|
<< FAQ一覧に戻る
Q3-33.当社は個人情報取扱事業者に該当しておりますが、個人情報保護法20条21条にて要請されている個人データ・保有個人データに対する安全管理措置を行っていれば法律上の義務を果たしており、個人情報に対しては安全管理措置を講じる必要がないと法律解釈してよろしいでしょうか?
個人情報についての安全管理措置は個人情報取扱事業者は個人情報保護法上、要請されていないと解してよいでしょうか?個人情報の漏洩を想定した場合、当該情報が個人情報であるため、当社は法的責任を取る必要がないといえますでしょうか?
法は、個人情報、個人データ、保有個人データと3つの言葉を使い分けています。
15条〜18条、31条 →個人情報
19条〜23条 →個人データ
24条〜30条 →保有個人データ
正確性の確保、安全管理、従業者の監督、委託先の監督、第三者提供などは、個人データに対する個人情報取扱事業者の義務として規定されています。したがって個人情報に対して、これらの義務を負う必要はないように見えます。
果たしてそうでしょうか?当該データが個人データではなく個人情報であることをどのように決めるのでしょうか?安全管理義務を負わない。個人データとしない。個人情報故、管理しないということを説明告知した上で15条から18条の義務を果たすことは可能でしょうか?そのような扱いがされることがわかっている状態で人はその事業者に個人情報を提供するでしょうか?
実際は「個人情報=個人データ」の関係で管理することをお奨めします。定義上個人情報であるからといって漏えいすれば、当然ですが個人情報漏えい事件です。
「個人情報」漏えい事件では、個人情報保護法上の安全管理義務を問われることはありませんが、民事損害賠償は個人情報、個人データを区別して扱いません。
企業としてのリスク管理の観点で考えれば、個人情報状態のものは早急に溶融やシュレッダー廃棄し、漏えい事件事故とならないようにすべきです。一定期間保持するのであれば、それは個人情報であっても、個人データとして安全管理すべきです。
関係する他の法令(不正競争防止法、不正アクセス禁止法、刑法、債権法、税法、商法、・・・)で求められる義務やリスクを勘案した上で個人情報、個人データの取り扱いを決められることを強くお奨めします。
<< FAQ一覧に戻る
|
