戻る | 概要 | 詳細

個人情報保護法の概要

Revised: 2004-10-24; Since: 2004-10-05

本稿は、背景と概要を一瞥できるように簡単にまとめたものです。より突っ込んだ「詳細」も参照ください。

個人情報保護法

個人情報保護法は、個人情報の取り扱いに関する民間事業者の義務と罰則を定めた法律で、正式名称は『個人情報の保護に関する法律』（平成15年5月30日法律第57号）です。2003年5月に成立／公布され、政令によって2005年4月1日より全面施行が予定されています。また、行政や独立行政法人などの義務と罰則を定めた一般法や整備法などの関連4法と合わせて個人情報保護関連5法と呼びます。

大きく変わる点

殆どの企業が、既にセキュリティやプライバシについて、ある程度の対応をとっているでしょう。本法で大きく変わる点は、本人同意のない第三者提供の原則禁止、就業者／委託先の監督義務、個人情報によって識別される特定の個人による自己情報コントロールなどです。例えば、本人からの個人情報入手時に、利用目的を明示して同意を得る必要があり、保有後は、目的外利用の禁止や本人からの要求／苦情等への対応が義務化されます。違反すると、就業者と企業の何れもが罰せられる可能性があります。

個人情報と取扱事業者

法が保護する「個人情報」とは、生存する特定の個人を識別するものであり、単体で特定個人を識別できるものも、他のものと組み合わせたものも該当します。体格、性別、趣味嗜好などの属性も、個人情報と容易に関連付けられれば個人情報に含みます。

適用対象とされる「個人情報取扱事業者」は、民間の事業目的による利用において、個人情報で識別される生存する特定の個人の数が過去6月以内に五千人を超えた日がある者です。但し、報道、著述、学術研究、宗教、政治関連業務は除外され、電話帳、地図、カーナビ等での利用数は特定個人の数に算入されません。

個人情報保護対策

個人情報保護法対策は多岐に渡ります。まず保有している個人情報とその業務プロセスを棚卸することが先決です。洗い出されたものに対して、入手から破棄までのライフサイクル全般に渡る処理を見直します。セキュリティ上必要な措置、本人からの苦情等の窓口、就業者や委託先等への教育／訓練が義務化されています。

具体的な対応策の策定には、2004年6月15日に経済産業省がまとめたガイドライン『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン』が参考になります。また、金融、電気通信、医療等といった業界別に各監督省庁がガイドラインを策定中です。特に、ここに挙げた三分野については、厳しい対応が求められそうです（※）。

新たに追加する規定等は、既に社内で確立している情報セキュリティ管理プロセスとの競合／二重管理にならないように、整合性に注意を払う必要があります。

※ 個人情報保護法は、1980年の通称「OECD 8原則」に対応する国内法に当たります。これに関連して各監督省庁が出しているガイドラインでは、より厳しい、通称「EU指令」(1995)の条項も一部採り入れられています。

個人情報保護関連規格

個人情報を保護する根本的な対策には、組織的／人的／物理的／技術的な各側面での対応が必要です。まず、情報セキュリティのCIA（Confidentiality：機密性、Integrity：完全性、Availability：可用性）の観点でセキュリティを固めた上で、個人情報／プライバシー対策を実現します。セキュリティのないところで個人情報は守れませんが、セキュリティがあればそれで十分というわけには行きません。

情報セキュリティ管理の枠組み ISMS (Information Security Management System)については、JIPDECが推進する「ISMS適合性評価制度」があります。これは、ISO/IEC 17799:2000 (BS7799)の国内規格JIS X 5080:2002に基づいています。

個人情報保護体制の確立と運用では、JIS Q 15001に基づきJIPDECが運用する「プライバシーマーク制度」に準拠することが適切です。プライバシーマーク制度はISMS適合性評価制度と用語の定義やプロセスで互換性があります。ISMSを確立して継続的に運用することで「ISMS認証」を取得し、その上でコンプライアンス・プログラム(CP)を策定してPDCA(Plan-Do-Check-Action)サイクルを継続的に実施することで「Pマーク」を取得できます。

コンピュータシステムの技術的な側面では、ITセキュリティのプロセスや要素技術について解説した技術文書であるISO/IEC TR 13335 (GMITS)が規範的な文書として参照されます。製品やシステムなど個別のセキュリティレベルに対しては、ISO/IEC 15408の国内規格JIS X 5070に基づきIPAが「ITセキュリティ評価及び認証制度」を運営しています。

戻る | 概要 | 詳細

Copyright © 2004, SUGAI, Manabu. All Rights Reserved.