消費者から受け取った個人情報をどのように管理すべきでしょうか?(第2回)2011/5/20
個人情報の管理について、本コラムにおいて、3回にわたり検討します。前回は、個人情報の流出が企業にとって膨大な損失をもたらす可能性について検討しましたが、今回は、個人情報保護法についてです。
(2)個人情報保護法が平成15年施行されたこと
個人情報に関する意識の高まりと、企業が有する大量の個人情報の流出が問題化したことなどがきっかけとなって、個人情報の保護に関する法律(いわゆる「個人情報保護法」)が平成15年に施行されました。
個人情報保護法は、「個人情報取扱業者」に適用されます[1]個人情報保護法2条3項。「個人情報取扱業者」とは、概ね5,000人以上の「個人情報」のデータベース等を事業のために利用している者をいいます[2]個人情報保護法2条3項5号、個人情報保護法施行令2条。 また、「個人情報」とは、生存する個人に関する情報であって、氏名や住所、その他の記述などにより特定の個人を識別できるものをいいます[3]個人情報保護法2条1項。 例えば、電子メールソフトのアドレス帳は、「個人情報」ですので、従業員のメールソフトに、5,000名以上の者が登録されていれば(※同一人の重複はカウントしません)、当該事業者は、「個人情報取扱業者」にあたることになります。
以上の通り、比較的小規模な事業者でも、簡単に、個人情報保護法における「個人情報取扱業者」に該当してしまいますので、一般的には、自社にも個人情報保護法が適用されると考えておくべきでしょう。
個人情報保護法によって、「個人情報取扱業者」は、主として以下の義務を負います。
- ①個人情報を取得するに際して、原則として、利用目的を本人に対して通知すること[4]個人情報保護法18条1項
- ②個人データを第三者に提供する場合には、原則として、本人の同意を得ること[5]個人情報保護法23条1項
- ③本人から個人データの開示を求められた場合には、原則として、開示しなければならない[6]個人情報保護法25条1項
- ④本人から個人データの内容が事実でないという理由で、個人データの内容の訂正等を求められた場合には、原則として、遅滞のない調査結果に基づいて訂正しなければならない[7]個人情報保護法26条1項
個人情報取扱業者がこれらの義務に違反した場合、主務大臣は、違反行為の中止および違反を是正するための処置をとるべき旨を、勧告することができます[8]個人情報保護法34条。