IT社会の急速な進展により、プライバシー侵害の危険性・不安感が増大したことを背景に平成15年に「個人情報の保護に関する法律」(個人情報保護法)が制定されました。
この法律については誤解しているケースも多く、いわゆる「過剰反応」も見られます。今回は個人情報保護法について解説したいと思います。
「個人情報」とは、生存する個人に関する情報で、特定の個人を識別することができるもの(他の情報と容易に照合でき、それにより特定の個人を識別できるものを含む)を言います。よって、死者に関する情報や、法人に関する情報は基本的に「個人情報」には該当しません。
個人情報保護法では、「個人情報取扱事業者」に対し義務を規定していますが、個人情報取扱事業者とは、5,000人分を超える個人情報をデータベース化して事業活動に利用している民間事業者のことです。
したがって、5,000人分以下の個人情報を事業活動に利用している民間事業者や、事業活動をしていない者は対象になりません。
しかし個人情報取扱事業者に該当しなくても、プライバシーは憲法上保障されている人権と解釈されていますので、適切に保護する必要があります。
個人情報取扱事業者の義務として、個人情報の利用目的をできるだけ特定し、その目的の範囲を超えて使用してはならないこと、不正な手段によって個人情報を取得してはならないこと、個人データの漏えいや滅失を防ぐために適切な安全管理措置を講じること、安全に個人データを管理するために従業員や委託先を監督することなどが定められています。
個人情報取扱事業者が義務違反をすると、社長、役員、一般従業員で違反行為をした行為者が罰せられるとともに、会社そのものも罰金刑を科せられることになります。
情報漏えいの事故が起これば、上の罰則のほかにも信用の低下や問い合わせの対処に追われることによる業務効率低下など、ダメージは非常に大きいと言えます。
ただ、「個人情報であれば何でも保護」というのは誤解であって、個人情報保護法はそもそも個人の権利利益の保護と個人情報の有用性のバランスを図るものです。
法令に基づく場合、人の生命、身体又は財産の保護に必要な場合、公衆衛生・児童の健全育成に特に必要な場合、国等に協力する場合は、本人の同意を得ずに第三者に提供することができます。(法23条)
例えば、製品に重大な欠陥があるような緊急時に、メーカーから家電量販店に対して顧客情報の提供依頼があったら、本人の同意を得ずに情報を提供しても違反となりません。
法律を正しく理解し、情報を適切に管理することが大切です。就業規則の整備も重要です。