過ぎたるは猶及ばざるが如し

富士通総研経済研究所研究顧問
（情報セキュリティ大学院大学副学長）
林  紘一郎

2005年7月

要旨

個人情報保護フィーバー

2005年4月1日から「個人情報の保護に関する法律」等が全面的に施行されたため、年明けから個人情報保護への関心が急速に高まり、年度末には一種のフィーバー状態となった。おかげで企業の管理意識が徹底すると同時に、個人にも権利意識が高まって、好結果をもたらしている面がある。例えば同窓会や同好会の名簿は、従来無神経に多くの情報を収録してきたが、項目を限定することが当然とされるようになった。また、高額納税者の公表についても、住所まで公開する必要があるのか、といった議論が生じている。

しかしフィーバーの中では、日頃なら誰も気にしないことが大げさに取り上げられ、明らかに異常な対応が正当化されてしまうこともある。例えば病院で患者の名前を呼ぶと、誰さんがどのような類の病気を患っているということが明らかになるので、名前の代わりに番号で呼ぶなどの提案が実施に移されている。もちろん、この提案もRFID（Radio Frequency Identification、無線タグとかICタグと呼ばれている）などの技術的な支援手段と結びつければ、誤りを最小限にしつつ導入が可能かもしれない。

しかし、慣れ親しんでいる名前を呼ばれて間違う確率はほぼゼロと見られるのに対して、番号を呼ばれて間違う確率は有意に高いはずである。極端な例だが、部分麻酔直後で意識が薄くなっている状況でも、本人確認手段として番号を用いるというのであれば、非常識と言うしかないだろう。

名前を呼ぶことでプライバシーが侵害されるというが、病院内で偶然出会っただけでも同様のことは推測可能なのだから、この問題はプライバシーや個人情報とは関係ないと割り切るべきだろう（もっとも病院の側にも、狭い室内とはいえプライバシーに配慮したレイアウトを工夫するなどの、努力が欲しいとは思うが）。

新聞に報道された例（「朝日新聞」2005年5月13日）として、社内報に結婚や誕生のお祝いを出す欄があり、編集者を悩ませているという。本人の同意を取って掲載を続けている会社がある一方で、企画自体を取りやめてしまったところもあるようだ。社内報が純粋に社内だけに配布されるならまだしも、OBや取引先にまで配布されている場合には、「本人の同意なしに第三者に提供する」ことになり、望ましくないと考えた結果だという。

興味を引かれたのは、このようなストーリーよりも、それに関する「識者」のコメントである。3人のうち、社内報の活用効果を訴え「安易に掲載をやめるべきでない」としたのは1人だけで、他の2人は「個人情報の扱いは慎重のうえにも慎重に」と訴えていた。仮に私の場合はどうかと自問すると、個人的には掲載を気にしないが、識者としてコメントを求められたら、職業柄この2者に倣うのではないかと考えて、いささか忸怩たる思いであった。

企業の情報資産の保護戦略

日本企業が、これほどまでの「遵法精神」を示したことは、歴史的事件であろう。確かに個人情報保護法が、「個人情報には経済価値がある」ということを知らしめた功績は大きい。しかも、ここ数年間に個人情報の漏洩事故が相次いでいたから、法の施行を捉えて「気を引き締めていこう」というきっかけにするのは、悪いことではない。

しかし「ちょっと待って欲しい」という思いも消えない。企業が保有する資産のうち、有形の資産と同等かそれ以上に、情報資産の価値が高まっていることは間違いないし、個人情報がその重要な構成要素であることも疑いがない。とはいえ、情報資産は個人情報だけではないので、企業が資産全体を棚卸しして、それぞれにふさわしい対策を講じているかというと、心許ないからである。

因みに、ISMS（Information Security Management System）では、（1）物理的資産、（2）サービス、（3）ソフトウェア資産、（4）情報資産の4つを、資産の分類の例として挙げている。個人情報保護法の施行によって、この最後の（4）のうち「個人情報」を保護することが、重視されるようになっただけで、他の情報資産をないがしろにして良い、ということにはならない。また、（4）だけが資産のすべてではなく、その一部に過ぎないことも言うまでもない。

しかも、企業の潜在価値を十分に顕在化させていないと、買収のターゲットになりやすいことが、いわゆるホリエモン事件（ライブドアの社長堀江貴文氏が、ニッポン放送の買収をめぐって、フジテレビ等と繰り広げた企業買収・提携合戦）の結果、明確になった。同時にそのような企業は、株主利益を軽視していることになるので、今後は株主からの圧力も強まることが確実になった。

それでは、企業価値の最大化を目指すには、どうしたら良いのだろうか。資産をできるだけ安価に形成し、その回転率を上げるとともに、経費を可能な限り節減すること、売上を伸ばし利益率を上げること、新製品を早期に開発し競争優位を保つこと、これらは企業経営の基本であって、どの企業も気付いていることであろう。

ところが、社内にあるノウハウ等を特許出願して権利を取得すること、保有する特許を眠らせることなくライセンス収入を増やすこと、商標やブランド、更にはドメイン・ネームまで、幅広く保有する知的財産を棚卸しして、その価値を高めるよう努力すること、逆に秘匿すべき営業秘密については漏洩を防止すること、個人情報についても適正な取得と利用に努めること、などなど「目に見えない資産」によって企業価値を最大化しようという視点は、未だ十分には検討されていない。

流出させない対策（特に刑事罰）と流出した場合の対策

さて、個人情報保護法の浸透によって漏洩事故や事件がゼロに近くなるかというと、目を見張るような改善は見込めないだろう。現に、産業界や学界には、個人情報保護を実効あらしめるためには、現行法の間接罰方式（個人情報取扱事業者の行為が直ちに処罰の対象になるのではなく、主務大臣の勧告・命令を経て、それに違反したときにはじめて罰せられる）では効果がなく、直罰方式として「個人情報漏洩罪」を新設すべきだとの意見もある。

というのも、現在の間接罰方式では、罰則が発動されるまでの手続きが長いことに加えて、「安全管理措置」等の義務を負っているのは個人情報取扱事業者であって、その社員（法律上は従業者）や委託先社員などは、直接に義務を課されている訳ではない。ところが、ヤフーBB事件に代表される数々の個人情報漏洩事件の主役は、専ら社員（元社員を含む）や委託先社員なのである。

しかも現在の法体系は総じて「有体物」を念頭において構成されていて、無形の財貨は窃盗や横領の対象にはならない。窃盗や横領によって入手した個人情報を、ライバル企業に渡した場合は、2004年に改正・施行された不正競争防止法における「営業秘密の不正取得・開示」として刑事罰の対象になり得るが、それ以外の態様では行為者が刑事罰を受けることはない。

そこで直罰方式によって、法の実効性を高めようというのである。自民党は、個人情報保護法を改正して直罰規定を追加する方法を検討している。しかし特別法による場合も、犯罪の客体である「個人情報」あるいは「個人データ」の概念を明確にしなければならない。ましてや、「個人情報」を越えて広く「情報漏洩」一般を刑法で検討するのであれば、「情報」や「漏洩」の構成要件を厳密に論じなければならない。規定の仕方如何では、「本の立ち読み」が犯罪に該当する恐れさえあるからである。

考えて見れば、企業内に個人情報が多数集積されているのは、単に蓄積しておくことに意味がある訳ではなく、それを活用したいからに他ならない。だとすれば、保護の面を強調しすぎてガードを硬くすればするほど、その利用は不便になることも、念頭に入れておかねばならない。冒頭の幾つかの逸話は、そのディレンマの象徴である。

したがって個人情報を守るにも、「併せ技戦術」によるミックスしか手はないとあきらめるべきだろう。その際忘れてはならないのが、漏洩を防ぐ手段も大切だが、漏洩が起きてしまってからの対策もまた、重要だという認識である。個人情報に価値があるから漏洩が起きるのだとすれば、不正な手段で入手した者は、必ずやその価値を顕在化させる行動に出るはずである。その次の行動を防ぐ手立てを講ずれば、間接的だが漏洩のインセンティブを削ぐことにつながる。

この面では、既に「迷惑メール」や「振り込め詐欺」に対して取られた、幾つかのノウハウがある。前者では、事前の同意なく広告メールを送りつける場合には、「未承諾広告[注]」という表記が義務付けられた。後者では、「すぐに振り込まない。一人で振り込まない」という標語が広まったほか、振り込め詐欺の被害防止対策等の情報を音声（電話）で聞けるサービスなどが開設された。しかし残念ながら、こうした対策は被害者側の意識や技能の向上をも要請する。例えば両者に共通だが、こうした仕組みが用意されたことを知らなければ、折角の対策も水の泡である。かねてから言われてきたことだが、消費者も「賢い消費者」になることを期待されている。

そこで、この主旨に合致するものであれば、個々の対策が小さなものであっても、「ちりも積もれば山となる」式で、多くの手段が整備されることが望ましい。しかしアメリカでは義務化されている「Don't Call List」（電話セールスを希望しない加入者は、登録により受信を拒否できる）がわが国では根付かないなど、文化の違いも無視できない。

法律以外の制裁

わが国では新しい社会問題が生じたとき、官庁に電話や投書をして「ぼやぼやしないで早く取り締まれ」という消費者が多いようである。官庁はこれに応えて、行政指導をしたり、新しい法律を制定したりする。しかし技術進歩が急速な現代では、このような対処と同時に（あるいは「官頼み」に代わって）、NPOや市場原理に解決を委ねることも考慮に入れなければなるまい。

アメリカでは伝統的に「お上に頼らず自己責任で」という気風があり、企業が不祥事を起こせば、公的な制裁を受けると同時に市場の信頼を失墜して、最悪の場合倒産するという緊迫感がある（もちろんエンロン事件など、想像を超えた非違行為も行われるが、それに対する自浄作用もある）。わが国企業も、そろそろこうした緊迫感を持たねばなるまい。

そのような意識で、わが大学院の院生の一人は、「個人情報漏洩事件を引き起こした企業の株価は、市場の信頼度が落ちることから、下落したに違いない」という仮説を立て、検証を試みたことがある。確かに、事件直後に株価が上昇した例はなかったが、逆に株価が顕著な下落を示した例も見出すことができなかった。この事実を発見した院生は、仮説を検証して論文にすることができなかったので相当落ち込んでいたが、これがわが国の資本市場の率直な反応なのだろう。また、消費者も官庁に苦言を呈する者はいても、自ら率先して不買運動を起こそうとはしないようだ。

個人情報保護への関心が過去に例を見ないほど高まったのであれば、徐々にでも良いから、株主の反応もそれを反映したものに変化して行って欲しい。また消費者も、不祥事を起こした企業にはそれなりの反応を示して欲しい。刑事罰を論ずる前に、刑事罰に値するような企業は、法律以外の社会的・経済的な制裁を受けることが、成熟した資本主義の本来の姿ではなかろうか？