無題標準ページ

「個人情報保護基本法制に関する大綱案(中間整理案)にいて　(00/06/10)

５月２６日、政府の個人情報保護法制化専門委員会の「個人情報保護基本法制に関する大綱案(中間整理案)」が明らかになりました。
毎日新聞のサイトに公表されましたからご覧になった方も多いと思いますが、これについて少し考えてみたいと思います。全文は個人情報保護法制化専門委員会のＨＰに個人情報保護基本法制に関する大綱案（中間整理）として／２にアッブされています。朝日新聞の報道は名簿屋が排除されるなどとかなり的外れでした。個人情報を目的の範囲外で第三者へ提供することが認められないことは特に目新しいものではなく、問題はそれを法的に強制できるか、あるいは以前出された個人情報保護法検討部会の中間報告とどう違うかです。

１．定義では「個人情報」に検索可能な状態で保有されているマニュアル処理のものを含むと、これまで明かでなかった点を明確にしています。

２．基本原則の関連では、
「(1)利用目的による制限」について【注】で利用目的の変更可能な範囲について今後の検討事項としています。
これは、実務上はかなり重要です。収集後に簡単に利用目的を変更できるのでは利用目的を明確にする意味を失うのは当然ですが、会員制のサービスを提供している場合などではサービス内容の変更などの場合に厳格に当初の目的に限定されるのでは実際的ではないのです。実際にJISのコンプライアンス・プログラムを作成する上で、現状ではスタンダードがないため、とても悩むところです。

「４．政府の措置及び施策」について
ここでは「（5）苦情等の処理」で「政府は、事業者による個人情報の処理等に関する個人からの苦情等を受け付け、適切に処理するものとすること。政府は、受け付けた苦情等の処理に当たって、必要な調査を行うことができるものとすること」と政府が関与することを認めています。また【注】でも「2 政府は苦情等の処理に当たって、事業者に対し、個人情報の適切な取扱いに関する勧告を行うという仕組みも考えられる」としています。
これは米国がＥＵとの話し合いの過程で行政の介入を示しており、実際にＦＴＣなどが積極的に行動していることと関連しているのかも知れません。米国ではかなり強力な権限をもって介入していますから「勧告」のレベルで十分か、特にＥＵとの話し合いでこれで理解が得られるかは疑問があります。

５．「事業者が遵守すべき事項」
「(1)利用目的による制限」では「事業者は、個人情報の処理等に当たっては、原則として個人情報の利用目的を具体的に明確にし、その目的に関連し必要な範囲で行うこと。また、具体的な利用目的の通知等を行うこと」としています。検討部会の中間報告では同意を原則としていることと整合するか多少疑問があります。

同じく「(5)安全措置の実施」では「事業者は、その保有する個人情報の漏洩、毀損等を防止するため、適切な技術的な措置を講じ「個人情報の保護に関する規程」を定め個人情報の処理等に従事するものに対し同規程を周知させ、「個人情報安全管理者」を配置する等、適切な安全保護措置を講ずること」としています。これはかなり踏み込んだ指摘と云うことができます。これまでは一定のルールを定めるに止まっていたのですが、ここではそれを実現する手段をも規定しているからです。これを基本法で規定することは、罰則などにより法的な強制がないとしても、重要な意味を持ちます。例えば、これらの措置を執らない事業者が漏洩事故などを起こした場合、容易に過失が認定されることになります。この「安全措置」の準則としてはJIS Q 15001が重要になると思います。

「(6)第三者への委託」については「事業者は個人情報の処理等を第三者に委託する場合は、委託先の選定に配慮し、必要な監督等を行うことにより、十分な保護措置を図ること」としていますが、さらに【注】で「監督義務を尽くしているときは免責してよいか、引き続き検討することとする」としている点は注目すべきでしょう。委託先は債権法で云う「履行補助者」あるいはそれに類似する関係ですから、そこで生じた事故に関しては監督義務ほ尽くしていても免れないのが原則です。これを検討事項としたのはそれでは責任が重すぎると云う意見があったのかもしれません。しかし「履行補助者の過失」について無過失で責任を負うのは一般的な原則ですから「重すぎる」というだけでは軽減するのはむずかしいでしょう。ただ、監督義務を尽くせば免責するという一種の「アメ」を示す意味はあるという意見もあります。

「(7)個人情報の処理等に関する事項の公表」についてその【注】で「2 個人情報の処理等を第三者に委託している場合は、その理由及び第三者の氏名又は名称」「3 保有する個人情報を第三者に提供して使用させている場合は、その理由及び当該第三者の氏名又は名称」としているのはこれまでにないものです。JIS Q 15001でも委託については「委託する」旨で足りるとしていますし、提供についても提供先の「組織の種類や属性」などに止め具体的な氏名・名称は必ずしも出さなくても良いことになっています。その意味ではJISよりも事業者にとっては厳しいのですが、ただJISの場合には事前の同意の対象ですが、ここでは公表するだけで足りるとされています。実際には委託先や提供先は変動することが多く同意の対象とすると実務が動かない可能性があります。しかし、提供先を自由に変更することは、個人の予見に反した結果を生ずるおそれがあり、疑問と云うべきでしょう。また、提供についてはセキュリティー上の問題があるとも云われています。

「(8) 開示、訂正等」いわゆるアクセス権ですが、これは米国のsafe harborの策定時にも産業界から強い反発があったところです。この大綱でも単純な開示訂正ではなくいくつかの条件を付けています。これは、できるだけ公開したくない事業者と保護されるべき個人の利益の綱引きでもあります。しかし、実際にはコンピュータのデータの構造やシステムと関係する問題でもあります。つまり、現在のコンピュータでは個人情報を開示することを前提にプログラムが作られていないことです。そのため容易に開示することが困難な場合がすくなくありません。開示するためには別途プログラムを開発しなければならないのです。しかし、個人情報というのはそのような義務を伴うものだというふうにとらえることも可能です。