MENU
×

MENU

個人情報保護とコンプライアンス

今回は、個人情報保護法対策の考え方について解説します。

個人情報保護法が2005年4月に施行されます。
施行後即日何が起きるというわけではありませんが、何かしらの対策をとっておかないと、企業として法令違反のリスクを負うことになります。
ここまではおそらく、読者の皆様もご存知のことと思います。

しかし、個人情報保護法の施行を前に、経済産業分野においてどのような対策をとるべきなのかについては、市場が混乱しているように見受けられます。
当方の見解では、この混乱を招いている原因の一つが『個人情報の保護に関する法律(以下、個人情報保護法)』への対策情報と、『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(経済産業省:以下、ガイドライン)』への対策情報が錯綜していることにあると考えています。
これら二つのポジションを概略すると、以下のように捉えることができます。

■『個人情報保護法』対策=コンプライアンス対策
■『ガイドライン』対策=個人情報漏洩リスク対策
※但し、『ガイドライン』において「しなければならない」と記載されている事項について対策の齟齬があった場合、法令違反として判定される可能性もあります。

『個人情報保護法』は、昨今の個人情報漏洩事件の多発を受け、基本的に行政、および産業界における個人情報保護対策の自主的な推進を促すことを目的とし、記述は総論的な内容に留められ、罰則規定という抑止力を持たせる形となっています。
これに対して『ガイドライン』では、総論として記述されている『個人情報保護法』の条文を補完し、個人情報漏洩リスク対策の具体的な内容として、特にリスクの対象となる個人情報の定義や情報システムのセキュリティ対策等について詳細に提示されています。
つまり、冒頭の見解に戻ると、『個人情報保護法』の施行に向けてコンプライアンスとしてとるべき最低限の対策内容と、本来的な個人情報漏洩リスク対策として取るべき詳細な対策内容が混同されてしまうために市場が混乱しているのではないか、ということです。

無論、法律条文の記述が総論的だからといって、それだけに対応すればよいということではなく、個人情報漏洩リスク対策自体の重要性が軽視されるべきではありません。
しかし企業にとって、『個人情報保護法』の施行を目前にしてコンプライアンスを最低限担保する必要があるものの、『ガイドライン』の内容をまで完全実装するというのは、投資等リソースの配分や期間の面において重過ぎるのが現実と思われます。
そして、『ガイドライン』の内容をまで完全実装しなければならないというプレッシャーが、企業側の『個人情報保護法』対策に対する諦観、静観思考を生み、結果、対策がなかなか進まない傾向を生んでいる原因の一つとなっているのではないでしょうか。
(他方、個人情報保護の重要性が十分に認識されていないケースもあります)

結論として、『個人情報保護法』の施行が目前に迫った現状においては、『ガイドライン』への完全対応を志向した個人情報漏洩リスク対策に踏み込むのではなく、まず、『個人情報保護法』へのコンプライアンスに絞り込んで対策を立てていくことが現実解と言えます。
(この記事は2008年7月30日に初掲載されたものです。)