企業の疑問に答える？ 経産省が個人情報保護法についての「ガイドライン」公表

個人情報保護法の完全施行に向け、企業側は具体的にどんな対応を取ればいいのか――経済産業省が各省庁に先駆け、その疑問に答えるガイドラインを公表し、パブリックコメントの募集を開始した。

[高橋睦美，ITmedia]

　経済産業省は6月15日、2005年4月1日に完全施行となる「個人情報保護法」に向け、企業がどのような準備や対応を行うべきかをまとめた「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を公表した。同時に7月14日までの1カ月間、このガイドラインに対するパブリックコメントを募集する。

　経済産業省では、パブリックコメントの結果を今後の改定作業に反映させることも検討。また、法律および企業側の取り組みが実際に回りだして初めて浮かび上がってくる課題や事柄があるであろうことを予想し、「毎年見直しを行うよう努める」としている。

そもそもどれが「個人情報」？

　個人情報保護法では、過去6カ月にわたり、特定の個人を識別できる情報を累積5000件以上所有し、それを事業に利用している事業者に対し、利用目的の特定や利用者への通知、公表、適正な取得や本人の求めに応じた内容の開示・訂正といった、さまざまな適切な取り扱いが義務付けられることになる。

　ただ、これに沿って企業側が対応をとろうとしても、そもそも「『個人情報』とは何か」にはじまり、「『本人に対する利用目的の明示』とはどういう状態か」「個人情報の『安全管理措置』とは何をすればいいのか」「『第三者提供』とはどういうケースが該当するのか」など、個別の条文ごとにあいまいな部分が残されている。最近は頻繁に開催されている個人情報保護法に関するセミナーでは、「具体的にどうすればいいのか」を問う質問が多く寄せられるものの、結局は「判例待ちではないか」という答えに落ち着く場合もあった。

　こうした背景の下、政府は今年4月に「個人情報の保護に関する基本方針」を閣議決定。大まかな方向性を示すとともに、各分野ごとにガイドラインを策定する計画を明らかにしていた。このたび経済産業省が示したものは、これを踏まえて示された初の指針であり、上記の疑問にかなりの程度答えるものとなっている。

「例示」を豊富に

　同ガイドラインでは、いくつかの該当例／非該当例を挙げながら、「個人情報」（たとえば「特定の個人を識別できるメールアドレス情報」が含まれる）や「個人情報データベース」（「メールソフトに保管されているメールアドレス帳」や「ユーザーIDと利用した取引についてのログ情報が保管されている電子ファイル」などが含まれる）の定義から、具体的な対応のあり方までが示されている。

　特に、第20条で規定されている「安全管理措置」については、多くの分量が割かれた。数ページにわたって作業ステップごとに必要な対策を挙げ、「組織的」「人的」「物理的」「技術的」の各分野にまたがり安全管理措置を取るよう述べられている。

　この項では一方で、「必要かつ適切な安全管理措置を講じているとはいえない場合」もまとめられている。その具体的な例として、「公開されることを前提としていない個人データが事業者のWeb上で不特定多数に公開されている状態を放置している場合」「個人データに対してアクセス制御が実施されておらず、アクセスを許可されていない従業者がそこから個人データを入手して漏えいした場合」などが挙げられている。