eラーニングマガジンに関するお問合せ、ご質問等は下記までご連絡ください。
eラーニングマガジン編集部
elmag2@nextet.net
関連する法律は、次の「個人情報の保護に関する法律第23条第2項」です。
(個人情報の保護に関する法律第23条第2項)
個人情報取扱業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一
第三者への提供を利用目的とすること
ニ
第三者に提供される個人データの項目
三
第三者への提供の手段又は方法
四
本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
さらには、次のような条文もあるということを、憶えておかれると良いと思います。
(個人情報の保護に関する法律第23条第4項)
次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。
一
個人情報取扱業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を寄託する場合
ニ
合併その他の事由に伴って個人データが提供される場合
三
個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
要は、共同して利用される個人データの項目、共同して利用する者の範囲、利用目的および管理責任者をあらかじめ通知しておくか、あるいは本人が容易に知り得る状態にしているときには、共同使用者は、第三者に該当しないとしているのです。グループ会社との間で個人情報を共同して取り扱うとき、これを知っているか知らないかで、個人情報保護方針(プライバシーポリシー)の記載内容はかなり変わってくると思います。
個人情報保護方針(プライバシーポリシー)に盛り込むことが望ましい項目
既に説明した必須2項目に加えて、次の事項は、個人情報保護方針(プライバシーポリシー)に盛り込むことが望ましい項目です。
・個人情報の取り扱いに責任を持つ部署や苦情の受付先
・保有している個人情報に関する本人への開示手続
・経営者にとってのプライバシーポリシー
【苦情の受付先】
個人情報の保護に関する法律第31条第1項には「個人情報取扱業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない」と規定されていますので、その趣旨からして、責任部署や苦情受付窓口の名称と所在地、電話番号やメールアドレス等を、一般人に分かるような態様で明示しなければなりません。
しかしながら、たいていの企業には既に、コールセンターやカスタマーセンター、お客様相談室などが設けられているのですから、これと同様にして別途に設けるか、あるいは、それらと兼用させることによって対応することができるでしょう。
【本人への開示手続】
一方、「保有している個人情報に関する本人への開示手続」については、これは個人情報の保護に関する法律第25条第1項に「個人情報取扱業者は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ)を求められたときには、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない」と規定されていることに対応するものです。
ここで、「政令で定める方法により」というのは、紙媒体による郵送手段を前提としていることに留意する必要があります。つまり、これを適切に行うためには、経費がかかるのです。これを避けるために、パスワード等を使った自動開示システムを構築したとしても、経費が軽減されるだけであって、経費ゼロの状態にすることはできません。そして、こういった状態では、何かの嫌がらせとして、第25条第1項の強行規定を根拠に、不当に多くの開示請求をしてくることも考えられます。
これを避けるためには、開示請求については「有料化」をし、開示請求手続が「有料」であることを個人情報保護方針(プライバシーポリシー)に盛り込み、明示しておくようにすると良いでしょう。実際に、開示請求については、「実費を勘案して合理的であると考えられる範囲内において」(個人情報の保護に関する法律第30条第2項)、「当該措置の実施に関し、手数料を徴収することができる」(個人情報の保護に関する法律第30条第1項)とされています。
そこで、個人情報保護方針(プライバシーポリシー)には、「個人情報の取扱いに責任を持つ部署や苦情受付先」と「保有している個人情報に関する本人への開示手続と開示手数料の額」を記載しておいたほうが望ましいと言えます。
【経営者にとってのプライバシーポリシー】
最後に、経営者にとってのプライバシーポリシーとして次の事項を盛り込む必要があります。経営姿勢その他をアピールする上でも重要なことと思われます。
・
企業ないしは組織としての個人情報に関する理念
・
個人情報への不正アクセス、個人情報の紛失、破壊、改ざん、および漏えい並びに是正に関する事項
・
個人情報に関する法令並びにその他の規範を継続的に遵守すること
・
個人情報保護方針(プライバシーポリシー)について役員や従業員に周知させること
・
監査の実施
法律の内容を「よく」理解することについて
前回、「各部署単位で、現状とJISQ15001要求事項とのギャップ分析を行い、これらの結果を踏まえて、コンプライアンス・プログラム文書を作成することになります。」ということを述べました。しかし、特に個人情報保護方針(プライバシーポリシー)の作成ということに焦点をあてれば、これが「法律の規定に合わせて現場の活動を即、変更させる」ということを意味するものではない、ということが、よくお分かりいただけたと思います。
かくいう私も法律に関係している仕事をしているものですから、「法律」、「法律」と言って、現場の仕様を変更しようとすると、途端に嫌われることになるのは、よく知っています。しかし、そういったことは個人情報保護方針(プライバシーポリシー)の記載(条項)を適切なものとすることにより、避けられるのです。このように、"個人情報保護方針(プライバシーポリシー)の記載(条項)の如何によっては、現状を追認したようなものとすることができる"ということは、とても重要なことだと思います。
今回は、個人情報保護方針(プライバシーポリシー)の文書化というひとつの項目だけで、これだけ長い説明となってしまいましたが、それだけ個人情報保護方針(プライバシーポリシー)がとても重要なものであると理解してください。
そして、法律の内容を良く知っていればいるほど、今の現場で行われている活動を変える必要がなくなる、ということも、お分かりいただけたのではないでしょうか。野球やサッカーのルールと同じように、法律というのは、知っている者勝ちなのです。その点を理解いただければ、今回の稿は、例えば巷でよく見かける「節税のしかた」の本のような脱法行為すれすれのことを示唆しているわけではない、ということも分かっていただけると思いますし、怪しげなコンサルタントに騙されてしまうようなことも防げると思うのです。
↑TOP
この記事の感想をお寄せください
お名前:
(省略可)
メールアドレス:
(省略可)
コメント:
Copyright©2006 Next Education Think.All Rights Reserved.
掲載の文章・画像の無断使用・無断転載を禁止します。
特集1:ITSS 新たなステージへ『ITSS Users' Conference 2006』最新レポート〜セミナー編〜
特集2:組織の緊急課題への取組みを支援する連載 個人情報保護とプライバシー取得の知識(6)
(2)
特集3:eラーニングコース紹介 eラーニングで学ぶプロジェクトマネジメント 産業能率大学『プロジェクトマネジメント"超"入門コース』
特集4:現場の事例で学ぶマネジメント連載 ヒューマン・マネジメントのテクニック(15)