日本経済新聞。
来年4月に個人情報保護法が全面施行になるのに備え、企業が持つ個人情報が流出した際に、法に触れるかどうかの基準を具体的に示す指針を公表した。(メモ)
対象 | 対象外 | |
名簿 | 氏名のほか住所や職業などを掲載したもの | 住所、氏名、電話番号だけで構成する市販の電話帳 |
名刺 | 50音順など体系的に整理されたもの | 他人がわからない独自の方法で分類した場合 |
メールアドレス | keizai_ichiro@meti.go.jpなど所属機関と名前がわかるもの | abc012@ispisp.comなど個人を特定できない場合 |
映像 | 防犯カメラの映像などで本人が識別できるもの | 画像が不鮮明などで本人が識別できない場合 |
アンケートの回答用紙 | 住所や氏名などに基づいて分類したもの | 未整理でまったく分類していない場合 |
先日ようやくプライバシーマークを申請した。プライバシーマークの取得は、「取得」そのものよりもその取得のプロセスを通じて、スタッフ全員が個人情報やセキュリティといったことに関心を持ち、勉強するということのほうを重要だろう。これは「資格」と同じようなものだ。資格を取得するよりも、そのプロセスが大事なのだ。プライバシーマーク取得のプロジェクトメンバーは、スタッフへのセミナーや勉強会など、かなりの労力をそこにつぎ込んでもらってる。そのおかげもあって、多分、個人情報についての意識や関心、知識はずいぶんと向上したし、必要に迫られてだけれども管理もチェックが効くようになってきたのではないかと思う。
時間もお金もずいぶんかかったけども個人情報保護の考え方が社内に浸透しつつあるというのは、良い投資だったなと思う。
社内勉強会では、メールアドレス単体は個人情報かどうかという判断はグレーゾーンであったが、会社などのメールアドレスはほとんどが個人名@会社のドメインで、個人を特定することが可能であるため個人情報であろう、という考えに基づいていたけれども、経済産業省が発表したこの指針も同じよな感じだ。個人を特定できない場合は、個人情報保護法の対象とはならない。