実務BOX

2013年01月24日

個人情報保護は、流出防止だけじゃない(前編) 著者:諸井賀正

個人情報保護法よりも顧客を意識しよう、取り組むべき重要ポイントを徹底解説

個人情報保護は、流出防止だけじゃない

個人情報保護法よりも顧客を意識しよう、取り組むべき重要ポイントを徹底解説

著者: 株式会社ステックワイアード 取締役 プライバシーコンサルタント・講師  諸井 賀正
2005年に個人情報保護法が全面施行されてから、多くの企業で対策が取られるようになり、「個人情報保護」という言葉もすっかり定着した。しかし、いまだに情報漏えい事故は後を絶たず、情報の使い回しが平然と行われているという実態もある。個人情報保護の意義を根本的に見直し、どのように情報を扱うべきか再考しよう。

2005年に個人情報保護法が全面施行されてから、多くの企業で対策が取られるようになり、「個人情報保護」という言葉もすっかり定着した。しかし、いまだに情報漏えい事故は後を絶たず、情報の使い回しが平然と行われているという実態もある。個人情報保護の意義を根本的に見直し、どのように情報を扱うべきか再考しよう。

 

 

【前編】個人情報保護法を意識し過ぎるのはやめましょう

 

まず、個人情報保護法(個人情報の保護に関する法律)は、個人情報を扱う事業者に対して、個人情報を適切に取り扱うよう求めた法律です(2003年制定、2005年施行)。目的は、個人の権利と利益を保護するため。その背景には欧米で広く浸透している「プライバシーを守る」という意識の高まりがあり、OECD(経済協力開発機構)による「プライバシー保護と個人データの国際流通についての勧告」の中で定める8原則を基準として、同法が策定されました。

 

◆個人情報の保護に関する法律(消費者庁)

http://www.caa.go.jp/seikatsu/kojin/houritsu/index.html

 

◆OECDプライバシー8原則とは?

8原則.JPG

 ・収集制限の原則

データは適法・公正な手段により、本人に通知するか、同意を得て、収集されるべきである

 

・データ内容の原則

データは利用目的に沿ったもので、正確、完全、最新のものであるべきである

 

・目的明確化の原則

 データの収集目的を明確にすること。データ利用は目的に合致させるべきである

 

・利用制限の原則

収集目的以外には利用してはならない。ただし、「本人の同意がある場合」や

「法律の規定による場合」は除く

 

・安全保護の原則

管理者は、合理的な方法で紛失・破壊・修正等からデータを保護すべきである

 

・公開の原則

データ収集の方針を公開し、データの存在、利用目的、管理者が誰か等を明示すべきである

 

・個人参加の原則

自分のデータの所在および内容を確認できること。間違い等があれば異議申し立てができること

 

・責任の原則

管理者には、各原則を実施する責任がある

 

 

個人情報保護法は、企業が守るべき法律としては少し特殊であると考えていただく必要があります。「個人情報保護」という言葉のイメージにとらわれたり、法律を守ることばかりに執着していると、逆にそれが盲点となり、思わぬ落とし穴が待っています。まずは、よくありがちな誤解を解いていきましょう。

 

 

個人を特定できるかどうかにこだわりすぎるのは損

個人情報保護テキスト.JPG

情報の組み合わせにより個人を簡単に特定できなければ、その情報は守る必要はないと認識している企業が多いのですが、業務で扱う場合には相手は必ず存在していて誰だかわかっているので、情報の種類に関わらず個人に関する情報は全て守らなければなりません。住所や電話番号の一部を隠している場合も同様です。

損というのは、大雑把にいうと、法律の性質上、個人情報の当該権利者であることが保護を求める最低条件として必要であるために、「特定の個人を識別することができるもの」という表現が使われていると考えるのが合理的だと思います。「個人を特定する情報だけが保護の対象になる」と考えると、プライバシーに関わる情報が対象となるのかわからなくなります。カレログのように提供するサービスにプライバシーの懸念をもたれるリスクがあります。

 

 

法律を守っていても、トラブルが発生する

個人情報保護法で想定されていないケースについて、法律上は問題のないサービスでも、ユーザーがプライバシーの懸念を感じるものは現実として提供できません。たとえば、スマートフォンのアプリでアプリ利用状況を広告会社に自動的に配信される仕組みのものやインストール先の相手の行動を監視するような機能を持つものは、批判され、サービスを終了せざるを得なくなっています。これは、技術の進歩に法律が追い付いていないために発生したトラブルです。

 

法の抜け道を探すことには意味があまりありません

 

 個人情報保護法の抜け道を探し、情報を流用しようと考え、実行すること。健全なビジネスでいちばん大事なものは信頼であり、脱法行為では信頼を必ず失います。違法かどうかというよりも、もっと大切なものがあるはずです。信頼獲得のためには、事業者が情報提供者であるユーザーの目線で考え、個人情報をユーザーから「お預かりしているもの」として大切に扱うという姿勢が何より重要です。そして、その大切なお預かりものをどのように利用するか明確に示し、情報提供者の了承を得ることが全ての基本です。できれば、法律よりもOECDプライバシー8原則を学ぶことをお勧めしています。

 

 

では、次のような事例は、正しいでしょうか?

【1】退職時に、顧客の名刺をコピーし、次の職場で営業に用いる。

×

 

従業員は使用者との雇用契約のもと従事しているのであり、従業員として名刺交換している以上、名刺は会社の資産です。従業員の退職が決まったときは、速やかに後任の担当者につなぎ、十分な引き継ぎをさせるとともに、取引先および顧客の名刺は回収する、あるいは辞める前に処分させ、プライベートの付き合いを除き、今後の連絡を禁止するのが管理職として適切な対応といえるでしょう。

しかし、従業員側からすれば、何度も足を運んでようやくつかんだ顧客だったり、これまでの人間関係を基に営業先を開拓することもあり、辞めたあとに一切連絡するな、というのは受け入れがたい部分もあります。とはいえ、同業種に転職した先で、前会社で得た名刺を利用するのは問題になります。

この場合、従業員が「名刺は顧客の情報という会社の資産である」という認識をどれだけ持っているかが重要となります。この意識付けがされていなければ、隠れて名刺をコピーし、次でうまく活用しようと考える人が出てくるのは止められません。研修や日頃の管理職の言葉などを通じての教育が必須の対策といえます。会社によっては、日常業務の中で、「名刺を回収⇒データベース化⇒アクセス権限を持たせての管理」を徹底しているところもあります。

 

【2】社内報に、従業員の同意を得て、誕生したばかりの子供の写真と名前を掲載した。

 

そもそも個人情報保護法は、個人の基本的人権の尊重を理念に、適切に個人情報を取り扱うよう、事業者に求めた法律です。おおまかにいうと「プライバシーに配慮する」という考えが根底に必要となります。従業員の中には、自分の私生活の情報について、知られてもいいと考える人と、知られたくないと考える人がいます。情報を提供するかしないかは、その人の意思で決めることであり、強制できません。強制参加はプライバシーの問題に関わると認識してください。

ただし、同意をいただく際には、その情報を「誰が見るのか」「どのような内容になるのか」「掲載前に中身が確認できるかどうか」などを伝えた上で、同意を得る必要があります。また、上司にいわれて強制的に参加するようでは同意したとはいえません。

また、当然のことですが、紙媒体はもちろん、クローズのWEB環境(社内イントラなど)であっても、閲覧した人を介して情報が広がりますからプライバシーに関わる情報の提供には十分に注意してください。

 

 

【3】第一営業部の顧客データを、違う商品を扱う第二営業部で利用した。

×

 

企業内の個人情報流通に関して、法律違反を問われるケースはあまりないと考えられます。しかし、第一営業部と第二営業部で異なるビジネス、商品やサービスを展開しているようなケースでは、たとえ同じ会社だったとしても、個人情報を共有するのは避けるべきです。別部署により、違う利用目的で使用することとなり、情報を提供したユーザーからすれば「第三者提供」や「目的外利用」と同等です。法律上、第三者提供や二次利用は事前の本人の同意がないとできません。「次回は、ほかの担当者が別件でご連絡してもよろしいですか?」などと事前に同意を得るべきでしょう。

個人情報保護法では、「個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない」と定めています。ところが、企業のプライバシーポリシーをよく読むと、利用目的が明記されていないところが意外に多いことに気付かされます。上記の例は、個人情報の利用目的が明確にされていれば、社内で取り扱いに迷うことも、情報提供者に対して不信感を与えることもないはずです。今一度、自社のプライバシーポリシーを見直してみてください。

 

【4】名刺交換した方を自社のメールマガジンに登録し、それを送っている。

×

 

名刺交換した相手を自社のメールマガジンに登録してメールマガジンを送信したい場合には、名刺交換の際にメールマガジン受信について同意を得る必要があります。名刺交換での個人情報の利用目的は、相互の連絡手段であって、通常はメールマガジンの登録は該当しないと考えるのが妥当です。名刺の裏に「このメールが不要の方はお知らせください」などと注意書きがあっても、渡す際にメールマガジンについて触れなければ同意となりません。

メールマガジンは、ユーザーに同意を得ずに送付することはできません。これは、2008年に改正された「特定電子メールの送信の適正化等に関する法律」(特定電子メール法)で定められています。ユーザーの許可を得ずに広告・宣伝メールを送り、本人の求めがあった場合に停止するやり方を「オプトアウト」、広告・宣伝メールを送る際に、ユーザーに事前に許可を取るやり方を「オプトイン」といい、広告・宣伝メールの送信者は原則としてオプトイン方式を採用しなければならなくなったのです。

 

*特定電子メールの送信の適正化等に関する法律のポイント(総務省) <PDF>

http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/pdf/m_mail_pamphlet.pdf

 

【5】健康診断の結果を会社が全て把握する。

 

健康や医療に関する個人情報は、他人に知られたくないプライバシーに関わるもので「センシティブ情報」といいます。非常に扱いが難しいものです。重視したいのは、管理される側と管理する側でコンセンサスをきちんと取るということ。会社側が、健康情報等の個人情報の利用目的を明確にし、必要とされる情報のみを取得するようにします。その利用目的は、事業内容や企業規模により異なりますし、社員の健康に関する考え方も違うので、双方が納得する形式を模索していきましょう。

 

<後編に続く>

 


 

<著者プロフィール>

諸井氏写真icon.jpg
 
株式会社ステックワイアード
取締役 プライバシーコンサルタント・講師
諸井 賀正

個人情報保護法の施行前2002年から広告代理店の子会社事業として個人情報保護総合支援サービスを手掛ける。プライバシーステートメント、TRUSTe、Pマークのコンサルティングおよび個人情報保護資格CPA、CPPの認定講師。プライバシービジネスのプロフェッショナル。

 

 

PAGE TOP