個人情報漏洩のリスクマネジメント
具体的な手順としては、対応策の立案 (Plan)、対応策の実施(Do )、対応策の検証(Check)、対応策の実施状況の見直しと改善活動(Act)というサイクルを継続的に回していく必要があります。そのための重要な要素は、リスクの変化を反映した、対応策や対応の仕組み・体制の見直しを適時行うことです。
また、個人情報保護法を遵守するためのコンプライアンス体制を社内に構築しておくことが重要です。さらに、個人情報保護法の個別の義務に従うことだけでなく、違法行為を防止すると同時に発見・是正するための取組を恒常的に行っていくことが本来的には必要です。
それには、プライバシーマークやJAPHICマークを取得することや、ISMSを導入すること等の対応策があります。これらの取得・導入には、一定の人的・物的資源を投入することが不可欠であり、経営トップの理解と決断が不可欠ですが、個人情報保護に高い価値観を持って取り組んでいることを示すことができる メリットも存在します。
なお、すべての企業がこうしたマネジメントシステムの構築に着手しなければならないというわけでありませんが、自社の業種上の特性や、個人情報の量、取扱実態、法令抵触リスクの大きさ等を考慮に入れつつ、取組みの必要性について検討しておくことが重要です。
オプトアウトの周知・徹底
これら利用目的に関する同意書の中には、販売促進活動などの利用を停止できるオプトアウト的な手法を取り入れたものもありますが、多くは消費者の理解を十分に得ないまま提出を強要するなど、消費者の不安を一層増幅させています。個人情報の利用は、本来の利用目的を踏まえた最小限のものに特定すべきであり、もしそうでなければ消費者の理解を得るのは困難です。
さらに、事業者が取得した個人情報を第三者に提供するに当たって事前の同意が取れていない場合はオプトアウトの規定があることを明確にし 、その事を積極的に知らせていく努力も必要です。
法律やガイドラインを形式的に遵守しているから良いと個人情報の保護に対し機械的に対応するのではなく、「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」との法の目的(法第1条)を達成していくには、消費者の信頼を獲得するための事業者自らによる積極的な取組が一層必要になってきます。
個人情報の取扱いに関する苦情処理体制の構築
これに関し、個人情報の保護に関する基本方針は、「個人情報の利用・提供あるいは開示・不開示に関する本人の不平や不満は、訴訟等によるのではなく、事案の性質により、迅速性・経済性等の観点から、むしろ苦情処理の制度によって解決することが適当なものが多いと考えられる。法は、苦情処理による国民の権利利益の保護の実効を期すため、個人情報取扱事業者自身の取組により苦情を解決することを基本としつつ、認定個人情報保護団体、地方公共団体等が苦情の処理に関わる複層的な仕組みを採っている。この仕組みが円滑に機能するためには、これらの関係機関がそれぞれの役割分担に応じて適切に取り組むとともに、緊密な連携を確保することが必要である」と述べています。
また、法第31条は、個人情報取扱事業者が、個人情報の取扱いに関する苦情の適切かつ迅速な処理、そのために必要な体制の整備に努めなければならないとしています。しかし、各企業が従来設置してきた苦情処理窓口では対応が困難であることが予想されます。
成りすましによる漏洩を避けるために比較的厳格な本人確認を講じることが必 要であり、開示等の求めに対し拒否すべきか否かという法的判断も必要だからです。対応を間違えたり不当に遅滞すると、主務大臣から調査を受けたり、本人から訴訟を提起される恐れもあります。
したがって、法的判断が困難なケースについて常に相談しうるように、専門知識を有する弁護士との連携関係を構築することも必要です。また、専門窓口を設置して、対応マニュアルを作成した上、個人情報保護を確実にする社内教育を徹底することが重要です。