認定個人情報保護団体が続々と誕生

最近、各事業者のホームページに掲載されているプライバシーポリシー（個人情報保護方針）に新しい項目が追加されている。

プライバシーポリシーには個人情報の問い合わせ先（事業者の問合せ窓口）が以前から掲載されていた。最近、その下に『認定個人情報保護団体』という項目が追加されている。

証券会社を例にすると、『当社は、金融庁の認定を受けた認定個人情報保護団体である日本証券業協会の協会員です。同協会の証券あっせん・相談センターでは、協会員の個人情報の取扱いについての苦情・相談をお受けしております。』という説明と日本証券業協会の窓口が案内されている。反対に『現在、当社が所属する「認定個人情報保護団体」はございません。』と記述してあるプライバシーポリシーもある。

●認定個人情報保護団体は苦情の駆け込み寺

認定個人情報保護団体は2005年4月1日から施行された個人情報保護法で規定されている団体である。個人情報を保護するために各事業者が自社の実情にあった自発的な取組を行う必要があるが、その取組を支援する民間業界団体を主務大臣が認定する。団体は法人格がなくてもかまわない。

認定個人情報保護団体の重要な業務のひとつが、プライバシーポリシーに記載されている「苦情・相談」である。個人が個人情報漏洩で、漏洩したと思われる事業者に問い合わせをしたが対応に満足がいかない時、または最初から事業者に不信をもち事業者の苦情対応窓口と対応したくない時に認定個人情報団体を利用できる。だたし事業者が認定個人情報保護団体の対象事業者になっていなければならない。これは事業者のプライバシーポリシーを見れば分かる。

認定個人情報保護団体は、個人と事業者との間に入って第三者として調整を行う。個人にとっては事業者に苦情を言っても駄目な場合に、もう一つ受付窓口があることになり駆け込み寺的存在となる。

●認定個人情報保護団体に相談したらどうなる？

認定個人情報団体では苦情・相談を受け付け、まず事情を聞くことになる。例えば個人情報漏洩疑惑なら
　・どんな事象が発生したのか。
　　例．『ウェブページに自分の名前があった。全然知らない事業者からDMが届いた。』
　・どんな情報が漏洩したと思われるのか。
　　例．『電話番号、住所』
　・なぜ、その事業者から漏洩したと思ったのか。
　　例．『その事業者しか知りえない情報が入っていた。マスコミで報道された漏洩事件で事業者の名前が出ていた。』
　・個人情報をその事業者に提供した機会は。
　　例．『アンケート』
　・事業者に申し出や相談をしたか。
など、順序だてて聞くことになる。

ただ個人情報保護法について、まだまだ社会常識として定着しているとは言えず、苦情を申し立てる方もよく分かっていない。例えば、経済産業省のガイドラインでは『オプトアウト』ができれば、本人の同意がなくても個人情報の第三者提供が容認されるようになっている。

個人にとってオプトアウトと言われても何のことかよく分からないのが実態である。そのため、認定個人情報保護団体には、個人とのやり取りを通じて個人情報保護法の啓蒙を行っていくことが期待されている。

認定個人情報保護団体では調査して事業者に非がある場合、まずは口頭で注意を行う。それでも改善されない場合は文章による指導に、次に勧告。最後は除名となる。一定時間が過ぎても解決しない場合は弁護士会の仲裁センターを紹介する認定個人情報保護団体もある。実際はケースバイケースでの対応になる。

こういった個別の事例を蓄積することで、業界標準となる個人情報保護ガイドラインやQ&Aに反映させ、対象事業者への情報提供が行われる。業界全体の体質改善が行われることとなり、個人情報を適正に扱っている業界というイメージアップとなる。

また悪質なクレーマーも存在するため事業者だけの対応とならず、認定個人情報保護団体が第三者機関として対応することとなり、事業者にとっても頼りがいある存在となる。

水谷IT支援事務所・所長、AllAbout「企業のIT活用」ガイド　水谷哲也
http://allabout.co.jp/career/corporateit/

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd