• TOP
  • アクセス
  • メールマガジン購読申込み・解除

Contact us

  • ワンダーマンコンセプト
  • ワンダーマンソリューション
  • コラム
  • 企業情報
  • 採用情報

個人情報保護法で何が変わる?

category
ワンダーマン・ニューズレター
writer
田原 憲司
series
TIPS★TIPS No.24
date
2005年3月17日
themes
情報セキュリティ

平成17年4月1日に「個人情報の保護に関する法律」(以下「保護法」と略)が完全施行される。保護法に関しては、かなり以前からビジネスの世界だけでなく一般生活者にまで各紙誌を通して報道がなされていただけに、「何を今更」と思う向きもあるかもしれない。しかし、重要なのは「いよいよ"完全施行"となり、罰則規定も適用される」という点である。さる法学者は"罰則規定なき法律は法律ではない。罰則規定によって拘束力を持ってこそ法律である。"という基本ポリシーを持っていた。その論に賛同するのであれば、数年前から鳴り物入りで登場した保護法はいよいよ本物の法律になったのである。

しかし、その罰則規定の問題以上に保護法は、今後顧客情報を取り扱う企業に大きなインパクトを与えることになる。既に様々な企業で対応策が取られているが、一度個人情報のトラブルが発生すれば、今まで以上に高い注目を集めるニュースになることが確実だからである。

当社における変化
当社は約1年前に、プライバシーマークの認証取得プロジェクトを開始し、様々なルールを策定して運用している。そして、先日ようやくプライバシーマークの認定を受けた。最近では多くの企業でも励行されているが、当社社員は社員証を携行し、来訪者にも「受付カード」の記載及び「Visitorカード」の携行を確実にお願いしている。

個人情報をクライアント社様からお預かりする場合には、「受渡票」に双方が記名し、返却又は破棄する場合にも記名している。協力会社様にも、当社と同様のルールで取り扱いをお願いしている。その他詳細な取り決めも策定し運用しているが、そのすべてを列挙していては本稿の行数ではとても足りない。当然ながら業務上の負荷は高まる。しかし、もはやそれらは「負荷うんぬん」の問題ではなく、「やらなければならないこと」であると全従業員が認識して実行している。

当社における変化。それは業務の流れや励行すべき項目が増えたという表面的なことよりも、従業員の意識面の変化が一番大きいといえよう。

個人情報を取り扱うリスクは?
保護法に違反し、監督官庁の改善勧告を受ける事、若しくは罰金刑に処される事は、もちろん企業にとってダメージである。しかし、冒頭でも述べたように保護法の処罰そのものよりも重大であると思慮するのは、風評の流布に伴って発生する営業活動の機会損失、信用の喪失及びブランドイメージの失墜並びに事態収束コスト(例:損害賠償金、謝罪広告費用等)が、企業の存続を揺るがしかねないという事である。

個人情報(氏名、住所、年齢、性別等)が漏洩した場合、損害賠償額は 1万円という判例がある。例えば、1万件の個人情報が漏洩し、被害者全員に損害賠償金を支払った場合は1億円となる。さらに、1万人に向けお詫び状を作成、500円のお見舞い品を同梱して送付、謝罪広告を掲載し・・・となると、当社の試算では、5,000万円以上の費用が発生すると想定している。

クライアント社様及び当社にとっては、1万件の個人情報を取り扱う事は、決してまれな事ではなく、1万件という個人情報は、ほかの業務と比較しても、決して膨大な件数でもない。つまり我々は、恒常的に多大なリスクを負っているという覚悟がまず必要なのである。

情報主体にとってわかりやすい個人情報の利用を!
昨年5月以降、当社で個人情報の取り扱いに関するルールを、当社社員及び委託先である協力会社の皆様に向けて運用を開始すると、社内外から様々な問い合わせを受けるようになった。当初は、"個人情報保護法って何?"とか、"個人情報って何?"という質問も少なくなかった。しかし、今では、申込者の獲得方法(例:収集時の留意点等)及び申込者データの運用(例:保管、返却等)に関するかなり具体的な問い合わせが多くなってきている。

保護法第18条で規定されている通り、個人情報を取得する場合には、事前に情報主体(お客様、ご本人)に、誰がどんな目的でこの個人情報を利用するのか通知又は公表しなければならない。さらに、経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では、その解説がなされており、利用目的の提示は、できる限り具体的に提示することが求められている。

しかし、どのくらいまで具体的に提示すればいいのか、表面的に見てもそこからは読み取れない。それでは、何に気をつけて利用目的を提示すればいいのか。それは"情報主体にわかりやすく、誤解を生じないように留意する"という、極めて当たり前と思えることではあるが、その基本に立ち戻って見直すことが肝要なのである。

当社も含めて個人情報をビジネスリソースとして活用している企業にとっては、保護法に違反するような事があってはならないと考えるのは当然だ。しかし、最も重要で基本的な認識が忘れられている例が散見される。正しく基本的な認識。それは、「個人情報は、企業の所有物ではない」ということだ。

顧客情報は企業の所有物ではない!
個人情報の開示、訂正及び削除の権利は、情報主体にある。つまり、個人情報は情報主体の物であり、企業の所有物ではないのである。多くの広告予算、ハードウェア費用及び社員の成果として収集した個人情報であっても、顧客情報は企業の所有物ではない。

個人情報は、あくまでも情報主体からお預かりしているものである。個人情報の取り扱いに迷ったときに、「個人情報はそもそもお預かりしているものである」、と認識すれば、どう取り扱うべきか自然に答えはみつかるだろう。他人から重要なモノをお預かりするのだと認識していれば、自然と「金庫に入れて保管しよう」、「手渡しで返却しよう」、「その授受の記録は書面でも行おう」という発想になるはずである。「持ち主に断りなく勝手に貸す」とか、「机の上に置きっ放しにする」などとは間違っても思うまい。

保護法対応のためのTips
「個人情報は厳重に金庫で管理し、カメラで監視し・・・等、設備に費用をかけ、ルールを作ればいい」、という事ではなく、「プライバシーマークの認証を取得していればいい」、という事でもない。最も重要なことなのであえて繰り返すが、「個人情報は、ご本人からお預かりしているものであると認識すること」である。そして、その認識に従って業務を遂行するために、個人情報の取り扱いに当たっては、以下の事項の確認を必須としなければならない。

  1. 個人情報の収集時には、利用目的を具体的に提示する。
    <確認事項>
    問い合わせを獲得する広告ツールに、現状どのような利用目的の提示がされているか。
  2. 個人情報を利用する場合には、収集時に提示した利用目的と齟齬がないか確認する。齟齬がある場合には、情報主体に利用目的を再度通知又は公表する。
    <確認事項>
    今まで様々なキャンペーンで取得した個人情報が、混在していないか。混在しているのであれば、情報主体に再度通知又は公表しなければならない。
  3. ご本人から問い合わせ(開示、訂正及び削除)があった場合には、しかるべき方法で本人確認を行い、問い合わせには速やかに対応する。
    <確認事項>
    問い合わせ対応の窓口及び体制はあるか、また機能しているか。本人確認の方法は決めているか。もし、本人と偽った第三者の問い合わせに対応した場合、個人情報を"漏洩又は改ざんした"ということにもなりかねない。

保護法に違反しなければいいのではない。情報主体である顧客にとって分かりやすい運用を行うこと。情報主体が不信感や不安を抱き、クレームを受けるようなことをなくすこと。これこそ我々個人情報取扱事業者が目指すところである。保護法やガイドラインの解釈に終始するのではなく、あくまでも情報主体である顧客にとって分かりやすい利用に徹することに終始したい。

※ ご参考までに
個人情報保護に関する当社の公開論文を掲載しております。個人情報の定義、及び取り扱いに関する留意事項についてまとめておりますので、是非ご参照ください。
―信用失墜を嘆く前に始めよう 個人情報の定義づけと運用管理―

【ワンダーマン・ニューズレター】 TIPS★TIPS一覧へ

コラムは毎月1回メルマガでも配信中 購読はこちら(無料)


PageTop

Copyright © Wunderman Dentsu, Inc. All Rights Reserved

ISO/IEC 27001:2013(JIS Q 27001:2014) 電通ワンダーマンは、
右記のセキュリティ認証を取得しています。

ISO/IEC 27001:2013 / JIS Q 27001:2014