 |
 |
記事検索 |
イベントレポート |
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
【Net&Com 2004】講演レポート「個人情報保護法と情報漏えい対策」 |
||||||||||
|
||||||||||
|
~早とちりから問題が大きくなったドコモ関西のケースなど
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
4日に行なわれた「弁護士と徹底Q&A」の午後セッションは、弁護士の北岡弘章氏が「個人情報保護法と情報漏えい対策」と題した講演を行なった。昨今は企業の顧客情報流出の話題が頻繁にニュースとして取り上げられることが多くなったが、北岡氏は「個人情報保護法の全面施行は、平成17年4月からとまだ1年以上を残しているが、一般の消費者は“既に個人情報保護法が施行されている”という感覚でいることが多く、企業側はそういった意識を前提として情報の取り扱いを行なわなければならない」と述べ、出席者に特に注意を呼びかけた。 実務上問題になりやすいあんなケース、こんなケース
北岡氏は「除外規定に該当しない事業で5,000件以上の個人情報データベースを持っている場合は、除外規定が働かないため、カーナビ向けの利用だとしても個人情報取扱事業者としての義務が発生する」と述べ、それらの情報の利用に注意が必要なことを示した。 また、特に顧客名簿などの場合には、一般的にダイレクトメールの発送やアンケート業務などの目的で、外部企業にデータを委託するケースが多い。そのような受委託関係の場合、本来同法の定めでは個人への同意や通知・公表は不要とされている。 しかし、同氏は2003年に問題となったNTTドコモ関西の事例(携帯電話の解約者に対し、業務を委託した外部の調査会社の名前でアンケートを発送したことが個人情報の不正提供と疑われた事例)を引き合いに出し、「このような業務受委託の場合、アンケートを受け取った個人からは受委託の関係を確認できない場合が多く、不正な第三者提供と誤解されてしまうケースがある」と述べ、「このような場合は最低限業務委託元の名前でアンケートを発送するべきであり、できれば対象者に対して事前に第三者提供に関する同意を取っておくことが望ましい」との見解を示した。 もう1つ、実務上問題となりやすいのが、同法が定める個人データの利用形態のひとつである「グループによる共同利用」だ。 これについて同氏は「複数企業によるデータの共同利用の場合は、あらかじめ当該個人データを、利用する企業の具体名を列挙しておく必要があると解するのが通説」「後から(対象者の同意なしに)企業を追加することは認められない」と述べた。 さらに、「この制限は、例えばある企業が子会社を設立した場合や、業界団体や信用調査機関のような組織に新たに企業が加わった場合にも適用される。このため、『共同利用』という形態が実質的に非常に使いづらいものになっている」と指摘。これを回避するためには、「やはりあらかじめ対象者に対して、事前に第三者提供に関する同意を取っておく必要がある」と述べた。 個人情報はその性質上、一般社員やアルバイトなどもその情報を利用した業務を行なう機会が多くなることから、北岡氏は出席者に対して、以下のように事細かなアドバイスを送っていた。 ・できれば就業規則にあらかじめ機密保持義務を定めた上、就業規則の効力の及ばないアルバイト・派遣社員などは個別に誓約書等で同義務についての同意を取るべき。 ・社員の電子メールなどの内容チェックについてはプライバシー保護との関係から、社員の同意までは必要ないものの、チェックを行なっている旨の通知を行なう必要があるだろう。 ・社員が業務で交換した名刺についても、退社後の顧客情報の持ち出しを巡るトラブルを防ぐために、あらかじめ就業規則で「業務で得た名刺の所有権は会社に属する」などと定めておくとよい。 もし情報漏えいが起きたらどうするべきか? では、万が一実際に個人情報が漏えいした場合、どのような責任が発生するのだろうか。基本的に個人情報保護法自体は、行政と企業との関係を規定する法律であるため、北岡氏は「例えば、セキュリティホールを突かれて情報が漏えいしたような場合は、セキュリティホールが既知のもので、セキュリティ修正プログラム(パッチ)が提供されてから相当期間が経過しているようなものの場合は、同法上の責任を問われる可能性があるが、そうでなければ同法に基づく行政処分などを課される可能性は低いだろう」との見解を示した。 ただし、実際に被害を受けた個人との間の損害賠償等の場合はまた話が別で、「損害賠償には被害者救済の側面も大きく含まれるため、行政処分がない場合でも民事上の責任を問われる可能性は十分ある」と述べた。 実際に情報漏えい事故が起きた場合は、「下手に情報を隠すと、内部告発でその事実が明らかになった場合に、かえってイメージダウンが大きい」ため、まずは早期に漏えいの事実を公表した上で、漏えい事故に関するアクセスログなどの証拠を保全し、その後調査委員会などを設置して、できるだけ早期に漏えいに至った経緯や調査結果を公表するのが望ましい、と同氏はアドバイスした。 また、今年1月より、漏えい事故の原因が従業員等による情報持ち出しによるものの場合は、その管理体制などによっては不正競争防止法違反で当該従業員を刑事告発することも可能になったことから、被害者に対する事後対応の1つとして、これを活用することも視野に入れるべき、との見解を同氏は示した。 このほか、同氏は、前述のドコモ関西の事例の場合を取り上げ「実際には、個人情報保護法施行前の事件であり違法性がなかったにも関わらず、最初にマスコミの取材を受けた担当者が、違法性を認める旨の発言をしてしまったことから騒ぎが大きくなった」と述べ、そういった事態を防ぐためには、全社的な教育・監査を徹底することはもちろん、問い合わせがあった場合の体制の整備などもあらかじめ行なっておく必要がある、と語った。 最後に同氏は「法律施行まではまだ期間があるが、消費者側の意識の高まりが早いことから、今のうちに自社で保有する個人情報の洗い出しを進めた上で、今年4月以降に各省庁が公表する業態別のガイドライン等に従って早期に管理体制の整備を進める必要がある」と述べて講演を締めくくった。 関連情報 ■URL NET&COM2004 http://expo.nikkeibp.co.jp/netcom/index.shtml
( 松林庵洋風 )
- ページの先頭へ-
|
