個人情報保護法の施行に向けた企業の留意点
辻巻総合法律事務所 弁護士 辻巻 健太
弁護士 立松 直樹
個人情報保護法の全面施行を平成17年4月に控え、各企業は個人情報の管理体制の構築が求められております。
そこで、辻巻総合法律事務所の辻巻、立松両弁護士から、個人情報保護法の概要とその対応について解説していただきます。
個人情報保護法が立法された背景
◆IT技術の進歩による個人情報流出のリスクの増大
IT技術の発達につれて顧客の個人情報の流出リスクは著しく大きくなってきている。
従来であれば、物理的にオフィス内に立ち入り書類を持ち出したりコピーしたりしないと顧客名簿などを外部に持ち出すことは不可能であった。しかし、情報のデジタル化とインターネットなどの通信技術の発達により、ネットワークを経由して遠隔地からの不正アクセスで情報を取り出すことも可能となった。また、電子メールや磁気ディスクなどで簡単に膨大な情報を持ち出せることは、社員など内部者の不注意(情報の入った媒体の紛失など)や不正行為による流出の可能性を高めている。
他方で、コンピュータ化されたデータベースやインターネットなどのIT技術は、膨大な顧客データを低コストで活用することを可能としており、個人情報の持つ経済的な価値も著しく大きくなっている。
更に、日本においては、これまでは終身雇用制度のもとでは特に努力をしなくても顧客情報を含めた企業の秘密の維持が相当程度自動的に達成されてきたが、雇用の流動化や正社員から派遣社員、アウトソーシング、パートなど短期労働力への業務のシフトにより終身雇用の情報管理機能が薄れてきていることも、情報漏洩のリスク増大の大きな要因になっている。しかし、終身雇用制の文化に慣れた日本企業は、企業秘密(情報資産)を知的財産権として適切に管理し、担当者個人ではなく組織として情報資産を積極的に活用するという意識が乏しかったため、非正規雇用の時代に対応した情報管理体制が構築されていない。
このような背景のもとに、日本信販の顧客情報(クレジットカード情報を含む)10万人分流出(2004年4月26日公表)やソフトバンクの顧客情報450万人分流出(2004年2月24日公表)など、大規模な顧客情報の流出事故が相次いで発生している。
◆個人情報の流出に対する損害賠償責任
プライバシーに属する個人情報の流出については、加入者の意思に反した電話帳への掲載につきNTTに対し10万円の慰謝料の支払を命じた東京地裁平成10年1月21日判決や住民基本台帳データの名簿業者への流出につき宇治市に対し1人当たり1万5000円の支払いを命じた京都地裁平成13年2月23日判決などの裁判例において不法行為に基づく損害賠償請求が認められている。住所や氏名程度のレベルの情報の流出であれば一人あたりの損害賠償額は小さいが、顧客情報の流出事件では膨大な人数の顧客についての情報が同時に流出するのが通例であることから、大勢の被害者が集団で請求を行った場合には、会社の浮沈にかかわるような金額の損害賠償になる可能性がある。また、プライバシーの要求度の高い情報の流出については、より高い金額の慰謝料が認められると予想される。
平成15年に成立した個人情報保護法の概要
◆個人情報保護法の適用を受ける「個人情報取扱事業者」
民間の事業者(個人情報取扱事業者)に対する「個人情報の保護に関する法律」(個人情報保護法)の施行時期は、平成17年4月1日からである。
この個人情報保護法の特色は、「個人情報取扱事業者」、すなわち5000人分を超える個人情報(過去6ヶ月以内で1日でも5000人分を越えている場合)をデータベース等の容易に検索可能な形式で体系的に管理した「個人情報データベース等」の形で保有して事業に利用している者を主たる法規制の対象としていることである。
◆「個人情報」、「個人データ」、「保有個人データ」の区別
個人情報保護法は、保護の対象となる個人に関する情報を、「個人情報」、「個人データ」及び「保有個人データ」の三段階に分類し(法第2条)、この分類に応じて個人情報取扱事業者に義務を課している。
@ 「個人情報」
「個人情報」は、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」と定義されている。
A 「個人データ」
情報漏洩の防止など個人情報保護法上の大部分の義務は、「個人データ」について適用される。
「個人データ」は、「個人情報データベース等」を構成する個人情報として定義されている。「個人情報データベース等」には、コンピュータ化されたデータベースだけでなく、コンピュータ化されていない個人情報のリストであっても、一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成されており、且つ検索を容易にするために目次、索引等が付されているものも含まれる。
B 「保有個人データ」
「保有個人データ」は、「個人データ」のうちデータの利用の利用目的等の公表(第24条)及び本人への開示(第25条)の義務の対象となるものを示す定義語である。
個人情報取扱事業者が保有する「個人データ」は原則として全て「保有個人データ」に該当するが、例外として6ヶ月以内に消去される「個人データ」(施行令第4条)、及びその存否が明らかになることにより公益その他の利益が害されるものとして施行令第3条で指定されている個人データは、「保有個人データ」の定義から除外されている。
◆個人情報取扱事業者の義務
個人情報取扱事業者は、個人情報保護法のもとで、概ね以下のような義務を負うことになる。特に、個人情報の第三者への提供に対する規制は厳格。
@ 利用目的の特定(第15条)
個人情報の収集目的を出来る限り特定し、目的外使用を行わない。また、当初の利用目的と相当な関連性を有すると合理的に認められる範囲でしか当初の利用目的を変更してはならない。
A 目的外利用の制限(第16条)
予め本人の同意を得ない限り、特定の利用目的以外に個人情報を利用してはならない。
B 適正な取得(第17条)
偽りその他不正な手段で個人情報を取得してはならない。
C 利用目的の公表又は本人への通知(第18条)
個人情報を取得した場合には、予め利用目的を公表している場合や利用目的が取得状況から本人に明らかである場合を除き、利用目的を本人に通知又は公表しなければならない。条文上、個別通知だけでなく公表でも足りることになっているので、実務的にはインターネット上での利用目的の公表にて対応する事業者が多いのではないかと予想される。
D 内容の正確性の確保(第19条)
個人情報取扱事業者は、個人データを正確且つ最新のものに保つように努力する義務を負う。これは、例えば誤って信用情報のブラックリストに掲載されるケースなど、情報が誤っていることで本人に不都合が生じることは少なくないためである。
E 情報のセキュリティ(第20条)
個人情報取扱事業者には情報セキュリティの確保が義務付けられている。
F 従業者(従業員、派遣社員等)及び委託先の監督義務(第21・22条)
個人情報取扱事業者は、個人データの取り扱いに従事する従業者及び個人データ取り扱いの委託先を監督する義務を負う。なお、従業者は、組織内で直接間接に事業者の指揮監督を受けて事業者の業務に従事している者の総称であり、従業員だけでなく派遣社員や取締役、執行役、監査役、相談役等実態として組織内で業務に従事している従業員以外の就労者も含まれる。
G 第三者提供の制限(第23条)
本人の事前同意がない限り、原則として正当と認められる一定の場合(生命・身体・財産の保護や公衆衛生のために個人データの提供が必要な場合など)を除き個人データの第三者への提供は禁止される。但し、いくつかの例外が認められている。
個人情報を事前承諾なしに第三者に提供することの包括的な禁止に対する例外として最も重要なのは、第三者への個人データの提供を利用目的としていること及び本人の要求により提供を中止すること等を事前に本人に通知し又は容易に知り得る状態に置いた上で情報収集を行い且つ本人の要求によりいつでも提供を中止するという条件のもとで個人データを提供する場合である(オプトアウト)。但し、このオプトアウトの例外を利用するためには、本人の要求により個人情報を即座に消去できるようなシステムを予め構築しておく必要がある。
H 保有個人データの利用目的等の公表(第24条)
個人情報取扱事業者は、保有個人データにつき利用目的など個人情報保護法第24条に掲げる事項を「本人の知り得る状態」に置かなければならない。なお、本条では「取得の状況から利用目的が明らかな場合」も利用目的の公表等の義務の例外とされていないので、開示が必要である。
I 本人に対する個人データの開示と訂正請求権(第25・26条)
本人の請求がある場合には、個人情報取扱事業者は、原則として本人に収集した個人データを開示する義務を負う。本人から個人データの内容が誤っているとして訂正の要求がなされた場合には、事実調査の上で訂正に応じなければならない。
個人情報の利用目的の特定
個人情報保護法第15条は、個人情報を取り扱うに当たってその利用目的をできる限り特定することを義務付けている。また、当初の利用目的と相当な関連性を有すると合理的に認められる範囲でしか当初の利用目的を変更することはできない。
個人情報保護法やその政省令には、どこまで具体的に利用目的を特定して開示しなければならないかは規定されていないが、実務的には、@いかなる事業で用いるのか、及びA当該事業においてどのような目的に利用するのか(例えば「商品の発送、アフターサービス、代金回収等の顧客管理」、「ダイレクトメールの送付等の営業活動」などという記載が考えられる)を開示すれば、法律上の最低限の義務は満たされるのではないかと予想される。
但し、利用目的の開示の具体的な方法や程度については現段階では解釈が確立していないので、政府や事業者団体が今後制定するガイドラインや業界の同業他社の動向を注視し、ガイドラインや業界の一般的な水準に適合させていく必要がある。
個人情報の取得と個人情報保護法
◆個人情報を顧客から取得する際の利用目的の開示
個人情報の取得方法として最も一般的なのは、契約書やアンケート、インターネットのウェブサイトの会員登録といった顧客が記入する書面(インターネットのウェブサイトを含めて)であろう。このような方法での個人情報の取得につき、個人情報保護法18条2項は、事前に利用目的を顧客に明示することを要求している。
実務的には、契約書やアンケート用紙などの書式(ウェブサイト上のものを含む)に収集した個人情報の利用目的を記載しておくことが合理的なコンプライアンスの方法である。また、例えば特定グループでの個人データの共同利用についての通知(法第23条4項3号)、個人情報の第三者提供への同意(同条1項)の取得なども、もし必要であれば、このような個人情報の利用目的を記載した契約書やアンケート用紙等に然るべき文言を記載することにより同時に済ませることができる。
◆不要な個人情報は集めない、保存しない
個人情報を収集すると、これを安全に管理する義務が発生する。従って、必要のない個人情報を収集することは避けるべきであり、不要となったデータは消去すべきである。また、個人を特定できない統計データでも足りる場合には、個人を特定できない統計データ等に変換することが望ましい。特に、プライバシー性が特に高い、いわゆるセンシティブ情報(人種、門地、信条、宗教、政治的意見、労働組合への加盟、健康状態など社会的差別の原因となる可能性のある情報)や個人信用情報など金融関係の情報は、漏洩が非常に深刻な問題となることから、その収集・保有の必要性につき特に慎重に吟味すべきである。また、顧客に対して、どの情報はいつの時点で消去するのかを明示することは、顧客の安心感を高める。
個人情報の漏洩防止
◆個人情報漏洩の原因
個人情報漏洩の原因としては、@外部からアクセス可能なインターネット・サーバに個人情報を保管したり、個人情報を記録した媒体を紛失するといった単なる不注意、A不正アクセス(クラッキング)、B内部者による個人情報の持ち出し、の三種類が考えられる。
◆情報資産の棚卸(保有情報の把握)
個人情報を守る上では、不正アクセスや情報持ち出しに対する法規制による個人情報を侵奪した「悪者」への処罰も重要ではあるが、個人情報の漏洩が生じにくいように予防策を講じることが最も重要である。
そのための最初のステップとしては、社内にどのような情報があるかを組織として把握し(情報資産の棚卸)、不要な情報を破棄するとともに、必要な情報資産を会社が組織として一元管理することが必要である。また、従業員個人や特定の部署だけが把握していた顧客情報を含む情報資産を組織的に把握することは、企業の情報資産の積極的な活用や担当者の退職による情報の喪失・流出の防止にも非常に役に立つ。
◆リスクマネージメントの手法による情報セキュリティの考え方
より高度な情報セキュリティ構築の手段として、リスクマネージメントの手法を情報管理に応用することが注目されている。
ISMSなどのリスクマネージメント手法による情報セキュリティ対策の概要は以下の通りである。
@ 情報セキュリティポリシーの策定
A リスク分析
リスク分析とは、保護の対象となる情報(情報資産)を明らかにし、それらに対応するリスクを評価することである。
B 対策基準(リスク管理策)の策定
各情報資産の重要性の程度と、予想される脅威のそれぞれにつき予想される被害の程度と頻度に応じて、対策基準を策定する。予想される被害の程度と頻度を小さくする手段としては、例えば以下のようなものが考えられる。
・ アクセス権限を付与する相手を限定する。
・ アクセス可能な端末を限定する。
・ アクセス記録を監視・記録する。
・ 情報システムの改ざんを検知する。
・ 不正侵入に対して即時に緊急時対応ができる体制を構築する。
C 対策基準の導入と運用
D 情報セキュリティシステムの監査・評価と運用実績を踏まえた情報セキュリティポリシー、対策基準などの見直し