UFJ経営情報クラブ
個人情報保護法の全面施行と企業内での対応方法
三宅法律事務所 弁護士 鈴木 雅人
1.はじめに
個人情報の保護に関する法律(以下「法」
といいます)は、第4章で「個人情報取扱事
業者の義務等」と題し、コンピュータ等のデ
ータベースで個人情報を管理し、これを業務
の用に供している事業者に対し、一律に一定
の義務を課すことを定めています。これらの
規定については、法成立の後、平成17年4
月1日まで施行が猶予されていましたが、先
日全面施行され、現在に至っております。
ここでは、同法の全面施行により、発生が想
定される事態と法への対応方法につき、お話
していきたいと思います。
2.全面施行により発生が想定される事
態について
法の全面施行により発生が想定される事態
としては、大まかに分けると、(1)個人情
報の取り扱いが法に適合していないとして、
情報主体(企業が保有する個人情報により識
別される個人のこと)等から答め立てを受け
る場合と、(2)法により情報主体に認めら
れている権利の行使が企業に対し行われる場
合、の2つが考えられます。
さらに(1)については、イ)利用目的の
明示等、情報主体への働きかけに関する部分
につき、対応が不十分である場合と、ロ)い
わゆる情報のセキュリティが不十分である場
合とが考えられます。
(1)については、事業活動上、法令違反の
状態が生じてしまっているわけですから、コ
ンプライアンス経営の観点からは非常に問題
があります。特にロ)に関連し、情報の漏洩
などが生じてしまった場合には、民事上の賠
償責任を問われたり、監督官庁からの処分を
受けたりする場合も考えられます。
(2)に関しては、法が定める適用除外の場
合を除き、基本的に情報主体からの請求に基
づき、企業は保有する個人データの内容を開
示したり、訂正したりする義務を負っていま
すので、無下に情報主体からの請求を断ると
民事上の賠償義務を負担させられるおそれが
あります。
3.法への対応方法
(1)の事態を回避し、あるいは(2)の事態
に適切に対処するためには、企業において法
に適合し、情報主体からの働きかけに呼応す
るための組織体制を整備しておく必要があり
ます。最低限、個人情報に関する利用目的の
明示・公表、安全管理体制の確立、情報主体
からの請求に対する窓口設置とマニュアル整
備は必須でしょう。
具体的な作業については、企業内部の現状
を、利用目的・アクセス状況といった情報そ
のものに関する部分と、HP上への利用目的
掲示の有無等、情報に対する企業内での対応
という2つの視点から把握した上で、
1)情報主体たる本人向けの各種開示文書の
作成
2)従業員向けの各種規定の作成と従業員教育
3)外部委託先選定基準の作成と委託契約の
見直し
4)本人からの開示・訂正等の請求に対する
対応窓口の設置とマニュアルの整備
5)監査体制の確立
といった流れを踏まえながら、必要な対応を
していくことになるでしょう。
事業継続上、個人情報の保有は不可欠です
が、保有そのものに法的なリスクを伴う時代
となりました。情報利用のメリットと保有の
リスクとのバランスを考えつつ、不要情報の
廃棄も視野に入れた適切な措置を講じていく
ことが望まれるところです。
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
