ITmedia エンタープライズ

ニュース
2004/03/24 13:32 更新

あと1年――個人情報保護法全面施行に向けた課題とは？

インターネット協会は3月23日、「インターネットにおける個人情報保護と人権」セミナーを開催。基調講演の中で岡村久道弁護士が、同法の概略について説明した。

　完全施行まであと1年余りに迫った個人情報保護法。個人情報の取り扱いなしには事業が立ち行かないサービスプロバイダーは、また一般企業は、あるいは情報を提供する側のユーザーは、いったいどんな心構えを持って準備を進めるべきなのだろうか？

　そんな疑問に答えるべく、インターネット協会は3月23日、「インターネットにおける個人情報保護と人権」セミナーを開催した。

プライバシーと個人情報保護法は「別物」

　最初に基調講演に登場したのは、個人情報保護法に関する著作もものしている岡村久道弁護士（英知法律事務所）だ。

　同氏がこの講演の中で強調したのは、週刊文春の問題で注目を浴びている「プライバシー権」と、個人情報保護法ができ上がる背景となった「自己情報コントロール権」とは、密接な関連があるものの別物である、という点だ。すなわち、プライバシー権がマスメディアなどから“ほっといてもらう”権利であるのに対し、自己情報コントロール権は「コンピュータ化が進展する中で、その中に入っている個人のデータをどうコントロールするか」に力点を置いている。

　自己情報コントロール権については、古くはOECDプライバシー・ガイドラインの策定、最近ではEUの個人データ保護指令がありながら、国内ではごく最近までそれに該当する法律が存在しなかった。個人情報保護法策定の背景の1つに宇治市の住民基本台帳データ流出事件があるが、この事件では、データを持ち出したアルバイト学生は自分で持ち込んだMOにデータをコピーしたことから、「窃盗などの罪に当てはまらず、刑事告訴を行っても不起訴処分となった」（岡村氏）。個人情報の目的が入用や売買を直接的に処分する法律が存在しなかったわけだ。

個人情報保護法によって企業は二本立ての責任を負うことになるとした岡村氏

　結局このケースでは、被害者のうち3名が「プライバシー侵害」だとして宇治市を訴え、1人当たり1万5000円の損害賠償とする判決が下っている。岡村氏は、同法施行以降、「企業や組織は、プライバシー権に基づく損害賠償と、個人情報保護法によるお上からの行政処分という二本立ての責任を負うことになる」と指摘している。

　なおこの判例で宇治市は、アルバイトとの間に指揮命令関係を持ち、職員と変わらない形態で使用していたことから使用者責任を問われている。これについて岡村氏は、後のディスカッションの中で「請負責任とは異なり、落ち度がなかったことを証明できないと責任を免れ得ないということで、事実上免責は無理。つまり無過失責任に等しい」とコメントした。

　ただこれに関して、別の講演を行った小倉秀夫弁護士は、宇治市のように内部犯行によって情報が漏えいするケースに対し、「Webサイト／CGIの脆弱性を通じて情報漏えいが発生するケースでは、下請け側が独自にプログラム構築作業を行っており、指揮命令関係はなく、請負側が責任を負うことになると見るのが妥当だ」と異なる見解を披露。ただいずれにしても「ケースバイケース」という状況のようだ。小倉氏はまた、裁判所による最終的な判断はともかく、「ユーザーが損害賠償責任を問うのであれば、発注者側と受注者側の両方を訴えるのではないか」とも述べている。

まずは情報の洗い出しから

　個人情報保護法および施行令では、生存者について特定の個人を識別できる情報を過去6カ月で累積5000件以上所有し、事業に利用している事業者に対し、利用目的の特定や利用者への通知、公表、適正な取得といった取り扱いが義務付けられる。

　岡村氏によれば、ここでいう個人情報には、社内考課をはじめとするインハウス情報も含まれるし、「他の情報と照合することによって、容易に特定の人物識別できるものも含まれる」（岡村氏）。つまりただのログも、サービスプロバイダーが持っているID情報とマッチングし、ユーザーの特定が可能な状態にあれば個人情報だ。「逆に言えば、個人情報にしたくなければ、容易にマッチングを行えないようにすればいい」（同氏）。

　多くの企業を悩ませている問題が、利用目的の特定と通知、公表の部分だ。具体的な形は今後のガイドラインの登場を待つことになるが、岡村氏はここでのポイントとして、「（利用目的を通知、公表するときに）明示したことの証拠を残しておくことが大事だ」と述べている。

　同法はさらに、個人データ全般に関して正確性の確保、安全管理措置義務や第三者提供の制限を課している。その上、事業者が6カ月以上継続して利用し、内容の開示・訂正についての権限を持っている「保有個人データ」については、利用者本人の求めに応じて開示、訂正や利用停止に応じなければならない。事業者には円滑に開示、訂正要求に対応できる仕組みが必要になる。

　岡村氏は、個人情報保護法の全面施行に備え、「まず自社にどんなデータが眠っているのか洗い出しを行うこと」が重要だと述べている。

　その結果、存在が確認されたデータを事業者として受け入れるならば、情報の流れをフローチャート化し、まず利用目的の通知、公表から行う。その際、社内の適正な管理体制が不可欠になるが、それにはISMS（JIS X 5080）などの認証取得が、現実の運用との間にどういったギャップが存在するかを把握する上で1つの目安になるとした。

　さらに、情報のフローの中で見逃しがちだが、「データを廃棄する際、シュレッダーを用いるなどしてそれが漏えいしないような仕組みがきちんと整備されているか」（岡村氏）もポイントという。

　いずれにしても、全面施行までの猶予は1年あまりしか残されていない。「行政・公的機関においても同様だが、いかにたくさんのことに取り組まなければならないか、それが分かってもらえたと思う」と同氏は述べている。

関連リンク
日本インターネット協会

[高橋睦美，ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.