 |
(eNewsletter編集部)個人情報保護法が全面施行されてそろそろ一年を迎えます。企業や関係者の方々からはどんな声が聞こえてきていますか?
鈴木 何をどこまでどの程度やればいいのかわからず途方に暮れるという声はよく聞きますね。企業としてはなるべく自由にビジネスをやりたいわけですから、個人情報保護法に限らず法規制を歓迎する人は少ないのだろうと思います。
|
|
 |
|
|
しかし、欧米、特にEUから見れば、日本の個人情報の保護に対する法的な取り組みが遅れていたのは確かで、EU域内の企業でも何年も前から現在の日本企業と同様の悩みに直面し、それを克服する努力をしてきたのですから、日本企業だけ「できない」と対策を放棄するわけにもいかないというところだと思います。
佐藤 HPでは昨年「個人情報保護法対策の進展調査」を実施したのですが、そこでは中小・中堅企業の深刻な状況が浮かび上がっています。たとえば、大企業でも対策をやったところとやっていないところがあるのですが、「今後対策予定があるか」という問いに対しては、ほぼ100パーセントの企業が「予定がある」と答えています。ところが中小・中堅企業の場合、「対策はしていないし、これからも行なうつもりはない」との答えが1/4近くもあり、かなりの企業が「対策そのものを放棄してしまった」ような節もある。また、個人情報保護法の内容に対する理解度の設問では、半数以上がその内容をほとんど理解していないことが読みとれ、法そのものへの理解も、実際の取り組みも、かなり偏りがあるというのが現時点での実情になっています(下図参照)。
|
|
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
鈴木 なるほど、確かに個人情報保護法には悪口も多いですよね(笑)。ただ、とにかくはじめの一歩を踏み出し、少なくともこの一年で、個人情報保護に対する意識を高めたという意味では、基本的には評価すべきだとも考えます。全国的に保護水準を底上げし、短期的に見れば政策的に一定の効果をあげたわけですし、この法がなければ、企業の情報セキュリティ対策などへの投資はここまで伸びなかったと思います。
佐藤 その通りだと思います。ただし私がこの一年を振り返り感じるのは、実際の対策について、個人情報保護法のごく一部でしかない「漏洩防止」の部分にだけ注目が集まってしまっているのではないかということですね。個人情報保護法では本来その部分にはあまり触れていないのですが、結果としてその方向にのみ力を入れている企業が少なくない。また「利用目的の通知」や「本人関与への取り組み」といった規定について積極的に対策を進めた大企業でも、実際には「漏洩防止」の部分しか行なっていないケースが、実は相当あるのではないかと思います。
鈴木 現状ではいろいろと改善の余地もありますよね。中小企業を中心にまだまだ理解が進んでいないところは啓発活動を継続していく必要がありますし、過剰反応に対しても意識を変えるような活動が必要でしょう。また現行法のかかえる構造的な問題もあるわけですが、これについても、個人情報保護指針の作成を促す、さらには個別法の検討も行うなど、どんどん改善を繰り返していくべきだと考えます。
|
|
|
|
|
|
|
|
(編集部)現行法の構造的な問題とは?
鈴木 個人情報の保護のために企業がなすべきことは、業種ごとに特徴があり、事業規模等によってもその対策レベルが異なることがあります。たとえば、医療機関であれば「医療カルテ」など医療情報が中心となります。情報の取り扱いも医療現場の安全と業務効率の観点からの検討が必要ですし、また、患者さんの権利利益の保護などの視点も重要です。本人への開示一つとっても「病名告知」という難しい問題があるように、一般企業とは異なる医療法制を踏まえた特別の定めが必要です。
|
|
 |
|
|
このように情報の取り扱い方は本来、業種や業務の特性に応じ、丁寧に個別的に規律していく必要があるのですが、現在の個人情報保護法では、民間企業を包括的にカバーする「包括規制」が採用されています。ところが現場はさまざまですから、包括規制による一律の規制では当然に混乱が生じ、守るべきルールもあまりにも抽象的で「自社の業務で具体的に何をどこまでやればいいかわからない」という問題が起こっているのだと思います。
やはり、「個人情報」と一口に言っても、その概念は非常に広く、たとえば顧客コードや名刺から医療カルテまでとても幅広い範囲のものを含みます。それらを単一のルールで取り扱うのは、もともと非常に難しいということ。また、事業の種類や規模を問わずにひと括りに「個人情報取扱事業者」として規制している点も問題で、個人事業主もメガバンクも同じルールで規制することにはやはり無理があると思います。これらは企業が対策に苦慮している大きな理由でもあるのですが……。
|
|
|
|
|
|
|
|
(編集部)「包括法制」でスタートした理由は?
鈴木 本来は「業種などに応じて個別に法律を作った方がよい」ことは、みんなわかっているのです。しかし、個々の規制対象となると、規制を受ける特定業界が抵抗することも多く、解決が難しい新たな論点も出てきますし、法律ができるまでに何年もの時間を要することにもなってしまいます。そうした過去の経験から「包括規制」という政策をとらざるを得ない状況があったわけで、もともと起草担当者も、包括規制が副作用をともなう立法政策であることは、重々承知していたのではないかと思います。
|
|
 |
|
|
|
|
|
|
|
(編集部)そうした課題を解決し、次のステップにいくにはどうしたらいいのでしょうか?
鈴木 まずは、過剰反応などの問題が起こる原因を分析することが必要です。法律が制定されたばかりで十分な周知がなされていないというのが原因なら、過渡的問題ですから、啓発活動でやがて解消されるはずです。しかし、それだけでは解決できない法律自身に根ざす問題が大きな原因なら、それを改善していく必要があります。
|
|
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
ただ「包括規制」が問題であることは当然、起草担当者もわきまえているわけですから、その副作用を緩和する仕組みも実は用意されているのです。一つは「個人情報」の取り扱いについて、一度に全ての義務を課すのではなく、保有の状況に応じて、「個人情報」「個人データ」「保有個人データ」の3つに段階に区分して、規制に適応するという方法。つまり、取得した「個人情報」は、名簿化やコンピュータ入力によるデータベース化で「個人データ」となり、自社の権限の及ぶ「個人データ」を6ヶ月以上保有すると「保有個人データ」になる……。そのように、保有の段階に応じた3つの概念を用意することで、絞り込みを行い、段階的に義務が追加されていくという仕組みが採用されており、広範な「個人情報」概念による過剰規制の緩和を行なおうとしています(上図参照)。
|
|
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
もう一つは、「法律」→「政令」→内閣による「基本方針」(告示)→主務大臣による「ガイドライン」(告示)→認定個人情報保護団体による「個人情報保護指針」と下位のルールにいくにしたがって段階的にルールを詳細化・具体化する仕組みも採用しています。最後の「認定個人情報保護団体」は、主に業界団体を認定することを想定したものです。したがって、各業界団体は、自ら監督官庁に認定を願い出て、それぞれの業界の業務に応じた詳細なルールを、官と民とが協議しながら作り込むこともできるのです。ですから、民間の努力次第では、個人情報保護法の運用の枠の中で、「個別法制」的なルールを作りあげることはできるわけですね。法律の中身が抽象的にすぎて対応できないと対策をあきらめるのではなく、この認定個人情報保護団体制度を活用して、自ら「個人情報保護指針」を策定し、ルールの詳細化に努めるべきではないかと思います(上図参照)。 ≫ 【Chapter 2】 情報をどう管理すべきか? |
|
|
|
|
|
|
印刷用画面へ
