2008/02/07 木曜日 21:20:27 JST |
「個人情報の保護に関する基本方針」の一部改正案について
現在、内閣府にて、"「個人情報の保護に関する基本方針」の一部改正案に関する意見の募集"(パブリックコメントの募集)が行なわれている。
受付締切日は、2008年2月18日となっている。
これは、内閣府に設置されている"第20次国民生活審議会"の個人情報部会(部会長:野村豊弘学習院大学大学院法務研究科教授)が平成19年6月29日に「個人情報保護に関する取りまとめ(意見)」を政府に提出したが、それに基づいて改訂案が作成されたものである。
その中で、今後の個人情報保護法制に関連した意見を取りまとめ、「個人情報の保護に関する基本方針」(基本方針)」の見直し等を指摘したものである。
先ず、「個人情報の保護に関する基本方針」(いわゆる「基本方針」)」の位置づけを述べておく。
「個人情報の保護に関する基本方針」は、「個人情報保護法」第七条第1項に規定されており、"「政府」が、個人情報の保護に関する施策の総合的かつ一体的な推進を図るために定めなければならないもの"とされている。
上記に基づき策定され、平成16年4月2日閣議決定された「個人情報保護に関する基本方針」では、"内閣府は、同法の施行状況について、同法の全面施行後3年を目途として検討を加え、その結果に基づいて必要な措置を講ずること"とされおり、また、"国民生活審議会は、同法の施行状況のフォローアップを行うこと"とされている。
そこで、上記を受けて "国民生活審議会個人情報保護部会"で検討が進められ、平成19年6月29日に「個人情報保護に関する取りまとめ(意見)」が政府に提出された。
この、「個人情報保護に関する取りまとめ(意見)」を受けて、"「個人情報の保護に関する基本方針」の一部改正案"が策定され、この度「内閣府」により"改定案"に対するパブリックコメントの募集が行なわれている。
「個人情報の保護に関する基本方針」の位置づけとしては、平成16年4月2日版の「個人情報の保護に関する基本方針」の前文には次のように示されている。
--------------------------------------------------------
政府は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第7条第1項の規定に基づき、「個人情報の保護に関する基本方針」を策定する。本基本方針は、個人情報の保護に万全を期すため、個人情報の保護に関する施策の推進の基本的な方向及び国が講ずべき措置を定めるとともに、地方公共団体、個人情報取扱事業者等が講ずべき措置の方向性を示すものであり、法の全面施行(平成17年4月1日)に先立ち、政府として、官民の幅広い主体が、この基本方針に則して、個人情報の保護のための具体的な実践に取り組むことを要請するものである。
--------------------------------------------------------
"「個人情報の保護に関する基本方針」の一部改正案"の詳細は、内閣府のホームページの中の「意見募集中案件一覧」(案件番号095080020)「個人情報の保護に関する基本方針」の一部改正案に関する意見の募集について、を参照のこと。
(先ず、内閣府のホームページに下記のURLから入り、意見募集一覧を開ける。
http://www.cao.go.jp/comment.html
その中で、1月18日の案件番号“095080020”が「個人情報の保護に関する基本方針」の一部改正案に関する意見の募集について」となっている。)
内閣府が発表した"「個人情報の保護に関する基本方針」の一部改正案の概要"では、次の4つの点における改訂が述べられている。
①いわゆる「過剰反応」
②国際的な取組への対応
③プライバシーポリシー等
④安全管理措置の程度
今後、「個人情報の保護に関する基本方針」が正式に公布されれば、その改訂内容は、経済産業省のガイドラインを始め、各省庁のガイドラインの改訂に結びついて行くものと思われる。
そこで、「プライバシーマーク」に大きく関連する可能性がある事項を考えて見たい。
これらの中で、「プライバシーマーク」に大きく関連するのは、"③プライバシーポリシー等"と、"④安全管理措置の程度"、と思われる。
1) ③プライバシーポリシー等
「個人情報の保護に関する基本方針」では"プライバシーポリシー等の策定・公表により、事業者が行う措置の対外的明確化を行うこと"が挙げられている。
先ず"プライバシーポリシー"と、JIS Q 15001/プライバシーマークにおける「個人情報保護方針」との違いを考えておこう。
これらは、一言で言えば、似て非なるものである。
「経済産業省のガイドライン」(平成19年3月)(59ページ)を見ると、その内容としては、"JIS Q 15001/プライバシーマークにおける「個人情報保護方針」"、"JIS3.4.2.4に示される直接書面により個人情報を取得する場合の通知事項"、"JIS3.4.4.2、3.4.4.3等、個人情報に関する本人の権利"、等々に関連しており、それらの中で通知又は公表を行うこととして要求されている全ての事項を含んだものが「個人情報保護に関する考え方や方針に関する宣言(いわゆるプライバシーポリシー、プライバシーステートメント)」として示されている。
改訂される「個人情報の保護に関する基本方針」では、このような"プライバシーポリシー、プライバシーステートメント等"に本人の権利利益保護の観点から「保有個人データの自主的な利用停止等、委託処理の透明化、利用目的の明確化、事前に取得元、取得源等をできる限り具体化」を考慮した記述を盛り込むことも重要であるとしている。
以下に"「個人情報の保護に関する基本方針」の一部改正案"の該当部分を示す。
-----"「個人情報の保護に関する基本方針」の一部改正案"-----
6 個人情報取扱事業者等が講ずべき個人情報の保護のための措置に関する基本的な事項
(1) 個人情報取扱事業者に関する事項
-省略―
①事業者が行う措置の対外的明確化
事業者の個人情報保護に関する考え方や方針に関する宣言(いわゆる、プライバシーポリシー、プライバシーステートメント等)の策定・公表により・・・中省略・・・事業活動に対する社会の信頼を確保するために重要である。
宣言には、本人の権利利益保護の観点から、以下に掲げる点を考慮した記述を盛り込むことも重要である。
・ 保有個人データについて本人から求めがあった場合には、自主的に利用停止等に応じること。
・ 委託の有無、委託する事務の内容を明らかにする等、委託処理の透明化を進めること。
・ 事業者がその事業内容を勘案し、顧客の種類ごとに利用目的を限定して示す等、本人にとって利用目的がより明確になるようにすること。
・ 取得元、取得源の種類や取得経緯等、個人情報の取得方法を、あらかじめ、可能な限り具体的に明記すること。
--------------------------------------------------------------
では、上記の改訂内容を詳細に見てみよう。
① ・保有個人データについて本人から求めがあった場合には、自主的に利用停止等に応じること。
「個人情報保護に関する取りまとめ(意見)」Ⅳ2(3)アでは、この点について下記のように提言している。
・・・・・・・・・・・・・・・・・・・・・・・・・
事業者において,本人から利用停止等を求められた場合は、個人情報の取扱いに関する苦情処理の一環として、個人情報保護法第31条に基づき、適切かつ迅速な処理に努めることが必要である。また、このような中で、プライバシーポリシー等において、本人から求めがあった場合は、原則として自主的に利用停止等に応じることを明記している事業者も見られることから、個人の権利利益保護の観点からも、こうした取組も参考とすべきであり、このような取組を促進するため、基本方針の見直し等、所要の措置を講じる必要がある。
・・・・・・・・・・・・・・・・・・・・・・・・
本人から利用停止等を求められた場合の処置の話である。
この中で"自主的に利用停止等に応じる"と示されている。
"自主的に"の意味は微妙ではあるが、"本人からの要求を受けた場合には外部から強制されることなく"程度に捉えれば、JIS Q 15001/プライバシーマークにおいては「JIS3.4.4.7開示対象個人情報の利用又は提供の拒否権」の要求事項に適確に対応していれば、特に問題はないであろう。
② ・委託の有無、委託する事務の内容を明らかにする等、委託処理の透明化を進めること。
「個人情報保護に関する取りまとめ(意見)」Ⅳ3 3)(3)イでは、この点について下記のように提言している。
・・・・・・・・・・・・・・・・・・・・・・・・
個人情報の委託処理の透明化については、委託元に対し委託先の公表を義務付けるべきとの意見がある一方、委託先をすべて明らかにすることの実現可能性,事業者に課される守秘義務等を踏まえ、慎重な検討が必要との意見もある。 また、委託関係は事業活動の中で変動するため、委託先の個別の事業者名を逐次明示していくことは困難な面もあると考えられる。 このような中で、プライバシーポリシー等において、委託に関する事項(委託の有無,委託する事務の内容等)を明記している事業者も見られることから、個人の権利利益保護の観点からも、こうした取組も参考とすべきであり、このような取組を促進するため、基本方針の見直し等、所要の措置を講じる必要がある。
・・・・・・・・・・・・・・・・・・・・・・
上記の「個人情報保護に関する取りまとめ(意見)」の提言の内容から見ると、基本方針の改定案は若干厳しい表現となっているように見受けられる。
前回の"プライバシーマークのあれこれ(第1回)"では「経済産業省のガイドラインの改訂(案)」において、平成19年に起きた、幾つかの委託業務における"個人情報の漏えい事件"を受けて、委託関係の項目の改訂が中心に行なわれていることを示したが、"「個人情報の保護に関する基本方針」の一部改正案"もそのような状況を受けての上であると思われる。
改定案では"委託の有無、委託する事務の内容を明らかにする等、委託処理の透明化を進めること。"とされている。
JIS Q 15001/プライバシーマークにおいては、JIS 3.4.2.4(本人から直接書面によって取得する場合の措置)e)で"委託を行なうことが予定される場合はその旨"と示されているだけであり、"委託を行なう予定があるか否かを示す"ことが要求されているだけである。
改定案においては"委託する事務の内容を明らかにする等、委託処理の透明化を進めること。"としており、今後「個人情報の保護に関する基本方針」が正式に公布されると、「個人情報の保護に関する基本方針」の要求を受けて、と言う形で、各省庁のガイドラインが改訂され、実質的にそれを行なわねばならなくなるかもしれない。
③ ・事業者がその事業内容を勘案し、顧客の種類ごとに利用目的を限定して示す等、本人にとって利用目的がより明確になるようにすること。
「個人情報保護に関する取りまとめ(意見)」Ⅳ5 1)(3)アでは、この点について下記のように提言している。
・・・・・・・・・・・・・・・・・・・・・・・・
事業活動が多岐にわたる場合,事業者が利用目的を特定する際に、個人情報を取り扱う事業として、定款又は寄付行為等に記載された事業を広く掲げる場合も生じる。 一方、このような中で、本人に対し、個人情報がどのような事業の用に供され、どのような目的で利用されるかをできるだけ明確にするため、事業者が事業内容を勘案し、プライバシーポリシー等で顧客の種類ごとに利用目的を限定して示すこと等を行っている事業者も見られることから、個人の権利利益保護の観点からも、こうした取組も参考とすべきであり、このような取組を促進するため、基本方針の見直し等、所要の措置を講じる必要がある。 なお、この際、例えば、事業者の自主的な取組として、本人が利用目的を選択できるようにすることも考えられる。
・・・・・・・・・・・・・・・・・・・・・・
"顧客の種類ごとに利用目的を限定して示す等、本人にとって利用目的がより明確になるようにする"ことが要求されるようになる。
JIS Q 15001/プライバシーマークにおいては、JIS3.4.2.4で要求される「直接書面によって取得する場合」とJIS3.4.2.5要求される「直接書面以外の方法によって取得する場合」のケースがある。
「直接書面によって取得する場合」は個別に通知を行い、その中で利用目的を限定しているので、十分に対応できていると思われる。
JIS3.4.2.5で要求される「直接書面以外の方法によって取得する場合」であるが、ここでは"利用目的の通知または公表"が要求されているが、通常、包括的な表現でホームページ等に公表されているケースが多く、"顧客の種類ごとに利用目的を限定して示す等、本人にとって利用目的がより明確になるようにする"ことの要求は満たしていないと思われる。
また、上記の如く「個人情報保護に関する取りまとめ(意見)」の中で"本人が利用目的を選択できるようにすることも考えられる。"の部分については、非常に難しいと思う。
現在の"「個人情報の保護に関する基本方針」の一部改正案"の中には盛り込まれていないので将来の話にはなると思うが、「直接書面によって取得する場合」は個別に通知を行なっているのでその際に対応できる可能性があるが、「直接書面以外の方法によって取得する場合」も含めて"本人が利用目的を選択できるようにすること"の要求に対応するためには、かなりの検討が必要になると思われる。
④ ・取得元、取得源の種類や取得経緯等、個人情報の取得方法を、あらかじめ、可能な限り具体的に明記すること。
「個人情報保護に関する取りまとめ(意見)」Ⅳ5 2)(3)では、この点について下記のように提言している。
・・・・・・・・・・・・・・・・・・・・・・・・・
本人関与の観点から,個人情報の取得元も開示の対象とすべきとの意見がある一方,取得元の情報は一律に公表できるものではなく、個々の管理が必要となった場合は事業運営への支障を来たすため、慎重な検討が必要との意見がある。 諸外国を見ると、欧州連合(EU)諸国では、個人情報の取得元に関する開示請求権が規定されている。このような中で、プライバシーポリシー等において、取得元、取得源の種類や取得経緯といった個人情報の取得方法をあらかじめ可能な限り具体的に明記している事業者も見られることから、個人の権利利益保護の観点からも、こうした取組も参考とすべきであり、このような取組を促進するため、基本方針の見直し等、所要の措置を講じる必要がある。
・・・・・・・・・・・・・・・・・・・・・・・・・
"取得元、取得源の種類や取得経緯等、個人情報の取得方法を、あらかじめ、可能な限り具体的に明記すること。"とされているが、どのような場面が想定されているのかは明確になっていない。
JIS Q 15001/プライバシーマークにおいては「JIS3.4.2.7本人にアクセスする場合の措置」「3.4.2.8提供に関する措置」において"取得方法"を本人に通知することを求めている。
このように、"本人にアクセスする場合"や"第三者に提供"する場合にはJIS Q 15001/プライバシーマークにおいては実施されている筈であるが、その他の状況での個人情報の利用、取り扱いに関しては対応していない。
上記の如く「個人情報保護に関する取りまとめ(意見)」の中では"プライバシーポリシー等において、取得元、取得源の種類や取得経緯といった個人情報の取得方法をあらかじめ可能な限り具体的に明記している事業者も見られることから・・"とされており、事前公表が求められることになれば、新たな対応を考える必要がでてこよう。
2) ④安全管理措置の程度
この項に関しての"「個人情報の保護に関する基本方針」の一部改正案"の内容は多くない。
以下に"「個人情報の保護に関する基本方針」の一部改正案"の該当部分を示す。
-----"「個人情報の保護に関する基本方針」の一部改正案"-----
6 個人情報取扱事業者等が講ずべき個人情報の保護のための措置に関する基本的な事項
(1)個人情報取扱事業者に関する事項
-省略―
④ 安全管理措置の程度
-省略―
例えば、不特定多数者が書店で随時に購入可能な名簿や、不特定多数者がインターネットを通じて随時に閲覧可能な名簿で、いずれも事業者において全く加工をしていないものについては、個人の権利利益を侵害するおそれは低いと考えられることから、それを処分するために文書裁断機とうによる処理を行なわずに廃棄し又は廃品回収に出したとしても、事業所の安全措置の義務違反にはならないものとして取扱うことができるものとする。
----------------------------------------------------------
「個人情報保護に関する取りまとめ(意見)」では、次のように示している。
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
市販されているもの等、広く頒布されている名簿についても、他の個人データと同様に管理することとされているが、このような名簿については、他の個人データとは別に、個人の権利利益保護の必要性と事業者の現実的な管理可能性を踏まえた取扱いも必要と考えられる。
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
いわゆる、「過剰反応」への対応も含んでいると思うが、"例えば市販名簿等については、シュレッダー処理しなくても、安全管理措置義務違反にならない"とすることを明記したものである。
この件に関しては「経済産業省ガイドライン(平成19年3月)」(24ページ)【安全管理措置の義務違反とはならない場合】の事例2)には既に示されており、JIS Q 15001/プライバシーマークへの対応においては特に問題にはならないであろう。
(中小企業診断士 中村 隆昭)
|