コンサルタントコラム

個人情報保護法全面施行1周年を迎えるにあたり思うこと

役職名
法務・環境部 主任コンサルタント
執筆者名
植原 崇文 Takafumi Uehara

2005年4月1日に個人情報の保護に関する法律(以下、個人情報保護法)が全面施行されてから、間もなく1年が経過しようとしている。個人情報保護法の施行により、各事業者が同法への対応に追われる一方、一般の個人においても、「自分の個人情報がどのように扱われているのか?」「どのように管理されているのか?」など、個人情報に対する権利意識が向上している状況にある。誰もが自分の個人情報に関心を持ち、また、事業者側の個人情報の管理体制に関し警鐘を鳴らすという意味において、個人情報保護法が制定されたことには大きな意義があると思われるが、最近の個人情報に関する対応のあり方を見ると、いささか過剰反応気味と感じられるところもある。また、個人情報保護法が必ずしも十分に理解されていないがために、様々な不都合が生じているケースも見受けられる。

例えば、交通事故等が発生し負傷者が搬入された病院に対して、被害者の家族が身分の照会をした際に、病院側が個人情報保護法をもとに、第三者に個人情報を開示する際には本人の同意が必要として断ったというような例があった。また、ある犯罪が発生した際に、警察が犯罪の容疑者に関する捜査を行う目的で、その容疑者が勤務する事業者に身分照会をした際に、個人情報保護法による目的外利用に該当するとして情報の開示を拒否したとの事例も耳にした事がある。

しかし、前者の事例に関して言えば「人の生命・身体・財産の保護」に該当し、後者について言えば「法令に基づく場合」に該当することになり、個人情報保護法上の開示に関する例外にあたり、開示しても差し支えないケースであった。これは、個人情報保護法に関する理解が未だ十分に浸透していないことを示す事例であろう。

また、同法全面施行に伴う一つの傾向として、個人情報に関する各種認定制度の取得を目指す事業者が以前に比べて増えていることが挙げられる。中でも、プライバシーマークを取得する事業者は非常に多く、2004年8月時点でのプライバシーマーク取得者数は約850社であったが、2006年2月末時点での取得時業者数は約3,200社にも増えており、1年半で実に4倍に増えていることがわかる。外部機関による認証を取得することで、個人情報管理に関する信用の増大が期待できる、個人情報保護対策を社内に周知・徹底・教育する際に、認証制度取得を目標に掲げることで社内のコンセンサスが得やすいなど多くのメリットがある。一方で、各種マネジメントの運営・維持のために一定のコスト投入が必要となることや、JIS Q 15001と個人情報保護法では要求される事項が一部異なるため、プライバシーマーク取得がそのまま完全な個人情報保護法対策とならないなどの点に留意する必要がある。プライバシーマーク取得に際しては、その取得の目的を考慮し、また、取得するのであれば、個人情報保護法対策との連動を図りつつ、必要以上にコストやロードをかけない工夫を考えることが重要であろう。

事業者側が個人情報保護法対策に苦慮している中で、一般の個人が個人情報の提供に関して過敏に反応することで、思わぬ弊害を生んでいる事例も散見される。例えば、小学校や中学校における連絡網の作成のために、情報の開示について同意を求めたところ、一部の保護者から情報の開示に同意が得られず、連絡網が不完全な状態となる、あるいは発行されないといったケースなどである。各事業者においては、個人情報を有する本人の意思を尊重しつつも、個人情報を利用することの必要性・有用性や、本人にとっての利益・不利益などについて、本人の理解が得られるよう説明するなどの対応を模索することが得策であるといえる。

個人情報保護法の全面施行から1年経とうとしている現在、個人情報保護の重要性は、社会的に相当定着しつつあるといえる。しかしながら、個人情報保護法の適用にあたり、各種の混乱が生じているのも事実である。個人情報保護法本来の趣旨である、個人情報の適切な「取得」・「管理」・「利用」の実現に向けて、事業者・個人ともに法律の趣旨の理解に努めていくことが大切だと思われる。

以上

氏名
植原 崇文 Takafumi Uehara
役職
法務・環境部 主任コンサルタント
専門領域
CSR(企業の社会的責任)/企業の危機管理/企業のコンプライアンス対策/個人情報保護法/苦情対応/その他法務リスク全般
著書・寄稿
リサーチビュー2004年9月 : 「プライバシーマークの概要と取得について」
インターリスクPLレポート2004年8月号
実践リスクマネジメント[第二版] : 「個人情報保護」
その他、その他危機管理・個人情報等に関する著書・寄稿多数