前回は、漏えい事故が発生した場合の対応について説明した。最終回となる今回は、本人、行政、社会という利害関係者への対応ポイントを解説する。
個人情報保護法上は、情報漏えいなどの事故が発生した場合の対応を具体的に既定していない。一方、各省庁ガイドラインでは、「個人情報の保護に関する基本方針(2004年4月2日閣議決定)」において、「6−(1)−1 事業者が行う措置の対外的明確化」の一環として「事業者において、個人情報の漏えい等の事案が発生した場合は、二次被害の防止、類似事案の発生回避等の観点から、可能な限り事実関係等を公表することが重要である」と記述されていることを受け、事故時の対応が規定されている。
このため各事業者は、所管する省庁のガイドラインに従った漏えい対応をすべきである。所管する省庁は、事業ごとに定められ、同一企業においても、複数の主務大臣が関与しうることから、それぞれの事業ごとに対応を考えなければならない。第1回で説明したように、各省庁ガイドラインでは、以下の点について定めている。
各事業者は、行政機関、本人、社会に対して漏えい事故があった旨を通知、公表することの意味を考えるべきだ。個人情報保護法の第1条では、「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」と定めている。漏えいした場合、次のことを通じて、本人の権利利益を保護することに資することになる。
個人情報保護法を順守するにあたっては、利害関係者に対する結果および、結果に対する説明責任を果たすことが重要となる。ここでいう利害関係者とは、既存顧客や従業員といった本人、行政機関(所管する各省庁、捜査当局など)、取引先(委託元、共同で利用している者など)、社会などがありうる。また、認定個人情報保護団体の対象事業者である場合は、当該認定個人情報保護団体も利害関係者になる。
Copyright © ITmedia, Inc. All Rights Reserved.