2007年6月23日土曜日

個人情報保護 [Memo]

この時代、知らなかったでは済まされないので。

2005年4月1日に個人情報保護法が全面施行。個人情報の漏洩、フィッシング詐欺など、IT化時代には、個人情報が世界中に流出しかねない。徹底的に管理が重要なビジネス課題。現代を生きるビジネスパーソンに不可欠な知識。個人情報がらみの犯罪がマスコミをにぎわしている。

個人情報とは、生きている個人に関する。特定の個人を識別できる情報。名前、住所、年齢、家族構成、資産、写真、ビデオ、監視カメラの映像など。メールアドレス、カード情報は他の情報と照らしあわせて個人を特定できるものは個人情報。プライバシー情報(交友関係、趣味、嗜好、他人に知られたくない私生活上の未公開情報)と個人情報は必ずしも一致しない。


  • 個人情報:特定の個人を識別できるすべての情報

  • 個人データ:個人情報を氏名などで簡単に検索できるようにしている個々の個人情報を差す。コンピュータのみならず、名刺ファイル、顧客リスト、名簿など。

  • 保有個人データ:事業者がみずから開示、訂正、第三者への提供する権限がある。6ヶ月以内に消去する予定のものは除く。



対象企業
個人データを事業活動などに活用している民間事業者。過去6ヶ月の間に、5000人分を超える個人情報を整理された状態で保持した企業。フォルダに整理された名刺や葉書なども含む。5000人分に満たなくても個人情報を取り扱う事業者であることに変わりは無い。

違反企業
罰則、主務大臣から行政監督。報告徴収、助言、勧告、命令という段取りがある。罰則よりも社会的制裁の方が事業者にはマイナスとなってしまう。信頼、ブランドの低下。民事訴訟による損害賠償にもおよぶ可能性あり。事故、事件の当事者の場合は、解雇や減給など。企業からの損害賠償を求められる可能性もある。

取扱事業者の義務
取得、利用、管理に義務付けを行っている。どのような目的で使うのかを明確にする。たとえば「事業活動に用いる」「サービス向上のため」「マーケティング活動のため」といったものは曖昧すぎてダメ。具体的な利用シーンを考え、利用目的を特定する。


  • 違法な手段によらず適正に取得

  • 利用目的を通知公表する。

  • 正確な内容になるよう勤める。

  • 安全管理措置を行う。

  • 第三者に提供することを厳しく制限する。

  • 開示・訂正に迅速に対応する。

  • 苦情に迅速に対応する。



個人情報の取得


  • 名刺を交換する:個人情報そのもの。

  • 契約書を交わす:署名部分の個人名、役職は個人情報。

  • アンケート利用:アンケート時は利用目的を本人に明示する。

  • 個人情報を取得時の目的以外で使う場合、本人に利用目的を通知が必要。

  • 名簿業者から名簿を購入:本人の同意がない場合、不正な取得になる。

  • 本人以外(家族など)から取得する際は、本人に対し通知しなくてはならない。

  • 利用目的を達成するために必要な範囲内で取得する。



個人情報の利用

  • 個人情報の目的外利用は厳禁。利用目的の変更を通知すること。

  • 電話帳を加工して独自の個人データベースを作る場合は、利用目的の通知が必要。

  • 顧客情報を貸し出す:第三者提供制限。本人に通知し、同意が必要。

  • オプトアウト:個人データを本人同意がなくても第三者への提供ができる。できるだけオプトアウトは避けた方が良い。

  • 合併前・後の会社には同一性がある。第三者提供には当たらない。事業内容が変化し、個人情報の利用目的が明らかに変わる場合は、通知が必要。


個人情報の管理編

  • 法令施行前に取得した個人情報も保護対象。

  • 常に最新の状態にたもつことが求められる。

  • 利用目的が変わったら、本人の同意が必要。

  • 部門間で個人情報を共有した場合、目的外利用となる場合がある。

  • セキュリティとアクセス管理を徹底する。



個人情報の監視

  • 本人より情報の開示を求められた場合はすみやかに開示、訂正に応じる。社内でルール化が必要。

  • 多数の顧客にCCで誤送信など、ケアレスミスも安全措置義務違反となる。

  • 業務委託の場合、利用目的範囲であれば第三者提供にはあたらない。ただし外部業者の監督責任が生じる。

  • 個人情報の持ち出し、売却は違法行為。横領、背任、窃盗に問われる。実行者の責任、および取扱業者にも監督責任が問われる。


個人情報の廃棄と消去

  • 紙で管理していた個人情報はシュレッダーにかけたり、溶解処分をする。

  • 個人情報管理のPC:PCをフォーマットだけでは消去できない。データ抹消ソフトを使うこと。廃棄の場合は物理的に破壊する。記録メディアの廃棄にも注意。割る、傷を付けるなど。



情報漏洩後の対処法
事故後の対応:苦情相談窓口を設置。事細かに上司に報告。社長か情報管理担当者が受け止める。監督官庁や警察へ届ける。

  1. 状況の把握

  2. 状況の公表・通知

  3. セキュリティ体制の再構築

  4. 被害者への対応

  5. 加害者、責任者への処分



これらを迅速に行う。

参考:ドラマで学ぶ 個人情報保護 〔全4巻セット〕
投稿者 時刻:
ラベル:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)