■ＮＰＯインタビュー■

個人情報をまもるためにＮＰＯが考えなければならないことは？

---

　名前や住所、電話番号といった個人情報を不正に扱われないようにするための法律「個人情報保護法」が今年の四月一日から全面施行されました。これによって個人情報を持つ企業や団体などに、個人情報の漏洩や不正取得を防ぐためのさまざまな義務が課せられることになりました。従わない場合には罰則もあるとか。今回のおうみネットでは、個人情報保護の考え方とＮＰＯが対応すべき事柄について、ＮＰＯ法人大阪ＮＰＯセンター理事で弁護士の三木秀夫さんに伺いました。（事務局　笹山衣理）

---

■三木秀夫さん　プロフィール 弁護士。三木秀夫法律事務所所長。現在、大阪大学法学部非常勤講師、日本ＮＰＯ学会理事、ＮＰＯ法人大阪ＮＰＯセンター理事、消費者ネット関西常務理事などを務める。著書に「ＮＰＯ法人の設立と運営Ｑ＆Ａ」（共著）など。

■ 個人情報保護法で保護される個人情報とはどういうものなのでしょうか。 　同法でいう個人情報とは「生存している特定の個人を識別できる情報」と定義されています。名前、住所、電話番号、所属団体はもちろん、その人のくせや病歴なども個人情報です。生存者情報ですので、死亡した人にかかる情報は、この法律で保護される個人情報から省かれます。 　よく個人情報は「プライバシー」と混同されることがありますが、プライバシーは個人の知られたくない情報に限定されるのに対して、すでに公表している情報、人に知られてもいい情報であっても、個人に関する情報はすべて個人情報となります。例えば、私の名前や職業、事務所の所在地は、ホームページで公表していますのでプライバシーではありませんが、個人情報にはなるわけで、この法律で保護される対象となります。 法律では、個人情報取扱事業者に対してさまざまな義務を課していますが。 　まず、個人情報を扱うときには利用目的を特定しなければならないということです。団体で取得した個人情報をどのように利用するのか特定し、その目的以外に使用してはなりません。 　それから、適正な取得義務というのがあって、不正な方法で情報を取得してはいけないということです。当たり前のことですが、こっそりデータを持ち出したりするのはダメだということです。 　そして、本人から書面等で直接に情報を取得するときは、必ず利用目的を通知しなければなりません。例えばセミナーに出席すると、受付で名前と住所を書いてくださいといわれることがありますが、この情報を何のために使うのか、例えば後でいろいろ案内を送るためだとか、目的を示す必要があります。本人から直接に取得しない場合に関しても、あらかじめ利用目的を公表している場合を除いては、取得後に本人に通知・公表が必要です。ホームページなどであらかじめ公表しておくのがいいでしょう。 　あと、苦情や問い合わせがあったときに対応しなさいという義務があります。 　個人情報はさらに、「個人データ（注１）」「保有個人データ（注2）」に分類されますが、これらにあてはまると、データ内容の正確さに努めなさいとか、安全管理措置を講じなければならないとか、どういう情報を持っているのか公表しなければならないとか、いろんな義務が生じてきます。（図） ＮＰＯも個人情報取扱事業者として こういった対応が必要になるのでしょうか。 　ほとんどのＮＰＯが、法律で規定される個人情報取扱事業者からは外れると思います。というのは、個人データを5千件以上保有している団体が、法律でいうところの個人情報取扱事業者となるわけでして、これにあてはまるのはかなり事業規模の大きい団体ですよね。ただ、サービス対象者の多い福祉ＮＰＯや、書籍の定期購読者をたくさん抱えている団体などであてはまるところはあるでしょう。 では、ほとんどのＮＰＯはあまり気にしなくてもよいのでは？ 　そうでもないと思いますよ。個人データ5千件というのは、あくまでも行政が監督するために引いたラインなのであって、個人情報への意識が浸透して、その保護が社会ルールになってきたと言える今日では、社会のルールを無視するような団体は、やはり社会的信用を失うことになります。外部の支援者や資源によって活動するＮＰＯにとって、社会的信用を失うということは避けなければなりませんよね。 　また、仮に個人情報取扱事業者でないからこの法律の適用がないとしても、個人情報は本人にコントロール権があるという考え方が主流になってきたことから、漫然となんの対策もしていないで個人情報の漏洩・流出があれば、過失責任を問われて、本人から損害賠償を請求されることもあり得るわけです。これは営利・非営利を問わず、すべての事業者が十分注意すべきことだと思います。 ＮＰＯが特に気をつけなければならないことはありますか。 　ＮＰＯは企業と比べて開かれた組織形態であるので、普段いろんな人が出入りします。専従スタッフもいれば、ときどきボランティアで関わる人もいたりしてね。たまにしか来ない人に適正に対応させるのは難しいので、情報にアクセスできるメンバーを特定の人に決めておくというのがいいでしょうね。 　保有個人データについては、特に理由がない限り、本人から開示の求めがあれば、開示しなければならないことになっています。ただ、「なりすまし」という問題がありまして、他人が本人を偽って請求してきた場合につい教えてしまい、あとでトラブルが起こっているケースがあります。 　開示請求があったときは勝手に判断しないで、責任者が対応するようにするとか、本人確認の方法など、マニュアルを作っておくのも対策として有効でしょう。 完璧な対策を講じるのはたいへんですね。 　情報の漏洩・流出の危険性をゼロにするのは、不可能でしょう。パソコンで作業するときに、少し席を離れる度にいちいちパスワードを入れなければならないように設定するとか、実際にしようと思ってもたいへんです。でも、個人情報の保護を意識することは大切だと思います。少なくとも、机の上に名簿やカルテを置きっぱなしとか、そういうことは、意識することで防げるでしょう。 　そして、個人情報を適正に管理する最も有効な方法は、不必要な情報は持たないということです。取得した情報についても、目的のないものは消去していく。一定の期間が経過したら自動的に消去していくようなしくみを持つことも一考です。情報を持たなければ漏洩の心配もなく、管理の労力やコストもかかりません。もはや個人情報を持つことは、財産ではなくリスクであると考えるべきでしょう。 ありがとうございました。 （図） ■個人情報保護に関する用語解説 【個人情報保護法】 　「個人情報の保護に関する法律」のこと。個人情報の適正な取扱を図るため、国及び地方公共団体の責務・施策や個人情報取扱事業者の義務等について定めています。法律は2003年5月30日に施行されていましたが、民間の個人情報取扱事業者の義務等にかかる部分は2005年4月1日に施行されました。 【プライバシーポリシー】 　事業者が、自らの個人情報の取り扱いの際の基準・方針を定めたもの。個人情報保護方針ともいいます。個人情報保護法で作成、公表を義務づけているわけではありませんが、公表することで社会の信頼を得やすくなる効果があるため、多くの事業者がホームページなどで公表しています。方針に定めた内容について責任が生じることになります。

三木秀夫さんおすすめの本 「これだけは知っておきたい　個人情報保護」 岡村久道＋鈴木正朝著　日本経済新聞社　525円 　個人情報保護法が求める義務や実務上の注意点について、75ページのポケットサイズ判に凝縮。フルカラーで読みやすく、これだけは知っておきたいというポイントに絞ってあるため、入門編としておすすめです。

「市民活動・ＮＰＯのための個人情報保護講座」 淡海ネットワークセンターでは、三木秀夫さんを招いて「市民活動・ＮＰＯのための個人情報保護講座」を開催します。参加を希望される方はセンターまでお申し込みください。 　　日時：８月26日(金)13:30〜16:00 　　場所：草津市立市民交流プラザ（フェリエ南草津５階）

おうみネット第４８号表紙へ＞＞　　 バックナンバー＞＞