お役立ちコラム
法律の「しなければならない」「望ましい」の違いは分かりますか?
個人情報保護法にはガイドラインという補助本が出ています。
ガイドラインは、事業者が個人情報の適正な取扱いを行う活動を支援するヒントと、支援により事業者が講ずる措置が適切で有効に実施される助けになることを目的に公開されています。
事例も豊富にのっていることは無論なのですが、法律本文の解釈説明も出ていますので、ぜひ活用してください。
重要なことをひとつ理解しておく必要があります。
ガイドラインで「しなければならない」「してはならない」と記述している項目は、これらに従わなかった場合、法違反と判断される可能性があります。
一方、「努めなければならない」、「望ましい」等と記述している項目は、これらに従わなかったことで直ちに法違反と判断されることはありませんが、事業者の特性や規模に応じ可能な限り対応することが望まれます。
この「事業者の特性や規模に応じ可能な限り対応することが望まれる」がクセモノです。
「努めなければならない」、「望ましい」とあるからやらなくてもいい、という理解は誤りです。
漏えい事故を起こした場合の保護委員会の追及時に「事業者の特性や規模に応じ可能な限り対応」しているか問われます。
個人情報の取扱に関する苦情が申したてられた時は、事業者の特性や規模に応じ可能な限り対応」しているか問われます。
どちらの場合も可能な限り対応した証明を求められます。手抜きは許されません。
しっかり個人情報を守りましょう。