« 2005年1月2日 - 2005年1月8日 | トップページ | 2005年1月16日 - 2005年1月22日 »

2005.01.12

個人情報保護法を考えてみる 3-2

個人情報保護法を考えてみる 2にyuu2さんからもコメントをいただきました。

この法律では「個人情報データベース」。それを構成する「個人データ」&「保有個人データ」を対象としているのではないでしょうか?
個人情報保護法は行政法ですから、お役所に管理監督させることが基本の法律で、各業界ごとに担当のお役所がガイドラインを出してきますから、そのガイドラインを遵守することになります。
総務省のガイドライン「電気通信事業における個人情報保護に関するガイドライン(平成16年8月31日総務省告示第695号)」といった形で示されます。
このガイドラインは旧版を改訂したもので、直前の版では「料金徴収のためのデータの管理の仕方」を定めていました、それが第5条などに現れています。
(利用目的の特定)第5条 電気通信事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定するものとする。

つまりガイドラインも「個人データ」&「保有個人データ」の全部について説明してはいません。
どうもこのガイドラインによると第7条・第8条が示していることは、利用目的を明示して取得したものが個人情報である、と解釈できそうです。つまり利用料金の徴収など目的がはっきりしているものに対応する個人情報の取得ということです。
そうなると、一般営業活動用に各種名簿を使用するのは電気通信事業者にとって個人情報収集のためのガイドラインがあるのか?という話しになります。
つまりガイドラインでは考えようによっては個人情報データベースの範囲を狭く捉えることが出来ます。
しかし総務省のガイドラインも第4条で

「個人情報を取得しないものとする。ただし、
自己又は第三者の権利を保護するために必要な場合その他社会的に相当と認められる場合はこの限りでない。」

としているので、利用目的外の個人情報の収集も当然のように認めています。
こうなると、それこそ「名刺も個人情報」とも言えるわけで。個人データベースとはナンなのか?という問題に拡大してしまうかもしれません。

yuu2さんのご意見

情報漏洩は、悪意のある場合完全には防げない。どれだけ漏洩の防御策をしていたかで法として罪を問うとの主旨の法律と、勝手な理解をしています。

法的な対応はその通りだと思います。
そのための実務的な対応をどうするか?で会社や業界でやり過ぎとなる例があるのではないか?と思っています。具体的には「名刺は個人情報」といった考え方です。名刺が個人情報であることに異存はないですが、保護管理するべき個人情報か?という視点が抜けているから「すべての名刺は」と話が拡大して「個人情報保護法の観点から名刺交換しない方がよい」といったことになりかねないでしょう。それでは本末転倒というべきです。

yuu2さんのご意見

展示会などで収集した名刺などからなるデータベース程度しか無い場合は、ホームページなどに収集したデータを公開しないことや、収集する場合に目的を明示するといった数行のポリシィを書いておけば良いとコンサルに指導されたとの話も聞きます...?

「書いておけば何が良い」のでしょうかね?個人情報保護法は行政指導に反した時に会社(の代表など)に刑罰が適用されるという法律ですから、会社(団体)にとっては「個人情報保護法でお役所に通報、立ち入り検査などがされないように備える」のが一番の対応策でしょう。
通報する側は勝手ですからね、通報されないようにすることを全ての目的とするとありとあらゆる個人情報を社内に出入りしないようにすることなって、これでは会社なんてやってられません。
その意味では個人情報保護法に抵触するリスクは多少なりともあることを前提とすることになるのでしょう。
その一環として「HPに個人情報保護法対応」を掲示しておくのはありだと思いますが、掲示した内容を社内で実施するのはそれなりに大変でしょうね。
結局はどうも「対応の実務はどうやるんだよ?」という話しになりそうです。

1月 12, 2005 at 10:24 午前 セキュリティと法学 | | コメント (2) | トラックバック (2)

2005.01.11

個人情報保護法を考えてみる 3

個人情報保護法を考えてみる 2にmasterさんからコメントをいただきました。

はじめまして、
名刺って広告手段で、自分を知ってもらう道具のはずが、他の人に知られないようにしなければいけないというような変な感じがしますが、いかがなものなのでしょう?

はいその通りです。
ところが一般的によく出てくる解説で「名刺も個人情報で注意して扱いましょう」といったことが出てきます。

個人情報保護法の総則には、

第一条  この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

とあります。「注意して扱えよ」と言っているように読めます。
しかし、なぜ注意して扱う必要があるのか?つまり個人情報保護法を定める理由はどこにあるのか?と言えば「個人情報の取扱が不適切であるために、被害が出たケースがある」からでしょう。

実際に被害があった事件としては、三洋信販事件があります。

朝日新聞より(2004年5月20日の記事)「三洋信販の顧客データ流出、信用情報含む116万人分」
【前略】
顧客らから同社に寄せられた問い合わせや苦情は1月から4月までに約3万9000件。うち7割が架空請求の相談という。

架空請求が来てしまうのですから、問答無用で個人情報の流出による被害発生と言えるように思います。

クレジット会社から情報が流出して架空請求が発生したのに「被害発生と言えるように思う」などという、言い方をするのは架空請求をするだけなら被害者の住所氏名などが分かれば可能だからです。実際に起こった架空請求がクレジット会社から出た情報によるものなのかどうかは、確定出来ないでしょう。
そうなると、名刺でも架空請求が起きるかもしれない。ということになります。

なんかヘンですね。「風が吹けば桶屋が儲かる」のような論理のように感じます。
わたしの考えでは、クレジット会社の名簿と他の名簿は同列に名簿であるから同じ管理をするべきだ、といった考え方がおかしいのだと思います。
名刺の例に戻すと、名刺交換の場がどういう場なのかによって名刺の情報を保護する程度は変わるのでしょう。
例えば、第三者にその会合の存在が知られては困るような場で交換された名刺は保護するべき情報と言えるかもしれません。
逆に展示会で来場者が業者に渡した名刺でDMが来るのは当然でしょう。

このように、個々の情報を扱う時にどうするのか、という話しをほとんどしていない、ように思えるのです。

1月 11, 2005 at 03:49 午後 セキュリティと法学 | | コメント (0) | トラックバック (0)