JPNIC(日本ネットワークインフォメーションセンター)は18日、都内で第23回総会を開催した。総会の後に行われた講演会では、サイバー犯罪等の問題に詳しい弁護士として先日本誌連載「ストリートインタビュー」にも登場した岡村久道弁護士が、来年4月に全面施行の迫った個人情報保護法について、特にISP業界で問題となりやすい点を重点的に解説した。

来年4月に向けて企業には一刻の猶予も許されない

まず岡村氏は冒頭で来年4月までのスケジュールについて解説した。既に個人情報保護法の法律本体や政令などは成立あるいは制定済みだが、実際に主務官庁が同法を運用するために策定するガイドラインなどは、一部についてパブリックコメントの受付が行われるなど、まさに現在策定が行われているところ。現在までに公表されているガイドラインは、経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象としたガイドラインの策定」、厚生労働省の「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」に加え、総務省と経済産業省が共同で策定した「電子タグに関するプライバシー保護ガイドライン」もこれに該当するという。

個人情報保護法全面施行に向けたステップ。現在は「主務官庁の指針」が出されつつある段階

それらに加え、今後業界団体(ISP業界だとテレコムサービス協会など)による具体的な指針の策定も行われる予定のほか、電気通信業界に関しては「総務省の電気通信事業ガイドラインの改訂版が間もなく公表される見込み」(同氏)という。一方、当初金融・医療・通信の3分野について制定されると言われていた個別法については「準備が遅れているようで、いつ法案が(国会に)出されるのかがはっきりしない」とのこと。ただ同氏は「いずれにしてもデッドラインが来年4月1日であることには変わりはない」と述べ、企業にとって同法への対応は一刻を争う事態であることを強調した。

「個人情報」に該当する情報の判断は簡単ではない

その上で同氏は法律本体の解説に入った。まず同氏が触れたのが「プライバシー権と同法で保護される『個人情報』の違い」。よく個人情報保護法のことを「プライバシー権を保護するもの」と勘違いしている人がいるが、確かにこの2つは密接な関係があるものの、あくまで対象とする情報は異なる。この点を同氏は「個人情報保護法は、交通事故を防ぐために道路交通法や交通マナーがあるのと同じで、個人情報の取り扱いを巡るトラブルを防ぐために取り扱いマナーを定めるもので、プライバシーの対象となる情報以外のものも多数含まれる」と表現した。

具体的には同法で保護される個人情報は「生存する個人の情報」に限られ、「個人を識別できる情報であれば公開情報も含まれる(プライバシー権の場合は保護されるのは非公開情報のみ)」といった点がプライバシー概念と異なる。ただ法人の情報であっても、役員や広報担当者などの個人名が含まれている場合はその情報が個人情報に該当する可能性があるほか、死者の情報であっても「それにより相続人を個別に識別することが可能な場合は個人情報として判断されることがある」(同氏)ということで、一概に法人や死者の情報だからといって扱いをぞんざいにはできない可能性があることがうかがえた。

個人情報保護法上の「個人情報」とプライバシー権の違い	2つの違いをより具体的に説明したところ

またこの「個人を識別できる情報」という基準もなかなか難しいところがある。同氏は「例えば私のニフティのメールアドレスなんかは単なる記号と数字の羅列であり、通常は個人情報には当たらないが(そのアドレスから個人名を特定することができない)、これが『rms@gnu.org』になると、わかる人にはこれがGNUのRichard Stallman(氏)のアドレスだとわかってしまうため、個人情報だと判断されてしまう可能性がある」と述べ、「『個人を識別可能かどうか』という個人情報の判断基準は結局相対的なものである」と語った。

さらに同法で定義される「個人情報データベース」も、必ずしもデータベースに格納された電子データだけを指すわけではない。同氏は「例えば名刺を何もせずに束にして置いておくだけでは個人情報データベースには当たらないが、名刺を一定の基準で整理して名刺ホルダに入れた瞬間にそれは個人情報データベースに当たる」と述べ、電子データ以外の形のデータも同法の規制対象となることについて注意を呼びかけていた。

経営陣が主導でコンプライアンス体制を確立すべき

続いて同氏は個人情報取扱事業者(原則として5,000件以上の個人情報を取り扱う民間事業者)に課せられる義務規定の解説に移ったが、これについては内容が非常に多岐に渡るため、今回は割愛させていただく。ご興味がある方は、同氏が監修した「安心して個人情報を取り扱うためには」(財団法人インターネット協会)などの解説書をご覧いただきたい。

そして最後に同氏が触れたのが「企業内におけるコンプライアンス体制の整備」。個人情報保護法においても、前述したように個人情報として問題になるかどうかが曖昧なグレーゾーンというものが実際には数多く存在するが、それらを含めたリスク管理体制について、同氏は大和証券株主代表訴訟などの例を元に「法令遵守体制を含むリスク管理体制の整備は役員の責任であり、特に法令遵守体制に関しては役員の裁量権はなく、とにかく法に従う以外の選択肢はない」と述べ、個人情報保護のための社内体制の整備は経営陣の責任で行う必要があることを強調した。

そのための手法として同氏はJIS Q 15001などを簡単に紹介しつつ「適切な社内規定を制定した上で、それらが絵に描いた餅にならないように教育・監査などの体制を整える必要がある」「経営陣は個人情報保護管理者(CPO)を指名して責任体制を確立すべき」など、法律施行前に行うべき事項について解説。最後には「皆さんにとって知らなければならないことが多すぎることは重々承知しているが、だからといって法律は知らなかったでは済まされない」と述べ、もう一度この法律について解説書を読む、セミナーに出席するなどして勉強しなおすことを参加者に勧めていた。

このようなグレーゾーンの扱いを、コンプライアンス体制を整えコントロールする必要がある	企業内のセキュリティと個人情報保護法の要求は一部重複する