個人情報保護の時代 京都大学大学院工学研究科附属情報センター　助教授　上原哲太郎
この4月から個人情報保護法が完全施行されたというのはご存知の方も多いかと思います。この法律、ほとんどの民間企業や団体（CSIのような非営利団体も含みます）、個人事業者にまで適用されるかなり重要な法律であるにも関わらず、受け止められ方に圧倒的な温度差を感じます。特に4月の施行以降、意外と世の中の状況が変わっていないのを見て対応を進める気配がない団体も残っていたりします。これはさすがに、ちょっとまずいんじゃないでしょうか。 　その原因ですが、そもそも個人情報保護法の「精神」というものが、どうもどこかで捻じ曲がって伝わっているせいなんじゃないかと思うのです。個人情報漏洩事件を契機に意識が高まったことによるんでしょうが、「個人情報保護法」＝「重要な個人情報の漏洩を防止する法律」であるかのような誤解があまりにも広がっているように感じてしまいます。個人情報漏洩防止は個人情報保護の重要なファクターのひとつであるのは間違いありません。しかし今回の法律に限って言えば、もっと基本のところをちゃんと押さえましょうよ、という法律になっているのに、その部分が伝わっていないような印象なのです。 個人情報保護法の「キモ」 　私は法律の専門家ではありませんが、セキュリティ研究をしている関係上必要に迫られて個人情報保護法は勉強しています。幸いこの法律に関してはよい本や資料がたくさん出回っていて、門外漢でもちょっと勉強すれば割と簡単に理解できます。これらのいずれかを少しでもお読みになればおわかりかと思いますが、実は個人情報保護法のうち、情報漏えい防止に関わる義務という部分はわずかであって、結局は個人情報の取り扱いを適正化するための法律として書かれていることがわかるはずです。 　この場合の適正化とはなんでしょう。個人情報保護法はもちろん、個人情報を取り扱う事業者を対象とした法律ですが、その「キモ」を理解するにはむしろ個人情報の主体となる一般個人の立場に立ったほうが簡単です。例えば私が近所のスーパーでポイントカードの作成を勧められたとしましょう。その入会のときに住所氏名電話番号、性別、生年月日、家族構成、年収の記入を求められたとします。この情報が漏れる漏れないの前に、この情報を一体何のために使うのか気になりますよね。家族構成を聞かれると、ポイントカードで買い物するたびに家族構成ごとに統計を取られるのかと気になりますし、年収を聞かれると関連するローン会社に名簿を回されるような疑いを持ちます。そう考えるとそもそも生年月日や性別は本当に要るのか、実は住所氏名で十分なのではないか、と考えたりしませんか。
要するに個人情報流通に伴う実害は、個人情報を利用して個人の行動や性向などを調査されることによる不快感、その情報を勝手に他者に横流しされ、さらに困った使われ方をすることに対する不快感が主なものです。個人情報保護法が事業者に求めているのは、各事業者が個人情報をどのような 形で集め、誰に渡し、どのように使っているかについて、きちんと本人に示し、責任を持って扱いなさいということなのです（図を参照のこと）。残念ながら、この法律は産業界の要請もあって、この基本的な部分に対する簡単な規定しかない法律になっています。例えば重要な個人情報に対する特別な規定はないし、また情報漏えい防止義務を強く求めているわけでもありません。そこが誤解されている限り、「重要な」個人情報を扱うところ以外はこの法律を軽んじますし、また市民も「漏洩が起きないように法律が守ってくれているらしい」という誤った安心感を持ち続けることになるでしょう。
市民の厳しい目が個人情報の取り扱いを是正する 　各団体の個人情報保護法対応の状況がかなりばらつく中で、今も意識の低い団体では個人情報がずさんな使われ方をしており、いつの間にか関連会社に流れていたり、思いもかけない使われ方をしたりと明らかに違法な状況があります。保護法施行で事実上違法事業になった「名簿屋」もまだまだ暗躍しており、我々の個人情報が勝手に取引される不愉快な状況はなかなかなくなりそうにありません。 　この状況を是正させるには、各個人が、自分の個人情報提供を求められた際に、その団体が使用目的を明確にする、つまり「個人情報保護ポリシー」を提示するなどの義務をきちんと果たしているか確認し、またその後も目的に沿った使い方をしているか監視し続けるしかありません。漏洩してから初めて大騒ぎするのではなく、普段から市民が自分の個人情報の取り扱われ方に敏感になることが大切なのだろうと思います。

Copyright (C) 2005 Chugoku-Shikoku Internet Council. All Rights Reserved.

目次に戻る/Page3を表示