Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

個人情報保護法の対応準備セミナー開催~稲垣隆一弁護士が講演


 東京・有明の東京ビッグサイトで14日まで開催されているビジネスイベント「ビジネスシヨウ TOKYO 2004」では、ビジネスフォーラムとして「個人情報保護法の対応準備セミナー」が開催された。セミナー第一部では、弁護士の稲垣隆一氏が「個人情報保護法の法的リスクと対応準備実務」と題した講演を行なった。


民間だけの問題ではなく、取引相手に応じた対応が必要

稲垣隆一弁護士
 稲垣弁護士はまず、企業を取り巻く個人情報保護法について言及。BtoCのみを行なっている企業であれば、個人情報保護法だけを考慮すれば良いものの、行政や外国企業との取引が存在する場合には、それぞれ「行政機関個人情報保護法」や「外国法」まで考慮に入れて対策をしなくてはならないと指摘した。

 特に行政機関では、一般の個人情報保護法よりもさらに厳しい制限が課せられており、業務委託などを受ける場合には、受託企業にもその制限が課せられるという。したがって、このような行政からアウトソーシングを受けている企業は「2005年4月の施行までに、何としてでもこれらの要件をクリアしなければ、施行以降に契約が継続できない可能性もある」と警告した。

 また、「具体的に何を満たさなければならないか?」という問題に悩む企業が多いが、同氏は「施行もされておらず、裁判所が判断を下していない現時点では、“消極的にとにかく堅く遵守する方向”で守るしかない」という現状を示した。


従来の常識を捨てなければ、個人情報保護法には対応できない

 稲垣弁護士は、個人情報保護法の“特有さ”も強調。従来の一般的な考え方では、企業がユーザーから取得した情報は“企業のものである”という認識が通常だが、個人情報保護法では、「情報の所有権はあくまでもユーザーにある」と解説した。

 これは、個人情報保護法が“個人情報はユーザー自身の人格である”と認識しているからだという。したがって、「企業はユーザーから“ユーザーの人格”を預かって大切に保管し、目的のためだけに利用しなければならない」というのだ。

 同氏は、「Aさんが毎週日曜日に牛肉を購入している情報がデパートに登録され、カローラに乗っていることが車会社に登録され、生命保険に保険内容が保存されている。これらの個人情報を蓄積し、一元的に保管されたら、Aさんの“人格の一部”が明らかになってしまうだろう」という例を挙げた。この考え方に沿って、個人情報保護法では“個人情報を人格と見なしている”というのだ。


法令遵守できなければ、すべてを捨てる覚悟が必要

 上場企業とっては、法律論を争えない点も大きいという。争えないというのは、個人情報保護法に関して“あやふや”な点があり、個人ユーザーから指摘された場合、通常なら裁判で争うが、個人情報保護法で争う場合は「裁判で勝ったとしても、“個人情報保護法を争った”というマイナスイメージは拭えない(稲垣氏)」以上、もはや企業には争う余地もなく、リスク回避のために堅くコンプライアンス(法令遵守)しなければならないと説明。2005年の施行までに法令遵守の準備ができないのであれば、個人情報をすべて捨てる覚悟が必要だとしている。

 ただし、現在企業が保有している情報に関しては、“利用目的”を明確に公表した場合には保持が認められているため、施行までに利用目的を決めれば捨てる必要はない。いずれにせよ、情報を6カ月以上保持する場合には、ユーザーに対する“開示義務”や“利用停止義務”などが生じるため、システム変更が少なからず発生し、企業はこれを負担しなければならないだろうと推測している。


情報の暗号化は必須。セキュリティ面ではISMS取得が条件と言える

 「何が個人情報にあたるのか?」という問題には、「企業自身が“これが当社の個人情報だ”というものを決めるつもりが必要だ」という。判例がない現時点では、「A社における2004年5月13日の法務部長」という肩書きだけでも、名前等に辿り着くことは可能であるため、個人情報と見なす方が無難だとしている。

 これらの個人情報は、暗号化することはもはや必須であり、ユーザーから問い合わせがあった場合に合わせて、検索性も重要だという。

 また、情報セキュリティは“実証”することが重要であり、実証するためには枠組みが必要だと説明。企業においては、実証して信頼を得るためにも、「ISMS(情報セキュリティマネジメントシステム)は、法律家から見ても合理的な枠組みだ」と意見を述べた上で、「最低限、ISMSの取得が必要だろう」とコメントしている。


今後の個人情報は、病院のカルテ情報のような取り扱いが必要になる

 最後に稲垣弁護士は、個人情報保護法が施行された後の“個人情報”について、「病院のカルテ情報のような取り扱いが必要」と例えた。通常、通院した患者のカルテ情報は、“治療のため”や“研究目的のため”といった限定された用途に絞られて取得するものだ。さらに、非常にセンシティブな内容を含むため、一般的に慎重に取り扱われている。

 一方で、「従来のように、一般企業でも“お金を出して収集した情報なんだから、扱い方はウチの勝手だろ”といった認識では、到底通用しないだろう(稲垣氏)」と警告し、病院のカルテ情報のように“用途を限定”し、“最大限慎重に取り扱う”ことが最低限のルールとして必要であると訴えて、講演を締めくくった。

関連情報

URL
  個人情報保護法の対応準備セミナー
  http://bs.noma.or.jp/2004/seminar/s02.html#b2


( 大津 心 )
2004/05/14 11:16

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.