ようやく動き出した「認定個人情報保護団体」■第1回■

2005年4月1日の個人情報保護法の全面施行を受け、同法に定められた認定個人情報保護団体の設立に関連する動きも本格化してきた。個人情報保護法では、情報提供者・情報主体である個人が、自らの個人情報の扱われ方に対して「苦情を申し立てる」ことができる。その際の苦情受付窓口といった重要な役割を果たすのが認定個人情報保護団体だ。

経済産業省、金融庁、総務省では、それぞれ2005年3月中旬まで当該団体の認定と設立に関するパブリックコメントを募集。認定の審査などについて検討を進めている。そのような状況の中で、他の産業界に先駆けて電気通信事業者が3月上旬に認定個人情報保護団体「電気通信個人情報保護推進センター（仮称）」の設立・運営に向けた説明会を開催した。この説明会で認定個人情報保護団体の全容が明確になりつつある。その様子をレポートする。

●個人情報保護法は最小限のルールのみ、その前提に立って現場ベースでカスタマイズ

認定個人情報保護団体とはいかなるものか。経済産業省、金融庁、総務省など各省庁がパブリックコメントを募集しているということは、まだ、「どのような資格・スキル・知識」を保有した「誰が」、「どのような手続きで設立し」、「どのような役割を果たすのか」など、全容が明らかになっていないということでもある。そこで、まずは、個人情報保護法と認定個人情報保護団体の概要について簡単におさらいしておこう。

今回の説明会では、まず、総務省の総合通信基盤局電気通信事業部・消費者行政課の坂入倫之課長補佐の「個人情報保護法の全面施行に向けた動き」と題する講演で、個人情報保護法の枠組みと、その中における認定個人情報保護団体の位置付けについて解説がなされた。その内容を紹介するのが、概要のおさらいにはぴったりだ。

個人情報保護法とは、民間の事業者の個人情報の取扱いに関して「共通する必要最小限のルール」を定めたものである。言葉を換えれば「必要最小限のルール」しか定めていないのである。個人情報を取り扱う事業者は、ざっと思い浮かぶだけでも、銀行や消費者金融などの金融機関をはじめ、クレジットカード会社や生命保険や損害保険会社、病院などの医療機関、インターネットサービスプロバイダーなど幅広い業種におよぶ。それらを所轄する官庁も金融庁や厚生労働省、総務省、経済産業省など多岐にわたる。

取引先企業の担当者の情報や顧客情報なども重要な個人情報であることを考えれば、ほとんどの企業が何らかのかたちで個人情報を扱っていることになる。ほぼ全ての産業に関わってくるとなれば、それらの業界・業種・事業における個人情報の取り扱いは、それぞれに変わってくるし、それらを一元的かつ厳格に規定する法律を作ることが困難であるとも考えられる。

そこで、個人情報保護法では、多くの産業で個人情報を取り扱う際の、いわば基本的な指針ともなる「必要最小限のルール」のみを決め、その細かな運用については「それぞれの事業者が『所轄の省庁などが策定するガイドラインに即して』、事業などの分野の『実情に応じ』、『自律的に取り組むこと』を重視している」（坂入課長補佐）。いわば運用における細則については「現場ベース」で対応してくださいというのが、個人情報保護法の大前提なのだ。

●業界・業種に精通した第三者機関が、所轄官庁に申請して認定個人情報保護団体に

この大前提に立って、認定個人情報保護団体も存在する。個人情報保護法では、情報提供者・情報主体である個人が、たとえば「アンケートに答えただけなのに、その後にしつこい電話勧誘を受けた」など、自らの個人情報が「不当に扱われた」と考えられるときに事業者に対して苦情を申し立てることができるが、その際に苦情の受付窓口になるのが認定個人情報保護団体である。「現場ベース」の考えに則ると、この認定個人情報保護団体も業界・業種ごとに設立されるべきで、しかも、当該の業界・業種の実情を把握し理解している「第三者的機関」が、その任務を負うことが望ましいとされている。

【執筆：下玉利尚明】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd