|
個人情報保護法の完全施行が1ヶ月後に迫ってきました。2003年5月末に 法律が成立して以来、随分と騒がれ各種の対策セミナ等が実施されてきました。 しかし、多くの中小企業は未だに対応準備が整っていないと言われています。 もちろん、個人情報保護法の対象は、5,000人以上の個人情報を保有して 事業に利用している者、つまり個人情報取扱事業者と言うことになっています。 では、保有している個人情報が2,000人も無い場合は対策の必要は無いかと いうと、話はそんなに単純ではありません。一般の消費者としては、当該企業が 個人情報取扱事業者であるかどうかに関わらず、実際に商品等を購入するとき値 段や納期等の購入条件が同じなら、個人情報保護対策をキチンと講じていること が明確に分かる業者の方を選ぶことが、圧倒的に多いと思われるからです。従っ て法律上の義務はなくても個人を相手にビジネスをしていれば、個人情報取扱事 業者に準じて相応の対策を講じざるを得ないのが現実と言うことになります。 個人情報保護の仕組みを本格的に構築するには、それなりの時間を要します。 今回は、外部から一目見ただけで無対策を露呈していることのないように、特に 最低限のチェック・ポイント数個を列挙してみます。 1)商品またはサービスの申込や契約等の際、またはアンケート等で、個人情報 を取得する場合、個人情報の利用目的を具体的に明示していますか? 新たに個人情報を収集する場合には、その利用法を特定しておく必要があり ます。これに対して、既に顧客や会員データベースとして保有しているもの については、その利用目的などを本人の知り得る状態に置かなければなりま せん。つまり、ホームページに継続的に掲載しておくとか、事務所の窓口等 分かり易いところに継続的に掲示しておくとかの対策が必要です。 2)当社の顧客として登録し、当社新製品や顧客サービスの案内を提供するため として個人情報を収集し、関係会社の別サービスの案内を送付すると目的外 利用となります。また、サポート・サービスを受けたいとして登録された個 人情報をもとに、新たな売り込みのダイレクトメールを出すことも本人が同 意していなければ目的外利用となります。 3)個人情報を不正取得している名簿業者等から個人情報を入手して利用してい ませんか? 名簿業者から同窓会名簿や社員名簿等を購入することは、業者 が不正入手していないかも知れないグレーの部分がありますが、名簿作成の 趣旨から判断すると、確証のない限り差し控えるのが当然でしょう。 4)ビジネス上で連携している事業者に要望され、本人の了解のないままに個人 情報を提供すると第三者への提供制限に抵触します。ただし、個人情報を含 んだデータをパソコンに打ち込む作業だけを外注している場合などは第三者 提供としないで委託として扱います。委託先とは当然、個人情報保護に関す る契約を締結して監督する義務があります。 5)個人情報をデータベース化して事業に用いている場合、本人からの求めに応 じて利用目的の通知やデータの開示・訂正・場合により削除等する必要があ りますが、その請求の手続きを示していますか? これも、インターネット のホームページへの掲載または事務所窓口での掲示や備え付けが必要となり ます。 一方、製品等の案内をするとして取得した個人情報によって、適法にダイレ クトメールを出した結果、個人情報を抹消して欲しいという求めがあった場 合、法律上は要望に応える義務はありません。しかし、情報主体たる消費者 が「いやだ」と明確に意思表示しているのですから、それに反することを続 ければ企業信用上のマイナスにしかならず、当然に削除するべきでしょう。 6)個人情報保護に取り組んでいるかどうかを端的に表現する基本として、個人 情報保護基本方針(またはプライバシーポリシー)を策定して、企業内外の 人々が容易に見られるようにしておくことが第一歩です。事務所に掲げる他 ホームページに掲示して、個人情報を取り扱う頁には必ず個人情報保護基本 方針へのリンクを設定しておくことを忘れないでください。 羅列し出すと相当量のチェックポイントがありますが、一部のチェック項目だ けを挙げてみました。個人情報保護基本方針の策定に続いて、それを実現するた めの仕組みを検討・構築して、皆で実行し、結果を見直し、また改善して行くと いうマネジメントの継続が重要です。 個人相手のビジネスを展開しておられる方は、さらに進んで「プライバシーマ ーク」の取得を検討されると良いでしょう。特にECサイトを運営しておられる 場合は、今後の重要課題ではないでしょうか。できれば、個人情報保護対策の実 行を印象づけて、優位な立場を築きたいものです。 ■執筆者プロフィール 中村久吉(なかむらひさよし) e-mail:eri@nakamura.email.ne.jp 戦略の立案から、組織・人材・情報システムの最適化、及び情報リテラシ教育、 個人情報保護対策、プライバシーマーク認証取得、ISMS(情報セキュリティ ・マネジメントシステム)構築まで、一貫してサポートします。 ITコーディネータ、中小企業診断士、ISMS主任審査員、社会保険労務士 |
コメントをお書きください