個人情報保護法対策コラム【セコム】-

HOME＞コラム一覧＞セコムトラストシステムズの考える情報セキュリティ＞個人情報保護法対策コラム

2005年4月より、全面施行された「個人情報保護法」。個人情報を取り扱う事業者は、本法に基づき個人情報を適正に取り扱わなければならず、それに反した場合は行政処分、さらに主務大臣の命令に反した場合には罰則が科せられるようになります。
これまで起こってきた情報漏洩事件を見てもわかるように、個人情報が適正に取り扱われず漏洩してしまった場合、賠償金の負担などにより経営に大きな打撃を与えるばかりか、企業としての信頼を失うことになります。
そのためにも企業は、個人情報を適切に取り扱い、漏洩などの事態を引き起こさないよう、早急に的確な対策を取る必要があるのです。

そもそも個人情報保護法とはどんな法律？

個人情報保護法は、「個人情報を取り扱う事業者の遵守すべき義務等を明らかにするとともに個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」を目的として2003年5月23日に成立、同30日に公布・施行されました。そして2005年4月1日より、「過去6カ月間以内のいずれの日においても個人情報データベース等に含まれる特定の個人の数が5000を超えない者を除く事業者（個人情報取扱事業者）」に対して、個人情報の取り扱いに関する義務を定めた規定が施行されました。

ここで注意したいのが、「法の適用対象となるのは個人情報データベース等に含まれる個人の数が5000以上の事業者である」という部分です。顧客数が数百名の事業者様の場合、個人情報取扱事業者とはならないのでは、と考えるかもしれません。しかし、顧客数が数百名でも十分に当てはまる可能性があるのです。

「個人情報データベース等」に含まれる個人の数には、顧客情報、取引先企業の担当者情報だけでなく、自社従業員の情報や、求職者の履歴書なども含まれます。たとえば、ホームページのログを記録している場合、ログにあるIPアドレスは、個人を特定できる情報として数えられる場合もあります。
これらのことを考えると、ほとんどの企業が「個人情報取扱事業者」の対象となり得るのです。

「保有個人情報データベース等」とは個人データの集合物であって、容易に検索できるよう一定の規則に従って整理・分類し、目次、牽引、符合等をつけ体系的に構成したもの。

「個人情報」「個人データ」「保有個人データ」

個人情報保護法では、個人に関する情報と「個人情報」「個人データ」「保有個人データ」に分類されています。この分類により個人情報取扱事業者の義務が異なってきます（“個人情報保護法における企業に課せられる義務”参照）ので、まずは、この点をしっかり抑えることが肝要です。

A：個人情報　2条1項

生存する特定の個人を識別することができるものまたは他の情報と容易に照合することができ、それにより特定の個人を識別できるもの

B：個人データ　2条4項

特定の個人情報を、コンピュータ等を用いて検索することができるよう体系的に整理した情報の集合物（個人情報データベース等）を構成する個人情報

C：保有個人データ　2条5項

開示・訂正・利用停止等の権限を有する個人データのうち、6か月以内に消去する予定のものを除いたもの
（存否が明らかになることにより共益等が害されるものを除く）

個人情報保護法における企業に課せられる義務

義務規程（○：適用対象　×：適用対象外）

個人情報

個人データ

保有個人データ

15条

（利用目的の特定）

○

16条	（利用目的の達成に必要な範囲を超えた取扱いの制限）

17条	（不正な手段による取得の禁止）

18条	（取得に際して利用目的の通知等）

19条	（データ内容の正確性の確保）

×
（※注）

○

20条	（個人データの漏えい防止等の安全管理のための措置）

21条

（従業者の監督）

22条

（委託先の監督）

23条	（第三者への情報提供の制限）

24条	（利用目的等を本人の知り得る状態に置く義務、本人の求めに対する本人情報の利用目的の通知等）

○

25条	（本人の求めに対する本人情報の開示）

26条	（本人の求めに対する本人情報の訂正等）

27条	（本人の求めに対する本人情報の利用停止等）

31条

（苦情の処理）

○

※注：	個人情報保護法上の義務は定められていませんが、「個人情報」についても、漏洩などの事故を発生させたときは、プライバシー侵害の問題などが起きる可能性があり、必要･適切な措置を講じる必要があると考えられます。

では、次に個人情報保護法の施行前と後とを比較して見てみましょう。