行政 : NPOも対象、4月から個人情報保護法
一昨年5月に成立した個人情報保護法が、いよいよ今年4月1日から施行される。この法律の対象となるのは、5000人以上の個人情報が含まれるデータベースを取り扱う事業者。個人、団体、法人格の有無を問わず対象となるため、大規模なデータを所有するNPOには、この4月から個人情報保護の対策義務が生じることとなる。
「個人情報保護法」の正式名称は「個人情報の保護に関する法律」。
昨今のコンピューターの普及によって個人情報のデータ化やコピーが容易になったことや、インターネットの発達により電子商取引が一般化したことで、個人情報の流出や悪用による消費者被害が急増しているのに対応するために制定された。
2003年5月に成立・公布され、2005年4月1日より施行される。
個人情報保護法では、プライバシーの権利擁護と消費者保護の観点から、「5000名を超える個人情報データ」を所有する事業者を「個人情報取扱事業者」として、データの適正な収集、管理義務を求めている。
ここでいう「個人情報データ」とは、特定の個人情報を体系的に構成し、簡易に検索できるよう加工したものを指し、コンピューターのデータベースはもちろん、索引をつけて整理された書類なども含まれる。
また個人情報は「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものを指す」とされており、特定の個人を識別できない個人データは適用を受けない。
さらに、この法律は、4月から新たに収集する個人情報に対して適用される。
また、「個人情報取扱事業者」の対象となる者は、営利・非営利、法人格の有無、団体・個人を問わず、5000名を超える個人情報データを収集し、事業に用いている者(一部除外規定あり)となっている。
当然、NPOも対象となる。
この法律によって個人情報取扱事業者となる場合は、個人情報データが適正に取り扱われるよう、管理・説明する義務が生じる。
内閣府が公表している「個人情報の保護に関する基本方針」では、個人情報取扱事業者が特に重点的に取り組むべきこととして、次の3つの項目があげられている。
- プライバシーポリシー(情報収集・利用・管理に関する規則)などの公表
- データの安全管理・責任体制の確保
- データを取り扱う従業者への教育・監督
漏洩など不適切な個人情報の取り扱いが発見されたにも関わらず、事業者が改善勧告や命令に従わなかった場合は、懲役や罰金などの罰則がある。
ただし、取り締まり法律というよりも、全体的には、企業や団体に対して、適正な情報処理に対する法的責任を定めることで、事業者の意識を啓発し、情報の取り扱いへの注意を促すとともに、個人情報保護の取り組みを、組織の信頼性担保の一つの基準として示して、消費者に自衛を求めていこうとする内容となっている。
現在、4月の施行を前に、事業者に該当する団体を中心として、個人情報の取り扱いガイドラインを定めるなどの動きが広がり始めている。NPO法人向けの学習会なども徐々に開催されるようになってきており、今後、NPO法人の対策も広がっていくことが予想される。
個人情報保護法の概要、および全文は、以下の内閣府ホームページで読むことができる。
- 概要
http://www5.cao.go.jp/seikatsu/kojin/gaiyou/ - 全文
http://www5.cao.go.jp/seikatsu/kojin/houritsu/
