個人情報漏洩の的確な予防と対策

個人情報漏洩のリスクマネジメント

個人情報の適切な管理には、安全保護管理だけではなく、個人情報の取得から、 廃棄、苦情対応まで広範な対応が必要となります。情報システム部を中心とした対応だけでなく、全社的な対応が必要とされているのです。個人情報漏洩を はじめとして、個人情報の不適切な管理による事故を個人情報保護リスクと捉 え、リスクマネジメントの枠組みの中でリスク対策として個人情報保護対応を 進めていくことが有効と考えられます。

具体的な手順としては、対応策の立案 (Plan)、対応策の実施(Do )、対応策の検証(Check)、対応策の実施状況の見直しと改善活動(Act)というサイクルを継続的に回していく必要があります。そのための重要な要素は、リスクの変化を反映した、対応策や対応の仕組み・体制の見直しを適時行うことです。

また、個人情報保護法を遵守するためのコンプライアンス体制を社内に構築しておくことが重要です。さらに、個人情報保護法の個別の義務に従うことだけでなく、違法行為を防止すると同時に発見・是正するための取組を恒常的に行っていくことが本来的には必要です。

それには、プライバシーマークやJAPHICマークを取得することや、ISMSを導入すること等の対応策があります。これらの取得・導入には、一定の人的・物的資源を投入することが不可欠であり、経営トップの理解と決断が不可欠ですが、個人情報保護に高い価値観を持って取り組んでいることを示すことができる メリットも存在します。

なお、すべての企業がこうしたマネジメントシステムの構築に着手しなければならないというわけでありませんが、自社の業種上の特性や、個人情報の量、取扱実態、法令抵触リスクの大きさ等を考慮に入れつつ、取組みの必要性について検討しておくことが重要です。

オプトアウトの周知・徹底

最近の傾向として、金融機関をはじめとする様々な分野で個人情報の利用に関する同意書に署名・捺印を求め、同意書の提出がなければ取引できないといわれたとの苦情があります。

これら利用目的に関する同意書の中には、販売促進活動などの利用を停止できるオプトアウト的な手法を取り入れたものもありますが、多くは消費者の理解を十分に得ないまま提出を強要するなど、消費者の不安を一層増幅させています。個人情報の利用は、本来の利用目的を踏まえた最小限のものに特定すべきであり、もしそうでなければ消費者の理解を得るのは困難です。

さらに、事業者が取得した個人情報を第三者に提供するに当たって事前の同意が取れていない場合はオプトアウトの規定があることを明確にし 、その事を積極的に知らせていく努力も必要です。

法律やガイドラインを形式的に遵守しているから良いと個人情報の保護に対し機械的に対応するのではなく、「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」との法の目的(法第1条)を達成していくには、消費者の信頼を獲得するための事業者自らによる積極的な取組が一層必要になってきます。

個人情報の取扱いに関する苦情処理体制の構築

法の全面施行により、個人情報取扱事業者である企業と個人情報の主体である個人との間で、これまで以上に個人情報の取扱いをめぐるトラブルが発生しやすくなると考えられます。このようなトラブルを早期に解決する手段として、苦情処理の制度が重要になってきます。

これに関し、個人情報の保護に関する基本方針は、「個人情報の利用・提供あるいは開示・不開示に関する本人の不平や不満は、訴訟等によるのではなく、事案の性質により、迅速性・経済性等の観点から、むしろ苦情処理の制度によって解決することが適当なものが多いと考えられる。法は、苦情処理による国民の権利利益の保護の実効を期すため、個人情報取扱事業者自身の取組により苦情を解決することを基本としつつ、認定個人情報保護団体、地方公共団体等が苦情の処理に関わる複層的な仕組みを採っている。この仕組みが円滑に機能するためには、これらの関係機関がそれぞれの役割分担に応じて適切に取り組むとともに、緊密な連携を確保することが必要である」と述べています。

また、法第31条は、個人情報取扱事業者が、個人情報の取扱いに関する苦情の適切かつ迅速な処理、そのために必要な体制の整備に努めなければならないとしています。しかし、各企業が従来設置してきた苦情処理窓口では対応が困難であることが予想されます。

成りすましによる漏洩を避けるために比較的厳格な本人確認を講じることが必 要であり、開示等の求めに対し拒否すべきか否かという法的判断も必要だからです。対応を間違えたり不当に遅滞すると、主務大臣から調査を受けたり、本人から訴訟を提起される恐れもあります。

したがって、法的判断が困難なケースについて常に相談しうるように、専門知識を有する弁護士との連携関係を構築することも必要です。また、専門窓口を設置して、対応マニュアルを作成した上、個人情報保護を確実にする社内教育を徹底することが重要です。

業種別記事

おすすめ記事

人気のある記事

最大700万の損害賠償保険が自動付帯

JAPHICマークの詳細・無料セミナーはこちら
PAGE TOP