Enterprise Watch
最新ニュース

西村弁護士、「個人情報保護は社員の意識改革から」

~今からでも間に合う!個人情報保護法対策セミナー

 株式会社ネットワークバリューコンポネンツが11月19日に開催した「今からでも間に合う!個人情報保護法対策セミナー」において、成和共同法律事務所の西村賢弁護士が、「個人情報保護法における企業の責任と課題」と題した講演を行った。


成和共同法律事務所の西村賢弁護士
 個人情報保護法とは、2003年5月23日に成立し、2005年4月1日に全面施行される法律だが、その目的について西村氏は「憲法上保護されるべき個人の権利を守るもの」と説明する。しかしその役目はそれだけでなく、「個人情報自体には社会上・経済上の有用性があるので、それらとのバランスを取るため、例外規定が随所に設けられている」という。

 続いて、この法律の主体と客体を見てみると、まず主体は個人情報取扱事業者、と法律内で定義されている。「これは、個人情報を含む情報を検索できるようデータベース化し、事業に用いている者」であり、法人・個人は区別されていないし、営利性も考慮されていないという。例外としては、公的団体のほか、過去6カ月以内に扱った情報が5000人分を超えない者は対象にならないとされているが、顧客だけでなく、「従業員やその家族も個人情報となる点は注意しなくてはいけない」(西村氏)。

 また客体はもちろん「個人情報」なのだが、その内容は情報の区分によって3つに大別されるという。このうち一番大きな枠は「個人情報」で、これは特定の個人を識別することが可能な情報のこと。写真など画像もこの中には含まれる。次の「個人データ」と「保有個人データ」はともにデータベース化されたもので、これらの違いは「わかりやすく言えば、自分がデータを管理しているのかどうかの違い。たとえばある人が銀行に融資を申し込み、その銀行が信用情報を調査会社に照会したとする。この場合、どちらもその人の個人情報を手にするが、銀行が見るのは個人データ、調査会社が持っているのは保有個人データという扱いになる」(西村氏)という。この場合の個人データを管理しているのは、あくまでも調査会社だからだ。

 そして実際に法律の中では、これらの個人情報を扱う上での事業者の義務を述べているのだが、「一番基本となるのは、利用目的を特定して通知・公表し、その範囲内での利用を行うこと」(西村氏)になる。この場合に注意しなくてはいけないのが、その「目的」の書き方。経産省のガイドラインによれば、「サービス向上のため」「マーケティングのため」では特定したことにならないという。しっかりと定義する必要がありそうだ。

 それから、当然のことながら事業者は、漏えいを起こさないような適切な管理を求められる。「これが義務の中核」とした西村氏は、「従業員に対する管理・監督のほか、委託先に対しても同様に管理が求められる点に注意が必要。この義務をどうやって履行させていくかがポイント」と述べた。

 さらに第三者提供への提供は「事前に本人の同意を得る」もしくは「提供するときには求めなくてもいいが、提供しないでくれと言われたらやめられるようにする」のどちらかに制限される。「実際の場合、事前に同意を得るのは運営上難しいので、後者が多くなるはず。企業は停止措置をきちんと講じる必要があるだろう」(同氏)。このほか保有個人データでは、取扱状況の開示や、利用停止などを求められた時に応じなければならないので、迅速、適切な処理を行えるようにしておくべきだとも述べた。


罰則よりも社会的な影響が本当のリスクになる

 また同法では義務の規定だけでなく、罰則も定められている。しかし、情報漏えいリスクにおいて本当に重大なのは、漏えいが表面化した後に被る社会的な影響だという。これには、被害者へのおわびなどが含まれる直接的な損害と、イメージダウンによるシェア低下、株価下落などによる間接的な損害がこれには含まれるが、ともに膨大な損害を企業にもたらす。西村氏はYahoo!BBの例をあげ、「1人あたり500円のおわびだけでも総額40億円かかったが、これによって当期利益も最悪の赤字となり、株価も下がった」と述べたほか、民間の試算では、直接の損害が3億円、間接的なダメージが30億円というデータもあるとし、「情報漏えい対策は売上や利益にはつながらないが、起こった時のダメージを考えると、十分に対応する必要がある」と重要性を強調した。

 なお、おわび料に関してはYahoo!BBのほか、「孫請けのアルバイト学生が情報を流出させた宇治市の例では1人あたり1万円の慰謝料と5000円の弁護士費用が認められたし、ほかにも慰謝料が1万円という判決があった。また、ローソンではやはり500円の金券を配っている」と語り、比較的相場のようなものが決まってきているようだと現状を説明。しかし西村氏は「(一律どのくらい、ではなく)どんな情報が漏れたのか、また流出した情報の回収が可能なのか、といった要因によって判断すべきだろう。ネット上に流出したため情報の回収がまず不可能とされ、しかも基本情報に加え、スリーサイズなどまでが流出したTBCの場合、この10倍(10万円)は超えるのではないか」と述べた。

 一方、起こらないようにするための対策に関しては、「意識改革が何よりも大事だ」と主張する。「こんなにも漏えいが続くのは、意識が、法律の施行される4月以降に向かっているからではないか」とし、現時点から気を配っていくことも大事だと述べるとともに、「社長が意識を持つことが一番重要だが、それだけでは仕方がない。全社員が同じ目標に向けて動くべきだ」と強調した。

 さらにその上で、「個人情報管理では業務の効率性よりも安全性を優先すべき」、「社内にある個人情報を洗い出した上で、必要な情報を厳選して、余計な情報を持たないようにすべき、また廃棄する情報の管理にも留意する必要がある」、「管理者を決めて、権限をすべて与えるとともに責任も一身に追わせるべき」、「従業員教育の継続実施、委託先との意識の共通化を図るべき」、「漏えいが起きてから対応を決めても間に合わないので、事後対応をあらかじめ決めておくべき」などと注意点を説明。最後に、「ちょっとでも穴があるとそこから漏れる。それほど個人情報は流出しやすいし、一度漏れたらもう戻ってこない。管理は非常に難しい」と警告した後、「きちんとした体制管理は重要だが、それで終わりではない。常時チェックし直し、教育を繰り返し、それは重要な機密の一つだと全員が認識することが重要だ」と再度強調して、講演を締めくくった。



URL
  株式会社ネットワークバリューコンポネンツ
  http://www.nvc.co.jp/
  成和共同法律事務所
  http://www.seiwakyodo.com/


( 石井 一志 )
2004/11/19 19:26

Enterprise Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.