それで「個人情報保護」をどうする？

木村岳史

2002.06.06

　4月25日から国会で審議されている個人情報保護法案は，“死に体”同然になった。以前から“メディア規制法”として激しい批判を浴びてきた同法案だが，今回の防衛庁の不祥事で有事法制と共に，事実上とどめを刺された形だ。審議先送りか，何らかの法案修正は不可避といってよい。

　ただし，インターネット上での個人情報の漏えいや不正使用が常態化しており，個人情報を保護する何らかの法的枠組みが一刻も早く必要なのは事実である。一方で，法律の内容次第では，“個人情報の塊”ともいえるネットビジネスをはじめ，多くのビジネスを直撃する。2001年3月に個人情報保護法案が国会に提出されて以降，こうしたところに実質的な議論が深まることなく，混乱だけが大きくなっている。

　著者は昨年11月にも，このコラムでビジネスの視点で個人情報保護法案の問題点を指摘した（記事へ）。今回も基本的に趣旨は同じである。しかし，状況は当時と大きく変わっている。国会での今後の審議次第では，事業者にとって現行法案より一段と厳しい規制が導入される可能性もあるのだ。今回は少し長い“前置き”を付けた上で，この件を中心に話をしたい。

奇妙な構造の個人情報保護法案

　個人情報保護法案は，実際に読むと“奇妙”な構造になっていることが分かる。基本原則を定めた普遍的な「基本法」部分と，民間の事業者だけを対象にした罰則規定のある「規制法」の部分から成る。規制法の部分については，「報道機関」などを適用除外にした。一方，行政機関や独立行政法人については，それぞれ「行政機関個人情報保護法案」などの形で別法案として，国会に提出されている。

　防衛庁の不祥事で問題となったのは，官を縛る法案には罰則規定が盛り込まれていないことだ。自衛隊の幹部が情報公開請求者のリストを作成したという行為は，個人情報保護法では違法行為に当たる可能性が強い。当然，「民間には罰則規定があるのに，官にないのはなぜか。法案を見直し，官と民間を一律に縛る厳しい規制をかけよ」――という話になる。

　ところで，長く棚ざらしされていた法案が今国会で審議入りしたこともあり，この間マスコミによる“反個人情報保護法キャンペーン”のボルテージは上がった。適用除外する「報道機関」を誰が決めるのか，取材先・情報提供者が処罰される可能性があるなどの問題点があり，著者もこの法案には反対である。ただし，「報道機関への弾圧を画策している」とか，「治安維持法への道」とかいった一面的なキャンペーンには同調できない。読者や視聴者の冷ややかな視線を感じるからだ。

　個人のプライバシを興味本位に暴き立てる“パパラッチ報道”は相変わらず盛況だ。テレビのワイドショーなどにしても，芸能人や事件の被害者に人権なし，といった報道姿勢は昔と変わらない。さらに，こうした風潮はインターネットの普及で社会全体に広がりつつある。掲示板などで，他人の個人情報を無責任に書き込んで恥じることのない輩が増えてきているのも，マスコミの報道姿勢の反映と言えなくもない。

　人権侵害を受けた個人から言えば，その相手が政府であれ，マスコミであれ，ほかのだれかであれ，その打撃は同じである。マスコミは真剣にそのことを考え，行動しなければ，広く支持を得られるわけがない。個人情報保護法案が国会に提出されて，既に1年以上経つ。この間，マスコミによる自主的な取り組みがほとんどなかったのはいかなることか。今からでも遅くないので，自浄努力を怠るべきではない。

本来の目的は，個人情報を保護した上で“IT振興”を目指すことだった

　長い前置きで申し訳ない。ここから本題に入る。

　あまりよく知られていないが，この個人情報保護法案は本来，“IT振興”のための法案だった。2005年をめどに「世界最先端のIT国家になる」という目標を掲げる政府の「e-Japan戦略」でも，重要なパーツに位置付けられている。単に個人情報を保護するだけでなく，EC（電子商取引）や電子メール・マーケティングなどで，適切な形で個人情報を利用できるルールを定める意味もある。

　その法案が，ECなどに打撃を与える恐れがある。しかも“メディア規制”問題の陰に隠れて，あまりよく知られていない――。そこで，このコラムや日経ネットビジネス誌で，企業の担当者にその観点から法案を検討し対応を呼びかけてきた。

　ビジネス上の問題点を要約すれば，（1）個人情報の範囲など，あいまいな点が多く実務面で混乱を引き起こす可能性がある，（2）本人からの開示請求に対応するためのコストやリスクが読めない，（3）開示内容の範囲が不明確，（4）CRMなど高度なマーケティングを導入する際に問題が起きる恐れがある――などである。法律が厳密に適用されれば，コストやリスクの増大に直面し事業継続が不可能になる企業すら出てきそうだ。

　こうした問題点は最近ようやく，広く知られるようになった。しかし事態は，より厳しい方向に向かっている。法案には強硬に反対している民主党，自由党，日本共産党，社民党の野党4党も，個人情報を保護する法律の必要性では異論がなく，個人情報を扱う事業者に対してはむしろ規制を強化するように要求している（関連記事）。

　例えば，個人情報の収集目的は「公表」では不十分で，原則「本人への通知」でなければならないとしている。開示請求の方法は「政令で定める方法」ではなく，原則「書面」でなければならず，手数料も事業者負担を原則とすべきと主張している。防衛庁の不祥事が発覚した今となっては，官民合わせて，さらに厳しい規制を導入せよという流れになるかもしれない。

企業は顧客を重視しつつ，“過剰な規制”には反対すべき

　しかも“タイムリミット問題”も依然として不透明だ。個人情報保護法は，いつ，どんな形で成立しようとも，法律の効力発揮は，地方自治体間で個人情報の一部を共有する「住民基本台帳ネットワーク（住基ネット）」が本格的に稼働する2003年8月に間に合わせるのが建て前だ。個人情報保護法案は，住基ネットの本稼働の際のプライバシ保護のために策定された経緯があるからだ。

　ただ事実上，これはもう間に合わない。個人情報保護法に対応する体制を作るためには，大企業で1年程度かかると見られている。しかも，法律だけでは無理で，法律成立後に政府が策定する基本方針の内容を確認する必要がある。基本方針の策定には3カ月程度かかるため，2003年8月までに大企業が個人情報保護法に対応するのは極めて難しい。

　法的効力を発揮する時期を後にずらせば問題は解決するが，住基ネットは個人情報保護の法的担保が不十分なまま本格稼働することになる。住基ネットの本稼働を延期するのが抜本的解決策だが，今度は電子自治体などe-Japan戦略の他の施策に影響を及ぼす。いずれにしろ，この辺りも，どう転ぶか不明確なところだ。

　こういう状況であるから，企業は個人情報保護法案の動向を今以上に注視しなければならない。メディア規制問題が解消されれば，個人情報保護の強化は“世論”となる。言うべきことを言わないと，ビジネスに大きな障害となる過剰な規制がかぶせられる可能性は十分にある。

　もう1つ，CPO（チーフ・プライバシ・オフィサ）の導入など，顧客の個人情報を保護する強固な体制を早急に整備する必要がある。防衛庁のような“無断収集”“目的外利用”は厳禁。疑われるような行為も慎むべきだ。ワン・トゥ・ワン・マーケティングなども「顧客に良かれ」と思って導入しても，多くの人には胡散臭いものだ。やはり消費者の冷ややかな視線を忘れるべきではない。