診断士の経営視点とSEのシステム技術の両面からIT・システム開発・Web技術+アウトドア情報を提供しています

トップブログでつくるビジネスサイト無料ブログでここまでできるCMSでつくるビジネスサイトウェブ講座&SEOシステム開発個人情報保護Googleでお仕事信州撮っておき情報








スポンサーサイト 

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

[--------] スポンサー広告 | |

個人情報保護の実態をレポートする 

二つの個人情報保護
個人情報保護方針とプライバシーポリシー

※このレポートは中小企業診断協会長野県支部へ提出したものです(2005/07/12)

■二つのポリシー
 今年4月に個人情報保護法が全面施行され、企業の個人情報保護に関する方針が続々と公表されました。それらを見ると、企業の個人情報保護に対する姿勢や工夫を伺い知ることができます。公表ページのタイトルにも「個人情報保護方針」と「プライバシーポリシー」の二つがあるようです。ところで、「個人情報保護方針」と「プライバシーポリシー」とは同じものなのでしょうか? それとも、違うものなのでしょうか?


■Webで調べてみました
 Googleで検索したところ(by Google 2005/07/07 16:30)、「個人情報保護方針」で418万件、「プライバシーポリシー」では651万件がヒットしました。キーワードアドバイスツールで調べると、2005年5月の一ヶ月間に、「個人情報保護方針」では3564回、「プライバシーポリシー」で8840回の検索リクエストがあったとのことです。Webではページ数・検索要求数ともに、「プライバシーポリシー」のほうが主流派のようです。

■個人情報保護法とガイドライン
 個人情報保護法では、事業者の名称・利用目的・開示等の手続きを公表することが義務づけられています。しかし法律の条文には「個人情報保護方針」「プライバシーポリシー」という言葉は見つかりません。法の第8条で「事業者の活動を支援し適切かつ有効な実施を図るための指針」とされている各省庁や業界団体が定めたガイドラインを調べてみると、一般企業を対象とした経済産業省のガイドラインに「プライバシーポリシー」という言葉が使われていました。

■プライバシーポリシーはガイドラインから
 経済産業省ガイドラインでは、「個人情報保護に関する考え方や方針に関する宣言(いわゆる、プライバシーポリシー、プライバシーステートメント等)を策定し、ウェブ画面への掲載等により公表することが望ましい P56」とされています。「望ましい」という表現に留まっているため義務とではありませんが、企業に対し「プライバシーポリシー」の公表を求めています。
 
■経済産業省ガイドラインで公表が望まれている事項
1.事業の内容及び規模を考慮した適切な個人情報の取扱いに関すること
2.個人情報保護に関する法律を遵守すること
3.個人情報の安全管理措置に関すること
4.コンプライアンス・プログラムの継続的改善に関すること

■個人情報保護方針はJIS規格から
 プライバシーマーク認証制度も個人情報の保護を保護を目的としています。プライバシーマーク取得の際には、JISQ15001(個人情報保護に関するコンプライアンス・プログラムの要求事項)が審査の基準となります。JISQ15001では「事業者の代表者は、個人情報保護方針を定めるとともに、(中略)一般の人が入手可能な措置を講じなくてはならない」と規定されています。こちらは義務となるため、プライバシーマークを取得している、あるいは取得しようとする企業は個人情報保護方針の公表が必須となります。

■JISQ15001で要求されている事項
1.事業の内容及び規模を考慮した適切な個人情報の収集、利用及び提供に関すること
2.個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなどの予防ならびに是正に関すること
3.個人情報に関する法令及びその他の規範を遵守すること
4.コンプライアンス・プログラムの継続的改善に関すること

■どこが同じか?
 読み比べていただければ分かるように、順序の違い・表現の違いはあるものの、両者とも、個人情報の取扱い・法の遵守・安全管理措置・継続的改善の4点があげられています。つまり、ほとんど同じです。これはプライバシーマークの審査基準として、当初は経済産業省(当時通産省)のガイドラインが利用され、その後JISQ15001が制定されたという経緯から言って当然のことかも知れません。

■どこが違うか?
 大項目の4つはほとんど同じですが、ガイドラインでは個人情報の取扱いの詳細の細目に、
 「利用目的」
 「第三者提供・共同利用の有無」
 「開示等の手続き」
 「苦情相談窓口」
を公表記載事項として明記しています。JISでも相談窓口の公表等が要求されていますが、公表すべき事項としてまとめられている点では、ガイドラインの方が分かりやすく、具体的だと言えるでしょう。

■再びWebに戻って
 プライバシーポリシー派では検索結果の上位10社中8社が利用目的と開示手続きを具体的に明示しています。
 これに対し、個人情報保護方針派では、
「個人情報の収集、利用、提供において所定の規則に従い適切に取扱います」
「事業の内容および規模を考慮した適切な個人情報の収集、利用および提供を定めた社内規則を遵守します」
「公正な事業活動に必要な範囲に限定して、適切に収集、利用、提供いたします」
等々のあまり具体的とは言えないような記述が見られます。方針派の上位10社中4ないし5社は利用目的を具体的に明記していないのではないか?と思われます。方針と個人情報の取扱いが別々のページに分かれているサイトが半数を占めているのも方針派の特徴です。
 個人情報保護方針として公表している企業の多くは、法の施行に先立ってプライバシーマークを取得し、既に個人情報保護方針を公表していたという点を考慮しても、総じてプライバシーポリシーとして公表している企業の方が、利用者にとっては親切かつ具体的な公表内容であると言えます。

■二つの個人情報保護
 JIS規格が1999年に発表されて既に6年が過ぎました。JIS規格の冒頭には「日本工業規格は少なくとも5年を経過するまでに改正等が行われることになっています」と書かれています。おそらくは現在、改正の準備が進められているものと予想されます。強制力のある法律と自主的な取組みであるJIS規格・プライバシーマーク制度を一律に同じものにする必要はありません。しかし、個人情報保護の取り組みを実効のある、分かりやすいものにするために、早急にJISQ15001を改訂し、両者の整合性を取ることが望まれます。


※参考1 個人情報保護法(本文に関連する箇所のみを抜粋)
第24条(保有個人データに関する事項の公表等)
個人情報取扱事業者は、保有個人データに関し(中略)本人の知り得る状態(中略)に置かなければならない。
第18条(取得に際しての利用目的の通知等)
個人情報を取得した際は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表しなければならない。
第23条(第三者提供の制限)
本人の求めに応じて(中略)第三者への提供を停止することとしている場合であって(中略)あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは(中略)第三者に提供することができる。

※参考2 法とJISの違い
個人情報 法では生存する個人だが、JISでは個人(生死を問わない)
     法では組織役員の情報を含むが、JISでは含まない
目的   法では利用目的、JISでは収集目的
本人   法では本人、JISでは情報主体
機微情報 法では規定なし、JISでは原則として収集は禁止
子供  法では規定なし、JISでは保護者の同意が必要
個人情報データベース・個人データ・保有個人データは法のみで、JISにはない
共同利用・第三者提供のオプトアウトも法のみで、JISにはない

※参考3 関連サイト
「首相官邸 個人情報の保護に関する法律」のページ 法律全文が参照できます
 → http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/index.html

「経済産業省 個人情報保護」のページ 経済産業省ガイドライン、Q&Aが参照できます
 → http://www.meti.go.jp/policy/it_policy/privacy/privacy.htm

「国民生活局」のページ 各省庁のガイドラインの一覧が参照できます
 → http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou.html

「財団法人日本情報処理開発協会JIPDEC プライバシーマーク事務局」のページ
 → http://privacymark.jp/

「JISQ15001 個人情報保護に関するコンプライアンス・プログラムの要求事項」
 → http://privacymark.jp/ref/jisq15001.pdf PDFで閲覧・印刷できます

[2005-07-14] 個人情報保護 | TB(0) | CM(0)

コメントの投稿













管理者にだけ表示を許可する

トラックバック

この記事のトラックバックURL
http://wiz2.blog16.fc2.com/tb.php/2-94c3d59f








トップブログでつくるビジネスサイト無料ブログでここまでできるCMSでつくるビジネスサイトウェブ講座&SEOシステム開発個人情報保護Googleでお仕事信州撮っておき情報
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。