TOP情報セキュリティ> 「U」の扱いについて
個人情報保護法
常識として知っておきたい個人情報保護法

第6回:利用目的の通知とデータ管理
著者:日本ヒューレット・パッカード  佐藤 慶浩   2006/8/25
前のページ  1  2  3
「U」の扱いについて

   もっとも保守的な決め方は、「U」の場合には利用しないというものだ。その場合は事前同意が必須になる。利用できる機会が減るが、利用を希望していなかった人からの苦情はほとんどなくなるはずだ。

   それとは逆に利用することもできる。個人情報保護法では、公表または通知した利用目的の範囲内であれば、事前同意を要件にしていないので「U」の人の個人情報を利用して製品案内などをすることは、法律上は問題ない。

   ただしこの場合には、実際には利用を希望していなかった人からは利用停止の依頼を受ける場合があるだろう。その場合には値の「U」を「N」に更新する必要がある。法律上、値が「N」の場合の利用停止は努力義務であり必須ではないが、一般常識として、製品案内を止めてほしいというお客様に対して止めないわけにはいかないだろう。

   企業にとって重要なのは、このようなデータベース内で如何に「N」の値を発生させないかである。

顧客満足として考える

   ここで「Y」は顧客の満足であり、「N」は不満であると考えるとわかりやすい。つまり「N」を避けて「Y」を増やす施策は、お客様への情報提供における満足度の向上そのものである。お客様にとって有益な情報を提供できれば満足度は向上し、不要な情報を送れば満足度は下がり、「自分の個人情報をもう利用するな」とお叱りを受けることになる。

   また「N」になったレコードはそれ以降利用ができなくなるため、個別の連絡で「Y」にすることができなくなるという点にも注意が必要だ。

   このとき属性ごとに「U」の扱いを変えることができる。例えば、電話やFAXなどの相手方に負担のかかる利用については「U」を利用禁止として、ダイレクトメールについては「U」を利用可能とする組み合わせも有効である。

   このデータベースは、事前同意を得る場合のみに必要だと思うかもしれないが、そうではない。同意を得ずに取得した個人情報についても、その後本人からの利用停止の要求などを受けた場合にその対応に努めるとするなら、すべての属性の値を「U」からはじめることで、ここで紹介したのと同じような属性の管理をする必要がある。

   そう考えると、事前同意を得ずに利用目的だけを通知することで、情報を希望していない人に情報提供することや、後から苦情処理で「U」を「N」に更新する手間のことを考えれば、最初に「Y」か「N」の確認ができるのであれば確認した方がよいだろう。

   今回は「Y、N、U」の値を持つような属性だけを紹介したが、実際にはその個人情報を「いつ、どうやって取得したか」を記録する属性も設ける方がよい。なぜなら企業でいくら「Y、N、U」の値を管理しても、当の本人の記憶があいまいで誤解を受けることもあるからだ。

   そのようなときに「いつ、どうやって確認したか」を説明できれば、誤解が拡大することを軽減できる。なお仮に記録が正しくても、本人の記憶を優先するのがビジネスのマナーであることは言うまでもない。


最後に

   個人情報保護法に対応したデータ管理においては、情報セキュリティ対策ばかりに着目することが多い。しかし特定した利用目的の範囲内で個人情報を利用するという要件を遵守するためには、取得する際に利用目的に関する文言を管理し、取得後は利用目的の属性と値の管理をする必要がある。

   今回はデータベースとして説明したが、ここで紹介した程度のことであれば表計算ソフトでの管理もできるので、利用目的の属性管理については必須のこととして、企業における個人情報保護の対策で役立てていただきたい。

   その他に、本連載では「第4回:社内ガイドラインの作成」で無償ガイドラインの紹介や「第5回:コストをかけないセキュリティ対策」など、お金をあまりかけずにできることを主として紹介してきた。これらについても、必須の対策として取り組んでいただくとよい。

   本稿に関する追加情報があれば、
筆者のブログ(http://yoshihiro.cocolog-nifty.com/)などでも提供するので参考にしていただければ幸いである。また、筆者へのご意見があれば、同様にブログにてお知らせいただければ幸いである。

   最後までお読みいただきありがとうございました。

前のページ  1  2  3


日本ヒューレット・パッカード株式会社  佐藤 慶浩氏
著者プロフィール
日本ヒューレット・パッカード株式会社   佐藤 慶浩
1990年日本ヒューレット・パッカード(株)入社。OSF/1、OSF/DCE、マルチメディア、高可用性、インターネット技術支援を経て、米国にてセキュリティ製品の仕様開発に携わった後、情報セキュリティのコンサルティングに従事。また、国内初のインターネットバンキングでトラステッドOSを導入、インターネットトレーディングシステムでは性能改善のためユーティリティコンピューティングも設計。2004年からは、個人情報保護対策室長を務める。社外では、ISO/IEC国際標準セキュリティ委員会委員、情報ネットワーク法学会理事等の他、情報セキュリティ対策や個人情報保護についての講演をしている。現在、内閣官房情報セキュリティセンター参事官補佐を併任。
詳細はコチラ。
http://yosihiro.com/profile/


INDEX
第6回:利用目的の通知とデータ管理
  個人情報のデータ管理
  利用目的文言の分類方法
「U」の扱いについて