コンプライアンスと個人情報 No.2
1.社会のルールを誰が守るのか
フジテレビとライブドアーの問題は一応決着が着いた。両社とも、企業イメージに傷がついた。
商法では企業は株主のもの。今回の一件、物言わぬ一般株主が一番迷惑を被ったのではないだろうか。
さて、そんな憤りを感じている一般株主が物言えるのは、株主代表訴訟を起こすことであるが、それも敷居が高い。1996年から大阪を拠点に活動している「株主オンブズマン」という組織がある。
彼らは、市民株主による企業監視により企業の違法・不正な行為を抑制・是正することを目的として活動。株主提案や株主代表訴訟、申し入れを通じ企業に対して事実解明と責任追及を行っている。
最近では、多額の退職慰労金を支払ったNHKやソニーに、不正があった三菱自動車や武富士などに事実解明を追求している。
2.個人情報とは何か
個人情報保護法では個人情報を氏名、生年月日その他の記述等により特定の個人を識別することができるものと定義している。経済産業省のガイドラインでは、個人が識別できる映像情報も個人情報と規定している。
名刺は関係ない?いや、これも50音順に整理し保管をされていればパソコンに入っていなくとも、立派な個人情報になる。メールアドレスも@の前が氏名を特定できるもの(例えば yamada@・・など)で有れば個人情報とみなされる。
3.個人情報保護で最低限取り組むべきこと
先ず、あなたの会社にある個人情報を特定しよう。顧客名簿、従業員名簿、アンケート、求職者の履歴書他多数存在する。個人名が載っている社内報等も該当する。全て書き出してみる。
そして、それを何の目的で、どういう手順で集め、誰が利用し、どこに保管し、どの時期に廃棄しているのかをはっきりさせる。そういったルールが存在しない会社は、個人情報は何のために取得するのか、即ち目的を明示することからはじめる。
次にデータが漏洩しないように安全管理を講じなければならない。安全管理規定をつくり、従業員を教育し、社内への入室者の管理、不正アクセス対策などの情報システム整備を行う。
やるべき範囲は非常に広い。
4.プライバシーマークなどの取得を考える
ISOを取得されている企業なら、マネジメントシステムが機能していることと推測されるので、個人情報保護への対応も難しくないと思われる。
しかし、一般企業では大変だ。そこで、プライバシーマーク取得を考えて見るのも一つだろう。
プライバシーマークは、日本情報処理開発協会(JIPDEC)により付与される評価認定制度。
事業者単位で付与され、JISQ15001に準拠した個人情報の取り扱いに関するコンプライアンスプログラム(個人情報保護措置)に基づいて、従業員への教育と運用実績があることが認定の最低条件となっている。
認定後も消費者からの苦情に基づいて、運用改善命令が出されるなど制度の実効性を保証する仕組みがなされている。しかし、認定事業者数は昨年10月に900社であったが、昨年末から申請企業が殺到し、認定まで数ヶ月も待たされるという状況になっている。
(Written by 川下行三 05/04/28)