、委託先として、プライバシーマークを取得している企業を選定することとしているので、これ以上は何もする必要がありません。
Q5 私の会社は、個人情報を業務委託先に預託するにあたっては、必ず秘密保持契約書を締結するようにしています。
個人情報保護法の全面施行にあわせ、今まで利用していた秘密保持契約書のフォーマットに個人情報に関する条項を追加して次のようにしました。
「被開示者は、開示者が秘密と明示した情報及び個人情報(以下、あわせて「機密情報」という)を第三者に開示・漏えいしてはならない。但し、機密情報が、(1)開示の時点で既に公知であった場合、(2)開示後、被開示者の責によらずに公知となった場合、(3)独自に開発されたことを被開示者が証明した場合、(4)第三者から秘密保持義務を負わずに適法に取得した場合を除く。」
これで業務委託先との契約に不備はありません。
2. 個人データの適正管理について〜Answer
A1 ×
個人情報保護法第20条では「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と規定しています。「個人データ」であれば個人情報保護法上の安全管理措置義務が生じるというわけです。(前回の4.の表をご覧下さい)
「個人データ」とは「個人情報取扱事業者が管理する「個人情報データベース等」を構成する個人情報」をいい、「個人情報データベース等」とは、「特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物、又はコンピュータを用いていない場合であっても、カルテや指導要録等、紙面で処理した個人情報を一定の規則(例えば五十音順、年月日順等)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているもの」をいいます(個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(以下、「経済産業省ガイドライン」といいます)II.1.(2))。
雑多にダンボールに詰め込まれたデータ入力前の申込書(紙)は、一定の規則に従って整理・分類されておらず、容易に検索はできないため、個人情報データベース等を構成する個人情報、すなわち「個人データ」には該当せず、隣人の行為は個人情報保護法の安全管理措置には違反していないと言えるでしょう。(尚、データ入力後の申込書(紙)といえども、整理・分類されていなければ「個人データ」には該当しません)
しかし、個人情報保護法は、遵守しなければ国から罰則の適用を受ける可能性のある行政法に過ぎません。個人情報保護法に違反しないからといっても、隣人による申込書を放置する行為は、不用意な個人情報漏えい事故として、申込書を記入した本人との関係で民事上の損害賠償責任を生じるおそれのある行為であることは言うまでもありません。また、損害賠償にいたらなかったとしても、不用意な個人情報漏えい事故を起こしてしまえば、以後その隣人の主宰するセミナーへの出席者が減ってしまうだろうということは容易に想像がつきます。個人情報保護法を守ることも大切ですが、個人情報を守ることがより重要だという典型的な例です。
A2 ×
個人情報を保存するサーバーを物理的に隔離してしまえば、個人情報を守ることができるように思われるかもしれません。しかし、実際の漏えい事件が元従業員や外部委託先から起きていることから経済産業省ガイドラインでは、以下の4つの安全管理措置を講じなければならない、としています。
(1) 「組織的安全管理措置」
個人データの安全管理措置を定める規程等の整備と運用、組織体制の整備
(2) 「人的安全管理措置」
従業者等との秘密保持契約の締結や、教育・訓練の実施
(3) 「物理的安全管理措置」
入退館管理や盗難防止
(4) 「技術的安全管理措置」
個人データへのアクセス管理や不正ソフトウェア対策
入退室管理などの物理的安全管理措置は費用さえかければ簡単に準備できますが、入退室権限を与えられた者が故意に情報を漏洩しようとすることは止められません。一つの安全管理措置を重点的に行うのではなく、事業の性質や個人データの取扱状況等に起因するリスクに応じて必要かつ適切な安全管理措置をバランス良く講じることが必要です。
A3 ×
個人情報保護法第21条では、個人データの安全管理が図られるよう従業者の監督を行わなければならないとしています。ここにいう「従業者」とは、正社員、契約社員、パート社員、アルバイト社員のみならず、取締役、監査役、派遣社員なども含まれます。したがって、派遣元との間で契約を取り交わすだけでは不十分で、派遣社員に対しても、A2で述べた4つの安全管理措置を遵守させるよう監督する必要があります。
A4 ×
プライバシーマーク制度は、個人情報の取り扱いについて適切な保護措置を講ずる体制を整備している事業者を認定して、その旨を示すマーク(プライバシーマーク)を付与する制度です。プライバシーマークの取得の有無は、委託先の選定にあたり一定の信頼のおける基準であることは確かですが、それだけでは不十分です。
個人情報保護法第22条では、取り扱いの委託をした個人データの安全管理が図られるよう、委託先に対する必要かつ適切な監督を行わなければならないとしています。「プライバシーマークを取得している企業を委託先として選定していること」のみをもって、委託先に対する「必要かつ適切な監督」を行なっているとは言えません。委託契約に個人データの取り扱いに関する安全管理措置を盛り込むとともに、その措置が行われているかどうかを適宜確認するなどのことが必要です。
尚、委託先に必要以上な安全管理措置を義務付けたり、プライバシーマークの取得を義務付けたりすることは、委託者に不当な負担を課すとして、独占禁止法上問題となる場合もありますので注意が必要です。
A5 ×
よくある機密保持契約書には、設問にあるように機密保持義務の例外として「公知」の情報をあげています。
一方、個人情報の場合、住所録や電話帳などで「公知」となっているものもあります。しかし、個人情報は公知であるからといって保護の必要がなくなるものではありません。したがって「但し、個人情報以外の機密情報であり、かつ、当該情報が(1)開示の時点で既に公知であった場合、(2)開示後、被開示者の責によらずに公知となった場合、(3)・・・・
|
コメント(0)
