個人情報保護法の全面施行を目前にいまだ全容が明らかでない「認定個人情報保護団体」とは（2）

　個人情報保護法の全面施行を目前に多くの企業が個人情報保護法対策に急いでいる。個人情報保護法の特色は、情報提供者・情報主体である個人が、自らの個人情報の取り扱いについて情報開示を求めるなど「本人が関与できる仕組み」が整えられていること。それによって、事業者に苦情を申し立てることも裁判に訴えることも可能だ。その際に重要な役割を果たすのが認定個人情報保護団体とされているが、いったい「どのような資格を持つ団体が認定されるのか」、「認定取得のための手続きは」など、全面施行を目前にした今をもってその全容は明らかでない。

●いったい「誰が」認定個人情報保護団体となるのか

　個人情報保護法の特色の1つとして、事業者が保有する個人データに関して情報提供者・情報主体である「本人が関与できる仕組み」が盛り込まれていることがあげられる。このことは前回でも紹介した。たとえば、本人からの要求があれば、個人情報を保有する事業者等は個人情報を開示しなければならないし、個人情報に誤りがあった場合には、訂正・追加、または削除をしなければならない。個人情報保護法の義務規定に違反していることが判明した場合には、個人は利用停止や個人情報の消去を求めることもできる。

　さらに、この情報提供者・情報主体である個人は「本人が関与できる仕組み」を使って自分の情報の利用状況をチェックし、不正に扱われていると判断した場合には、苦情を訴え出ることも可能である。その際に、個人からの苦情の受け入れ先となるのが「認定個人情報保護団体」である。

　さて、ここまでは、認定個人情報保護団体に関する非常に大雑把な説明である。ここからは少し細かく検討してみよう。

　まず、いったい「誰が」この認定個人情報保護団体となるのだろうか？それについては、個人情報保護法の第二節　第三十七条で次のように示されている。

「個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人（法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。）は、主務大臣の認定を受けることができる。」

　この条文の中の「次に掲げる業務」とは、「個人情報の取扱いに関する苦情の処理」や「個人情報の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供」、「対象事業者の個人情報の適正な取扱いの確保に関し必要な業務」などである。つまりは「苦情処理を受け付け」たり、「事業者が個人情報を適正に扱うようにアドバイスをしたり」する役割を引き受けようじゃないかという「法人」（厳密には法人でなくてもよいが）であれば、「主務大臣の認定をうけること」で認定個人情報保護団体となることができるのだ。

　それでは、そのような法人とはいったいどこをさすのか？内閣府や経済産業省などにヒアリングした結果によると、「法人」とはされているものの民間企業が認定個人情報保護団体となるケースはあまり予想はされていなく、各種業界団体や各種協会などが認定個人情報保護団体となることが想定されているようだ。

【執筆：下玉利尚明】

この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd