現在国会に上程されている「個人情報保護法案」が,EC(電子商取引)などネットビジネスに大打撃を与える恐れがある――。個人情報を守る,という基本的な考え方に異論はないが,問題は,あまりにも不透明なことが多すぎるということだ。もっと徹底した議論が必要だろう。

 個人情報保護法案は,企業などを対象に,個人情報の収集・利用に法的な網をかぶせることで,情報流出や悪用を防止しようというものだ。利用目的の制限や安全性の確保に加えて,本人からの情報開示請求や修正・削除要求に応じることなどを,個人情報を収集・利用する事業者の義務として規定した。悪質な違反者には懲役を科すなどの罰則規定も盛り込んだ。

 今年3月,政府がこの法案を国会に提出すると同時に,マスコミは強く反発した。個人情報の保護を盾に取材拒否や記事への干渉を受ける恐れがあり,「言論の自由」が脅かされるというのが,その理由だ。著者もマスコミに籍を置く人間である以上,個人情報保護法案の記事を書くのなら,この問題に対して自分の意見を表明する義務があると思う。ただし,この件に関しては最後に述べさせていただきたい。まずは,ネットビジネスへの影響について記したい。

 実は,個人情報保護法案への関心が「言論の自由」の問題に集中したために,実ビジネスへの影響がほとんど議論されていない。事業自体が“個人情報の塊”とも言えるネットビジネスは最も大きな影響を受けるが,関係者の多くは法案の中身を知らない。実際,携帯電話向けにコンテンツ配信を手がける事業者の役員は,最近法案を初めて読んで「これではビジネスが成り立たなくなかもしれない」とがく然としたという。

EC事業者などに重い負担,実務面で混乱も

 個人情報保護法案は,個人情報を「特定の個人を識別することができるもの」と規定し,本人がコントロールできる状態で保護しようというのが眼目だ。消費者にとって,自分の情報を勝手に収集されたり,間違った情報を記録されたり,不正利用されたりしてはたまらない。従って,そうした“法の精神”自体には異論はない。

 しかし企業の実務面での対処法を考えると,様々な問題が浮かび上がる。特に,ネットビジネスにとっては大きな問題をはらんでいる。

 問題の一つ目は,法案ではあいまいな点が多く実務面で混乱を引き起こしそうな点である。例えば,電子メール・アドレスやCookie情報は個人情報に当たるのか。現状では,個人情報になる場合もあり,そうでない場合もあるとしか言えない。プロバイダが割り当てたメール・アドレスは個人情報であり,本人が特定される恐れのないフリー・メールのアドレスは個人情報ではない――。その程度のことは言えるかもしれないが,断言はできない。最終的な判断は,裁判にでもならない限り下せないのだ。

 もう一つの問題は,情報開示に伴うコストやリスクが読めないことだ。この法案では原則として,本人から請求があった個人情報は開示しなければならない。法案に開示方法は規定されていないが,ECサイトなどでは消費者はネットで開示請求してくるのは確実。そうすると,なりすましにどう対処するのかという問題が発生する。また,いわゆる“クレーマ”からの請求や興味本位の請求も多数舞い込むことが予想され,コストアップは確実である。

 開示する情報内容も問題点の一つだ。例えば,オンライン書店のアマゾン ジャパンのように,Cookie情報を取得して顧客のし好を読み取り,最適な商品情報などを提供しようという場合,問題が発生しそうだ。アマゾンは,登録された顧客情報とCookie情報を結び付けている。この場合,Cookie情報も個人情報に含まれると解釈するのが順当なため,Cookie情報も開示対象に含まれる。しかし,Cookie情報はそのままでは,単に記号の羅列に過ぎない。だからと言って,Cookie情報から分かる,その人のアクセス・ページまで示すとなると,企業の負担は大きく非現実である。

 さらに,CRM(カスタマー・リレーションシップ・マネジメント)の導入面でも問題が発生しそうだ。CRMの実現のため,企業が商品ごとに管理している顧客情報を一元化しようとすると,個人情報の利用目的からの逸脱であり違法となる可能性がある。個人情報の取得段階でどのように説明しているかにもよるが,情報一元化の際には顧客一人ひとりから許可を取らなければならなくなる。

消費者の不安も解消しない

 要は,影響が極めて大きいにもかかわらず,実務上,見えない点が多すぎるのだ。法律が厳密に運用されれば,その不確実性からコストやリスクの増大に直面し事業継続が不可能になる企業も出てきそうだ。しかしその一方で,個人情報を故意に流出させたり,不正利用したりする悪徳業者の取り締まりには役立ちそうもない。

 「個人情報」や「秘密厳守」などをキーワードに検索してみれば分かることだが,ネット上で個人情報の不当な売買を公然とうたう業者は少なくない。しかし法案では行政が勧告,命令を出した後,従わない場合のみ刑事罰を科すことができるため,悪徳業者が“夜逃げ”する時間が十分にある。このため,まっとうな事業者のみが重い負担を強いられ,消費者の不安は解消しない,という結果になりそうだ。

 法案を作成したのは内閣官房だが,彼らがネットの実態を検討した形跡はない。個々の業界に対応した細目については個別法や業界団体のガイドラインなどを整備することで対応することが前提だからだ。しかし,ECやネットビジネス全体をくくれる業界は存在しない。結局,従来の縦割りの業界別にガイドラインを作ることになりそうだ。ネットへの取り組みが遅れている業界で,ネットの実態を踏まえた議論ができるかどうか疑問である。

法律への準備期間は1年半しかない

 個人情報保護法がいつ成立するかは不透明だが,法律が効力を発揮する時期は2003年春~夏でほぼ確定している。というのも,地方自治体間で個人情報の一部を共有する「住民基本台帳ネットワーク」が運用を開始するのが,この時期。個人情報保護法案は,このシステムの稼働にあたりプライバシ保護のために策定された経緯があるからだ。

 つまり,企業は1年半で準備をしなければならない。どこに,どんな個人情報があるか,“情報の棚卸”をする期間も必要なことから,大企業なら今から準備を始めなければ間に合わない。与野党対決法案のため審議が紛糾するのは確実で,現状では来年の春以降,場合によっては来年秋までずれ込む可能性がある。このままでは企業の準備期間はわずかしかなくなってしまう。

法案の見直し,徹底した議論が必要

 もちろん個人情報保護の視点は,これからのビジネスに重要なのは議論の余地がない。メール・アドレスの流出事故などが頻発している状況では,個人情報保護法のあるなしにかかわらず,企業は顧客の情報を守る体制を万全なものにすることで,顧客の信頼を勝ち得ていかなくてはならない。

 個人情報を保護する何らかの法的枠組みも,ネットを含め社会のIT化が急速に進む中では必要に迫られているのは理解できる。しかし,それが現行の個人情報保護法案なのか。罰則規定のない基本法と特定分野に絞り犯罪行為を厳罰に処せる規制法など,工夫の余地があるはずだ。少なくとも,法律の効力発揮時期を状況に応じて柔軟に変える必要はある。

マスコミの観点からも賛成はできない

 さて最後に,個人情報保護法案のマスコミに関する問題について,著者の考えを述べさせていただきたい。著者は「個人情報保護法は言論弾圧」とする人々には組しない。そう主張する人の中には,個人のプライバシを興味本位に暴き立てることでカネを儲け,それもって報道と称している者も含まれており,とても一緒に議論する気にはなれない。

 法案では報道機関の適用除外規定があるため,逆に報道機関と認められなければ自由な報道ができなくなる――これが最大の問題とされるが,この条項を悪用できるとは思えない。民主主義社会において国が報道機関を認定することなど許されるはずがなく,真のジャーナリストなら取材活動の障害にはならないだろう。

 ただし,ネットビジネスの観点からだけではなく,マスコミの観点からも法案には賛成できない。ジャーナリズムであるためには,取材者自身がその自覚を持って報道活動を担うだけでなく,読者や取材相手にジャーナリズムであると認識してもらえることが必要である。法律などによって,報道機関か否かを分けられる性質のものではないのだ。

 著者も常にジャーナリストでありたいと思っている。今回,日経ネットビジネスの11月25日号で,3人の同僚と共に個人情報保護法案の問題点をネットビジネスの観点から徹底的に分析した。併せてお読みいただき,ご批判をいただければ幸いである。

(木村岳史=日経ネットビジネス副編集長)