ルール&手順 個人情報保護法 |
---|
法解釈と実践への対応マニュアル |
著者 | 藤原 宏高(ふじわら ひろたか) |
---|---|
判型 | A5,496頁 |
本体価格 3,800円 | |
ISBN | 978-4-87783-135-6 C3032 |
民間企業を対象とする個人情報保護法(個人情報の保護に関する法律(平成15年法律第57号)に基づく個人情報取扱事業者の具体的な義務規定は平成17年4月1日から施行される。しかし、法律の条文自体の解説書はたくさんあっても、具体的にどうしたらよいのかさっぱりわからない、というのが個人情報保護法へのコンプライアンスを命ぜられた担当者の実感ではないだろうか。
その理由は、以下に述べるこの法律の不幸な歴史に由来する。平成11年、政府が住民基本台帳法を改正して、全国民に11桁からなる住民票コードを付与して集中管理し、これを地方自治体や行政機関側で利用できる仕組み(以下「住基ネット」という)を導入しようとした際、地方自治体や行政機関側で取り扱う住基ネットの個人情報が民間に漏れた場合に、民間で個人情報を守る法律がないと困る、との指摘に対し、当時の小渕総理大臣は国会で住民基本台帳法改正の条件として、民間個人情報保護法の制定を約束した。そのため、政府は、個人情報保護に比較的厳しい姿勢をとるEUの制度に習い、レベルの高い民間個人情報保護法の制定を目指したのである。
ところが当時の民間個人情報保護法案は、具体的権利義務を伴わない個人情報保護に関する基本原則を宣言したため、マスコミ関係者から、マスコミ規制法であるとの批判を浴び、当時の法案に対する議論はすべてマスコミ規制の是非に集中した。
私が、当時法案を審議していた衆議院内閣委員会に参考人として招聘されたときも、民間個人情報保護法案に関する議論は、残念なことに個人情報取扱事業者の具体的な義務規定の解釈をめぐるものではなく、基本原則を宣言したことの問題点に集中した。当時、日本弁護士連合会情報問題対策委員会幹事をしていた私が参考人として国会で意見を表明した趣旨は、民間個人情報保護法の問題点ではなく、政府が住基ネットを導入することにより、行政機関が安易に国民を住民票コードで番号管理できる社会がもたらす危険性の指摘であった。
最終的に民間個人情報保護法案は、基本原則を削除する等マスコミに配慮した修正をして平成15年5月23日、第156回通常国会で成立した。
かかる苦難な歴史を背負って成立した民間個人情報保護法は、EUの制度に習ったレベルの高い法律であるとの特色はやや色あせるとともに、個人情報取扱事業者の義務規定の解釈をめぐる具体的な議論や具体的な事例への適用をめぐる議論はその後も盛り上がらず、
1.個人情報保護法が目指すレベルの高い個人情報保護体制とは具体的にいかなるルールか(ルールの解明)
2.かかるレベルの高い個人情報保護体制の構築に向けて個人情報取扱事業者が取り組むためには、具体的にどのような手順を踏んだらよいのか(手順の解明)
等、個人情報保護法へのコンプライアンス体制の構築は、具体的な義務規定の適用を受ける個人情報取扱事業者側で自ら解決すべき問題となってしまった。
個人情報保護法成立後、私は民間個人情報保護法へのコンプライアンス体制の構築を目指す企業から依頼を受けて、大量の個人情報を抱える企業のコンサルティングに着手したが、取り組めば取り組むほど、「個人情報保護法の要求するルールのレベルの高さ」を痛感するとともに、「企業にとって個人情報を持つことはリスクを持つことそのものである」との認識を持つに至った。すなわち、企業の個人情報保護法へのコンプライアンスは、企業のリスクマネジメントそのものなのである。
そこで、私の法律事務所のこれまでの経験を踏まえ、民間個人情報保護法の求めるルールとは何かを、最近政府から公表されたガイドラインも含めて検討するとともに、企業の民間個人情報保護法への対応方法を具体的な手順として説明することとした。加えて、個人情報保護法制定後、各主務官庁から発表されている分野別ガイドラインについても、第6章で説明するとともに、国立大学や国立病院等が独立行政法人化され、独立行政法人等に対する個人情報保護法の適用を受けることとなったことに鑑み、これらの各種機関のために、第8章で独立行政法人等個人情報保護法のルールと対応手順も説明することとした。
本書が、個人情報保護法へのコンプライアンスを命ぜられた担当者のバイブルとなれば幸いである。なお、プライバシーマークの取得やISMSの認証を受ける企業にとっては、本書のプログラムは一部これらの手順と重複するが、プライバシーマークを取得し又はISMSの認証を受けたことにより、個人情報保護法へのコンプライアンスが完結する訳ではなく、両者はあくまで別物であることを銘記する必要がある。本書では、プライバシーマークの根拠となっているJISQ 15001と個人情報保護法との差異についても指摘した。
なお、個人情報保護法の求めるルールの検討に際しては、当法律事務所独自の見解を述べた部分が多々ある。本書で「考えられる」ないしは、「考える」と記述した部分は、当事務所の見解であることをご理解いただきたい。
最後に、個人情報保護法の概要が一目でわかるように、「個人情報保護法はこんな法律です」と題して、個人情報保護法の求めるルールを1枚の絵にしてみた。本書の読者の個人情報保護法に対する理解が深まれば幸いである。
第1章●個人情報取扱事業者か否か判定せよ
1-1 経済産業省のガイドライン
1-2 個人情報に関する3つの概念とその適用条文
1-3 個人情報取扱事業者の要件
1-4 個人情報取扱事業者であることの判断手順
第2章●保有している社内の個人情報を調査せよ
2-1 個人情報保護法に対応するための新組織の構築とCPOの選任
2-2 個人情報収集の際のルール(比較的穏やかなルール)
2-3 個人情報調査までの手順
第3章●個人情報の利用目的を特定せよ
3-1 個人情報保護法の定める利用目的のルール
3-2 利用目的特定の基準
3-3 利用目的特定までの手順
3-4 個人情報調査結果のその余の法的評価
第4章●個人情報を社内で管理する方法を策定せよ
4-1 取扱のルール(やや厳しいルール)
4-2 取扱ルールの策定・運用の手順
4-3 情報セキュリティ管理策
4-4 本人関与のルール
4-5 本人関与に対応するための作業手順
4-6 苦情処理及び危機管理
4-7 個人情報保護規程
第5章●個人情報を第三者に提供するな
5-1 個人情報第三者提供のルール(きわめて厳しいルール)
5-2 第三者提供の実態調査
5-3 個人データを委託する場合の処理手順
第6章●業界別ガイドラインを遵守せよ
6-1 電気通信事業(総務省)
6-2 法務省 281
6-3 財務省 285
6-4 金融庁 288
6-5 農林水産省
6-6 国土交通省
6-7 雇用管理(厚生労働省)
第7章●プライバシーポリシーを確定せよ
7-1 プライバシーポリシー
7-2 個人情報保護法の定める要求事項の検討
7-3 プライバシーポリシー作成の手順
第8章●独立行政法人等における個人情報保護
8-1 はじめに
8-2 対象となる独立行政法人等とは
8-3 個人の情報に関する概念
8-4 個人情報取扱のルール
8-5 開示、訂正、利用停止請求等とそれらへの対応
8-6 独立行政法人等のコンプライアンスプログラム
付録
付録A 個人情報保護規程 例
付録B 個人情報の保護に関する法律
(平成15年5月30日法律第57号)
付録C 独立行政法人等の保有する個人情報の保護に関する
法律(平成15年5月30日法律第59 号)
索引
第1章●個人情報取扱事業者か否か判定せよ
1-1 経済産業省のガイドライン
1-2 個人情報に関する3つの概念とその適用条文
1-3 個人情報取扱事業者の要件
第2章●保有している社内の個人情報を調査せよ
2-2 個人情報収集の際のルール(比較的穏やかなルール)
第3章●個人情報の利用目的を特定せよ
3-1 個人情報保護法の定める利用目的のルール
3-2 利用目的特定の基準
第4章●個人情報を社内で管理する方法を策定せよ
4-1 取扱のルール(やや厳しいルール)
4-3 情報セキュリティ管理策
4-4 本人関与のルール
4-6 苦情処理及び危機管理
4-7 個人情報保護規程
第5章●個人情報を第三者に提供するな
5-1 個人情報第三者提供のルール(きわめて厳しいルール)
第6章●業界別ガイドラインを遵守せよ
6-1 電気通信事業(総務省)
6-2 法務省
6-3 財務省
6-4 金融庁
6-5 農林水産省
6-6 国土交通省
6-7 雇用管理(厚生労働省)
第7章●プライバシーポリシーを確定せよ
7-1 プライバシーポリシー
7-2 個人情報保護法の定める要求事項の検討
第8章●独立行政法人等における個人情報保護
8-3 個人の情報に関する概念
8-4 個人情報取扱のルール
8-5 開示、訂正、利用停止請求等とそれらへの対応
本文中に誤りがありました。お詫びして訂正いたします。
231ページ,本文1行目
《誤》 | 第三者から事前に |
---|---|
《正》 | 第三者提供について情報主体から事前に |