森 亮二(直江浅井法律事務所 弁護士)
1.
今日では、個人を顧客とするほとんどの企業が顧客に関する情報をデジタル化して管理するようになりました。また、インターネットを利用した広告・販売が広く普及したため、顧客ないし潜在的顧客に関する情報の収集は、以前よりはるかに容易となりました。企業は、個人情報の収集・管理を非常に簡便な方法で行うことができるようになっています。
他方で、企業にとって個人情報が非常に「価値」の高いものであることも広く認識されるようになりました。
例えば、自社で新たに販売する商品のDMを郵送しようとする場合、無作為に郵送するよりは、以前に自社の同種旧タイプの商品を購入したことのある顧客リストに宛てて郵送する方が、はるかに宣伝効果が期待できるでしょう。さらに従来の取引の経緯から、これらの顧客の細かい趣味や支払能力まで分かっていれば、新商品に興味を持ちそうで、かつ支払能力に問題のない顧客に対して、重点的に営業活動を行なうことができるでしょう。
2.
個人情報を戦略的に活用することは、企業の収益向上にとって重要な課題です。しかし、この点に熱心な余り、法律を初めとする世の中のルールを逸脱してしまっては、元も子もありません。個人情報の不適切な扱いは、場合によっては犯罪にもなり得ます。そこまでいかなくとも、個人情報の不適切な扱いが明らかになれば、企業の社会的信用は失われ、却って顧客を失うことになるでしょう。今日の消費者は、自己の個人情報がどのように収集・管理・利用されるかについて、決して無関心ではないことに注意すべきです。適切な個人情報の保護を行なわない企業は、やがて市場によって淘汰されることになるでしょう。
3.
では、企業は、個人情報保護についてどのような注意をすればよいのでしょうか。おおまかには、次のように考えてください。
(1)個人情報の収集は、(ア)適法かつ公正な手段により(イ)情報主体の同意を得たうえで行う。
(2) 保管する個人情報を利用目的に必要な範囲で正確、完全かつ最新なものに保つ。
(3) 個人情報を利用する場合には、収集前に利用の目的を明確にし、その目的以外には利用しない。
(4) 目的外に利用する場合には、情報主体の同意を得る。
(5) 個人情報の保管に際しては、適当なセキュリティーを講じる。
(6) 個人情報を収集・保管している事実およびその目的等を公表する。
(7)個人情報の主体は、(ア)保管の有無を知り(イ)保管される情報の中身を知り(ウ)保管される情報の削除・修正ができる。
これは、1980年にOECD(経済開発協力機構)が採択した「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告(8原則)」から抜粋・要約したものです。OECDの勧告は、20年も前に採択されたものですが、その後の各国の法律やガイドラインの多くは、この内容に沿ったものになっています。
1990年頃から、大企業の顧客情報が流出する事件が相次ぎました。その多くは、個人情報の保管に関するセキュリティーが不十分だったことに起因するものであり、上記(5)の点が不十分であったと評価できます。また、名簿業者からDM送付用に名簿を購入したりすることは広く行われてはいますが、適法かつ公正な手段による収集ではないとして、上記(1)の配慮を欠くものといえるでしょう。
4.
一般の事業者に関する公的な準則・ガイドラインとしては、通産省の「民間部門における電子計算機処理に係る個人情報保護に関するガイドライン」があります。
(金融機関、電気通信事業者等には、それぞれ固有の法律またはガイドラインがあります。)
また、この通産省ガイドラインをベースに作成された工業規格「JIS Q 15001」があります。JIS(日本工業規格)は、ご承知のとおり、元々は製品に関する規格ですが、JIS Q 15001は組織体のマネジメントシステムに関する規格となっています。
JIS Q 15001は、(1)ないし(7)のような個人情報保護の要請を組織体において実現するために具体的に必要となる事項を定めています。
企業は、せっかくコストをかけて個人情報の保護を図るわけですから、そのことを堂々と宣言したいところです。「当社はJIS規格に準拠した個人情報の保護を実施しています」と言えば、ある程度の信頼感を与えることができるしょう。しかしながら、自分で宣言しているだけでは、本当にきちんとやっているのかどうか分かりません。
この点については、「プライバシーマーク」の制度があります。これは、財団法人日本情報処理開発協会(JIPDEC)という団体が、JIS Q 15001に準拠して個人情報保護を適切に行っている企業に対して「プライバシーマーク」の使用を認めるというものです。
プライバシーマークを取得することは、企業が適切な個人情報保護を行っていることについて「お墨付き」を得ることです。プライバシーマークを掲げれば、個人顧客に対して大きな信頼感を与えることができるでしょう。
5.
これまで、民間の一般事業者を対象とする個人情報の保護に関する法律はありませんでした(2000年9月現在)。しかし、2001年には、民間部門を含む包括的な個人情報保護基本法が成立する予定です。「報道の自由」との抵触が議論されるなどして話題になっていますから、すでにご承知の方も多いでしょう。
法案の詳細は未定ですが、本年6月に政府の「個人情報保護法制化専門委員会」がまとめた基本法の下敷きとなる「個人情報保護基本法制に関する大綱案」(中間整理)では、個人情報の取り扱いに関する「利用目的による制限」や「透明性の確保」などの5つの基本原則や、「事業者が遵守すべき事項」の11項目の規律が定められています。今後も、動向には注意すべきですが、これまでJIS規格やプライバシーマークについて十分に検討を行ってきた企業にとっては、慌てる必要はまったくないでしょう。
6.
情報のデジタル化とインターネットの普及によって情報の流動性が極限まで高まった今日において、個人情報保護に対する関心が高まることは、いわば当然です。個人情報の適切な管理は、すべての企業にとって「諸刃の剣」です。杜撰な管理の結果、顧客情報が流出して信用を喪失する可能性がある一方で、情報主体の同意の下に適切な利用を行って収益を飛躍的に向上させることも可能なのです。
「諸刃の剣」を巧みに使いこなされることを心からお祈りしています。
直江浅井法律事務所
昭和40年生まれ
平成2年東京大学法学部卒業
平成9年弁護士登録