福島ロータリークラブ｜会報vol11　(9/22)

　個人情報保護法について、時間も限られておりますので、簡単にお話します。加藤プログラム委員長から話があった時は、簡単に引き受けたのですが、30分程度で話せる内容ではありません。皆様とお話しをすると「個人情報保護法はいったいどういうことなのだ」とか「判りにくい」との印象を漏らされる方が非常に多いので、本当に判りにくい法律だという所を判っていただければ、今日のスピーチとしては目的を果たせるのではないかと思いますのでよろしくお願いいたします。本当に毎日、新聞に何かしらこの記事が掲載されていますが、資料の一番最初は、銀行の契約社員が個人情報の載った書類を持ち帰ったところ駐車場で盗まれたという記事です。その次は全日空のお得意様の会員機関紙を郵送する名簿をフロッピーに保存しておいたが、それを紛失したというものです。これは本当に盗まれたかどうかは判らないけれども少なくともデータが無くなったという事実を会社自体が公表したというケースです。この記録を見る限りクレジットカード番号や電話番号は記載されていなくて最初のケースと比較すると傷が軽いのかなと思うようなデータであります。もうひとつは、パスワードがあるので簡単には開けないだろうという記事になっています。こういう記事を見ると、従業員が名簿業者にリストを売ってしまったという極端なものでなく、日常茶飯事でこういう問題が起きていて、皆さん記事を見ると「個人情報の問題」だなという所までは感じると思いますが、実際にそれがどういう問題があって、会社としてどういう責任が生じるのかというところまではなかなか判りにくいのだと思います。では、皆さんに○×問題を聞いてみたいと思います。 ①個人情報保護法は個人のプライバシーを守る　　法律である？ ②個人情報保護法は情報流失の被害者が損害賠　　償をするための法律である？いかがでしょうか？まず、個人情報保護法は、プライバシーを守るための法律ではないということです。どういうことかと言うと個人情報の適切でない取り扱いによって色々な権利や利益が侵害される。そういった侵害を防止する為に個人情報を取り扱うルールを決めている法律だと理解すべきです。ですから個人情報イコール、プライバシーではない。勿論、個人情報の中にはプライバシー情報が含まれているケースがありますからその中に含まれるプライバシーを守るという効果は出てくると思いますが、法律の趣旨としてはプライバシーを守るということではありません。この個人情報を取り扱うルールを決めているということは、交通事故でいう道路交通法だと理解していただくと良いだろうと思います。道路交通法は、自動車運転を適正にやって頂くためのルールで、例えば自動車事故を起こして損害賠償をする場合は民法ですし、他人を怪我させた場合は刑法の業務上過失傷害・過失致死ということになります。個人情報について言えば、個人情報の取り扱いのルールを決めているのが「個人情報保護法」であり、個人情報が盗まれたり・漏れたことによって例えば、その名簿を元に振り込み詐欺の対象になるとか、見たくもないダイレクトメールがいっぱい来るといった現実の被害が出た場合、民法の損害賠償で処理されます。そこが先ほどの○×問題でプライバシーを守る為だと捉えたり損害賠償をするための法律というわけではありません。個人情報保護法には適用除外があります。報道機関の報道・著述業者の著述・学術研究機関の学術研究・宗教団体の宗教活動・政治団体の政治活動などでは、取り扱いの主務大臣の監督などが出てくることや、本来の活動を充分にやってもらうという意味で規制を加えないという面があります。個人情報保護のキーワードがいくつかあります。まず、「個人情報取扱業者」とは、個人情報データベース等を事業に供している者、要するに事業上使っている人をいいます。「個人情報データベース」とは、特定の個人情報となります。では個人情報とは、個人を識別できる情報です。例えば名刺に住所と名前、電話番号が書いてある完全な個人情報です。それから電話帳に名前と電話番号が書いてあるものも個人情報です。ですから個人情報の範囲というのは非常に広くなります。その中には、預金残高とか、お医者さんのカルテなど個人情報の中でもプライバシー度合いの非常に高いものがありますが個人情報保護法の中では、全く区別していません。ですから単なる住所と名前が書かれているものであっても個人情報で適切な取扱いをしないと個人情報保護法違反となります。どうしてもプライバシー情報だけが重要だと考えがちですが、それは単に情報が漏れたときに損害が大きいという意味で、個人情報の取扱いにおいては一緒となります。名刺交換は個人情報の取得になり、名刺の情報を元にダイレクトメールを送りたいときは許可をもらわなければならないということになります。ビデオに写っている映像や遺伝子情報も個人情報になります。「個人データ」とは、個人情報をデータベース化した情報になります。例えば頂いた名刺をエクセルにいれて並べたとなると「個人データ」となります。また、「保有個人データ」とは自分が責任もって作り、間違っていた場合修正したり増やしたり減らしたり出来るものがその会社なり事業所の「保有個人データ」となります。我々がロータリーの名簿を持っているというだけでは「保有個人データ」にはなりませんが「個人データ」であるから個人情報保護法の義務は生じることとなります。つまり、個人情報がまとまって「個人データ」になり、それが自分の責任で作っているとなると「保有個人データ」となり、その3つの情報の括り方に応じてそれぞれの義務が生じてくることになります。個人情報取扱事業者は、民間の事業者が殆どで、国や地方公共団体は除外されています。それから情報の量が少ない事業者は外すとされておりその基準は5,000件の情報とされていますので大概のところは、個人情報取扱業者となるかと思います。個人情報取扱業者が個人情報を取り扱う場合には、利用目的を特定しておかなければならないとされています。例えばアンケートをもらうという時は、アンケートをまとめる為の個人情報ですから、その情報を違うダイレクトメールには使用できません。違う目的に使用する場合は、予め知らせておく必要があるため、最近のアンケート用紙には「この個人情報は今後の商品のご案内の発送に使わせて頂きます」など記載があるかと思います。「適正な取得」とは、例えば侵入して盗んでくるなどは論外ですし、虚偽の目的を伝えて取得することも不正な取得として禁止されており罰則の対象となるということです。18条には「取得に際しての利用目的の通知・公表」が書かれています、その取得が予め目的がわかりきっているという場合には、例外とされています。名刺を交換するなどは、今後のビジネス上の連絡のための情報だと言う事がお互いわかっていますが別の目的に使うときには予め利用目的をいわなければならないと規定されています。「個人データ」については、19条～23条までで事業者としての注意義務が規定されています。要するに、データを正確にしなさい、あるいはデータが漏れたり、無くなったりしない様な安全管理の措置をとりなさい、それから従業員や派遣社員、アルバイトでも仕事に関わっている人の監督を行い安全に管理をしなさい、それから委託先で漏れないように注意しなさいとの規定もされています。それから自分の会社で入手した個人情報を別の会社に提供する場合には、勝手には出来ず、その本人の同意を得なければなりません。今までは、例えば銀行と銀行の子会社であるクレジット会社が情報を使うことがないわけではなかったわけですが、そういうことも出来なくなっています。「保有個人データ」の場合は、どういう保有個人データを持っているのかリストを作らなければならない。また、見せてくれという要求があれば見せなければならない、それが間違っている場合に直してくれとの要求に応じなければならないというように事業者側の責任が生じます。これが「保有個人データ」での規定です。今回、個人情報保護法が出来たことによって、個人情報という言葉に対する意識は高まったと思います。個人情報はそう簡単に取得したり渡したり出来ない、あるいは簡単に使えない、そういうものなのだという意識を従業員を含めて徹底しなければなりません。個人情報の持ち出しや、パソコンの管理なども従来に比べると徹底されてきていると思いますが、なお徹底しなければなりません。また、情報管理のシステムを会社できちっと作り、かつそれに対しての責任体制をきちっとしなければならないというのがこの法律の狙いとなります。最後に、個人情報を手に入れるということはかえって負担になるわけです。昔はたくさん顧客の情報を持っていると営業には役に立つし、成績も伸びるだろうということで何でもかんでも集めましたが、今は、集めたことできちんと管理しなければならないという意味でかえってリスクが大きくなります。個人情報を取得するときも必要な範囲で貰えばいいですし、それから用済みになったら適切に廃棄することが必要になります。要するに持っている情報が少ない方が企業としてはリスクが少ないのだという考え方が今の個人情報保護の基本的な考え方だと思います。どうぞ皆様の会社でもご注意して対応していただければ幸いでございます。