「個人情報保護法」に対する民間部門と公共部門の対応（1）

研究員 吉田 倫子

2004年1月

要旨

2002年12月末に一端廃案とする処置がとられていた個人情報保護法が、2003年5月30日に公布された。個人情報保護法については、実務的には行政機関である国や地方公共団体等の公共部門と、民間企業等の民間部門それぞれの取り組みに分けて考えられる。本論では、全体的な体系と民間部門における対応について考える。

個人情報保護法は5つの法律から構成されており、民間部門および公的部門における個人情報の管理について規定している。個人情報保護法は民間企業に対して厳重な個人情報の保護を負わせた法律であるが、罰則規定は他法令と比較して不十分とはいえないが、直罰ではない点については批判がある。

罰則などの法律としての実効性には問題があるが、法律違反とされた企業は、評判が傷つくといったビジネス上の大きな障害を受けることになる。したがって、企業にとっては、従業員の教育などを含めて社内全体のリスク管理制度を整備する必要がある。

個人情報保護法の中身

「個人情報保護法」とは、正式には「個人情報の保護に関する法律」をはじめとする、いわゆる「個人情報保護五法」を指す。五法とは、[1]「個人情報保護法」、[2]「行政機関の保有する個人情報の保護に関する法律」、[3]「独立行政法人等の保有する個人情報の保護に関する法律」、[4]「情報公開・個人情報保護審査会設置法」および[5]「行政機関の保有する個人情報の保護に関する法律の施行に伴う関係法律の整備等に関する法律」である。ここに挙げた法律の他、附帯決議における、医療、金融・信用、情報通信等の個別の部門ごとに関連法案を制定することになる。これらの関連法案については、現在各方面で議論が重ねられ、個人情報保護法の全面施行時までには具体化される。内容は、厳しいものになると想定されており、いずれも高いレベルでの保護が求められている分野であるだけに、民間部門としては慎重に対応しなければならない。

個人情報保護法の最もベースとなる事項は、民間部門を念頭においた「個人情報取扱事業者」に対して、[1]個人情報を何に利用するのかその目的を特定することを求め、[2]不正な手段により情報を取得することを禁止し、[3]第三者への情報の提供を制限すること、である。個人情報取扱事業者については、一般的に、個人情報をまとめたデータベースやファイルを体系的に管理、保持している大多数の民間企業が適用対象となる。ただし、その際に、取り扱う個人情報が5,000件未満の小規模事業者などは、政令で除外される予定である。公的部門については、行政機関に関する法で、職員による情報漏洩や盗用、不正な提供、職権を利用した個人の秘密収集等が規定される。

「個人情報とは何か」については、情報に含まれる名前や生年月日から個人が特定されうるデータや、他の情報と照合可能でそれによって個人が識別可能である情報は全て「個人情報」に含まれると解釈される。単なる生年月日の数字から個人を特定することは一般的にはそう容易に出来ることではないが、データとデータが組み合わされることで、個人情報になる。

民間企業の責務

事業者は、情報収集のたびに予めどのような利用目的で行なうのかを明示しなければならない。明示は、直接書面取得時のみで、それ以外は、利用目的は通知・公表となる。たとえ親子会社間やグループ企業内であってもその例外ではない。安全管理のために、セキュリティに気を配り、情報管理のレベルを高めておく必要があり、またデータを取り扱う従業員や委託先に加えて、委託先からさらに個人情報が孫受けされて処理されてしまう場合の「監督」も十分に行わなければならない。

個人情報保護法は、民間業者に対して厳重な管理義務を負わせた法であるといわれるが、法律自体は、本人の不服申し立てで「改善のみられない」事業者に対して主務大臣が勧告や命令を行い、それに従わなかった場合に6ヶ月以下の懲役または30万円以下の罰金に処すことが定められているにすぎない。しかもその罰則規定や義務は、公布から2年以内の政令で定める日に施行されることになっている。しかし、「管理のできない企業」というレッテルが貼られることにより、ビジネス上で障害となる。また、法律以外の制度との兼ね合い如何によっては、民間企業にとって拘束が生じる。例えば、プライバシーマーク制度などが指摘できる。つまり、企業にとっては、法律違反による懲罰よりも、評判などビジネス上の障害の方が重要となる。しかし、罰則が厳しくないために、評判を気にせずマナーを守らない業者などに対する実効性は疑問視されている。

個人情報取扱業者は、今後政令によって業務委託先などに対する監督責任を求められる予定である(従業員にデータを扱わせる際における監督)。委託先を選定する場合、個人情報保護に対する取り組みについても吟味する必要が生じると考えられ、その際に委託先がプライバシーマークを取得しているかどうかが一つの判断材料になりうる。ただし、取得したら責務も生じ、負担にもなる。プライバシーマークが、自由競争を阻害することにならないかという懸念もある。コンプライアンス・プログラム自体が、自由競争を阻害してはならないし、規制的に利用してはならないという含意があるが、事実上は規制的にこのように機能し、指導してしまっている現状があり、この点を疑問視する専門家もいる。

企業は、個人情報を保有・利用することにより、効果的なマーケティングが実行できる反面、取得した情報に対して、細心の注意を払って取り扱わなければなくなってくる。会社内全体のリスク管理を高めると同時に、従業員やスタッフへの体系だった教育が必須となる。

本論は、2003年12月1日現在のものである。本論を書くにあたり、貴重なアドバイスを下さった牧野二郎弁護士、中央大学・堀部政男先生、筑波大学・新保史生先生、早稲田大学・岩村充先生に感謝したい。課題と誤りは筆者の責任である。