|
ニフティ株式会社 法務部 シニアスペシャリストの鈴木正朝氏
|
財団法人インターネット協会主催による「インターネットにおける個人情報保護と人権」セミナーが3月23日、都内で開催され、ニフティ株式会社 法務部 シニアスペシャリストの鈴木正朝氏による「個人情報保護法と企業の対応…管理者が留意したいコンプライアンス・プログラムの最新論点」と題した特別講演が行われた。
鈴木氏は、個人情報保護法に対し、「個人的には実験的な法律という印象を持っている。というのも、具体的な対処法がなにも示されていないからだ」と、受け入れる企業にとって対応策を立てづらい法律であると指摘した。
では企業としてはどのように対応すればいいのだろうか。鈴木氏は、「個人情報の取得から消去までの流れを把握する必要がある」と説明する。
まず利用目的を特定し、情報を取得することから始める。「利用目的が明確でないデータがもしあれば、そのデータは利用できないことになる。また、こういった不明なデータが他のデータに紛れ込んだ場合、データ全体を利用できなくなることもありうる」と、利用目的を明確化することの重要性を訴えた。「利用目的を定めるということは、その目的に縛られるということだ。しかし、ビジネスプランを明確化することにもつながる。この際、利用目的をあまり書きすぎると今度は制限となってしまうので、ぎりぎりの範囲でまとめることが重要になるだろう」と説明した。
次は、利用目的を取得対象の個人に対して明示することになる。このとき、気をつけなければいけないのが、間接的に個人情報を取得する場合だ。「通常、委託契約などの関係がある場合、個人に対して利用目的を明示することよりも、商慣習上委託契約を優先することが重要になる。となると、個人情報の扱いがあいまいになるおそれがある」と、現行どのような関係になっているか確認する必要があると述べた。また、直接対象とはなっていないが、「企業内でのデータ利用も気をつけなければいけない。たとえば、ユーザー部門とベンダー部門の間での情報の取り扱いも注意が必要だ。また、システムの連携により、自動的に取得したデータも対象となるおそれがある。明示しなければいけない対象はさまざまだ」と、幅広い範囲で意識する必要があると話す。
取得した個人情報の利用だが、これも現状の商慣習の変更を強いるおそれがある。鈴木氏は例として、「プロバイダーが量販店に契約代行を依頼している例を考えるとわかりやすい。量販店で加入申込を受け付けた場合、量販店はサポートの必要から自社の顧客として個人情報を取得することになる。これを修正する場合は、委託契約の内容を見直すなどしないといけない」とこれまでの商慣習で得た情報の取り扱いにも影響を与えると述べた。また、委託先に個人情報が残る場合、それをどのように管理するかも問題となる。「個人情報保護法では、委託先での情報漏えいなどについては委託元に管理責任が生じるが、どのように管理することになるのだろうか。委託先の監査を行うといっても他の情報を保持しているから現実的には難しい」と、今後解決しなければいけない事項として問題提起した。
また、企業内での個人情報の管理については、「派遣社員だから問題が起きているというのは間違っている。社員であるかどうかという区分は情報管理にとっては無意味だ」と、一部で派遣社員を問題視している風潮を非難。「管理対象の情報をセグメント化するなど、管理方法を工夫することが大切。また、監視ツールなどを採用するなどして監督することも必要だろう」と述べた。
個人情報の消去も、企業にとっては大変な作業が起こりうると指摘する。「必要のなくなった個人情報は消去することが求められているが、データベースシステムの多くはデータを蓄積することを目的としており、消去することは考慮されていない。そのため、実際にデータを消去するとなると、システムを変更することになる」と、正常に動作しているシステムを変更することまで考慮しなければいけなくなるおそれがあると指摘した。
鈴木氏は、「個人情報保護法を踏まえたコンプライアンスプログラムは、ただマニュアルを作ればいいというものではない。個人情報だけに特化しても運用できないものになるので、情報をどう取り扱うかという点を踏まえてアプローチする必要がある」と経営の視点から考察する必要性を訴えた。
■ URL
財団法人インターネット協会
http://www.iajapan.org/
( 福浦 一広 )
2004/03/24 00:00
|