連載にあたって:平成17年4月から個人情報保護法が全面施行され、東京グラフィックスも同年12月に個人情報保護法第37条に基づき、『認定個人情報保護団体』に経済産業大臣の認定を受けました。時期を同じく東京グラフィックスでは、プライバシーマークの付与指定機関となりました(現在はJaGraが指定審査機関)。すでに7年近い実績を積んできましたが、会員企業での事故は後を絶たず、最近でも大量の個人情報流失等の事故は増え続けております。
そこで、初心に戻る気持ちで改めて個人情報保護について本誌の頁を割き、皆さんと一緒に個人情報保護、情報セキュリティについて考えていきたいと存じます。とりわけ、この7年間で当方へ寄せられた疑問・質問、苦情あるいは実際に発生した事故事例も多くございますので、誌面を通じてご紹介していきたいと存じます。
執筆は東京グラフィックス・斎藤成専務理事が担当いたします。是非、皆様からのご質問もお受けいたしますので、よろしくお願いいたします。
個人情報保護担当副会長:生田一彦
【なぜ、個人情報保護が必要か?】
公益社団法人 東京グラフィックサービス工業会 専務理事
斎藤成(JIPDECプライバシーマーク主任審査員)
印刷業の場合、扱う個人情報の種類としては、名簿、名刺・年賀状、Web関連をはじめ多くの受注印刷物、各種データ、顧客リスト、DM発送代行、さらに自社の社員情報があります。「個人情報」とは、特定の個人が識別できるものは個人情報となります。氏名、年齢、男女、所属組織・部署・肩書き、住所、電話、メールアドレス、写真、ビデオ、録音も対象となります。個人情報保護法では過去6ケ月間に5,001人以上保有する事業者(個人情報取扱事業者)が法の対象となります。また東京都条例では、5,000人以下の事業者も対象としていることから、都内の印刷業者は全てが対象者であるということになります。
法律の施行を受けて、事業者がしなければならない点を挙げてみますと…
①利用目的の特定と制限 ②適正な取得 ③利用目的の通知 ④データ内容の正確性の確保 ⑤安全管理措置〔(1)組織的安全管理措置、(2)人的安全管理措置、(3)物理的安全管理措置、(4)技術的安全管理措置〕 ⑥従業者の監督 ⑦委託先の監督 ⑧第三者提供の制限 ⑨保有データの公表・開示・訂正・利用停止 ⑩苦情の処理以上が、法律で課せられた事業者としての義務です。
本法の違反には罰則が科せられることになります。但し、違反行為に対する罰則ではなく、主務大臣が是正の勧告を行い、それに従わない時に罰せられるとしています。
日常業務における顧客からの依頼による名簿等のあらゆる印刷物、各種データの集計、DM発送をはじめそれらを各社で取扱ルールを定め、安全を確保をしなくてはなりません。印刷業では直接個人顧客から受注するケースは店舗、通販業を営んでいる業者となりましょう。殆どの印刷物は本人からの直接でない取得です。しかし情報の処理・加工を業として営む限り、お預りする様々な個人情報・機密情報の保護を徹底することは当然の責任となっております。直接取得はもとより通常の印刷受注に個人情報としての“認識”を持たれ、細心の注意を払って戴きたいものです。
Q. 認定個人情報保護団体って何?
東京グラフィックスが認定個人情報保護団体ということで、以前、会員企業と消費者とのトラブル解決に一役買ったと聞きましたが、どんな活動をし、私たち会員にとってのメリットはどんなことですか?
A. 個人情報保護法では、個人情報取扱事業者の義務を規定しています(法第15 条~第36 条)。
内容は、利用目的の特定、同制限、適正な取得、利用目的の通知、データ内容の正確性の確保、安全管理措置、従業者の監督、委託先の監督、第三者提供の制限、保有データの公表・開示・訂正・利用停止、苦情の処理…となっています。ご質問の『認定個人情報保護団体』とは、保護法の第37 条以降で認定個人情報保護団体について定められております。 つまり、個人情報の適正な取り扱いの確保を目的とした民間団体を、主務大臣が認可し、消費者対応をするというものです。(現在、経済産業大臣認定の団体数は、全国で18 ございます。) ①業務の対象となる事業者の個人情報の取り扱いに関する苦情処理、②対象事業者の個人情報の適正な取扱いの確保に寄与する情報の提供、③その他、対象事業者の個人情報の適正な取扱いの確保に関し必要な業務を行います。 東京グラフィックスでは、プライバシーマークの付与審査機関と並行して、この認定保護団体に認定されていることで一層、会員企業の信頼と保護、ひいては消費者保護のアピール、官公庁と印刷業界との連携を築いていく一助となるよう努力しております。 対象事業者の利点としては、認定保護団体が第三者機関として関与することで迅速・円滑な苦情の解決が期待できる。認定保護団体から適切な情報が提供されることによって、適切な個人情報保護の取組が維持できる。但し、対象事業者は、以下の義務が課せられます。対象事業者は、認定保護団体から苦情の解決について文書若しくは口頭による説明、又は資料の提出を求められたときは、正当な理由がある場合を除き対応しなければならない(第42条)とされています。 個人情報の「本人」の利点としては、認定保護団体が第三者機関として関与することで迅速・円滑な苦情の解決が期待できる。安心して個人情報の開示ができる環境整備が期待できる。というものです。
実際の苦情・問い合わせでは、派遣労働者ご自身から、印刷通信販売、お子さんの卒園アルバムの掲載、DM・メール・FAXの誤送信、等々が寄せられ、当該事業者の方と苦情処理や消費者対応を続けております。 次号以降、当会会員企業における事故事例や採るべき安全対策についてお応えしたいと考えます。 なお、当会会員の皆様は、個人情報に関する「苦情受付」に際し、認定個人情報保護団体は、社団法人東京グラフィックサービス工業会である旨をホームページ等で公表なさってください。この件は、プライバシーマーク付与とは別のものであります。会員メリットとしては、すべての会員企業への消費者からの苦情に、東京グラフィックスがご一緒に対応いたします。