楽しくない時代
最近、個人情報の保護に関する法律(以下「保護法」)に関して検討した事案があり、2017年5月30日から改正保護法が全面施行されたこともあるので、改めて保護法について基本から考えてみることにした。IT、AIに関する法務のかなりの部分は、「情報」、「データ」が関連するので、「AIと法」の法部門の嚆矢にふさわしいだろう。
さて多くの事業主や企業は「御社のした個人情報の取得(提供)は、違法である」といわれると、それだけで震え上がってしまう。これにプライバシー、コンプライアンス、説明責任と畳みかけられると、頭の中が真っ白になってしまうことになる。でもそのような指摘が正しいことは稀である。
今は、「個人情報」に限らず、本来正しい出自を持つ(であろう)言葉が、本来的な定義や意味内容とは関係なく「語感」を恣意的に膨らませたイメージを基にして、「ゴシップ」(ロビン・ダンバーがいう言語の起源を想定している。)の「武器」として使用され、あたかもそれが真実であるかの如くネットを通じて勢いよく拡散、流通してしまう。
何が正しいのかとは別に、このような事態になりそうな、あるいはなってしまったときの最低限の対応(あるいは心構え)だけは考えておく必要がある。私はIT、AI大好き人間であるが、この「ゴシップ」の拡散、流通を楽しいとは思わない。
前振りが長くなってしまったが、「ゴシップ」の拡散問題は追々考えていくとして、ここではまず「個人情報」として降りかかってきた火の粉を、正当に振り払うために、保護法を基本から考えてみよう。
まず本項(その1)では、保護法に違反するとどうなるのか、事業者が取り組むべき課題は「個人情報データベース」の適切な運用であること、そもそも「個人情報」とは何かという、保護法の「尾根」を辿ってみよう。
保護法に違反するとどうなるのかを考えよう
指導、助言、勧告(それでも是正されなければ命令)を受けるだけであること
保護法は、「個人情報取扱事業者」が「個人情報」(及び「個人データ」、「保有個人データ」)を取り扱う(取得、利用、提供等する)場合のルールを定めている。取り扱う「情報」が何種類にも分かれ(改正法によって「個人識別符号」、「要配慮個人情報」、「匿名加工情報」が付加された。)、それに応じてなすべき行為も複雑に絡みあっているので、お世辞にも分かりやすいとはいえない。取り扱う「個人情報」が膨大で違反した場合の影響が大きい大手事業者以外は、内心びくびくしながら、表面をなぞって済ませるのが精一杯であろう。
ところで精一杯なぞった結果、残念ながら保護法に違反していた場合、どうなるのであろうか。
それは、保護法の「第3節 監督」に書かれている。
「個人情報取扱事業者」に何か問題があったら(ありそうだったら)、
①必要な報告若しくは資料の提出を求められたり、立入検査を受けることがあります(40条1項)、
②個人情報等の取扱いに関し必要な指導及び助言を受けることがあります(41条)、
③「保護法の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告されることがあります(42条1項)、
④「勧告を受けても正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、その勧告に係る措置をとるべきことを命じられることがあります(42条2項)、
⑤「緊急の場合はいきなり命じられることもあります」(42条3項)という流れになる。
そして、 ④⑤に違反した場合は、「6月以下の懲役又は30万円以下の罰金に処する」、①に従わなかった場合は、「30万円以下の罰金に処する」ことになる。
おや!「個人情報」の取扱いに不備があった場合は、お役所にいろいろと調べてもらって、保護法に沿うように指導、助言、勧告をしてもらい、それを聞き入れず、命令にも従わなかった場合にはじめて「6月以下の懲役又は30万円以下の罰金」?これは決して重い罰則ではないし、お役所がそこまでやってくれたのなら普通は聞き入れるだろう。
その外に苦情処理制度に付き合わされることもある。多少煩わしい場合があるかも知れないが、それも問題がある場合に任意の解決をしようとする制度だ。
それに、今回の法改正で「個人情報取扱事業者」には、事実上、すべての事業者が含まれることになったこともあり、大量あるいはセンシティブな「個人情報」を取り扱っている事業者以外の行為が問題になることは稀であろう。
要は、保護法は、これからの「高度情報通信社会の進展」の中で大量に流通する「個人情報」の取扱いは極めて大切なことだから、漏洩等が生じないようにみんなで保護法のルールを守りましょうという、ソフトな「仕組み」になっている(「交通違反」の対応とは大違いだ。)。そう考えると、随分気楽になるし、保護法のルールも冷静に取り入れようという気になるのではないか。
それだけでは済まない問題もある
ただそれにも拘わらず、どうして「個人情報」の取扱いがこれほど問題なることがあるのだろうか。
ひとつは、「個人情報」の他に、「プライバシー」という法律上保護される利益があり、「個人情報」と「プライバシー」が重なる部分があって、保護法に違反することが、プライバシーの侵害と同視され、非難、クレームの対象とされてしまうことがあることにあろう。実態は単なる「ゴシップ」の類で言いがかりに等しい場合もあるが、そうでない場合もある。事業者としては「炎上」を意識し、内容に応じた適切な対応をすることを余儀なくされるのはやむを得ない。
もうひとつは、「個人情報」が業法に組み入れられている業種があり、その場合は、免許の問題にもなってしまうことがある。
さらに保護法の条文の構成、内容の出来がよくないことからもたらされる混乱もある。以下、これについて2点指摘しよう。
事業者が保護法によって取り組むべき課題は「個人情報データベース」の適切な運用であること
事業者が保護法によって取り組むべき一番大事な課題(ルール)は「個人情報データベース」の適切な運用である。そもそも保護法が適用される「個人情報取扱事業者」とは「個人情報データベース等を事業の用に供している者」(保護法2条5項)であり、個人情報データベース等を事業に使っていない者は、保護法の適用を受けないから、「個人情報」(「個人データ」、「保有個人データ」)についてのルールは一切適用されない。
事業者が、「個人情報データベース」を利用するからこそ、その構成「要素」である「個人情報」の「取得や利用目的」についてのルール、及び「個人情報データベース」のうち事業者に管理権限のあるもの(「保有個人データ」)について一定の事項の公表や本人の開示等の請求に対応する義務が定められているのである(保護法27条~34条)。
ここで用語を整理しておくと、「個人情報データベース等」とは、「個人情報を含む情報の集合物であって、ⅰ特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの及び、ⅱ特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるものから、利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除いたもの」である(保護法2条4項)。ざっくりとPCで利用する「個人情報データベース」(整理された紙情報も含むが)を念頭に置けば足りるだろう。
そして、個人情報データベースを構成する個人情報を、「個人データ」と呼称し、保護法は個人情報データベースを構成する「個人データ」について、正確性の確保等、安全管理措置(従業員、委託先の監督を含む。「情報セキュリティ管理」)、第三者提供の制限を規定している(保護法19条ないし26条)。
ここが事業者の「本丸」である。データベースの情報が漏洩したり、丸ごと第3者に提供されたりすることについて、守るべきルールがあり、そこに義務が課されているというのは当然であるし、それは分かりやすいであろう。
更に一定の管理権限を有する「保有個人データ」についての「個人情報データベース」について、付加的な義務が課されているのは前述のとおりである。
この部分の各論は、「その2」に譲ろう。
「個人情報」をめぐって
「個人情報」についての規定
保護法は、「個人情報」について15条から18条に規定している。
保護法を読む場合、まず2条の定義を読み、15条から18条を読むのが普通であるが、これを読んで、ここに何が書かれ、具体的にこれがどういうルールなのか、理解できる人はいないだろう。それほど不安定で曖昧模糊として書きぶりになっている。
しかし、事業者が取り組むべき課題は「個人情報データベース」の適切な運用であることを理解し、「個人情報」は取得後、「個人情報データベース」の「個人データ」として加工、収納されるが、その間の、どこに落ち着くか分からないぼやっとした過程を、「取得」、「利用目的」で制御したのが「個人情報」の規定であると捉えれば、随分分かりやすくなる。
個人情報の取得
「個人情報」の「取得」は出発点であるが、「偽りその他不正の手段」によらない限り自由に取得すべきものである(ただし、改正法で導入された「要配慮個人情報」の取得には本人の「同意」が必要である。)。
「個人情報」の「利用目的」とは何か
問題は入り組んだルールになっている「利用目的」であるが、目的であるから「……のため」に利用するという形で、できる限り特定することになろうが、ここでも、個人情報は「個人情報データベース」に加工、収納されるべき要素であるから、「利用目的」は、「個人情報データベースを構築しこれを……のために利用する」という形で問題になると考えるのが分かりやすい。
したがって個人情報取扱事業者(個人情報データベース等を事業の用に供している者)が、個人情報データベースと無関係に取得した「個人情報」は、保護法の埒外にあると解すべきであろう。中小の事業主や企業ではこの種の一過性の「個人情報」が問題とされることが多い。仮に、個人情報取扱事業者である限りすべての「個人情報」について保護法の適用があると解するのであれば(お役所は、目的的な「解釈」ができないことから、無反省にそのようなことを言う)、保護法18条の解釈に工夫を凝らすことになろう。さらにそのような「個人情報」は個人情報データベースに組み入れられることはないから、有形情報は廃棄すれば足りる。
そもそも「個人情報」とは何か
ここで、通常一番最初に取り上げられるそもそも「個人情報」とは何かについて検討する。
「個人情報」の定義の基本は、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」である(法2条1項)。
すなわち、「生存する個人に関する情報」のうち、その中に記述された「氏名、生年月日等」(「識別の手段となる情報」といえよう、)があることで、特定の個人を識別することができるものである。
「生存する個人に関する情報」の中に記述された「氏名、生年月日等」の「識別の手段となる情報」だけでも「個人情報」ではあろうが、そんなカスカスの情報に特段の意味があるわけではなく、それによって特定の個人のものであることが分かる「生存する個人に関する様々な情報」が、保護法の「保護」に値する「個人情報」である。
そうであるからこそ「識別の手段となる情報」はなくても、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」は、「個人情報」となることが理解できる。
これまでの世上流通していた「解説」は「個人情報」として主として「識別の手段となる情報」だけを取り上げていたから、わかりにくさが倍増していた。それが保護法から人を遠ざけていた面があったと思うが、今回の法改正によってこの点の理解は深まったように思う。
その1のまとめ
以上、保護法に違反すると事業者はどうなるのか、事業者が取り組むべき課題は「個人情報データベース」の適切な運用であること、そもそも「個人情報」とは何かという、保護法の「尾根」を辿ってみた。「その2」では、事業者が取り組むべき課題について詳述することにする。
こういう俯瞰図の元に保護法にアクセスすると、随分、分かりやすいと思うのだが、ここまででかなりの分量になってしまった。以下、参照条文を載せておく。
