前回 は,個人情報保護法施行1年経過直後,みずほ銀行に対して発せられた個人情報保護法に基づく勧告を事例に取り上げた。個人情報保護法に限らず,コンプライアンス(法令順守)の面で,金融業界は相変わらず厳しい状況に置かれている。みずほ銀行が勧告を受けた直後の4月27日には,三井住友銀行が業務の一部停止命令を受け(「弊行に対する行政処分について 」参照」,5月8日には三菱東京UFJ銀行の支店次長が横領幇助で逮捕されている(「行員の逮捕について 」参照)。
一連の規制改革を通じて「事前規制型」から「事後チェック型」への転換を基本としてきた金融行政だが,金融機関の公共性や社会的責任を考えると,「事後チェック」が,個人情報漏えい事件を含めた不祥事の再発防止に機能しているとは言い難い。
事前規制型と事後チェック型の誤解が招く「過剰反応」
さて,今回は,2006年4月25日にちょうど丸1年を迎えたJR宝塚線脱線事故で顕在化した,「過剰反応」問題について考えてみたい。「個人情報漏えい事件を斬る(18):医療機関の事例に学ぶ(その2)----JR宝塚線脱線事故で露呈した「過剰反応」問題 」でも触れているが,具体的な内容については,2006年1月に兵庫県が公表した「JR福知山線列車事故検証報告書 」の「検証分野4 安否情報の開示と提供システム 」が参考になる。
以前,「秒読み!個人情報保護法(4):「個人情報保護方針」をPDCAサイクルの起点に 」で触れたことがあるが,一般に,個人情報保護対策は,企業が自主的に定めた個人情報保護方針を基本原則として,「PLAN(計画)→DO(実施)→CHECK(検証)→ACT(見直し)」というPDCAサイクルの繰り返しによって継続的に改善させることを前提としている。個人情報保護法は,「事後チェック型」の行政推進の視点に立っており,具体的な管理方法に関する細かい規定を条文には設けず,実際何をするかについては,個々の会社の自主性に委ねる形をとっている。これは,アメリカの個人情報保護対策に近い考え方である。
他方,人の生命・安全を左右する危機管理対策などの場合,「事後チェック型」のルールでは,犠牲者が出てから監視・救済に動くことになり,手遅れ状態になる。あらかじめ統一的なルールを定め,具体的対策の中身を詳細に詰めておかないと,いざという時に的確な対応ができない。一個人や企業の範ちゅうで問題解決できない内容については,「事前規制型」で行政が調整した方が効率的な場合もある。同じ個人情報保護対策でも,ヨーロッパ諸国は「事前規制型」の色彩が強い。
このような「事前規制型」と「事後チェック型」の狭間に出てきた法律が,日本の個人情報保護法である。条文だけ読んで,「事前規制型」と「事後チェック型」の解釈を取り違えると,事なかれ主義の延長で「過剰反応」を生みかねない。
「事後チェック型」ルールは社会全体で積み上げよう
JR宝塚線脱線事故当時の状況を振り返ってみると,誰が考えても,「事後チェック型」のルールに従って,各自が試行錯誤しながら個人情報保護対策を改善すべき状況にはなかったはずだ。悪い結果が出てから対応するのではなく,悪い結果が出ないように,あらかじめ個人情報の取り扱いに関わる綿密なルール作りや関係者間の調整をやっておくべきケースである。
前述の「JR福知山線列車事故検証報告書 」は,提言として以下の4つを挙げている。
(1)阪神・淡路大震災の教訓
(2)公助・共助・自助の関係
(3)情報の重要性
(4)組織間の連携の重要性
特に重要なのは,(2)公助・共助・自助の関係だ。従来からの「事前規制型」ルールの利点を生かしながら,新しい「事後チェック型」ルールを社会全体で積み上げていくのが,「Web2.0」時代の個人情報保護対策ではなかろうか。そして,共助の場に,日本の企業の大半を占める中堅中小企業が参加しなければ意味がない。
次回は,個人情報保護のJIS規格「JISQ15001」やプライバシーマークの観点から個人情報漏えい事件を考えてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
