個人情報 に関するニュースで、盗難とか漏えいとかよく耳にしますが、個人情報保護はそれらを防ぐ安全管理の措置だけではありません。
覚えのない会社から不愉快なダイレクトメール(DM)が来たり、電話で勧誘があったりなど、 知らないうちに 個人情報が伝播、利用されることを防ぐことにあります。
「保護」という意味は、“著作権保護”に近いかもしれません。ただ、個人情報について「所有権」などを主張すると、法的にはあまりよろしくないようです。
しかし、個人情報は該当本人に大いに影響があるので、開示・訂正・削除・利用拒否などの権利について「自己情報コントロール権」などという風に表現されているようです。
OECD個人情報保護8原則 に沿えば、個人情報保護とは基本的に、
【利用目的】
利用範囲は情報主体(本人)から(事前に)同意を取る
利用範囲に合った使い方をする
利用範囲を変更する場合は、情報主体(本人)から同意を取る
になるかと思います。上記のようなロジックでいくと、盗難や漏えいは、 第三者に“目的外利用”をされてしまう措置(事態) ということになるかと思います。
つまり、“極論を言えば”、目的外利用さえされなければ、漏えいや紛失をしてもよい、ということにもなりえるかもしれませんが、さすがに原本や証拠隠滅は、別の要因でまずいことかもしれません。
自社の管理から外れてしまうと、どうなるかわからないリスクがありますし、目的外利用されないのは 結果論 に過ぎないかもしれないので、個人情報保護を完成する上でも、
リスク に応じた 安全管理の措置 も併せてしっかりとする必要があるでしょう。
HOMEPAGEなどでのクレジットカード番号の入力では SSLが必須だと思う人がほとんどかと思いますが、住所や氏名などの個人情報の基本情報入力の場面では、あまり気にしない人もいるかもしれません。
よくニュースでは、「(Bcc: のし損ないによって)メールの Cc で個人情報が漏えいした」など報道されてますが、そもそも個人によって「個人情報」に対する
考え方が異なるため、あらかじめ事前に同意を得て、合意を得た使い方をする、という対処法になるかと思います。
また、中にはメールアドレス自体が漏えいすることよりも そこのサイト(事業者)へ登録していること が知られてしまうことを気にする人もいるかと思います(2次被害の危惧以外に)。
メールアドレスだけの漏えいであれば、個人情報の漏えいだと思わない人も居るかもしれませんが、 “付加情報”として、「何処から」という情報が加わると話が変わってくるかもしれません。
個人情報に関していろんな考え方を持っているので、 “選択肢”を与えることも重要かと思います。そのために、事前にしっかりと同意を得る告知をし、了承した人だけから個人情報を収集(取得)することになるかと思います。
SSL に関しても、一部の携帯電話など、SSL 通信ができない機種もあるようですから、 事前にリスクを含め十分な説明をし、それらに対して同意があれば、
SSL を使わないことも可能になるかと思います。また、ウェブでのやりとりでは Cookie などのウェブバグ(ウェブビーコン)についても同様かと思います。
個人情報保護法(保護法) には、電話番号、電子メールなど、個々のデータに対して、「個人データ」という定義がなされました。個々のデータだけでは個人情報にならなくても、
マッチング されて一つの情報になったら、重要な「個人情報」になってしまうこともある、ということになるかと思います。
つまり、個々の「個人データ」単体ではあまり大したことなくても、マッチングされて連結した個人情報になった場合には、 機微情報(センシティブ情報)
になっていまう可能性もあるかもしれません。
保護法の制定前からよく 保護法と JIS Q 15001/プライバシーマーク制度の関係 について聞かれました。これらの関係を環境マネジメント(ISO
14001)を例に考えてみると、国や自治体の排水基準などを遵守することだけではなく、 +α として、どれだけ地球環境にやさしいかをアピールする目的もあるかと思います。
企業にとって個人情報保護とは、ただの 法令遵守 だけではなく、 “顧客満足(CS)”の一部として、消費者の身になって個人情報を今流行の「1to1サービス」的なやり方になってくるかと思います。
|
