個人情報保護法の問題

●プライバシーの保護
●個人情報漏洩問題
●住所録・緊急連絡網の作成拒否

個人情報保護法の問題

　個人情報保護法は、個人情報の取り扱いに関連する法律、正式名称は「個人情報の保護に関する法律」という。2003年5月23日に成立、2005年4月1日に全面施行された。この時、企業側に対策として2年間の準備期間を設けた。それは、本人の意図しない個人情報の不正な流用や、個人情報を扱う事業者がずさんなデータ管理をしないように、一定数以上の個人情報を取り扱う事業者を対象に義務を課す法律、以下の5つの原則から成り立つ。

* 利用方法による制限（利用目的を本人に明示）
* 適正な取得（利用目的の明示と本人の了解を得て取得）
* 正確性の確保（常に正確な個人情報に保つ）
* 安全性の確保（流出や盗難、紛失を防止する）

* 透明性の確保（本人が閲覧可能なこと、本人に開示可能であること、本人の申し出により訂正を加えること、同意なき目的外利用は本人の申し出により停止できること）

　この法律によって、本人の了解なくして個人情報の流用や売買、譲渡は規制される。国の定める一定数以上の従業員を持つ企業体や、大量のカルテを有する医療機関など、個人情報をデータベース化（電子情報、紙データを問わない）する事業者は、個人情報を第三者に提供する際に、利用目的を情報主体（本人）に通知し了解を得なくてはならない。また不正流用防止のための管理を行う義務が発生する。

　これを守らない場合、情報主体の届け出や訴えにより、最高で事業者に刑罰が科されるという実効性を持つ法律である。またこの法律により、ダイレクトメールや電話商法を目的とした個人情報の売買やそれに準ずる行為を行ういわゆる名簿業者などは、その存在が完全に否定される。

　問題点としては、情報主体（個人）が苦情処理機関または当該事業者に訴えない限り、個人情報保護法が実効性を持つことは皆無な法案である。この場合、政府による監査機能の一切ない法律の中で、どれだけの事業者がこの法律に沿って個人情報を取り扱うかは大いに疑問が残る。

　この法律の意味する根底の部分には、情報主体に対して、自分の個人情報の取り扱いについてもっと関心を持ってほしいとの政府側の要望的意味合いが込められているようだ。法律が自分たちの個人情報をすべて守ってくれるという考え方はできない。

　「実効性がない法律」という印象を持たせる一方で、個人情報保護法に定められる「認定個人情報保護団体」（個人情報の取り扱いに関する事業者への苦情の処理や、個人情報保護指針の作成・公表を行う主務大臣認定の機関）によって、Pマークのような認定を証明するマークの発行を考えているNPO団体もあるようだ。



　個人情報の取扱いやプライバシーの保護については、1980（昭和55）年に「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」が採択されるなど、国際的にも次第に重要視されるようになっていた。日本でも、1988年（昭和63年）に公的機関を対象とした「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」を公布し、更に民間部門に対しては1989（平成元）年に通産省(現:経済産業省)により「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」が策定され、個人情報の保護にあたっていた。

　また1995（平成7）年、EUが「個人データ処理に係る個人情報保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」を採択し、EU加盟国以外への個人情報の移転は、当該国が十分なレベルの保護措置を講じている場合に限られるとした。この指令により顧客データの授受を始めとする様々な経済活動に影響が出ることが懸念されたため、1998（平成10）年「プライバシーマーク制度」を設立、制度の検討期間中にEU加盟国等に「十分なレベル」に達することを確認した。但し、2005年12月にプライバシーマーク使用許諾事業者が個人情報をWinnyに流出させたが2006年4月この事業者に対し現在罰則など行われていない。他に国際基準として「情報セキュリティマネジメントシステム」もある。ちなみに両制度については、「個人情報漏洩に対する企業の対策」「個人情報漏洩後の企業の対策」を企業が細かくマニュアル化し、それを社員が認識し実行しているかどうかを調べて認定される。取得には大体1年以上の時間を要すことになる。

　しかし前述した「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」には罰則規定が無く、また民間部門を対象としたガイドラインには法的拘束力が無いなど、個人情報の保護という観点から十分に機能しているとは言いがたい状況であった。中川秀直愛人スキャンダル事件、更に住民基本台帳ネットワークの稼動やYahoo! BB個人情報漏洩事件など多発する個人情報漏洩事件を受け、前述の個人情報保護法関連五法が国会に提出されるに至った。

　この法律及び同施行令により、個人情報を大体5,000件以上個人情報データベース等として所持し事業に用いている事業者は「個人情報取扱事業者」とされ、「個人情報取扱事業者」が個人情報を漏らした場合等、主務大臣への報告義務など適切な対処を行わなかった場合は事業者の刑事的罰則が取られる事になった。

　個人情報を取得する際には個人情報の利用方法を本人に明確に伝えなければならないために、報道の自由を侵害するなどの理由で一度廃案となったが、再度審議され成立した。企業への準備期間として成立してから施行するまで2年間の期間を設け、個人情報保護法施行前月の2005年3月にはこれまで起きていたが隠蔽していた個人情報漏洩事件を公表する企業が多くあった。

　問題点として、議決・公布された現在でも、言論の自由を制限することになるなどの意見がある。

　他にもマスコミ関係・学校・宗教や政治団体・非営利団体(NPO)などのサイトなどではこの法律適用外となっているが未だ基準が曖昧とされる。ちなみにこのWikipediaも非営利団体なのでこの法律には適用外だとされている。

　だが上記で述べた住民基本台帳には「悪意が無ければ誰でも個人の氏名・住所・生年月日・性別を閲覧可能」と定める住民基本台帳法があり、こちらは個人情報保護法とは別の法律であるため民間に個人情報保護を押しつけておきながら行政が個人情報を垂れ流しているという批判の声があり、現にこの法律を悪用して犯罪を犯した者も現れ、社会問題の一つとなっている。

　さらにこの法律に関する正確な情報が世間一般に行き渡っているとは言いがたい。例えば、国の運営活動に必要かつ正当な利用に関しては適用外となっているが、選挙運動や国勢調査などの円滑な実施（特に後者は日本に居住するすべての者に申告の義務があるため、個人情報保護法を理由に協力を拒否すれば違法となる）の障害となっている。

　また災害や大規模な事故などが発生した際の安否情報も、第23条第1項の「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当するため公表しても差し支えないと解釈されるが、JR福知山線脱線事故のように、周知が行き届かなかったために、情報の取扱いに混乱をもたらした事例もあった（詳しくは同記事参照のこと）。

　公務員の懲戒処分について、個人情報保護を理由に実名を公表しない自治体もあらわれており、特に行政機関における運用においては問題も多いとする意見もある。しかし一方で、行政機関には別に「行政機関の保有する個人情報の保護に関する法律」や各地方公共団体で制定された個人情報保護に関する条例に基づいて判断することが一般的であるため、見直すとすれば、基本法である個人情報保護法ではなく、前述の法や条例のほうではないかとする意見もある。

　一部の医療機関は、患者を呼び出す際に氏名を使わなくなった。学校では、新学年始業式と同時に作成される住所録・緊急連絡網の作成を拒む保護者も現れる。その為、内閣府ではこういった過剰反応や誤解に対し批判し、個人情報保護法に抵触しない例を出すこととなった。だが、近年ではWinnyなどファイル共有ソフトを使って個人情報が漏洩する事件が後を絶たない為、個人情報保護法が出来たとはいえども個人情報の管理が甘い省庁や企業が未だに多いとの批判もある。またマスコミのみ特別扱いうけていることに、一般市民から批判がある（法の下の平等に叛くゆえ）。

（文責：ｙｕｔ）

戻る