他人事ではない個人情報に対する責任

「個人情報保護法」といっても今や大企業だけの問題ではなく、「関係ない」と言っていられる企業はほとんどないという事実を真剣に考えたことがあるだろうか。以前なら取り扱う個人情報の件数が5000件を超えなければ「個人情報取扱事業者」とは見なされず、従って個人情報保護法に定められている各種義務を負う必要はなかった。しかし、その後法改正がなされ、その5000件の要件が無くなったのだ。その改正によって、起業したての企業も老舗企業も、小企業も大企業もすべてがこの個人情報保護法を順守しなければならなくなった。個人情報データベースを作成していると思われる各種サービス業や士業等なども該当する。

この時の法改正では、個人情報の定義が明確化され、「要配慮個人情報」「匿名加工情報」などの新たな概念も新設された。また、個人情報を第三者に提供する際、提供者には提供年月日や当該第三者の氏名等個人情報保護員会規則で定める事項に関する記録を作成・保存する義務が課され、受領者にも取得の経緯等を確認し、その記録を作成・保存することを義務付けるなど、個人情報の取り扱いルールが大きく変更されている。この法改正に伴い公表されたガイドライン(「個人情報の保護に関する法律についてのガイドライン」)には事業者の理解を助けるために具体例が多く載せられているので、ぜひ覗いてみることをお勧めする(https://www.ppc.go.jp)

方針を策定して公表する

このガイドラインにもあるように、企業は個人情報保護方針(いわゆるプライバシーポリシー)を策定することが重要とされている。よく企業のホームページやパンフレットなどで見かけるだろうが、これは企業としての個人情報保護に対する考え方を公に宣言するものだ。個人情報保護方針の策定は義務付けられているものではないものの、多くの企業がそれを公表している。それでも現在、その個人情報自体が売買の対象にもなり、悪用される事件が絶えない状況になっているのはご存じの通りだ。このため一般消費者も個人情報の取り扱いには敏感にならざるを得ず、その保護に取り組むことを宣言することは一企業として円滑な事業活動に必要であるだけでなく、社会的な要請でもある。

だから個人情報を取り扱う事業をスタートさせる場合はもちろん、今すぐそうではなくても取り扱う可能性が少しでもあるのなら、個人情報保護方針の策定は最早必須と考えた方が良いだろう。そして、その策定はあくまで一般消費者からの社会的な信用を得ることにあることを忘れてはいけない。あくまで一般消費者に沿って、特に重要となる点を中心に分かりやすく記載しなければ、意味のないものになりかねない。それを十分に心得たうえで、具体的な内容としては個人情報取扱事業者及び匿名加工情報取扱事業者に課せられている法定義務を基準に方針を策定していくことになる。

何のための個人情報の取得なの?

個人情報保護方針では、消費者が企業に対して自分の個人情報を与える際に、それがどのように取得され、どのような目的で利用されるのかは、一番関心のあるところだ。また、その利用目的は本人への通知または公表によって本人が容易に知ることのできる状態にしなければならない。このため「利用目的の特定、制限」は必ず記載する項目になる。法律上も「できる限り特定しなければならない」(15条)とされており、抽象的な文言では意味をなさない。例えば、「当社の事業目的に沿って」などの文言ではダメで、「サービス改善のためのアンケート実施のため」「契約いただいている商品発送のため」などの具体的な利用方法が必要だ。また、そうでなければ逆に消費者の不満を呼ぶことにもなりかねない。

そして、企業は法律上、消費者から個人情報の開示や訂正、利用停止の請求に応じなければならないとされている(28条~30条)。改正個人情報保護法は保有している個人情報に関する項目の公表を義務付けている(27条)ので、方針にも個人情報の開示、訂正、利用停止の請求ができることを記載すべきだろう。その手続き方法や問い合わせ窓口などの記載もしておけば、消費者にもそうした企業の配慮に好感をもってもらえるに違いない。

それから、消費者にとっては企業によって取得された個人情報が適切に管理されているのか、無断で第三者に提供されていないのはとても重大な関心事だ。だから、個人情報を安全に管理すること、個人情報提供者の同意なく第三者へ情報提供することはしないことを、個人情報保護方針の明記しておくと良い。

消費者に安心感を、従業員に緊張感を

もちろん、それを実際にどのように管理するかは、企業内部の規定で別途詳細に定めなければならない。特に企業の従業員が業務遂行のために日常的に個人情報を扱う場合や、個人情報の取り扱いを第三者に業務委託するような場合は、従業員や業務委託先による情報漏洩の可能性が高くなる。こうした場合は、従業員などへの教育研修を実施し、従業員の個人情報保護に関する認識を深めるとともに、委託先に対しても適切な監督を行うことも方針に記載しておくのが良いだろう。

これらの情報はそれを読んだ消費者に安心感を与えるだけではない。消費者に対するアピールが、逆に従業員への気持ちの引き締めにもつながるのだ。もちろん、そのためにもこうした方針は企業の個人情報保護に対する姿勢を広く宣言するものなので、簡潔に分かりやすく表現するのが望ましい。個人情報保護方針の策定においては、先に挙げたガイドラインだけでなく、同業他社の取り組みなども参考にすれば良いだろう。くれぐれも消費者に不安を与えるようないいかげんな姿勢では臨まないようにしなければならない。