ニュースレターNo.29/2005年3月発行
特集1:個人情報保護法とプロバイダー
国立情報学研究所客員教授 弁護士法人英知法律事務所 弁護士 岡村久道
1.個人情報保護法の概要
個人情報の適正な取り扱い方法などをルール化した個人情報保護法の全面施行日(2005年4月1日)が目前に迫りました。
最初にこの法律の性格を簡単に説明します。基礎知識が不十分なままでは理解が中途半端になり、対策に支障が生じる恐れがあります。読んでいて退屈かもしれませんが、少しの間、我慢してお読みください。
まず法律の目的です。高度情報通信社会では、情報処理システムを中心に個人情報の利用が拡大しており、情報ネットワークの普及はそれを加速しています。こうした個人情報の利用には有用性がある半面、個人情報の不適正な取り扱いによって漏えいなどの“事故”が発生し、プライバシーの権利その他個人の権利利益が侵害される恐れが増加していることも事実です。この法律は、そうした権利利益の侵害を未然に防止するために、個人情報(生存する特定の個人を識別できる情報)の適正な取り扱いに関する「交通ルール」とでもいうべき事項を定める法律です。
この法律によって具体的な義務を負う者は、民間事業者全般(小規模事業者を除く)であり、「個人情報取扱事業者」と呼ばれています。プロバイダーは多数の会員情報などを取り扱う地位にあるので、一般に個人情報取扱事業者にあたります。
この法律では対象情報を(1)個人情報、(2)個人データ、(3)保有個人データの3つに分けています。(1)は生存する特定の個人を識別できる情報です。加入者情報はもとより、名刺1枚でもこれに該当します。(1)をデータベース化、名簿化したような場合が(2)であり、利便性が高まる半面、漏えいなどの危険も高まりますので、義務が上積みされます。(2)につき6ヵ月を超えて継続利用することにしているような場合が(3)であり、さらに義務が上積みされます。義務の詳細については、財団法人インターネット協会「安心して個人情報を取り扱うためには」所収の拙著「個人情報保護法の基礎知識」を参照してください。以下のURLからダウンロードできます。
- 「安心して個人情報を取り扱うためには」(財団法人インターネット協会)
- http://www.iajapan.org/rule/jinken2004.pdf
法律に違反した事業者は、主務大臣から、(1)報告徴収・助言、(2)勧告、(3)命令を受けます。報告を怠ったり、虚偽の報告をした場合、もしくは命令に違反した場合には罰則の対象になり、違反行為をした者だけでなく、事業者自身も同時に処罰されるという、大変厳しい法律です。プロバイダーは電気通信事業者ですので、主務大臣は総務大臣となります。但し、雇用管理に関する個人情報の取り扱いについては厚生労働大臣との共管です。
2.電気通信事業における個人情報保護に関するガイドライン改訂版
この法律を具体化するために、政令や、政府の基本方針が定められています。さらに、個々の領域の特色を踏まえた規律を明らかにする目的で、8条に基づいて各個別領域を対象に主務大臣が事業者向けの指針(ガイドライン)を公表しています。
電気通信事業領域を対象とする指針として、総務省が「電気通信事業における個人情報保護に関するガイドライン」の改訂版を公表しています(平成16年総務省告示第695号)。以下では、このガイドラインを中心に解説を行いますが、長い名称ですので、以下では「本指針」と略称することにします。電気通信事業者は、電気通信事業法の適用を受け、通信の秘密を守る義務などを負っています。従って、この法律について特に厳格な実施を確保する必要がある個別分野として位置付けられ、「保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置」(6条)を講じるものとしています。本指針は、「その他の措置」としての性格も有しています。
本指針の対象は「電気通信サービス」であり、対象者は「電気通信事業者」です。法的には電気通信事業法2条4号に定める電気通信事業を行う者と定義されています(本指針2条1号)。従って、電気通信事業法にいう電気通信事業者とほぼ同じですが、電気通信事業を「営む者」ではなく「行う者」とされています。そのため、同法所定の登録・届出を経ていない者や、非営利で電気通信事業を行う者も含まれる点で、同法の対象者よりもやや範囲が広いことになります。
どちらにしても、プロバイダーは通信キャリアと並んで、本指針の適用を受けますので、本指針の内容を参考にして、この法律への対応を進めることになります。本指針は、すべての義務につき対象情報を個人情報全般に拡張している点で、前述した法律上の義務よりも重くなっています。本指針が定める内容は、「個人情報の取扱いに関する共通原則」と「各種情報の取扱い」とに分かれています。以下では概要を説明しますが、紙面の関係上細部は省略せざるを得ません。本指針は総務省ウェブページに解説付きで全文が掲載されています。必ずそちらもご覧ください。
- 「電気通信事業における個人情報保護に関するガイドライン(平成16年8月31日総務省告示第695号)の解説」
- http://www.soumu.go.jp/joho_tsusin/d_syohi/d_guide_06.html
3.個人情報の取扱いに関する共通原則
まず、「個人情報の取扱いに関する共通原則」として本指針が電気通信事業者に遵守を求める事項の概要は次のとおりです。
- 個人情報の利用目的を電気通信サービスの提供に必要な範囲で特定しておき、その利用目的達成に必要な範囲内でのみ個人情報を取り扱えます。
- 個人情報を取得する際には、適正な方法で取得し、かつ、利用目的を事前に公表するか、事後速やかに本人に通知又は公表します。但し本人から書面や電子・磁気データで直接取得する際には事前に利用目的を明示します。なお、取得は電気通信サービスの提供に必要な場合に限られ、センシティブ(機微)な情報は原則として取得できません。
- 個人情報を最新で正確な内容に保つよう努め、原則として利用目的に必要な範囲内で保存期間を定めておき、期間経過後又は利用目的達成後は遅滞なく消去します。
- 個人情報保護管理者を設置します。
- プライバシーポリシーを規定、公表、遵守します。
- 安全管理措置を講じて、従業者・委託先を監督します。
- 個人情報を第三者に提供するには本人の事前同意が必要です。この法律で例外的に本人の同意が不要と定められている場合でも、同時に通信の秘密にも該当するときは、通信当事者の同意または違法性阻却事由がある場合を除き、提供が許されません。
- 個人情報に関する法定の事項を、Webページなどにより本人の知り得る状態に置きます。
- 本人の求めに応じて個人情報の開示及び訂正等(一定の場合の利用停止、第三者提供停止を含む)を行います。
- 苦情を適切かつ迅速に処理し、そのため必要な体制を整備します。
4.各種情報の取扱い
次に、本指針が「各種情報の取扱い」について定める事項は次のとおりです。本指針の性格上、主として通信キャリアを対象とする事項も含まれています。
- 通信履歴は、課金、料金請求、苦情対応、不正利用防止その他の業務遂行上必要な場合に限って記録でき、利用者の同意がある場合などを除き、他人に提供できません。
- 利用明細に記載する情報の範囲は、利用明細の目的達成に必要な限度内とし、これを加入者など閲覧できる者に閲覧させたり交付する際には、利用者の通信の秘密や個人情報を不当に侵害しないよう必要な措置を講じます。
- 発信者情報通知サービス(発信者情報を受信者に通知する電話サービス)を提供する場合は通信ごとに発信者情報の通知阻止機能を設けます。同サービスを提供する場合、利用者の権利確保に必要な措置を講じます。また、原則として発信者情報を他人に提供できません。
- 発信者情報以外の位置情報(移動体端末所持者の位置を示す情報)を他人に提供してはならず、位置情報を加入者又はその指示する者に通知するサービスを提供し、又は第三者に提供させる場合、利用者の権利の不当な侵害を防止するため必要な措置を講じます。
- 不払い者情報(支払期日経過後も電気通信サービスの料金を支払わない者の情報)は、料金不払い発生防止に特に必要で適切な場合、他の電気通信事業者との間で情報交換できますが、その場合にはその旨などの一定事項をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置きます。交換した情報は加入時の審査以外の目的で使用できません。
- 電話番号情報を用いた電話帳発行や電話番号案内業務を行う場合、加入者に電話帳への掲載、電話番号案内を省略するかどうかの選択の機会を与え、省略が選択されたときは遅滞なく電話帳掲載や案内業務の対象から除外します。
5.プロバイダーとしての対応
プロバイダーが行うべき対応方法について簡潔に説明します。
第1に、個人情報保護管理者を設置します。個人情報の取り扱いに関する責任者であって、米国でCPOと呼ばれている者に相当します。その責務は本指針遵守のための内部規程の策定、監査体制の整備および当該電気通信事業者の個人情報の取り扱いの監督です。ある程度の規模の事業者であれば、個人情報保護管理者が単独で管理することに無理が生じます。そのため、その下に置くべき組織体制作りも必要です。
第2に、プライバシーポリシー(個人情報の取り扱いに関する方針についての宣言)を作って自社のWebページなどで公表します。「個人情報の取扱いに関する共通原則」などで公表事項、本人の知り得る状態に置くべき事項とされているものについても、あわせてWebページに掲載しておくことが通常です。
第3に、取り扱っている個人情報と取り扱い形態の内容を洗い出してリスト化します。リスト化は開示等の求めに対する事前準備にもなります。洗い出しの際、取得から廃棄に至る「個人情報のライフサイクル」に即して流れ図を作っておくことも有用です。
第4に、洗い出した内容を関係法令や本指針の要求事項と対比します。これによって、現状の取り扱い方法が法令に適合しているかどうかを検討し、必要な取り扱い方法を内部規程として社内ルール化します。技術とルール(内部規程)とは相対立する関係にはなく、「車の両輪」のような共働関係にあります。安全管理措置(情報セキュリティ管理策)として、英数字と記号が混在した8桁以上のパスワードをルール化する場合を例にとりますと、適正な技術を用いなければルールの実効性が保てません。かといって、技術を講じるための権限をルールで付与しておかなければ、「管理者が無断で勝手なことをしたために、使い勝手が悪くなったので、元に戻せ。」として、社内から不満が出ます。規程に盛り込むべき量が多くなりすぎて困る場合には、基本規程と細則とに分けて定めることが合理的です。既存の情報セキュリティ管理規程などがある場合には、内容に矛盾や重複が生じないように注意を払います。違反の場合に適正な社内処分ができるかどうか、懲戒規程との整合性もチェックを要します。また、従業者の監督に必要な機密保持誓約書のひな形、委託先の監督に有用な委託先選定基準、委託契約(盛り込むべき事項は、安全管理措置、秘密保持、再委託の条件など)のひな形なども、同時に作成しておくべきです。
第5に、以上で立てた計画を実行に移します。本指針は「安全管理措置の実施その他の個人情報の適正な取り扱いの確保のため、その従業者に対し、必要な教育研修を実施するものとする。」としていますので(安全管理措置に限定されていないことに注意)、こうした社内での教育研修などにより、ルール化された適正な取り扱い方法の定着を図ります。
最後に、内部監査などにより適正な取り扱い方法の実施状況を点検して、内部規程などの見直しを適宜図ることによって、継続的改善を目指すことが得策です。