« March 2005 | Main | October 2005 »

April 2005

2005.04.03

個人情報保護法入門 12

(8)消去
 最後に消去という局面がありますが、この法律は消去義務を明示的には課していません。利用停止または消去と言っていますから、事業者側は利用停止という選択肢と消去という選択肢を持っていますので、顧客情報を消し去るということはしなくても良いわけですが、個人データを持っている限りは安全管理措置の対応にずっと苛まれることになります。そういった意味では法的リスクから脱するには最終的には消去を選択すべきかもしれません。この消去という考え方は、実は第16条第1項からも要請されていまして、利用目的の制限の範囲内で取り扱うということになりますと、契約を終了したお客さまの大半は、商品・サービスの提供が不要となりますからたぶん利用目的を達成してしまうことになるかもしれません。その時にも利用停止で済むのかという論点がありまして、総務省ガイドラインにおきましては、速やかに消去すべきだということが言われています。
 消去ということも、色々考えていくと大変で、今後の企画のために色々使いたいのに顧客情報を全部消すというのは極端じゃないかという意見もあるわけです。確かに全部の記録を消す必要はありません。要は、特定個人を識別できなくさえすればいいわけですから、たとえば氏名と住所の市町村以下を消し他の情報は残しておく。それは統計的情報であって、それが漏洩したからといって、ご本人に一切迷惑をかけないし、主務大臣から関与されることもなく、ワン・トゥー・ワン・マーケティングまでは使えないけれども、一応マーケティング資料には役立つ資料にはなるかもしれません。したがって、企業においては、実務的に消去の定義を定めることも重要です。現場でおいては、消去せよといわれても、どこをどう消せばいいのかということを事細かに指定してもらわなければ、作業できないわけです。また、消去したつもりが、後日みたらバックアップされていたとか、そこを空欄にしたら潜在バグが健在化したとか、レスポンスタイムが異常に遅くなったとか、データベースの場合は、いろいろ問題が出て参ります。

(9)法定公表事項
 本法は、公表せよとか、容易に知りうる状態にせよとか、といった義務がありますが、具体的には、ホームページに載せればいいと言うことになります。
 たとえば、下記のような感じになります。最低限のことを書いているにすぎませんので、これからもっとわかりやすく作っていく必要がありますが。
(参考)
 @nifty「法定公表事項」のページ

5.最後に

 以上のように、個人情報保護法に対応するためには、いろいろな手当が必要です。個人情報の漏洩対策に尽きるものではなく、利用目的管理など個人情報保護法固有の作業が多数あるのだということを申し上げたかったということであります。
 まだまだ論点は尽きないのでありますが、とりあえず、入門編は以上とさせて頂きたいと思います。なお、今回お話できなかった点につきましては、堀部政男先生に監修いただいた『個人情報保護法とコンプライアンス・プログラム』(商事法務)という本で述べました。機会があればそちらをご参照いただければ幸いにです。

| | Comments (0) | TrackBack (1)

« March 2005 | Main | October 2005 »