個人情報保護を考える |
作成日: 2005-05-05 最終更新日: |
最近、法律に詳しい友人と何回か会った。たまたま、個人情報保護に関する法律 (以下、個人情報保護法)についての話題になった。 友人は「今の個人情報保護法は問題が多すぎます」と断言した。 どのようなことだったかは覚えているのもあるが、忘れてしまったのもある。 以下、書くことは友人との話題に基づいているが、以下の記述の責任は私にある。
まずは個人情報保護法の目的から考えてみよう。法律の最初には目的が記述されているので、引き写してみよう。
(前略) 個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
ところが、その後で出てくる各種の義務を考えると、本当に有用性に配慮した結果なのか疑問に思える。 もしこれらの義務をまじめにおこなったとすると、無用な業務を多く発生させ、 業績につながらないコストになってしまうのではないか。 そんなことを憂慮してしまう。
共同利用とはどういうことだろうか。第23条第4項では、次のように述べられている。
4 次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用 については、第三者に該当しないものとする。 一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱い の全部又は一部を委託する場合 二 合併その他の事由による事業の承継に伴って個人データが提供される場合 三 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同 して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目 的及び当該個人データの管理について責任を有する者の氏名又は名称について、あら かじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
ある個人情報について、A社とB社が共同して利用する場合があったとする。 仮に、このA社とB社の共同利用している個人情報が漏洩したとする。 その場合、A社とB社の、どちらが責任を取るのだろうか。 A社は「うちは知りません。B社の問題です」B社「うちではありません。A社に責任があります」 ということにならないだろうか。
日本工業規格(JIS)には、JISQ15001 (個人情報保護に関するコンプライアンスプログラム) という規定がある。 こちらでは、共同利用という概念がない。その代わり、間接収集という概念が導入されている。 個人情報を所有している人(情報主体)から収集する組織が行うのは直接収集であり。 また、収集した組織から、別の組織が個人情報を収集するのは間接収集である。 共同利用における、責任の不明確さは、直接収集と間接収集の考え方を導入することによって軽減されると思う。
個人情報を研究している知人がいる(上記友人とは別)。その知人の失敗談を語ってもらおう。
個人情報は、遅かれ早かれものである、と聞いた。それならば、漏れることを前提で、 漏れた経路がわかるように工夫をすべきである。ものの本を読んでみると、こんなことが書いてあった。 個人情報を外部に出すときには、氏名や住所などを郵便配達に困らない程度に変えるとよい。 たとえば、裕仁を浩人にするとか、住所にAやBをつけるなどの方法がある。 そうすれば、漏れたときの氏名や住所から、経路がわかる。
それを読んだ知人は、早速実行してみた。ちょっとずつ名前を変えたり、住所を変えたりしてみた。 そうして、はたと気づいた。変えた名前や住所を、どの会社や組織に送ったのか、忘れている! 「意味ないじゃん」
これに追い打ちをかけるように、困った事態が起きた。 この知人は、パソコン用のウイルス対策ソフトを1ライセンス買っている。 店頭で購入したが、後のサービスのため、そのソフト販売会社の会員となっている。 もちろん、その会員登録時には、名前と住所を変えている。誕生日も変えた。
さて、知人が新しくパソコンを買った。当然ウイルス対策ソフトも買うつもりだったが、 都合で伸び伸びになっていた。すると、ソフト販売会社からメールが来て、 会員に安価でもう一つライセンスを販売します、と書いてあった。 早速申し込んでみようとした。よく見ると、この販売はクレジットカード決済のみである。 カード情報を入力しようとして、顔が青ざめた。名前が違っているから、審査には通らない。 これではせっかくの機会を逃してしまう。会員情報を変更ページを探した。 しかし、情報変更画面には、「名前と生年月日は変えられません」と赤字で注意書きがあった。
知人は、仕方無く別のソフトを買ったようだ。
皆様には、くれぐれもこのような愚を繰り返さないように注意されたい。(2005-10-14)
まりんきょ学問所≫ 中小企業診断士(休止中)勉強の部屋≫ 個人情報保護を考える
