個人情報保護法で、企業が守るべき"個人情報"とは
"セキュリティマネジメント"を新テーマに据えて、情報セキュリティの現状をお伝えしている当ブログ。今回は個人情報保護法が定める"個人情報"に関するおさらいです。
各企業がセキュリティ対策を行なう理由のひとつは「個人情報保護法」の完全施行です。
「個人情報保護法」が作られた背景には、国際機関において個人情報保護に関する勧告や指令が採択され、日本も「十分なレベルの保護措置」が必要になったことや、国内的な背景として、IT社会の発展による個人情報の利用拡大、それに伴う情報漏えい事件の多発、さらに「住民基本台帳ネットワークシステム」の実現による個人情報についての法整備の必要性が生じたことなどがあげられます。
「個人情報保護法」においては、個人情報を次のように定義しています。
「第二条 この法律において"個人情報"とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」
つまり"生存する個人に関する情報"全体が"個人情報"として扱われることになります。これには、顧客情報のみならず、企業の従業員情報なども含まれます。また、死者に関する情報が遺族の生存する個人に関する情報でもある場合、生存する個人に関する"個人情報"となります。
"特定の個人を識別できるもの"とも定義されているため、氏名・住所はもとより、個人の身体、財産、職種、肩書きなどの属性や、免許証番号やクレジットカード番号も含まれます。さらに「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」によると、「評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ」とあります。つまり、防犯カメラなどの映像情報や筆跡、音声なども"個人情報"となります。
「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」
という補足により、データそのものは個人情報ではなくても、照合することで個人が特定できるデータに関しては、個人情報と考える必要があります。つまり、かなり幅広い情報が"個人情報"として定義されているのです。
なお「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」によると、電話会社から提供された電話帳や、市販の電話帳CD-ROMなどに掲載されている氏名及び電話番号、カーナビゲーションシステムなどのナビゲーションシステムに格納されている氏名、住所などのデータなどは"特定の個人の数に参入しない事例として挙げられています。
いかがでしょう。日々、統制活動を行なっている方はご存知だとは思いますが、"個人情報の範囲"があいまいだった方もいらっしゃるのではないでしょうか? 個人情報の定義を再確認し、御社の個人情報管理における統制活動にお役立てください。
■バックナンバー
情報セキュリティの現状~会社の情報資産は本当に守られているか・後編~
http://quality-blog.cocolog-nifty.com/blog/2006/08/post_0340.html
クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。
8月 30, 2006 ビジネス, 内部統制, 情報漏洩対策 | Permalink
トラックバック
この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/173353/11680828
この記事へのトラックバック一覧です: 個人情報保護法で、企業が守るべき"個人情報"とは:
