このページの本文へジャンプ

文字の大きさ

ここから本文です

個人情報をどう守るか 個人情報をどう守るか
第6回 個人情報保護と事業者の義務

2005年04月11日
 個人情報の保護についてさまざまな角度から解説をしてきたこの連載も、今回で終了です。そこで、最終回となる今回は、再度個人情報保護法にフォーカスを当ててみたいと思います。

改めて「個人情報」とは?

 個人情報保護法では、個人情報を「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それによって当該個人を識別できるものを含む)」と定義していると、第1回で説明しました。個人情報保護法では、この「個人情報」の他に、以下に示す「個人データ」、「保有個人データ」という2つの言葉が定義されています。
【個人データ】
下記の2つ(個人情報データベース)を構成する個人情報
特定の個人情報を、電子計算機を用いて検索することができるように体系的に構成したもの
前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
【保有個人データ】
個人データのうち、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データ
 つまり、顧客の氏名や住所を管理している顧客データベースは個人情報データベースに該当し、その中の顧客データが「個人データ」に該当します。また、「個人データ」は電子データだけでなく名刺などの紙媒体も含みます。ただし紙媒体の場合は、容易に検索できるように体系的に構成されている必要があります。たとえば氏名の五十音順に名刺を分類している場合がこれに相当します。

 一方、「保有個人データ」は6ヵ月以上に渡って利用される個人データで、事業者は本人から開示、内容の訂正等の要求に対応する必要があります。

事業者の義務

 「個人情報」、「個人データ」、「保有個人データ」それぞれについて、事業者に発生する義務は異なります。
 たとえば、これからECサイトの運営を始めるA社がWebで顧客情報を収集しようとしているとします。この場合、A社は収集した情報を「個人データ」として取扱うかどうかに関わらず、利用者に対してその利用目的を明示する必要があります。

 次に、収集した情報を顧客データベースなどのコンピュータ上に保存すると、「容易に検索できる」状態となり「個人データ」と見なされます。「個人データ」はその内容の正当性を確保し、安全に管理する必要があります。具体的には下記のような対策が挙げられます。
管理者の明確化
特定の個人情報を、電子計算機を用いて検索することができるように体系的に構成したもの
セキュリティポリシーによるデータの社外持ち出しの禁止
サーバルームの施錠と入退室管理の実施
OS、アプリケーションでのアクセス制御の実施
 A社は従業員に対して、このような安全管理措置を徹底させ監督しなければなりません。また、業務の一部を外部委託するというケースも考えられますが、この場合も従業員の場合と同様に、委託先業者を監督する必要があります。またもちろん、利用目的の中で、一部の業務を外部委託する旨をあらかじめ利用者に明示しておかなければなりません。

 3つ目として、「個人データ」を6ヵ月以上利用すると、それは「保有個人データ」と見なされます。「保有個人データ」は、本人からの開示・訂正の要求に対応しなければなりません。ですから、あらかじめそういった要求に対する窓口を用意しておく必要がありますし、窓口への連絡方法を明らかにしておく必要があります。
 もし、このような義務を果たしていなかった場合には、6ヵ月以下の懲役または30万円以下の罰金と定められています。
 本連載もこれで最終回となります。第1回でも述べましたが、昨今の個人情報の漏洩・流出といった事件・事故はコンピュータ、インターネットの普及によるところが大きいと言えます。これからは、技術の利便性だけに目をやらず、どういった脅威が自分の身の周りに存在するのかを別の視点で見ることが大切です。それでは、これまで6回に渡ってお読みいただき、どうもありがとうございました。
村上 純一 (むらかみ じゅんいち)
株式会社ラック コンピュータセキュリティ研究所に勤務。研究員。
セキュリティコンサルタント業務や、ソフトウェアの脆弱性を発見する業務に携わる。
■ホームページ作成サービス
ホームページの開設から更新までパックでご提供!
お問い合わせ/お申し込み
■ショップ構築おまかせパック
インターネットショップ開設も月額8,000円(税込8,400円)から!
お問い合わせ/お申し込み