表1●漏えい元・漏えいした者,内閣府国民生活局<a href="http://www5.cao.go.jp/seikatsu/shingikai/kojin/20th/20051130kojin3-2.pdf" target="_blank">「個人情報保護の現状と施策について」</a>(平成17年11月30日)より引用
表1●漏えい元・漏えいした者,内閣府国民生活局<a href="http://www5.cao.go.jp/seikatsu/shingikai/kojin/20th/20051130kojin3-2.pdf" target="_blank">「個人情報保護の現状と施策について」</a>(平成17年11月30日)より引用
[画像のクリックで拡大表示]
表2●紛失等が発覚した機関数と紛失等が発生した資料の類型,金融庁&lt;a href="http://www.fsa.go.jp/news/newsj/17/f-20050722-4.html" target="_blank"&gt;「金融機関における個人情報管理態勢に係る一斉点検の結果等について」&lt;/a&gt;(平成17年7月22日)より引用
表2●紛失等が発覚した機関数と紛失等が発生した資料の類型,金融庁<a href="http://www.fsa.go.jp/news/newsj/17/f-20050722-4.html" target="_blank">「金融機関における個人情報管理態勢に係る一斉点検の結果等について」</a>(平成17年7月22日)より引用
[画像のクリックで拡大表示]
表3●紛失等が発覚した個人情報の先数,ともに金融庁&lt;a href="http://www.fsa.go.jp/news/newsj/17/f-20050722-4.html" target="_blank"&gt;「金融機関における個人情報管理態勢に係る一斉点検の結果等について」&lt;/a&gt;(平成17年7月22日)より引用
表3●紛失等が発覚した個人情報の先数,ともに金融庁<a href="http://www.fsa.go.jp/news/newsj/17/f-20050722-4.html" target="_blank">「金融機関における個人情報管理態勢に係る一斉点検の結果等について」</a>(平成17年7月22日)より引用
[画像のクリックで拡大表示]

 2006年の1月から2月にかけて、自民党のプロジェクトチームが個人情報保護法改正原案をまとめ、3月中に今国会に提出するという報道があった。

個人情報漏えい、1年以下の懲役・自民が保護法改正案(2006年2月16日/日本経済新聞)

情報を漏洩した従業者が処罰の対象に

 現行の個人情報保護法には、情報を漏洩した従業者(従業員、役員、派遣社員など)に対する罰則はないが、改正原案には不正な目的で個人データを第三者に開示した従業者に処罰の対象にすることが盛り込まれている。この罪名を通称で情報漏洩罪と呼んでいる。

 情報漏洩罪が出てきた背景には、従業員が個人情報を漏洩するケースが多く、かつ技術による防御には限界があるという認識がある。情報セキュリティに完璧はありえない。完璧を求めなくとも情報セキュリティ対策にはコストがかかり、個人情報保護法の施行以来、企業は多大なコスト負担に泣いているという現状がある。

 現行の個人情報保護法 第21条には「従業者に対する必要かつ適切な監督を行わなければならない」という規定がある。しかしそれに違反した場合でも、勧告、命令という段階を踏み、命令に違反して初めて処罰の対象になる。しかもその処罰の対象になるのは命令に違反した監督担当者と企業自身であり、もともと違法行為を行った従業者は処罰の対象にならないことが一般的だ。多くの場合、その従業者は退職して所在もつかめない。このような状況をなんとかして欲しい、というのが改正案に至る流れである。

 改正原案は昨年の春から自民党で議論されていたようだ。日本弁護士連合会が昨年5月に「個人情報保護法に分野横断的な個人情報漏洩罪を設けることには反対する」という意見書を公表している(http://www.nichibenren.or.jp/ja/opinion/report/data/2005_29.pdf)。

 確かに自民党の言うことは一理ある。セキュリティ対策に完全がないことは誰でも知っている。他方で情報漏洩の事例は、ほとんど内部者によるものだ。2004年1月のソフトバンクBBの事例では、漏洩のルートは2つあったが、一つは代理店、もう一つは契約管理担当者だった。さらに振り返れば、1999年の京都府宇治市の事例では、再々委託先のアルバイトの大学生による持ち出しだった。同じく1999年のNTT神戸支店の事例では、元社員がLANで顧客データを引き出して売却していた。

 従業者に対する罰則を設けることで、こういった事例に対する防止効果は期待できる。

漏洩原因のほとんどは意図的な行為ではなく過失

 ところが実際には、多くの情報漏洩事件は過失によって発生している(表1●漏えい元・漏えいした者、内閣府国民生活局「個人情報保護の現状と施策について」(平成17年11月30日)http://www5.cao.go.jp/seikatsu/shingikai/kojin/20th/20051130kojin3-2.pdf より引用)。

 内閣府国民生活局「個人情報保護の現状と施策について」(平成17年11月30日)によれば、2005年上半期の情報漏えい894件のうち、従業者による意図的な漏洩はわずかに6件、0.7%にすぎない。これに対し、従業者の不注意による漏洩は677件で全体の75.7%と圧倒的多数を占める。

 すなわち、今回の改正案は894件の中の6件を対象としたものでしかない。

 第三者による意図的な漏洩は、159件で全体の17.8%を占める。しかし、第三者が意図的にデータを入手したということはデータに不正にアクセスしたケースが通常であり、それは不正アクセス禁止法による処罰の対象となる。第三者による意図的な漏洩を抑止するには不正アクセス禁止法の罰則引き上げを検討すればよい。

 金融庁が2005年7月22日、金融機関における個人情報管理に関する一斉点検の結果を発表している(http://www.fsa.go.jp/news/newsj/17/f-20050722-4.html)。1069金融機関中287機関、26.8%に個人情報漏洩が見つかっているが、99.9%が過失である(表2●紛失等が発覚した機関数と紛失等が発生した資料の類型、表3●紛失等が発覚した個人情報の先数、ともに金融庁「金融機関における個人情報管理態勢に係る一斉点検の結果等について」(平成17年7月22日)より引用)。

 このように見てくると、今回の改正案はピント外れではないかと思われる。

 不注意による漏洩を防止するために有効なのは、処罰ではなくPDCA(Plan-Do-Check-Action)サイクルの徹底であり、社内におけるルール化と従業員教育、そして点検と見直しである。言うまでもなく、過失による情報漏洩にまで罰則を適用すれば大変なことになる。

 むしろ現在は、個人情報保護に対する過剰反応が問題になっており、個人情報漏洩を警戒するあまり、大事故の発生時に被害者の家族からの安否確認を搬送先の病院が拒否したり、学校で児童の名簿を配らないなどの現象が起きている。罰則の強化は、この傾向を変に加速することになりはしないか。

 今回の改正原案についてはマスメディアから報道の自由を制限するのではないかという懸念が提示されている。改正原案では報道の自由などに対する「配慮条項」を設けることで対応するとしている。しかし、単に「配慮すべき」というだけでは裁判所はどうしていいか、困るだけではないのか。こう考えると、マスメディアの懸念も理解できる。
むしろ漏洩の防止という面で実効性があるかどうか疑わしいだけでなく、個人情報保護に対する過剰反応を促進することが憂慮される。

問題はむしろ処罰の対象が不明確であること

 改正原案の情報漏洩罪に関し、最も大きな問題は別にある。何が処罰の対象になる「個人データ」なのかなどの点が不明確なことだ。このことが個人情報保護法に対する過剰反応を悪化させるおそれがある。

 個人情報保護法 第2条4項には、「個人データとは、個人情報データベース等を構成する個人情報」であると書かれている。しかしデータベースには電子データベースだけでなく紙の名簿などもある。また個人データは自社で作ったものに限られず、公開されている情報も含まれる。つまりNTTのハローページも個人データに含まれる。カーナビには個人名で検索できる機能を持つものもあり、これも個人データに該当する。すなわち改正原案では、電話帳を見せることも処罰の対象になる可能性がある。「不当な利益を図る目的」であった場合に限られるとはいっても、何がそれに当たるか曖昧さが残るので、委縮効果が発生することは避けられない。

 企業活動の中で個人データを扱うことは日常茶飯事である。にもかかわらず処罰の対象がこのように不明確なままでは、どうしてよいかわからない。車を止めてはいけない場所が明確に示されていないにもかかわらず駐車違反を問われるようなものだ。

 あるべき姿のヒントになるのが不正競争防止法における営業秘密の扱いである。営業秘密の漏洩は不正競争防止法によってすでに処罰の対象となっているが、営業秘密として保護されるためには、秘密として管理されていなくてはならない。裁判例によれば、営業秘密とされるための要件は「営業秘密として認識できること」。すなわち「社外秘」など、明確にわかるように示されていなければならない。何が第三者に見せてはいけない情報なのか、はっきりしていなければ、従業者としては、怖くて扱うことができないからだ。もう一つの要件は、きちんとしたアクセス制限が行われていること。紙であれば施錠したロッカーなどに収納されていなければならず、電子データならパスワードやアクセス権限の設定、プリントアウトの制限などが行われていなければならない。

 法律で保護されるためには、常日ごろからきちんと情報を管理していなければならない。そこに、セキュリティを高めようというインセンティブが発生し、好循環が生まれる。事業者も従業者も行政も全員がハッピーになる。

 ところがセキュリティを高めなくとも法律で保護されるのでは、セキュリティを高めようというインセンティブは失われてしまいかねない。健全なセキュリティ社会の育成にマイナスの影響を及ぼす。セキュリティを高めようとする意識が空気のように常に存在する社会---OECD(Organisation for Economic Cooperation and Development:経済協力開発機構)の情報セキュリティガイドラインで「Culture of Security」と表現される---を実現するために、何が必要とされているのかを考えなければならない。

◎関連資料
個人情報の保護に関する法律
不正競争防止法