「ひとりの顧客という立場から見た場合、この法律は日本社会を大きく前進させるものと言える。しかし顧客の保護という面では、まだ足りない部分もある」。セキュリティ・コンサルティング会社であるグローバル セキュリティ エキスパートの山崎文明 代表取締役副社長は、5月23日に可決された個人情報保護法案をこう評価する。
個人情報保護法は、これまで野放し状態だった個人情報のコントロールについて規定したもの。個人情報を保有する企業に、その保護を義務づけている。だが、山崎副社長が指摘するように、あらためて顧客の立場から法律を検証していくと、まだ及び足りない部分がある。
例えば条文の第27条には、「本人から要請があれば削除できる」旨が書かれている。しかし「多額の費用を要する場合その他の利用停止等を行うことが困難な場合」(第27条)はその限りでないなど、条件が付け加えられている。うがった見方をすれば、場合によっては企業側は削除に応じる必要はないとも解釈できる。企業側が「保身」に走ろうと思えば、楽に遵守できる法律ともいえる。
また、宗教や身体上の特徴といった、いわゆる「センシティブ・データ」に対する規定も現時点では存在しない。欧米の法律では、これらの情報を集めること自体を禁止しているケースもある。個人情報保護法がごく基本的な内容を規定するにとどまったため、この法律は個人情報保護法ではなく、個人情報「取り扱い」法である、と見る向きもある。
個人情報保護法が成立したことで、企業はコストや手間をかけて個人データの管理対策を強化する必要に迫られている。ただし、「グローバルに展開している日本企業はすでに、厳しい欧米の法律にのっとった個人情報保護の仕組みを整えている」(山崎副社長)。
また、顧客データの扱いを厳重にしてきた企業にとっても大きな影響はないようだ。電子ショッピング・モール運営の楽天は、「これまでも顧客データを適正に取り扱ってきたと認識しているので、法律が施行されたことによる影響は小さい」(広報)としている。先進的な企業が当たり前にとってきた対策が、今回あらためて法律として制定されたともいえる。
アクセンチュアの武田 圭史マネジャーは、「個人情報の誠実な取り扱いが、顧客サービスの一環として認識される時代になった」とみる。個人情報保護法は、本当に最低限の“サービス・レベル”を示すものと見たほうがよいだろう。
