個人情報保護法(2005年06月07日)

2005年4月1日に個人情報保護法が全面施行されました。簡単に言えば、「個人情報を適切に取り扱いなさい。これは義務です。義務に従わない場合は、罰します」という法律です。これがまたやっかいな法律なんです。ほとんどの企業がこの個人情報保護法の対応に追われていると思います。もう少し正確に言うと、
「個人情報取扱事業者は、個人情報の適切な取り扱いの義務があります。違反した場合は、監督官庁からの業務改善勧告などのきつーい行政指導が行われ、指導に従わない場合は刑事罰(6ヶ月以下の懲役または30万円以下の罰金)が課せられる」というものです。

個人情報取扱事業者？ これは名簿業者のことではありません。5000人以上の個人情報を持っていて、それを事業で使用している者 という意味ですから、上場しているような企業でしたらほぼ全てが個人情報取扱事業者 ということになります。

では、個人情報って何か というと「特定の個人を識別できる情報」のことです。つまり、氏名、住所、生年月日、性別、電話番号、メールアドレス、免許証番号、パスポート番号、会員証番号、取引履歴、勤務先、部門 などの個人データが集まったものになります。名前だけのリストは個人を特定できませんから個人情報ではありませんが、名前と住所と生年月日が並んだデータは個人情報になります。お客様から頂いた名刺も個人情報ですから、これからはうかつに名刺入れも紛失できません。個人情報はなにも顧客のデータばかりではなく、社員の情報に関しても個人情報の扱いになります。年賀状用に筆まめで作った社員住所録も個人情報です。

つい先日もNTTデータ-9613の社員が、自社の全社員1万2千人分の個人情報を入れていたUSBメモリーを帰宅途中の電車で紛失してしまい、新聞、テレビで大きく報じられていましたね。きっと重たい処分が下るんでしょうね。かわいそうに。飲んだら乗るな じゃなく、飲んだら寝るな です。

これらの個人情報を適切に取り扱う というのは、
1.個人情報は、使用目的を特定かつ明示して収集しなければならない。
2.個人情報を、使用目的以外で使ってはならない。使用目的以外で使用する場合は、本人の同意が必要
3.個人情報の漏洩を防ぐ安全管理措置をしなければならない
4.個人情報を取り扱う従業員(社員、派遣、アルバイト)、委託先(取引先、ビジネスパートナー) を適切に監督しなければならない

あー、もう面倒くさいったらありゃしない ですね。特に大変なのは、個人情報の漏洩対策でしょう。まずは、
個人情報を紛失したり、盗まれたりしないようない仕組みや運用ルールを作ること。
万が一個人情報を紛失した場合、その被害の範囲がわかるように個人情報の棚卸ができていること。
そして、個人情報が流失しても漏洩しないようパスワードや暗号化で保護しておくこと。

この3つを実施するには多くの時間と費用がかかりますね。それに引き換え、

罰金がたったの30万円と思っている人がいると思いますが、これは表のお金ですからね。もし実際に個人情報の漏洩を引き起こしたら、被害者からの損害賠償請求やお詫び金などで十数億円の費用が発生する場合がありますし、社会的信用の失墜、営業自粛などで 裏のお金の損害は、表の何百倍にもありますから、そりゃも企業は必死になって、個人情報保護法の対策をとっています。従業員教育、個人情報の洗い出し、ファイル類のパスワード保護、データの暗号化、アクセス履歴の取得と分析。これから、この法律のための特需が発生しますね。いったい儲かる企業はどこでしょうか。

次回は、個人情報紛失の当事者にならないための対策 についてお話しましょう。

デンの今日のTake IT Easy：企業は特定の個人を識別できる個人情報を適切に取り扱う義務があります。これが個人情報保護法です。
レイジーの今日のおとぼけ：私の体重が少しずつ増えているというマル秘情報は保護されないのかしらね。