個人情報保護・情報漏洩

弁護士で、最近個人情報漏えいが多発していることに心を痛めている。自分ができる個人情報保護の方法や、顧客にアドバイスする方法をもっと勉強したいと思っている。

個人情報保護に関する法的規制の概要



現在、個人情報保護に関する規制は、日本においては個人情報保護法が中心的な法的基盤となっている。個人情報保護法は、2003年に公布され、2005年に全面施行が開始された。



個人情報保護法は、個人情報の取り扱いに関して、情報主体（個人情報を提供する本人）の権利を尊重し、適正な取り扱いを求めることを目的としている。この法律は、個人情報の取得、利用、提供、管理、保護等に関する一連の活動を規制し、個人情報の保護について関係者に具体的なガイドラインを与えている。



個人情報保護法に基づく個人情報保護の基本的なルールには、以下のようなものがある。



1. 個人情報の適正な取得・処理



個人情報は、情報主体の同意を得て、必要な範囲内で取得・処理されることが望まれる。また、取得後は、それが取得目的以上に使用されたり、漏洩することがないように、適切に管理されることが求められる。



さらに、企業が個人情報を収集する場合、その目的を明確に示し、取得方法、取得量、取得目的などを公表する必要がある。また、企業は、必要性・合理性のバランスを考慮し、個人情報を収集しなければならない場合は、取得目的が達成された時点で速やかに情報を削除または廃棄することが求められる。



2. 個人情報の制限



個人情報の利用には、その情報が必要とされる範囲内で行うようにする必要がある。情報主体が事前に同意した目的以外で、企業が個人情報を利用することは禁止される。



また、個人情報に関係する問題には、企業によって専任の責任者（情報管理責任者）が設けられ、個人情報に関する内部規則を策定し、適切な管理を行うようにすることが求められる。



3. 個人情報の提供制限



個人情報は、情報主体の同意がなければ、第三者に提供することはできない。また、法令に基づく場合を除き、厳密な目的外利用も禁止され、個人情報の重要性と信頼性を確保するとともに、されることが要求される。



4. 個人情報の適切な保存・管理



企業が収集した個人情報は、外部漏洩の防止・内部漏洩の予防・個人情報の利用・開示の際の適正かつ安全な管理を行うために、適切な方法で保管されることが求められる。



適切な保存方法とは、情報セキュリティ対策やバックアップ等、外部からの誤った手触りから情報を守るための措置が求められる。



5. 個人情報の開示・訂正・削除要求に対する対応



企業は、情報主体からの個人情報の開示・訂正・削除要求に対し、速やかに対応する義務がある。情報主体の要求に対し、不適切な対応をした場合は、罰則が科せられることになる。



個人情報保護に関する企業の責任として、個人情報保護法により個人情報を適切に取り扱うためのルールを策定し、役員や従業員に情報管理の指針となる教育を施す必要がある。



自分ができる個人情報保護の方法



個人情報保護を行う上で、まず個人情報がどのように漏洩する可能性があるのかを理解し、リスクを適切に評価することが大切である。



以下に、具体的な対策事例を紹介する。



１. パスワード設定



外部からの攻撃に対する防止策の一つに、パスワード設定がある。パスワードを十分に複雑にして、外部からのアクセスを防ぐことが、個人情報の保護には大切である。



また、パスワードを定期的に変更することも重要である。



２. セキュリティ対策



セキュリティ対策には、ファイアウォールやウイルス対策ソフトなどがある。これらを利用することで、個人情報の漏洩などによる被害を防ぐことができる。



３. 安全なデータの保管



外部からのアクセスを防ぐため、重要なデータは暗号化したUSBメモリや外付けHDDなどを利用し、安全に保管することが必要である。



また、個人情報の物理的管理も重要である。重要書類はロッカーや鍵付きの書庫に保管し、不必要な書類は速やかに廃棄することが求められる。



４. 外部とのデータ共有



個人情報を第三者と共有する場合は、契約などで情報の管理責任を共有し、外部からの漏洩を防止する取り決めをすることが望ましい。



また、外部へのデータ共有する場合には、個人情報が外部に漏洩しないよう、安全で適切な方法を選択することが求められる。



５. 適切な情報の削除



不必要になった個人情報は、速やかに廃棄することが求められる。廃棄するにも、適切な方法で行うことが必要である。



顧客にアドバイスする方法



顧客に対して個人情報保護のアドバイスをする場合、以下の点に留意する必要がある。



１. セキュリティの強化



顧客には、パスワードの設定方法や、セキュリティ対策に関する情報を提供することが求められる。



また、顧客が利用しているブラウザ・ソフトウェア等の最新版へのアップデートの促進、サイトのSSL化の推奨等を通じ、より安心してプライバシー情報を提供できるサイトを目指すことが求められる。



２. 取得・使用目的の明示



お客様から取得した個人情報の取得及び利用の目的を明示することが求められる。



必要性、合理性を考慮し、個人情報を収集する場合は、利用目的を明確に示し、適切な管理を行い、不要になった情報は速やかに廃棄することが求められる。



３. 注意喚起



顧客には、個人情報の重要性や、漏洩した場合のリスクについての注意喚起を促すことが求められる。



特に、収集・利用目的が顧客の公益や権利に反するものでないか、また、顧客が個人情報を提供することの必要性が合理的であるかどうかを徹底的に考慮することが求められる。



４. 開示・変更・削除などの権利



また、個人情報処理の特定の種類については、開示、変更、そして削除等の権利が認められる。



すなわち、利用者に自己の個人情報を開示できる方法を用意し、開示請求があった場合には、速やかかつ適切に対応することが求められる。



おわりに



近年、個人情報の漏洩が相次いで起こっていることから、個人情報保護に対する関心が高まっています。企業や個人が適切な個人情報保護を行い、リスクを理解した上で、適切な手法で個人情報を管理することが求められます。



また、個人情報保護に対する法的な知識にも精通しておくことは、個人情報保護に関わる人々にとって非常に重要です。