財団法人インターネット協会は23日、都内で「インターネットにおける個人情報保護と人権」セミナーを開催した。セミナーは、弁護士法人英知法律事務所の岡村久道弁護士による「知らなければ許されない個人情報保護法の基礎知識」と題した基調講演で始まった。
● 個人情報保護法では行政処分、プライバシー権では損害賠償責任
|
弁護士法人英知法律事務所の岡村久道弁護士
|
岡村氏はまず、押さえなければいけない点として、個人情報保護法は「事故が起きないようにするための“道路交通法”と同様の位置付けだ」と説明。つまり、道交法では、時速50km制限や右折禁止などハンドルを握るためのルールを定義。違反者には行政処分を行なう。同様に個人情報保護法では、個人情報を取り扱う場合のルールを示しているという。
また、個人情報保護法に違反すると、行政処分はされるものの、行政命令違反があって初めて刑事罰の対象になる。「損害賠償請求もできないので、そういう意味では個人情報保護法はダイレクトに被害者を救済する法律ではない」と述べた。
岡村氏は、京都府宇治市での住民基本台帳データ約22万件が漏洩した事件を例に説明。この事件では、最終的に漏洩した者を起訴できなかったばかりか、訴えを起こした宇治市側が被害者から訴えられ、プライバシーの侵害として宇治市が損害賠償を支払うことになった。岡村氏は、「当時はプライバシー権が争点になって損害賠償請求となったが、現在であれば、個人情報保護法による行政処分も合わせて実施されるだろう。今後はプライバシー権と個人情報保護法による二本立ての責任追及ができる」と述べた。
なお、エステ会社の個人情報が流出した事件についても言及。プライバシー権による損害賠償請求はエステ会社に、流出した者がWinMXなどのP2Pネットワークで利用するプロバイダーに対しては発信者情報開示請求訴訟が起こされた。発信者情報開示請求訴訟は、「あまり報道されないようだが、2003年だけで東京地方裁判所で十数件起訴されている。そのうち数件は開示請求が認められているようだ」という。
|
|
京都府宇治市での住民基本台帳データ約22万件が漏洩した事件
|
エステ会社の漏洩事件。プロバイダーには発信者情報開示請求訴訟が起こった
|
● 対応は民間が遅れている
個人情報保護法は2003年5月に制定されており、具体的な対応は順次進んでいる最中だという。政令は2003年12月に制定したが、内閣の基本方針や各主務官庁の指針などは今後制定される予定。岡村氏は、各業界に対して監督する各主務官庁の中でも、「4月から5月にパブリックコメントが付される経済産業省の対応が最速。遅くとも2004年末までには総務省もガイドラインを発表する」と各省庁の対応を紹介。なお、業界横断的に対応する必要がある人事関連の対応については、厚生労働省が管轄しているが、進捗状況は不明だとし、旧労働省時代の指針が継続して利用されるのではないかとの見解を述べた。
民間団体については、「まだ、明確に指針を定めている業界団体はないが、2005年4月1日には個別の企業に対する義務規定が施行される。それまでには決定されるはずだ」という。
なお、個人情報保護法は、公的機関と民間団体に共通した基本理念などをまとめた基本法の部分と民間の個人情報取扱事業者が負うべき義務を定めた一般法の部分から成り立つ。民間以外の公的機関を対象にした法律も存在し、国の行政機関を対象にした「行政機関個人情報保護法」、独立行政法人などに適用される「独立行政法人等個人情報保護法」もある。
岡村氏は、病院で診察を受ける場合を例に挙げ、「私立病院は個人情報保護法、国立がんセンターなどの国立病院は行政機関個人情報保護法、国立大学病院は今春から国立大学法人に移行するので独立行政法人等個人情報保護法、都立の病院では、東京都の定める個人情報保護条例が適用される」と説明。「同一の患者が病院間の紹介もしくは自由意志で行き来するものだが、それぞれ適用される法律が異なる」とし、複雑な法制度に対して「成立過程では、こんなに複雑でいいのかという意見もあった」と述べた。
|
|
個人情報保護法は2003年5月に制定されているが、具体的な対応は順次進んでいる最中
|
病院で診察を受ける場合を例に挙げた
|
● 個人情報保護法で規定する個人情報とは
|
プライバシーと個人情報との相違
|
個人情報保護法で規定する個人情報とは、「生存する個人を識別できる情報だ」とコメント。「従って、通常は法人や死亡者は除外される。また、例えば埼玉県の人口を公開しても、そこから個人を識別できないため、個人情報ではない」と述べた。逆に、IDなどが記載されただけの情報であっても、「それらがほかのデータベースを利用することで、簡単に照合できる場合は個人情報に該当する」と指摘。具体的な情報でなくとも、通常業務で個人を特定できる情報は個人情報に該当するとして注意を促した。
「プライバシー権では、一般に知られていない事柄であること(非公知性)や、一般の人なら公表を欲しない事柄であることなどが必要だとして強調されるが、個人情報保護法では、こうした要件は不要で、個人が識別できるという“識別性”が重要」だとし、その適用範囲は、外部との繋がりが強い営業部門だけでなく、人事部など社内の管理部門にも及ぶという。「社内の人事考課や、クレーマー顧客に対する対応履歴も個人を識別できる個人情報。部門を超えた全社的な取り組みが必要だ」とした。
なお、個人情報を取得する際には、事前に利用目的を特定し、これを情報元の顧客に対し通知または公表する必要がある。また、過去6カ月以内にわたり5,000人以上の個人情報を取り扱わない事業者は、個人情報保護法の適用外であることも指摘した。
岡村氏によると、個人情報保護法では、「大枠として『個人情報』があり、その上にデータベースとなる『個人データ』、さらに、本人が事業者に対し自己情報の開示、内容の訂正などを行なえる『保有個人データ』が積み上げられている格好だ」という。
「個人データ」は、電子・非電子に関わらず検索機能や目次・索引など、いわばデータベースとして利用できるデータ群が対象と規定。データの「正確性の確保」や、そのデータに関する情報セキュリティが、それを扱う従業員や委託先に対する監督義務などを含めて義務付けられている。第三者に提供する場合についても、事後のオプトアウト(本人の申し出による個人情報の提供停止)を行なうこともできるが、あくまでも原則として、あらかじめ本人の同意が必要だ。ただし、「百貨店が宅配業者を利用して配送する場合や、営業譲渡などによる顧客情報移管などで、利用目的に変更がない場合には、同意は不要」と解説した。
「保有個人データ」は、6カ月以上利用する個人データで、事業者が開示や内容の訂正などを行えるもの。情報元になった顧客の求めに応じて、「利用目的の通知」「個人情報の開示」「訂正」「利用の停止」を行なう義務が設けられているという。
|
|
「大枠として『個人情報』があり、その上にデータベースとなる『個人データ』、さらに、事業者が第三者への提供や情報の開示などを行なえる『保有個人データ』が積み上げられている格好だ」(岡村氏)
|
持っているデータが個人情報かどうかを判別するチャート
|
● 違反を繰り返すと、6カ月以下の懲役も
岡村氏は、「個人情報保護法の実効性を担保するため、必要な措置も規定されている」という。「できるだけ当事者間の自主的な解決を促すもの」と同法の趣旨を説明した上で、「違反に対して行政命令を受けたにもかかわらず、さらに違反した場合、最終的には6カ月以下の懲役、または30万円以下の罰金に処せられる可能性もある」と述べた。
最悪の事態を防ぐためには、「自社内にあるデータの洗い出しや、対応をフローチャート化して“抜け”のないようにする必要がある。また、『JIS Q 15001』のようなマネジメントシステムを活用するのも有効だ」とコメント。「個別の義務規定施行まで、あと1年しかない。公的機関も含め、やるべきことは多い」と今後の対応を促して、講演を締めくくった。
関連情報
■URL
「インターネットにおける個人情報保護と人権」セミナー
http://www.iajapan.org/hotline/seminar/jinken2004.html
■関連記事
・ 個人情報保護の問題点と対策~ヤフーの法務部部長らが講演(2004/03/23)
( 鷹木 創 )
2004/03/23 17:01
- ページの先頭へ-
|