INDEX

1. あなたは今、アメリカ西海岸への旅行を考えていませんか？
2. プライバシーマーク取得数から見えてきた プライバシー保護の危うい状況
3. 現場からはプライバシーの管理面で何度かヒヤリ、ハッとした経験があるとの声
4. ユビキタス時代だからこそプライバシーのビジネス利用には法律を遵守する社風と体制整備が求められる

プライバシーのビジネス利用には、今後。個人情報保護法を遵守することが最低条件となる。この個人情報保護法には、1960年に公表された OECDの「プライバシー保護と個人データの国際流通についてのガイドライン」に基づいた 8原則 (コラム 2参照) が盛り込まれており、この原則を遵守することがプライバシーのビジネス利用の基本だ。

いずれにせよ、今後プライバシーをビジネスで利用するための最低限の条件として、プライバシー遵守の意識改革に加えて、入口 (収集) と出口 (利用) の他に管理面でのきちんとした体制整備が求められる。詳細は個人情報保護法やプライバシーマーク等を参照していただきたいが、ここでは JIPDEC が作成した「Q&A 個人情報の保護に関する法律への対応」の中から大きなポイントをあげておくことにしたい。

• 利用目的を明確にする：
  企業は取り扱う個人情報の利用目的をできる限り特定する (同法第15条) 。これが個人情報利用の最初のステップであり、これを怠ると個人情報を利用することはできない。したがって、保有する個人情報を整理し、個人情報の種類毎にその利用目的を特定する必要がある。
• 個人情報の適正な取扱：
  利用目的をできるだけ明確にしその範囲で取り扱う。利用目的外の取扱をするときは予め本人の同意を得る (同法第16条) 。個人データの必要かつ適切な安全管理を図る (同法第20条、21条、22条) 。
• 本人同意なしの第三者への情報提供禁止：
  例外を除いて予め本人の同意を得ないで、個人データを第三者に提供することは禁じられている (同法23条) 。
• 不正な手段で入手した個人情報の利用禁止：
  「偽りその他の不正な手段」で個人情報を取得することは禁じられている (同法27条) 。収集目的の隠蔽や偽り、脅しやだましによる取得、本人の同意のない個人情報の第三者提供を受けることも禁止されている。具体的には、本人の同意を得ないで名簿業者に持ち込まれた個人情報を利用した場合には不正に取得されたと考えられる。したがって、本人から利用停止等の要求があれば、事業者はこれに応じる義務がある。

以上、今まで曖昧だったプライバシーのビジネス利用が、個人情報保護法によってはっきりすることがわかる。特に本人の同意を得ない個人情報の利用はできなくなる。また、事業の譲渡や合併などによって、個人情報を利用する場合にも、初期の利用目的の範囲内であることが必要となる。利用目的を超える場合には再度本人の同意が必要なるなど、かなり厳格な運用が求められる。来年の同法施行まで、こうした条件をクリアできなければ、プライバシーのビジネス利用は難しくなることが予想される。さらに、ユビキタス時代がますます進展する今日、個人情報を利用する事業者にとってネットワークセキュリティの確保は大きな責務になることは間違いない。

関連リンク

財団法人日本情報処理開発協会 http://www.jipdec.jp/

※本記事中の見解は、その著者に拠るものであり、当社の見解を代表するものとは限りません。
著者：光月晃 (ジャーナリスト)