第11回 「認定個人情報保護団体」
個人情報保護法では15条から36条まで(第4章第1節)個人情報取扱事業者の義務を定めた後、37条以降(同第2節)、「民間団体による個人情報の保護の推進」を規定している。
この規定によって、JAPiCOは経済産業大臣と厚生労働大臣の「認定個人情報保護団体」と認定されている。この規定の内容を見てみよう。
37条では、まず「個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、主務大臣の認定を受けることができる」と述べて、いわゆる個人情報保護推進のために一定の業務を行おうとする民間団体は、主務大臣が認定すると定めている。これが「認定個人情報保護団体」である。
ここでいう「個人情報取扱事業者」は顧客情報や社員情報など、個人情報を一定の条件のもとで取り扱う企業や団体、その他法人だが、法規に定められた条件に当たらなくても、広義には社会的な信用を得るために個人情報を適正に取り扱っていることを目標にする事業者も含まれると考えてよいだろう。
こうした個人情報取扱事業者に対しての「認定個人情報保護団体」の業務の1つが「苦情処理」である。「本人等から対象事業者の個人情報の取扱いに関する苦情について解決の申出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査するとともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならない」(42条1項)。
本人から申し立てられた対象事業者の苦情処理は「認定個人情報保護団体」が責任を持つ。
また、「認定個人情報保護団体」は、「対象個人情報取扱事業者の個人情報の適正な取り扱い確保のために」、「個人情報収集の際の利用目的の特定」「収集した個人情報の安全管理のための適切な措置」「情報当事者本人からの求めに応じる手続き」「その他の事項」に関して「個人情報保護指針」を作成し、公表するように努める。また、「認定個人情報保護団体」は、「個人情報保護指針」を公表した時は、対象事業者に対してこの「個人情報保護指針」を遵守させるために必要な「指導、勧告、その他の措置」をとるように努めなければならない。
企業や団体などが個人情報保護法の趣旨に沿って個人情報を取り扱ってゆくように、指導し、その運用を具体的に監督するのは、行政官庁の能力を超えている。「認定個人情報保護団体」は、民間団体が行政の代わりに個人情報取扱事業者の個人情報保護の意識を向上させ、保護を促進しようという仕組みである。その手法としては「個人情報保護指針」を策定させて事業者の内部に徹底させ、適切な管理・運営組織を事業者の内部に整備し、保護状況を定期的に見直して改善するマネジメントサイクルを回す、ということである。特に、収集する個人情報の範囲を限定して本人に利用目的を明示する、保管個人情報の内容については本人の要求に応じて開示することを義務付けて開示手続きを明示する、本人の同意なく目的以外に使用しない、本人からの苦情を受け付ける窓口を明示する、などは、行政自身が監督するのは難しい。民間の力でこれらの業務を行わせるのが趣旨である。
ただ、高速データ収集・処理技術が発達したビッグデータの時代に入って、収集された膨大な情報は、加工・処理することによって社会的・経済的に価値ある情報・知識として重要な意味を持ち始めている。個人データとして収集・保管している膨大なデータを、収集する目的以外に活用できないか、という要求が強まっている。統計処理して十分に経済価値が生まれるのは確実である。個人データの一部を消去し、個人を特定できない匿名データとして転用することはできないか。技術的には可能であるということで、個人情報保護法の改定では、そうしたルールの変更も行われることが予想される。
そうしたルールの変化や状況の変化については、取扱事業者に対して適切な情報を提供することも重要だろう。国内の法律だけではなく、海外の状況も多面的に知識をもつことが重要になっている。企業や団体が処理するデータは簡便なクラウドサービスを利用するケースが多くなっているが、国によってデータの安全・保管のルールに大きな差があるからだ。データの秘匿保持が危うい国も多いことが明らかになっている。そうした国でデータ処理される場合に、個人データの保護が十分になされる保障があるか。
個人情報を取り扱う事業者や個人はそうした新しい情報を適宜、提供される必要がある。
「認定個人情報保護団体」はそうした情報提供も重要な責務になるだろう。グローバル化した情報社会には、多くの落とし穴が隠れている。個人情報保護法の制定時には想定していなかった。その後の変化をフォローできるように活動するのも「認定個人情報保護団体」の任務になるだろう。
【筆者=JAPiCO理事長 中島洋】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization
この規定によって、JAPiCOは経済産業大臣と厚生労働大臣の「認定個人情報保護団体」と認定されている。この規定の内容を見てみよう。
37条では、まず「個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、主務大臣の認定を受けることができる」と述べて、いわゆる個人情報保護推進のために一定の業務を行おうとする民間団体は、主務大臣が認定すると定めている。これが「認定個人情報保護団体」である。
ここでいう「個人情報取扱事業者」は顧客情報や社員情報など、個人情報を一定の条件のもとで取り扱う企業や団体、その他法人だが、法規に定められた条件に当たらなくても、広義には社会的な信用を得るために個人情報を適正に取り扱っていることを目標にする事業者も含まれると考えてよいだろう。
こうした個人情報取扱事業者に対しての「認定個人情報保護団体」の業務の1つが「苦情処理」である。「本人等から対象事業者の個人情報の取扱いに関する苦情について解決の申出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査するとともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならない」(42条1項)。
本人から申し立てられた対象事業者の苦情処理は「認定個人情報保護団体」が責任を持つ。
また、「認定個人情報保護団体」は、「対象個人情報取扱事業者の個人情報の適正な取り扱い確保のために」、「個人情報収集の際の利用目的の特定」「収集した個人情報の安全管理のための適切な措置」「情報当事者本人からの求めに応じる手続き」「その他の事項」に関して「個人情報保護指針」を作成し、公表するように努める。また、「認定個人情報保護団体」は、「個人情報保護指針」を公表した時は、対象事業者に対してこの「個人情報保護指針」を遵守させるために必要な「指導、勧告、その他の措置」をとるように努めなければならない。
企業や団体などが個人情報保護法の趣旨に沿って個人情報を取り扱ってゆくように、指導し、その運用を具体的に監督するのは、行政官庁の能力を超えている。「認定個人情報保護団体」は、民間団体が行政の代わりに個人情報取扱事業者の個人情報保護の意識を向上させ、保護を促進しようという仕組みである。その手法としては「個人情報保護指針」を策定させて事業者の内部に徹底させ、適切な管理・運営組織を事業者の内部に整備し、保護状況を定期的に見直して改善するマネジメントサイクルを回す、ということである。特に、収集する個人情報の範囲を限定して本人に利用目的を明示する、保管個人情報の内容については本人の要求に応じて開示することを義務付けて開示手続きを明示する、本人の同意なく目的以外に使用しない、本人からの苦情を受け付ける窓口を明示する、などは、行政自身が監督するのは難しい。民間の力でこれらの業務を行わせるのが趣旨である。
ただ、高速データ収集・処理技術が発達したビッグデータの時代に入って、収集された膨大な情報は、加工・処理することによって社会的・経済的に価値ある情報・知識として重要な意味を持ち始めている。個人データとして収集・保管している膨大なデータを、収集する目的以外に活用できないか、という要求が強まっている。統計処理して十分に経済価値が生まれるのは確実である。個人データの一部を消去し、個人を特定できない匿名データとして転用することはできないか。技術的には可能であるということで、個人情報保護法の改定では、そうしたルールの変更も行われることが予想される。
そうしたルールの変化や状況の変化については、取扱事業者に対して適切な情報を提供することも重要だろう。国内の法律だけではなく、海外の状況も多面的に知識をもつことが重要になっている。企業や団体が処理するデータは簡便なクラウドサービスを利用するケースが多くなっているが、国によってデータの安全・保管のルールに大きな差があるからだ。データの秘匿保持が危うい国も多いことが明らかになっている。そうした国でデータ処理される場合に、個人データの保護が十分になされる保障があるか。
個人情報を取り扱う事業者や個人はそうした新しい情報を適宜、提供される必要がある。
「認定個人情報保護団体」はそうした情報提供も重要な責務になるだろう。グローバル化した情報社会には、多くの落とし穴が隠れている。個人情報保護法の制定時には想定していなかった。その後の変化をフォローできるように活動するのも「認定個人情報保護団体」の任務になるだろう。
【筆者=JAPiCO理事長 中島洋】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization