個人情報 に関するニュースで、盗難とか漏えいとかよく耳にしますが、 個人情報保護はそれらを防ぐ 安全管理の措置 だけではありません。 覚えのない会社から不愉快なダイレクトメール(DM)が来たり、 電話で勧誘があったりなど、 知らないうちに 個人情報が伝播、 利用されることを防ぐことにあります。 「保護」という意味は、“著作権保護”に近いかもしれません。 ただ、個人情報について「所有権」などを主張すると、 法的にはあまりよろしくないようです。 しかし、個人情報は該当本人に大いに影響があるので、 開示・訂正・削除・利用拒否などの権利について 「自己情報コントロール権」などという風に表現されているようです。
OECD 個人情報保護8原則 に沿えば、 個人情報保護とは基本的に、
ウェブでのクレジットカード番号の入力では SSL が必須だと思う人がほとんどかと思いますが、 住所や氏名などの個人情報の基本情報入力の場面では、 あまり気にしない人もいるかもしれません。 よくニュースでは、 「(Bcc: のし損ないによって)メールの Cc で個人情報が漏えいした」 など報道されてますが、 そもそも個人によって「個人情報」に対する 考え方が異なるため、 あらかじめ事前に同意を得て、合意を得た使い方をする、 という対処法になるかと思います。 また、中にはメールアドレス自体が漏えいすることよりも
個人情報に関していろんな考え方を持っているので、 “選択肢”を与えることも重要かと思います。 そのために、事前にしっかりと同意を得る告知をし、 了承した人だけから個人情報を収集(取得)することになるかと思います。 SSL に関しても、 一部の携帯電話など、SSL 通信ができない機種もあるようですから、 事前にリスクを含め十分な説明をし、それらに対して同意があれば、 SSL を使わないことも可能になるかと思います。 また、ウェブでのやりとりでは Cookie などのウェブバグ(ウェブビーコン)についても同様かと思います。
個人情報保護法(保護法) には、 電話番号、電子メールなど、個々のデータに対して、 「個人データ」という定義がなされました。 個々のデータだけでは個人情報にならなくても、 マッチング されて一つの情報になったら、 重要な「個人情報」になってしまうこともある、 ということになるかと思います。 つまり、個々の「個人データ」単体ではあまり大したことなくても、 マッチングされて連結した個人情報になった場合には、 機微情報(センシティブ情報) になっていまう可能性もあるかもしれません。
保護法の制定前からよく 保護法と JIS Q 15001/プライバシーマーク制度の関係 について聞かれました。 これらの関係を環境マネジメント(ISO 14001)を例に考えてみると、 国や自治体の排水基準などを遵守することだけではなく、 +α として、 どれだけ地球環境にやさしいかをアピールする目的もあるかと思います。 企業にとって個人情報保護とは、 ただの 法令遵守 だけではなく、 “顧客満足(CS)”の一部として、消費者の身になって個人情報を 今流行の「1to1サービス」的なやり方になってくるかと思います。
そもそも、「個人情報保護」とは、 ネットワーク社会で情報の複製や伝播が容易なことから、 “プライバシー侵害”などの危惧が懸念され、 ある程度の制限 をかけようと動きがあり、 1980 年に OECD(経済協力開発機構) で理事会勧告が策定されました。
ここで「プライバシー保護」と「個人情報保護」は厳密に言うと違っていて、 JIS Q 15001 で言うところの 「機微情報(センシティブ情報)の取り扱い禁止の原則」 の部分が「プライバシー保護」に当てはまるかと思います。
上記 OECD ガイドライン の第2部 7〜14項が、 「OECD 個人情報保護8原則」と呼ばれています。 JIS Q 15001の基本原則になってますし、 個人情報保護法 の“5つの理念”でもある程度反映されてます。