« 個人情報保護法を考えてみる 3 | トップページ | 「個人情報保護法」を買った »

2005.01.12

個人情報保護法を考えてみる 3-2

個人情報保護法を考えてみる 2にyuu2さんからもコメントをいただきました。

この法律では「個人情報データベース」。それを構成する「個人データ」&「保有個人データ」を対象としているのではないでしょうか?
個人情報保護法は行政法ですから、お役所に管理監督させることが基本の法律で、各業界ごとに担当のお役所がガイドラインを出してきますから、そのガイドラインを遵守することになります。
総務省のガイドライン「電気通信事業における個人情報保護に関するガイドライン(平成16年8月31日総務省告示第695号)」といった形で示されます。
このガイドラインは旧版を改訂したもので、直前の版では「料金徴収のためのデータの管理の仕方」を定めていました、それが第5条などに現れています。
(利用目的の特定)第5条 電気通信事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定するものとする。

つまりガイドラインも「個人データ」&「保有個人データ」の全部について説明してはいません。
どうもこのガイドラインによると第7条・第8条が示していることは、利用目的を明示して取得したものが個人情報である、と解釈できそうです。つまり利用料金の徴収など目的がはっきりしているものに対応する個人情報の取得ということです。
そうなると、一般営業活動用に各種名簿を使用するのは電気通信事業者にとって個人情報収集のためのガイドラインがあるのか?という話しになります。
つまりガイドラインでは考えようによっては個人情報データベースの範囲を狭く捉えることが出来ます。
しかし総務省のガイドラインも第4条で

「個人情報を取得しないものとする。ただし、
自己又は第三者の権利を保護するために必要な場合その他社会的に相当と認められる場合はこの限りでない。」

としているので、利用目的外の個人情報の収集も当然のように認めています。
こうなると、それこそ「名刺も個人情報」とも言えるわけで。個人データベースとはナンなのか?という問題に拡大してしまうかもしれません。

yuu2さんのご意見

情報漏洩は、悪意のある場合完全には防げない。どれだけ漏洩の防御策をしていたかで法として罪を問うとの主旨の法律と、勝手な理解をしています。

法的な対応はその通りだと思います。
そのための実務的な対応をどうするか?で会社や業界でやり過ぎとなる例があるのではないか?と思っています。具体的には「名刺は個人情報」といった考え方です。名刺が個人情報であることに異存はないですが、保護管理するべき個人情報か?という視点が抜けているから「すべての名刺は」と話が拡大して「個人情報保護法の観点から名刺交換しない方がよい」といったことになりかねないでしょう。それでは本末転倒というべきです。

yuu2さんのご意見

展示会などで収集した名刺などからなるデータベース程度しか無い場合は、ホームページなどに収集したデータを公開しないことや、収集する場合に目的を明示するといった数行のポリシィを書いておけば良いとコンサルに指導されたとの話も聞きます...?

「書いておけば何が良い」のでしょうかね?個人情報保護法は行政指導に反した時に会社(の代表など)に刑罰が適用されるという法律ですから、会社(団体)にとっては「個人情報保護法でお役所に通報、立ち入り検査などがされないように備える」のが一番の対応策でしょう。
通報する側は勝手ですからね、通報されないようにすることを全ての目的とするとありとあらゆる個人情報を社内に出入りしないようにすることなって、これでは会社なんてやってられません。
その意味では個人情報保護法に抵触するリスクは多少なりともあることを前提とすることになるのでしょう。
その一環として「HPに個人情報保護法対応」を掲示しておくのはありだと思いますが、掲示した内容を社内で実施するのはそれなりに大変でしょうね。
結局はどうも「対応の実務はどうやるんだよ?」という話しになりそうです。

1月 12, 2005 at 10:24 午前 セキュリティと法学 |

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/2299/2548855

この記事へのトラックバック一覧です: 個人情報保護法を考えてみる 3-2:

» 個人情報とは トラックバック yuu2雑記帳
i40615hj.pdf (application/pdf オブジェクト)  個人情報保護法で対象としている個人情報とは何でしょうということで、これまでに... 続きを読む

受信: 2005/01/15 17:59:53

» luv this site トラックバック magazine subscription
always interesting content here 続きを読む

受信: 2005/02/04 18:52:07

コメント

酔うぞさん、こんにちは。yuu2です。

 法律の対象としている個人情報に関する、法律素人の私なりのまとめとして、「個人情報」「個人データ」&「個人情報データベース」「保有個人データ」について、長くなりますのでトラックバックさせて頂きました。
 Nifty の会議室のFAフォーラムに書いたなかのものと同じです。

 法が対象とする個人情報の範囲が、おぼろげながら判ったつもりですが、具体的にはまだ理解しきったとは言えません。

>どうもこのガイドラインによると第7条・第8条が示していることは、利用
>目的を明示して取得したものが個人情報である、と解釈できそうです。

 個人情報取扱事業者は、「本人に通知」(法第18条第1項)、「公表」(法第18条第1項)、「本人に対し、その利用目的を明示」(法第18条第2項)、「本人の同意」(法第16条第1項、法第23条第1項)も必要とされています。
 法第15条~第16条でも、個人情報の利用目的関係についてかかれています。
 本人に目的を伝えてデータを収集し、収集保有の承認を得ていつでもどのようなデータを持っているのか開示出来なくてはいけないのですね。

 ビジネスで面談する名刺はお互いに保有しあう内容と、自分を覚えてねとあなたを覚えたいとの双方の合意が成立しています。展示会の名刺では、カタログを渡して後で商談したいとか新製品情報メールを送るとかの用途に限定した旨の表示がいるとのあるコンサルの先生のお話でした。
 口頭で都度伝えて了承を得るのが大変なら、引き替えに渡すパンフレットか、ホームページ(展示会の頁)に公表しておけば良いとのことでした。
 # 展示会で集めた名刺を「保有個人データ」化する、5,000件以上のデータを持つ個人情報取扱事業者の場合です。
  名刺をランダムに束ねていたり、6ヶ月以内に廃棄してしまう場合は該当しないことは、ご承知の通りです。

 

投稿: yuu2 | 2005/01/15 18:52:47

 中座させて頂きまして、続きです。

>結局はどうも「対応の実務はどうやるんだよ?」という話しになりそうで
>す。

 私の場合はここが入り口で、セミナーに行ったりコンサルの先生方にお会いしたりが続いていました。
 繰り返して発言していますが、セミナーの弁護士さんも、コンサルの先生も、判例の無い新法なので、判例が出ないと断言出来ないとの事です。

 いずれにしても、企業の対応としては、トータルな情報セキュリィティ管理システムの構築が、この法律を切り口としてでも良いので、広く行われる事になる(実際に多くの企業が行動を始める)のは、良いことだと思っています。

投稿: yuu2 | 2005/01/15 21:02:29

コメントを書く