新銀座法律事務所　法律相談事例集データベース
No.252、2005/5/20 14:38

[商事]
質問：４月に個人情報保護法が施行されるそうですが、うちの会社では、何をしたら良いでしょうか。
↓
回答：
１、ご存知の通り、２００５年４月より、個人情報保護法が施行されました。この法律は基本的には個人データを保有する事業者の管理責務を定めることを目的としており、個人情報の漏洩を直ちに処罰するために作られた法律ではありません。同法では、おおまかに言うと、�@個人情報の取得時に利用目的を明確にし、目的の範囲内で取り扱うこと�A個人情報を不正な手段で取得しないこと�B個人情報は利用目的の範囲内で正確、最新の内容に保つこと�C漏洩、滅失の防止など安全管理のための措置を講じること�D本人から苦情や請求があった場合にはすぐ誠実に対応することが事業者の債務として定められており、このような責務を果たさない事業者には主務大臣が必要な処置をとるよう勧告し、これに従わない事業者にさらに命令を出して（３４条）も、まだ従わないと処罰される（５６条）ということになります。
２、また、全ての事業者が同法の対象になるわけではなく、対象となるのは「個人情報取扱事業者」であって、具体的には、個人情報データベース等を用いて事業を行っている事業者のうち、そのデータベース等に含まれる個人の数が過去６ヶ月間にわたり５０００人以上の事業者（２条３項、施行令２条）ということです。したがって、通常同法の対象となるケースが多いとは思われますが、単に会社に顧客名簿があるからといって、同法の対象となるとは限らないということになります。とはいえ、将来的にはあなたの会社が同法の対象となる可能性はありますし、また、同法の対象とならなくとも、個人情報につき同法に抵触しないような扱いをすることは、トラブルからの自衛手段としても有意義なものだと思われます。以下上記�@〜�Dに従って、会社としてどのようなことをしていけばよいのか検討して行きます。
３、�@について、同法は利用目的を出来る限り特定しなければならない（１５条）、利用目的に必要な範囲を超えて取り扱ってはならない（１６条）という他にも個人情報取得したときは利用目的を通知または公表しなければならない（１８条）、利用目的、情報開示の手続き等を本人の知りうる状態におかなければならない（２４条）、本人の同意を得ずに第３者に提供してはならない（２３条）などといった規定を置いています。従って、少なくとも個人情報を取得する時に利用目的について本人に通知すること、利用目的を聞かれた場合に遅滞無く回答すること、などは法が課す責務といえます。ホームページ等での公表や、第３者に提供する場合の同意を契約書の条項の中に入れておくといった工夫もできると思われます。
４、�A、�Bについては、偽りその他不正な手段によって取得してはならない（１７条）、正確かつ最新の内容に保つよう努めなければならない（１９条）という条項がありますが、これらは常識的なところとしてご理解頂けると思いますし、１９条については完全な努力規定（罰則なし）となっています。
５、�Cについては、安全管理のため必要な措置を講じなければならない（２０条）、従業者・委託先に対する必要な監督を行わなければならない（２１，２２条）といった規定が置かれています。これらの、規定に対して、会社としてどのようなことをするべきかというところは、極めて重要なところですが、かといって具体的に何をしろということを一言でいうのは大変難しいところです。一般的な話としてまずはあなたの会社が管理している個人情報を特定し、そのような情報がどのような過程において、どのような流出・改ざん・破壊の脅威にさらされ、その脅威を防ぎきれない管理上の弱みは何かを一つずつ検討し、これに対する対策をとるということになるでしょう。例えば、少人数の社員が残業している場合には、データの複製・持ち出し（脅威）が考えられ、この場合の弱みとしては、監督者の不在や、警報システムの欠如などが考えられるので、これらについて検討するという具合に考えていきます。できれば、検討結果は、社内規定という形に残して、社員教育に取り入れていくべきです。その際、全ての対策を一度に行うことは困難でしょうから、流出・改ざんの発生頻度（情報に対する脅威と管理上の弱みの組み合わせ）と発生時の被害の大きさ（情報価値）から、早急に取り組むべき対策を決定し、そこから着手していくことになるでしょう。いずれにせよ、実質的には、この部分を会社としてどのようにしていくかというところを見直すということが、今回の法律施行によって一番求められているところといっても過言ではないと思います。
６、�Dについては苦情の適切かつ迅速な処理に努めなければならない（３１条）という努力規定が定められている他、本人の求めに応じて保有個人データを開示しなければならない（２５条）、本人の求めに応じて訂正等を行わなければならない（２６条）、本人の求めに応じて利用停止等を行わなければならない（２７条）などの規定が置かれています。また、これらの手続きについては、上述したように本人の知りうる状態におかなければなりません（２４条）。その際、しかるべき手数料を徴収することは認められています（３０条）。
７、以上、まだ新しく施工されたばかりの法律で、現実には事業者の対応も定まっていない面もありますが、もし対応に迷う点がありましたら、法律事務所にご相談下さい。

法律相談事例集データベースのページに戻る

法律相談ページに戻る（電話０３−３２４８−５７９１で簡単な無料法律相談を受付しております）

トップページに戻る