« 米部品メーカ倒産 | トップページ | さよならパソコン通信 »

2006.03.04

個人情報保護法・流出を公表しない場合

朝日新聞より「委託先からの個人情報流出 産業再生機構、公表せず

説明のために記事の前後をちょっと入れ替えます。
産業再生機構が、業務を委託した大手監査法人トーマツの子会社、トーマツコンサルティング(本社・東京)。昨年7月、機構が経営支援を検討していた複数の企業の役員や社員名、給与情報などが入ったパソコンとハードディスク(HD)装置が、都内の社員宅から盗まれた。この社員は社内の内規に違反して、HDにコピーしていた。

機構側が情報流出の事実を公表しないようにトーマツ側に要請した、と指摘する。この取り扱いに、経産省は当初、可能な範囲で事実を開示すべきだと伝えた。だが、経産省も金融庁も結局はトーマツからの報告を受け入れたという。個人情報保護法第22条は、個人情報を取り扱う場合、外部委託先であっても、委託元に管理義務を課している。

発生から半年余り事実を公表していなかったことが3日わかった。個人情報保護法は、流出した場合はできるだけ事実関係などを公表することを求めており、経済産業省など監督官庁には、非公表とした機構の判断を疑問視する指摘もある。
個人情報保護法は、流出した場合はできるだけ事実関係などを公表することを求めておりって法律が求めていることじゃないと思うんですけどね。

実際に個人情報が流出した時に問題となる個人情報保護法の条文は
第二十条 (安全管理措置)
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
第二十一条 (従業者の監督)
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
第二十二条 (委託先の監督)
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
ですから、事実を公表する方が良いというのはコンプライアンスという観点からは個人情報保護法21条に反したといことを公表した方が良いだろう。という意味でしょうねぇ。

その上で、現在の個人情報保護法はどうなんだ?という気が強くします。
わたしが一番の問題だと考えているのは「保護するべき情報」といった情報の区別を全くしていないことです。
病歴と氏名は個人情報保護法上は同列の情報です。普通は病歴を自分から話す人はそうそう居ない(たまに病気自慢は居るが)名前を常に隠す人もそうそう居ないでしょう。

もし保護するべき情報を定義できるのであれば(必ずしも出来るとは思っていません)今回のような個人情報流出事件も「保護するべき情報の流出」となりますからそれだけで刑事・民事のペナルティ(契約違反など)を課してもすっきりするでしょうね。

現状はそこの区別が無いので、こんなことになります。
トーマツは「当事者たちには流出の事実を伝えており、二次被害の恐れがないことや、公表により企業名が特定されると判断し、非公表にした」と説明している。
いかに面倒な話であるのかが実例を積むほど明らかになってきている、というべきでしょう。
今後も個人情報保護法が現状のままで運用できるか?と考えると、日ごとに「無理だろう。場合よっては廃止するしかないのでは?」とすら思うようになってきています。

3月 4, 2006 at 02:39 午後 個人情報保護法 |

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/2299/8937474

この記事へのトラックバック一覧です: 個人情報保護法・流出を公表しない場合:

コメント

コメントを書く