1. はじめに
最近、個人情報に関する規約に署名をする機会が多くなりました。たとえば、会員カードの申込書に氏名・住所等を記入すると、個人情報の利用目的に加え、「あらかじめ明らかにした利用目的の範囲を超えて、個人情報を取り扱うことはいたしません」と記載された書面が交付されます。これは、個人情報保護法の要請により、本人に対して個人情報の利用目的を通知するものです(同法18条1項)。
個人情報保護法の制定により、個人情報に対する意識が高まったことは評価できます。反面、この法律への誤解から、多くの問題点も浮上しています。
今回は、個人情報保護法およびその運用について考えてみましょう。
2. 個人情報保護法の制定とその内容
IT社会の到来により、大量の個人情報が処理されるようになりました。それに伴い個人情報を保護する必要性が認識されるようになり、2003年に個人情報保護法が制定されました。この法律は、国や地方公共団体の責務を規定するほか、「個人情報取扱事業者」の義務を規定しています。
「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者で(法2条3号)、所有する個人情報によって識別される個人の数が5000を超える者をいいます。従って、全ての事業者が対象となるわけではありません。まして、個人が法律の対象となっているわけではありません。
個人情報取扱事業者は、個人情報を取扱うにあたって、利用目的をできる限り特定する必要があります(法15条)。この利用目的を超えて個人情報を取扱うには、本人の同意が必要となります(法16条)。また、本人の同意なしに個人情報を第三者に提供することも原則として禁止されています(法23条)。その他、個人データの安全管理のための措置をとることや、従業員等への監督義務も規定されています。
個人情報取扱事業者はその義務に反した場合には、主務大臣から勧告・命令を受けることがあり(法34条)、命令に違反すると罰則が科されます(法56条)。
3. 個人情報保護法の誤解と弊害
この法律の制定後、「個人情報は絶対秘匿である」というイメージが先行し、本当に必要な情報が開示されないという弊害がでています。法律施行直後に起こったJR福知山線脱線事故では、安否の問合せに対して、病院やJR西日本で、個人情報保護法を理由に情報が開示されないことがあったと報道されています。また、学校などではクラス名簿の作成が中止されるという不都合が生じています。
いわゆる個人情報保護法への過剰反応といわれるものです。原因の大半は、国民のあいだでこの法律についての正しい理解が欠け、誤解が生じている点にあるといわれています。例えば、以下の点が特にそうです。
(1)個人情報保護法23条1項について
個人情報保護法は、本人の同意がない場合でも全面的に個人情報の第三者への提供を禁止しているわけではありません。法23条1項は、以下のような例外規定を設けています。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(三号以下省略)
問題となる事例ごとに検討してみましょう。
大規模災害や事故等の緊急時に、負傷者の家族から問い合わせがあった場合には、法23条1項2号の「人の生命、身体又は財産の保護のために必要がある場合」として、本人の同意なしで情報を提供できます。製品に重大な欠陥があるような緊急時に、メーカーから家電販売店に対して顧客情報の提供依頼があった場合も同様です。
あるいは、警察等から、刑事訴訟法に基づき捜査関係事項につき照会があった場合には、1号の「法令に基づく場合」といえます。弁護士法による弁護士照会の場合も同様です。
とはいえ、現実には、この例外規定にあたるといえるかどうかの判断が難しく、結局、法律違反となるよりは、安全策をとって個人情報を提供しないという状況が生じているのでしょう。過剰反応というよりは、むしろ萎縮効果ともいえます。
(2)個人情報保護法23条2項について
名簿や電話帳など個人情報を第三者に提供することが目的である場合には、個人データの項目や提供の手段等を本人に通知するか、又は、本人が容易に知りうる状態に置くことによって、本人の同意がなくとも個人データを第三者に提供できます(法23条2項)。その後、本人から請求があった場合に、第三者への提供を停止します。
名簿や緊急連絡網を作成するには、本人の同意を得なくとも、この規定による措置をとることができます。混乱が生じたのも、このような規定の周知不足に原因があると指摘されています。
4. 今後の課題
2007年3月20日の日経新聞によると、各省庁は、例外規定の具体的な運用指針が不明確であるとの批判をふまえ、法適用の例外にあたる場合を明確にしていく方針です。すでにガイドラインは示されていますが、今後、必要に応じて分かりやすく改訂していくとのことです。
他方で、個人情報の流出も問題となっています。信販会社等が保有する顧客情報が大量に流出した事件がすでに何件も報道されています。政府は、一部では個人情報保護法の運用を厳格にするとしています。経済産業省では、小売店や飲食店、カードの印刷業者などに情報保護の強化を求めていくそうです。
一方では必要な情報が開示されないという実態と、他方では重要な個人情報が大量に流出するという問題点を、どのように解決していくことができるのか、今後の大きな課題といえます。この法律の目的は、「個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」とされていますが(法1条)、情報の活用とプライバシー、この目的を達成するため、どのように考えるべきでしょうか。
まず、法改正をすることなく、現行の法律の周知徹底をはかるという方法があります。各省庁のガイドラインの見直しや、その運用について見解を示すという方法です。これによって、規制の対象外となるケースを明確にしていきます。
これとは別に、法律を改正すべきという見解もあります。例えば、個人情報の大量流出に対応するため、個人情報保護法に個人情報漏洩罪を設けるいうものです。これに対しては、過剰反応が生じている状況下でさらに罰則を設けると、一層、必要な情報が開示されなくなるのではないかという批判もあります。
また、業種の違いに応じて、新たに個別法を制定すべきという見解もあります。高いレベルで個人情報の保護が求められている分野、例えば、医療、金融・信用、情報通信等の分野について、各々の特性に応じた個別法の制定をはかり、罰則も含めて検討するというものです。
個人情報保護法の実効性を確保するため、さらなる議論が必要とされるでしょう。
さて、皆さんはどのように考えますか?
アンケートにお答えいただき、ご意見をきかせて下さい。
- 個人情報保護法について
- 現行のままで、各省庁による周知徹底で運用の改善をはかった方がよい。
- 運用の改善に加え、個人情報保護を強化するために法律を改正し、個人情報漏洩罪を設ける。
- 一律規制ではなく、業種の違いに応じた個別法を新たに制定した方がよい。
