第1回 個人情報保護法で何が変わるのか？：個人情報を読み解くキーポイント（3/3 ページ）

[牧野二郎（牧野総合法律事務所），ITmedia]

第3：開示請求等対応（個人情報保護法　第25条、第26条、第27条）

　今回初めて規定されたものには、開示請求、訂正請求、利用停止請求というものがある。本人（情報提供している消費者のこと）であれば誰でも事業者に対して、こうした請求をすることができるようになるのだ。つまり事業者が持っている情報（保有個人データと呼ぶ）の開示や、訂正を求めることができるというものだ。事業者はこうした請求がいつくるかわからないので、いつでも迅速に対応できるよう体制を整えておかなければならない。

　特に難しいのが本人確認という作業だろう。すなわち、他人の情報を開示した場合、情報漏えいとして批判されるため、必ず本人であることを確認し、当該本人の情報を開示するようにしなければならないのだ。本人確認の方法は実は大変難しく、統一した方法はない。ただ、書面で請求してもらい、かつ、本人確認書類の写しの添付をお願いするのが最も安全と言われている。住民票などを添えてもらえば、それに従って処理すればいいのだから、間違えることがないというわけだ。

事業者はどこまで対応すべきなのか

　現在の事業者の悩みは、どこまで対応すべきか、つまり「法律が変わったことはわかった。しかし、すべてをやれと言ってもそれは無理だ」という点になる。それは「出来ることからだけやりたいが、どうしたら良いのか知りたい」といった要望とも言える。

　大きな声では言えないが、出来もしないことをやるように求めてもしかたのない。何から始めるかを明確にしていくのが最善の方法である。ただし、法律の基準は最低基準となるため、すべて充足するように頑張るとして、次にやるべきことを順次挙げてみよう。

　まず、何よりも初めにすべきことは、パスワードの厳格な管理の実施である。これまでの事故例を見ると、そのほとんどがパスワードの管理ミスや従業員の悪用といった内容になっている。従って、何よりも初めに手を付けたいのがパスワード管理になる。

　2番目はノートPCやUSBメモリなどの管理である。落としたり、盗まれたという事故実例がとにかく多数報告されている。また、会社から自宅へ持ち帰った際に事故を起こすというケースが何度も報告されている。それにもかかわらず、いまだに重要書類、重要データを持ち帰るという間違いが繰り返されている。早急にルールを作り、記憶端末やノートPCの持ち出し、自宅への情報の持ち出しを徹底して規制管理していただきたい。

　3番目はごみの処理が挙げられるであろう。個人情報が記載された書類を可燃ごみとして出してしまったり、シュレッダーもかけずに捨ててしまう事故も無視できないほど多発している。コピー用紙の破棄処分の際には必ずシュレッダーをかけるルールを作らなければならない。

　4番目は電子メールの誤送信やファックスの送付ミスへの対策である。この事故は、起きてすぐ発覚するもので、否定しようのないミスとなる。こうしたミスが起きないように二重三重の対策が求められる。電子メールの場合、発信する前に警告表示が出る設定にすることができる。また、ウイルス対策ソフトにもこうした警告表示を出す仕組みがあり、大変有効に使えるはずである。重要なのは送り先が表示され、確認できることだ。ファックスに関しては重要情報などを送る際に、受信相手が電話に出たのを確認してその場で送るという「ウエイティング・ルール」を採用するのが効果的だ。要は昔のファックス送信システムのことである。こうした手順を踏むことで、送付ミスはほとんど確実に防ぐことができるはずである。

　こうした点を重点的に検討してみていただきたい。

牧野二郎（牧野総合法律事務所）プロフィール

1953年生まれ、中央大学法学部卒業。弁護士。法的側面からのセキュリティ対策サービス、電子署名制度による安全な取引を実現するためのリーガルサービスの提供に特化し、制度整備を通して、情報社会のあり方、自己実現の方法など、積極的なかかわりを提言している。

最近の主な著書：『企業情報犯罪対策入門』（インプレス）、『即答！個人情報保護』（毎日コミュニケーションズ）