2005年4月から個人情報保護法が全面施行された。その一方で、国内外を問わず個人情報の漏えい事故や事件が後を絶たない。そのような中、経済産業省の「情報セキュリティ総合戦略策定研究会」などの委員を歴任し、情報セキュリティや個人情報保護法に詳しい弁護士の岡村久道氏に、どのように個人情報を管理していけばよいか、個人情報保護法にどう対峙(たいじ)していけばよいかなど話しを聞いた。
――日本で個人情報保護が騒がれるようになったのはここ数年のことと認識していますが、そもそも個人情報保護法が施行された背景から教えて下さい
岡村:大きく分けて、国際的な要因と国内的な要因の両面があります。
国際的な要因としては、1980年9月にOECD(経済協力開発機構)理事会による「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」が出されたこと、また1995年に欧州議会で「EU個人データ保護指令」が採択されたことという2つの大きな動きがあり、日本もこれらに対応する必要があったのです。
OECDプライバシーガイドラインには、「個人データに関する収集制限の原則」や「データ品質の原則」など8原則が示されていて、法的な拘束力はありませんが、OECD加盟国が国内法を整備する際の基礎となっています。OECD加盟国である日本の個人情報保護法もこの8原則を踏襲した内容になっているのです。
EU個人データ保護指令では、「EU加盟国は1998年までに個人情報保護に関する法制化を行なうこと」「加盟国以外(第三国)への個人情報の移転は当該第三国が『十分なレベルの保護措置』を講じている場合に限ること」が定められました。そのため、日本でも個人情報保護に関する法制度を整えなければ、今後、日本の企業がEU圏内で自由に事業活動を行えない可能性が出てきたのです。
一方、国内的な要因ですが、日本国内でも1998年あたりから個人情報の漏えい事件や事故が顕著になっていきました。その最初のピークが1999年です。同年5月に京都府宇治市で発覚した22万人の住民情報データの流出事件、同年7月にNTT東日本/NTT西日本およびNTTドコモで起こったNTT社員による顧客情報漏えい事件がその代表例です。そして、直接的な引き金となったのが1999年春に住民基本台帳を改定して住民基本台帳ネットワークを導入しようという法案が出されたことでした。
こうした国内外における各種の要因によって、日本の民間企業もきちんと対応していく必要が出てきたため、個人情報保護法が施行されるに至ったのです。
個人情報保護法では、個人情報を「生存する個人に関する情報であって、氏名、生年月日などにより特定の個人を識別できる情報」と定義しています。
また、この法律の目的は個人情報の「保護」と「利用」のバランスを目指すことにあります。情報技術が急速に発展する中、個人情報が漏えいすれば影響は甚大ですが、その一方で、多くの企業は個人情報を活用することでビジネスを成立させています。そのため、企業がセキュリティを守りつつ、一定のルールに基づいて個人情報を適切に活用し、健全な企業活動を行っていくのをバックアップしようというのが、個人情報保護法の目的なのです。
――個人情報保護法が全面施行されて3カ月以上が経過しましたが、連日、個人情報の漏えい事件や事故が後を絶ちません。まずは、情報を提供する側の一個人がこのような事件やトラブルに巻き込まれないためには、普段、どういったことを心がければよいのか教えて下さい。
岡村:いくら法律で保護したとしても、いつの世にも悪質な業者や悪意のある個人というのは存在します。そのため、私たちはまず「悪質か否かを判断する目」を養うと共に、「常日ごろから個人情報に関する高い問題意識を持って自己防衛していくこと」が重要です。
実例を挙げていきましょう。例えば、銀行のATM(現金自動預払機)でお金を下ろした際に出てきた「ご利用明細表」を、安易にそのままポイッと備え付けのゴミ箱に捨ててはいけません。明細表に記載された口座番号や残高などは立派な個人情報であり、それを誰に拾われて、どう悪用されるか分からないからです。最近はシュレッダーが設置してある銀行もありますので、そういったものを活用するように心がけましょう。
景品や粗品を“エサ”にして、色々な個人情報を引き出そうとする業者もあります。個人情報を活用したビジネスは、ある一定レベルまでは正当なものとして法律で認められていますが、仮に相手が悪質な業者であれば、悪用をされてしまう危険性があります。目先の景品などにつられて安易に個人情報を提供してしまうと、思いもよらない被害に遭うかもしれません。
本やCD、DVDなどをレンタルする際には会員登録が必要ですよね。同様に、Webサイト上で各種サービスを受ける場合も会員登録が求められる場合が多い。しかし、そのときに、趣味や家族構成など、サービスを受けるのに必要な範囲を明らかに超えた情報を求められることがあります。それが、信頼できるWebサイトであればともかく、そうでないなら、安易にそういった情報を提供しないことです。
いくら、「第三者に無断提供してはいけない」という内容の法律があっても、いったん流出してしまった情報は二度と取り戻すことができないことを自覚しましょう。そして普段から、余分な個人情報は出さない、使わないということを心がけ、「自分の個人情報は自分できちんと管理する」ということを肝に銘じましょう。
ここで留意すべき点は、相手が信頼できる業者やWebサイトであるか否かをきちんと見極めるということです。Webサイトの場合、日本情報処理開発協会(JIPDEC)が定める、個人情報取り扱いに関する認定制度「プライバシーマーク」が付いているかどうかも大きなポイントにはなりますが、自分で判断できる情報スキルや情報リテラシーを常に磨いておくということが重要なのです。
なぜなら、それを各人が行っていかなければ、個人情報に関してまじめに取り組んでいる企業が報われ、悪質なことを行う企業が淘汰(とうた)されるといった健全な社会を築いていくことができないからです。
いたずらに悪質な業者を恐れて便利なサービスを利用しないのでは、各人としてもIT化のメリットを享受することができません。ですから、個人情報に対して過剰反応したり、逆に過少反応したりすることなく、適切に対応することが重要であり、そのためには高い情報スキルが必要だということなのです。そして、個人情報保護法に関する正しい知識をすべての国民に持ってもらうための啓蒙活動を行っておくことも、私の重要な役割のひとつだと考えています。
日経BP社 2005年7月15日
Link
