6、 適正・安全な管理に関するルール
- 個人データ内容の正確性の確保(19条)
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。
これは、不正確な情報や古い情報が利用されると、個人が不利益を被るからでしょう。
で、どんな不利益があるの?ってことですが、そこは想像力を働かせましょう。現実に起こったことでもかまいません。
例えば、ちゃんと支払いをしていたのに、実は滞納していたという誤った情報が利用されると、クレジットカードの審査に落ちたりするんですね・・・。
私の場合は、滞納したことがあるので、審査に落ちても文句は言えませんでしたが・・・。
他にも、補導や逮捕歴がないにもかかわらず、あるという誤った情報が利用されれば、就職試験で不採用となる可能性もあります。
大手の企業ほど信用調査はあるのではないでしょうか。
私が大企業に就職できなかったのはきっと、そのせいだ!と思いたい・・・。
また、以前の情報が利用されて迷惑を被ったことはないでしょうか。もう退会したのに、再度購入用紙が送付されてきたとか・・・。
もう買わないっつーの!
具体的には、こんな不利益があるので、19条のような規定が置かれているくらいに思っておけばいいのではないでしょうか。
- 安全管理措置(20条)
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
要するに、個人情報についてずさんな取扱は許しませんよ!ということですね。
個人情報についてずさんな取扱がなされたら、どうなるかについては容易に想像がつくと思います。
もっとも、必要かつ適切な措置を講じていれば、制裁の対象にはなりません。
なお、19条の場合と異なり、本条が「講じなければならない」と義務の形で規定しているのは、情報の漏洩などについては、個人情報取扱事業者の支配下にあるからだと思います。
これに対して、個人情報の内容は常に更新されうる性質があるので、個人情報は、必ずしも正確でなかったり、古いものだったりしますが、それは個人情報取扱事業者の支配下にありません。
個人がいちいち個人情報取扱業者に引越しの連絡とかしませんからね。
これを個人情報取扱事業者の方で把握しろというのは困難だと思います。
以上の差が、19条と20条の規定の仕方の差になって現われているのだと思います。 - 従業員・委託先の監督(21・22条)
個人情報取扱事業者と従業員、委託先は、法的に見れば別個の主体です。
しかし、20条と同じように、個人情報取扱事業者についてなんらかの措置をとることが可能であるから、21・22条は制定されたと考えられます。
21・22条があるので、個人情報取扱事業者は、「いやいや、私のせいではないよ」とは言えない事になります。