本文とサイドメニューへジャンプするためのナビゲーションスキップです。

トップページ  >  経営をよくする  >  法律コラム

特集一覧 中小企業に役立つ記事や施策をトピックスごとにまとめています。

個人情報保護法がやってくる! 後編

テーマ:企業統制・リスク管理

2005年3月23日

解説者

弁護士 小川義龍

4,個人情報保護法の適用範囲(2)・・・「個人情報取扱事業者」

個人情報保護法は、誰にでも適用される法律ではない。簡単に言えば、一般個人に適用されることは多くない法律だ。では主に誰に適用されるのかというと、一般的に個人情報を多く取り扱うと想定される「事業主」だ。この事業主のことを、法律上「個人情報取扱事業者」という。法人か個人営業か、営利目的かどうかは問わない。
この個人情報取扱事業者に当たるかどうかの要件は、(1)過去6ヶ月以内に、(2)仕事上の目的に利用するために、(3)5000件以上の個人データを保有しているかどうか、だ。
5000件以上のカウントの仕方は、顧客名簿上の数ではない。およそ社内で保有している個人情報の数で行う。顧客名簿以外に、株主情報であるとか、従業員情報であるとか、こういう個人情報も当然含まれる(したがってカウントしなければならない)ことを忘れずに。カウントの仕方は、情報の数ではなく、識別できる個人の数で行う。
また、ここでいう個人情報は、データベース化されている必要がある。生の個人情報はカウントしなくてよい。例えば、営業でもらってきた名刺は立派な個人情報だ。しかしその名刺が、担当者の机の上に無造作に山積みになっている状態は、データベース化されているとはいわない。その名刺を顧客名簿に入力した状態がデータベース化された状態だ。或いはきちんと電子データ化されていなくとも、名刺ボックスに整理された状態なら、データベース化されたといっていい。要するに、生の個人情報が多少とも検索できる状態に整理されていれば、電子化の有無を問わず、データベース化された個人情報と評価できる。このデータベース化された個人情報のことを、法律上、「個人データ」と呼ぶ。「個人情報」という言葉と紛らわしいので誤解なきよう。もう一度いうが、「個人情報」の中で、データベース化された個人情報を「個人データ」というのだ。そして、個人情報取扱事業者になるかどうかの5000件は、生の個人情報ではなく個人データでカウントする。したがって、あり得ない喩え話ではあるが、無精な営業担当者の机の上に、もらってきた名刺が雑然と5000枚以上崩れそうに重なっているだけでは、個人情報取扱事業者の要件は満たしていないことになる。まぁ、このような営業担当者のいる会社は、およそ繁栄しないであろうから論外ではある。ほぼ全ての会社が、個人情報を何らかの形で整理(=データベース化)しているはずだから、中小企業レベルでも5000件の要件は満たしてしまうだろう。せいぜい、田舎町の小さな八百屋さん・魚屋さんクラスが要件を満たさないかどうかという話だ。


5,個人情報保護法を適用されるとどうなる?

個人情報取扱事業者ということになると(そして大概の中小企業以上の会社がこれにあたるわけだが)、個人情報保護法の規定を遵守しなくてはならない。そこで法律の内容だが、大きく分けると、(1)情報取得に際して利用目的を具体的にハッキリ告げること(当然、目的外利用はできない)、(2)取得した情報を漏洩なく適性に管理できる社内システムを作ること、(3)取得した情報に誤りや遷移があった場合には本人からのアクセス(訂正等)に応じるなど正確性を保つこと、(4)これらの対応がしっかりできていないと所轄官庁から改善命令などの行政指導や罰則の適用を受けることがあること、などとなっている。
実は、個人情報の保管の仕方によって、この法律による縛りは多少変わってくる。つまりこの法律の適用条項が多くなったり少なくなったりするのだ。個人情報の保管の仕方とは、生の個人情報のままであるか、データベース化された個人情報であるか(=個人データ)、一定期間デーベース化され続けている個人情報であるか(=保有個人データ)、以上の3分類なのだが、それぞれに応じた適用条項の違いは敢えて割愛する。上記のような効果が発生するのだという手がかりをしっかり押さえて頂いて、その先は、個別に研鑽して頂きたい。


6,情報が漏れたときの賠償とかが怖いんですが・・・

法令名に「保護」というタイトルが入ってるくらいだから、情報が漏れてしまったときの措置もさぞ厳しいことが書かれているんだろうな、いくらぐらいの損害賠償を払うことが規定されているんだろうか、と誤解されやすい。
しかし、個人情報保護法は、前記のとおり、情報を漏らさないようなシステムを作りなさいということと、それができなければ行政指導や罰則が適用されますよ、ということ以上に、情報が漏れたときの賠償等に関しては言及されていない。賠償問題はあくまでも民法などの一般の法律に基づいて行われる。ただし、個人情報保護法の要件を守って情報管理をしていて漏洩事故が起きたのと、要件を守らずして起こった漏洩事故とでは、賠償額に違いが生ずることは明らかだ。


7,情報セキュリティマネジメントの重要性

コンプライアンス(法令遵守)がコーポレート・ガバナンスの指針として叫ばれる中、情報をいかに安全にマネジメントするかは、最重要課題といって過言ではない。中小企業経営では、人的物的リソースが限られているから、とかく営業そのものに目が向きがちであるが、それ以上に情報セキュリティマネジメントに力を入れるべきだ。個人情報保護法が施行されるから「やらなきゃならない」という消極的な発想ではなく、個人情報保護法の基準をクリアするのは当然で、それ以上に情報セキュリティマネジメントを行うことによって「企業ブランドを高め売上を上げる」という積極的な発想にすべきだ。
この点については機会があれば別稿でお話しさせて頂くこととしよう。


(2005年3月執筆)


小川義龍
昭和39年生  東京都出身
東京都千代田区立番町小、同区立麹町中卒
早稲田大学高等学院卒(昭和58年)
早稲田大学法学部卒(昭和62年)
司法試験合格(平成3年)
最高裁判所 司法研修所 46期修了
弁護士登録(東京弁護士会所属)

東京弁護士会
常議員(平成7年度)
広報室 嘱託(平成13年度〜)
広報委員会 副委員長(平成9、10年度)
広告調査委員会 副委員長(平成13年度)
インターネット協議会 副議長(平成9年度)
業務改革委員会 コンピュータ部会長(平成12年度〜)
司法修習委員会、財務委員会、刑事弁護委員会 各委員
法友全期会副代表幹事(平成14年度)
春秋会(法友8部)事務局長(平成15年度)

 東京商工会議所 法律相談員(平成9年度・荒川支部)
 東京弁護士会 クレサラ・商工ローン闇金相談担当(四谷・神田センター)
 財団法人クレジットカウンセリング協会 カウンセラー(平成11年度〜)
 財団法人法律扶助協会新宿支部審査員(平成12年度〜)
 日本弁護士連合会 法務研究財団事務局(情報部会担当)
 早稲田経営学院(Wセミナー)専任講師(刑事訴訟法)
 日本刑事政策研究会(法務省)正会員
 東京弁護士会インターネット法律研究部部会員

著書・講演等
 「法律事務所のためのパソコン導入大作戦」(株式会社トール刊)
 「弁護士のための広告のススメ」(株式会社トール刊)
 「弁護士のためのパソコン導入ガイド」(東京弁護士会法友会刊)
 「パソコン事件簿」(月刊DOS/V Special連載・毎日コミュニケーションズ)
 「最新現代法務全集」第4巻・債権回収(全日法規研究室)
 「困ったときにすぐわかる 内容証明の書き方・出し方」(OS出版)
 「困ったときにすぐわかる インターネットの法律(仮題)」(近刊予定)
 「中小企業のための倒産回避マニュアル(仮題)」(近刊予定)

 「破産と会社更生手続の概要」
   ※厚生労働省 労働研修所での講義(平成14年度より)
 「法律の基礎」 「コンプライアンス」 「借地借家法」 「インターネット法務」
   ※いずれも大手上場企業での定期公演
 「若者の破産」 「非弁提携弁護士被害」その他
   ※フジTV「スーパーニュース」出演

同テーマの記事を見る 3つのコンテンツから検索ができます!

このページの先頭へ

このページの先頭へ