個人情報保護について

OECD個人情報保護８原則 に沿えば、個人情報保護とは基本的に、


【利用目的】

利用範囲は情報主体(本人)から(事前に)同意を取る

利用範囲に合った使い方をする

利用範囲を変更する場合は、情報主体(本人)から同意を取る


になるかと思います。上記のようなロジックでいくと、盗難や漏えいは、 第三者に“目的外利用”をされてしまう措置(事態) ということになるかと思います。


つまり、“極論を言えば”、目的外利用さえされなければ、漏えいや紛失をしてもよい、ということにもなりえるかもしれませんが、さすがに原本や証拠隠滅は、別の要因でまずいことかもしれません。


自社の管理から外れてしまうと、どうなるかわからないリスクがありますし、目的外利用されないのは 結果論 に過ぎないかもしれないので、個人情報保護を完成する上でも、 リスク に応じた 安全管理の措置 も併せてしっかりとする必要があるでしょう。


HOMEPAGEなどでのクレジットカード番号の入力では SSLが必須だと思う人がほとんどかと思いますが、住所や氏名などの個人情報の基本情報入力の場面では、あまり気にしない人もいるかもしれません。

よくニュースでは、「(Bcc: のし損ないによって)メールの Cc で個人情報が漏えいした」など報道されてますが、そもそも個人によって「個人情報」に対する 考え方が異なるため、あらかじめ事前に同意を得て、合意を得た使い方をする、という対処法になるかと思います。


また、中にはメールアドレス自体が漏えいすることよりも そこのサイト(事業者)へ登録していること が知られてしまうことを気にする人もいるかと思います(２次被害の危惧以外に)。

メールアドレスだけの漏えいであれば、個人情報の漏えいだと思わない人も居るかもしれませんが、 “付加情報”として、「何処から」という情報が加わると話が変わってくるかもしれません。


個人情報に関していろんな考え方を持っているので、 “選択肢”を与えることも重要かと思います。そのために、事前にしっかりと同意を得る告知をし、了承した人だけから個人情報を収集(取得)することになるかと思います。


SSL に関しても、一部の携帯電話など、SSL 通信ができない機種もあるようですから、 事前にリスクを含め十分な説明をし、それらに対して同意があれば、 SSL を使わないことも可能になるかと思います。また、ウェブでのやりとりでは Cookie などのウェブバグ(ウェブビーコン)についても同様かと思います。

個人情報保護法(保護法) には、電話番号、電子メールなど、個々のデータに対して、「個人データ」という定義がなされました。個々のデータだけでは個人情報にならなくても、 マッチング されて一つの情報になったら、重要な「個人情報」になってしまうこともある、ということになるかと思います。

つまり、個々の「個人データ」単体ではあまり大したことなくても、マッチングされて連結した個人情報になった場合には、 機微情報(センシティブ情報) になっていまう可能性もあるかもしれません。

保護法の制定前からよく 保護法と JIS Q 15001／プライバシーマーク制度の関係 について聞かれました。これらの関係を環境マネジメント(ISO 14001)を例に考えてみると、国や自治体の排水基準などを遵守することだけではなく、 ＋α として、どれだけ地球環境にやさしいかをアピールする目的もあるかと思います。

企業にとって個人情報保護とは、ただの 法令遵守 だけではなく、 “顧客満足(CS)”の一部として、消費者の身になって個人情報を今流行の「1to1サービス」的なやり方になってくるかと思います。