EU指令を受けてイギリスでも1998年に個人情報の保護を目的としたデータ保護法が制定された。この法律の概要を説明し、法律制定後のイギリスでの個人情報保護に関する動向をQ&A形式で紹介する。
--1998年?それってちょっと古いんじゃないの?
そうでもないんだ。イギリスの1998年データ保護法は2000年になってやっと発効したうえに、企業は2001年の10月までは完全に準拠しなくてもよかったんだ。法律のウォーミングアップには少々時間がかかるってことさ。
--それって何のためにあるの?
この法律はEU指令(EU Directive)に基づいているんだけど、この指令は加盟国に「自然人の基本的人権および自由を保護すること、とりわけ個人データの処理に関するプライバシーの権利を保護すること」を求めている。つまり、どの企業も個人データを使用する方法に関して誠実であることが必要だということになる。
--会社ではどういう影響があるの?
コンピュータのすべての記録と、手書きの記録のほとんどは、その記録と関連がある個人を特定するために使用できる場合は法律の条項に該当することになる。記録は名前別に整理されている必要はなくて、たとえば取引金額、地理的な場所、取引の種類などで分類されていてもいい。
関係する個人を特定するのにこれらのファイルの個人情報を使用できる限り、これらは個人データとしてこの法律の対象になるんだ。しかも対象は顧客だけでなく、パートナー企業や納入業者、従業員も含まれる。
--了解。もう観念したよ。個人データを大量にため込んでいると、どうなるの?
この法律では、データ保護コミッショナーに「データ管理者」を登録する必要がある。データ管理者は、個人データを処理するための同意を個人から取り付けて、データが公正に処理されることを保証する必要もあるんだ。この同意は、明確に表明してもらう必要がある。つまり、メッセージに返事がないからといって、同意が得られたことにはならないんだ。
また、「具体的」で「十分な説明を受けたうえの」同意でなければならない。つまり、保管される情報の種類、処理の目的、情報にアクセスできる人の種類、ファイル上に存在する可能性がある時間の長さなど、登録されるすべてのユーザーに直接的に関連している必要があるんだ。
