2003年12月03日(水) 09時07分

Internet Week 2003開幕——「個人情報保護法」に備える総務省（ZDNet）

　12月2日から5日にかけて、インターネットの管理、運用に携わる人が一堂に会するイベント「Internet Week 2003」が開催されている。会場は今年もパシフィコ横浜で、ネットワーク技術や管理、セキュリティなどをテーマとしたチュートリアル（一部は当日受付あり）が行われるほか、インターネットに関わる団体によるさまざまなセッションが行われる。

　初日の12月2日には、日本インターネットプロバイダー協会（JAIPA）の主催で「インターネット上の法律勉強会」と題したセミナーが開催された。

　この中で総務省の入江晃史氏（総合通信基盤局電気通信事業部消費者行政課）が「電機通信事業と個人情報保護法制」と題して講演を行い、今年5月に成立、公布された「個人情報の保護に関する法律（個人情報保護法）」の施行に向け、関連政令の策定を進めていることを明らかにした。また、同法によって適切な個人情報の取り扱いが求められる「個人情報取扱事業者」の定義についても、改めて説明がなされた。

個人情報保護法が課す義務

　これまでにもたびたびメディアなどで取り上げられ、紆余曲折を経て成立した個人情報保護法。その趣旨を簡単にまとめれば、特定の個人を識別することができる情報——他の情報と照合でき、それにより特定の個人を識別することができるものも含む——端的に言えば“個人を特定できる情報”について、適切な取り扱いを求めるというものだ。こうした個人情報を一定数以上保持し、事業に利用している事業者には、以下のような義務が課せられることになる。

利用目的の特定、利用目的による制限（第15条、第16条）

適正な方法による個人情報の取得（第17条、第18条）

データ内容の正確性の確保（第19条：努力義務）

安全管理措置、従業者/委託先の監督（第20条〜第22条）

第三者提供の制限（第23条）

個人情報の公表、開示、訂正、利用停止などへの対応（第24条〜第30条）

個人情報の取り扱いに関する苦情に対する処理（第31条）

　くだいて言ってしまえば、何らかの形で個人情報を取得する際には、その目的を明確に示し、その目的から外れた濫用や第三者への提供は、当人の同意がない限り行ってはならない、ということになる。ただし、データの取扱を委託する場合や合併などにより実質的に一体と見なされる場合は、「第三者」には該当しないという。また、その個人データの共同利用も可能だ。ただこの場合、共同利用することを本人に明確に示し、共同利用者の名称や目的などを通知するか、簡単に分かるようにしておくことが条件となる。

　また事業者は、こうした個人情報データが侵害、流出などの危機にさらされないようきちんと管理するだけでなく、当該する個人から「変更したい」「削除したい」などの要望があった場合には迅速に対応するか、対応しない場合はその旨を通知しなければならなくなる。

　しかも一連の義務に違反したときには命令や勧告がなされるほか、それにも従わなかった場合、6カ月以下の懲役ま30万円以下の罰金などの罰則が適用される。

　入江氏は、こうした個人情報保護法の概要について説明するとともに、最近の政府内協議、調整でまとまりつつあるポイントについても明らかにした。

　例えば「個人情報データベースなど」の範囲。これが示すのは、コンピュータで検索可能な形になっている電子的な情報だけではない。紙のファイルでも「ミミなどを付けて、検索が容易に行えるようになっているものも含む」（入江氏）。

　そしてここに含まれる個人情報だが、6カ月の期間内に消去されるものは除外されるという。逆に言えば、6カ月を超えて保存されるデータ、イコール、個人情報取扱事業者が訂正/削除などの権限を持つ「保有個人データ」と見なされることになる。この部分は、今後制定予定の政令の中で定められる予定ということだ。

　また、これまでにも論点となってきた「個人情報取扱事業者」の定義にも、上記の内容が影響する。「過去6カ月以内のどの時点においても、事業のために取り扱う個人データが5000人分以下」である場合は除外。逆に、過去半年以内のうち一時でも5000人分以上のデータを取り扱った場合は、同法の義務が課せられることになる。

　このカウント方法は単純だ。その事業者が展開しているすべてのサービスの顧客（重複分は除く）が含まれるのはもちろん、管理を委託、あるいは受託しているサービスの利用者がすべて含まれる。さらに、従業員名簿もこの中に含まれることになるため、実際にはかなりの割合の企業が対象になるだろう。

　なお会場からの質問に答え、入江氏は、「この5000件という数に確実は根拠はなく、実感ベースで定めたもの。いろいろと調査した結果に基づいている」と述べている。

電気通信分野独自の対応も

　JAIPAが主催しただけあって、入江氏は電気通信分野における個別の対応についても触れた。

　そもそも同法の成立においては、「医療、金融、信用、情報通信などの分野については、特に適正な個人情報の取り扱いが求められる」旨を定めた付帯決議が加えられている。総務省ではそれを踏まえ、個別法やガイドライン改定の要否について検討しているということだ。

　電気通信分野においては、かねてから電気通信事業法で「通信の秘密」が定められ、漏えい事故が発生した場合の報告が義務付けられている。これとは別に、「電気通信事業における個人情報保護に関するガイドライン」が策定され、この中で個人情報収集、利用やこの分野に特有の情報の取り扱い、個人情報漏えいの際の対処などについて定められてきた。

　入江氏によると、個人情報保護法に合わせてこのガイドラインの見直しも進められているという。その前提として、2004年春をめどに、「電気通信事業分野におけるプライバシー情報に関する懇談会」からの報告書がまとめられる予定だ。

　一連の動きと並行して、内閣府国民生活局総務課個人情報保護推進室では、「個人情報の保護に関する法律の一部の施行期日を定める政令」および「個人情報の保護に関する法律施行例」に関する協議を進めており、12月上旬にも政府内部での調整を終える計画だ。並行して、個人情報保護法第7条の中で定められている「基本方針」の策定も進め、同じく2004年春をめどにまとめる計画という。

　個人情報保護法が全面的に施行される2005年4月1日まで、あと1年余。入江氏が触れた電気通信事業分野はもちろんだが、それ以外のさまざまな業種でも同法への対処が必要になるだろう。（ZDNet）

http://headlines.yahoo.co.jp/hl?a=20031203-00000010-zdn-sci