今回は,IT企業とも密接に関係があり,かつ,企業に莫大な損害を発生させることになりかねない個人情報の取り扱いについて,個人情報の漏洩事故を中心に検討してみます。
個人情報の取り扱いに関しては,「漏洩」と「提供」が現状の課題
個人情報の保護に関する法律(以下「個人情報保護法」といいます)が,平成17年4月に施行され,約3年半が経過しました。しかし個人情報の漏洩に関する事件,事故に関する報道が,後を絶ちません。しかも,大規模な個人情報の漏洩事件には,必ずといってよいほど,IT企業が関与しています。というのも,紙媒体で何百万人もの個人情報を流出させようとすると,ダンボール何箱分もの資料を移動させなければならないのに対し,電子化されたデータであれば,記憶装置やネットワークを利用して,大量の個人情報を比較的容易に流出させることができるからです。
このような状況の中で,平成19年12月に商務情報政策局情報経済課が発表した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正案(概要)には,改正の経緯として,
「事業者の個人情報保護に関する取組も進んできている一方,依然として事業者からの個人情報漏えい事案が発生している。特に最近では,地方自治体の2次委託先から住民基本台帳の個人情報が約5万5千件漏えいした事案,大手印刷会社の3次委託先からクレジットカード情報を含む個人情報が約860万件漏えいした事案など,大規模・重大な個人情報漏えいを引き起こした事案も少なくない。また,委託先,再委託先に対して委託元が十分に監督を行っていなかったことに起因する事案も多発している。」
と指摘され,委託先,再委託先に対する監督が不十分であるがゆえに事故が発生しているという点が浮き彫りにされています。
他方で,平成20年3月には内閣府から「個人情報保護に関するいわゆる「過剰反応」への対応に係る調査報告書」が発表され,個人情報保護法が施行されて以来「個人情報保護法の趣旨に対する誤解やプライバシー意識の高まりを受けて,必要とされる個人情報が提供されないいわゆる過剰反応と言われる現象が見られるようになった」という問題点も指摘されています。
このように,個人情報の取り扱いについては,(1)第三者に漏洩されてはならない個人情報が漏洩されてしまうという問題点と,(2)本来提供されるべき個人情報が提供されないという2つの問題が提示されています。
このような課題を受け,個人情報を管理する管理者の意図に反する形で,第三者に個人情報が流出する「漏洩」については,さらに厳格なルール作りが必要であると考えられている一方で,情報を必要とする人に対し,管理者が意図的に個人情報を渡す「提供」については,もっと緩やかに考えてよいのではないかということが検討されていると言ってよいでしょう。
このような検討は,個人情報保護法第1条において「個人情報を取り扱う事業者の有用性に配慮しつつ,個人の権利利益を保護することを目的」とした同法の立法趣旨に沿った検討がなされているものと考えてよいのではないかと思います。
本来であれば双方の問題を取り上げるべきではないかとも思いますが,今回は,とりわけ企業に深刻なダメージを負わせることとなる(1)の問題について検討してみます。
