個人保護に関する基本法と、民間事業者を対象とした一般法の二重構造

情報化が急激に進んだ現代社会において、コンピュータの利用は企業活動にとって欠かせないものとなっています。そして、そのネットワーク上には、大量の個人情報が行き来しています。これらの個人情報は、私たちの生活の様々な場面において活用され、利便性を供給してくれています。

しかしその一方で、個人情報が企業の外部に流出したり、不正な目的のために第三者に売買されるなどの事件が相次いで起こっています。このような誤った方法で利用されると、プライバシー保護の観点からも重大な問題となります。このようなことから、2003年5月に「個人情報の有用性を配慮しつつ、個人の権利利益を保護する」ための個人情報保護法が制定されたのです。

この法律は全6章および附則から構成されており、基本法と一般法について言及しています。第1章から第3章が基本法にあたる部分で、公的部門・民間部門双方を対象とした内容になっています。公的部門を対象として、個人情報の取り扱いを定めた法には、行政機関個人情報保護法、独立行政法人等個人情報保護法、地方公共団体等の条例があります。

一方、第4章から第6章が一般法で、民間事業者を対象としています。民間事業者対象の部分では、個人情報を取り扱う上での最低限の義務が記されています。

1. 利用目的の特定とその制限
2. 適正な取得と本人への通知または公表
3. データ内容の正確性・最新性の確保
4. 適切な安全管理措置、従業員・委託先の監督
5. 第三者への提供は本人の同意が必要
6. 本人への開示請求、訂正、利用停止、消去

簡単に用語解説をしますと「個人情報」とは、氏名、生年月日、住所、性別、血液型、身長、体重、画像、音声などで識別できるもののほか、身体、財産、社会的地位などの事実や評価を現す情報、DNA（遺伝子情報）なども含まれます。また、特定の個人情報を電子計算機（パソコンなど）を用いて検索できるように体系的に構成したものを「データーベース」といいます。

「個人情報取扱事業者」とは、データベース等を事業の用に共している者（国、地方公共団体等のほか、識別される個人の数が過去6ヶ月以内のいずれの日においても5000を超えないもの除く）と定義されています。

個人情報保護法の定める義務に違反し、この件に関する主務大臣の命令にも違反した場合、6ヶ月以上の懲役か30万円以下の罰金に処せられますが、この規定は経営者と管理者を対象としており、個人への罰則がないため、抑止力に欠けるという指摘があります。

実際には、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能を要求している「不正アクセス防止法」や電気通信事業者に適用される「電気通信事業法」など、別の法律を適用して、個人への罰則を実施していますが、こうした点でも混乱を招いています。

また、企業が受けるペナルティも、現在ではそのほとんどが文書による指導となっており、当初の混乱は解決しているとはいえません。

法令、国が定める指針その他の規範

個人情報保護法以外にも、事業者の所属する業界が遵守しなければならない個人情報保護に関するさまざまな法律が存在しています。例えば「労働安全衛生法」の第104条（健康診断に関する秘密の保持）や「職業安定法」の第5条の4（求職者等の個人情報の取り扱い）にも個人情報保護に関する条文が規定されています。そのほかの代表的な法律には以下のようなものがあります。

1. 労働派遣事業の適正な運営の確保及び派遣労働者の就労条件の整備に関する法律
2. 確定拠出年金法
3. 金融機関等による顧客等の本人確認等に関する法律
4. 割賦販売法
5. 貸金業の規制等に関する法律

これらに加え、「認定個人情報団体が定めた個人情報保護指針」、「事業者が加盟する団体のガイドライン」など、業務上において遵守しなければならない法令や指針などに何があるのかを特定したら、それらを管理台帳や一覧表などにまとめておき、従業員が必要なときに参照できるようにしておく必要があります。

また、特定した法規制などが改正されていないか、追加するべき法規制が新規に発行されていないかを定期的に確認し、作成した管理第兆党を常に最新の状態に維持しておくことも重要です。青瀬手、法規制の改廃や追加があった場合には、新たに特定された遵守事項を個人情報保護マネジメントシステムに取り入れ、整合を図る必要があります。