個人情報保護法対策の落としどころを探るには
MS本部
山下 徹治
個人情報保護法が施行され、約2ヵ月が過ぎました。予想以上に消費者のプライバシー意識は高まり、企業の個人情報保護への取り組みも加速してきたという印象を持っています。この傾向自体は歓迎できるのですが、ちょっと神経質になりすぎかなという企業も少なからず見受けられます。
例えば、「営業マンが収集してくる名刺の管理は個人情報だから、日々きちんと枚数を把握して、紛失していないかチェックしなければならないのではないか。」であるとか、「Webで販促キャンペーンをやるのだけれど、もし開示請求や削除依頼がきたらどうしよう。本人確認の方法も決めなければならないし、窓口も設置しなければならない。コストがかかるなあ。」というような心配をされている方が増えているのではないでしょうか。
これだけ個人情報保護が注目されているので、オーバースペックでもいいから対策を厳重にやっておきたいという気持ちはよくわかります。ただ、個人情報保護法のことをあまり理解しないままオーバースペックな対策を続けていくのは避けたいところです。そのような管理を続けていてはコストばかりがかさみ、企業運営がおかしくなってしまいます。本日のコラムでは、もう一度個人情報保護法に立ち返り法律自体がどの程度の対策を求めているのかを考えてみたいと思います。
「個人情報」「個人データ」「保有個人データ」の違いがわかりますか?
個人情報保護法をよく読んでみると、「個人情報」という単語以外に「個人データ」「保有個人データ」という似通った単語が出てきます。実はこれらの単語の意味はそれぞれきちんと定義されていて、使い分けがなされています。この3つの単語の違いは非常に重要なのですが、それぞれの違いを正しく理解されている方は意外と少ないようです。
個人情報保護法では以下のように定義されています。
- 個人情報
- 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
- 個人データ
- 個人情報データベース等を構成する個人情報をいう。
※個人情報データベース:個人情報を含む情報の集合物であって、次に掲げるものをいう。- 一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
- 二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
- 保有個人データ
- 個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。
やや乱暴ではありますが要約します。本人を特定できる情報を含んでいれば(他の情報との組み合わせであっても)個人情報。個人情報をデジタルでも紙でも整理して検索できるような状態にまとめたものが個人情報データベース。そのデータベースに登録された個人情報が個人データ。その個人データのなかでも6ヵ月以上保持し、自分たちの会社が管理責任をもっている個人データが保有個人データということになります。個人情報には、収集する⇒データベース化する⇒利用する⇒維持する⇒破棄するというライフサイクルがあるわけですが、そのフェーズによって個人情報⇒個人データ⇒保有個人データと出世魚のように名前を変えるのです。
名前を変えることの意味
名前が変わるのには当然意味があります。個人情報を収集する段階では利用目的を特定し、取り扱い方法を決め、本人に通知して合意のもと収集することが義務付けられます。収集した個人情報はデータベース化されたあと、社内もしくは委託先での適正な管理が必要です。そういう管理が必要な個人情報のことを個人データと呼びます。また、個人データには、自社で直接収集したものと顧客からの委託など間接的に収集したものの2種類あり、個人データでも直接収集し、かつ長いライフサイクル(半年以上保有するもの)については保有個人データと呼ぶことになっています。保有個人データは本人からの開示・訂正・削除の要請に対して対応を義務付けられています。
ポイントは2つです。まず、個人情報データベースにする前の段階では、会社としての適正な管理は法的には不要ということ。もう1つは、間接収集した個人データや6ヶ月以内の短期保有する個人データについては、開示請求や訂正・削除要求に応える必要は法律上ないということです。
どこまでやれば個人情報保護法に則っているといえるのか
先ほど例として挙げた名刺の管理や、キャンペーンで収集する個人情報の管理はどうすればいいのでしょうか。このような個々の事例について検討する場合、経済産業省が出している「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」は非常に役立ちます。ガイドラインを見てみると、「従業員が、名刺の情報を業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて入力・整理し、他の従業員等によっても検索できる状態にしている場合」は個人情報データベースに該当すると例示されています。ということは逆に、営業マンが個人で名刺情報をデータベース化していても、他の従業員等によって検索できない状態(施錠した引き出しにしまう、自分しかアクセスできないPCに保管するなど)であれば個人情報データベースではないということです。つまり、個々で管理している限り名刺は個人データではなく個人情報として扱っても良いということになります。ということはアクセス制御などの漏洩対策は当然必要だとしても、それ以上の会社レベルの管理は現実的に無理ですし、法律も求めていないと言えます。
また、Webで販促キャンペーンをやるにしても、キャンペーンの一連の業務が半年以内ですべて終了し、その段階で個人データは破棄しても構わないというものであれば、保有個人データにはあたりませんので、特に本人からの開示・訂正・削除などの求めに応じる義務はないのです。もちろんそれが顧客サービスとして適切なのかというのは別問題です。ただ、クレーマーまがいの不当な開示請求などに対しては毅然とした対応がとれるのではないでしょうか。
このように、個人情報保護法はあらゆる個人情報に対して一律の対応を求めているわけではありません。対策を検討する際には、該当する情報が「個人情報」「個人データ」「保有個人データ」のいずれかを考え、最低限それに見合った対策を施せばいいと考えればだいぶ気が楽になりませんか。