個人情報保護法入門 １１

（６）開示等の求め
　この法律によって、「開示等の求め」の対応業務が新しい業務として発生します。たとえばお客様に不愉快な思いをさせてしまったことによって、「私の個人情報を全部見せて欲しい」という要求をいただくことがあるだろうと思います。
　これが権利なのかどうかということについては、いろいろ議論のあるところですが、個人情報取扱事業者の法的義務であることは紛れもない事実ですので、その対応が必要です。あらかじめ手続を定めておかないと、ケースバイケースの対応になりまして、非常に煩雑な、高コストな対応を強いられることになります。
　まず、全部開示せよという要求に対しては、事業者側がお客様に対して、その情報を特定してくださいと言えることになっています。ところが、そういわれてもデータベースの内容をわからないお客様は困ってしまいますから、特定に資する情報を示せと事業者に言えることになっています。その特定に資する情報というのは、ひとつに開示する保有個人データのいわばメニュー化です。現実問題としては、データベースに格納されているいくつかの情報をプリントアウトして出すほかないわけですから、その情報の類型をあらかじめメニュー化して、どれを開示対象としたいのですかと、最初から出しておくべきだろうと考えます。こういう業務を先行して初めて定型処理が可能になるわけです。
　また、開示等の申し出先も明確に定めておく必要があります。特に、大企業は子会社や支店がいっぱいあるわけで、場合によっては営業マンに託されてしまうかもしれません。
　開示の求めを口頭で言われてしまいますと、日常的なコールセンター業務における事実上の回答なのか、法的な義務としての回答なのか、混乱してきます。あらかじめ開示申請書を用意して、この申請書によらなければ法的義務とは認識しないと明らかにしておく必要もあります。
　また、本人以外の者に対して、すなわちなりすましに対して、回答してしまいますと、漏洩になってしまいますので、運転免許証とかパスポートのコピーを添付してもらうなど本人確認のルールも決めておく必要があります。代理人による開示の求めもあります。その確認の手続も必要です。
　それから、法３０条には、手数料を徴収してよいと書いてあります。これは、コストを負担してもらうというよりも、企業においては毎日請求のような濫請求を阻止したいということで、検討するのだろうと思います。
　また、開示の求めの申請書類などの受領は個人情報の直接書面取得に該当しますので、これ自体に利用目的の明示義務がありますので忘れないようにしなければなりません。

（７）苦情処理
　次に、苦情処理体制を整備し、それを公表しておかなくてはなりませんし、所属する認定個人情報団体ができれば、その連絡先も示さなければならないということになります。
　この点も詳細については別途お話ししたいと思います。

個人情報保護法入門 １０

（３）利用目的による制限
　この法律はデータベース管理のあり方に大きな影響を与える法律でもあります。それは、第１６条第１項の義務「利用目的による制限」でありまして、利用目的を宣言したならば、以後、消去するまで、利用目的の制限の範囲内において取り扱えと言っております。これが安全管理措置義務と並んでこの法律で義務付けている最大の過酷な義務かもしれません。私は１５条、１６条、１８条の義務に対応する業務を「利用目的管理業務」と呼んでいますが、これは、個人情報保護法ができたことでわれわれが新たに対応しなければならなくなった、個人情報保護法固有の対応義務ということが言えるのではないでしょうか。
　例えば、本法が施行されて５年が経ったある日、営業部門が優良顧客１０万人をデータベースから抽出して、新たなキャンペーンのためにＤＭを発送しようとしたとします。その１０万人全てに利用目的を示していたはずですから、利用しようとするときは、１６条の義務を遵守するため、利用目的の制限の範囲内か点検してから発送しなければなりません。
　はたして、そのときに利用目的が確認できるのでしょうか。もし、確認する術がないのなら、ＤＭの発送は中止せざるを得ません。ＤＭを受け取ったお客様から目的外利用ではないかと苦情を受け取る可能性が高いからです。利用目的の範囲内であることを確認できる体制なくして、個人情報を取り扱うことはできないということです。
　また、仮に、利用目的の参照機能をデータベースがもっていたとして、例えば、私があるメーカーの直販サイトから５年間で色々な製品を買うとします。その都度、製品登録でハガキを送ったりしますが、５年経てば５回くらいはハガキを送っているかもしれません。そうしますと私は５種類の利用目的に直面している可能性があります。すなわち、お客様ひとりひとりを名寄せした場合、利用目的は幾重にも折り重なることになるということです。現場に利用目的をきちんと特定して明示せよといったことを徹底したが故に、顧客との接点が多数あればあるほど、それだけものすごい数の利用目的が示されていきます。どのように管理していくのでしょうか。
　その場合の対応方法は２つです。一つは折り重なった利用目的のいわば最大公約数の範囲内で狭く取り扱っていくのか、それとも今日お送りするＤＭは、平成１８年５月５日にパソコンをお買い上げになったときに明示させて頂いた、なになにという利用目的の範囲内で取り扱っておりますというのか、いずれにせよ、ルール化して仕様を固めてデータベースシステムのあり方に反映させなければ、とうてい人手で処理できるものではありません。

（４）安全管理措置
　安全管理措置、情報セキュリティ対策については、さまざまなところでいろいろ述べられていますので、ここではとりあえず後回しに致します。

（５）第三者提供の制限
　第三者に個人データを提供する場合は、原則としてあらかじめ本人から同意を得ておくことが必要です。オプトアウト手続きによる第三者提供の定めもありますが、個人情報が同時にプライバシーに係る情報でもある場合は、容易に承諾がとれるのに特別の事情もないのにそのまま提供すると不法行為責任が問われる可能性がありますので、実務上はオプトアウト手続きによる第三者提供はおすすめできません。
また、この第三者提供の制限についての問題としては、Ｍ＆Ａ業務についての論点があります。
　企業買収にあたっては、デューデリジェンスというというのをします。この企業がいくらになるのかという企業価値を捕捉しなければならない。労働者名簿や顧客名簿などを確認することも出てくるでしょう。それについてあらかじめ労働者や顧客から同意を取ろうとしますと、Ｍ＆Ａが内々で進んでいる場合に、それを内外に宣伝することになってしまいます。これは、またナンセンスな話です。合併分社事業承継に伴い、M&Aを行う場合には同意は要らないと言っていますが、 “伴い”という文言がありますから、デューデリジェンスという合併するかどうかわからないという、前作業の段階で、“伴い”に入れるのは、たぶん無理だろうというのが法文上の解釈です。では、Ｍ＆Ａ実務をこの法律で潰すのかというとけしてそういう意図はないはずですから、ここは私の私見ですが、デューデリジェンスを委託ととらえて、第三者から除外するという理屈でいけばいいのではないかなと思っています。

個人情報保護法入門 ９

４．「個人情報」のライフサイクル
　　――取得・利用・消去

　個人情報の一生は取得によってはじまり、利用し、そして消去することでおわります。個人情報を持つがゆえに行政規制の対象となるわけですから、それを捨て去ることで法的リスクはゼロになります。取得、利用、消去、この３つの局面ごとに具体的にどのような義務に直面するかを洗いだして、個々の業務ごとに、時系列的にどのような対応策を実施していくかを確認していくことが重要でしょう。
　まずは、義務の全体をざっとながめてみたいと思います。

（１）利用目的の特定
　まず取得のところですが、この法律の大きな特徴のひとつは、「利用目的概念」を導入したというところであります。第１５条第１項に利用目的を「できる限り特定せよ」とありますが、これは、どう取り扱うかをきちんと定めておきなさい、という義務です。
　「できる限り」とはどのくらいかというと、経済産業省ガイドラインによると、たとえば日本産業分類の中分類や小分類を参考にしながら業種を示し、かつ商業登記における定款の目的程度を表現する程度でもよいとしています。このあたりの行政のさじ加減は、各主務大臣のガイドラインや今後公表される個人情報保護指針などを参考にしていくとよいでしょう。

（２）利用目的の明示・公表等
　個人情報を本人から直接書面で取得する場合、たとえば、書面を介して、サービスや商品のお申し込みを頂く場合、記名式のアンケート調査に回答いただく場合、懸賞などに応募いただく場合などが典型です。この書面というものにはウェブ画面も入ります。
　こうした場合には、必ず都度利用目的を明示しなければなりません。
　それ以外の場合、すなわち、直接書面取得以外で個人情報を取得する場合は、通知または公表することになります。公表とは何かというと、経済産業省ガイドラインには、各社のホームページ、そのトップページからわかりやすく１クリックか２クリックで誘導されるところに掲載されていればよいと言っています。ある意味非常に対応しやすい義務であると思います。
　実際のビジネスの現場では、多様で、かつ非常に多くの顧客接点があろうかと思いますが、そこで個人情報を取得しているのであればそれを全て洗い出し利用目的を明示したりする必要があるということです。

個人情報保護法入門 ８

３．「個人情報」は本人のものか？
　　――実験的な法律としての個人情報保護法

　私は、機会あるごとに「個人情報保護法は実験的な法律ではないか」ということを、繰り返し言っています。個人情報を保護せよということは、標語的には当たり前のことでわかるのですが、個人情報の概念がここまで茫漠としていますと、実際上は、どこまで守ればいいかわからないということになります。よく市販の解説本などでは、個人情報は本人のものであって、本人の権利でコントロールされるべきもの（自己情報コントロール権）であると書かれています。
　一見当然のことのように思いますが、実は、私はこれにかなり懐疑的な立場にあります。
　個人情報は本人のものであるというのは、これは常識的に受け入れられ易いのですが、これは、ちょっと乱暴に説明しますと、所有権の考え方と同じです。所有権モデルで理解しようという説なのです。
　たとえば、消しゴムを隣の人に貸した場合に、貸した人はそれを返せと言えるわけですが、これは理論的には所有権に基づく返還請求をしているわけです。こんなものはいちいち訴訟に乗せる話しではないのですが、それが、土地であったり、宝石だったりする場合、資産価値が高い場合には訴訟になっていくわけで、最終的には司法が、すなわち国家がそれに対して裁定をしてくれます。それは、法に基づくことで正当化されており、そのルールは主に民法の物権法制が担っています。さて、そのアナロジーで個人情報を捉えることができるのでしょうか？
　私の一番ベーシックな問題意識はそこにあります。
　名刺の交換について考えると、さっき名刺を渡したけども、それは紙を無償で譲渡したにとどまると。でも載っている情報は私の情報だから消去せよとか、お前とは絶交したから、お前の手帳に記録されている私のメールアドレスと電話番号を消しておけ、とかいうようなことがまかり通ることになります。もちろん極論をいっているわけですが、所有権の場合は、消しゴム１個の貸し借りもそれで十分に説明づけられるのです。個人情報は本人のものであるということを基本命題にするならば、つまらない個人情報１個も同様に説明づけられなければなりません。
　さて、個人情報保護法の条文をみてみましょう。条文のどこにも個人情報は本人のものであるということは書いてありません。この法律がうまいなと思ったところは、個人情報は本人のものであるという哲学にのっとらずに、「本人が関与し得る」としたところです。関与という表現はなかなか良くできています。
　当初は個人情報基本法と言われていましたが、基本原則を外したので、基本の文字はとりました。しかし、今後電気通信事業者を規制する“特則”を作る議論があったり、個人信用情報、医療情報についての“特則”を作る議論があったり、そういった特別法を起案するときの指導理念になるべき基本法的性格を残した法律となっています。のちの立法を指導する役割も担っているので、実は自己情報コントロール権を否定するわけにはいかないという事情があるのだろうと思います。例えば、遺伝子情報について自由に扱えるようになるというのは誰も望んでいません。自分の髪の毛を遺伝子解析されて、40ぐらいになったら癌が発病する率が高いということが生命保険会社に伝わってしまったら、加入を拒否されてしまうこともあるかもしれない。またそれがどこかの誰かに知られるようなことがあったら、結婚、就職、昇進に影響を与えるというようなことも起こりえます。そんなことにならないように、遺伝子規制に関しては自己情報コントロール権的な考え方を入れて、遺伝子に関する個人情報については本人のものであると規定して、第三者が持っていたら、それを開示せよ、変更せよ、消去せよと、消しゴムを貸したのと同じように、所有権モデルで本人にコントロールさせる法制を作るべきでしょう。それから、今回の法制のように間接罰ではなく、禁止行為に触れたら直罰にするという強い規制も必要かもしれません。こうした議論をしながら、ある類型の個人情報について必要な手当をしていくことが特別法の役割です。一概に自己情報コントロール権をこの法律で否定してしまうのは、のちの立法政策の自由をいたずらに拘束することになるという意味で、やはり問題があるのかもしれません。
　こうしたことを考えていくと、あえて個人情報は本人のものだということをいわずに、個人情報は本人が関与しうるものだという程度にとどめて、この法律を設計したということは評価できるのではないかと思います。

個人情報保護法を理解する３０問

ダイヤモンド社企業情報編集部編『個人情報保護法を理解する３０問』（ダイヤモンド社）
３月１６日発売　５４０円＋税　４色　全８１頁　新書サイズ
ISBN4-478-37492-9

上記の本を監修した。

個人情報保護法入門 ７

（５）他の情報と容易に照合することで特定個人を識別できるか？
　個人情報は、非常に広い概念なのですけれども、その外延は比較的明確で、個人情報該当性判断も楽といえば楽です。でも、一部に曖昧なところも残っており、個人情報に該当するか否かよくわからない。それは何かといいますと、今ハンドリングしている情報だけでは特定個人を識別できないけども一定の条件を充たせば個人情報になるという場合です。つまり、それだけでは特定個人を識別できない。しかし、あるデータベースがあって、これと照合すれば特定個人を識別できるような、いわばインデックス的機能を有した情報の場合です。典型的には顧客コードや社員コードのようなＩＤ情報です。断片的な情報といってもいいかもしれません。これが個人情報の該当性判断で非常に悩ましい存在なのです。
　その断片的なＩＤのような情報と他の情報、たとえばデータベースと照合することで特定の個人が識別できるものか、それは容易に照合できるのかということを法は聞いているわけです。これがＹＥＳであれば、ＩＤのようなインデックス的情報も個人情報に該当することになります。
　社員コードなどは果たして個人情報として保護に値するものなのでしょうか？氏名を伏せてハンドリングするために、外部に露出して流通させるためにコード化したということもあり、ある意味では匿名化情報ともいえますので、これが個人情報に該当するとなると、ＩＤの取得においても利用目的の特定や明示、公表などの義務に服することになり、ビジネスが過度に不自由になるようにも思います。
また、複数企業間の情報システムを連携して行き交うＩＰアドレスが個人情報に該当するとなった場合、われわれは本当に義務をきちんんと遵守していけるのだろうかと非常に不安にかられることになるのです。

（６）「他の情報」とは何か？
　ここで重要なのは、「他の情報」とは何かという法解釈です。たとえば、私がある社員コードの番号情報を持っているとします。これが個人情報に該当するためには、人事データベースが必要です。このデータベースが「他の情報」に該当します。「他の情報」が、自社が保有するデータベースのみを指すのであれば、比較的範囲は狭まり、個人情報該当性判断もなんとかしていくことが可能です。しかし、文言上一番広い解釈をしますと、この社員コード以外の世の中にあるすべての情報が「他の情報」に該当します。たとえば、google等の検索エンジンを使い、社員コードで検索して、「鈴木正朝」という名前とマッチングできてしまう状況があれば、私の社員コードは、「個人情報」に該当するということになる。いや、それは容易性が無いと説明すればいいという人がいるかもしれないですが。でも、googleに文字列等を記述しクリックするだけの行為を容易ではないと言い切れるのかというと、やや強弁に過ぎるようにも思います。
　私は、容易性判断基準で調整するのではなく、「他の情報」の解釈で、こうした問題を解決するべきではないかと思っています。ここで「他の情報」というのは、自社が保有する「個人情報データベース等」など限定的に解釈すべきだろうということです。そうでなければ、個人情報取扱事業者は、いつ何時、こうした断片的情報が個人情報になってしまうのか、予見できないことになります。規範に直面することができないのに、法的義務が課せられるかもしれないように解釈する必要があります。ガイドラインでは、実は、まだこのあたりの「他の情報」の解釈基準がクリアではないのです。これは、今後、法を運用する中で整理し、ガイドラインに反映していってもらわなければならない問題だろうと思います。

個人情報保護法入門 ６

（４）メールアドレスと識別性
　それから識別性の問題として、メールアドレスの事例が経済産業省ガイドラインに載っています。例えば、keizai-ichiro@meti.go.jpは、日本（jp）の政府機関（go）である経済産業省（meti）のケイザイイチロー（keizai-ichiro）氏のことであろうと、メールアドレスの文字列から推測できるという意味で特定個人を識別できるので「個人情報」に該当します。一方、abc12345@ispisp.jpのようにアルファベットと数字の組み合わせのようなメールアドレスでは、特定個人を識別することができないので「個人情報」には該当しません。
　こうした事例を挙げたところ、パブコメで非常に技巧的で判りづらいという意見が寄せられたようです。実際のメールアドレスはメーラーの中に入っていて、その大半は特定個人の識別が可能であるから、メールアドレスは個人情報と説明すべきであるというのです。非常にごもっともな意見です。でも、私はそうした意見に反対です。仮にメールアドレスは個人情報だ、というような社会的認識が一般的であったとしても、あえて識別性を厳格に問うべきだと考えるからです。
　まず、「個人情報」が非常に広い概念であるということ。また、各省を所管する全ての国務大臣に対して、主務大臣としての行政権限を付与しているということ。すなわち、他の業法と異なり権限を持つ主務大臣が多く、しかもその守備範囲が非常に広いという意味で、権限濫用の危険性が非常に大きい法律だからです。当然、行政罰に至るまでは非常にハードルが高くて、実質的には過大な濫用の危険性は少ないのかもしれませんが、われわれ事業者にとっては助言も勧告も非常に怖いわけで、概念的には行政指導ではあっても、実は十分に権力行政と感じるのです。
　こうした中で、ガイドライン（告示）は、実質的にという限定つきですが、行政の権限発動の基準を明確化する役割を担っています。主務大臣には、ガイドライン（告示）の制定を通じて、本法に基づく、権限行使の基準を宣言していただかないと困ります。例えば、ＩＰアドレスは個人情報ですかとか、RFIDはどうなるのですか、などこれからどんどん新たな問題に直面していくことになりますが、このような曖昧な、グレーゾーンにある情報について、その個人情報該当性判断の基準を曖昧にして、結果として主務大臣の広い裁量に委ねてしまっていいのだろうかと。
　ですから、メールアドレスの事例に込められたココロというのは何かというと、メールアドレスにおいても、その特定個人の識別を厳格に問うということ、識別性が無いものは個人情報に該当せず、従って、個人情報保護法の適用外であり、当然、本法に基づく権力の行使はできないのだということを象徴的に宣言してもらうことにあります。まさに事業者側からみたガイドライン（告示）の実質的なねらいはそこにあるというべきでしょう。けして、わかりやすさだけが第１に優先されるわけではないだろうと思うのです。
　確かに、ガイドラインの内容はよくわからないという批判もあたらないわけではないですが。では、民法、刑法や独禁法、特商法といった法律はわかるのかというと・・・、それもわからない・・・・。日本の法制度は、法曹というプロフェッショナルを介して実現される、ある意味、プロ仕様で出来上がっているわけですから、われわれ一般市民もある程度のスキルが要求されるのはいたしかたありません。それは、法学に限らず、簿記も、プログラム言語もみな同じでしょう。ただ、法律は、民主主義の基盤ですので誰でもわかるように作られることが期待されるということはありますから、もう少し、ルールのあり方と表現を工夫していくべきということはあるのでしょうね。ただし、わかりやすくすると言っても、国語力だけで足りるというわけにはいきません。
　また、法的な観点から、権力の発動の基準を明確化することに寄与しているかどうかといった観点からも評価していくべきです。法の内容のわかりやすさについては、別途解説やＦＡＱの公表など政府広報に求めるべき部分もあるでしょうから。

個人情報保護法入門 ５

（２）生存者の情報か？
　次に、「生存者の情報」か？という問いになります。本法は、個人情報を生存者情報に限定することにしたということです。実務上の取り扱いでは、あまり重きをおく要件ではないかもしれません。「生存者の情報」に限定するというのは、企業にとっては、「徳川慶喜の情報が漏洩したけども？」といったような難くせを回避できるというメリットがある程度でしょうか・・・。実質上は葬儀屋さんの情報システムに掲載されている個人の名前も、喪主との関係で個人情報になるわけですし、実務において生存しているか否かを厳密にわけるべき必要性に直面することは少なく生死の別なく個人情報として取り扱うことが多いように思います。ただ、本法においては、本人関与は生存者のみがなし得るということを言いたいだけなのだろうと思います。

（３）特定個人の識別性があるか？
　個人情報の実質的な定義は、今ハンドリングしている情報で、特定個人を識別できること。これがもっとも重要です。
　さらに重要なのは、「特定個人の識別」という概念です。例えば、ある営業所で、お昼の12時から1時まで全員が席を離れ昼食に行ってしまって、事務所が空っぽになった。その時、カウンターの裏においていた手提げ金庫が無くなったということを想定しましょう。こうした場合は、まず防犯カメラの影像情報でトレースすると思います。カウンター付近を12時から1時までに通過した人を確認したところ、縦縞のシャツを着た髭面の男が何往復もしている、どうもこの男が怪しいと目星をつけて防犯カメラの影像からこの男を追っていくわけです。もうすでに明かですね。要するに、縞模様の髭面の男ということで、他の人間と区別して認識しています。この段階で特定個人を識別していると法的に評価することになります。
　ここで注意しなければならないのは、氏名不詳であっても個人情報になるということです。個人情報は、氏名＋αだと説明する本もありますが、それは一つの典型例を言ったに過ぎなくて、それにつきるわけではないということに留意する必要があります。

個人情報保護法入門 ４

２．「個人情報」とは何か？

　「個人情報」の該当性の判断基準という最も基本的な問題で、実は解決がついてない問題がいくつかあります。これがいっそう現場対応を難しくさせているのだろうと思います。
　誰でも、今「情報」を取り扱っているということについては、認識することができます。CD-ROMであったり、USBであったり、WEBの画面、すなわちＨＤであったり、もしくは紙であったり媒体はさまざまですが、そこに「情報」があるということは誰もが認識できるのです。しかし、それが「個人情報」に該当するかどうかというと、まだ十分に判断できるわけではない。現場で判断ができないということは、会社として法令の遵守がおぼつかないということを意味しています。したがって個人情報概念が非常にシンプルでクリアにわかるという状況を社内に作らなければ、この個人情報保護法の対応の出発点にも立てないということになるのですが・・・、実は、これが意外と難題なのです。
ということで、簡単に個人情報の該当性判断について確認してみたいと思います。

（１）個人（自然人）に関する情報か？
　まず、ここに何らかの「情報」があることがスタートです。自分がハンドリングしている情報があるとします。まず、これが「個人に関する情報かどうか」というのが、最初の問いになります。ほとんどの「情報」は「個人に関する情報」に該当するのですが、ここで何が重要かというと、いわゆる「法人情報」とか、「団体情報」などといわれるものは除かれるということです。「法人情報」、「団体情報」というのは法令用語ではありませんので、きちんとした定義があるわけではありません。ここでいう「法人情報」というのは、従来は、役員も含みました。取締役は会社の機関である取締役会を構成する者であって、会社そのものであると考えられてきたからです。ゆえにこれは「法人情報」であるといった理解が一般的であったと思います。ですから、役員名でのＤＭ等は、特に意識せずに、社長名を書いて出していたということなのですが、個人情報保護法では、このあたりがクリアになりまして、代表取締役、取締役、監査役、理事、監事などの地位にあって、その肩書きがついていても、すべて個人に関する情報は「個人情報」であるということになりました。○○株式会社○○部部長何某様というようなＤＭも、個人情報になります。

個人情報保護法入門 ３

（４）認定個人情報保護団体制度
　次に認定個人情報保護団体について考えていきたいと思います。
　認定個人情報保護団体は、実質的には裁判外紛争処理機関（ADR）的機能・・・・、そこまで過剰な期待はされていないのかもしれませんが、消費者本人の苦情を受け付け、本人と自らの会員を調査し、解決していく機能を発揮することが期待されています。
　ただですら、個人情報の取扱いというものはうまく解決していけないものですから、こういった認定個人情報団体において、どう消費者と事業者との紛争に折り合いをつけていくのか、これは法的知識を含めた人的なスキルがかなり要求される仕事になるだろうと思います。そういったスキルのある要員を現実にどう確保するのかといった問題もありますし、そういったことをする前提として、紛争を裁いていけるだけの詳細なルール形成が必要だということもあります。紛争処理の仕事をする前提としても「個人情報保護指針」が必要だということです。
　認定個人情報保護団体に手を挙げるのは、ある意味、簡単ですが、それを支える人的要員をどう整えるのか。また、紛争解決には有識者を招かなければならないかもしれない。しかも一過性の業務ではなく、これから何年もずっとお願いしていかなければならない。財政的基盤がしっかりしていないと大変でしょう。はたして政府からの補助金を期待できるのか、ほかにどの程度自律的な財源があるのか、そういうことも含めて考えますと、現実的にはいろいろと難しい問題もあるだろうと思います。

個人情報保護法入門 ２

（３）行政と民間の対話によるルール形成機能
　個人情報取扱事業者は、法律の成立から今日までの間、まさに総務省ガイドライン、経済産業省ガイドライン、金融庁ガイドライン、厚生労働省のガイドラインなど、それぞれの業種業界を主管している主務大臣が作るガイドラインをじっと待っていた。
　ところが、その待ちに待っていたガイドラインを見ても、実は、まだよくわからないところが残っている。経済産業省ガイドラインは、産業界を横断して所掌している関係から、どうしても法律同様の包括規制の構造をそのままひきずっており、主務大臣のガイドラインの段階まできても具体化できない。業務により即したルールを示すことができない。もはやじっと待っていても主務大臣からは安全なルールはでてこない。ここで“安全なルール”というのは、“役所から怒られない予見可能性の高いルール”という意味で言っているのですが。
　ではどうすればいいかというと、自社が所属している業界団体に、認定個人情報保護団体として手を挙げてもらい、主務大臣の認定を得る。そして、「個人情報保護指針」を作成すればいいわけです。「個人情報保護指針」を作成するといっても、これは当然に主務大臣が公益的観点から関与しますから、“業界エゴ”と評価されるようなルール形成はできないわけです。とはいえ、その業界には、それぞれその道何十年という業務に精通したビジネスマンが現場に多数いるわけですから、その意見を反映してルール作りをした方がいい。業界慣行には、一見不合理に見える処理があっても、そこには、営利追及の観点においても、消費者保護の観点においても、実は合理的なルールというのが潜んでいるということは少なからずあるものですから。役人がその全てに精通することはできない以上、民間と役所が共にルール形成をしていかなければならないのだろうと思います。きれいに言うならば、この法律は認定個人情報保護団体制度を通じて行政と民間の対話によるルール形成機能を期待しているということがいえるのだろうと思います。
　ところで、「個人情報保護指針」とは、いったい何なのでしょう。法的に意味のあるルールなのでしょうか。「告示」ですら、裁判規範性はないのに、「告示」ですらない「指針」は、ましてや裁判所を拘束するものではないでしょう。行政機関では全く無い、民間団体でその構成は民間人であります。そこを公的に認定したわけですが、そこが作る「指針」というルールは、一体法的にどう評価されるのかという疑問が出てくるわけです。従来の業界ガイドラインとどこが違うのだろうということですが。たぶん形式的には、従来の「告示」とも違いますから、新たな類型ということもいえますね。これは行政法の観点からも面白いのではないかと思っているのですが。
　では、実質的な意義はどこにあるかといいますと、行政と民間との対話によって形成されたルールですから、それに反するような行政作用を主務大臣は行い得ないという期待が民間に生まれます。行政法関係においても、信義誠実の原則が妥当するでしょうから、主務大臣が「このルールでいい」と言っておいて、後日それに矛盾するような行政指導、行政処分は為し得ないと考えられます。たとえ、たんなる「個人情報保護指針」であっても、一旦合意されたルールに反する権力行政は、法の一般原則からみて違法性を帯びるものだと。そこに行政救済の可能性があるのだというロジックを背景に持たなければなりません。そう解することなしには、「個人情報保護指針」の法的意味は非常に空疎なものになりますし、民間側における指針作成のインセンティブは大きく損なわれます。もちろん、こうした考え方には、いかようにも批判することはできますが、民間側としては、「個人情報保護指針」の法的性質をきちんと打ち立てていく、少なくとも指針に対する事実上の期待をより確固たるものにしていく努力が重要であろうということを申し上げたいわけです。
　もちろん主務大臣には個人情報保護指針を変えるよう命ずることができます。例えば、利用目的をホームページに掲載するという習慣はもうできあがっただろう、だったらもう少し消費者保護に軸足をずらすので、例えばDMを出すか出さないかということも、今後は利用目的の中に含めてくださいというように。そのあたりの判断の裁量は法律上、主務大臣に委ねられているのでありますから、主務大臣はもちろん個人の権利利益の保護という究極の目的に向かって行政を行う責務があるわけです。ただし、不意打ち的にいきなり行政処分がくるのではなくて、個人情報保護指針の改訂を命じるという、いわば予告を行う。われわれ事業者は指針の改訂を待って、それを見て対応できるのだろうと考えています。
　そう意味では、こうした仕組みを作っていただいたわけですから、民間としては、これを使うかどうか、すでに球が投げられている状態にあるということもいえるのではないかと思います。
この法律は、このような仕組みを通じて、民間の包括規制することによる副作用を緩和することを考えたのだろうと。ですから、法律が抽象的に過ぎるという批判は、この法律が生まれたときからあったわけでありまして、今頃その批判を繰り返しても、実はあまり建設的ではないと思います。現状をベースにして考えるとしたら、いかに認定個人情報保護団体を作るか、いかに「個人情報保護指針」を作成するかということに知恵を絞るというのが非常に前向きな対応だろうと思います。

個人情報保護法入門 １

１．個人情報保護法の特徴

（１）広い「個人情報」概念
　各企業で「個人情報保護法」に対応しようとすると、非常に抽象的な規定が多すぎて、企業としては、“何を、どこまでやれば良いのか”というところが全く見えてこないとよく言われます。
　その原因を考えてみると、１つに、この個人情報保護法が第２条第１項において「個人情報」を、特定個人を識別できるものは全て個人情報とするという非常に広い定義を採用していることを指摘できると思います。そのために、氏名、住所、電話番号といった情報だけではなく、防犯カメラの影像情報やコールセンターの応答履歴などありとあらゆるものが個人情報になってしまうことになります。
　でも、個人情報と言われますと、一般のビジネスマンであれば、顧客情報とか名刺情報といったものを典型的な個人情報としてイメージするわけですが、一方、医療関係者はカルテ情報や遺伝子情報などを典型的な個人情報としてイメージするかもしれません。つまり、一口に個人情報といっても、名刺情報から遺伝子情報を含む非常に広い概念であるということに思い至らなければなりません。
　たとえば、名刺情報などをイメージして議論する人は、「この法律は過剰規制だ」と批判する、一方、カルテ情報や遺伝子情報を個人情報の典型と考える人は「この法律はザル法だ」と批判することになります。一つの法律に対して正反対の評価がなされるわけです。これは、この法律の基礎となる個人情報を、名刺情報から遺伝子情報までを包括するものとして定義し、しかも民間部門を包括的に規制する起草方針にたった時点から、当然予測されていたことということもできるでしょう。

（２）階層的なルール形成の仕組み
　そのためおそらく起草担当者は、この法律の中に階層的なルール形成の仕組みを取り入れようと考えたのではないかと思います。一番上位のレイヤは、立法機関である国会が作る、まさにこの「個人情報保護法」という「法律」です。ここでは、民間部門の一般法として、様々な個人情報の取扱いについて規制することになりますので、普通の法律以上に抽象度の高い表現で条文を書くしかないと思います。そのため、たとえば20条のように「適切な安全管理措置」を講ぜよ、と言った条文になるほかないわけです。事業者としては、「適切ってなんだろう？」と当惑するだけで、具体的な規範に直面しようがない。規範に直面しないということは、何をどこまでやれば適法なのか、どのラインを踏み越えたら違法なのかというルールに直面できないということです。
　したがって、起草担当者は、階層的なルール形成の仕組みを採用することで、ルールの具体化を図ろうと考えたのだろうと思うのです。国会で作った「法律」だけで完結するのではなく、一部を「施行令（政令）」においてより具体化したルールを示し、また、個人情報保護法の「基本方針」を内閣の閣議決定を経て告示し、国民、事業者に向けて広く情報提供し、さらには各主務大臣において「ガイドライン（告示）」を作り、その所掌範囲内でより詳細なルールを作ってもらうしくみを採用したということです。しかし、こうした仕組みは、基本方針があるという点を除けば、個人情報保護法特有のものではありません。税務行政をはじめ、行政法一般で行われているものです。
個人情報保護法の特徴としては、「認定個人情報保護団体」という制度を作り、その認定個人情報保護団体に「個人情報保護指針」を作成してもらおうと考えた。主務大臣のガイドラインよりさらに、その下に、いわば第５レイヤのルールを作ったというところにポイントがあります。
　たとえば、自分たちの業界はどの程度のセキュリティ対策を講じれば良いのか、といったような個別具体的な形に落としての規制は、その業界の業種特性に応じてルール形成を図るべきであろうと考えたのです。
このように、下位のルールに委ねるに従って、だんだんとその内容が具体化していく仕組みをビルトインしたというのがこの個人情報保護法の大きな特徴のひとつです。