|
T.個人情報保護の背景 |
|
1.個人情報保護の必要性 |
|
|
(1)個人情報をとりまく状況 |
|
|
情報社会の進展に伴い、 個人情報の重要性が高まっている。
個人情報をとりまく環境が悪化している。 |
|
|
|
<発生している問題> |
|
|
電子データ上での個人と現実の不整合 |
個人情報の悪用(振込詐欺、ネット詐欺) |
個人情報の漏洩(悪意の従業員の存在) |
|
⇒個人や企業が被害を受けるケースが増加している。 |
|
|
|
振込詐欺被害額:284億円(既遂:201,194件、認知:25,667件) ※検挙件数1,305件→検挙者数548人
<2004年1月〜12月末 警察庁> |
|
|
|
|
|
|
(2)個人情報の漏洩により、想定される企業の被害 |
|
|
直 接 被 害 |
◎漏洩事故に対する直接の対応費
顧客対策費(違約金など)、マスコミ対策費など ●漏洩対策費
厳密・厳重なセキュリティー対策費など ○訴訟対策
裁判費用、訴訟対応費用など |
間 接 的 被 害 |
◎取引停止や買控え等による売上げ低下、伸びの鈍化
業務停止、自粛、顧客の取引停止など ●業務の混乱や停止による対応能力の低下による機会の損失
業務の混乱に伴う業務処理能力の低下など ○ブランドイメージの低下による影響
長期に渡る売上げダウン、将来の戦略展開への障害など |
|
|
|
●直接被害(費用)よりも、間接的な被害(損失)のほうが大きい。
●法令違反による直接的な損失よりも、それに伴い発生する被害の
方がはるかに大きい。 |
|
U.個人情報保護法の概要 |
|
1.個人情報保護の目的 |
|
|
情報社会の進展のため、個人情報の有効活用と個人の権利利益
の 保護をバランスさせる |
|
|
|
個人情報の有効性に配慮しつつ、個人の権利利益を保護すること |
|
|
|
↓ |
|
|
一定のルールの中で「個人」を保護することにより、情報利用を促進する。 |
|
・ |
「企業や組織が個人情報を利用する権利」 |
|
・ |
「個人が自己の情報をコントロールする権利」→個人を守る為の法律 |
|
|
→個人を守る為にはどの情報を大事にすれば良いのか |
|
・ |
業界ごとのガイドラインを参考に対策を考える |
|
2.用語の定義 |
|
・ |
個人識別 |
|
|
生存する「個人に関する情報」であって、特定の個人を識別することが できるもの。 |
|
|
・ |
個人データベース |
|
|
特定の個人情報をコンピューターを用いて検索することができるように 体系的に構成した、個人情報を含む情報の集合物、又はコンピュータ ーを用いていない場合でも一定の規則に従って整理、分類し容易に 検索可能な状態においているもの。 |
|
|
|
○安全管理措置 ○従業者の監督
○委託先の監督 ○第三者提供の制限 |
|
・ |
個人データ |
|
|
|
|
|
○利用目的を特定しなさい
○利用目的を本人に通知しなさい ○利用目的以外に使用してはいけない
○違法な取得はいけない、適正に取得すること
○苦情があったら対応しなさい |
|
・ |
保有個人データ |
|
|
事業者が開示、内容の訂正、追加又は削除、利用の停止、消去 及び第三者への提供の停止を行うことのできる権限を有する個人 データであり、6ヵ月以上保有しているもの。 |
|
|
|
○情報開示への対応
○情報改正への対応 ○情報利用の停止
○手続きの整備 |
→事業所毎のルールを決めておく |
|
・ |
個人情報取扱事業者 |
|
|
取り扱う個人情報の量及び利用方法からみて、個人の権利利益を 害するおそれが少ない者を除いた、個人情報データベース等を事業
の用に供している者。 |
|
|
・ |
本人(情報主体) |
|
|
|
|
3.個人情報、個人情報データベースに該当するか否かの判断事例 |
|
・ |
個人情報に該当する例 |
|
|
○本人の氏名 ○防犯カメラに記録された情報等本人が判別できる映像情報 ○特定の個人を識別することができるメールアドレス情報 ○特定の個人を識別できる情報が記述されていなくても、周知の
情報を補って識別することにより、特定の個人を識別できる情報 ○官報、電話帳、職員録などに公表されている情報 |
|
|
・ |
個人情報データベース(個人データ)に該当する例 |
|
|
○電子メールソフトに保管されているメールアドレス帳 ○ユーザーIDとユーザーが利用した取引についてのログ情報が保管
されているファイル ○社員が名刺の情報を業務用パソコンに入力し、他の社員も検索
できる状態にしている場合 ○氏名、住所、企業別に分類整理されている市販の人名録 |
|
V.企業が取るべき対策 |
|
1.なぜ、個人情報保護法への対応が必要か? |
|
・ |
リスクの低減1 |
|
|
「法律上の義務を尽くしたとの主張と、その立証資料を収集できる 体制の構築」 |
|
|
|
○情報主体(本人)に訴えられないようにすること。 |
|
|
○もし、訴えられた(苦情を申し立てられた)としても、自社の正当性を監督官庁
あるいは裁判所に説明できるようにすること。 |
|
・ |
リスクの低減2 |
|
|
「情報漏洩や法律違反が発覚した時に、会社として適切に対応して いることを主張し、被害を最小限にする」 |
|
|
|
○事件・事故が発生した場合に顧客(個人、法人)の印象の悪化をできるだけ
最小限にくい止める。 |
|
|
○事件・事故の発生をできるだけ減らす。あるいは事件・事故が発生した場合に、
賠償額をできるだけ少なくする。 |
|
2.対応方針の決定 |
|
|
個人情報保護法への100%完全な対応は現実的には不可能。 会社としての対応方針(重点、水準、方法)を決定する。 |
|
|
・ |
対応方針の決定に必要な情報の把握 |
|
|
@個人情報の実態(概要)を把握する
社内における個人情報の所在の把握(名称、内容、対象者、
保管場所、保管媒体)と重要度合いを特定する。 |
|
|
|
A個人情報取扱事業者か否かを確認する
自社にある個人データにより特定される個人の数の確認。 |
|
|
|
B現状の対応レベル(概要)
遵守する事項(個人情報の収集、情報主体への対応、情報の更新、
情報のセキュリティなど)に対する現在の自社の対応状況について 確認する。 |
|
|
|
C関係者の要求を理解する
個人情報保護法に関連して、自社に対して顧客が何を求めている
のか(安全管理か、それとも本人対応か、そのレベルは?)を 把握する。 |
|
|
|
D経営者の考え方を把握する
個人情報の重要性に対する認識、法令順守の管理体制への
重要視の度合い、顧客に対する考え方、個人情報保護法への
考え方などにより、経営者の意識レベルを確認する。 |
|