メールでの
個人情報の保護に関する法律(個人情報保護法)は、事業の用に供している個人情報によって識別される特定の個人の数の合計が少ない中小企業であっても、個人情報取扱事業者として法律上の義務を課しています。個人情報取扱事業者、その役員、従業員・元従業員が、その業務に関して取り扱った個人情報(全部または一部を複製し、加工したものを含む)を自己や第三者の不正な利益を図る目的で提供し、または盗用したときは1年以下の懲役または50万円以下の罰金に処せられ、法人も罰金に処せられます。
また、個人情報を漏洩すると、この対応や補償による経済的損失を受けるだけでなく、情報漏洩がコンプライアンス違反であるとして、遵法精神や情報管理への疑念が広がって企業のイメージダウンにつながり、顧客、取引先、金融機関等ステークホルダーの信用低下を引き起こし、営業収益が減少する事態となるおそれが生じます。
このように企業規模のいかんに関わらず、個人情報の保護を十全なものとし、漏洩防止の対策を講じなければなりません。しかし、個人情報が何であるのかが分からなければ対策を立てることはできませんので、まず個人情報の定義を紹介します。
個人情報保護法における「個人情報」は、生存する個人に関する情報であることが前提となります。死亡した個人の情報は保護の対象となりませんが、それが生存する個人に関する情報となれば個人情報保護法が適用されます。
「個人情報」とは、第1に、氏名、生年月日、住所、職業、続柄だけでなく、個人の身体、財産、職種、肩書等により特定の個人を識別することができる情報をいいます。氏名や生年月日でなくても、他の情報と容易に照合することができ、それにより特定の個人を識別することができる情報を含みます。例えば、メールアドレス自体が特定の個人を識別するものであれば個人情報となります。そうでなくても、電子メールソフトにおいて氏名とメールアドレスを一緒に記録する場合は個人情報となります。既に公開されている氏名・生年月日が他人に知られてもよいものであっても、いずれも個人情報保護法上の個人情報となります。映像や音声も特定の個人を識別することができるのであれば、個人情報に含まれます。電話中に音声により個人情報を取得することも個人情報保護法の適用対象となりますので、留意してください。
第2に、個人識別符号が含まれる情報も、個人情報保護法における「個人情報」です。個人識別符号は、例えば、指紋や顔面など特定の個人の身体の一部の特徴から当該特定の個人を識別する情報、または運転免許証やパスポートの番号など公的な番号として、個人に割り当てられた文字、番号や記号により特定の個人を識別する情報をいいます。
特定の個人を識別することができないように個人情報を復元不可能に加工した個人に関する情報である「匿名加工情報」や、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工した「仮名加工情報」は、個人情報には該当しません。
ところで、顧客や取引先等の個人情報を検索することを容易にするためパソコンで体系的に構成するだけでなく、例えば年賀状作成ソフトや電子メールソフトにおいてアドレス帳を作成する場合も、個人情報をデータベース化したことになります。名刺に記載されている内容を表計算ソフトで入力しただけでも同様です。紙に書かれた個人情報であっても、例えば顧客や取引先等の名刺を名刺ホルダーで整理したときは、個人情報をデータベース化したことになりますので、従業員の持っている個人情報や記録された媒体を検証した方がよいでしょう。
企業としては、たとえ数人の個人情報でも事業の用に供するのであれば個人情報取扱事業者になることを認識し、自ら事業の用に供している個人情報の有無、内容や範囲を把握するだけでなく、従業員や職場において顧客や取引先等の個人情報を取得しているかどうかを把握することが必要です。
