特集2

正林国際特許事務所　所長　弁理士
正林真之（しょうばやしまさゆき）　http://www.sho-pat.com/

コンプライアンス・プログラム作成のポイント

　皆さんの周囲では、昨年の 4月から施行された「個人情報の保護に関する法律（平成十五年法律第五十七号）」に合わせたように、巷には「個人情報保護」に関する本が多数出ており、また、いくつかのウェブページを見ても、さまざまな定型文や雛形が掲載されるようになってきています。しかし、便利だからといって、著作権の問題さえ解決すれば、これらをそのまま使ってよいものなのでしょうか。また、本当に役立つものはどんなもので、怪しげなコンサルタントに騙されないようにするにはどうすればよいのでしょうか？
　今回は、コンプライアンス・プログラムというマネジメントシステムを構築する際に、最も重要となる個人情報保護方針（プライバシーポリシー）の文書化というものの具体策について、皆さんと一緒に考えてみたいと思います。

基本スキーム（CPマトリックス）の作成

　コンプライアンス・プログラム文書は、代表者宣言、組織体制、管理者、その他多くの要素により構成されるものであり、規定が多岐にわたるものです。その作成にあたっては、全体を見渡す基本スキームを作成することをお勧めします。この基本スキームをここでは便宜的に「CPマトリックス」と呼ぶことにしますが、このCPマトリックスは、作成方針を明確にするものであると同時に、コンプライアンス・プログラム文書に含まれる規定の目次の役割を果たすものです。
　そこで、このCPマトリックスは、個人情報保護方針（プライバシーポリシー）を始点とし、そのすぐ下に個人情報保護規定を従属させ、その個人情報保護規定を「運用細則」と「計画」、「懲戒」に分類する形で体系化させるようにすると良いでしょう。換言すれば、個人情報保護規定を「現在」（＝運用細則）、「未来」（＝計画）、「過去」（＝懲戒）に分けて考えるのです。そして、その「現在」「未来」「過去」のそれぞれについて、個人情報の収集・利用・提供・預託・保管・廃棄の取り扱いを規定していくようにします。
　例えば、「個人情報の収集」であれば、情報主体から使用目的を明示した上で適切に個人情報を収集する手段を記載したものが「運用細則」（＝現在）であり、それを実践するためにいかなる教育をすべきかということが記載されたものが「計画」（＝未来）であり、先の「運用細則」が破られたとき（この例でいえば、使用目的を明示しないで情報主体から個人情報が収集されてしまったとき）にいかなる罰則が適用されるかを記載さしたものが「懲戒」（＝過去）ということになります。
　ここで考えねばならないポイントは、すべての個人情報は、それが個人情報である限り、「収集→利用→保管→廃棄」というライフサイクルをたどることになり、この 4つのステップのいずれかでトラブルが生じる、ということです。ですから、CPマトリックスの構築過程では、自分の会社が「収集→利用→保管→廃棄」の中で、どれに最も深く関連しているのかということを考え、創造力を働かせてそこで生じ得るトラブルを想定し、必要な規定を揃えていくことになるのです。なお、「安全対策」と個人情報保護のための「組織図」は、個人情報保護規定と並列させておくようにするとよいでしょう。

個人情報保護方針（プライバシーポリシー）の文書化のポイント

　同じく個人情報の保護をうたったものでも、個人情報保護方針（プライバシーポリシー）が他の事項（例えば個人情報保護規定など）と異なるのは、いったい何なのでしょうか。
　実は、これをきちんと認識していることが、個人情報保護方針（プライバシーポリシー）を文書化する上で、とても重要なことなのです。それは、個人情報保護方針（プライバシーポリシー）というものは、他の個人情報保護規定とは異なり、必ず公示しなければならない点にあります。例えば、会社で決められた個人情報に関する規定を破った者に対して、どのように罰則が科せられるかということは、規定の遵守を求める上で極めて重要なことではありますが、それを一般に公示する義務はありませんし、公示されないのが通例です。
　ところが、個人情報保護方針（プライバシーポリシー）については、公示しなければならないのです。例えば「ある個人」に対してアンケートをとるにあたって、個人情報保護法へのコンプライアンス（順法）を果たすためには、アンケート中に個人情報保護方針（プライバシーポリシー）を「通知文書」として、わざわざ書いておかねばならないのです。
　では、個人情報保護方針（プライバシーポリシー）に書かねばならないことは、一体何なのでしょうか。また、具体的にはどのように「記載」すればよいのでしょうか。

個人情報保護方針（プライバシーポリシー）の必須項目と注意事項

　「本人（＝個人情報によって識別される特定の個人）への通知」ということを考えた場合に必須となるのは、「利用目的の通知」と「第三者への情報提供の有無」です。そして、これらを草案するにあたっては、注意深くならなければなりません。ここでいう"注意深く"とは、簡単に言えば、どこかのウェブページや市販の本に載っている「ありきたりの定型文書」をそのまま持ってくるようなことをしてはならない、ということです。
　これは、もちろんそれが著作権法違反になるから、などという短絡的な理由によるものではありません。真の理由は、皆さんの属する会社に特有の事情が盛り込まれていない限り、たとえ立派で通有性のある模範的な定型文であっても、それを安易に使えば必ずや後で「信用失墜」という手痛いしっぺ返しを喰らうことになるからです。

　関係する法律は次の通りです

（個人情報の保護に関する法律第１８条第１項）

個人情報取扱業者は、個人情報を取得した場合には、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

（個人情報の保護に関する法律第２３条第１項）

個人情報取扱業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

　これを読んで、「グループ会社は別法人で法的に「第三者」に当たるから、この条文からすると、普段からグループ会社へ個人情報を提供している我々は違法なのか！？　大変だ、すぐに禁止しなければ」と現場に飛んで行って、「法律で禁止されているから今すぐやめてくれ！」というのは、早計です。そんなことをしたら現場から嫌われるだけ、損です。
　このようなときのために、個人情報保護方針（プライバシーポリシー）の内容を、現場に合った形にすればいいのです。つまり、皆さんの会社の現状を把握した上で、それが「違法」とならないように、"注意深く"個人情報保護方針（プライバシーポリシー）の記載（条項）を考えるのです。そうすれば、個人情報保護法の施行とプライバシーマーク取得のための施策が、自社以外の企業（例えばグループ会社）へ個人情報を提供する業務に支障をきたすものではない、ということになり、現場にも容易に受け入れられることでしょう。
　具体的には、個人情報保護方針（プライバシーポリシー）の中で、第三者への提供も利用目的であることを掲げ、本人の求めに応じて第三者への提供を停止する機能を持ち、提供する個人データの項目や提供手段、方法を公表している場合には、第三者（例えば、グループ会社）への個人情報の提供が許されている、ということは、知っておいて損はないでしょう。