- 目次 -
1.個人情報保護法の概要
まず、個人情報保護法の内容について理解しておきましょう。また、個人情報保護法は、企業の業務におけるさまざまな場面で問題となります。そこで、入門書で構いませんので、個人情報保護法についての解説書を一読し、法律の全体像を把握しておくことをおすすめします。
なお、個人情報保護法の具体的な解釈や運用について、経済産業省が業種別にガイドラインを作成していますので、これらも参考になります。
・アエルプランニング「弁護士金井高志の『もう一度チェック!あなたの個人情報保護法理解度』」
(1)個人情報・個人情報取扱事業者
個人情報保護法により保護される「個人情報」とは、生存している特定の個人を識別できる情報のことをいいます(法2条1項)。
個人情報保護法の適用を受ける「個人情報取扱事業者」とは、過去6ヶ月の間、一度でも 5000件以上の個人情報を取り扱った事業者をいいます(法2条3項)。
・内閣府 個人情報保護法の解説 個人情報・個人情報取扱事業者
(2)取得・利用
個人情報の取得にあたっては、原則として、その利用目的を本人に対して通知または公表しなければなりません(法18条1項)。そして、個人情報を利用する場合には、この利用目的の範囲内で利用することになります(法16条1項)。また、第三者に個人情報を提供する場合には、原則として事前に本人の同意を得なければなりません(法23条1項)。
2.個人情報漏洩の場合の企業の責任
個人情報の漏洩が起きた場合に問題となる企業の責任は、行政責任、刑事責任、民事責任、そして社会的責任に分類することができます。
行政責任と刑事責任は、個人情報保護法に定められるものです。行政責任としては、個人情報保護法違反があった場合に、主務大臣により、勧告や命令等がなされることがあります(法34条)。また、刑事責任として、主務大臣の命令に従わなかった場合に、違反者は、6ヶ月以下の懲役または30万円以下の罰金、法人は、30万円以下の罰金に処せられます(法57条)。
民事責任は、被害者からの損害賠償請求が主なものです。これまでの個人情報漏洩事件に関する裁判で認められた被害者への損害賠償額は、5千円であることもあれば、40万円になる場合もあるなど、状況によりさまざまですが、一人あたりの損害賠償額が少なくても、通常被害者が膨大な数にのぼることから、合計の損害賠償額は、非常に大きくなることが多い点に注意が必要です。
以上は法律上の責任ですが、企業にとってもっとも重大な影響を及ぼすものは、社会的責任といっても過言ではありません。近年、漏洩事件に対する社会の目は厳しいものがあります。このため、漏洩事件を起こしてしまった場合、訴訟を起こされなかったとしても、被害者に対して何らかの対応(金券や謝罪文の送付など)を行うことが多く、また事実関係の調査やマスコミ対応なども必要となるなど、信頼の回復には多大な努力と費用を要します。また、漏洩事件が起きた場合には、取引先にとっては自社の信用にも影響することですので、取引関係が解消されてしまう可能性も大いにあるのです。
・DREAM GATE Vol.1 大日本印刷 個人情報流出事件
3.ベンチャー企業として気をつけるべきこと ―― チェックポイント
ベンチャー企業としては、個人情報を適切に管理することが大切です。具体的には以下のとおりです。
(1)個人情報管理規程を作成して、個人情報の「取得→保管・利用→廃棄」までが安全になされるような仕組みをつくり、さらにそれを実効的に運用しなければなりません。
(2)個人情報の保管・利用にあたっては、個人情報にアクセスできるパスワードなどを厳格に管理し、社員の誰もが自由に閲覧できるような状況を避ける必要があります。
(3)個人情報の取得・利用にあたっては、本人に対する利用目的の通知・公表、第三者提供についての本人の事前の同意が必要とされています。この要請を満たすため、顧客に対して一律に適用される個人情報保護方針(プライバシーポリシー)を定め、ホームページやパンフレットなどに掲載することが必要になると思います。
個人情報保護方針(プライバシーポリシー)の作成においては、特に、個人情報の利用目的と第三者提供が重要になりますが、現在行っていないとしても、利用目的には将来行う可能性のある事業についてもできる限り記載しておくことが望ましいと言えます。
なお、個人情報保護方針(プライバシーポリシー)の作成にあたっては、他社が作成したものを参考にして作成することがあるかと思います。しかし会社によって質はまちまちですので、プライバシーマークを取得している企業のもの、また法務部門の適切な検討を経ていると思われる、大手企業のものを参考にするのがよいと思います。